Datentransfer in die USA

Europäischer Gerichtshof kippt auch das EU-US-Privacy-Shield

Ein Datentransfer auf Grundlage der europäisch-amerikanischen Datenschutzvereinbarung (Privacy-Shield) ist nicht mit dem Datenschutz in der EU vereinbar. Das entschied heute der Europäische Gerichtshof (EuGH). Standardvertragsklauseln hält das Gericht allerdings für gültig. Das Urteil stellt viele Unternehmen vor die Herausforderung, ihre Datenströme nun sicher und rechtskonform zu gestalten.

Teilen Sie unseren Beitrag
Danwitz_Thomas_von
Danwitz_Thomas_von

Seit nunmehr sieben Jahren kämpft der österreichische Aktivist Maximilian Schrems gegen die Übermittlung seiner personenbezogenen Daten in die USA. 2015 gelang es ihm bereits, das sogenannte Safe-Harbor-Abkommen zu kippen (C-362/14), das den Umgang mit Daten von EU-Bürgern in den USA regelte. Im Zentrum der juristischen Auseinandersetzung steht die Frage: Auf welcher Grundlage dürfen Daten aus EU-Staaten in Drittländer wie den USA übermittelt und dort verarbeitet werden?

Dem Safe-Harbor-Abkommen folgte 2016 das EU-US-Privacy-Shield. Mit der neuen Vereinbarung galten Datentransfers in die USA wieder als unbedenklich, was Datenschützer, Politiker und auch Schrems selbst von Beginn an kritisierten. Kernkritikpunkt waren erneut die Durchgriffsrechte der US-Behörden und -Geheimdienste.

Schrems zum Zweiten

Wie im Safe-Harbor-Verfahren legte der irische High Court dem EuGH Fragen zur Beantwortung vor. Mit der Vorlage wollte er in erster Linie die Standardvertragsklauseln auf ihre Gültigkeit prüfen lassen. Seit 2010 nutzen Unternehmen sie, um unter bestimmten Voraussetzungen Daten aus der EU heraus zu transferieren. Und auch im Fall „Schrems II“ entschied der EuGH am Ende gegen die Vereinbarung zwischen der EU und den USA.

Mit Blick auf diese Zugriffsrechte hat der EuGH nun auch diese Vereinbarung für unwirksam erklärt. Das Privacy-Shield reicht europäischen Unternehmen dem Gericht zufolge nicht als verlässliche Grundlage für den transatlantischen Datentransfer. Mit dem europäischen Datenschutzstandard ist es nicht vereinbar. Rechtskonformen Datentransfer in die USA können allerdings die Standardvertragsklauseln bieten.

Bahnbrechend ist zudem, dass das Gericht mit seinem Urteil andeutet, an der Datensicherheit in den USA allgemein zu zweifeln. Unabhängig davon, ob Unternehmen Standardvertragsklauseln nutzen oder nicht, sind sie nun in der Verantwortung, das Zielland auf ein entsprechendes Datenschutzniveau zu prüfen. Außerdem werden nun wohl die Datenschutzbehörden stärker in die Verantwortung genommen. Bei einer Beschwerde wird eine Datenschutzbehörde prüfen und das Vorgehen im Zweifel verbieten müssen.

Wie sicher können die Daten noch sein?

Datenschutzrechtler hatten schon vor Verkündung des Urteils vermutet, dass der EuGH das Privacy-Shield kippen werde: „Mit dem Ende des EU-US-Privacy-Shield stellt sich die Frage, welche Länder noch sicher sind“, sagt Martin Braun, Datenschutzexperte von WilmerHale aus Frankfurt. Er fordert, dass Unternehmen für den Datenverkehr außerhalb von EU-Staaten eine klare und einheitliche Lösung brauchen. „Ein Lösungsansatz wäre beispielsweise, wenn die Datenschutzbehörden eine Länderliste herausgeben würden, worauf Unternehmen sich berufen können, wenn sie einen Export von Daten in diese Länder vornehmen wollen“, sagt er.

Dr. Sibylle Gierschmann, Datenschutzrechtlerin der Hamburger Boutique Gierschmann Legal, meint: „Es reicht nicht aus, bloß die Standardvertragsklauseln zu vereinbaren. Vielmehr werden Unternehmen prüfen müssen, welchem Risiko die Daten bzw. die Betroffenen im Drittland ausgesetzt sind.“ Sie schlägt vor: „Denkbar ist zum Beispiel, dass die Daten bei einer Datenübermittlung in nicht sichere Drittländer durch Verschlüsselung zusätzlich vor dem Zugriff Dritter geschützt werden.“

Schrems weiß bei seinem Kampf gegen Facebook seit vielen Jahren den Luxemburger Rechtsprofessor Herwig Hofmann an seiner Seite. Beim EuGH war der deutsche Richter Dr. Thomas von Danwitz für das Urteil verantwortlich. Bereits im Safe-Harbor-Verfahren war er als Berichterstatter beteiligt. Das Interesse an dem Verfahren war groß. Neben den unmittelbar beteiligten Parteien, darunter die Datenschutzbehörde Irlands, Facebook und Maximilian Schrems beteiligten sich zahlreiche weitere Parteien an dem Prozess. Neben den USA zählte dazu unter anderem auch das Washingtoner Electronic Privacy Information Centre, die Washingtoner Business Software Alliance (BSA) und Digitaleurope. (Anika Verfürth)

Artikel teilen