Suchen

Schrems II Europäischer Gerichtshof: Privacy Shield ist ungültig

| Autor / Redakteur: Dr. Dietmar Müller / Elke Witmer-Goßner

Der Europäische Gerichtshof (EuGH) hat in der Rechtssache Schrems II darüber entscheiden, ob die EU-US Privacy Shield-Regelung für die Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union gültig ist. Ist sie nicht.

Firmen zum Thema

Im Urteil in der Rechtssache C-311/18 klärte der Gerichtshof den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig.
Im Urteil in der Rechtssache C-311/18 klärte der Gerichtshof den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig.
(Bild: gemeinfrei© SanHyonCho / Pixabay )

Im Urteil in der Rechtssache C-311/18 Data Protection Commissioner / Maximillian Schrems und Facebook Ireland erklärte der Gerichtshof den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig. Der Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist hingegen gültig.

Das wirft viele Fragen auf, weist aber auch einen Weg, denn die von vielen Unternehmen genutzten Standardvertragsklauseln sollen ja weiter genutzt werden dürfen. Nach Informationen des Centrums für Europäische Politik hatten während des Verfahrens praktisch alle Beteiligten – als da wären Facebook und Max Schrems, die EU-Kommission, die USA in Form von vier Anwälten sowie die EU-Mitgliedstaaten – an die Richter appellierten, die Standardvertragsklauseln weiter bestehen zu lassen.

Diese stellen den Datenschutz sicher – ganz wie ursprünglich auch geplant: „Nach der Richtlinie 95/46/EG müssen die Mitgliedstaaten dafür Sorge tragen, dass die Übermittlung personenbezogener Daten in ein Drittland nur dann erfolgen kann, wenn das betreffende Drittland ein angemessenes Schutzniveau gewährleistet (...)“, heißt es gleich zu Anfang im Beschluss der Kommission vom 5. Februar 2010 zu den Standardvertragsklauseln für die Übermittlung personenbezogener Daten.

Seit vielen Jahren leisten sie gute Dienste, so auch der Bitkom: „Der internationale Datenaustausch ist essenziell für die Wirtschaft. Wenn Unternehmen personenbezogene Daten außerhalb der EU verarbeiten lassen, greifen die allermeisten auf Standardvertragsklauseln zurück“, berichtete Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung Recht und Sicherheit. Sollten diese Klauseln nicht mehr rechtens sein, stünden viele Unternehmen vor einem Daten-Chaos. „Nicht nur der Zusammenarbeit mit ausländischen Unternehmen drohen massive Einschränkungen. Selbst der Datenaustausch zwischen einer Firmenzentrale innerhalb der EU und dem Tochterunternehmen im Ausland wäre dann in Gefahr, wenn Unternehmen nicht schnell genug auf die binding corporate rules umstellen.“

So kam es zum EuGH-Urteil in Sachen Privacy Shield

Zum Hintergrund: Das „Privacy Shield“-Verfahren hat 2016 das sogenannte „Safe Harbor“-Abkommen abgelöst und sorgt dafür, dass der Datentransfer zwischen der EU und dem Rest der Welt rechtssicher abgewickelt wird. Genau das bezweifelt aber die irische Datenschutzbehörde, die im aktuellen Fall als Kläger auftrat. Sie war vor das irische High Court gezogen, der hatte die Klage im Oktober 2017 an den Europäischen Gerichtshof weiterverwiesen. Die irischen Richter äußerten Zweifel daran, dass das Grundrecht auf gerichtlichen Rechtsschutz für europäische Bürger in den USA gewahrt ist.

Nun also lag das Verfahren beim EuGH. Der österreichische Jurist Max Schrems hatte das Verfahren 2011 als Student ins Rollen gebracht, als er in Irland, dem Rechtssitz von Facebook, gegen den Transfer seiner Nutzerdaten durch Facebook in die USA klagte. Das bezeichnet der EuGH als Fall „Schrems I“. Der Weiterdreh und die aktuelle Frage, ob die USA europäischen Bürgern Rechtsschutz zusichern können, wird vom Gericht als „Schrems II“ tituliert.

Schrems Anwalt Eoin McCullough argumentierte vor dem EuGH, dass die US-Behörden den Datenschutz mit den Gesetzen zur nationalen Sicherheit umgehen würden. Wie nicht zuletzt durch den Fall Snowden bekannt sei, zapften die Vereinigten Staaten das Untersee-IP-Kabel an, um staatsgefährdende oder terroristische Aktionen aus den Konversationen herauszufiltern. Insbesondere der Rechtsvertreter der irischen Datenschutzbehörde wertete dies als klaren Beweis dafür, dass es in den USA keinen echten Datenschutz gebe.

Die Anwältin der US-Regierung Eileen Barrington hielt dagegen, dass es sich bei dem – ihrer Worte nach mutmaßlichen – Anzapfen des Unterseekabels um keine „zielgerichtete“ Datenerhebung handle, vielmehr werde nach bestimmten Schlüsselbegriffen gefahndet und die Konversation gegebenenfalls näher untersucht. Man erhöhe so nicht nur die Sicherheit der US-Bürger, sondern auch die der Europäer. Auch der Anwalt von Facebook, Paul Gallagher, rechtfertigte das Anzapfen mit dem Schutz der Bevölkerung.

Hebelt dies aber die Rechtssicherheit der EU-Bürger aus? Laut dem Privacy-Shield-Abkommen von 2016 wacht ein Ombudsmann über die Einhaltung des Datenschutzes. Dieser ist, soweit kam man vor Gericht überein, unabhängig von den amerikanischen Geheimdiensten, untersteht aber der US-Regierung. Schrems forderte vor dem EuGH daher, „Privacy Shield“ für ungültig zu erklären und eine datenschutzrechtlich wirklich wasserdichte Regelung durchzusetzen.

(ID:46718201)

Über den Autor

Dr. Dietmar Müller

Dr. Dietmar Müller

Journalist