Datenschützer freut es, die Wirtschaft bangt: Das bedeutet das EuGH-Urteil zu Datentransfers

Dürfen Konzerne wie Facebook personenbezogene Daten ihrer europäischen Nutzer in die USA übermitteln oder nicht? Mit dieser Frage hat sich am Donnerstag der Europäische Gerichtshof (EuGH) befasst. Das Urteil hat viele überrascht: So erklärten die Richter ein Abkommen zwischen der EU und den USA zur Datenweitergabe, das sogenannte Privacy Shield, für ungültig. Ein Überblick, was das für die Wirtschaft, den Datenschutz und die Internetnutzer bedeutet:

Was ist das Privacy Shield?

Das „EU-US Privacy Shield“ ist ein internationales Abkommen zwischen der Europäischen Union und den USA aus dem Jahr 2016, verhandelt wurde es seitens der EU von der Europäischen Kommission. Darin wird das Datenschutzniveau in den USA als gleichwertig mit dem in der EU anerkannt. Die US-Regierung sichert im Gegenzug zu, dass sie den Zugriff auf Daten von Europäern begrenzen. Unternehmen, die personenbezogene Daten, in der jeweils anderen Region verarbeiten wollen, können sich für die Teilnahme am Schutzschild zertifizieren. Wenn sie sich an die Regeln halten, durften sie so bisher legal Daten international austauschen und verarbeiten. Das ist nun, mit dem EuGH-Urteil vom Donnerstag, nicht mehr möglich.

Warum hat der Europäische Gerichtshof das Privacy Shield gekippt?

Datenschützer sowie Kritiker der Massenüberwachung in den USA, die durch die Enthüllungen von Edward Snowden aufgedeckt wurde, halten das Datenschutzschild schon lange für unwirksam. Zwar hatte die Europäische Kommission auf Garantien für europäische Bürger gedrungen, damit sie sich im Zweifelsfall gegen eine unrechtmäßige Nutzung ihrer Daten wehren können. Diese reichten den Luxemburger Richtern jedoch nicht aus, weil die Überwachungsprogramme der US-Behörden nicht verhältnismäßig seien.

[Wenn Sie aktuelle Nachrichten live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere runderneuerte App, die Sie hier für Apple- und Android-Geräte herunterladen können.]

EU-Bürger, die potenziell von der Geheimdienstüberwachung in den USA betroffen sind, können als Ausländer auch nicht gerichtlich dagegen vorgehen, stellte der EuGH fest. Das Privacy Shield reicht demnach aus, den Konflikt zwischen dem europäischen Datenschutzrecht und der amerikanischen Überwachungsgesetzgebung zu lösen. 2015 hatte das Gericht das Vorgängerabkommen zum Privacy Shield, das so genannte „Safe Harbor“-Programm, ebenfalls für ungültig erklärt. Die Verbesserungen, die die EU-Kommission und das US-Handelsministerium seitdem vorgenommen haben, waren also nicht ausreichend.

Was sind Standardvertragsklauseln?

Das Privacy Shield war eine von mehreren Möglichkeiten, wie solche Datenflüsse rechtskonform ausgestaltet werden konnten. Grundsätzlich bestätigt hat der EuGH hingegen eine andere: den Einsatz sogenannter Standardvertragsklauseln. Mit diesen garantieren die beteiligten Unternehmen, dass es im Ausland einen angemessenen Schutz für die Daten europäischer Bürger gibt. Auch Facebook bezieht sich bei der Datenweitergabe auf diese Klauseln. Ein Freibrief sind die Garantien allerdings nicht. So müsse ein gleichwertiges Schutzniveau auch sichergestellt sein, betonte der EuGH in seinem Urteil.

© dpa

Im konkreten Fall heißt das: Die Facebook-Tochter in Irland müsste vor dem Datentransfer mit dem Mutterkonzern in den USA klären, ob die Daten europäischer Bürger dort ausreichend geschützt werden. Das sei in den USA offensichtlich nicht der Fall, argumentiert Maximilian Schrems, der das Verfahren angestrebt hat. Deshalb dürften die Daten nach seiner Auffassung auch nicht mehr mithilfe solcher Standardvertragsklauseln auf amerikanische Server übermittelt werden. Schließlich habe der EuGH mit seiner Entscheidung gegen das Privacy Shield gezeigt, dass das Schutzniveau in den USA nicht gegeben ist. Überprüfen müssen das jetzt die nationalen Datenschutzbehörden.

Wer ist Maximilian Schrems?

Für die Europäischen Richter ist Maximilian Schrems kein Unbekannter. Der 32-jährige Österreicher ist schon im Jahr 2015 erfolgreich gegen das Safe-Harbor-Abkommen zwischen der EU und den USA vorgegangen. Es galt als Vorgängerabkommen des jetzt gekippten Privacy Shields und enthielt ebenfalls Vereinbarungen über den Transfer von personenbezogenen Daten über den Atlantik.

© dpa

Schrems ist Jurist und Datenschutzaktivist. Er ist Vorstandsvorsitzender der Initiative Noyb, die sich für die Durchsetzung von Datenschutzrechten in Europa einsetzt. Das Verfahren am EuGH ging auf seine Beschwerde bei der irischen Datenschutzaufsicht zurück.

Betrifft das Urteil nur Facebook?

Nein, das Urteil hat grundsätzliche Auswirkungen auf die Datenübertragung ins Ausland. Mehr als 5000 Firmen beriefen sich beim Datentransfer zwischen der EU und den USA auf das Privacy Shield, darunter Onlinehändler Amazon oder Wohnraumvermittler Airbnb. Das zeigt eine Liste des US-Handelsministeriums. Auch die Daten, die bei zahlreichen anderen Firmen liegen, dürften also unter Umständen nicht mehr transferiert werden. Daneben übermitteln teils auch europäische Firmen die Daten ihrer Nutzer in die USA – nämlich dann, wenn sie auf Cloud-Dienste wie AWS, Microsoft Azure oder Google Cloud zurückgreifen.

Warum übermitteln Firmen die Daten überhaupt in die USA?

Nutzerdaten sind im Netz zur wichtigsten Währung geworden. Je mehr Unternehmen über ihre Kunden wissen, desto besser können sie personalisierte Werbung schalten oder ihnen zielgenaue Angebote machen. Blieben die Daten in Europa, würde das die Auswertung massiv erschweren. Daneben ist es vor allem für US-Firmen oft günstiger, die Daten in den USA zu speichern. Dort betreiben sie bereits große Rechenzentren. Dürfen sie die Daten europäischer Nutzer nicht mehr dorthin weitergeben, müssen sie in neue Speicherkapazitäten in Europa oder Ländern mit gleichwertigem Datenschutz investieren.

Wie können sich die Europäische Union und die USA nun einigen?

Ein drittes Safe-Harbor-Abkommen kann aus Sicht von Max Schrems nicht das Ziel sein: „Wir sollten jetzt nicht primär über unsere Datenschutzregeln in Europa diskutieren, sondern über eine Reform der Überwachungsgesetzgebung in den USA“, sagt er. Darauf hat die europäische Union natürlich wenig Einfluss. Er hofft deshalb auf einen Vorstoß der großen Tech-Firmen im Silicon Valley, um den nötigen politischen Druck zu erzeugen. Denen seien die Überwachungsgesetze ohnehin ein Dorn im Auge, da sie ihrem Geschäft schadeten.

© AFP

EU-Kommissionsvizepräsidentin Vera Jourova hofft auch, dass die USA ihre Gesetze ändern. Bis dahin müssen die USA und die EU aber an einer Neuauflage der Standardvertragsklauseln arbeiten, damit diese wichtige Rechtsgrundlage für Datentransfers bestehen bleiben kann. Schlüssel ist aber auch ein effektives Einschreiten der europäischen Datenschützer.

Wird die USA jetzt mehr auf Datenschutz achten?

Tatsächlich hat sich die US-Regierung in den vergangenen Wochen große Sorgen um mangelnden Datenschutz gemacht – allerdings bei den eigenen Bürgern im Zusammenhang mit der chinesischen Plattform Tiktok. US-Außenminister Mike Pompeo warnte zuletzt davor, dass private Daten in den Händen der Kommunistischen Partei Chinas landen könnten und erwog sogar ein Verbot chinesischer Apps. Dass die USA aber die eigenen Datenschutzregeln für Ausländer überdenken, erscheint fraglich. Schließlich würde die US-Regierung auf Massenüberwachung und damit auf weitreichende Sicherheitsinteressen verzichten müssen. Die Reaktion der USA dürfte nun maßgeblich vom Druck der EU und dem Handlungswillen europäischer Datenschutzbehörden abhängen, US-Konzerne zu maßregeln.

Was heißt das für die Internetnutzer?

Das Urteil bedeutet nicht, dass alltägliche Handlungen für Internetnutzer erschwert werden. E-Mails verschicken oder eine Reise in den USA buchen bleibt unberührt von der Entscheidung, weil diese Art von „notwendigen“ Datentransfers nach der Datenschutzgrundverordnung erlaubt sind.

Ein Großteil des internationalen Datenverkehrs von Firmen betrifft auch nicht-personenbezogene Daten, wie solche zu Geschäftsabläufen. Weil das Datenschutzrecht diese nicht regelt, gibt es auch keine Einschränkungen.