Der Jurist Max Schrems hat sich erneut erfolgreich gegen den Umgang von Facebook mit personenbezogenen Daten gewehrt und dafür gesorgt, dass die Europäische Kommission das EU-US-Privacy-Shield für unwirksam erklärt hat. Der EUGH stellte fest, dass in den USA das europäische Datenschutzniveau nicht eingehalten werde. Insbesondere sei es unverhältnismäßig, dass Facebook in den USA dazu verpflichtet sei, die übermittelten Daten US-Behörden wie NSA und FBI zugänglich zu machen.

Warum war das privacy shield wichtig?

Für jedwede Übermittlung von personenbezogenen Daten in Drittländer bedarf es einer Rechtsgrundlage. Als Rechtsgrundlge kommt z. B. ein Angemessenheitsbeschluss der Europäischen Kommission gem. Art. 45 DSGVO in Betracht. Demnach darf eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet.

Das EU-US Privacy-Shield ist ein Abkommen zwischen der Europäischen Kommission und den USA und soll Rahmenbedingungen für den Datentransfer festlegen. Es enthält insbesondere Zusicherungen der US-Regierung mit Garantien und Beschränkungen für den Datenzugriff durch Behörden. Das Privacy-Shield beruht auf einem System der Selbstzertifizierung, wonach sich amerikanische Organisationen zu einem Katalog von Datenschutzgrundsätzen verpflichten.

Am 12. Juli 2016 erließ die Europäische Kommission den Durchführungsbeschluss (EU) 2016/1250 über die Angemessenheit des vom EU-US-Privacy-Shield gebotenen Schutzes. Die Datenübertragung in die USA ist demnach seit dem 1. August 2016 zulässig, sofern sich die Verantwortlichen dem Abkommen entsprechend zertifiziert haben. Viele in der EU ansässige Unternehmen nutzen seitdem das Privacy-Shield als Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA.

Klage gegen das Privacy-Shield

Bereits 2015 sorgte Jurist Max Schrems für die Aufhebung des Safe-Harbour-Abkommens, dem Vorgänger des Privacy Shields. Und auch beim Privacy-Shield lies Schrems nicht lange auf sich warten. Er beanstandete bei der irischen Datenschutzbehörde die Datenübermittlung durch Facebook Ireland an den Mutterkonzern in den USA. Letzterer könne nämlich u.a. wegen § 702 des Foreign Intelligence Surveillance Act (FISA) dazu verpflichtet werden die Daten nicht-US-amerikanischer Staatsangehöriger Behörden wie NSA oder FBI zugänglich zu machen.

Die Beschwerde Schrems ist vor Kurzem beim Europäische Gerichtshof angekommen. Dieser überprüfte daraufhin den Privacy-Shield-Beschluss 2016/1250 und erklärte ihn für ungültig. In der praktischen Umsetzung werde der Einhaltung des amerikanischen Rechts Vorrang eingeräumt, was Eingriffe in die Grundrechte der EU-Bürger*innen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden. Zudem müsse – unabhängig von der konkreten Vertragsbeziehung – das europäische Datenschutzniveau auch im entsprechenden Drittland eingehalten werden. Das Datenschutznivau in den USA sei hier jedoch allgemein zu niedrig.

Folgen

Das EU-US-Privacy-Shield entfällt als Rechtsgrundlage. Unternehmen, die sich ausschließlich auf das Privacy-Shield verlassen haben, müssen ihre Datenübermittlung in die USA stoppen oder eine neue gesetzliche Grundlage dafür finden. Dies bedeutet für einige derzeit große Rechtsunsicherheit.

Allerdings existieren neben dem Angemessenheitsbeschluss der Kommission weitere Rechtsgrundlagen für eine Übermittlung von Daten ins Ausland. Beispielsweise können Konzerne sog. ‚binding corporate rules‘ länderübergreifend festlegen und die Datenübertragung bei der entsprechenden Behörde genehmigen lassen.

Gerne wird auch auf Standardvertragsklauseln der Europäischen Kommission zurückgegriffen. Auch hier ist die Gültigkeit jedoch davon abhängig, ob das verlangte Datenschutzniveau eingehalten werden kann.

–

Alessandra von Krause