EuGH vs. Privacy Shield FAQ

Unternehmen brauchen neue Datenschutzverträge

Martin Bayer ist Chefredakteur von COMPUTERWOCHE, CIO und CSO. Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP.
Mit dem Urteil des Europäischen Gerichtshofs fällt in vielen Unternehmen die rechtliche Grundlage für den transatlantischen Datenverkehr weg. Damit finden Datenübertragungen in die USA erst einmal in einer rechtlichen Grauzone statt. Das müssen Sie jetzt wissen.
Mit ihrem Urteil haben die Richter am EuGH den Privacy Shield, der eigentlich den Datenverkehr zwischen Europa und den USA auf eine sichere, datenschutzkonforme Basis stellen sollte, regelrecht pulverisiert.
Mit ihrem Urteil haben die Richter am EuGH den Privacy Shield, der eigentlich den Datenverkehr zwischen Europa und den USA auf eine sichere, datenschutzkonforme Basis stellen sollte, regelrecht pulverisiert.
Foto: Air Images - shutterstock.com

Nach gerade einmal vier Jahren hat der Europäische Gerichtshof (EuGH) den "EU-US Privacy Shield" gekippt. Am 12. Juli 2016 hatte die EU-Kommission dem Vertrag zugestimmt, knapp drei Wochen später war er am 1. August in Kraft getreten: Der Datenaustausch mit den USA schien damals auf eine stabile Grundlage gestellt worden zu sein. Im Jahr zuvor war nämlich die Vorgängerregelung "Safe Harbor", die immerhin 15 Jahre Bestand hatte, vom EuGH für ungültig erklärt worden.

Was bedeutete der Privacy Shield?

"Unsere Unternehmen brauchen dringend Rechtssicherheit im transatlantischen Datenverkehr", sagte 2016 der damalige Wirtschaftsminister Sigmar Gabriel. Dafür sollte der Privacy Shield sorgen, nachdem Safe Harbor für ungültig erklärt worden war. Die neue Regelung reihte sich in die Liste der sogenannten Angemessenheitsbeschlüsse der EU-Kommission ein. Die Europäer verzeichnen darin Länder, deren DatenschutzDatenschutz als dem der EU-Länder gleichwertig gilt. Grundlage dafür bildet Paragraf 45, Absatz 3 der Datenschutzgrundverordnung (DSGVODSGVO). Alles zu DSGVO auf CIO.de Alles zu Datenschutz auf CIO.de

Hat die Europäische Kommission einen Angemessenheitsbeschluss gefasst, dürfen personenbezogene Daten, sofern die sonstigen Bestimmungen der DSGVO eingehalten werden, ohne weitere Genehmigung in das jeweilige Land übermittelt werden. Datentransfers auf dieser Grundlage sind also privilegiert: Sie werden denen innerhalb der EU gleichgestellt. Derzeit existieren Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten in folgende Drittländer:

  • Andorra

  • Argentinien

  • Kanada

  • Färöer-Inseln

  • Guernsey

  • Israel

  • Isle of Man

  • Japan

  • Jersey

  • Neuseeland

  • Schweiz

  • Uruguay

Die USA, die bislang auch auf der Liste standen, müssen nach dem EuGH-Urteil gestrichen werden. Dabei hatte jedoch - wie teilweise auch für andere Länder - schon zuvor eine Sonderregelung bestanden. Die jeweiligen Angemessenheitsbeschlüsse können sich nämlich inhaltlich von Land zu Land unterscheiden. So bedeutete auch der Privacy Shield keinen Persilschein für den freien Datenaustausch quer über den Atlantik. Um dabei einen dem europäischen Standard vergleichbaren Datenschutz sicherzustellen, sollte die Vereinbarung die entsprechenden Mechanismen zur Verfügung stellen.

Datenverarbeitende Unternehmen mit Servern in den USA mussten sich erst zertifizieren und dazu verpflichten, wesentliche datenschutzrechtliche Grundsätze einzuhalten. Dazu zählten beispielsweise der Zweckbindungsgrundsatz und die Pflicht zur Löschung von Daten, wenn diese nicht mehr benötigt werden. Eine Liste der Privacy-Shield-zertifizierten Unternehmen führt das US-Handelsministerium. Darauf standen zuletzt 5384 Unternehmen, darunter auch die großen US-amerikanischen Cloud-Anbieter Amazon, Google und Microsoft.

Stimmen und Einschätzungen zum EuGH-Urteil lesen Sie hier

In einer Erklärung des Bundeswirtschaftsministeriums hieß es 2016, die US-Regierung sichere "ausdrücklich zu, dass kein anlassloser Massenzugriff von US-Sicherheitsbehörden auf Daten von EU-Bürgern erfolgen wird, wenn sie auf US-Servern gespeichert sind". Was ein Anlass für einen Massenzugriff sein könnte, blieb offen. Zudem sollte im US-Außenministerium eine Ombudsperson eingesetzt werden, die Beschwerden von EU-Bürgern entgegennehmen und damit den Rechtsschutz von EU-Bürgern gegen unbefugte Datenzugriffe von US-Behörden verbessern sollte. Ob die Regeln des Privacy Shield eingehalten würden, wollte die EU-Kommission jährlich prüfen. Dieser Prüfung durch die Kommission hat das Regelwerk allem Anschein nach standgehalten, allerdings nicht dem kritischen Blick der Richter am EuGH.

Was haben die Richter am EuGH entschieden?

Die Richter in Luxemburg waren aufgerufen zu prüfen, inwieweit das Instrumentarium der Regelwerke dazu geeignet ist, die Persönlichkeitsrechte von EU-Bürgern zu schützen. Initiiert hat das Verfahren der österreichische Datenschutzaktivist Max Schrems, auf dessen Betreiben der EuGH bereits 2015 das Vorgängerabkommen Safe Harbor gekippt hatte.

Facebook-Nutzer Schrems monierte, dass die in Irland ansässige europäische Zentrale des sozialen Netzwerks seine Daten an die Firmenzentrale in den USA übermittele, wo sie seiner Meinung nach nicht ausreichend vor dem Zugriff von Behörden und Nachrichtendiensten geschützt seien. Die irische Aufsichtsbehörde strengte daraufhin ein Verfahren vor dem nationalen High Court. Nachdem zwischenzeitlich die DSGVO europaweit ratifiziert worden war, reichte das irische Gericht den Fall an den EuGH weiter. Konkret wurde gefragt:

  • Inwieweit ist die DSGVO auf Datenübermittlungen anzuwenden, die sich auf Standardvertragsklauseln stützen?

  • Welches Schutzniveau verlangt die DSGVO im Rahmen einer solchen Datenübertragung?

  • Welche Pflichten haben die Aufsichtsbehörden in diesem Kontext?

  • Sind die dafür vorgesehenen Regelwerke - also Standardvertragsklauseln beziehungswiese der Privacy Shield - dazu geeignet, die Regeln der DSGVO durchzusetzen und damit grundsätzlich gültig?

Der Europäische Gerichtshof (EuGH) in Luxemburg hat mit seinem Urteil zum Privacy Shield ein Beben ausgelöst, das die transatlantische Wirtschaftsbeziehungen bis in seine Grundfesten erschüttert.
Der Europäische Gerichtshof (EuGH) in Luxemburg hat mit seinem Urteil zum Privacy Shield ein Beben ausgelöst, das die transatlantische Wirtschaftsbeziehungen bis in seine Grundfesten erschüttert.
Foto: nitpicker - shutterstock.com

Am 16. Juli dieses Jahres erklärten die Richter am EuGH den 2016 gefassten Privacy-Shield-Beschluss (2016/1250) der EU-Kommission für ungültig. Personenbezogene Daten europäischer Bürger würden durch das Regelwerk bei einer Übermittlung in die USA nicht ausreichend geschützt, so die Begründung. Tatsächlich würden US-amerikanischen Interessen, was beispielsweise die nationale Sicherheit angeht, Vorrang eingeräumt.

Das ermögliche Eingriffe in die Grundrechte europäischer Nutzer, deren Daten in die USA übertragen werden. Die Richter verwiesen vor allem darauf, dass die Verhältnismäßigkeit des Datenzugriffs nicht gewährleistet sei. Die DSGVO schreibt vor, dass eine Nutzung der Daten auf das zwingend erforderliche Maß zu beschränken sei. Das sei in den USA gerade hinsichtlich der Aktivitäten der Nachrichtendienste nicht der Fall.

Der EuGH kritisiert ferner, dass für die groß angelegten Überwachungsprogramme der US-Geheimdienste keinerlei Einschränkungen existierten. Außerdem gäbe es für Nicht-US-Bürger, die von diesen Programmen erfasst würden, keine Garantien und keine Möglichkeit ihre Rechte gegenüber den US-Behörden gerichtlich durchzusetzen. Der im Privacy Shield vorgesehene Ombudsmechanismus sei im Grunde wirkungslos. "Aus all diesen Gründen erklärt der Gerichtshof den Beschluss 2016/1250 für ungültig", heißt es in einer Erklärung des EuGHs.

Die Richter in Luxemburg führten in ihrer Urteilsbegründung aus, dass die DSGVO auch dann anzuwenden sei, wenn Behörden eines Drittlands aus Gründen der nationalen oder öffentlichen Sicherheit auf die übermittelten Daten zugriffen. Andere Länder könnten die in Europa geltenden Datenschutzbestimmungen nicht einfach aushebeln.

Während die Richter den Privacy Shield als ungeeignet einstuften, den Datenschutz europäischer Bürger sicherzustellen, seien Standardvertragsklauseln grundsätzlich ein probates Mittel, die Regeln der DSGVO durchzusetzen. Das Regelwerk dafür hatte die EU-Kommission in einem Beschluss (2010/87) vom 5. Februar 2010 verabschiedet. Diesen Beschluss in Frage zu stellen, nur weil sich Behörden aufgrund des Vertragscharakters möglicherweise nicht daran gebunden fühlten, reiche nicht aus, um diesen für ungültig zu erklären.

Vielmehr komme es darauf an, dass der Beschluss zu den Standardvertragsklausen wirksame Mechanismen enthalte, um das von der DSGVO geforderte Datenschutzniveau einzuhalten und bei Verstößen gegen die Klauseln die Übertragung von Daten auszusetzen beziehungsweise ganz zu verbieten. "Der Gerichtshof stellt fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht", heißt es in einer Erklärung.

Die Richter betonten jedoch ausdrücklich, dass die aus den Standardvertragsklauseln resultierenden Verpflichtungen hinsichtlich des Datenschutzes auch einzuhalten sind. Das bedeutet:

  • Es muss explizit geprüft werden, ob in einem Drittland das erforderliche DSGVO-konforme Schutzniveau eingehalten wird.

  • Der Datenempfänger ist verpflichtet, dem Datenlieferanten mitzuteilen, wenn er die Standardschutzklauseln nicht einhalten kann.

  • Ist das der Fall, muss der Datenlieferant die Übermittlung aussetzen und/oder vom Vertrag zurücktreten.

Hinsichtlich der Beurteilung des Datenschutzniveaus merkten die Richter an, dass neben den vertraglichen Klauseln auch ein potenzieller Zugriff seitens der Behörden wie auch "maßgebliche Aspekte der Rechtsordnung dieses Landes" einzubeziehen seien. Auch wenn dieser Passus Spielraum in der Auslegung lässt, können diese Aussagen durchaus dahingehend interpretiert werden, dass Länder in denen Nachrichtendienste mehr oder weniger unkontrollierten Zugriff auf personenbezogene Daten haben und ausländische Personen ihre Rechte gegenüber inländischen Behörden nicht durchsetzen können, kein der DSGVO entsprechendes Datenschutzniveau bieten. Das würde neben den USA - siehe Kritikpunkte hinsichtlich des Privacy Shield - allerdings auch eine Reihe anderer Länder betreffen.

Eindeutig sind dagegen die Aussagen der Richter hinsichtlich des gewünschten Vorgehens der Aufsichtsbehörden. Steht ein Land nicht auf der weißen Liste der EU-Kommission, sind die offiziellen Datenschützer verpflichtet, die Übermittlung personenbezogener Daten dorthin auszusetzen beziehungsweise zu verbieten, wenn …

  • … sie der Auffassung sind, dass die Standarddatenschutzklauseln nicht eingehalten werden beziehungsweise nicht eingehalten werden können, und

  • … der Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann - es sei denn, der Datenexporteuer beendet von sich aus die Übermittlung.

Wie geht es weiter?

Obwohl Politik und Wirtschaft derzeit reichlich damit zu tun haben, die Folgen der Coronakrise in den Griff zu bekommen, dürften sich die Rädchen in Brüssel und Washington schnell in Bewegung setzen. Schließlich hängt die Wirtschaft von einem funktionierenden internationalen Datenverkehr ab. Schon vor vier Jahren ging es vergleichsweise schnell. Im Oktober 2015 hatte der EuGH den Privacy-Shield-Vorgänger Safe Harbor für null und nichtig erklärt. Bereits im Februar 2016 verständigten sich die EU-Kommission und die USA auf eine Nachfolgeregelung, die dann Anfang August des gleichen Jahres in Kraft trat - nicht einmal ein Jahr nach dem Ende von Safe Harbor.

Lesen Sie mehr zum Ende von Safe Harbor und dem Start des Privacy Shield:

In Reihen der EU-Kommission war man offenbar auf das Urteil der Richter vom EuGH vorbereitet. Justizkommissar Didier Reynders kündigte schon am Tag der Urteilsverkündung am 16. Juli an, mit der US-Regierung über den künftigen Weg zu sprechen und neue Standardvertragsklauseln zu erarbeiten, die im Einklang mit dem EuGH-Urteil stehen. Der US-amerikanische Handelsminister Wilbur Ross äußerte sich enttäuscht über die Entscheidung des obersten europäischen Gerichts, bekräftigte jedoch den Willen der US-Administration, mit den EU-Offiziellen an einem neuen Abkommen zu arbeiten. Schließlich gehe es darum, "die negativen Folgen auf die transatlantischen Wirtschaftsbeziehungen im Wert von 7,1 Billionen Dollar jährlich zu begrenzen, die für unsere Bürger, Unternehmen und Regierungen so lebenswichtig sind".

Doch ob es diesmal ebenso schnell gehen wird wie nach dem Scheitern von Safe Harbor, ist fraglich. Eine weitere Niederlage vor Gericht wird die EU-Kommission kaum riskieren wollen. Schon vor vier Jahren hatte es im Zuge des Privacy-Shield-Beschlusses massive Kritik seitens der Datenschützer gegeben. Das Abkommen entspreche nicht den Anforderungen der EU-Grundrechte-Charta, weil es nicht den nötigen Schutz personenbezogener Daten vorsehe, verlautete aus Reihen der Europa-Parlamentarier. Andere sprachen von faktisch wirkungslosen Garantien für die Grundrechte und völlig unzulänglichen Bestimmungen zum Rechtsschutz.

Auch Edward Snowden, der mit seinen Enthüllungen über die Schnüffeleien der US-Geheimdienste die Datenschutzdiskussion befeuert hatte, konnte dem Privacy Shield nichts Positives abgewinnen: "Die EU hat komplett kapituliert, und das, obwohl sie alle Trümpfe in der Hand hatte. Ich habe noch nie eine politische Übereinkunft gesehen, die so stark kritisiert wurde."

Edward Snowden, der den Schnüffelskandal um die NSA öffentlich machte, konnte dem Privacy Shield von Anfang an nichts Positives abgewinnen.
Edward Snowden, der den Schnüffelskandal um die NSA öffentlich machte, konnte dem Privacy Shield von Anfang an nichts Positives abgewinnen.
Foto: YouTube / Guardian

Tatsächlich hatte auch das EU-Parlament in den vergangenen Jahren wiederholt kritisch Stellung zum Privacy Shield genommen und Nachbesserungen angemahnt. Bewirkt hat das wenig. Während der Beschluss von Europa offiziell ratifiziert wurde, steht eine staatliche Anerkennung seitens den USA bis heute aus. Der US-Senat hat dem Abkommen bis heute nicht zugestimmt. Bürgerrechtler sagen deshalb, der Privacy Shield sei rechtlich gar nicht bindend, da die US-Regierung über Absichtserklärungen nie hinausgekommen ist..

Bislang hat auch die Trump-Administration wenig Interesse gezeigt, sich um die europäischen Datenschutzstandards zu kümmern. Der Start des Privacy Shield fiel 2016 in den US-Wahlkampf, den letzten Endes überraschend Donald Trump für sich entscheiden konnte. Als eine seiner ersten Amtshandlungen unterzeichnete der frisch gebackene US-Präsident am 25. Januar eine Anordnung, wonach Nicht-US-Amerikaner vom sogenannten Privacy Act ausgeschlossen seien. Das Gesetz aus dem Jahre 1974 schützt US-Bürger vor der Sammelwut und vor Übergriffen staatlicher Ermittlungsbehörden.

Der damals amtierende oberste Datenschützer Deutschlands Peter Schaar bezweifelte, ob man angesichts dieses Vorgehens noch von einem angemessenen Datenschutzniveau für EU-Bürger in den USA ausgehen könne. Dazu kam, dass die im Privacy Shield vorgesehene Ombudsstelle in den USA für die Annahme und Bearbeitung von Beschwerden über Jahre nicht besetzt wurde. Erst Ende Juni 2019 wurde mit Keith Krach offiziell eine Ombudsperson für Privacy-Shield-Angelegenheiten ernannt.

Angesichts des offensichtlichen Desinteresses der US-Seite, sich um europäische Datenschutzbelange zu kümmern, dürfte ein neues Abkommen erst einmal in weiter Ferne rücken - zumal in diesem Jahr erneut US-Wahlen anstehen und sich die Diskussionen um andere Themen drehen dürften. Dazu kommt, dass sich die EU-Kommission nicht noch einmal die Blöße geben wird, ein halbgares Abkommen auf den Weg zu bringen, das in ein paar Jahren erneut vom EuGH zerpflückt wird.

Auf was müssen Unternehmen jetzt achten?

International agierende Unternehmen, die ihren transatlantischen Datenverkehr mit dem Privacy Shield auf sicherem datenschutzrechtlichem Terrain glaubten, müssen jetzt handeln. Mit dem Beschluss des EuGHs ist der Privacy Shield ab sofort ungültig. Die Verantwortlichen in den Betrieben können sich also nicht mehr auf das Regelwerk berufen, wenn sie Daten in die USA transferieren. Das Urteil sieht auch keinen Aufschub und keine Gnadenfrist vor, verlautete aus dem Büro des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI).

Inwieweit Unternehmen eine Übergangsfrist gewährt wird, um ihre Verträge vom Privacy Shield auf Standardvertragsklauseln umzustellen, ist derzeit noch nicht abzusehen. Nach dem Ende von Safe Harbor hatte es eine Schonfrist von einigen Monaten gegeben, in denen die Datenschutzbehörden von einer Strafverfolgung absahen. Laut BfDI habe es bereits zwischen den europäischen Datenschutzbehörden Gespräche über die Auswirkungen des EuGH-Urteils gegeben. Allerdings sei noch nicht darüber geredet worden, wie in der Praxis eine Aufschubregelung umgesetzt werden könnte.

Die ersten Signale seitens der Datenschützer deuten allerdings darauf hin, dass erst einmal keine Strafverfolgungswelle in Sachen möglicher Datenschutzverstöße losgetreten werden soll. Man könne kein Verbot aussprechen, ohne den Betrieben eine wirkungsvolle Alternative zu bieten, hieß es von Seiten des BfDI. Es wäre unfair, den Firmen jetzt die Pistole auf die Brust zu setzen. Aktuell scheint es in Reihen der EU-Datenschutzbehörden darauf hinauszulaufen, eine europaweit einheitliche Regelung zu finden, wie mit dem Richterspruch umzugehen ist. Schließlich soll niemand benachteiligt werden.

Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, sieht die Rolle der Datenschützer durch das EuGH-Urteil deutlich gestärkt.
Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, sieht die Rolle der Datenschützer durch das EuGH-Urteil deutlich gestärkt.
Foto: Bundesregierung/Kugler

Nichtsdestotrotz machte der Bundesbeauftragte für den Datenschutz Ulrich Kelber unmissverständlich klar, dass das EuGH-Urteil die Grundrechte der europäischen Bürger stärke. "Für den Datenaustausch mit den USA müssen jetzt besondere Schutzmaßnahmen ergriffen werden." Unternehmen und Behörden könnten Daten nicht mehr auf der Grundlage des Privacy Shield übermitteln. Kelber kündigte an, Unternehmen bei der Umstellung "selbstverständlich intensiv beraten" zu wollen.

Die Rolle der Datenschutzaufsichtsbehörden sieht der deutsche Datenschutzbeauftragte bestätigt und gestärkt. "Sie müssen bei jeder einzelnen Datenverarbeitung prüfen und prüfen können, ob die hohen Anforderungen des EuGH erfüllt werden." Das bedeute auch, dass sie den Datenaustausch untersagen, wenn die Voraussetzungen nicht erfüllt würden. Kelber spricht von einer komplexen Aufgabe für Unternehmen und Aufsichtsbehörden, das Urteil praktisch anzuwenden. Er ließ aber keinen Zweifel daran, sich an die Vorgaben der Richter aus Luxemburg zu halten. "Wir werden auf eine schnelle Umsetzung in besonders relevanten Fällen drängen."

Zur Startseite