Der Europäische Gerichtshof (EuGH) hat das Datenschutzabkommen „Privacy Shield“ zwischen der Europäischen Union und der USA am 16. Juli 2020 gekippt. Die Vereinbarung, die 2016 an die Stelle des im Oktober 2015 vom Europäischen Gerichtshof ebenfalls für unwirksam erklärten „Safe-Harbor“-Abkommens“ getreten war, sollte die aus der EU in die USA übermittelten Daten von EU-Bürgern besser schützen. Doch auch die neue Vereinbarung reicht nicht aus, urteilte der EuGH.
Schutzschild für die Privatsphäre nicht ausreichend
Die Datenschutz-Grundverordnung (DSGVO) bestimme, dass personenbezogene Daten von EU-Bürgern nur in ein Drittland übermittelt werden dürfen, wenn das Land für die Daten ein angemessenes Schutzniveau gewährleiste, so der EuGH. Dem wird das „Privacy-Shield“-Abkommen nicht gerecht. Es beschränkt die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß. Außerdem könnten EU-Bürger gegen die Verwendung ihrer Daten gerichtlich nicht vorgehen. Der EuGH erklärte das Abkommen deshalb für unwirksam.
Standardschutzklauseln dürfen bleiben
Zulässig bleiben sogenannte Standardvertragsklauseln. Über solche Klauseln können Unternehmen ihren Kunden Datenschutzanforderungen entsprechend der DSGVO bilateral garantieren. Facebook verwendet beispielsweise eine solche Klausel. Ob die Anforderungen an die DSGVO in einem Unternehmen darüber erfüllt werden, müssen nach Auffassung des EuGH die europäischen Datenschutzbehörden prüfen. Auf die Behörden kommt eine Menge Arbeit zu.
Verfahren durch Max Schrems angestoßen
Der EuGH wurde tätig, weil er vom obersten Gericht Irlands angerufen wurde. Das Gericht bat den EuGH zu prüfen, ob die Übermittlung personenbezogener Daten des Klägers Max Schrems an die USA gemäß der Standardvertragsklausel von Facebook den Anforderungen der DSGVO entspricht. Schrems war in Irland gegen Facebook vorgegangen, weil das Unternehmen dort seinen europäischen Sitz hat. Standardvertragsklauseln erklärte der EuGH für weiter wirksam, das Privacy Shield-Abkommen dagegen für unwirksam.
Schon Safe Harbor gekippt
Max Schrems geht seit Jahren gegen Facebook wegen Datenschutzverstößen vor. Auch das Ende des Vorgängerabkommens „Safe Harbor“ ging auf seine Beschwerden zurück. Der 32-jährige Jurist aus Österreich ist heute ein Datenschutzaktivist und Vorstandsvorsitzender der Initiative Noyb, die sich für Datenschutz in Europa einsetzt.
Prinzip der Selbstverpflichtung bei Privacy Shield
Das nun ungültige Datenschutzabkommen zwischen der Europäischen Union und den USA „EU-U.S. Privacy Shield Framework Principles“ beruhte auf dem Prinzip der Selbstverpflichtung. US-amerikanische Firmen, die personenbezogene Daten von europäischen Kunden und Nutzern in die USA übermitteln und verarbeiten wollen, unterwarfen sich damit strengen Auflagen hinsichtlich Datenverarbeitung und Schutz der Rechte Einzelner.
Weiterhin massenhafte und anlasslose Überwachung
Unternehmen, die sich zertifizieren ließen, mussten versprechen, sich an die rechtlichen Vorgaben des Privacy Shields zu halten. Nur dann durften sie Daten in die USA übertragen. Die massenhafte und anlasslose Überwachung durch amerikanische Sicherheitsbehörden sollte es nicht mehr geben. Doch es gab sie weiter, so der EuGH.
Datenerfassung war nur in sechs Fällen erlaubt
Für einige Fälle ließ Privacy Shield den Zugriff auf die Daten europäischer Bürger durch die US-Behörden ausdrücklich zu. Sechs Fälle sind ausdrücklich genannt:
- Terrorismusbekämpfung
- Spionageabwehr
- Verhinderung der Verbreitung von Massenvernichtungswaffen
- Gefahrenabwehr, wenn amerikanische oder verbündete Streitkräfte bedroht werden
- Bekämpfung internationaler Kriminalität
- Bedrohung der Cybersicherheit.
Die Daten, die die amerikanischen Sicherheitsbehörden in diesen Bereichen erheben, dürfen auch lange aufbewahrt werden – in der Regel fünf Jahre. Erscheint es im nationalen Interesse, die Daten länger aufzuheben, kann die Frist auch überschritten werden.
Ombudsperson sollte im Streitfall vermitteln
Im Außenministerium der USA gibt es eine Ombudsperson, an die sich Betroffene über ihre nationalen Datenschutzbehörden wenden können, wenn sie ihre Daten und Rechte durch Nachrichtendienste in den USA verletzt sehen oder wenn sie Nachfragen zur Handhabe ihrer Daten durch amerikanische Sicherheitsbehörden haben. Die Ombudsperson soll unter anderem von den Geheimdiensten auch geheime Informationen über einzelne Fälle anfordern können, damit sie deren Vorgehen überprüfen kann. Gibt es Verstöße, kann sie diese an die dafür zuständigen Regierungsstellen melden.
Kein geeigneter Rechtsweg
Der EuGH hat nun befunden, dass der Ombudsmechanismus nicht wirkt. Er eröffne betroffenen Personen keinen Rechtsweg zu einem Organ, das die Unabhängigkeit der Ombudsperson garantiere und die Ombudsperson dazu ermächtige, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen.
Geschäfte im Internet weiterhin möglich
Zu erwarten ist, dass viele nach Privacy Shield zertifizierte Firmen nun ebenfalls Standardvertragsklauseln mit ihren Kunden vereinbaren werden. Onlinekäufe, E-Mails oder das Buchen von Flügen oder Reisen bleiben ohnehin trotz des nun ungültigen Datenschutzabkommens möglich. Der hierfür notwendige Datentransfer ist nach der DSGVO zulässig.
Zu „Safe Harbor“:
Europäischer Gerichtshof, Urteil vom 06.10.2015
Aktenzeichen: C-362/14
Zum „Privacy Shield“:
Europäischer Gerichtshof, Urteil vom 17.07.2020
Aktenzeichen: C-311/18
Quelle: https://www.test.de/Privacy-Shield-EuGH-kippt-Datenschutzabkommen-mit-USA-4922474-0/
