Das Privacy Shield ist Geschichte

0
526

Der Gerichtshof der Europäischen Union (EuGH) hat das Privacy-Shield-Abkommen zwischen der EU und den USA für ungültig erklärt. Das hat womöglich weitreichende Folgen für das Online-Marketing, denn das Privacy Shield war die am häufigsten verwendete rechtliche Grundlage von Websitebetreibern, um personenbezogene Daten aus der EU in die USA zu übertragen und dort speichern zu lassen. Facebook, Google, Amazon, Microsoft, Adobe … die Liste der US-Dienste, die auf Basis des Privacy Shields Daten verarbeiteten, ließe sich beliebig verlängern. Mehr als 5.000 Unternehmen, die sich bei ihren Datenübertragungen in die USA bislang auf das Privacy Shield berufen haben, sind hier gelistet. Das Abkommen sollte sicherstellen, dass die in den USA gespeicherten personenbezogenen Daten einem ähnlich strengen Schutz unterliegen, wie es in EU-Staaten der Fall ist.

Privacy Shield - Symbolbild

Das ist jedoch nach Ansicht des österreichischen Juristen und Datenschutzaktivisten Max Schrems nicht der Fall. Er wehrt sich seit Jahren dagegen, dass die US-Regierung quasi unbegrenzt Zugriff auf die personenbezogenen Daten aller US-Unternehmen hat. Auch auf solche Daten, die in EU-Ländern eingesammelt und auf Server in den USA übertragen wurden. Die US-Praxis der Vorratsdatenspeicherung und Massenüberwachung wurde 2013 durch die Enthüllungen des Whistleblowers Edward Snowden publik. Schrems hatte den Rechtsstreit ins Rollen gebracht. Auf seine Initiative hin war bereits der Vorläufer des Privacy Shields, das sogenannte „Save-Harbour-Abkommen“ gekippt worden. Nun ist also auch das Privacy Shield Geschichte.

Gleichzeitig bestätigte der EuGH, dass die sogenannten Standardvertragsklauseln nach der Richtlinie 95/46/EG weiterhin Gültigkeit als Mechanismus für den sicheren Datentransfer in Drittländer haben. Darauf stellen nun viele der datenverarbeitenden Unternehmen und Websitebetreiber ab und ändern ihre AGB bzw. Datenschutzbestimmungen entsprechend. Aber reicht das auch wirklich aus? In ihrer Pressemitteilung zum Urteil erklären die EuGH-Richter, dass personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln nur in ein Drittland übermittelt werden dürfen, wenn sie dort ein Schutzniveau genießen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. In allen anderen Fällen müsse der Datentransfer untersagt werden.

Zum Thema „Angemessenes Datenschutzniveau in Drittländern“ schreibt der Landesbeauftragte für Datenschutz und Informationsfreiheit NRW – Stand 18.08.2020: „Angemessenheitsbeschlüsse gibt es für: Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel (eingeschränkt), Japan, Jersey, Kanada (eingeschränkt), Neuseeland, Schweiz und Uruguay.“

Die USA, Sitz von Google, Facebook & Co., werden hier nicht aufgeführt. Durften personenbezogene Daten bislang also einzig auf Basis des Privacy Shields in die USA übertragen werden? Viele Datenschützer sehen das so und halten die Berufung auf Standardvertragsklauseln für das Zielland USA für nicht legitim. Auf der Website des Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (Stand: 18.08.2020) heißt es zu den Folgen des Urteils: „Mit dem Urteil wird ein Beschluss der Europäischen Kommission für ungültig erklärt, der das EU-US-Privacy-Shield betrifft (Angemessenheitsbeschluss). Wer nach der Datenschutz-Grundverordnung (DS-GVO) Daten in die USA übermitteln möchte, kann sich deshalb nicht mehr auf diese Angemessenheitsentscheidung berufen, sondern muss dafür andere rechtliche Instrumente einsetzen. … Das Urteil hat zudem Beschlüsse der Europäischen Kommission als rechtmäßig bestätigt, die Standarddatenschutzklauseln betreffen. Aus solchen Standarddatenschutzklauseln können grundsätzlich die nötigen Garantien bestehen, die für die Datenübermittlung in Länder außerhalb der EU und des europäischen Wirtschaftsraums vorgesehen werden (Standarddatenschutzklauseln, Artikel 46 Abs. 2 Buchstabe c DS-GVO). Allerdings müssen die Verwender dieser Klauseln selbst prüfen, ob diese Garantien ausreichend sind oder durch weitere Maßnahmen ergänzt werden müssen – besonders, wenn im Ziel-Land schlechte Datenschutzbedingungen herrschen. Ein Daten-Exporteur, der bereits Standardvertragsklauseln verwendet, hat sich damit verpflichtet, die Datenübermittlung auszusetzen, falls die Klauseln im Ziel-Land nicht eingehalten werden, oder zumindest die zuständige Aufsichtsbehörde zu informieren. Sind solche Klauseln nicht ausreichend und sind insoweit keine geeigneten Zusatzmaßnahmen getroffen, können die Datenschutzbehörden anordnen, dass die Übermittlung auszusetzen ist.“

Mit anderen Worten: Die Betreiber einer Website müssen nun in jedem Fall der Datenübermittlung in die USA prüfen, ob ihr Vertragspartner ein zur EU gleichwertiges Datenschutzniveau bietet. Dafür sind umfangreiche Recherchen notwendig. Wie sollen Unternehmen das leisten? Können sie faktisch eigentlich nicht. Und so hat Datenschutzaktivist Max Schrems mit der von ihm mitgegründeten Initiative NOYB inzwischen Beschwerde gegen mehr als 100 europäische Unternehmen eingereicht. Sein Vorwurf: Die Unternehmen verwenden nach wie vor Tracking-Technologien von Google Analytics und Facebook. Das Thema bleibt spannend und sehr dynamisch. Wir werden den Beitrag daher laufend aktualisieren.

Zitate und Stellungnahmen aus Wirtschaft und Politik zum EuGH-Urteil

„Die Unternehmen benötigen dringend eine rechtliche Basis, um Daten in die USA übermitteln zu können. Dafür muss wieder eine Vereinbarung zwischen der EU und den USA geschlossen werden, die jedoch länger halten muss als das Privacy Shield.“

Stephan Wernicke, Chefjustiziar des Deutschen Industrie- und Handelskammertages (DIHK)



„Nach dem gescheiterten Safe-Harbor-Abkommen fällt jetzt zum zweiten Mal die Rechtsgrundlage für die Datenverarbeitung zwischen der EU und den USA. Auch die bis dato gültige Praxis der Standardvertragsklauseln gerät mit dieser Entscheidung ins Wanken. Für Unternehmen mit einer Datenverarbeitung in den USA entsteht durch dieses Urteil massive Rechtsunsicherheit. Wer bislang allein auf Basis des Privacy Shield Daten verarbeitet hat, muss zumindest auf die Standardvertragsklauseln umstellen – andernfalls droht ein Daten-Chaos. Internationale Datenströme sind das Fundament einer globalisierten Wirtschaft. Für global tätige Unternehmen ist es entscheidend, dass sie ihre Geschäftsprozesse und Datenströme rechtssicher abwickeln können. Die EU ist jetzt aufgerufen, schnell für Rechtssicherheit zu sorgen und eine Datenverarbeitung in Drittländern wie den USA langfristig zu ermöglichen. Daten ausschließlich in Europa zu verarbeiten, ist einerseits technisch kaum umsetzbar und würde andererseits einen massiven Wettbewerbsnachteil für europäische Unternehmen bedeuten.“

Susanne Dehmel, Mitglied der Geschäftsleitung des Digitalverbands Bitkom



„Die Ungültigerklärung des EU-US Privacy Shields durch den Europäischen Gerichtshof ist ein Rückschlag für den rechtssicheren transatlantischen Datenaustausch. Der Grundrechtsschutz europäischer Bürgerinnen und Bürger muss gewahrt sein. EU-Bürger müssen sich auf ein hohes Maß an Datenschutz im Umgang mit ihren Daten verlassen können. Aber es gilt auch: Ein einheitlicher Rechtsrahmen für den transatlantischen Datenaustausch ist notwendig, um Rechtssicherheit – besonders für Start-ups und den Mittelstand der europäischen Digitalindustrie – zu garantieren. So entsteht Wachstum – auf beiden Seiten des Atlantiks. Daher ist es nun erforderlich, den Versuch zu unternehmen, mit den USA ein neues Instrument zu finden, mit dem der Datenschutz für Europäische Bürgerinnen und Bürger – auf Grundlage unserer Wertegemeinschaft – verbessert wird und das transatlantischen Datenaustausch rechtssicher möglich macht. Auch wenn die Nutzung von Standardvertragsklauseln für die Übermittlung personenbezogener Daten möglich bleibt, ist die Europäische Kommission daher dringend aufgerufen, schnell konkrete Vorschläge zu unterbreiten, um auf Augenhöhe eine neue Grundlage für den rechtssicheren Datenaustausch zwischen der EU und den USA zu schaffen.“

Tankred Schipanski, digitalpolitischer Sprecher der CDU/CSU-Bundestagsfraktion



„Eine wichtige Konsequenz aus den gescheiterten ‚Safe Harbor’- und ‚Privacy Shield’-Abkommen sollte sein, Daten europäischer Bürgerinnen und Bürger auf europäischen Servern zu speichern. Denn Kontrolle über die eigenen Daten, Aufsicht durch unabhängige Datenschutzbehörden und wirksamer Rechtsschutz vor Gerichten ist essenzieller Teil des Grundrechtsschutzes. Die EU muss Vorreiter bleiben für eine digitale Welt, die die Bürgerrechte achtet. Das stärkt auch die Digitalwirtschaft in Europa.”

Bundesjustizministerin Christine Lambrecht (SPD)



„Dem Datenschutz kommt in der digitalen Welt eine Schlüsselrolle zu. Er sichert Grundrechte, schützt die Menschenwürde und bietet Unternehmen die notwendige Rechtssicherheit. EU-Kommission und Bundesregierung sollten das Urteil sehr ernst nehmen. Sie müssen ihre bisherige Politik in Datenschutzfragen unbedingt grundlegend überdenken. Hierzu gehört auch, sich von massenhaften, anlasslosen Vorratsdatenspeicherungen endgültig zu verabschieden. Wir danken Max Schrems als Kläger für sein langjähriges Engagement für unsere Grundrechte.“

Konstantin von Notz, Stellvertretender Fraktionsvorsitzender Bündnis 90/Die Grünen im Bundestag



„Zum einen geht es darum, dass die weitreichenden US-Überwachungsgesetze nicht mit den Grundrechten in der EU vereinbar sind. Das ist der erste Punkt. Dort müssten tatsächlich US-Überwachungsgesetze verändert werden. Nach den Snowden-Enthüllungen gab es Schutzmaßnahmen für US-Bürger gegenüber der NSA, aber nicht gegenüber ausländischen Bürgern und damit EU-Bürgern, und da hat der EuGH jetzt ganz klar gesagt, die EU wird ihre Grundrechte nicht ändern, um der NSA zu gefallen. Das heißt, das ist bei uns festgeschrieben, und dort muss sich in den USA was bewegen, damit man dort ein Abkommen hinbekommt. Gleichzeitig geht es natürlich um das Datenschutzniveau insgesamt. Wir haben mit der Datenschutzgrundverordnung ein hohes Niveau und wir wollen den USA über dieses Abkommen eigentlich einen sehr direkten Zugang zu EU-Daten zugeben, und da muss man auch sicherstellen, dass die USA, was Datenschutz angeht, noch nachlegen. Da wird sich sicherlich jetzt auch eine innenpolitische Diskussion in den USA entwickeln über die Höhe des Datenschutzes in den USA.“

FDP-Präsidiumsmitglied Moritz Körner



„Das Urteil hat auch Auswirkungen auf viele deutsche Unternehmen, die im Datenaustausch mit den USA stehen. Dass sie jetzt auch Probleme bekommen, liegt am Überwachungswahn der US-Geheimdienste und nicht am EuGH. Klar ist: So lange amerikanische Überwachungsinteressen und europäischer Datenschutz sich unvereinbar gegenüberstehen, wird es hier keine einvernehmliche Lösung geben können. Die USA müssen daher endlich ihre Strategie der weltweiten Massenüberwachung ändern.“

Anke Domscheit-Berg, netzpolitische Sprecherin der Bundestagsfraktion DIE LINKE

Vorheriger Artikel„Wir digitalisieren ganze Betriebe“
Nächster ArtikelKaitos greift mit Deep Learning nach den Sternen
Stefan Reinermann ist Digital Journalist, Online-Marketing-Manager und als Inhaber und Geschäftsführer der Agentur r2medien auch Herausgeber dieses Blogs. Nach einer Ausbildung zum Versicherungskaufmann bei den Westfälischen Provinzial Versicherungen in Münster und einem Studium an der Deutschen Sporthochschule in Köln kam der gebürtige Emsdettener über Stationen in Redaktionen und Agenturen in Köln, Bonn, Leverkusen, Düsseldorf und Osnabrück schließlich zurück nach Münster und gründete hier 2004 die Agentur r2medien. Den Mehrwert von Netzwerken, kollaborativem Arbeiten und dem Teilen von Wissen hat er in den vergangenen Jahren in zahlreichen Projekten zu schätzen gelernt. Das war in erster Linie sein Antrieb zur Realisierung dieses Blogs.

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here