Daten-Transfer

EuGH kippt Datendeal mit USA

Richter stören sich an Zugriffsmöglichkeiten der Geheimdienste.

Der Europäische Gerichtshof (EuGH) hat eine der wichtigen Rechtsgrundlagen für den Transfer personenbezogener Daten europäischer Bürger in die USA für nichtig erklärt. Das Datenschutzniveau in den USA sei nach den europäischen Normen nicht ausreichend. Damit kippten die Luxemburger Richter im Rechtsstreit des österreichischen Juristen Max Schrems gegen Facebook am Donnerstag die EU-US-Datenschutzvereinbarung „Privacy Shield“. Die Richter störten sich an den weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf die Daten der Europäer. Schrems wertete das Urteil als umfassenden Erfolg. Auch andere Datenschützer sehen die Rechte von EU-Bürgern dadurch gestärkt. Die Wirtschaft warnt vor Unsicherheiten.

Max Schrems gegen Facebook – dieser Streit währt schon Jahre und fand nun seinen vorläufigen Höhepunkt. Der österreichische Jurist und Datenschutzaktivist hatte bei der irischen Datenschutzbehörde kritisiert, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Er begründete seine Beschwerde damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen – ohne dass Betroffene dagegen vorgehen könnten.

Der EuGH folgte den Bedenken Schrems’ nun weitgehend – und löste mit seinem Urteil ein Erdbeben aus. Die amerikanische Überwachungspraxis sei nicht auf das zwingend erforderliche Maß begrenzt, betonten die Richter. Zudem könnten Betroffene ihre vorgesehenen Rechte nicht gerichtlich durchsetzen.

Das „Privacy Shield“ ist also Geschichte. Es war 2016 in einem Hauruckverfahren entstanden, nachdem auf Betreiben Schrems’ bereits die Vorgängerregelung „Safe Harbor“ vom EuGH gekippt worden war. Auch damals argumentierten die Richter damit, dass die Daten europäischer Bürger nicht ausreichend vor dem Zugriff von US-Behörden geschützt seien. Innerhalb weniger Monate handelte die EU-Kommission mit der US-Seite einen Nachfolger aus – das „Privacy Shield“. Datenschützer kritisierten das Abkommen allerdings von Beginn an.

Was die nächsten Schritte angeht, blieb die EU-Kommission am Donnerstag vage. Man wolle mit den amerikanischen Kollegen auf Grundlage des Urteils beraten, sagte Vizepräsidentin Vera Jourova. US-Handelsminister Wilbur Ross zeigte sich enttäuscht. Der Datenfluss sei nicht nur für Tech-Unternehmen, sondern für Firmen jeder Größe in allen Bereichen wichtig. Beobachter bezweifeln, dass Gespräche zwischen der EU und den USA vor den Präsidentschaftswahlen im November noch konkret werden können.

Zugleich betonte die EU-Kommission, dass der Datenfluss zwischen Europa und den USA nach dem EuGH-Urteil nicht grundsätzlich unmöglich sei – denn es gibt noch die sogenannten Standardvertragsklauseln für den Datentransfer zwischen EU-Ländern und Drittstaaten. Diese Musterverträge sollen Garantien dafür bieten, dass die Daten von EU-Bürgern angemessen geschützt sind. Der EuGH erklärte das Konstrukt der Klauseln, auf deren Grundlage auch Facebook die Daten seiner Nutzer in die USA schickt, am Donnerstag grundsätzlich für rechtens.

Allerdings schränkten die Richter ein: Die nationalen Aufsichtsbehörden der EU-Staaten müssten die Datenübermittlung dann stoppen, wenn das EU-Datenschutzniveau im jeweiligen Drittstaat nicht gesichert ist. Bei dieser Beurteilung spiele auch ein etwaiger Zugriff der Behörden des Drittstaats auf die Daten eine Rolle. Im konkreten Streit zwischen Schrems und Facebook heißt das, dass die irische Datenschutzbehörde DPC eingreifen müsste. Diese schritt in der Vergangenheit eher zurückhaltend gegen US-Konzerne ein. Der Druck auf die Behörde wächst mit dem Urteil.

Bundesjustizministerin Christine Lambrecht (SPD) begrüßte das Urteil. „Der Europäische Gerichtshof hat heute den Schutz der Privatsphäre der europäischen Bürgerinnen und Bürger erneut gestärkt“, sagte sie dem Redaktionsnetzwerk Deutschland. Der Schutz persönlicher Daten sei ein zentrales Grundrecht in der digitalen Welt. Eine Konsequenz aus dem Urteil müsse sein, dass Daten europäischer Bürger künftig auf europäischen Servern gespeichert werden.

Der Bundesverband Digitale Wirtschaft kritisierte indes „erhebliche Auswirkungen auf die Digitalwirtschaft“. „Unternehmen benötigen aber auch in dynamischen Märkten wie der Digitalwirtschaft dauerhafte und langfristig stabile rechtliche Rahmenvorgaben“, so Vizepräsident Thomas Duhr. (M. Winde / C. Dernbach, dpa)

Kommentare