Schrems gegen Facebook - dieser Streit um Datenschutzstandards läuft seit Jahren. Der Jurist hat nun erneut ein wichtiges Abkommen für Datentransfers zu Fall gebracht. Nutzerdaten von EU-Bürgern können aber trotzdem in die USA gelangen.
Der Europäische Gerichtshof (EUGH) hat einen EU-Beschluss, wonach die Datenschutzvereinbarung "Privacy Shield" zwischen der EU und den USA angemessenen Datenschutz für europäische Bürger gewährleiste, für ungültig erklärt. Allerdings können Nutzerdaten von EU-Bürgern weiterhin auf Basis sogenannter Standardvertragsklauseln in die USA und andere Staaten übertragen werden, wie die Luxemburger Richter am Donnerstag ebenfalls entschieden (Urt. v. 16.07.2020, Az. C-311/18).
Hintergrund ist eine Beschwerde des Datenschutzaktivisten Max Schrems. Der österreichische Jurist hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Er begründete seine Beschwerde damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen - ohne dass Betroffene dagegen vorgehen könnten. Ein irisches Gericht wollte letztlich vom EuGH wissen, ob die sogenannten Standardvertragsklauseln und das EU-US-Datenschutzabkommen "Privacy Shield" dem europäischen Datenschutzniveau gerecht werden.
Die Luxemburger Richter befanden nun, dass der Privacy Shield kein angemessenes Datenschutzniveau gewährleiste. Mit Blick auf die weitreichenden Zugriffsmöglichkeiten der US-Behörden seien die europäischen Anforderungen an den Datenschutz für in die USA übertragene Nutzerdaten nicht gewährleistet. Zudem sei der Rechtsschutz für Betroffene unzureichend, wenn Betroffene in Übersee rechtlich gegen das Auslesen oder die Verwendung ihrer Daten vorgehen wollten.
Mit Standardvertragsklauseln könne dagegen in zulässiger Weise vereinbart werden, wie mit Daten europäischer Nutzer bei der Übertragung in ein anderes Land umzugehen ist, so der EuGH. Diese Klauseln sollen im Kern Garantien dafür bieten, dass die Daten von EU-Bürgern auch bei einer Übermittlung aus der EU ins Ausland angemessen geschützt sind. Der Privacy Shield ist im Vergleich dazu eine zusätzliche Vereinbarung, die ausschließlich für den Datentransfer in die USA zur Verfügung gilt.
Dabei aber - und auch das stellten die Luxemburger Richter da - garantiere die Verwendung der Klauseln nicht automatisch die Rechtmäßigkeit der Datenübermittlung in das Zielland. Das festzustellen unterliege auch der Kontrolle derjenigen, die Daten in die USA übermitteln, und der Datenschutzbehörden.*
Schrems zeigte sich sehr glücklich über das Urteil und erklärte, die USA müssten nun ihre Überwachungsgesetze ernsthaft ändern. Auf sein Betreiben hin hatte der EuGH 2015 bereits den Vorgänger des "Privacy Shield", das Safe-Harbor-Abkommen, beanstandet.
Details zur und Einordnung der Entscheidung des EuGH später auf www.LTO.de.
*Klarstellung am Tag der Veröffentlichung, 16.40 Uhr.
dpa/vbr/LTO-Redaktion
EuGH zum Datenschutzabkommen mit den USA: . In: Legal Tribune Online, 16.07.2020 , https://www.lto.de/persistent/a_id/42219 (abgerufen am: 11.10.2024 )
Infos zum Zitiervorschlag