EuGH kippt Privacy-Shield zwischen der EU und den USA – weitreichendes Urteil

Der Europäische Gerichtshof (EuGH) hat das vermeintliche Datenschutzschild „Privacy Shield“ des transatlantischen Datenschutzabkommens „EU-US Privacy Shield“ zum Schutz personenbezogener Daten für ungültig erklärt. Das sorgt nun für mächtig Wirbel in Politik und Wirtschaft.

Im US-Handelsministerium ist man maßlos enttäuscht über das Urteil. Denn in den USA hält man den eigenen Rechtsschutz gegenüber Geheimdienstüberwachungen weitaus besser aufgestellt, als in Europa.

Mit dem Inkrafttreten der General Data Protection Regulation (GDPR) bzw. Datenschutzgrundverordnung (DSGVO) im Mai 2018 hat die EU für Unternehmen eine klare Richtschnur für den Schutz personenbezogener Daten vorgegeben. Dieses europäische Gesetz gibt es kaum ein zweites Mal auf der Welt. Es zeigt, wie wichtig der EU der Schutz seiner Bürger ist. Unter anderem verbietet es die Übermittlung von Daten in Drittländer, deren Datenschutzgesetze kein angemessenes Schutzniveau bieten. Hierzu zählen auch die USA, mit denen das Privacy Shield ausgehandelt wurde.

Privacy Shield: Kritik von Datenschützern war groß

Bereits nach Bekanntwerden des bilateralen Abkommens mit den USA war die Kritik von Datenschützern enorm. Nun kann der Aktivist und Jurist Max Schrems einen weiteren Erfolg verbuchen. Bereits im Oktober 2015 hatte das Gericht das damals gültige Safe-Harbor-Abkommen mit den USA gestoppt. Aus diesem Abkommen entstand das „Privacy-Shield“.

Schon damals bezeichnete Schrems das Privacy-Shield als „Schwein mit zehn Lagen Lippenstift“. Er zeigte die Probleme auf, die das Sage Harbor-Abkommen nicht gelöst hatte. Das sahen nun auch die Richter so und schlossen sich der Kritik an, dass das EU-Datenschutzrecht und das US-Überwachungsrecht nicht zusammenpassten.

So heißt es in der Pressemitteilung des Gerichts: „Der Datenschutz in den USA könne schon deshalb nicht gleichwertig mit dem in der EU sein, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.“

Juristisch geht es Schrems um die Frage, ob amerikanische Unternehmen wie Facebook die personenbezogenen Nutzerdaten in die USA übermitteln und dort für Werbezwecke verarbeiten dürfen. Auf der anderen Seite des Atlantiks gibt es nicht nur weniger Datenschutz, sondern es droht eine Massenüberwachung durch die US-Geheimdienste und spätestens mit den Enthüllungen des Whistleblowers Edward Snowden kamen die Überwachungspraktiken der US-Geheimdienste ans Tageslicht.

Zertifizierungen im Rahmen von Privacy Shield

Unter dem Datenschutzabkommen „Privacy Shield“ hatten sich über 4.000 US-amerikanische Unternehmen zertifizieren lassen. In der Folge war es ihren Geschäftspartnern in der EU erlaubt, personenbezogene Daten – etwa Arbeitnehmerdaten oder Verbraucherdaten – an solche zertifizierten Unternehmen in den USA zu transferieren.

Nach diesem Urteil müssen nun Lösungen gefunden werden, wie Daten aus der EU in Drittstaaten übermittelt werden können. Ohne das Privacy Shield ist eine Übermittlung personenbezogener Daten in die USA rechtswidrig. Für EU-Unternehmen könnten Bußgelder von bis zu 20 Millionen Euro bzw. bis zu 4 %  des weltweiten Jahresumsatzes des Unternehmens drohen.

Gibt es eine Alternative zu Privacy Shield?

Eine Alternative sind Standardvertragsklauseln, die sich das EuGH ebenfalls angeschaut hat. Bei diesen handelt es sich um eine vertragliche Basis. Diese erlaubt den Transfer von Daten über den Atlantik auch ohne Privacy Shield. Hier wurde entschieden, dass der Datenaustausch mit Nicht-EU-Ländern auf Basis der „Standardvertragsklauseln“ zwar rechtens sei, aber im Einzelfall geprüft werden müsse.

Übrigens erteilte der EuGH der lockeren Rechtsauffassung der irischen Datenschutzbehörde hierbei eine Rüge. Denn die Behörden tragen eine Mitverantwortung, wenn Datenkonzerne wie Facebook den Schutz von personenbezogenen Daten in den USA aufs Spiel setzen.

Noch gibt es keine wirkliche Alternative zu den Standardvertragsklauseln. Denn die europäische Datenschutzgrundverordnung sieht nur einen begrenzten Katalog an Erlaubnisnormen für Drittlandsübermittlungen vor.

So sind viele Unternehmen seit dem „Safe-Harbor-Abkommen“ dazu übergegangen, die personenbezogenen Daten rein in der EU zu speichern. Viele Cloud-Anbieter werben seit Jahren damit, dass die Daten bei Cloud Computing sicher sind, da sie in Rechenzentren auf europäischem Boden geschützt verbleiben.

Auch die Cloud-Lösungen mancher Softwareanbieter werden in deutschen Rechenzentren betrieben. Mehr Informationen über Cloud-Sicherheit erfahren sie hier.