Der Europäische Gerichtshof (EuGH) hat das EU-US-Privacy-Shield gekippt. Dabei handelt es sich um ein Übereinkommen zwischen der Europäischen Union und den Vereinigten Staaten, das die Übertragung von Nutzerdaten ermöglicht. Das Urteil bezieht sich auf personenbezogene Informationen, wobei "notwendige" Datentransfers nicht beinhaltet sind – also beispielsweise E-Mails. Von dem Urteil betroffen sind demnach über 5.000 US-Unternehmen, die Daten zwischen den USA und der EU übertragen, etwa aus den Bereichen des Marketings, Cloud-Services und Datenhosting-Dienste.

Juristischer Konflikt

Der Hintergrund: Europäische Datenschutzgesetze stehen im Konflikt mit US-Judikatur – erstere schreiben einen sensiblen Umgang mit Daten vor, deren Weitergabe an einen Drittstaat ist nur gestattet, wenn auch dort ein bestimmtes Niveau erreicht wird.

Der Datenschützer Max Schrems hatte sich 2013 bei der irischen Datenschutzbehörde darüber beschwert, dass Facebook Nutzerdaten in den USA verarbeitet. Die Begründung: Die dortigen Überwachungsgesetze würden keinen ausreichenden Schutz bieten. Er hatte auch schon damals Erfolg, das ursprüngliche Safe-Harbor-Abkommen wurde gekippt. Daraufhin beschloss die EU 2015 die Nachfolgeregelung Privacy-Shield, die nun ebenso für unzulässig erklärt wurde.

Der EuGH hat über Standardvertragsklauseln die Möglichkeit offengelassen, weiterhin Daten auszutauschen, sagt der IT-Rechtsexperte Lukas Feiler zum STANDARD. Ob das halte, sei aber ungewiss – denn diese seien nur zulässig, weil sie die Vorgabe enthalten, dass beide Vertragsparteien vor jeder Datenübermittlung zu prüfen haben, ob der Datenimporteur – im konkreten Fall Facebook – juristisch den Vertrag erfüllen kann.

Ob das mit der Unzulässigkeit des Privacy-Shield-Abkommens gegeben ist, müsste noch von den nationalen Datenschutzbehörden beurteilt werden. "Sollten die nationalen Datenschutzbehörden auch die Standardvertragsklauseln mit den USA kippen, würde das einer Amputation der europäischen Datenwirtschaft gleichkommen", sagt Feiler.

Schrems fordert Änderung von US-Gesetzen

Laut Schrems‘ Datenschutz-NGO Noyb dürften diese Klauseln im Fall von Facebook und ähnlichen Unternehmen nicht verwendet werden, da die irische Datenschutzbehörde Datentransfers stoppen müsse. Der Datenschützer ist der Ansicht, dass nicht die europäische, sondern die US-amerikanische Judikatur einer Anpassung bedarf. "Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine wichtige Rolle auf dem EU-Markt spielen wollen", sagt Schrems. Das Gericht sei sich darüber im Klaren, dass die US-Regeln im Widerspruch zu EU-Grundrechten stehen.

USA schützen nur US-Bürger vor Überwachung

"Das Problem ist, dass die USA Datenschutz bei ausländischen Nutzern nicht sehr ernst nehmen", erklärt der IT-Rechtsanwalt Markus Dörfler im STANDARD-Gespräch. Facebook – und demnach auch andere Unternehmen – sind in den USA verpflichtet, der NSA und dem FBI Zugriff auf Nutzerdaten zu gestatten. US-Bürger sind von dieser Regelung geschützt, ausländische User allerdings nicht – weshalb ein Verstoß gegen EU-Regeln vorliegt. EU-Bürger können sich nicht vor diesem Zugriff schützen und auch nicht gerichtlich gegen die Behörden vorgehen.

"Es wird wohl zu massiven transatlantischen Spannungen kommen", prognostiziert Feiler. "Die Trump-Regierung wird darauf äußerst scharf reagieren."

Politische Reaktionen

Für die Neos ist das Urteil ein "Sieg für Datenschutz, digitale Grundrechte und Rechtsstaatlichkeit", sagte deren stellvertretender Klubobmann Nikolaus Scherak. "Schade ist nur, dass es dafür eine Klage von Max Schrems gebraucht hat und das Ende von Privacy Shield keine politische Entscheidung war."

Der SPÖ-Klubvorsitzende Jörg Leichtfried und SPÖ-Datenschutzsprecher Christian Drobits gratulieren Schrems zu dem Erfolg. "Es geht hier um den Schutz von Grundrechten. Mit der Übertragung von personenbezogenen Daten besteht die große Gefahr, dass insbesondere US-Behörden wie NSA und FBI zu leicht darauf zugreifen könnten. Das wird jetzt gestoppt", erklärten sie am Donnerstag.

Süleyman Zorba, Sprecher für Netzpolitik und Digitalisierung der Grünen, forderte eine Änderung der Überwachungsgesetze in den USA. Ziel müsse sein, dass "alle sensiblen persönlichen Daten in Europa und damit geschützt bleiben". (Muzayen Al-Youssef, 16.7.2020)