Weitreichendes Urteil: EuGH erklärt das Abkommen zum Datenaustausch zwischen EU und USA für ungültig

Im Streit um den Datenschutz der EU-Bürger bei der Übertragung von personenbezogenen Daten aus Europa an Unternehmen mit Sitz in den USA gibt es vonseiten des Europäischen Gerichtshofs nun ein einschneidendes Urteil. Der EuGH kippte das erst seit 2016 aktive Datenaustausch-Abkommen zwischen den USA und der EU, den Privacy Shield. Demnach dürfen persönliche Daten, die beispielsweise Facebook von Bürgern der EU sammelt, im Rahmen dieses Abkommens nicht mehr von den irischen Tochterunternehmen an die Zentrale in den USA übertragen werden. Genau dieses Vorgehen hatte der Österreichische Datenschutzaktivist Max Schrems bei der irischen Datenschutzbehörde beanstandet. Diese hatte den Fall an den EuGH verwiesen.

Über 5.000 Unternehmen betroffen: Abkommen zum Datenaustausch für nicht gültig erklärt

Laut T-Online und den Angaben von Max Schrems sind über 5.000 Unternehmen mit Sitz in den USA direkt von diesem Urteil betroffen. Die Richter am Europäischen Gerichtshof befanden die Grundlage für den Datenaustausch zwischen USA und EU im Privacy Shield für unzulässig. Der Grund: In den USA können die Unternehmen dazu verpflichtet werden, die – auch in Europa – generierten User-Daten US-Behörden wie der NSA oder dem FBI zur Verfügung zu stellen. Das sei aber mit dem geltenden EU-Datenschutz, insbesondere im Rahmen der DSGVO, nicht vereinbar. Der Rechtsschutz der User könne nicht gewährleistet werden.

Allerdings sollen die personenbezogenen Daten auch weiterhin in die USA oder andere Länder übertragen werden können, wenn dazu die sogenannten Standardvertragsklauseln herangezogen werden. Diese sollen grundsätzlich eine Sicherheit bieten, dass Nutzerdaten auch bei der Weitergabe ins Ausland einem angemessenen Schutz unterliegen. Anders als der Privacy Shield, der ausschließlich zum Datentransfer zwischen der EU und den USA verantwortlich ist, sind die Standardvertragsklauseln nicht an die Region gebunden, in die die Daten weitergegeben werden. Auf diese Klauseln beruft sich Facebook bei der Weitergabe der personenbezogenen User-Daten.

Ob diese von Facebook und Co. allerdings weiterhin ohne Einschränkung für die Datenweitergabe genutzt werden können, bezweifelt Max Schrems. Seiner Ansicht nach können diese nur genutzt werden, wenn es keine Konflikte mit Gesetzen in den Heimatländern der Unternehmen gibt – was aufgrund der Weitergabemöglichkeit von Nutzerdaten an die US-Behörden in den USA zum Knackpunkt werden könnte.

Erste Reaktionen

Max Schrems, der mit seiner Beschwerde dieses Urteil ins Rollen gebracht hatte, reagierte direkt nach dem Urteil erfreut:

Ich bin sehr glücklich über das Urteil. Es scheint, dass der Gerichtshof uns in allen Aspekten gefolgt ist. Dies ist ein totaler Schlag für die irische Datenschutzbehörde DPC und Facebook. Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine wichtige Rolle auf dem EU-Markt spielen wollen.

https://twitter.com/maxschrems/status/1283675174156599296

Bereits 2015 hatte Max Schrems im Rahmen eines Rechtsstreits mit der irischen Datenschutzbehörde, der ebenfalls vor dem EuGH endete, bewirkt, dass das bis dato gültige Datenaustauschsabkommen zwischen den USA und der EU, Safe Harbor, für ungültig erklärt wurde. Damals hieß es im Urteil, dass der potentielle Zugriff der US-Behörden auf die User-Daten „den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt“. Maßgeblich für die Erkenntnis waren auch die Enthüllungen des Whistleblowers Edward Snowden, durch die das Ausmaß des möglichen Zugriffs der Behörden erst deutlich wurde.

Ob der Transfer von User-Daten von EU-Bürgern in die USA nun im Alltag der Unternehmen anders abgewickelt werden und das Datenschutzrecht der EU immerzu beachtet werden wird, bleibt noch abzuwarten. Das Urteil des EuGH ist jedoch ein wegweisender Schritt im Ringen um Datenschutz- und Unternehmensinteressen.