Aus fürs Privacy Shield: Der internationale Datenverkehr kommt ins Trudeln

16.07.2020 18:52 Uhr Stefan Krempl

Bürgerrechtler bejubeln das deutliche EuGH-Urteil zu Datentransfers ins Ausland als Sieg im Kampf gegen Massenüberwachung, die Digitalwirtschaft ist geschockt.

Während bei Max Schrems und seiner Datenschutzorganisation Noyb am Donnerstag nach dem Urteil des Europäischen Gerichtshofs (EuGH) gegen das löchrige transatlantische Datenschutzschild die Korken knallten, ziehen Vertreter der Internetwirtschaft und der EU-Kommission lange Gesichter. Die von den Luxemburger Richtern verabreichte Entscheidung ist keine leichte Kost: Das "Privacy Shield" zwischen der EU und den USA ist ungültig, weil US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) eine Massenüberwachung erlauben.

Aus dem gleichen Grund hat der EuGH auch die sogenannten Standardvertragsklauseln (SVK), über die sich vor allem US-Konzerne wie Amazon, Facebook, Google oder Microsoft für ihren Datentransfer in die Heimat zusätzlich abzusichern versuchen, nur formal aufrecht erhalten [1]. Eigentlich sind aber auch sie bei Übertragungen in die USA das Papier nicht mehr wert, auf dem sie stehen.

Datenstaubsauger NSA

Dabei müssen die auf SVK setzenden Firmen selbst und die Datenschutzbehörden nur noch in einem zweiten Schritt die Entscheidung der Luxemburger Richter nachvollziehen, dass der Grundrechtsschutz für EU-Bürger in den Vereinigten Staaten nicht gewahrt ist. Nach den Enthüllungen des Whistleblowers Edward Snowden [2] kann daran wenig Zweifel bestehen: Sie führen jedem Interessierten vor Augen, dass die NSA im großen Stil Daten von Apple, Facebook, Google, Google, Yahoo und weiteren absaugt und auch anderen US-Behörden verfügbar macht. Der EuGH hat deutlich gemacht, dass diese Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.

Noch sind die Lesarten des Grundsatzurteils teils unterschiedlich, im Kern führt an den Ansagen aus Luxemburg aber kein Weg vorbei. Für Schrems, der den Stein mit einer Beschwerde über die Praktiken Facebooks bei der irischen Datenschutzbehörde DPC ins Rollen gebracht hat, steht fest [3]: Standardvertragsklauseln "können auch nicht mehr von Facebook und US-Unternehmen genutzt werden, die unter US-Überwachung stehen". Nur wenn es kein kollidierendes Recht gebe, seien SVK noch einsetzbar.

Feuerwehr für eine Kerze

In Fällen wie bei Facebook hätte die DPC den Betreiber des sozialen Netzwerks laut dem Juristen "schon vor Jahren anweisen können, die Datentransfers zu stoppen". Stattdessen habe sich die Behörde an den EuGH gewandt, um die – nun im Prinzip für gültig befundenen – SVK aufheben zu lassen. Sie habe die Feuerwehr gerufen aus Unlust, eine Kerze auszublasen. Der seit sieben Jahren anhängige Fall habe allein die DPC fast drei Millionen Euro gekostet. Dies zeige auch grundlegende Mängel bei der Durchsetzung der Datenschutz-Grundverordnung (DSGVO [4]) auf.

Trotz des Urteils könnten absolut notwendige Datentransfers gemäß Artikel 49 DSGVO weiterhin stattfinden, heißt es bei Noyb. Übermittlungen ließen sich auch auf eine informierte Einwilligung des Nutzers stützen, die aber jederzeit widerrufbar sei. Die USA würden einfach in ein den Status eines Landes ohne besonderen Zugang zu EU-Daten zurückversetzt.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Umfragen immer laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung [5].

Die in Luxemburg im Kern gescheiterte DPC begrüßte die Entscheidung ebenfalls nachdrücklich [6]. Ihr seien Datentransfers in die USA schon nach dem Aus für das Vorgängerabkommen Safe Harbor 2015 [7] überaus problematisch erschienen, unabhängig von der genutzten Rechtsgrundlage, teilte die Aufsichtsbehörde mit. Durch das Urteil sehe man die eigenen Bedenken nun voll bestätigt. Dass der EuGH das SVK-Instrument trotzdem nicht direkt verworfen habe, erfordere angesichts der Komplexität der Materie noch eine gründliche Analyse. Der SVK-Mechanismus erscheine in Bezug auf die USA nach wie vor "fraglich". Man wolle nun gemeinsam mit den "europäischen Kollegen" eine gemeinsame Position erarbeiten.

Unternehmen, die öffentliche Verwaltung und die in ihrer Rolle gestärkten Aufsichtsbehörden "haben jetzt die komplexe Aufgabe, das Urteil praktisch anzuwenden", verweist der Bundesdatenschutzbeauftragte Ulrich Kelber auf eine große Herausforderung. Die Kontrollinstanzen müssten "bei jeder einzelnen Datenverarbeitung" prüfen, "ob die hohen Anforderungen des EuGH erfüllt werden". Internationaler Datenverkehr bleibe zwar generell weiter möglich. Dabei seien aber die Grundrechte der EU-Bürger zu beachten. Für den Austausch mit den USA müssten nun "besondere Schutzmaßnahmen ergriffen werden".

"Schwere Zeiten" für den internationalen Datenverkehr

Der Umfang der NSA-Spähaktivitäten war im Juni durch den früheren externen Mitarbeiter Edward Snowden enthüllt worden. Eine von US-Präsident Obama eingesetzte Expertengruppe fordert eine Serie entscheidender Reformen der Geheimdienstüberwachung. — Nach Snowden könne kein Zweifel mehr am fehlenden Grundrechteschutz in den USA bestehen, meinen Befürworter des EuGH-Urteils.

(Bild: dpa, Peter Steffen/Archiv)

"Für den internationalen Datenverkehr ziehen schwere Zeiten auf", zieht der Hamburgische Datenschutzbeauftragte Johannes Caspar ein skeptischeres Fazit. "Die Umetikettierung des im Jahr 2015 für ungültig erklärten Vorgängerinstruments Safe Harbor mit nur marginalen Verbesserungen hat zu keinem Umdenken in der Regierung der USA geführt". Weder hätte der dortige Gesetzgeber bei der Praxis der anlasslosen Massenüberwachung etwas geändert, noch seien Betroffenenrechte substanziell gestärkt worden. Die Entscheidung, die Standardvertragsklauseln prinzipiell beizubehalten, sei nicht konsequent. Wenn primär mit den ausufernden Geheimdienstaktivitäten in den USA argumentiert werde, müsse dies für das alternative Instrument genauso gelten.

Ball jetzt bei den Datenschützern

Der EuGH habe den Ball den europäischen Aufsichtsbehörden zugespielt, sagte Caspar. Die Datenschutzbeauftragten in Deutschland und Europa müssten sich schnell verständigen, "wie mit Unternehmen umgegangen wird, die nun unzulässigerweise weiter auf das Privacy Shield setzen". Dasselbe gelte für Firmen, die SVK für Transfers in die USA und in andere Drittstaaten nutzten. Dabei werde sich etwa auch bei China oder Großbritannien mit Blick auf den Brexit "die Frage der zulässigen Datenübermittlung stellen". Der Thüringer Datenschutzbeauftragte Lutz Haase meinte, er wisse nicht, wie im Fall von Transfers in die USA noch "ein EU-datenschutzkonformes Prüfergebnis zustande kommen soll".

Der IT-Verband Bitkom monierte, dass zum zweiten Mal eine der Rechtsgrundlagen für transatlantische Datentransfers weggefallen sei. Auch die Praxis der Standardvertragsklauseln gerate ins Wanken, es entstünde massive Rechtsunsicherheit. Wer bislang allein auf das Privacy Shield gebaut habe, müsse auf andere Verfahren umstellen, sonst "droht ein Datenchaos". Ähnlich besorgt zeigte sich der eco-Verband der Internetwirtschaft.

Droht ein "Datenchaos"?

Der Bundesverband IT-Mittelstand vermag der Entscheidung auch etwas Gutes abzugewinnen: Sie könne "den Weg dahin ebnen, dass Datensicherheit als Wettbewerbsvorteil für Europa erkannt wird". Microsoft meinte, gewerbliche Kunden dürften die Dienste des Unternehmens im Einklang mit dem europäischen Recht weiterhin nutzen: "Das Urteil des Gerichtshofs ändert nichts daran, dass Sie heute Daten zwischen der EU und den USA über die Microsoft-Cloud übertragen können." Man biete den Kunden seit Jahren einen überlappenden Schutz im Rahmen der SVK und des Privacy Shield.

"Wir werden auf Grundlage des heutigen Urteils eng mit unseren amerikanischen Kollegen zusammenarbeiten", kündigte Věra Jourová, Vizepräsidentin der EU-Kommission für Werte, an. EU-Justizkommissar Didier Reynders unterstrich, SVK seien bereits das gebräuchlichste Mittel für internationale Datentransfers. Man arbeite schon seit Längerem daran, dieses Werkzeug zu modernisieren. Betroffen sieht Philippe Heinzke, Rechtsanwalt bei der Wirtschaftskanzlei CMS, vor allem kleine und mittlere Unternehmen, die bislang vielfach keine "Standardverträge" abgeschlossen hätten.

Das Urteil "ist ein Sieg für die Privatsphäre gegen die Massenüberwachung", freute sich Diego Naranjo von der Initative European Digital Rights (EDRi). Die USA müssten die Arbeit ihrer Geheimdienste nun dringend reformieren. Moritz Körner, innenpolitischer Sprecher der FDP im EU-Parlament sprach von einem "Erdbeben für den internationalen Datenaustausch". Dank des Richterspruchs dürfe die Datenschnüffelei der USA nicht länger ignoriert oder hingenommen werden. Es sei traurig, "dass dies nur durch die Klage der Privatperson Schrems erreicht werden konnte". (vbr [8])

URL dieses Artikels:
https://www.heise.de/-4846000

Links in diesem Artikel:
[1] https://www.heise.de/news/EuGH-kippt-EU-US-Datenschutzvereinbarung-Privacy-Shield-4845204.html
[2] https://www.heise.de/news/Edward-Snowdens-Biografie-Sorry-aber-es-musste-sein-4532639.html
[3] https://noyb.eu/de/node/189
[4] https://www.heise.de/thema/DSGVO#liste
[5] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[6] https://www.dataprotection.ie/en/news-media/press-releases/dpc-statement-cjeu-decision
[7] https://www.heise.de/news/Datenschutz-bei-Facebook-Co-EuGH-erklaert-Safe-Harbor-fuer-ungueltig-2838025.html
[8] mailto:vbr@heise.de