Kommentar: EuGH-Urteil zu Privacy Shield ist eine Katastrophe mit Ansage
Der EuGH hat die Privacy-Shield-Grundsätze für unwirksam erklärt. Obwohl damit zu rechnen war, ist kaum jemand auf die Folgen des Urteils vorbereitet.
(Bild: EU-Kommission, mit Rauschen von heise online)
So richtig überrascht konnte eigentlich niemand gewesen sein, als der Europäische Gerichtshof (EuGH) Mitte Juni zum zweiten Mal die zentrale Rechtsgrundlage zum Transfer von Daten aus der EU in die USA kippte. Nachdem 2015 bereits die Safe-Harbor-Vereinbarung für ungültig erklärt wurde, traf es jetzt auch deren Nachfolger, den Privacy Shield.
Auch inhaltlich unterscheiden sich die Urteile nicht grundlegend. In beiden stellte der EuGH vor allem darauf ab, dass die Daten von europäischen Bürgern nicht ausreichend vor dem Zugriff der US-Geheimdienste und der sonstigen Stellen im amerikanischen Überwachungskosmos geschützt sind. Auch einen hinreichenden Rechtsschutz für Europäer gewährte die Vereinbarung nicht. Bei näherem Hinsehen erschöpfte sich die euphemistisch "Privacy-Shield-Zertifizierung" genannte Privilegierung der US-Unternehmen zum Empfang sensibler europäischer Daten in ganz wesentlichen Punkten lediglich in einer Eintragung in ein öffentliches Verzeichnis.
Gewinner sind die Bürger
Obwohl Datenschützer bereits seit vielen Jahren vor einem allzu starken Vertrauen auf den Privacy Shield warnten, war kaum jemand auf die erheblichen Folgen des EuGH-Richterspruchs vorbereitet. Gewinner sind zweifellos die Bürger und ihre Advokaten wie Max Schrems, der beide Urteile erwirkt hat. Dagegen trifft es – wie leider so häufig im Datenschutz – vor allem kleine Unternehmen und den Mittelstand hart, denen es häufig nicht möglich ist, kurzfristig die Situation zu analysieren und Alternativen umzusetzen.
Und das wird ohnehin schwierig genug. Denn die Entscheidung lässt nur wenig Spielräume oder Lücken für einen auch zukünftig noch legalen Datentransfer über den Atlantik. Der Privacy Shield ist weggefallen. Schwer angeschlagen sind nach dem Urteil für eine Weitergabe in die USA auch die bislang als praxistaugliche Alternative gehandelten Standarddatenschutzklauseln (SDK). Das offenkundige Problem dabei: Natürlich hält auch ein Vertrag die Geheimdienste und ihre Pendants nicht vom Schnüffeln ab. Viele Alternativen bleiben dann nicht mehr: Es kommen eine Sonderregelung für Konzerne, eine noch nicht in der Praxis mögliche DSGVO-Zertifizierung und dann nur noch die wenig praxistaugliche Einwilligung aller Betroffenen in die Übertragung ihrer Daten.