Lesezeit: 6 Minuten

EuGH verbietet USA-Datentransfer

und erklärt Privacy Shield für unzulässig

Datenschutzaktivist Max Schrems kann erneut einen Erfolg verbuchen: EU-Gericht fordert wirksamen Schutz europäischer Daten vor Massenüberwachung in den USA.

Datentransfer, EuGH verbietet Datentransfer in die USA!

Max Schrems kann den 16. Juli 2020 in seinem Kalender ruhig als einen siegreichen Tag anstreichen. Endlich ist der Streit über den DSGVO-konformen Datentransfer in Drittstaaten mit dem am Donnerstag vom Europäischen Gerichtshofs (EuGH) gefällten Grundsatzurteil beigelegt.

Im Zuge dessen erklärten die Luxemburger Richter den sog. Privacy Shield für unzulässig. Nichtsdestotrotz ist aufgrund von Standardvertragsklauseln der Datentransfer in die USA weiterhin erlaubt. Allerdings hat der EuGH noch nicht entschieden, ob die zum Beispiel von Facebook genutzten Klauseln zum Datentransfer in die Vereinigten Staaten das geforderte Schutzniveau gewährleisten.

Von wegen DSGVO-konformer Datentransfer: Max Schrems vs. Facebook

Die Story hinter dem Urteil

Seinen Ursprung hat der EuGH-Spruch im jahrelangen Streit zwischen dem österreichischen Datenschutzaktivisten Max Schrems und dem Social Network Facebook. Im Oktober 2015 hatte nämlich das EU-Gericht Safe Harbor, einen Vorgänger des Privacy Shields, für ungültig erklärt. Seitdem übermittelten Unternehmen die Daten in die USA auf Grundlage entsprechender Klauseln.

Schrems, auf den auch das erste Verfahren vor dem EuGH zurückgeht, hielt diese Klauseln jedoch für unzureichend und den Datentransfer aufgrund der Zugriffsmöglichkeiten der Geheimdienste für nicht legitimierbar. Diese Bedenken teilte auch die irische Datenschutzbehörde (DPC), welche für Facebooks Europazentrale zuständig ist. Demzufolge forderte Schrems die Behörde auf, Facebook auf Grundlage des Artikels 4 des Kommissionsbeschlusses zu Standardvertragsklauseln (2010/87/EU) die Datenübertragung in die USA zu verbieten.

Doch die DPC schreckte davor zurück. Stattdessen landete der Fall vor dem irischen High Court. Letzterer ging mit der Forderung der Datenschutzbehörde d’accord, dem EuGH die Entscheidung über die angezweifelte Gültigkeit der Standardvertragsklauseln zu überlassen.

Auf dem Prüfstand: Hat sich die DPC ihrer Verantwortung entzogen?

Die Klage von Schrems bezieht sich nicht nur auf Privacy Shield. Der EuGH prüfte ebenso die Verantwortung der irischen Datenschutzbehörde wie auch die Standardvertragsklauseln von Facebook. Denn bekanntlich hat die soziale Plattform seinen EU-Sitz in Irland. Somit ist die dortige Behörde für die Kontrolle des Konzerns verantwortlich.

Seit einiger Zeit sichert Facebook den transatlantischen Datentransfer nicht durch die Entscheidung der EU-Kommission ab. Stattdessen nimmt man Bezug auf die besagten Standardvertragsklauseln. Diese erlauben den Transfer von Daten über den Atlantik auch ohne Privacy Shield.

Bereits zu Jahresbeginn erklärte der Generalanwalt des EU-Gerichts in einer rechtlich nicht bindenden Schlussantrag, dass die DPC für die Prüfung von Facebooks Standardvertragsklauseln zuständig sei. Ihre Aufgabe hätte darin bestanden, aktiv zu werden, falls der Datenschutz der User durch den Datentransfer in die USA verletzt wird. In anderen Worten: Die irische Behörde war dazu verpflichtet, die Übermittlung personenbezogener Daten auszusetzen bzw. zu verbieten, wenn sie

… im Licht der Umstände dieser Übermittlung der Auffassung [ist], dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können.

Nun heißt es vom höchsten Gericht, dass die Standardvertragsklauseln durchaus bestehen dürfen. Nichtsdestotrotz erteilt der EuGH der DPC angesichts der laxen Rechtsauffassung eine ordentliche Rüge.

Schrems “sehr glücklich” über das Urteil zum Datentransfer

Datenschützer Max Schrems zeigt sich über das Urteil des EuGH sehr glücklich:

Auf den ersten Blick scheint uns der Gerichtshof in allen Aspekten gefolgt zu sein. Dies ist ein totaler Schlag für die irische Datenschutzbehörde DPC und Facebook. Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen.

Schrems Meinung nach, ist es Facebook demnach weder möglich auf Grundlage des Privacy Shield noch auf Basis der Standardvertragsklauseln personenbezogene Daten in die Vereinigten Staaten zu transferieren. Schließlich müssten Firmen zuerst überprüfen, ob solche Klauseln in der Praxis überhaupt umsetzbar sind, bevor sie diese unterschreiben.

Nicht der gesamte Datentransfer vom Verbot betroffen

Das EUGH-Urteil bezieht sich nicht auf den Transfer sämtlicher Daten. Vom Transferverbot ausgenommen sind absolut notwendige Daten. Diese dürfen nach Artikel 49 der DSGVO auch künftig ausgetauscht werden. Ebenso ist dies nach erfolgter informierter Zustimmung möglich.

Dennoch spaltet das Urteil die Gemüter. Laut IT-Branchenverband Bitkom beispielsweise bringt das Datentransfer-Verbot eine große Rechtsunsicherheit für Firmen mit einer Datenverarbeitung in den Vereinigten Staaten. Aufgrund der Unzulässigkeit des Privacy Shield, könnte ein Datenchaos drohen, meint Bitkom-Vorstandsmitglied Susanne Dehmel.

“Datenverarbeitung in den USA muss langfristig ermöglicht werden”

Nun wird von der EU erwartet, dass sie rasch für Rechtssicherheit sorgt. Denn auf lange Dauer muss die Datenverarbeitung in Drittländern wie den USA möglich sein. Immerhin ist eine ausschließliche Verarbeitung der Daten in Europa technisch nur beschränkt umsetzbar. Zum anderen hätte dies ebenfalls einen massiven Wettbewerbsnachteil für europäische Unternehmen zufolge.

Auch der Branchenverband Eco warnt vor “dramatischen” Auswirkungen. Eco-Geschäftsführer Alexander Rabe meint dazu:

Dieses Urteil hat fatale Folgen für die Internetwirtschaft und alle internationalen Geschäftsmodelle auf beiden Seiten des Atlantiks, die auf den Austausch von personenbezogenen Daten angewiesen sind.

Erstmal kündigte die EU-Kommission diesbezügliche Gespräche mit den USA an. Derweil sind die nächsten Schritte noch unklar, lässt Justizkommissar Didier Reynders verlauten. Darüber hinaus heißt es aus dem Gegenlager, die EU könne die Massenüberwachung durch die USA ohnehin nicht stoppen. Das Gesetz müsste von den Amerikanern selbst geändert werden, nicht von den Europäern.

Genauso enttäuscht zeigte sich das US-Handelsministerium über das Urteil. Denn der Datenzugriff aus Gründen der nationalen Sicherheit ginge über die in Europa geltenden Regeln hinaus. In weiterer Folge will dies heißen: Die USA halten den eigenen Rechtsschutz gegen die Geheimdienstüberwachung für wesentlich wirksamer als den europäischen. Eine Ansicht, die der EuGH offenkundig nicht teilt.

Ende des Privacy Shield lässt viele Fragen offen

Das Datentransfer-Verbot sorgt nun bei vielen Unternehmen für Unsicherheit. Ergibt sich doch daraus eine Reihe von ungelösten Fragen wie etwa:

  • Darf ich US-amerikanische Dienstleister ab sofort nicht mehr einsetzen?
  • Gibt es Ausnahmen?
  • Ist das mit einem hohen Risiko verbunden?
  • Drohen Strafen bei Nichteinhaltung?
  • Wie lange ist die Übergangsfrist, wie schnell muss ich reagieren?

Antworten auf die am häufigsten gestellten Fragen, finden Sie unter dem nachfolgenden Link:

Sie möchten bei E-Mail-Marketing auf europäische Lösungen setzen? Wir beraten Sie gerne!

Letzte Aktualisierung am