Aus für Privacy Shield: Keine Schonfrist mehr beim Datenschutz

Alle Jahre wieder stürzt der Europäische Gerichtshof (EuGH) mit einem Datenschutzurteil die IT-Branche in die Krise. Bereits zum zweiten Mal nach 2015 haben die Luxemburger Richter dem Datentransfer in die USA eine legale Basis entzogen. Doch dieses Mal ist das Urteil noch härter ausgefallen: Denn nicht nur das Datenschutzabkommen Privacy Shield wurde für unzulässig erklärt. Auch die sogenannten Standardvertragsklauseln stehen auf der Kippe. Wie geht es nun weiter?

Das neuerliche Aus für das Datenschutzabkommen zwischen der EU und den USA kam wenig überraschend. Datenschützer hatten den Nachfolger des Safe-Harbor-Abkommens von Anfang an als "Mogelpackung" und "schlechten Witz" bezeichnet. Wie beim Wechsel von Raider zu Twix blieb das Produkt im Wesentlichen gleich. Denn auch der Privacy Shield hat das Grundproblem des Datentransfers in die USA nicht behoben.

Kein ausreichendes Datenschutzniveau in den USA

Noch immer haben die US-Geheimdienste einen uneingeschränkten Zugriff auf die personenbezogenen Daten von EU-Bürgern. Der EuGH vermisst in den US-Überwachungsprogrammen zum Zweck der Auslandsaufklärung entsprechende Einschränkungen. Genauso wenig sei erkennbar, "dass für potenziell von diesen Programmen erfasste Nicht-US-Personen Garantien existieren", heißt es in dem Urteil. Daher könne nicht angenommen werden, dass die "Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt sind".

Auch den im Privacy Shield vereinbarten Rechtsbehelf für EU-Bürger hält der EuGH für unzureichend. Denn das Abkommen enthalte "keinen Hinweis darauf, dass die Ombudsperson ermächtigt wäre, gegenüber den Nachrichtendiensten verbindliche Entscheidungen zu treffen". Zudem würden in diesem Beschluss "keine gesetzlichen Garantien angeführt, die mit dieser Verpflichtung einhergingen und auf die sich die betroffenen Personen berufen könnten". Kein Zufall, dass die europäischen Datenschutzbehörden in ihrer ersten Evaluierung des Abkommens genau diese Punkte bereits moniert und Nachbesserungen gefordert hatten.

Stellenmarkt

1. Schock GmbH, Regen
2. Bundesnachrichtendienst, Berlin

Diese Nachbesserungen gab es jedoch nie.

Müssen Daten sofort verlagert werden?

Zugleich hat der EuGH jedoch entschieden, dass die Standardvertragsklauseln prinzipiell eine Alternative zu Abkommen wie Safe Harbor oder dem Privacy Shield darstellen können. Ein entsprechender Beschluss der EU-Kommission sei rechtlich nicht zu beanstanden. Das bedeutet jedoch keinen Freibrief für aktuell gültige Standardvertragsklauseln. Denn im Grunde müssen diese ebenfalls ein angemessenes Schutzniveau europäischer Daten in einem Drittland garantieren. Und genau das hat der EuGH im Falle der USA gerade verneint.

Ist es daher nicht konsequent, wie im Falle der Berliner Datenschutzbeauftragten Maja Smoltczyk, von Datenverarbeitern zu verlangen, "in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern"? Smoltczyk fordert, "sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten". Unternehmen und Institutionen, die insbesondere bei der Nutzung von Cloud-Diensten personenbezogene Daten in die USA übermittelten, "sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln".

Smoltczyk sieht sogar finanzielle Ansprüche der Betroffenen.