Erfolg für Schrems

EuGH kippt Datentransferabkommen mit USA

Der Europäische Gerichtshof (EuGH) hat die EU-US-Datenschutzvereinbarung „Privacy Shield“ gekippt. Allerdings können Nutzerdaten von EU-Bürgern weiterhin in bestimmten Fällen auf Basis von „Standardvertragsklauseln“ in die USA und andere Staaten übertragen werden, wie die Luxemburger Richter am Donnerstag entschieden. In dem Verfahren geht es um den Rechtsstreit des österreichischen Juristen Max Schrems gegen Facebook.

16. Juli 2020, 10.11 Uhr
Dieser Artikel ist älter als ein Jahr.

Der österreichische Jurist zeigte sich über die EuGH-Entscheidung sehr erfreut, wenngleich nicht besonders überrascht. „Es hat mich nicht sehr verwundert, denn der EuGH hat ja auch schon das Vorgängerabkommen gekippt“, so der Gründer des Vereins noyb (My privacy is none of your business) mit Sitz in Wien. „Man kann ein Höchstgericht eben nicht ständig und endlos ignorieren.“

Das Urteil sei eine „schallende Ohrfeige“ für die EU-Kommission, die in Sachen Datenschutz gegenüber den USA „total eingeknickt“ sei, kritisierte Schrems. Es sei nun an der Zeit, dass Europäer von den USA wieder ernst genommen werden. „Es kann nicht sein, dass die USA sagen, bitte hostet alle Daten der Welt bei uns. Aber wenn sie dann mal da sind, habt ihr keine Rechte mehr. Das ist ja grotesk“, empörte er sich.

After a first read of the judgement on #PrivacyShield it seems we scored a 100% win - for our privacy

The US will have to engage in serious surveillance reform to get back to a "privileged" status for US companies.

More details here: https://t.co/t7LFgE7LmT #ThanksToEveryone!
— Max Schrems 🇪🇺🇦🇹 (@maxschrems) 16. Juli 2020

„Gezieltere“ Überwachung

Die Lösung ist für Schrems klar: eine grundlegende und ernsthafte Änderung der Überwachungsgesetze in den USA. Weil hier massive wirtschaftliche Interessen im Spiel sind, zeigte sich der Aktivist optimistisch, dass das auch tatsächlich passieren könne. Grundsätzlich müsse die Überwachung „gezielter werden – vor allem für EU-Bürger“.

Die USA beschränken die meisten Datenschutzmaßnahmen derzeit auf „US-Personen“, schützen aber nicht die Daten ausländischer Kunden von US-Unternehmen vor der NSA oder dem FBI. "Da es keine Möglichkeit gibt, herauszufinden, ob Sie oder Ihr Unternehmen überwacht werden, haben die Menschen auch keine Möglichkeit, vor Gericht zu gehen. Der EuGH sprach in diesem Zusammenhang sogar von einer Verletzung des „Wesensgehalts" der EU-Grundrechte“, so Schrems.

Irisches Gericht wandte sich an EuGH

Ein irisches Gericht wollte nun vom EuGH wissen, ob die Standardvertragsklauseln und der EU-US-Datenschutzschild („Privacy Shield“) mit dem europäischen Datenschutzniveau vereinbar sind. Die Luxemburger Richter erklärten den „Privacy Shield“ nun für ungültig. Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden seien die Anforderungen an den Datenschutz nicht gewährleistet. Zudem sei der Rechtsschutz für Betroffene unzureichend.

Die Standardvertragsklauseln sollen im Kern Garantien dafür bieten, dass es bei der Datenübermittlung aus der EU ins Ausland angemessenen Schutz für die Daten von EU-Bürgern gibt. Der Datenschutzschild ist ein weiterer Kanal, der ausschließlich für den Datentransfer in die USA zur Verfügung steht. Der Generalanwalt Henrik Saugmandsgaard Öe hatte bereits Mitte Dezember des Vorjahres Bedenken bezüglich „Privacy Shield“ angemeldet.

EU und USA wollen über Urteil beraten

„Wir werden auf Grundlage des heutigen Urteils eng mit unseren amerikanischen Kollegen zusammenarbeiten“, sagte die Vizepräsidentin der EU-Kommission, Vera Jourova, am Donnerstag. Man müsse das Urteil in Ruhe analysieren. Eine Priorität der Brüsseler Behörde sei, den Schutz personenbezogener Daten beim transatlantischen Datenverkehr zu garantieren. Nach Angaben der EU-Kommission sind bereits für Freitag Kontakte zu US-Handelsminister Wilbur Ross geplant.

Ross seinerseits erklärte, er sei „zutiefst enttäuscht“ über das Urteil. Seine Regierung werde in der Angelegenheit weiterhin mit der EU-Kommission zusammenarbeiten und prüfe das EuGH-Urteil noch. Ross schloss wirtschaftliche Nachteile für die EU wegen des Urteils nicht aus. Die USA hofften, „in der Lage zu sein, die negativen Konsequenzen auf die 7,1 Billionen Dollar (6,2 Billionen Euro) schweren transatlantischen Wirtschaftsbeziehungen zu begrenzen, die so wichtig für unsere jeweiligen Bürger, Unternehmen und Regierungen sind“, erklärte Ross.

Jetzt, da die Wirtschaft auf beiden Seiten des Atlantiks ihre „Post-Covid-19-Erholung“ fortsetze, sei es für die mehr als 5.300 im Rahmen des Abkommens kooperierenden Unternehmen entscheidend, „Daten ohne Unterbrechung zu transferieren“, fügte der US-Minister hinzu.

2015 Erfolg für Schrems gegen „Safe Harbor“

Nach Schrems’ Ansicht hat die EuGH-Entscheidung aber keine direkten Auswirkungen für Nutzer. „Für den User ist das relativ egal. Die Unternehmen müssen sich untereinander ausmachen, wie die Datenübermittlung stattfindet“, so Schrems. Betroffen sind allen voran Unternehmen, die in den USA unter das Überwachungsgesetz FISA (Foreign Intelligence Surveillance Act) fallen – dazu zählen etwa Facebook, Google oder Microsoft.

„Wenn ich nun beispielsweise mit meinem Verein in die Microsoft-Cloud in den USA outsource, fällt das genauso unter FISA und ich bin von dem Urteil betroffen.“ Für solche Unternehmen sei deshalb „die einfachste Lösung, sich einen europäischen Provider zu suchen“, erklärte Schrems. Für Firmen, die nicht unter FISA fallen, gelten weiterhin die sogenannten Standardvertragsklauseln (SCC).

Auf Schrems’ Betreiben hatte der EuGH 2015 bereits den Vorgänger des Datenschutzschilds, die „Safe Harbor“-Regelung, gekippt, weil sie die Daten europäischer Bürger nicht ausreichend vor dem Zugriff von US-Behörden geschützt habe. Für diese Einschätzung spielten auch die Enthüllungen des Whistleblowers Edward Snowden 2013 zur ausufernden Internetüberwachung durch US-Geheimdienste eine wichtige Rolle.

SPÖ und NEOS erfreut

Der SPÖ-Klubvorsitzende Jörg Leichtfried und SPÖ-Datenschutzsprecher Christian Drobits begrüßten das Urteil. „Wir gratulieren dem Datenschützer Max Schrems für seine hartnäckige und erfolgreiche Arbeit gegen die Übertragung von Facebook-Nutzerdaten an US-Behörden“, so Leichtfried und Drobits. Mit dem Urteil würde auch einer jahrelangen Kritik seitens der SPÖ Rechnung getragen. „Es geht hier um den Schutz von Grundrechten. Mit der Übertragung von personenbezogenen Daten besteht die große Gefahr, dass insbesondere US-Behörden, wie NSA und FBI, zu leicht darauf zugreifen könnten. Das wird jetzt gestoppt“, so die SPÖ-Abgeordneten.

„Die Entscheidung des EuGH beendet endlich den fragwürdigen Deal zwischen EU und USA zum Datenaustausch. Es ist ein Sieg für Datenschutz, digitale Grundrechte und Rechtsstaatlichkeit“, so auch der stellvertretende NEOS-Klubobmann Niki Scherak. „Ein überbordender US-Überwachungsstaat ist eine Gefahr für die Daten der Europäerinnen und Europäer, das heutige Urteil weist die USA hier klar in die Schranken.“ Schade sei nur, dass es dafür eine Klage gebraucht habe und das Ende von „Privacy Shield“ keine politische Entscheidung gewesen sei.

Grüne wollen sensible Daten in Europa geschützt wissen

Süleyman Zorba, Sprecher für Netzpolitik und Digitalisierung der Grünen, forderte eine Änderung der Überwachungsgesetze in den USA. Ziel müsse sein, dass „alle sensiblen persönlichen Daten in Europa und damit geschützt bleiben“.

Michel Reimon, Europasprecher der Grünen, wünscht sich eine „härtere grundsätzliche Gangart gegenüber Irland“, wo Facebook seinen Europasitz hat. „Irland bietet sich US-Konzernen wie Facebook und Apple als Stützpunkt in Europa an, indem es ihnen de facto Steuerflucht aus allen anderen EU-Ländern ermöglicht“, gleichzeitig schaue das Land weg, wenn sensible Daten in die USA geschickt werden. „Dieses Geschäftsmodell muss jetzt von den anderen Mitgliedsstaaten unterbunden werden“, appellierte Reimon an die EU-Kommission.

red, ORF.at/Agenturen