Privacy Shield – was ist das?

Dabei handelt es sich um ein Übereinkommen zwischen der Europäischen Union und den Vereinigten Staaten, das die Übertragung von Nutzerdaten ermöglicht. Dieses Abkommen wurde nun vom Europäischen Gerichtshof (EuGH) gekippt, nachdem jahrelang verhandelt worden war.

Um welche Daten geht es?

Das Urteil bezieht sich auf personenbezogene Informationen, wobei "notwendige" Datentransfers nicht betroffen sind – also beispielsweise E-Mails. Eher geht es um Nutzerinformationen, die Firmen wie Facebook sammeln. Von dem Urteil betroffen sind demnach über 5000 US-Unternehmen, die Daten zwischen den USA und der EU übertragen, etwa aus den Bereichen des Marketings, Cloud-Services und Datenhosting-Dienste.

Warum ist das nun unzulässig?

Der Datentransfer verstoße gegen das Unionsrecht, urteilt der EuGH. Europäische Datenschutzgesetze stehen im Konflikt mit US-Judikatur – Erstere schreiben einen sensiblen Umgang mit Daten vor, die Weitergabe an einen Drittstaat ist nur gestattet, wenn auch dort ein bestimmtes Schutzniveau erreicht wird.

Das heißt, Daten von EU-Bürgern werden in den USA nicht ausreichend geschützt?

"Das Problem ist, dass die USA Datenschutz bei ausländischen Nutzern nicht sehr ernst nehmen", erklärt der IT-Rechtsanwalt Markus Dörfler im STANDARD-Gespräch. Facebook – und demnach auch andere Unternehmen – ist in den USA verpflichtet, der NSA und dem FBI Zugriff auf Nutzerdaten zu gestatten. US-Bürger sind vor dieser Regelung geschützt, ausländische User allerdings nicht – weshalb ein Verstoß gegen Grundrechte vorliegt. EU-Bürger können sich nicht vor diesem Zugriff schützen und auch nicht gerichtlich gegen die Behörden vorgehen.

Wie ist es zu diesem Urteil gekommen?

Der Datenschützer Max Schrems hatte sich 2013 bei der irischen Datenschutzbehörde darüber beschwert, dass Facebook Nutzerdaten in den USA verarbeitet. Die Begründung: Die dortigen Überwachungsgesetze würden keinen ausreichenden Schutz bieten. Er hatte auch schon damals Erfolg, das ursprüngliche Safe-Harbor-Abkommen wurde gekippt. Daraufhin beschloss die EU 2015 die Nachfolgeregelung "Privacy Shield", die nun ebenso für unzulässig erklärt wurde. Darüber erfreut zeigten sich am Mittwoch die SPÖ, die Neos und die Grünen.

Heißt das jetzt, dass keine Daten mehr zwischen der EU und den USA fließen dürfen?

Nein – der EuGH hat über die sogenannten Standardvertragsklauseln (SCC) weiterhin die Möglichkeit offengelassen, Daten auszutauschen. Dabei handelt es sich um Vertragsvorgaben aus der Datenschutzgrundverordnung (DSGVO). "Sie sind zulässig, weil sie die Bestimmung beinhalten, dass die Übermittlung einzustellen ist, wenn die Rechtsordnung des Drittstaates es im Ergebnis unmöglich macht, die SCC zu erfüllen", sagt IT-Rechtsanwalt Lukas Feiler von der Kanzlei Baker McKenzie zum STANDARD.

Werden die Standardvertragsklauseln denn erfüllt?

Der EuGH stellt klar, dass die nationalen Datenschutzbehörden hier eine Prüfung vorzunehmen haben. "Aber alle Gründe, die der EuGH nennt, um Privacy Shield aufzuheben, werfen auch die Frage auf, ob das US-Recht nicht der Erfüllung der SCC entgegensteht." Übrigens auch ein Nebeneffekt des aktuellen Urteils: Der EuGH hat klargestellt, dass es die Aufgabe der Datenschutzbehörden ist, die Rechtmäßigkeit von Datenübertragungen zu prüfen. In der Vergangenheit war die irische Datenschutzbehörde, die für IT-Giganten wie Facebook zuständig ist, in die Kritik geraten, da sie Beschwerden verschleppt hat.

Was heißt das für Nutzer?

Sie haben jetzt mehr Spielraum: So ist es möglich, sich bei der Datenschutzbehörde zu beschweren, die dann dazu verpflichtet ist, zu prüfen, ob eine Übermittlung in ein Drittland nach den Vorgaben der SCC zulässig ist. Diese schreiben genauso vor, dass sich ein Drittstaat an die Regeln der DSGVO zu halten hat. Die USA haben, vereinfacht gesagt, ihre Sonderstellung, die durch das Abkommen bestanden hatte, verloren. Sie kann und muss gleich geprüft werden wie andere Drittstaaten.

Und was bedeutet es für Unternehmen?

Feiler rät, so schnell wie möglich die SCC abzuschließen, und zwar in allen Fällen, in denen sich Unternehmen bisher auf Privacy Shield gestützt haben. "Man sollte nicht darauf bauen, dass die Europäische Kommission das für uns löst, indem sie eine neue Privacy-Shield-Entscheidung erlässt", sagt der Jurist. Das werde zwar passieren, allerdings brauche es Jahre, nicht Monate. "Bis dahin muss man das Problem selbst lösen und SCC abschließen."

Verstößt man in der Zwischenzeit gegen die nun geltenden Vorgaben?

Ja – offen ist, ob die Datenschutzbehörde Unternehmen eine Schonfrist gewährt. "Auf Grundlage ihres Verhaltens in der Vergangenheit: Sie wird nicht an Tag eins beginnen, Geldbußen zu verhängen", sagt Feiler. "Aber wenn eine Beschwerde einlangt, wird sie nicht anders können, als darüber zu entscheiden – da sind ihr die Hände gebunden."

Schon 2015, nach Schrems’ Beschwerde gegen Safe Harbor, herrschte Rechtsunsicherheit. Gab es Strafen?

Nein. Allerdings ist, wie Dörfler sagt, die Sensibilität der Nutzer für Datenschutz durch die Einführung der DSGVO gestiegen. Somit könnte es zu weitaus mehr Beschwerden kommen als in der Vergangenheit. Auch das Strafmaß ist weitaus höher.

Müssen Unternehmen also Geldbußen erwarten?
Wahrscheinlich nicht. Feiler vermutet, dass die Datenschutzbehörde prüfen wird, ob Unternehmen sich bemüht haben, die SCC abzuschließen. "Haben sie das nicht, weil der US-Dienstleister nicht schnell genug reagiert oder weil das Unternehmen es nicht einmal versucht hat? Am Ende ist es eine Frage des Verschuldens", erklärt der Rechtsexperte. "Die Datenschutzbehörde wird nicht fordern, dass ein Unternehmen plötzlich die Personalmanagementsoftware abschaltet. Das wäre ein sicherer Weg in den Konkurs. Es geht darum, sich redlich zu bemühen."

Wie geht es weiter?

Die USA und die EU wollen über das weitere Vorgehen beraten. Am Freitag will die EU-Kommission mit dem US-Handelsminister Wilbur Ross in Kontakt treten. Jedenfalls müsse man das Urteil in Ruhe analysieren. Aus Sicht von Schrems und seiner Datenschutz-NGO Noyb sei aber jedenfalls eine Reform der Überwachungsgesetze in den USA unumgänglich. "Da die EU ihre Grundrechte nicht ändern wird, um die NSA zufriedenzustellen, besteht die einzige Möglichkeit, diesen Konflikt zu überwinden, darin, dass die USA solide Datenschutzrechte für alle Menschen – auch für Ausländer – einführen. Eine Überwachungsreform wird dadurch entscheidend für die Geschäftsinteressen von Silicon Valley." (Muzayen Al-Youssef, 16.7.2020)