DatentransfersEU-Gericht zerschlägt Privacy Shield

Das oberste Gericht der EU fordert wirksamen Schutz von europäischen Daten vor Massenüberwachung in den USA. Der Datenschützer Max Schrems kann einen Erfolg verbuchen.

Schrems und Zuckerberg
Datenschützer Max Schrems (l.) und Facebookchef Mark Zuckerberg werden wohl keine Freunde mehr – Alle Rechte vorbehalten European Union / Bearbeitung: OWIEOLE für netzpolitik.org

Der Europäische Gerichtshof hält das Datenschutzniveau in den USA nicht für gleichrangig mit dem in der Europäischen Union. Deshalb erklärte das Gericht eine Entscheidung der EU-Kommission über den Transfer persönlicher Daten von Europäer*innen in die USA, bekannt als Privacy Shield, am heutigen Donnerstag für unrechtmäßig.

Das Urteil setzt einen vorläufigen Schlussstrich unter einen langen Konflikt. Seit knapp einem Jahrzehnt geht der österreichische Jurist und Aktivist Max Schrems juristisch gegen Facebook vor. 2014 landete eine Klage von Schrems erstmals vor dem EU-Gericht.

Im Kern geht es um die Frage, ob Facebook und andere Firmen die persönlichen Daten ihrer Nutzenden in die USA transferieren und dort für Werbezwecke verarbeiten dürfen. Jenseits des Atlantik gibt es nicht nur weniger Datenschutz, sondern es droht auch Massenüberwachung durch US-Geheimdienste.

Das oberster EU-Gericht bezieht sich in seinem Urteil deutlich auf Überwachungsprogramme der NSA und anderer Geheimdienste. Der Datenschutz in den USA könne schon deshalb nicht gleichwertig dem in der EU sein, da „die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind“, heißt es in einer Pressemitteilung des Gerichts.

Schrems kippte schon Vorgänger

Die EU-Kommission bescheinigte der USA trotz Bedenken, die nach Bekanntwerden der NSA-Affäre und den Enthüllungen von Edward Snowden ab 2013 laut wurden, im Rahmen einer Entscheidung namens Safe Harbour lange Zeit ein angemessenes Datenschutzniveau. Ähnliche Rechtskonstrukte, sogenannte Adäquanzentscheidungen der EU, gibt es auch mit anderen Ländern wie etwa Japan.

Schrems kippte Safe Harbour allerdings mit seiner Klage, denn der EuGH entschied 2015 für ihn. Die EU-Kommission schuf daraufhin im Hauruck-Verfahren einen Nachfolger, das Privacy Shield. Darin sind im Gegensatz zum Vorgänger einige eher schwammige Garantien der USA gegen Massenüberwachung enthalten.

Privacy Shield wurde bislang jedes Jahr überprüft, bislang hatte die EU-Kommission wenig daran auszusetzen. Zuletzt bereitete sie sich allerdings dennoch auf ein Scheitern des Abkommens vor, zu schwer wogen die Bedenken von NGOs und Datenschützer:innen.

Irische Behörde auf dem Prüfstand

Bei der Klage von Schrems geht es nicht nur um Privacy Shield, das Gericht prüfte auch die Standardvertragsklauseln von Facebook und die Verantwortung der irischen Datenschutzbehörde. Facebook hat seinen EU-Sitz in Irland, die dortige Behörde ist federführend für die Kontrolle des Datenkonzerns verantwortlich.

Facebook sichert den transatlantischen Datentransfer rechtlich seit einiger Zeit nicht mehr durch die Entscheidung der EU-Kommission ab, sondern durch Standardvertragsklauseln. Bei diesen handelt es sich um eine vertragliche Basis, die den Transfer von Daten über den Atlantik auch ohne Privacy Shield erlaubt.

Bereits zu Jahresbeginn hatte der Generalanwalt des EuGH in einer rechtlich nicht bindenden Schlussantrag erklärt, dass die irische Datenschutzbehörde verantwortlich für die Prüfung der Standardvertragsklauseln von Facebook sei. Die Behörde müsse aktiv werden, wenn durch den Transfer in die USA dort der Datenschutz der Nutzenden kompromittiert werde.

Das höchste Gericht urteilt nun, dass die Standardvertragsklauseln grundsätzlich weiterhin gelten dürften. Allerdings erteilt der EuGH der laxen Rechtsauffassung der irischen Datenschutzbehörde eine Rüge.

Die zuständigen Aufsichtsbehörden seien verpflichtet, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie „im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können“, heißt es in der Mitteilung des Gerichts.

In der Sprache des Gerichts bedeutet das: Die irische und andere Behörden tragen eine Mitverantwortung, wenn Datenkonzerne wie Facebook den Schutz ihrer Nutzer*innen mit Datentransfers in die USA aufs Spiel setzen.

Datenschützer sind glücklich

Der Datenschützer Schrems zeigte sich glücklich über das Urteil. „Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen”, sagte er laut einer Mitteilung. Schrems betonte:

Das Gericht hat nun zum zweiten Mal klargestellt, dass es ein Aufeinanderprallen von EU-Datenschutzrecht und US-Überwachungsrecht gibt. Da die EU ihre Grundrechte nicht ändern wird, um der NSA zu gefallen, besteht die einzige Möglichkeit, diesen Konflikt zu überwinden, darin, dass die USA solide Datenschutzrechte für alle Menschen – auch für Ausländer – einführen.

Estelle Massé von der NGO Access Now sieht die EU-Kommission in der Verantwortung wegen des plötzlichen Endes von Privacy Shield. „Es war unverantwortlich, dass die Europäische Kommission Privacy Shield geschaffen hat, sowohl aus rechtlicher als auch aus politischer Sicht“, so Massé laut einer Pressemitteilung. „Wir haben immer wieder betont, dass es ein großer Fehler war, das Abkommen nicht auszusetzen, nicht nur, weil es die Rechte der Menschen gefährdet, sondern auch, weil es Rechtsunsicherheit für Unternehmen schafft.“

Die EU-Kommission kündigte in einer ersten Reaktion Gespräche mit den USA zu dem Urteil an. Die nächsten Schritte müssten noch entschieden werden, sagte Justizkommissar Didier Reynders. Kommissionsvizepräsidentin Věra Jourová betonte zugleich, die EU könne die Massenüberwachung durch die USA nicht stoppen. „Wir können amerikanische Gesetz nicht von Europa aus ändern, das müssen die Amerikaner machen“, sagte die Kommissarin.

Das US-Handelsministerium zeigte sich „schwer enttäuscht“ über das Urteil. Die Regeln für den Datenzugriff aus Gründen der nationalen Sicherheit in den USA gingen „in den meisten Fällen“ über die Regeln in Europa hinaus, hieß es in einer Reaktion. Will heißen: Die USA hält seinen Rechtsschutz gegen Geheimdienstüberwachung für besser als den in Europa.

Der EuGH ist da offenkundig anderer Ansicht.

Der Artikel wird laufend mit neuen Reaktionen aktualisiert.

22 Ergänzungen

  1. Ein FETTES DANKE an Max Schrems, noyb und alle Unterstützenden!

    Schade, dass es erst solch Engagement braucht und nicht etwa die Aufsichtsbehörden wirksam beaufsichtigen.

  2. So schön die Nachricht auch ist. Waren es nicht die USA, die nach den Snowden-Enthüllungen ihre NSA-Überwachung reduziert hat, während in Europa die Überwachung legalisiert und verschärft wurde?

    1. > Waren es nicht die USA, die nach den Snowden-Enthüllungen ihre NSA-Überwachung reduziert hat

      Stimmt. Aber eben nur für US-Bürger. Daten-Ausländer waren wegen FISA 702 faktisch zum Abschuss freigegeben. Bleibt die Frage nach Massenüberwachung innerhalb der EU.

  3. Klasse auch insbesondere für den Beschäftigtendatenschutz. Nun müssen einige Verantwortliche mal z.B. Ihr MS-365 Office Engagement überdenken…; die US-Riesen müssen irgendwie Ihr Geschäftsmodell ändern, das wird spannend. Überhaupt wird es jetzt interessant, was alles legal und nicht legal ist…auch mit den Standardvertragsklauseln…

    1. Wenn ich die Aussagen zu der EUGH Entscheidung richtig verstehe, dann können die US-Riesen hier direkt überhaupt nichts tun, sondern die US Regierung muss die entsprechenden US Gesetze anpassen. Ansonsten können amerikanische Firmen einfach keine personenbeziehbaren Daten von Europäern, auf Systemen die unter amerikanischem Recht betrieben werden, verarbeiten.

      Die große Frage ist nun also, was passiert in den nächsten Monaten? Wird es wieder den Versuch geben eine neues Safe Harbour, Privacy Shield, … abzuschließen, was dann wieder der EuGH einkassieren muss? Wird die Irische Datenschutzbehörde jetzt endlich tätig und verhängt entsprechende Strafen an amerikanische Firmen, da Sie aufgrund amerikanischem Recht gegen die Standardvertragsklauseln verstoßen müssen? Werden amerikanische Firmen ihre Dienste in der Folge für Europäer einstellen? Werden nun DSGVO-konforme Lösungen von Firmen eine Chance erfolgreich in den Markt zu starten?

      Schauen wir mal was passiert.

      1. es wird wie bei der vorratsdatenspeicherung gemacht: einfach wieder ein neues gesetz, dass man problemlos wieder ein paar jahre lang so weitermachen kann wie bisher. zum glück für den „gesetzgeber“ dauert es ja immer einige jahre ein höchstgericht zu einem urteil kommt.

    2. Ui, bei Office365 bekomm ich das Kotzen. Stichwort Corona und Homeoffice.
      Da wollte man mich echt dazu „zwingen“ Office365 auf dem eigenen Heim-PC zu installieren – und dazu natürlich einfach mal den Datenschutzbestimmungen zuzustimmen. Habe mich geweigert, was zu erstaunten Gesichtern und vielen gereizten „Überredungsversuchen“ führte. Jetzt bin ich der Querulant vom Dienste … also mal sehen, ob eine Datenauskunft bei der Personalabteilung irgendwelche neuen Einträge zu Tage befördert. Wundert würde es mich nicht.
      (Geheimtipp: Ein Freund riet mir dazu einfach zu sagen ich hätte Linux auf dem PC – damit sind dann viele Diskussionen wohl schnell beendet.)

      1. Am Rande: Du darfst auf deinem privaten PC gar keine Arbeit für die Firma machen. Alleine das Risiko, dass sich auf dem Weg eine Schadsoftware im Firmennetzwerk ausbreitet steht dem dagegen.

        1. Das mag im ÖD oder im Konzern gelten, aber beim Durchschnittsmittelständler hat man in den letzten Wochen auf die private IT der Beschäftigten gesetzt. Auch weil es keine andere gab und zu bekommen war.

          1. Dann darf sich der „Durchschnittsmittelständler“ nicht beklagen, wenn über den Privatrechner eines MA lustig Schadsoftware durch die Fimen-IT tobt.

  4. Der Branchenverband Bitkom beklagt, dass nach dem gescheiterten Safe-Harbor-Abkommen jetzt zum zweiten Mal die Rechtsgrundlage für die Datenverarbeitung zwischen der EU und den USA weggefallen ist. Auch die bis dato gültige Praxis der Standardvertragsklauseln gerate mit dieser Entscheidung ins Wanken.

    „Für Unternehmen mit einer Datenverarbeitung in den USA entsteht durch dieses Urteil massive Rechtsunsicherheit“, erklärte Bitkom-Präsident Achim Berg. Wer bislang allein auf Basis des „Privacy Shields“ Daten verarbeitet habe, muss zumindest auf die Standardvertragsklauseln umstellen – „andernfalls droht ein Daten-Chaos“.

    (Michel Winde und Christoph Dernbach, dpa)

    Interpretationshilfe: Bitkom ist nicht das Sprachrohr für Bürgerrechtler und Datensparer. Wenn die mal was kritisieren, dann nur das was für Anbieter teuer ist.

    1. Da ist halt der Wunsch der Vater des Gedanken.

      Realistisch was Privacy Shield selber die Rechtsunsicherheit, denn nach dem Safe Harbour Verfahren war eine erneute Niederlage zumindest im Bereich des Moeglichen. Aber zum einen ist’s halt einfacher, sich von „Politiker“ genannten Lobbyisten was passendes schreiben zu lassen, als sich anzupassen. Und zum anderen haelt die US-Seite die Fiktion natuerlich voellig schmerzfrei aufrecht, solange es nichts kostet.

      Fehlt nur noch, dass Unternehmen jetzt die EU auf Schadensersatz verklagen, weil ihre „berechtigte Gewinnerwartung“ durch das Versagen von Privacy Shield nicht erfuellt wurde ;-)

  5. Zunächst ist das mal eine positive Nachricht seit langem.
    Aber was wird die Folge daraus sein? Wenn die USA ihre Standards nicht verbessern (und damit können wir vermutlich nicht rechnen), dann wird die EU wohl eher die eigenen Standards herabsetzen, oder? Es braucht nicht viel Zynismus um zu unterstellen, dass das der derzeitigen EU-Kommission auch nicht schwerfallen dürfte.

    Ich denke, man sollte sich von der guten Nachricht also nicht blenden lassen, sondern das weiter kritisch beobachten.

  6. Darf man sich freuen? Es heißt, das Datenschutzniveau in den USA müsste dem der EU entsprechen – was nicht notwendigerweise eine Anhebung drüben bedeuten muss, sondern auch durch eine Absenkung hierzulande erreicht werden könnte. Leuten wie Axel Voss (bekannt von Artikel 13) und andere CDUler*innen haben schon oft genug deutlich gemacht, dass für sie der ganze Datenschutz nur schädlicher Unsinn ist, den es „zum Wohle der Wirtschaft“ abzuschaffen oder zumindest stark einzuschränken gilt. Es wird in den Brüsseler Hinterzimmern bestimmt doch schon längst wieder geschachert und die nächste Sauerei ausgeheckt!

  7. Ich begrüße die Feststellung, dass privacy shield keinen Datenschutzstandard darstellt, der dem innerhalb der EU entspricht.

    Gibt es eine Möglichkeit, die Entscheidung, ob die Daten (also auch mit niedrigerem Datenschutzniveau) z.B. nach expliziter informierter Einwilligung durch die Betroffenen trotzdem in den USA zu verarbeiten, egal was dort für ein Datenschutzniveau existiert? Und falls nein: Wie ist diese Einschränkung zu rechtfertigen?

  8. Die EU kann amerikanischen Anbietern das Leben schwer machen, aber im Gegenzug werden dann die USA europäischen Anbietern das Leben schwer machen. Also wird man sich schon irgendwie einigen.

    Letztlich ist die DSGVO bedrucktes Papier, welches dazu geführt hat, dass große Mengen weiteres Papier bedruckt wurden. Real ändern wird sich kaum etwas.

    1. „Das Leben schwer machen“ ist eine niedliche Formulierung dafür, dass die Grundrechte von 500 Millionen EU-Bürgern missachtet werden! Es ist ja nicht so, als ob der Datenschutz nur für US-Konzerne gelten würde, sondern er gilt auch für alle anderen Untermehmen innerhalb der EU.
      Und im Gegensatz zu vielen US-Gesetzen schützt die DSGVO auch Nicht-EU-Bürger!!

      Es ändert sich wohl erst was, wenn die Irische Datenschutzaufsicht einen Tritt in den Allerwertesten bekommt und gegen Facebook/Apple/Google die möglichen Bussgelder verhängt (2% Weltweiter Umsatz).

  9. Datentransfers in die USA illegal (aber nur nach Privacy Shield)
    Datentransfers in die USA legal (nach Klauseln in den AGB)
    Es ändert sich: nichts.

    Privacy Shield muss bis 2021 geändert werden (bleibt also noch 1,5 Jahre aktiv und transferiert Daten)

    Datentransfer in die USA brauchts gar nicht, weil die NSA (Stichwort Dagger-Komplex, SWIFT-Überwachung) die Daten schon in der EU abgreift.

    Ist doch alles nur Volksverarschung. Wir leben in Überwachungsstaaten und werden totalüberwacht. Nichts und niemand ändert daran etwas, solange wir uns unsere Freiheit nicht zurückholen.

    1. Naja DSGVO-konform geht das vielleicht nicht ganz so einfach. Da ist Datenverarbeitung in USA schon ein Problem.

      Da wird man einige extra Häkchen setzen müssen.

    2. Aeh: nein. Der EuGH hebt auf den tatsaechlich realisierten (und realisierbaren) Datenschutz ab, und dessn Mangel ist weder mit AGBs noch mit Privacy Shield zu heilen.

      netzpolitik.org, warum schaltet ihr Falschaussagen als „Ergaenzunge“ frei? Dann koennt ihr auch einfach alle Kommentare freigeben…ah, aber dann koennt ihr natuerlich nicht so einfach zensieren, was euch nicht passt 8)

      1. Ich vermute, dass a) Moderation nicht immer zeitnah von Fachspezialisten durchgeführt werden kann, b) keine Raum für zeitnahe ausgedehnte Diskussionsrunden ist und c) Beiträge wie Ihrer dafür gedacht sind die Sache zu mit zu korrigieren. Immerhin stehen andere Beiträge im Widerspruch dazu schon vorher da.

      2. Vielleicht, weil es die erste Erwähnung von „AGB“ auf dieser Seite ist? Jetzt ist es an der Gegenrede, aufzuzeigen, warum das nicht funktioniert, bzw. was passieren müsste, damit „es“ funktioniert (Häkchen für X, Urlaub auf Kuba, Urlaub in USA,…).

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.