Europäischer Gerichtshof kippt Privacy Shield

Im Urteil des höchsten EU-Gerichts wird festgestellt, dass die US-Überwachungsgesetze keinen ausreichenden Schutz für EU-Daten gewährleisten. [EPA-EFE/JULIEN WARNAND]

Das Privacy-Shield-Abkommen zwischen der EU und den USA, das die sichere Übertragung der Daten europäischer Bürgerinnen und Bürger in die Vereinigten Staaten gewährleisten soll, wurde vom Gerichtshof der Europäischen Union für ungültig erklärt. Das Urteil könnte für erhebliche Einschränkungen der transatlantischen Datenübertragung sorgen.

Im Urteil des höchsten EU-Gerichts vom heutigen Donnerstag wird festgestellt, dass der Umfang und die rechtliche Reichweite der US-Überwachungsgesetze keinen ausreichenden Schutz für EU-Daten gewährleisten. Dadurch bestehe das Risiko, dass die in der Datenschutzgrundverordnung (DSGVO) verankerten Rechte der EU-Bürgerinnen und -Bürger verletzt würden.

Der Gerichtshof kommt zu dem Ergebnis, „dass die von der Kommission im PrivacyShield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären.“

Betont wird weiter, dass die auf US-amerikanische Rechtsvorschriften gestützten Überwachungsprogramme „nicht auf das zwingend erforderliche Maß beschränkt sind“.

Datenschutzaktivist hofft auf Rückschlag für die US-"Überwachungskultur"

Am Donnerstag entscheidet der EuGH, ob die EU-Standardvertragsklauseln ein legitimer Weg sind, Daten an Rechtssysteme außerhalb des Blocks zu übermitteln. Hintergrund ist die Angst vor der US-amerikanischen „Überwachungskultur“ und der Sammelwut der NSA.

Das Urteil ist ein großer Sieg für den österreichischen Datenschutz-Aktivisten Max Schrems, der in diesem Fall Beschwerde eingereicht hatte. Schrems hatte argumentiert, der Privacy Shield biete keinen angemessenen Schutz der EU-Daten.

“Ich bin sehr glücklich über das Urteil. Unsere Argumente wurden bestätigt. Das ist ein totaler Schlag für die irische DPC und Facebook,“ hieß es in einem ersten Statement von Schrems. Es sei nun klar, „dass die USA ihre Überwachungsgesetze grundlegend ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen.“

FISA 702

Der Hintergrund zu Schrems‘ Beschwerde: Paragraph 702 des US Foreign Intelligence Surveillance Act (FISA) könnte es der nationalen Sicherheitsbehörde NSA seiner Ansicht nach erlauben, Informationen von Nicht-Amerikanern mit Sitz außerhalb der USA zu sammeln, indem derartige Daten von Anbietern elektronischer Kommunikationsdienste wie beispielsweise Facebook gespeichert und weitergegeben werden.

Mit dem heutigen Schiedsspruch bestätigt der EU-Gerichtshof diese Sichtweise.

Die  betreffenden Vorschriften hinsichtlich der US-amerikanischen Überwachungsprogramme würden „in keiner Weise erkennen lassen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen“. Genauso wenig sei ersichtlich, „dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, [rechtliche] Garantien existieren,“ hält das Gericht fest.

Somit würden betroffene Personen nicht über „durchsetzbare Rechte und wirksame Rechtsbehelfe“ gegenüber den US-Behörden und deren Überwachungspraktiken verfügen.

Für Oliver Patel, einen wissenschaftlichen Mitarbeiter am Europäischen Institut des University College London, kommt die Entscheidung über den Privacy Shield indes nicht überraschend: Schließlich hatten EU-Gerichte schon 2015 das Safe Harbour-Abkommen für ungültig erklärt, den vorherigen Rahmen, der Datentransfers zwischen der EU und den USA regeln sollte, erinnert er.

Damals hatte ebenfalls Schrems erfolgreich eine rechtliche Anfechtung der Safe Harbour-Regelungen eingereicht. Die Safe-Harbour-Prinzipien waren entwickelt worden, um zu verhindern, dass private Unternehmen in der EU oder den USA personenbezogene Daten von Bürgerinnen und Bürgern verlieren oder versehentlich preisgeben.

Damals gab der EU-Generalanwalt Yves Bot ein Gutachten ab, in dem er festhielt, das Safe Harbour-Abkommen solle ungültig gemacht werden. Er fügte hinzu, dass einzelne Datenschutzbehörden die Datenübermittlung in andere Länder aussetzen könnten, wenn es Anzeichen für eine Verletzung von Datenschutzrechten gibt. Der EuGH bestätigte schlussendlich diese Einschätzung von Bot.

EuGH-Urteil: Safe-Harbour-Abkommen mit den USA ist ungültig

Der Europäische Gerichtshof (EuGH) hat das „Safe Harbour“-Abkommen zum Datenaustausch zwischen den USA und der EU für ungültig erklärt. Demnach können EU-Behörden etwa die Übermittlung europäischer Facebook-Daten auf Server in den USA künftig verbieten.

Patel erklärt daher, das heutige Urteil bestätige, was schon lange offensichtlich war: die Unvereinbarkeit der US-Überwachungsgesetze mit den Datenschutzregelungen der EU. „Dies macht nun absolut deutlich, dass FISA 702 mit der EU-Charta der Grundrechte unvereinbar ist,“ betont er gegenüber EURACTIV.com.

In Bezug auf eine Reform der US-amerikanischen Überwachungsregeln glaubt Patel, dass diese vielleicht „irgendwann“ kommt, allerdings nicht als direkte Folge der Entscheidung vom heutigen Donnerstag: „Der US-Überwachungsrahmen ist ein grundlegender Teil der politischen Identität des Landes,“ erklärt er. „Die Reform könnte irgendwann kommen, aber ich glaube nicht, dass sie ein Ergebnis des [Urteils des] Gerichtshofs der Europäischen Union sein wird. Die USA müssen sich jetzt einfach entscheiden, ob sie ihren eigenen Überwachungsregeln oder der Übertragung von EU-Daten [in die USA] Vorrang einräumen wollen.“

Die Industrie meldet sich zu Wort

Unterdessen rief das Urteil bei einigen Datenschutzexperten und Branchenvertretern Besorgnis hervor.

„Die heutige Entscheidung blockiert effektiv legale Transfers von persönlichen Daten aus der EU in die USA. Das wird zweifellos dazu führen, dass Zehntausende von US-Unternehmen Probleme bekommen und keine rechtliche Grundlage haben werden, ihre transatlantische Geschäfte im Wert von Billionen von Dollar jährlich weiter zu tätigen,“ warnte Caitlin Fennessy, Forschungsdirektorin bei der International Association of Privacy Professionals (IAPP).

Branchenvertreter äußerten ebenfalls ihre Besorgnis über die Zukunft der Datenübertragungen aus der EU in die USA: „Unternehmen müssen über zuverlässige und stabile Rechtsmechanismen verfügen, um Daten aus der EU in die Vereinigten Staaten zu senden. Die heutige Entscheidung wird in einer Zeit, in der die globalen Handelsbeziehungen immer komplizierter werden, ein wenig hilfreiches Hindernis für den elektronischen Handel zwischen der EU und den USA darstellen,“ so eine Erklärung von Thomas Boué, Politik-Generaldirektor beim Software-Handelsverband BSA.

EU-Gericht: Tech-Riese Apple muss keine 13 Milliarden Euro nachzahlen

Der US-Technologieriese Apple sei im Rahmen der Körperschaftssteuer-Entscheidungen in Irland nicht unrechtmäßig in den Genuss staatlicher Beihilfen gekommen, entschied der allgemeine Gerichtshof der EU am Mittwoch.

 

Zum Thema Standardvertragsklauseln (Standard Contractual Contracts, SCC) – individuelle Vereinbarungen, die die globale Übertragung von EU-Daten erleichtern sollen – entschied das Gericht, dass derartige Vereinbarungen zwar weiterhin gültig sind, aber die Risiken, die mit der Zusage bestimmter Datentransfers in Drittländer verbunden sind, berücksichtigt werden müssen.

Derartige Vereinbarungen könnten je nach Ermessen der nationalen Datenschutzbehörden in den EU-Staaten für ungültig erklärt werden, fügte der Gerichtshof hinzu. Sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliege, seien die nationalen Behörden „verpflichtet, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann.“

Trotz aller Warnung und Besorgnis: Artikel 49 der DSGVO der EU beschreibt die Bedingungen, unter denen Datentransfers fortgesetzt werden können, wenn noch keine Entscheidungen über die Angemessenheit oder geeignete Schutzmaßnahmen getroffen wurden: „Notwendige“ Datenübermittlungen können demnach fortgesetzt werden.

[Bearbeitet von Zoran Radosavljevic und Tim Steins]

Offener Brief: Datenschützer Max Schrems schießt scharf gegen irische Behörden

Seit zwei Jahren bearbeitet die irische Datenschutzbehörde Klagen gegen Facebook. Datenschützer Max Schrems dauert das zu lange. In einem offenen Brief kritisiert er das Vorgehen der Iren, und fordert die Unterstützung der EU und Mitgliedsstaaten.

Datenschutz: Von "konkreten Maßnahmen" und einem "großen Fehler"

Die EU-Kommission fordert „konkrete Schritten“, um den sogenannten Privacy Shield (Datenschutzschild) zu verbessern. Datenschützer glauben hingegen, dass das Abkommen mit den USA an sich bereits ein Fehler ist.

Datenschutzbeauftragter kritisiert Behörden und Gesetzgebung

Ulrich Kelber (SPD) geizt selten mit Kritik an der eigenen Regierung. Bei der Präsentation seiner Jahresberichte wies er auf hastige Verfahren hin, bei denen der Datenschutz unter die Räder komme. Außerdem fordert er ein Transparenzgesetz.

Subscribe to our newsletters

Subscribe
UNTERSTÜTZEN