Knapp fünf Jahre nach dem Aus für ein EU-Datenschutzabkommen mit den USA hat der Europäische Gerichtshof (EuGH) auch das Nachfolgeabkommen gekippt.
Facebook-Logo
Facebook-Logo - AFP/Archiv

Das Wichtigste in Kürze

  • Datenschützer feiern Aus für «Privacy Shield» - USA «zutiefst enttäuscht».
Ad

Der EuGH erklärte am Donnerstag den «Privacy Shield»-Beschluss der EU zur Übermittlung personenbezogener Daten in die USA für ungültig. Die USA reagierten enttäuscht auf die Entscheidung, während Datenschützer sie als Erfolg werteten. Auslöser für das Urteil war ein Rechtsstreit um den Transfer von Facebook-Daten aus der EU in die USA. (Az. C-311/18)

Im Oktober 2015 hatte der Gerichtshof das «Safe Harbor»-Abkommen gekippt, das eine Grundlage für die Datenweitergabe in die USA bildete. Nach EU-Recht dürfen personenbezogene Daten nur dann an Drittländer weitergegeben werden, wenn sie dort «angemessen» geschützt sind. Die EU-Kommission hatte im Juni 2000 entschieden, dass dies in den USA gewährleistet sei und das Land als «sicheren Hafen» (safe harbor) eingestuft.

Der EuGH erklärte den entsprechenden Beschluss jedoch vor knapp fünf Jahren für ungültig. Daraufhin wurde das «Privacy Shield»-Abkommen ausgehandelt, das jetzt vor dem Gerichtshof ebenfalls keinen Bestand hatte.

Es würden nicht die Anforderungen für einen dem Unionsrecht gleichwertigen Datenschutz erfüllt, entschieden die Richter. In dem Beschluss zum «Privacy Shield» (etwa: Schutzschild für Privatsphäre) werde wie zuvor bei der «Safe Harbor»-Entscheidung den Erfordernissen der nationalen Sicherheit der USA und «der Einhaltung des amerikanischen Rechts Vorrang» eingeräumt, was Eingriffe in die Grundrechte von Bürgern ermögliche.

Grundsätzlich möglich bleibt die Datenweitergabe in die USA für Unternehmen aber auf Basis sogenannter Standardvertragsklauseln. Hier sahen die EuGH-Richter Schutzmechanismen, die «in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird». Die auf solche Klauseln gestützten Datentransfers könnten auch ausgesetzt oder verboten werden, wenn dagegen verstossen werde oder die Einhaltung unmöglich sei.

Beide Entscheidungen des EuGH zu den EU-Abkommen mit den USA erwirkte der österreichische Datenschutz-Aktivist Maximilian Schrems. Er wehrt sich seit Jahren dagegen, dass Facebook in Europa mit Firmensitz in Irland Daten an den Mutterkonzern in den USA weitergibt. Er forderte deshalb vom irischen Datenschutzbeauftragten, alle Datenübermittlungen auszusetzen.

Schrems begründet dies damit, dass das Unternehmen in den USA verpflichtet sei, Daten nationalen Behörden wie der Bundespolizei FBI zugänglich zu machen. Die Betroffenen könnten dagegen nicht gerichtlich vorgehen. Der Oberste Gerichtshof Irlands legte den Fall dem EuGH vor.

Schrems erklärte nach dem Urteil, es sehe nach einem hundertprozentigen Sieg für die Privatsphäre aus. Die USA müssten ihren Regelungen nun reformieren. Die Datenschutz-NGO Access Now nannte die Entscheidung einen Meilenstein.

Bundesjustizministerin Christine Lambrecht (SPD) begrüsste das Urteil ebenfalls. Der EuGH habe den Schutz der Privatsphäre der europäischen Bürger erneut gestärkt, sagte sie den Zeitungen des Redaktionsnetzwerks Deutschland. Auch der Bundesdatenschutzbeauftragte Ulrich Kelber verspricht sich eine Stärkung der Grundrechte der EU-Bürger. «Für den Datenaustausch mit den USA müssen jetzt besondere Schutzmassnahmen ergriffen werden», erklärte Kelber.

Deutliche Kritik kam hingegen aus den USA. Er sei «zutiefst enttäuscht» über das Luxemburger Urteil, erklärte US-Handelsminister Wilbur Ross. Er schloss wirtschaftliche Nachteile für die EU wegen des Urteils nicht aus. Seine Regierung werde in der Angelegenheit aber weiterhin mit der EU-Kommission zusammenarbeiten und prüfe das EuGH-Urteil noch. Nach Angaben von EU-Justizkommissar Didier Reynders wollen Brüssel und Washington nun gemeinsam darüber beraten, wie sie auf die neue Rechtslage reagieren können.

Auch die US-Computerbranche reagierte enttäuscht. Die Entscheidung schaffe Unsicherheit für tausende grosse und kleine Firmen auf beiden Seiten des Atlantiks, erklärte der Branchenverband CCIA. Er appellierte an die Verantwortlichen in der EU und den USA, schnell eine «nachhaltige Lösung» zu finden. Auch der deutsche Digitalverband Bitkom warnte, durch das Urteil entstehe für Unternehmen «massive Rechtsunsicherheit». Die EU müsse jetzt schnell für Rechtssicherheit sorgen.

Ad
Ad

Mehr zum Thema:

FacebookDatenFBIBundespolizeiRegierungEU