Privacy Shield ist tot – doch die Daten können weiter fließen (Update)
Jetzt hat er es schon wieder getan. Nachdem wegen einer seiner Klagen vor fünf Jahren das Safe-Harbor-Abkommen zwischen der EU und den USA gekippt wurde, ist heute das Privacy-Shield-Abkommen dran. Der österreichische Datenschutz-Aktivist klagte, und der EUGH hat entschieden: Privacy Shield für ungültig, weil das Datenschutz-Niveau der EU in den USA nicht eingehalten wird.
Privacy Shield wurde als Nachfolgeregelung zu Safe Harbor eingeführt und war schon damals, 2016, umstritten. Es diente seither etwa 5.000 Firmen (von Airbnb bis ZenDesk) als Rechtsrahmen, um Daten von EU-Bürgern in den USA zu verarbeiten. Schrems klagte in erster Linie gegen Facebook, weil aufgrund von US-Gesetzen möglich ist, dass nicht nur Firmen, sondern auch US-Geheimdienste ohne richterlichen Beschluss auf Basis des Foreign Surveillance Act (FISA) auf Nutzerdaten zugreifen können – das sei zu viel der Überwachung, um europäische Datenschutzstandards zu erfüllen.
Wichtig zu wissen: Privacy Shield wurde auch von europäischen Unternehmen wie SAP, Siemens, Telefonica und Aldi genutzt, um Datentransfers zwischen EU und den USA abzuwickeln.
EU-Datenschutzrecht vs. US-Überwachungsrecht
„Das Gericht hat nun zum zweiten Mal klargestellt, dass es einen Konflikt zwischen dem EU-Datenschutzrecht und dem US-Überwachungsrecht gibt“, so Schrems, der den Erfolg vor dem EUGH feiert, in einem ersten Statement. „Da die EU ihre Grundrechte nicht ändern wird, um der NSA zu gefallen, besteht die einzige Möglichkeit, diesen Konflikt zu überwinden, darin, dass die USA solide Datenschutzrechte für alle Menschen – auch für Ausländer – einführen. Die Überwachungsreform wird dadurch entscheidend für die Geschäftsinteressen von Silicon Valley“.
Welche Konsequenzen hat das EUGH-Urteil nun? Werden Facebook, WhatsApp, Instagram und Co. weiter wie gewohnt funktionieren? Ja. Denn was der EUGH auch festgehalten hat, ist, dass die so genannten Standardvertragsklauseln weiterhin funktionieren. Dabei handelt es sich um rechtliche Vorlagen, die die EU für die Datenübermittlung ins EU-Ausland erstellt hat – diese gelten weiterhin. In den nächsten Wochen und Monaten werden Datenschützer wohl sehr genau prüfen, welche Firmen solche gültigen Standardvertragsklauseln haben. Für Googles G Suite gibt es sie genauso wie für Microsofts Cloud-Dienste oder Amazon Web Services.
Gelten die Standardvertragsklauseln weiter?
Ja, aber kompliziert wird es aber insofern: Wenn die Standardvertragsklauseln (SCC) in einem Drittland wie den USA nicht eingehalten werden können und „der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann“, dann ist die Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, heißt es seitens EUGH. Laut Schrems wäre der Datenfluss unter den SCCs nur dann erlaubt, wenn das Unternehmen nicht unter Überwachungsgesetze falle. Doch das sei bei praktisch allen IT-Unternehmen wie Microsoft, Apple, Google oder Facebook nicht der Fall – diese würden eben unter die Überwachungsmöglichkeiten der Geheimdienste fallen.
Eine weitere Möglichkeit für US-Unternehmen ist, Datencenter in Europa zu errichten, wo die Daten von EU-Nutzern verarbeitet werden. Google, Amazon oder Facebook haben bereits seit langem solche Rechen-Center in der EU stehen. Für Firmen, die gegen europäisches Datenschutzrecht verstoßen, kann es teuer werden. Die DSGVO (GDPR) sieht Geldbußen von bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten Jahresumsatzes eines Unternehmens vor.
DSGVO erlaubt notwendige Datenübermittlungen
„Trotz der Ungültigkeitserklärungen im Urteil können absolut „notwendige“ Datenübermittlungen gemäß Artikel 49 DSGVO weiterhin stattfinden“, heißt es seitens noyb, der Datenschutzorganisation rund um Max Schrems. „Wollen Nutzer ihre Daten ins Ausland fließen lassen, ist nach wie vor legal möglich, da dies auf die informierten Einwilligung des Nutzers gestützt werden kann, die jederzeit widerrufen werden kann.“ Ebenso erlaube die DSGVO Datenübermittlungen, die „notwendig“ sind, um einen Vertrag zu erfüllen. Dies sei eine solide Grundlage für die meisten Rechtsgeschäfte mit den USA.
„Mit einfachen Worten: Die USA sind nun wieder in die „normale“ Situation zurückversetzt worden, in der sich die meisten anderen Drittländern in Bezug auf Datenübermittlungen aus der EU befinden, haben aber ihren besonderen Zugang zum EU-Markt über die US-amerikanische Überwachung verloren.“