EuGH kippt Datenschutzabkommen zwischen EU und USA

Der Europäische Gerichtshof (EuGH) hat am Donnerstag das 2016 beschlossene Datenaustauschabkommen "Privacy Shield" zwischen der EU und den USA gekippt. Die Übermittlung von personenbezogenen Daten, etwa über Facebook, aber auch in vielen anderen Fällen ist damit illegal. Angestoßen hatte das Verfahren der Datenschutzaktivist Max Schrems, der sich über das Urteil sehr erfreut zeigte.

Der Österreicher Schrems beanstandete, dass Facebook in den USA, seinem Hauptsitz, dazu verpflichtet ist, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen - ohne dass Betroffene rechtlich dagegen vorgehen können. Grundlage dafür in den USA ist das Überwachungsgesetz FISA (Foreign Intelligence Surveillance Act). Facebook, aber auch zahlreiche andere Unternehmen fallen unter FISA. Schrems forderte deshalb den Stopp der Datenübertragung zwischen Facebook Irland und Facebook Inc. in den USA.

Der EuGH begründete seine Entscheidung (Rechtssache C-311/18) damit, dass das Abkommen nicht die Anforderungen für einen dem Unionsrecht gleichwertigen Datenschutz erfüllt. Zudem hätten EU-Bürger in den USA keinerlei Möglichkeit, gerichtlich gegen US-Behörden vorgehen zu können. Die Einschränkungen des Datenschutzes durch den "Privacy Shield" (Datenschutzschild/Schutzschild für Privatsphäre) würden sich unter anderem daraus ergeben, dass US-Behörden auf die personenbezogenen Daten nach US-Recht zugreifen und diese verwenden dürften. Die Verwendung der Daten sei nicht auf das "zwingend erforderliche Maß beschränkt", betonten die Luxemburger Richter.

Grundsätzlich gesetzeskonform sind laut EuGH die sogenannten Standardvertragsklauseln (SCC), auf Basis derer Datenweitergabe von der EU in die USA stattfindet. Hier bestünden genügend Schutzmechanismen, doch auch hier schränkt der EuGH ein.

Alle Unternehmen, die in den USA unter FISA, das Überwachungsgesetz, fallen - etwa Facebook, Google oder Yahoo - seien davon ausgenommen. Eine Datenübertragung dürfte deshalb gemäß dem EuGH-Urteil weder auf Grundlage von "Privacy Shield" noch auf Basis der Standardvertragsklauseln stattfinden. Verstoßen die Unternehmen dagegen, müsste die nationale Datenschutzbehörde aktiv werden. Im Fall von Facebook ist dies die Irische Datenschutzbehörde (DPC), da Facebooks Europa-Sitz in Irland ist.

Absolut notwendige Datenübermittlungen in die USA, etwa das Versenden von E-Mails, Hotel- oder Flugbuchungen, können nach Einschätzung von Schrems trotzdem stattfinden. Auch wenn Nutzer ihre Zustimmung zum Fluss der Daten ins Ausland geben, sei dies weiterhin möglich. "Die USA sind nun wieder in die 'normale' Situation zurückversetzt worden, in der sich die meisten anderen Drittländer in Bezug auf Datenübermittlungen aus der EU befinden, haben aber ihren besonderen Zugang zum EU-Markt über die US-amerikanische Überwachung verloren", freute er sich über das Urteil des Europäischen Gerichtshofes.

Gleichzeitig forderte er eine "ernsthafte Änderung" der Überwachungsgesetze in den USA. Diese sei notwendig, "wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen", so der Gründer und Geschäftsführer der in Wien ansässigen Organisation noyb. Das Urteil sei jedenfalls ein "totaler Schlag" für die DPC und Facebook.

Die EU-Kommission reagierte zurückhaltend. Man müsse das Urteil in Ruhe analysieren. Eine Priorität der Brüsseler Behörde sei, den Schutz personenbezogener Daten beim transatlantischen Datenverkehr zu garantieren, sagte die zuständige Kommissarin Vera Jourova. Bereits für Freitag sind Gespräche mit dem US-Handelsminister Wilbur Ross geplant.

Ross zeigte sich angesichts des Urteils "tief enttäuscht". Man sei noch immer dabei, dieses zu analysieren, um herauszufinden, welche Konsequenzen und praktischen Auswirkungen es haben werde, sagte er in einer von der US-Botschaft in Wien übermittelten Aussendung. Mit der Kommission bleibe man in engem Kontakt, denn es sei wichtig, den über 5.300 Unternehmen, die auf Basis von "Privacy Shield" Daten in die USA übermitteln, dies weiter zu gewährleisten.

Auch SPÖ, Grüne und NEOS begrüßten das EuGH-Urteil. Es sei ein "Sieg für Datenschutz, digitale Grundrechte und Rechtsstaatlichkeit", so der stellvertretende NEOS-Klubobmann Niki Scherak. Die SPÖ-EU-Abgeordnete Bettina Vollath und der Grüne Europasprecher Michel Reimon sahen nun die EU-Kommission am Zug, die sich, so Reimon, zum Beispiel für eine "härtere grundsätzliche Gangart gegenüber Irland" einsetzen müsse.

Es ist bereits die zweite Vereinbarung zum transatlantischen Datenschutz, die der EuGH für ungültig erklärt. Der "Privacy Shield" ist das Nachfolgeabkommen von dem 2015 - ebenfalls nach einer erfolgreichen Klage von Schrems - gekippten Abkommens namens "Safe Harbour". Auch damals bestätigte der EuGH die Ansicht des Österreichers und entschied, dass die Massenüberwachung die europäischen Grundrechte verletze. Das "Safe Harbor"-System, das den Datentransfer zwischen der EU und den USA ermöglichte, wurde für ungültig erklärt.