DE

Datenschutz
„Privacy Shield“: Ein Donnerschlag aus Luxemburg

EuGH-Urteil hat weitreichende Konsequenzen
Sabine Leutheusser-Schnarrenberger
© Tobias Koch


Ungenügend! Zum zweiten Mal nach 2015 kommt der Europäischen Gerichtshof (EuGH) in seinem aktuellen Urteil zu diesem Ergebnis. Der Datentransfer aus der EU in die USA verstößt gegen das Recht auf Privatsphäre und gegen das europäische Datenschutzrecht, da Daten in den USA nicht ausreichend vor dem Zugriff von Behörden wie der National Security Agency (NSA) oder dem FBI geschützt sind. Schließlich ist auch kein ausreichender Rechtsschutz gewährleistet.

Aus diesen Gründen erklärten die Luxemburger Richter nun auch das sogenannte „Privacy Shield“ für ungültig. Mit diesem Beschluss, der eine Art Gütesiegel für Unternehmen darstellt, hatte die Europäische Kommission 2015 versucht, eine datenschutzkonforme Grundlage für den Datentransfer in die USA zu schaffen. Dies war notwendig geworden, da der EuGH auch schon die Vorgängerregelung, das „Save Harbour“-Abkommen mit den USA, kassiert hatte.

Anlass für diese erneute Grundsatzentscheidung des EuGH war damals wie heute eine Klage des österreichischen Datenschützers Max Schrems. Schrems hatte sich bei Irlands Datenschutzbehörde gegen die Übermittlung seiner Facebook-Daten in die USA beschwert. Das kalifornische Unternehmen hat dort seinen europäischen Sitz. Den daraus folgenden Rechtsstreit verwiesen die irischen Gerichte sodann an den EuGH.

Dieser Privacy Shield war von Anfang an ein fauler Kompromiss, um nach der ersten EuGH-Entscheidung möglichst wenig ändern zu müssen. Unternehmen und Digitalverbände warnten im Vorfeld des Urteils eindringlich davor, das „Privacy Shield“ zu kippen, da es sonst keine legalen Alternativen für den Datentransfer aus der EU in die USA mehr gebe. Tausende Unternehmen arbeiten unter dem „Privacy Shield“, auch namhafte deutsche Konzerne wie SAP, Siemens oder Aldi. Ihnen drohen nun empfindliche Bußgelder nach der Datenschutzgrundverordnung (DGSVO) wenn sie die Datenübermittlung nicht aussetzen.

Den gebräuchlicheren Weg über Standardvertragsklauseln für die Datenübermittlung, den auch Facebook einschlägt, gehen sie nicht. Diese  Standardvertragsklauseln hat der EuGH in seinem Urteil nicht für unzulässig erklärt. Und Max Schrems hatte diese auch gar nicht angegriffen. Sie bleiben eine legale Alternative.

Panik nüchtern begegnen

Dennoch machen sich viele dieser Unternehmen Sorgen um ihr Geschäft. Der aufkommenden Panik ist nüchtern zu begegnen. So sind Datentransfers, die für Auftragserfüllungen zwingend notwendig sind (Art 49 DGSVO) wie etwa das Verschicken von E-Mails an US-EmpfängerInnen oder Reisebuchungen weiterhin möglich. Hierauf wies auch der Max Schrems selbst hin.

Die klare Ansage aus Luxemburg war in ihrer Deutlichkeit zwingend notwendig. Die hohen Datenschutzstandards der EU müssen auch beim transatlantischen Datentransfer eingehalten werden. Dies lässt sich nicht einfach durch wohlklingende aber ineffektive Deals quasi im Vorbeigehen erledigen. Dafür ist das Datenschutzniveau in den Vereinigten Staaten einfach zu schlecht. Seit Snowdens Enthüllungen wissen wir in welchem Umfang dort überwacht wird.

Das US-amerikanische Recht lässt auch weitreichende Behördenzugriffe auf NutzerInnen-Daten zu. Diesen Gesetzen müssen sich die dort ansässigen Unternehmen beugen. Nutzerinnen und Nutzer von Diensten wie Facebook sollten daher auch vertraglichen Standardklauseln, die den Schutz ihrer Daten beim Transfer in die USA garantieren sollen, sehr kritisch begegnen. Der zuständigen irischen Datenschutzbehörde gab der EuGH jedenfalls auf, den Datentransfer auf Grundlage dieser Klauseln genauer zu prüfen und zu verbieten wenn „Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können“.

Was wir jetzt also brauchen sind nachhaltige Lösungen, die Datenschutz garantieren, aber auch den Unternehmen Rechtssicherheit bieten. Max Schrems fordert eine „Reform der Überwachungsgesetzgebung in den USA“. Recht hat er, auch wenn sich das von diesseits des Atlantiks weniger beeinflussen lässt.

Amerikanische Seite ist am Zug

Richtig ist jedoch, dass nicht wir in Europa an unseren Datenschutzstandards etwas ändern müssen. Die amerikanische Seite ist am Zug. Es sind vor allem US-Konzerne, die hier in Europa ihre Geschäftsmodelle mit Millionen von Kunden umsetzen wollen und dabei europäisches Datenschutzrecht ernsthaft beachten müssen. Reagiert die Politik nicht, so müssen genau diese Konzerne vorangehen und Druck auf die US-Regierung ausüben. Die ausufernde Überwachungsgesetzgebung bereitet ihnen ohnehin bereits seit langem Probleme bei der Entwicklung ihrer Geschäftsmodelle.

Nur wenn sich nun endlich wirklich etwas bewegt, werden der EU-Kommission weitere „Schrems-Urteile“ erspart bleiben. Der EuGH hat jedenfalls klargemacht, dass er hier kein Auge zudrücken wird. Das ist beruhigend.
 

Sabine Leutheusser-Schnarrenberger ist Bundesjustizministerin a.D. und stellvertretende Vorstandsvorsitzende der Friedrich-Naumann-Stiftung für die Freiheit.