Categories: RechtRegulierung

Datenschutzabkommen Privacy Shield scheitert vor EU-Gerichtshof

Der Gerichtshof der Europäischen Union hat den EU-US-Datenschutzschild Privacy Shield gekippt. Er hob den Angemessenheitsbeschluss der EU-Kommission aus dem Jahr 2016 auf, mit dem festgestellt wurde, dass die USA einen „angemessenen“ Schutz persönlicher Daten gemäß eigener Gesetze und internationaler Vereinbarungen garantieren. Genau diesen Schutz sieht das Gericht nicht als gewährleistet an.

Stattdessen kommt der Gerichtshof zu dem Ergebnis, dass „den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung amerikanischen Rechts Vorrang eingeräumt wird“. Das ermögliche Eingriffe in die Grundrechte der Personen, deren Daten in die Vereinigten Staaten übermittelt würden. In den USA seien die Anforderungen an einen behördlichen Datenzugriff geringer und entsprächen nicht dem in der EU geltenden Grundsatz der Verhältnismäßigkeit. Vor allem die „auf amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme “ seien nicht auf das erforderliche Maß beschränkt.

Darüber hinaus kritisiert der Gerichtshof den mit den USA vereinbarten Ombudsmechanismus. Er soll EU-Bürgern im Streitfall helfen, ihre Rechte gegenüber US-Behörden durchzusetzen. Die Ombudsperson sei jedoch nicht ermächtigt, gegenüber „den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen“.

Den 2010 ergangenen Beschluss über die sogenannten Standardvertragsklauseln, die zwischen einem Datenexporteur und einem Datenempfänger in einem Drittland vereinbart werden können, stufte das Gericht indes als gültig ein. Darin wird unter anderem festgelegt, dass Exporteur und Empfänger vor einer Übermittlung prüfen müssen „ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird“. Zudem sei der Empfänger verpflichtet, den Exporteur zu informieren, da er die Standardschutzklauseln der EU nicht einhalten kann, woraufhin der Exporteur die Übermittlung einstellen müsse.

Auslöser war die vom österreichischen Aktivisten Max Schrems im Jahr 2008 eingereichte Beschwerde gegen Facebook Irland. Sie führte 2015 dazu, dass das bis dahin gültige Safe-Harbour-Abkommen aufgehoben wurde. Daraufhin erfolgten Datenübermittlungen auf Basis der Standardvertragsklauseln und Schrems richtete seine Beschwerde auf Veranlassung der irischen Datenschutzbehörde nun gegen dieses Regelwerk. Der schließlich mit der Sache betraute irische High Court übergab den Fall dann an den Gerichtshof der Europäischen Union

Schrems geht nun davon aus, dass auch die Standardvertragsklauseln nicht für einen Datenaustausch mit US-Unternehmen angewendet werden können, die den US-Überwachungsgesetzen unterliegen. Zuständige Datenschutzbehörden müssten nun sogar von sich aus gegen Unternehmen vorgehen, „wenn US-Überwachungsgesetze gegen die Grundsätze des EU-Datenschutzrechts verstoßen, die Unternehmen aber nicht tätig geworden sind“, teilte Schrems Datenschutzinitiative NOYB mit.

„Das Urteil macht deutlich, dass Unternehmen die SCCs nicht einfach unterzeichnen dürfen, sondern auch prüfen müssen, ob diese in der Praxis überhaupt eingehalten werden können. In Fällen wie bei Facebook, wo Facebook untätig blieb, hatte die DPC die Lösung dieses Falles die ganze Zeit selbst in der Hand. Sie hätte Facebook schon vor Jahren anweisen können, die Datentransfers zu stoppen. In unserer Klage forderten wir, dass sie eine Unterlassungsverfügung mit einer angemessenen Umsetzungsfrist erlässt, damit Facebook alle notwendigen Schritte unternehmen kann. Stattdessen wandte die sich DPC an den EuGH, um die – nun für gültig befundenen – SCCs für aufheben zu lassen. Es ist, als würde man die europäische Feuerwehr rufen, weil man selbst keine Lust hat, eine Kerze auszublasen“, sagte Schrems.

Auch der Nürnberger Cloud-Anbieter OwnCloud bewerte das Urteil positiv. „Das heutige EuGH-Urteil stellt ein großes Problem für die amerikanischen Cloudspeicher-Dienste wie Microsoft OneDrive, Google Drive oder Dropbox dar. Es bedeutet im Endeffekt, dass die Speicherung personenbezogener Daten von EU-Bürgern in diesen Clouds gegen EU-Recht, sprich die DSGVO, verstößt und somit empfindliche Strafen drohen. Damit wird die Nutzbarkeit dieser Dienste für europäische Unternehmen und Behörden vom heutigen Tag an stark eingeschränkt“, kommentierte Tobias Gerlinger, CEO und Managing Director von ownCloud.

„Mit dem Urteil des Europäischen Gerichtshofs ist es nun auch amtlich, dass die Zertifizierungen der großen amerikanischen Cloud-Anbieter Microsoft, Google, Amazon und Co. nach dem ,EU-US-Privacy-Shield-Abkommen’ nicht einmal das Papier wert sind, auf dem sie stehen. Der Transfer personenbezogener Daten von EU-Bürgern durch diese Cloud-Dienste in die USA verstößt gegen EU-Recht. Da ein solcher Transfer wegen des US Cloud Act auch bei Speicherung der Daten in der EU nicht ausgeschlossen werden kann, wird die Nutzbarkeit amerikanischer Cloud-Dienste für europäische Unternehmen und Behörden de facto stark eingeschränkt.“

EU-Kommissionsvizepräsidentin Věra Jourová erklärte, Datenschutz sei ein grundlegendes Recht der europäischen Bürgerinnen und Bürger. „Wir sind der festen Überzeugung, dass es in der globalisierten Welt von heute unerlässlich ist, über ein breites Instrumentarium für internationale Datenübertragungen zu verfügen und gleichzeitig ein hohes Schutzniveau für personenbezogene Daten sicherzustellen.“

Die EU erarbeite nun zusammen mit den Datenschutzbehörden der Mitgliedstaaten eine Modernisierung der Standardvertragsklauseln. Zudem werde das weitere Vorgehen mit den US-Partnern diskutiert. Der Ansicht Schrems‘, dass ein Datenaustausch nur nach einer grundlegenden Reform der US-Überwachungsgesetze möglich sei, schloss sich die EU-Kommissarin jedoch nicht an.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

3 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

6 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

1 Woche ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

1 Woche ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

1 Woche ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago