In einem recht überraschenden Urteil hat der Europäische Gerichtshof die „Privacy-Shield-Vereinbarung“ gekippt. Damit ist die Datenübertragung persönlicher Daten von der EU in die USA in vielen Fällen illegal. Das könnte fatale Auswirkungen für einige Unternehmen in der EU haben, die auf das Bestehen des „Privacy-Shield“ vertraut haben.
Das Datenschutzabkommen sollte EU-Bürgern garantieren, dass ihre Daten auch in den USA sicher sind. Dies ist nun nicht mehr wie gewohnt möglich. Unter ganz bestimmten Bedingungen besteht zwar die Möglichkeit, dass die Nutzerdaten von EU-Bürgern weiterhin ins Ausland übertragen werden können, jedoch geht dies mit einer ausführlichen Prüfung einher. Voraussetzung dafür ist ein „gleichwertiges Niveau an Datenschutz in den USA“ und gerade das sieht der EuGH in dem Urteil nicht.
US-Behörden haben Zugriff auf Nutzerdaten
In dem Verfahren ging es um die Big Techs wie Facebook, Google, Microsoft, Yahoo mit vielen Nutzern in der EU. Hintergrund ist eine Beschwerde des österreichischen Datenschutzaktivisten Max Schrems: Der Jurist kämpft seit Jahren für einen stärkeren Datenschutz in Europa – und gegen Facebook. Es ging um die Frage, ob die Datenschutzgarantien der USA den Ansprüchen der Europäischen Union überhaupt genügen. Derzeit geschieht der Datenaustausch meist auf Grundlage sogenannter Standardvertragsklauseln, die Garantien dafür bieten, dass es bei der Übermittlung ins Ausland einen angemessenen Schutz für Daten von EU-Bürgern gibt.
Schrems hatte bei der irischen Datenschutzbehörde beanstandet, dass „Facebook Irland“ seine Daten an den Mutterkonzern in den USA weiterleitet. Er begründete seine Klage damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie dem FBI und der NSA die Daten zugänglich zu machen – ohne dass Betroffene dagegen vorgehen könnten. Grund für den unkontrollierten Zugriff auf die Server von Google, Microsoft oder Facebook seien die Terroranschläge vom 11.09.2001.
Der EuGH hat damit klargestellt, „dass die weitreichenden US-amerikanischen Überwachungsgesetze im Widerspruch zu den Grundrechten der EU stehen“, so Schrems. Der EuGH sprach in diesem Zusammenhang sogar von einer Verletzung des „Wesensgehalts“ der EU-Grundrechte.
Was bedeutet das Ende des „Privacy-Shields“?
Wichtig zu wissen ist, dass sich der vorliegende Streit um personenbezogene Daten dreht. Das Ende des „Privacy-Shields“ sorgt für Handlungsbedarf bei den betroffenen Konzernen. Mancher Transfer von Nutzerdaten lässt sich auch mit Art. 49 DSGVO rechtfertigen. In einigen Fällen ist die Weiterleitung, wie bereits erwähnt, weiterhin noch möglich. Auch sind freiwillige Datenübertragungen von Nutzern, beispielsweise wenn EU-Bürger eine Hotelübernachtung auf einer US-Website buchen oder E-Mails ins Ausland senden davon ebenfalls möglich.
Ein neues, standfesteres Abkommen zwischen der EU und den USA müsste nun EU-konforme Reformen bei den US-Überwachungsprogrammen voraussetzen. Ob diese Programme sich nach fast 20 Jahren reformieren lassen, wird sich zeigen. Wir halten Sie auf dem Laufenden!
Haben Sie noch Fragen? Dann kontaktieren Sie uns ganz einfach hier. Und wenn Sie zu spannenden und aktuellen Rechtsthemen nichts mehr verpassen möchten, dann können Sie hier unseren kostenlosen Newsletter abonnieren.
Photo by Panumas Nikhomkai on Pexels