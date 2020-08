© Foto: Gerichtshof der Europäischen Union

Der Transfer von User-Daten aus der EU zu US-Konzernen in den USA wurde lange Zeit durch das Datenaustauschabkommen des Privacy Shield legitimiert – obwohl die personenbezogenen Daten in den USA aufgrund einer diskutablen Datenschutzpolitik nicht umfassend geschützt sind. Vor beinahe zwei Monaten wurde der Privacy Shield allerdings vom Europäischen Gerichtshof (EuGH) gekippt. Daher bemühen sich die EU-Kommission und die USA nun um ein neu definiertes Abkommen, das den Datentransfer auch zukünftig unkompliziert gestaltet. Wie dieses den Vorgaben des EuGH gerecht werden kann, bleibt allerdings unklar.

Der Knackpunkt Standarvertragsklauseln: Was dürfen die Unternehmen in die USA transferieren?

Nicht betroffen von der Erklärung zur Ungültigkeit des Privacy Shield sind die Standardvertragsklauseln. Gegenüber Heise bestätigte ein Sprecher der EU-Kommission:

Auch wenn Privacy Shield für ungültig erklärt wurde, bestätigte das Gericht, dass die Standardvertragsklauseln ein gültiges Instrument bleiben.

Daher haben sich diverse US-Konzerne mit Tochterunternehmen in Irland bereits darauf besonnen, ihre Datenschutzrichtlinien zum Transfer personenbezogener Daten konkret auf diese Klauseln zu münzen. Facebook beispielsweise teilte Mitte August mit:

Wir werden die jeweiligen Bedingungen aktualisieren, um dies zu berücksichtigen, und weitere Informationen werden folgen. Unsere Priorität ist es, sicherzustellen, dass Nutzer, Werbetreibende und andere Kunden weiterhin die Dienste von Facebook nutzen können, während ihre Daten sicher und geschützt sind.

Nun bezweifelt aber Datenschutzaktivist Max Schrems, dessen gerichtliche Beschwerde letztlich zum Sturz des Privacy Shield geführt hatte, dass die Standardvertragsklauseln auch dann als rechtliche Grundlage genutzt werden können, wenn im Empfängerland der Daten kein hinreichender Datenschutz gewährleistet werden kann. Und in den USA sei das, so Schrems, aufgrund der obligatorischen Weitergabe an Geheimdienste wie die NSA durchaus der Fall.

Versuch, den Datenschutzaufwand zu verringern?

Wenn der Privacy Shield als Datenaustauschabkommen wegfällt und US-Konzerne theoretisch auch nicht auf die Standardvertragsklauseln zurückgreifen können – ob das möglich ist, kann mitunter auch von einer Einzelfallprüfung abhängen –, dann werden die Hürden zur Übermittlung personenbezogener Daten deutlich größer. Das wiederum könnte dazu führen, dass US-Konzerne langfristig die Position ihrer Tochterunternehmen überdenken.

Daher ist das US-Wirtschaftsministerium derzeit mit der EU-Kommission im Austausch, um den Privacy Shield neu aufzusetzen, wie Heise darstellt. Demnach sollen die Optionen für einen optimierten Privacy Shield geprüft werden, der mit dem EuGH-Urteil vereinbar wäre. Das gaben der US-amerikanische Handelsminister Wilbur Ross und der EU-Justizkommissar Didier Reynders an. Da die USA jedoch nicht in Aussicht stellen, auf eine potentielle Weitergabe personenbezogener Daten an US-Behörden zu verzichten, ist nicht ersichtlich, wie eine Vereinbarkeit mit dem EuGH-Urteil erreicht werden kann.

Max Schrems erklärt gegenüber Heise, dass der trotz des Urteils noch fortlaufende Datentransfer vieler US-Konzerne nicht gerechtfertigt sei:

Es scheint, dass US-Unternehmen immer noch versuchen, ihre EU-Kunden vom Gegenteil zu überzeugen. Das ist mehr als unlauterer Wettbewerb.

Die Non-Profit-Organisation „none of your business“ (noyb) fordert unterdessen, dass ein solcher Datentransfer zum Schutz der EU-User gestoppt wird; und dass Verstöße zu empfindlichen Geldbußen für die verantwortlichen Unternehmen führen.

