EuGH kippt Datenschutzabkommen zwischen EU und USA

  • Artikel
  • Diskussion

Der Europäische Gerichtshof (EuGH) hat am Donnerstag das 2016 beschlossene Datenaustauschabkommen „Privacy Shield“ zwischen der EU und den USA gekippt. Die Übermittlung von personenbezogenen Daten entspreche nicht den Anforderungen des Unionsrechts. Hintergrund ist ein Rechtsstreit zwischen dem österreichischen Datenschutzaktivisten Max Schrems und Facebook Irland.

Schrems beanstandete, dass Facebook in den USA, seinem Hauptsitz, dazu verpflichtet ist, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen - ohne dass Betroffene rechtlich dagegen vorgehen können. Er fordert daher den Stopp der Datenübertragung zwischen Facebook Irland und Facebook Inc. in den USA. Auf Basis sogenannter Standardvertragsklauseln (SSC) können Nutzerdaten von EU-Bürgern aber weiterhin in die USA und andere Staaten übertragen werden, urteilten die Luxemburger Richter.

Schrems zeigte sich in einer ersten Reaktion „sehr erfreut“ über das Urteil. Es sei ein „totaler Schlag“ gegen die Irische Datenschutzbehörde (DPC) und Facebook. Er forderte eine „ernsthafte Änderung“ der Überwachungsgesetze in den USA. Diese sei notwendig, „wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen“, hieß es auf der Website seiner in Wien ansässigen Organisation noyb.

Der EuGH begründete seine Entscheidung insbesondere damit, dass EU-Bürger in den USA keinerlei Möglichkeit hätten, gerichtlich gegen US-Behörden vorgehen zu können. Die Einschränkungen des Datenschutzes durch „Privacy Shield“ würden sich unter anderem daraus ergeben, dass US-Behörden auf die personenbezogenen Daten nach US-Recht zugreifen und diese verwenden dürften. Die Verwendung der Daten sei nicht auf das „zwingend erforderliche Maß beschränkt“, betonten die Richter.

"Ice Road": 50x2 Karten für den Premieretag gewinnen

TT-ePaper gratis ausprobieren, der Gratiszeitraum endet nach 4 Wochen automatisch.

Der Generalanwalt Henrik Saugmandsgaard Öe hatte bereits Mitte Dezember des Vorjahres Bedenken bezüglich „Privacy Shield“ (Datenschutzschild) angemeldet. Das Abkommen wurde zwischen der EU und den USA ausverhandelt, nachdem sein Vorgängerabkommen „Safe Harbor“ 2015 - ebenfalls nach einer erfolgreichen Klage von Schrems - gekippt worden war. Auch damals bestätigte der EuGH die Ansicht von Schrems und entschied, dass die Massenüberwachung die europäischen Grundrechte verletzt. Das „Safe Harbor“-System, das den Datentransfer zwischen der EU und den USA ermöglichte, wurde für ungültig erklärt.

Nach der EuGH-Entscheidung wird ein neues Abkommen notwendig sein. Die nun gültigen „Standardvertragsklauseln“ (SCC) seien für eine einfache und reibungslose Datenübertragung nicht ausreichend, erklärte der IT-Rechtsexperte Lukas Feiler im Gespräch mit der APA.

Die sogenannten Standardvertragsklauseln, auf Basis derer die Datenübermittlung stattfindet, sind laut EuGH-Urteil im Gegensatz zum „Privacy Shield“ (Datenschutzschild) gesetzeskonform. Doch die Gründe, mit denen die EuGH-Richter die Aufhebung des Abkommens rechtfertigen, „müssen einen fragen lassen, ob das US-Recht tatsächlich auch die Einhaltung der Standardvertragsklauseln ermöglicht“, so Rechtsanwalt Feiler von der Kanzlei Baker McKenzie. Lautet die Antwort „Nein“, könne man sich künftig auch nicht mehr auf die SSC stützen.

Die SSC sind laut EuGH grundsätzlich gültig, weil sie vorsehen, dass die Unternehmen vor jeder Datenübermittlung prüfen müssen, ob im konkreten Fall das US-Recht der Erfüllung des Vertrages entgegensteht. „Wenn das der Fall ist, dürfte die Übermittlung nicht stattfinden“, betont Feiler.

Weil die Rechtsordnung in punkto Datenschutz in den USA „so unzulänglich“ sei, sei auch die Datenübermittlung auf Grundlage der Klauseln fraglich. Der EuGH hatte, wie auch vom Datenschutzaktivisten Max Schrems beanstandet, den fehlenden Rechtsschutz für EU-Bürger in den USA kritisiert. So gebe es in den USA keine Möglichkeit, gerichtlich gegen Behörden, die personenbezogene Daten verwenden, vorzugehen. „EU-Bürger haben in den USA keinen Grundrechtsschutz“, fasste Feiler zusammen.

Der US-Kongress müsste also Gesetze verabschieden, die EU-Bürgern „wesentlich stärkere Rechte einräumen“, so der Jurist. Das sei aber „nicht sehr wahrscheinlich“, da dies vor allem mit der grundsätzlichen Frage der Überwachung in den USA - die grundsätzlich immer der nationalen Sicherheit untergeordnet wird - zusammenhänge. Derzeit seien die USA „ganz, ganz weit davon entfernt“, die EU-Standards in Sachen Datenschutz und Privatsphäre zu erfüllen.

Allen EU-Unternehmen, die bisher Daten auf Grundlage von „Privacy Shield“ in die USA übermittelt haben, empfiehlt Feiler nach dem heutigen Beschluss des Europäischen Gerichtshofs, entsprechende Standardvertragsklauseln mit ihren Übermittlungsempfängern abzuschließen. Ein neues, angepasstes Datenschutzabkommen zwischen der EU und den USA werde zwar „mit an Sicherheit grenzender Wahrscheinlichkeit“ kommen, doch rechnet der Experte damit erst in frühestens einem Jahr.

Sollten auch die Standardvertragsklauseln für Übermittlungen in die USA nicht ausreichen, befürchtet Feiler gravierende Folgen für österreichische und europäische Unternehmen. Weil viele von ihnen etwa Tochtergesellschaften in den USA hätten oder in den USA ansässige Dienstleister verwendeten, könnte ein erschwerter Datentransfer seiner Ansicht nach zu verminderter Wettbewerbsfähigkeit führen. „Das wäre schon ein gewaltiger Schuss ins Knie. Wenn man die Datenübermittlung in die USA nicht mehr zulassen würde, würde sich Europa selbst seinen digitalen Arm amputieren“, warnte Feiler.


Kommentieren


Schlagworte