Da die US-amerikanischen Überwachungsgesetze EU-Recht widersprechen, wurde das Daten-Transferabkommen Privacy Shield vom Europäischen Gerichtshof für nichtig erklärt. Das Privacy-Shield-Abkommen sollte das Safe-Harbour-Abkommen ersetzen, das vom EuGH bereits früher ebenfalls gekippt worden war. 

Was ist das Privacy-Shield-Abkommen?

Das Privacy-Shield-Abkommen ist ein Abkommen zwischen den USA und der Europäischen Union samt Schweiz, das den Austausch von personenbezogenen Daten zwischen der EU/Schweiz und den USA regeln sollte um sicherzustellen, dass EU-Datenschutzgesetze eingehalten werden, wenn personenbezogene Daten in die USA transferiert werden. Durch eine Selbstzertifizierung von US-Unternehmen sollten diese sicherstellen, dass sie die EU-Datenschutz-Grundverordnung (DSGVO) einhalten. Dieses Abkommen wurde nun vom EuGH gekippt, weil die US-amerikanischen Überwachungsgesetze dem EU-Recht fundamental widersprechen.

Warum widersprechen die US-Gesetze Unionsrecht?

US Behörden (vor allem NSA aber auch FBI) dürfen auf Nutzerdaten (= personenbezogene Daten) von US-Unternehmen zugreifen. Es wurde dafür ein Geheimgericht (US Foreign Surveillance Intelligence Court) eingerichtet, das den Zugriff der Behörden auf Benutzerdaten bei US-Unternehmen überwacht. Dieses Gericht ist nicht öffentlich. Beschlüsse dieses Gericht sind daher nicht einsehbar und unterliegen keiner öffentlichen Kontrolle. Das Gericht kann auch US-Unternehmen dazu verpflichten, nicht über die Beschlüsse zu betroffenen Benutzern zu sprechen. Betroffene können sich daher nicht gegen eine derartige Überwachung zur Wehr setzen, weil sie nie davon erfahren. Unter anderem deswegen urteilte der EuGH, dass die strengen EU-Datenschutzauflagen von der US Regierung nicht garantiert werden können und das Privacy-Shield-Abkommen mit dem EU-Recht nicht vereinbar und daher nichtig ist.

Welche Daten sind betroffen?

Betroffen sind personenbezogene Daten. Personenbezogene Daten sind nicht nur Daten wie Name, Adresse, etc. sondern vor allem auch alle Daten, die durch die Nutzung eines Dienstes und der damit einhergehenden Profilierung der Nutzenden entstehen und gesammelt werden. Beispiele davon wären z.B. Benutzerprofile von Facebook inklusive öffentlicher und privater Postings, die durch die Nutzung von Facebook entstehen oder auch z.B. Google-Suchanfragen oder Applikationsnutzung (z.B. bei Smartphones), also alle Daten, die von US-Unternehmen in diesem Sinne gesammelt, gespeichert und weitergeleitet werden und durch die US-Gesetze nicht vom Zugriff von US-Behörden geschützt sind. Ausdrücklich nicht gemeint sind “notwendige Datentransfers” wie z.B. e-Mails. Betroffen sind rund 5000 Unternehmen im Bereich von Cloud Services, Daten Hosting, etc. Alle Unternehmen, die sich bisher auf das Privacy Shield berufen haben, hängen nun rechtlich in der Luft.

Was können diese Unternehmen tun?

Der EuGH hat entschieden, dass Übermittlungen von Daten in ein Drittland nach den EU-Standard-Vertragsklauseln zulässig sind. Die EU-Datenschutzbehörden sind aber verpflichtet, die Einhaltung dieser Klauseln auf Beschwerde von Benutzern hin auch zu prüfen. Anwaltskanzleien raten den betroffenen Unternehmen nun, entsprechende Klauselnin ihre Verträge mit ihren Nutzern aufzunehmen. Es wird voraussichtlich ein neues Datenschutzabkommen zwischen EU und USA geben, aber darauf werden die betroffenen Unternehmen nicht warten können, denn die Verhandlungen werden voraussichtlich Jahre dauern.

Die deutsche Bundesjustizministerin Christine Lambrecht ermahnte die Unternehmen, die Daten europäischer Bürger:innen doch besser auf europäischen Servern zu speichern. “Kontrolle über die eigenen Daten, Aufsicht durch unabhängige Datenschutzbehörden und wirksamer Rechtsschutz vor Gerichten ist essenzieller Teil des Grundrechtsschutzes”, sagte Lambrecht. Nur so könne die EU Vorreiter für eine digitale Welt bleiben, in denen die Bürgerrechte geachtet werden.

Schützen die Standard-Vertragsklauseln die Unternehmen?

Voraussichtlich nein. Geht man davon aus, dass betroffene EU Bürger nach US Recht keine Informationen erhalten ob ihre Daten durch einen von einem Geheimgericht beschlossenen Durchsuchungsbefehl beschlagnahmt wurden, und es dagegen kein Rechtsmittel vor einem ordentlichen Gericht gibt, so muss eine Prüfung der Standard-Vertragsklauseln zum gleichen Ergebnis kommen wie der EuGH bei der Prüfung des Privacy Shields. Die USA müssten ihre Datenschutzgesetze weitgehend an die der EU anpassen und eine Gleichstellung der EU-Bürger:innen mit US-Bürger:innen garantieren. Somit bedeutet das Urteil für die betroffenen Unternehmen eine große Rechtsunsicherheit.

Wie kam es zu dieser Entscheidung?

Der österreichische Datenschutzaktivist Max Schrems hatte 2015 gegen Safe Harbour (das Vorgängerabkommen zu Privacy Shield) vor dem EuGH geklagt und (überraschend) recht bekommen. Max Schrems hatte danach auch gegen das Nachfolgeabkommen geklagt, weil es die grundlegenden Probleme von Safe Harbour nicht behoben hat. Er hat nun (weniger überraschend) wieder recht bekommen. Wir gratulieren Max zu diesem Erfolg. Wir hoffen, dass die USA dieses Urteil nutzen, um Rechtsstaatlichkeit im Sinne von transparenten Gerichtsverfahren und Betroffenenrechten wiederherzustellen und ihre Datenschutzstandards entsprechend anhebt, was schon lange von vielen US-Konsumentenschutzorganisationen gefordert wird.

Follow me

Roland Giersig

Vizepräsident bei Digital Society
Roland Giersig ist Physiker, studiert Rechtswissenschaften, ist Sicherheitsexperte und Inhaber und Geschäftsführer der Firma SafeSec. Seine Anliegen sind besonders die Transparenz der öffentlichen Verwaltung und die Einhaltung der Grundrechte im digitalen Raum.
Follow me
Zur Werkzeugleiste springen