Der Europäische Gerichtshof hat den Privacy Shield für ungültig erklärt. Dabei handelt es sich um ein Abkommen zwischen den USA und der Europäischen Union, das den Umgang US-amerikanischer Unternehmen mit personenbezogenen Daten europäischer Nutzer regelt. Der Grund dafür ist, dass der Datenschutz für europäische Nutzer im Rahmen dieses Abkommens „unzureichend“ sei.
Die Entscheidung ist Teil des Urteils im Fall Facebook gegen Schrems, in dem sich der Datenschutzaktivist Max Schrems beim irischen Datenschutzbeauftragten darüber beschwerte, dass Facebook seine Daten (und die anderer europäischer Nutzer) an Rechenzentren in den USA übertrage. Das Problem bestand darin, dass ein US-Gericht nach US-amerikanischem Recht, dem Clarifying Lawful Overseas Use of Data Act von 2018 (CLOUD Act), von einem US-Unternehmen die Herausgabe personenbezogener Daten einer Einzelperson verlangen kann, was bedeutete, dass das Unternehmen seinen Nutzern nicht die in der europäischen Datenschutz-Grundverordnung vorgeschriebenen Datenschutzkontrollen bieten konnte.
„In Bezug auf das erforderliche Schutzniveau im Hinblick auf eine solche Übermittlung stellt der Gerichtshof fest, dass die für derartige Zwecke in der DSGVO (Datenschutz-Grundverordnung) festgelegten Anforderungen hinsichtlich geeigneter Garantien, durchsetzbarer Rechte und wirksamer Rechtsbehelfe dahingehend auszulegen sind, dass den betroffenen Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau gewährt werden muss, das dem innerhalb der EU durch die DSGVO garantierten Schutzniveau der Sache nach gleichwertig ist“, erklärte der Europäische Gerichtshof in seinem Urteil.
Die EU und die USA haben das EU-US-Rahmenabkommen zum Datenschutz (Privacy Shield) ausgehandelt, nachdem ein EU-Gericht im Oktober 2015 Safe Harbor für ungültig erklärt hatte, da es die Datenschutzrechte der EU-Bürger nicht ausreichend schützte. Privacy Shield ermöglicht es US-Unternehmen, Daten von EU-Nutzern außerhalb der EU zu übertragen, ohne in Europa eigene Rechenzentren für die Verarbeitung von EU-Daten einrichten zu müssen. Das Gericht stellte mit diesem Urteil klar, dass Unternehmen ihren Nutzern keine geringeren Datenschutzrechte gewähren dürfen, indem sie Daten europäischer Nutzer in Rechenzentren außerhalb Europas verschieben.
Die Kombination aus Abschnitt 702 des US Foreign Intelligence Surveillance Act und der US-Politik zeige, dass die US-Regierung befugt sei, Daten von EU-Bürgern von US-Unternehmen zu sammeln, und zwar „nicht nur auf das unbedingt Notwendige beschränkt“, so das Gericht. Die weitreichenden Überwachungsbefugnisse entsprächen nicht den EU-Datenschutzanforderungen.
Der Privacy Shield „gewährt den Betroffenen keine gerichtlich einklagbaren Rechte gegenüber den US-Behörden“, so der Gerichtshof in seiner Entscheidung. Es gibt in diesem Rahmen keine Möglichkeit für EU-Bürger, US-Unternehmen wegen des Missbrauchs ihrer auf US-Servern gespeicherten Daten zu verklagen.
„Die Auswirkungen dieser Entscheidung sind möglicherweise monumental und haben die Datenschutz-Community in Aufruhr versetzt“, sagte Heather Federman, Vizepräsidentin für Datenschutz und Politik bei BigID.
Im Rahmen des Privacy Shield konnten Unternehmen Datenschutz mithilfe von Standardvertragsklauseln definieren. Das neue Urteil legt jedoch fest, dass Standardvertragsklauseln Nutzerdaten mindestens gemäß den Anforderungen der Datenschutz-Grundverordnung und anderer Datenschutzgesetze schützen müssen. Kurz gesagt: Der Datenschutz ist an die Informationen gebunden, nicht an den Ort, an dem sie gespeichert, verarbeitet oder übertragen werden. Unternehmen müssen die DSGVO auch dann einhalten, wenn die Daten europäischer Nutzer auf US-Servern liegen, andernfalls drohen ihnen hohe Bußgelder.
„Standardvertragsklauseln bleiben ein wirksames Instrument für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern“, sagte Vera Jourová, Vizepräsidentin der Europäischen Kommission. EU-Datenverarbeiter werden sicherstellen, dass Unternehmen, die Standardvertragsklauseln unterzeichnet haben, die DSGVO einhalten.