Der Europäische Gerichtshof hat die EU-US-Datenschutzvereinbarung «Privacy Shield» gekippt. Die Luxemburger Richter erklärten somit die bisherige EU-US-Datenschutzvereinbarung für ungültig. Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden seien die Anforderungen an den Datenschutz nicht gewährleistet. Zudem sei der Rechtsschutz für Betroffene unzureichend.
Im Rechtsstreit des österreichischen Juristen Max Schrems gegen Facebook erklärten die Richter allerdings auch, dass Nutzerdaten von EU-Bürgern weiterhin auf Basis sogenannter Standardvertragsklauseln in die USA und andere Staaten übertragen werden können.
Hintergrund ist eine Beschwerde des Datenschutzaktivisten Max Schrems. Der österreichische Jurist hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Er begründete seine Beschwerde damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen - ohne dass Betroffene dagegen vorgehen könnten. Ein irisches Gericht wollte daher vom EuGH wissen, ob die sogenannten Standardvertragsklauseln und das EU-US-Datenschutzabkommen «Privacy Shield» mit dem europäischen Datenschutzniveau vereinbar sind.
Die Standardvertragsklauseln sollen im Kern Garantien dafür bieten, dass die Daten von EU-Bürgern auch bei einer Übermittlung aus der EU ins Ausland angemessen geschützt sind. Das «Privacy Shield» ist ein weiterer Kanal, der ausschliesslich für den Datentransfer in die USA zur Verfügung steht.
Die Luxemburger Richter erklärten das «Privacy Shield» nun für ungültig, da der Rechtsschutz für Betroffene unzureichend sei. Der EuGH verneint somit, dass Daten in den USA gleich gut geschützt seien wie in der EU. Die Richter lassen den Firmen aber die Möglichkeit, den nötigen Schutz der Privatsphäre durch privatrechtliche Standardvertragsklauseln zu erreichen.
Schrems erklärte in einer ersten Reaktion, er sei sehr glücklich über das Urteil. «Auf den ersten Blick scheint uns der Gerichtshof in allen Aspekten gefolgt zu sein. Dies ist ein totaler Schlag für die irische Datenschutzbehörde DPC und Facebook. Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen.»
Auf Schrems' Betreiben hatte der EuGH 2015 bereits den Vorgänger des «Privacy Shield», die Safe-Harbor-Regelung beanstandet, weil sie die Daten europäischer Bürger nicht ausreichend vor dem Zugriff von US-Behörden geschützt habe. Für diese Einschätzung spielten auch die Enthüllungen des Whistleblowers Edward Snowden 2013 zur ausufernden Internet-Überwachung durch US-Geheimdienste eine wichtige Rolle. Facebook beruft sich allerdings bei der Übertragung der Daten von Europa in die USA nicht auf das «Privacy Shield», sondern auf die Standardvertragsklauseln.
Ein ausführlicher Artikel folgt.
(oli/sda/dpa)
Apropos fremde Richter: Es gibt auch ein Swiss-US-Privacy Shield, das gleich mangelhaft ist (https://bit.ly/3eFC4wo). Bei Streitigkeiten urteilen von Amerika eingesetzte, bzw. US-hörige Schlichter als Gericht.
https://go.adr.org/privacyshield-swiss-arbitrators.html
Unser Datenschutzbeauftragte schaut geflissentlich weg, was er auch hier nicht dürfte.
Man stelle sich vor, China würde sich so verhalten...
Verändert sich für uns nicht-EU-Land überhaupt etwas?