Zum Inhalt springen

Urteil zum Datenschutz-Streit EuGH kippt «Privacy Shield»

  • Der Europäische Gerichtshof hat die EU-US-Datenschutzvereinbarung «Privacy Shield» gekippt.
  • Allerdings können Nutzerdaten von EU-Bürgern weiterhin auf Basis sogenannter Standardvertragsklauseln in die USA und andere Staaten übertragen werden, wie die Luxemburger Richter entschieden.
  • Der österreichische Aktivist Max Schrems hatte vor dem irischen Datenschutzbeauftragten beanstandet, dass Facebook seine persönlichen Daten von der Europa-Zentrale in Irland in die USA übermittle.
  • Dort sei Facebook nämlich verpflichtet, die Daten den US-Behörden zugänglich zu machen, darunter der NSA und dem FBI.

Es ist ein Grundsatzentscheid: Dürfen Nutzerdaten von EU-Bürgern weiterhin auf Basis der Datenschutzvereinbarung zwischen der EU und den USA, dem «Privacy Shield», übermittelt werden? Der Europäische Gerichtshof kippt diese Vereinbarung.

Wer ist Max Schrems?

Box aufklappen Box zuklappen

Max Schrems kämpft seit Jahren für einen stärkeren Datenschutz in Europa – und gegen Facebook. Nach den ersten Anfragen bei Facebook und der irischen Datenschutzbehörde seien die Antworten so surreal gewesen, dass er immer habe weitermachen müssen, sagt er. Auf sein Betreiben kippte der EuGH 2015 bereits die Safe-Harbor-Regelung. Als Nachfolgeregelung hatte die EU-Kommission mit den US-Behörden schliesslich den Datenschutz-Schild ausgehandelt, der nun erneut infrage steht. Er gründete auch den Datenschutz-Verein Noyb, der auf Grundlage der seit 2018 gültigen EU-Datenschutzgrundverordnung bereits Anzeigen gegen Google und Facebook auf den Weg brachte.

Die Richter störten sich an den weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf die Daten der Europäer. Der Europäische Gerichtshof folgte den Bedenken Schrems' nun weitgehend – und löste mit seinem Urteil ein Erdbeben aus. Die amerikanische Überwachungspraxis sei nicht auf das zwingend erforderliche Mass begrenzt, betonten die Richter. Zudem könnten Betroffene ihre vorgesehenen Rechte nicht gerichtlich durchsetzen.

Datenschützer sollen eingreifen und diese Austauschmechanismen aufgeben, sollten sie die Daten nicht angemessen schützen, meint das Gericht dazu.

Datenaustausch zwischen Europa und den USA

Box aufklappen Box zuklappen

Standardvertragsklauseln, wie sie auch Facebook verwendet, sind im wesentlichen Garantien dafür, dass Daten von EU-Bürgern auch bei einer Übermittlung aus der EU ins Ausland geschützt sind.

Das «Privacy Shield» ist einer dieser Kanäle, der ausschliesslich für den Datentransfer in die USA zur Verfügung steht. Betrieben wurde von Behörden aus den USA, der EU und der Schweiz entworfen und ist seit 2016 in Verwendung.

Derzeit geschieht der Datenaustausch meist auf Grundlage der Standardvertragsklauseln. Hunderttausende Firmen in verschiedensten Branchen nutzen diese Klauseln, um europäische Daten um die Welt zu senden. Hätte das Gericht diese Klauseln für ungültig erklärt, hätten diese Firmen den Datenaustausch umgehend anhalten müssen. Alternativen sind sowohl teuer als auch komplex.

Allerdings schränkten die Richter ein: Die nationalen Aufsichtsbehörden der EU-Staaten müssten die Datenübermittlung dann stoppen, wenn das EU-Datenschutzniveau im jeweiligen Drittstaat nicht gesichert ist. Bei dieser Beurteilung spiele auch ein etwaiger Zugriff der Behörden des Drittstaats auf die Daten eine Rolle.

Druck auf irische Behörde wächst

Im konkreten Streit zwischen Schrems und Facebook heisst das, dass die irische Datenschutzbehörde DPC eingreifen müsste. Diese schritt in der Vergangenheit allerdings eher zurückhaltend gegen US-Konzerne ein. Der Druck auf die Behörde wächst mit dem Urteil.

«Der Gerichtshof sagt der irischen DPC nicht nur, dass sie nach sieben Jahren Untätigkeit ihre Arbeit tun soll, sondern auch, dass alle europäischen Datenschutzbehörden die Pflicht haben, Massnahmen zu ergreifen und nicht einfach wegschauen dürfen», sagte Schrems nach dem Urteil. Dies sei ein grundlegender Wandel, der weit über den Datentransfer zwischen der EU und den USA hinausgehe.

Urteil für die Schweiz «nicht direkt anwendbar»

Box aufklappen Box zuklappen

Laut dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ist das EuGH-Urteil «für die Schweiz nicht direkt anwendbar». Der EDÖB werde das Urteil im Detail prüfen und sich zu gegebener Zeit dazu äussern, heisst es auf der EDÖB-Internetseite.

Hingegen hatte das Schrems-Urteil Einfluss auf die Äquivalenz-Empfehlung der EU-Kommission zum Schweizer Datenschutz. Eigentlich wäre Ende Juni eine Empfehlung dazu erwartet worden. Doch die Brüsseler Behörde wollte zuerst das Schrems-Urteil abwarten. Die EU-Kommission dürfte sich nun voraussichtlich erst nach der Sommerpause dazu äussern.

Das Bundesamt für Justiz (BJ) geht jedoch davon aus, dass das Schrems-Urteil in Bezug auf die Äquivalenz-Frage nichts ändert. «Gemäss unserer Analyse dürfte der Entwurf zur Revision des Bundesgesetzes über den Datenschutz dem EU-Standard genügen», schreibt das BJ.

SRF 4 News, 16.07.2020, 11 Uhr ; 

Meistgelesene Artikel