Categories: RechtRegulierung

Datenschutzabkommen Privacy Shield scheitert vor EU-Gerichtshof

Der Gerichtshof der Europäischen Union hat den EU-US-Datenschutzschild Privacy Shield gekippt. Er hob den Angemessenheitsbeschluss der EU-Kommission aus dem Jahr 2016 auf, mit dem festgestellt wurde, dass die USA einen „angemessenen“ Schutz persönlicher Daten gemäß eigener Gesetze und internationaler Vereinbarungen garantieren. Genau diesen Schutz sieht das Gericht nicht als gewährleistet an.

Stattdessen kommt der Gerichtshof zu dem Ergebnis, dass „den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung amerikanischen Rechts Vorrang eingeräumt wird“. Das ermögliche Eingriffe in die Grundrechte der Personen, deren Daten in die Vereinigten Staaten übermittelt würden. In den USA seien die Anforderungen an einen behördlichen Datenzugriff geringer und entsprächen nicht dem in der EU geltenden Grundsatz der Verhältnismäßigkeit. Vor allem die „auf amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme “ seien nicht auf das erforderliche Maß beschränkt.

Darüber hinaus kritisiert der Gerichtshof den mit den USA vereinbarten Ombudsmechanismus. Er soll EU-Bürgern im Streitfall helfen, ihre Rechte gegenüber US-Behörden durchzusetzen. Die Ombudsperson sei jedoch nicht ermächtigt, gegenüber „den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen“.

Den 2010 ergangenen Beschluss über die sogenannten Standardvertragsklauseln, die zwischen einem Datenexporteur und einem Datenempfänger in einem Drittland vereinbart werden können, stufte das Gericht indes als gültig ein. Darin wird unter anderem festgelegt, dass Exporteur und Empfänger vor einer Übermittlung prüfen müssen „ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird“. Zudem sei der Empfänger verpflichtet, den Exporteur zu informieren, da er die Standardschutzklauseln der EU nicht einhalten kann, woraufhin der Exporteur die Übermittlung einstellen müsse.

Auslöser war die vom österreichischen Aktivisten Max Schrems im Jahr 2008 eingereichte Beschwerde gegen Facebook Irland. Sie führte 2015 dazu, dass das bis dahin gültige Safe-Harbour-Abkommen aufgehoben wurde. Daraufhin erfolgten Datenübermittlungen auf Basis der Standardvertragsklauseln und Schrems richtete seine Beschwerde auf Veranlassung der irischen Datenschutzbehörde nun gegen dieses Regelwerk. Der schließlich mit der Sache betraute irische High Court übergab den Fall dann an den Gerichtshof der Europäischen Union

Schrems geht nun davon aus, dass auch die Standardvertragsklauseln nicht für einen Datenaustausch mit US-Unternehmen angewendet werden können, die den US-Überwachungsgesetzen unterliegen. Zuständige Datenschutzbehörden müssten nun sogar von sich aus gegen Unternehmen vorgehen, „wenn US-Überwachungsgesetze gegen die Grundsätze des EU-Datenschutzrechts verstoßen, die Unternehmen aber nicht tätig geworden sind“, teilte Schrems Datenschutzinitiative NOYB mit.

„Das Urteil macht deutlich, dass Unternehmen die SCCs nicht einfach unterzeichnen dürfen, sondern auch prüfen müssen, ob diese in der Praxis überhaupt eingehalten werden können. In Fällen wie bei Facebook, wo Facebook untätig blieb, hatte die DPC die Lösung dieses Falles die ganze Zeit selbst in der Hand. Sie hätte Facebook schon vor Jahren anweisen können, die Datentransfers zu stoppen. In unserer Klage forderten wir, dass sie eine Unterlassungsverfügung mit einer angemessenen Umsetzungsfrist erlässt, damit Facebook alle notwendigen Schritte unternehmen kann. Stattdessen wandte die sich DPC an den EuGH, um die – nun für gültig befundenen – SCCs für aufheben zu lassen. Es ist, als würde man die europäische Feuerwehr rufen, weil man selbst keine Lust hat, eine Kerze auszublasen“, sagte Schrems.

Auch der Nürnberger Cloud-Anbieter OwnCloud bewerte das Urteil positiv. „Das heutige EuGH-Urteil stellt ein großes Problem für die amerikanischen Cloudspeicher-Dienste wie Microsoft OneDrive, Google Drive oder Dropbox dar. Es bedeutet im Endeffekt, dass die Speicherung personenbezogener Daten von EU-Bürgern in diesen Clouds gegen EU-Recht, sprich die DSGVO, verstößt und somit empfindliche Strafen drohen. Damit wird die Nutzbarkeit dieser Dienste für europäische Unternehmen und Behörden vom heutigen Tag an stark eingeschränkt“, kommentierte Tobias Gerlinger, CEO und Managing Director von ownCloud.

„Mit dem Urteil des Europäischen Gerichtshofs ist es nun auch amtlich, dass die Zertifizierungen der großen amerikanischen Cloud-Anbieter Microsoft, Google, Amazon und Co. nach dem ,EU-US-Privacy-Shield-Abkommen’ nicht einmal das Papier wert sind, auf dem sie stehen. Der Transfer personenbezogener Daten von EU-Bürgern durch diese Cloud-Dienste in die USA verstößt gegen EU-Recht. Da ein solcher Transfer wegen des US Cloud Act auch bei Speicherung der Daten in der EU nicht ausgeschlossen werden kann, wird die Nutzbarkeit amerikanischer Cloud-Dienste für europäische Unternehmen und Behörden de facto stark eingeschränkt.“

EU-Kommissionsvizepräsidentin Věra Jourová erklärte, Datenschutz sei ein grundlegendes Recht der europäischen Bürgerinnen und Bürger. „Wir sind der festen Überzeugung, dass es in der globalisierten Welt von heute unerlässlich ist, über ein breites Instrumentarium für internationale Datenübertragungen zu verfügen und gleichzeitig ein hohes Schutzniveau für personenbezogene Daten sicherzustellen.“

Die EU erarbeite nun zusammen mit den Datenschutzbehörden der Mitgliedstaaten eine Modernisierung der Standardvertragsklauseln. Zudem werde das weitere Vorgehen mit den US-Partnern diskutiert. Der Ansicht Schrems‘, dass ein Datenaustausch nur nach einer grundlegenden Reform der US-Überwachungsgesetze möglich sei, schloss sich die EU-Kommissarin jedoch nicht an.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

So viele digitale Endgeräte haben Kinder wirklich

Ab einem Alter von 10 Jahren haben die meisten ein eigenes Smartphone. Hälfte zwischen 6…

7 Stunden ago

Flüssigkeitsgekühlte High-Performance-Cluster

Energieeffiziente flüssigkeitsgekühlte Rechenzentren bringen wissenschaftlichen Fortschritt in Biowissenschaften und Medizin voran.

7 Stunden ago

Intel-CEO Pat Gelsinger tritt zurück

Der Manager verlässt auch das Board of Directors. Während der Suche nach einem Nachfolger leiten…

8 Stunden ago

NIS2: EU leitet Verfahren gegen Deutschland ein

Es geht auch um die Umsetzung der Richtlinie über die Resilienz kritischer Einrichtungen. Auch mehr…

15 Stunden ago

KI-Reife der Unternehmen in Deutschland sinkt leicht

Cisco „KI-Readiness“-Studie zeigt: Nur noch 6 Prozent der Unternehmen sind optimal auf KI vorbereitet, gegenüber…

17 Stunden ago

Big Blue kündigt Zusammenarbeit mit AMD an

IBM Cloud setzt AMD Instinct MI300X Accelerators ein, um generative KI-Workloads und HPC-Anwendungen zu unterstützen.

4 Tagen ago