EuGH mit wegweisendem Urteil: Privacy Shield gekippt
- "Geschrieben von Matthias Pufke"
Der transatlantische Datenschutz bleibt daher erst einmal ungewiss!
Der Gerichtshof der Europäischen Union hat das Privacy-Shield-Abkommen zwischen der EU und den USA gekippt, was bedeutet, dass dadurch nun die Übertragung persönlicher Daten von EU-Bürgern in die USA in zumindest einigen Fällen illegal wird.
Für Unternehmen, die mit Kundendaten arbeiten, bedeutet das erst einmal eine Zeit der Ungewissheit. Vorerst sollte man erst einmal abwarten und nicht überstürzt handeln.
Es steht vor allem bei der Auswahl von Dienstleistern (sog. Auftragsverarbeitern) im Zusammenhang: Zum Bespiel für den Betrieb von Teilen von Webseiten und Softwarelösungen. Sämtliche US-amerikanische Cloud-Lösungen - beispielsweise Google - konnten hierzulande nur deshalb datenschutzkonform eingesetzt werden, weil man auf ein erhöhte Schutzniveau verwies, welches durch das Privacy-Shield-Abkommen garantiert werden sollte.
Im Kern des Privacy Shield geht es dabei natürlich um große Plattformen und Unternehmen aus den USA wie Facebook, Google, Apple, etc., die viele Nutzer in Europa haben, wodurch auch viele Daten von EU-Bürgern in die USA abfließen. Wie sicher dort der Datenschutz tatsächlich ist bzw. ob er EU-Anforderungen genügt, das ist leider nicht grundlos Gegenstand diverser Debatten.
Das potenzielle Problem ist, dass die USA zwar formal zusagen, die Daten von EU-Bürgern zu schützen. Faktisch sei das aber laut Kritikern gar nicht möglich, da die dortige Gesetzgebung Geheimdiensten und weiteren Behörden ermächtigb bei Bedarf auf die durch Konzerne gesammelten Daten zuzugreifen.
In der Theorie legt der Privacy Shield vereinfacht gesagt einige Mindestanforderungen (ähnlich wie die DSGVO) fest – als Alternative bzw. Ergänzung zu Standardvertragsklauseln der US-Anbieter - ergo: Die Standardvertragsklauseln können weiter verwendet werden, Privacy Shield aber nicht.
Unter dem Begriff "Safe Harbor" gab es vor fünf Jahren eine ähnliche Entscheidung, die gekippt wurde.
Basis der Entscheidung war Facebook, deren Europasitz in Irland liegt. Facebook Irland transferiert aber Daten zum Mutterkonzern in die USA weiter. Darüber beschwerte sich der österreichische Datenschutzaktivist Max Schrems bei der irischen Datenschutzbehörde. Letztere übergab den Fall an die Gerichte und ein irisches Gericht erkundigte sich beim EuGH zur Rechtslage.