"Privacy Shield" ist tot. Der Europäische Gerichtshof entschied, dass die Beschwerden gegen das europäisch-amerikanische Abkommen zum Umgang mit Nutzerdaten nichtig ist, weil in den USA das notwendige Datenschutzniveau nicht gewährleistet sei. Es ist nach "Safe Harbor" der zweite gescheiterte Anlauf für eine solche Vereinbarung.

Diese Entscheidung wirft Folgefragen auf. Viele Firmen, speziell US-Unternehmen, die ein Europa cloudbasierte Services anbieten, haben sich in den letzten Jahren Privacy Shield auf die Fahnen geschrieben und ihre Kunden sich darauf verlassen.

Standardvertragsklauseln

Doch welche Folgen hat der EuGH-Entscheid? Die Erarbeitung und der Beschluss eines möglichen Nachfolgeabkommens wird voraussichtlich Jahre dauern. Bis dahin ist der Datenaustausch zwischen Europa und den USA nicht prinzipiell untersagt. Es gelten nun die Standardvertragsklauseln gemäß der Datenschutzgrundverordnung. Sofern die darin bestimmten Kriterien erfüllt sind, können Nutzerdaten fließen, erklärte dazu der IT-Rechtsanwalt Lukas Feiler gegenüber dem STANDARD.

Aber gerade in den USA steht stark infrage, ob diese Vorgaben dort überhaupt erfüllt werden können, zumal sich die Richter in ihrem Entscheid auf fehlende Einschränkungen der behördlichen Überwachungsprogramme berufen haben. Die Berliner Datenschutzbeauftragte Maja Smoltczyk hat dies zu einer deutlichen Forderung veranlasst. Sie ruft Datenverarbeiter dazu auf, alle Daten europäischer Nutzer umgehend auch nach Europa zu verlangen. Und weiter: Firmen, die Cloud-Services in Anspruch nehmen, sollen zu Anbietern in der EU oder anderen Ländern mit "angemessenem Datenschutzniveau" wechseln.

Passiert dies nicht, könnte es ihrer Einschätzung nach teuer werden. Denn der EuGH hat auch ein Anrecht auf Ersatz für immateriellen Schaden in "abschreckender Höhe" definiert, sollten beim Umgang mit Daten von Nutzern besagte Standardvertragsklauseln verletzt werden.

Theorie vs. Praxis

In der Praxis wird es allerdings auf die nationalen Datenschutzbehörden ankommen, denen der EuGH die Verantwortung für die Prüfung zugeschoben hat. Deren Auslegungen und bisherige Praxis in puncto Datenschutzverstößen und Einhaltung der DSGVO divergiert allerdings von Land zu Land in beachtlichem Ausmaß. Diese müssen nicht sofort hohe Strafen aussprechen. Da der EuGH keine Übergangsfrist festgelegt hat, kommt es auch hier auf das Ermessen der Behörden an.

Sie können bei Verstößen vorerst auch ganz ohne Sanktionen und Anordnungen "auf Änderungen hinwirken, wenn Unternehmen nachvollziehbar darlegen" können, warum sie noch mehr Zeit benötigen, erklärt der Hamburger Datenschutzbeauftragte Johannes Caspar gegenüber Golem. Er weist außerdem darauf hin, dass auf europäischer Ebene erst geklärt werden muss, wie das Urteil nun umzusetzen sei – auch in Bezug auf die Anwendbarkeit der Standardvertragsklauseln – was gerade auch aufgrund der unterschiedlichen Positionen der Datenschutzbehörden wohl länger dauern wird.

US-Entgegenkommen nicht zu erwarten

Die theoretisch schnellste Lösung wäre eine Verschärfung des Datenschutzes für EU-Bürger in den USA. Und wenngleich sich die US-Regierung "schwer enttäuscht" vom EuGH-Spruch gezeigt hat, ist eine solche Änderung in der Praxis nicht zu erwarten.

Jedenfalls nicht von der zumindest bis Anfang 2021 bestehenden Regierung Trump, die sich bisher nicht gerade mit Feuereifer für Einschränkungen des Überwachungsapparates eingesetzt hat – sondern im Gegenteil, mit dem "Cloud Act" aus 2018 den Ermittlungsbehörden weltweiten Zugriff auf die Server von US-Unternehmen gewährt.

Schrems rät zu schnellem Umstieg

Der Wiener Jurist und Datenschutzaktivist Max Schrems, dessen Auseinandersetzung mit Facebook letztlich auch "Privacy Shield" vor den EuGH gebracht hat, rät Firmen jedenfalls zu einer schnellen Umstellung.

Seine Organisation Noyb stellt dafür umfangreiche Informationen und Musterkommunikation bereit. Zudem weist er darauf hin, dass es auch Ausnahmen, wie etwa Hotelbuchungen gibt, in denen die Datenübertragung in die USA auf jeden Fall weiter erlaubt ist. (red, 23.07.2020)