Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Privacy-Shield-Abkommen EuGH kippt Rechtsgrundlage für Datentransfers in die USA

Der Österreicher Max Schrems hat erneut Erfolg vor dem höchsten EU-Gericht. Das Urteil schafft Rechtsunsicherheiten für viele Unternehmen.
16.07.2020 Update: 16.07.2020 - 16:26 Uhr 3 Kommentare
Der Jurist Max Schrems hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Quelle: AP
Facebook

Der Jurist Max Schrems hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet.

(Foto: AP)

Brüssel, Berlin Der Europäische Gerichtshof hat die EU-US-Datenschutzvereinbarung „Privacy Shield“ gekippt. Das Abkommen begrenze nicht wirksam den Zugriff der US-Sicherheitsbehörden auf personenbezogene Daten von EU-Bürgern, urteilte das oberste europäische Gericht am Donnerstag.

Die Entscheidung betrifft direkt gut 5000 Unternehmen, die das 2016 geschlossene Abkommen als Rechtsgrundlage für die Übermittlung personenbezogener Daten in die Vereinigten Staaten nutzen. Sie können aber auf sogenannte Standardvertragsklauseln ausweichen, die der EuGH für rechtmäßig erklärte. Allerdings müssen sie dabei grundsätzlich prüfen, ob das erforderliche Datenschutzniveau im Zielland eingehalten werden kann.

Das Urteil folgt auf eine Beschwerde des österreichischen Datenschutzaktivisten Max Schrems. Dieser hatte sich an die irische Datenschutzaufsicht gewandt, um den Transfer seiner von Facebook in Europa gespeicherten Daten an den Mutterkonzern in den USA zu stoppen. Er begründete seine Beschwerde damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen – ohne dass Betroffene dagegen vorgehen könnten.

Das irische Gericht wandte sich daraufhin an den EuGH. Die Luxemburger Richter erklärten „Privacy Shield“ nun für ungültig. Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden seien die Anforderungen an den Datenschutz nicht gewährleistet. Zudem sei der Rechtsschutz für Betroffene unzureichend.

Top-Jobs des Tages

Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.

Standort erkennen

    Schrems „sehr glücklich“ über das Urteil

    Schrems erklärte in einer ersten Reaktion, er sei sehr glücklich über das Urteil. „Auf den ersten Blick scheint uns der Gerichtshof in allen Aspekten gefolgt zu sein“, schrieb er auf Twitter. Die Entscheidung sei ein Schlag für die irische Datenschutzbehörde und Facebook. Es sei zudem „klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen“.

    Der Österreicher kämpft seit Jahren gegen Facebooks Datentransfers. Quelle: dpa
    Max Schrems

    Der Österreicher kämpft seit Jahren gegen Facebooks Datentransfers.

    (Foto: dpa)

    Die EU-Kommission hatte sich bereits auf das ablehnende Urteil vorbereitet. Justizkommissar Didier Reynders kündigte am Donnerstag an, mit der US-Regierung über den weiteren Weg zu sprechen und neue Standardvertragsklauseln zu erarbeiten, die im Einklang mit dem EuGH-Urteil stünden. US-Wirtschaftsminister Wilbur Ross zeigte sich „tief enttäuscht“ über das Aus für Privacy Shield.

    Der Deutsche Industrie- und Handelskammertag (DIHK) warnte vor den Folgen des Urteils für deutsche Unternehmen. „Wenn selbst die EU-Kommission nicht in der Lage war, mit dem Privacy Shield eine europarechtsgemäße Vereinbarung mit den USA zu treffen – wie soll man das in diesem von Unsicherheit geprägten Rechtsbereich dann gerade von kleinen und mittleren Unternehmen, erwarten?“, sagte DIHK-Chefjustiziar Stephan Wernicke dem Handelsblatt. Rechtssicherheit sehe anders aus.

    „Unternehmen mit Datentransfer in Drittstaaten brauchen nun nicht allein für die USA sondern demnächst auch für Großbritannien schnelle und belastbare Hinweise von der Kommission sowie den zuständigen Datenschutzbeauftragten zur EU-datenschutzrechtskonformen Vertragsgestaltung“, verlangte Wernicke. Auch wenn für den Datenaustausch sogenannte Standardvertragsklauseln weiterhin grundsätzlich möglich bleiben, „bürdet die EU einmal mehr den Unternehmen das Risiko auf, ob ihre Verträge auch den weithin unbestimmten rechtlichen Anforderungen der Datenschutz-Grundverordnung DSGVO im Lichte der Grundrechtscharta genügen“.

    Auch die IT-Industrie äußerte sich kritisch: „Für Unternehmen mit einer Datenverarbeitung in den USA entsteht durch dieses Urteil massive Rechtsunsicherheit“, sagte Susanne Dehmel, Mitglied der Geschäftsleitung des Branchenverbandes Bitkom. Eco-Geschäftsführer Alexander Rabe sagte, den Unternehmen bleibe jetzt nur die Möglichkeit von Standardvertragsklauseln. Diese bedeuteten aber „einen erheblichen Aufwand für die Unternehmen“.

    Thomas Kahl, Partner bei der Wirtschaftskanzlei Taylor Wessing, erwartet ebenfalls einen erheblichen Mehraufwand und wachsende Unsicherheit bei den betroffenen Unternehmen. „Es gibt mit Sicherheit großen Beratungsbedarf“, so der Experte.

    Microsoft verspricht Rechtssicherheit

    Aber auch der Hamburger Datenschützer Johannes Caspar kritisierte das Urteil: „Dass das Privacy Shield aufzuheben ist, die Standardvertragsklauseln aber ein angemessenes Datenschutzniveau in den USA schaffen sollten, erscheint abwegig“, sagte er dem Handelsblatt. „Der Ball befindet sich damit wieder einmal im Spielfeld der Aufsichtsbehörden, die nun vor der Entscheidung stehen werden, insgesamt die Datenübermittlung über Standardvertragsklauseln kritisch zu hinterfragen.“

    Die meisten Unternehmen setzen bereits auf solche Musterverträge, um etwa persönliche Daten von Kunden oder Mitarbeitern an ausländische Dienstleister transferieren zu können. Der US-Konzern Microsoft, einer der größten Anbieter von Cloud-Speichern, versicherte seinen Kunden denn auch umgehend, sie könnten die Dienste des Konzerns weiter rechtmäßig nutzen.

    Laut Vera Jungkind, Partnerin der Kanzlei Hengeler Mueller, sind die Firmen schon heute verpflichtet zu prüfen, ob ihr Vertragspartner in den USA oder Asien die datenschutzrechtlichen Verpflichtungen auch einhalten könne - oder ob die dortigen Sicherheitsgesetze dem entgegenstünden. Die Expertin rechnet aber damit, dass Datenschützer wie Caspar nach dem EuGH-Urteil hier nun genauer hinschauen - auch auf Drängen von Nutzern wie Schrems.

    Verhandlungen zwischen EU und USA über ein Nachfolgeabkommen für das Privacy Shield hält Jungkind für wenig erfolgversprechend: Der EuGH habe bereits zum zweiten Mal einen mangelnden Schutz der individuellen Rechte von EU-Bürgern in den USA bemängelt, daher ergebe „ein erneuter Anlauf für ein Datenabkommen wenig Sinn, solange sich die Rechtslage in den USA nicht substantiell ändert“. Die US-Regierung scheint derzeit aber kaum bereit, ihre Sicherheitsgesetze zu ändern, die die heimischen IT-Unternehmen zur Zusammenarbeit mit den Nachrichtendiensten verpflichten.

    Axel Voss, rechtspolitischer Sprecher der EVP-Fraktion im Europaparlament, drängt dennoch auf Zugeständnisse Washingtons: „Die USA müssen zusätzliche Zusicherungen geben, wie sie mit europäischen personenbezogenen Daten umgehen“, so der CDU-Politiker. Die EU-Kommission wiederum müsse dringend die neue Rechtslage klären.

    Auf Schrems' Betreiben hatte der EuGH 2015 bereits den Vorgänger des „Privacy Shield“, die Safe-Harbor-Regelung, beanstandet, weil sie die Daten europäischer Bürger nicht ausreichend vor dem Zugriff von US-Behörden geschützt habe. Für diese Einschätzung spielten auch die Enthüllungen des Whistleblowers Edward Snowden 2013 zur ausufernden Internet-Überwachung durch US-Geheimdienste eine wichtige Rolle.

    Facebook beruft sich allerdings bei der Übertragung der Daten von Europa in die USA nicht auf das „Privacy Shield“, sondern auf die Standardvertragsklauseln als alternative Rechtsgrundlage. Diese sollen im Kern Garantien dafür bieten, dass die Daten von EU-Bürgern auch bei einer Übermittlung aus der EU ins Ausland angemessen geschützt sind.

    Aus Sicht des DIHK-Chefjustiziars Wernicke verdeutlicht das EuGH-Urteil „die fortbestehende und auch von vielen deutschen Unternehmen beklagte massive Rechtsunsicherheit im Datenschutzrecht der EU“. Dieses Recht entwickle in Verbindung mit der Grundrechtecharta „immer stärkere extraterritoriale Wirkungen“. Hier sei Vorsicht geboten. „Für die Weiterentwicklung der Digitalökonomie ist dies eine kritische Situation“, sagte der DIHK-Experte.

    Dass der EuGH nach Safe Harbor nun auch das Privacy Shield für ungültig erklärt, bedeutet eine weitere Niederlage für die Brüsseler Behörde vor Gericht. Am Mittwoch hatte das EU-Gericht in erster Instanz die Anordnung für nichtig erklärt, Irland müsse von Apple 13 Milliarden Euro an zu wenig bezahlten Steuern eintreiben.

    Mehr: EU-Kommission droht Mitgliedstaaten bei mangelhafter Datenschutz-Umsetzung.

    Startseite
    Mehr zu: Privacy-Shield-Abkommen - EuGH kippt Rechtsgrundlage für Datentransfers in die USA
    3 Kommentare zu "Privacy-Shield-Abkommen: EuGH kippt Rechtsgrundlage für Datentransfers in die USA"

    Das Kommentieren dieses Artikels wurde deaktiviert.

    • Urteil ist online aktuell nicht verfügbar: http://curia.europa.eu/juris/liste.jsf?language=de&td=ALL&num=C-311/18 Daher ist noch vieles Spekulation.

      Ich bin insbesondere gespannt auf die Antwort, die die EU-Kommission bereithält (siehe Handelsblatt-Beitrag)

    • Selbst wenn die USA die Gesetze anpassen, hat man keine Gewähr, dass die Geheimdienste nicht doch Zugriff erhalten. Das Rechtssystem der USA ist für alle Bürger in der EU und USA nicht durchschaubar und in der Konsequenz nicht besser als die Rechtsprechung in totalitären Staaten. Die biegen sich die Gesetze wie sie sie brauchen um Politik zu machen. Die Gesetze anderer Staaten werden ignoriert. Die Allmacht der Datenkonzerne ist nun mal gegeben. Entweder wir nutzen die Smartphones oder lassen es bleiben. Solange Europa keine eigene Infrastuktur hat wird es dabei bleiben, denn Europa hat derzeit keine Alternative und wird sich sehr schwer tun etwas gleichwertiges zu schaffen.

    • Endlich mal ein konsistentes Urteil mit Konsequenz.
      Europa muss über die Behandlung der Daten ihrer Bürger selbst bestimmen.
      Hut ab.

    Zur Startseite
    -0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%