Datenschutzbeauftrage zum Privacy Shield: Nutzer können Schmerzensgeld verlangen

Die Berliner Datenschutzbeauftragte Maja Smoltczyk erhöht nach dem Aus für den transatlantischen Datenschutzschild den Druck auf betroffene Firmen.

In Pocket speichern vorlesen Druckansicht 75 Kommentare lesen
Datenschutzbeauftragte zu Privacy Shield: Nutzer können Schmerzensgeld verlangen

(Bild: mixmagic/Shutterstock.com)

Lesezeit: 5 Min.
Inhaltsverzeichnis

Nach dem Urteil des Europäischen Gerichtshofs (EuGH) gegen das löchrige Privacy Shield zwischen der EU und den USA fordert Berlins Datenschutzbeauftragte Maja Smoltczyk rasche Konsequenzen. "Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen", betont Smoltczyk. Der EuGH habe "in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen".

Für Smoltczyk steht damit fest: "Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei." Sie forderte "alle datenverarbeitenden Stellen" wie etwa Anbieter von Cloud-Diensten in der Hauptstadt auf, "in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern" oder in ein anderes Land mit angemessenem Datenschutzniveau zu wechseln.

Die Luxemburger Richter betonten ausdrücklich, dass die Aufsichtsbehörden verpflichtet seien, nach den neu aufgestellten Maßstäben "unzulässige Datenexporte zu verbieten", arbeitet Smoltczyk heraus. Davon betroffene Personen könnten Schadensersatz für rechtswidrige Transfers in die USA verlangen, wenn etwa Unternehmen wie Apple, Facebook, Google oder Twitter diese nicht unterließen. Der zu leistende Ausgleich dürfte dabei "insbesondere den immateriellen Schaden ('Schmerzensgeld') umfassen und muss nach dem europäischen Recht eine abschreckende Höhe aufweisen".

Generell sollten personenbezogene Daten "bis zu einer Änderung der Rechtslage in aller Regel nicht mehr wie bisher in die USA übermittelt werden", folgert Smoltczyk aus dem Urteil. Die vom EuGH monierte Massenüberwachung jenseits des Atlantiks und mangelnder Rechtsschutzmöglichkeiten machten das nötig. Ausnahmen bestünden vor allem in den gesetzlich vorgesehenen Sonderfällen, etwa bei einer Hotelbuchung in den Vereinigten Staaten.

Bei den als Alternative zum gekippten Privacy Shield oft verwendeten Standardvertragsklauseln (SVK), die europäische Unternehmen mit Anbietern in Drittländern prinzipiell nach wie vor abschließen könnten, müssen die Beteiligten auf Basis der Ansage aus Luxemburg nun der Kontrolleurin zufolge "vor der ersten Datenübermittlung" prüfen, ob im Exportland "staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen". Treffe dies zu, wovon im Fall USA auszugehen sei, könnten auch SVK einen Transfer nicht rechtfertigen. Bereits ins Drittland übermittelte Daten müssten zurückgeholt werden.

"Das Urteil schafft für die betroffenen Unternehmen große Rechtsunsicherheit", erklärte der Bundesverband IT-Sicherheit (TeleTrusT) am Montag. "Eine langfristige und verlässliche Absicherung des Datentransfers in die USA fehlt." In dieser Lage sei zu erwarten, dass sich die Aufsichtsbehörden auf nationaler und europäischer Ebene zeitnah äußern und eigene Hinweise und Handlungsempfehlungen veröffentlichten. Die Berliner Beauftragte sei da "bereits vorgeprescht", kritisiert der Verein, "obwohl hier eine Abstimmung der Datenschutzbehörden aller EU-Länder angezeigt wäre".

Der Richterspruch entfalte "unmittelbar Gültigkeit", warnt der Verband. "Damit sind die betroffenen Datenübermittlungen ab sofort rechtswidrig." Entsprechend sollten die über 5000 Firmen, die bisher unter den vermeintlichen Schirm des Privacy Shields geschlüpft sind, die erforderlichen Maßnahmen unverzüglich ergreifen. Gleichzeitig sei aber nicht zu erwarten, "dass Aufsichtsbehörden unmittelbar Bußgelder verhängen werden".

Der TeleTrusT-Vizevorsitzende Karsten Bartels rät: Wer alle Risiken vermeiden wolle, werde "auf einer Verarbeitung in Europa unter ausschließlicher Kontrolle europäischer Unternehmen bestehen müssen". Nachdem das "häufig technisch oder wirtschaftlich nicht als Option erscheint", könne man aber auch zunächst abwarten, "wie die Aufsichtsbehörden die Risiken einschätzen werden".

Der baden-württembergische Datenschutzbeauftragte Stefan Brink mahnt dagegen – wie seine Kollegin aus Berlin – zum raschen Handeln: "Der EuGH meint es ernst – inklusive aller Konsequenzen", sagte er der "Frankfurter Allgemeinen Zeitung". Die Richter nähmen keine Rücksicht auf Kollateralschäden.

Genervt von den Fehlern der Brüsseler Exekutive zeigte sich der EU-Datenschutzbeauftragte Wojciech Wiewiórowski: "Dies ist das zweite Mal in knapp fünf Jahren, dass eine Angemessenheitsentscheidung der Europäischen Kommission in Bezug auf die Vereinigten Staaten vom Gerichtshof für ungültig erklärt wird." In dem Urteil hätten die Richter die "wiederholt geäußerte" Kritik der europäischen Aufsichtsbehörden am Privacy Shield bestätigt.

Wiewiórowski hofft nun, dass die USA "alle möglichen Anstrengungen und Mittel einsetzen werden, um zu einem umfassenden Rechtsrahmen" für den Schutz der Privatsphäre zu gelangen, "der die vom Gericht bestätigten Anforderungen an angemessene Garantien wirklich erfüllt". Als Prüfinstanz für die gesamte EU-Verwaltung werde er die Folgen der Entscheidung sorgfältig analysieren. Seine jüngste Untersuchung zum Einsatz von Produkten und Diensten von Microsoft in den europäischen Institutionen bestätige, wie groß diese Herausforderung sei.

(olb)