EuGH mit wegweisendem Urteil: "Privacy Shield" ist Geschichte, Schutz vor US-Geheimdiensten verbessert

Die sogenannte "Privacy Shield"-Vereinbarung regelt, inwiefern Transfer von personenbezogenen Daten erlaubt ist. Das Abkommen wurde vor rund vier Jahren geschlossen und betrifft vor allem multinationale Konzerne, welche mit Nutzerdaten in Kontakt kommen. Als Beispiele seien unter anderem Apple, Google, Amazon, Facebook oder Microsoft genannt, welche international tätig sind. Wer sich beispielsweise in Deutschland für einen der Dienste registriert, möchte natürlich nicht, dass die eigenen Nutzerdaten beliebig in andere Länder transferiert werden, wo möglicherweise schlechterer Datenschutz gewährleistet ist. Genau dies beschreibt ziemlich genau, warum der Europäische Gerichtshof sich mit Privacy Shield befasste. Ein Aktivist aus Österreich namens Max Schrems hatte Klage eingereicht – denn seiner Argumentation zufolge ist die Vereinbarung unzulässig.


EuGH verwirft "Privacy Shield"-Abkommen
"Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig", befand der EuGH nach genauer Untersuchung der Sachlage. Die Datenschutzgrundverordnung (DSGVO) sagt explizit, dass Datentransfer in ein Land außerhalb der EU nur dann erlaubt ist, wenn dort vergleichbare Datenschutzgesetze gelten. Dies ist im Falle der USA aber eindeutig nicht der Fall, so die Urteilsbegründung. Die Richter stimmten dem Kläger zu, wonach es große Zweifel an der Behandlung von Nutzerdaten gebe. Vor allem die Aktivitäten des US-Geheimsdienstes sind problematisch, denn gemäß "Foreign Surveillance Act" darf dieser fast nach eigenem Ermessen die Daten von Nutzern aus dem Ausland auswerten. Es bringt dem Kunden einer Plattform daher wenig, wenn er zwar hierzulande geschützt ist, aber dennoch im Drittland Zugriff auf personenbezogene Daten erfolgt.


Erhebliche Konsequenzen für US-Unternehmen in Europa
Was das gerichtlich verfügte Aus des "Privacy Shield"-Abkommens nun bedeutet, muss sich erst noch zeigen. Gänzlich unerwartet kam die Entscheidung indes nicht, denn laut EU-Kommission prüfe man bereits verschiedene Lösungsmöglichkeiten. Ein Punkt scheint aber gesetzt: Wenn die USA keine Änderungen an den eigenen Überwachungsgesetzen vornehmen, haben es US-Konzerne im Einzugsbereich der DSGVO fortan wesentlich schwerer. Die Speicherung personenbezogener Daten kann nicht mehr wie bislang einfach aus Bequemlichkeit in den USA erfolgen – weil dort bereits die Rechenzentren stehen. Strafen wegen Verstößen gegen die DSGVO sind je nach Ausmaß drakonisch und auch für die Internet-Riesen schmerzhaft.

Aus für Privacy Shield – aber nicht für Standardvertragsklauseln
Vermutlich gibt es daher für die betroffenen Unternehmen momentan nur eine Alternative, nämlich ausreichend technische Infrastruktur in Europa zu schaffen. Datenübertragung gemäß "Privacy Shield"-Vorgaben hat sofort zu enden, da sonst US-Recht über der DSGVO steht. Anders sieht es bei Standardvertragsklauseln aus, denn hier hänge die Gültigkeit davon ab, wie wirkungsvoll die Mechanismen sind, um das in der EU garantierte Schutzniveau einzuhalten. Dies wiederum betrifft Facebook, denn dort beruft man sich nicht auf "Privacy Shield", sondern eben auf die Vertragsklauseln. Hierbei haben Datenexporteur und der Empfänger zu prüfen, wie es um den Datenschutz im Drittland bestellt ist. Keine Probleme gibt es demnach, wenn die im Drittland abgelegten Daten zweifelsohne vor externem Zugriff geschützt sind. Kann dies nicht gewährleistet werden, hat die Übermittlung zu unterbleiben.

Kommentare

Perlensucher
Perlensucher16.07.20 13:20
folglich müsste die iCloud umgehend gekappt werden...
-7
nane
nane16.07.20 13:36
Danke Max Schrems!

PS: Jeder kann die Arbeit von Max Schrems und den (seinen, er ist Mitgründer) Verein NYOB finanziell unterstützen .
Das Leben ist ein langer Traum an dessen Ende kein Wecker klingelt.
+6
Lailaps
Lailaps16.07.20 14:09
// dass Datentransfer in ein Land außerhalb der EU nur dann erlaubt ist, wenn dort vergleichbare Datenschutzgesetze gelten //

Dem ist wirklich nichts hinzuzufügen! Wieviele Länder werden das denn sein?
„Wat mutt, dat mutt - oder die spinnen die Römer“
+1
DTP
DTP16.07.20 15:32
Gutes Urteil.
MTN
Wenn die USA keine Änderungen an den eigenen Überwachungsgesetzen vornehmen, haben es US-Konzerne im Einzugsbereich der DSGVO fortan wesentlich schwerer. Die Speicherung personenbezogener Daten kann nicht mehr wie bislang einfach aus Bequemlichkeit in den USA erfolgen…
Wieso nur US-Konzerne? Das gilt für alle, also auch zB asiatische oder europäische Konzerne.
MTN
…weil dort bereits die Rechenzentren stehen.
Da die meisten großen Konzerne ihre Daten auch in europäischen Rechenzentren speichern, entweder in eigenen oder in Zentren von Equinix, Digital Realty (Interxion) etc., ist das eher eine Softwarefrage:
Sicherstellen, dass die Daten nicht (auch nicht redundant) außerhalb der EU gespeichert werden.
-2
Fenvarien
Fenvarien16.07.20 15:44
DTP Privacy Shield ist ein Abkommen zwischen den USA und Europa, das hat nichts mit asiatischen Konzernen zu tun.
Ey up me duck!
+5
DTP
DTP16.07.20 16:24
Fenvarien
DTP Privacy Shield ist ein Abkommen zwischen den USA und Europa, das hat nichts mit asiatischen Konzernen zu tun.

Soweit ich das verstanden habe, ging es ja nicht nur um Privacy Shield, sondern darüber hinaus:
Süddeutsche
"Mit seinem Urteil sorgt der EuGH aber auch über den "Privacy Shield" hinaus dafür, dass beim Datentransfer aus Europa in die USA europäische Datenschutzstandards eingehalten werden müssen. Der in der Praxis sehr viel wichtigere Weg ist die Datenübertragung mithilfe sogenannter "Standardvertragsklauseln". Facebook stützt sich im Wesentlichen auf solche Klauseln - ein System vertraglicher Garantien, das auf einem Beschluss der EU-Kommission beruht."


netzpolitik
"Facebook sichert den transatlantischen Datentransfer rechtlich seit einiger Zeit nicht mehr durch die Entscheidung der EU-Kommission ab, sondern durch Standardvertragsklauseln. Bei diesen handelt es sich um eine vertragliche Basis, die den Transfer von Daten über den Atlantik auch ohne Privacy Shield erlaubt.
Das höchste Gericht urteilt nun, dass die Standardvertragsklauseln grundsätzlich weiterhin gelten dürften.
Die zuständigen Aufsichtsbehörden seien verpflichtet, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten
, wenn sie „im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können“, heißt es in der Mitteilung des Gerichts."


techcrunch
The original case raised specific questions of legality around a European data transfer mechanism used by Facebook (and many other companies) for processing regional users’ data in the US — called Standard Contractual Clauses (SCCs). That mechanism has not been struck down by today’s ruling, though judges have made it clear that third country context around the use of SCCs is king and EU regulators must step in when they suspect data is flowing to unsafe locations outside the bloc.


In anderen Worten, Facebook zB nutzt gar nicht das Privacy Shield Abkommen sondern Standardvertragsklauseln (SCCs) als Grundlage für den Datentransfer schützenswerter Daten von der EU in die USA. Die Richter stellten nun heute fest, dass das zwar nicht im Grundsatz unrechtmäßig ist, aber überprüft werden muss, ob (und dass) europäische Datenschutzgesetze eingehalten werden.

Und das betrifft alle Firmen. Gut so.
-2
Fenvarien
Fenvarien16.07.20 16:37
Ja, deswegen ist das auch so in der Meldung erläutert, unter anderem im letzten Absatz
Ey up me duck!
+3
DTP
DTP16.07.20 16:41
Fenvarien
Ja, deswegen ist das auch so in der Meldung erläutert, unter anderem im letzten Absatz
Prima.

Ich verstehe dann zwar immer noch nicht, warum das deiner Meinung nach nicht für asiatische Firmen gelten sollte, aber gut. Ein Sieg für die Daten.
0
Statler_RGBG
Statler_RGBG16.07.20 17:42
DTP
Fenvarien
Ja, deswegen ist das auch so in der Meldung erläutert, unter anderem im letzten Absatz
Prima.

Ich verstehe dann zwar immer noch nicht, warum das deiner Meinung nach nicht für asiatische Firmen gelten sollte, aber gut. Ein Sieg für die Daten.
Weil der Transfer der Daten von der EU nach "extern" grundlegend untersagt ist (sofern nichts vergleichbar "gutes" vorhanden ist - was eigentlich nirgends der Fall ist). - und asiatische Firmen haben keine DSGVO. Die USA wären eigentlich auch raus aus der Nummer, aber das Privacy Shield hätte ein Pendant zur DSGVO werden sollen.
+2

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.