Ein Urteil des Europäischer Gerichtshofs macht es Unternehmen in Zukunft schwerer, Daten aus Europa in die USA zu übertragen. Es könnte sie viele Milliarden Euro kosten, den Datenschutz aber stärken.
Wenn wir ein Konto bei Facebook, Amazon oder Google haben, speichern diese Unternehmen von uns Daten. Und selbst, wenn diese Unternehmen eine Zentrale in Europa haben, so wie Facebook in Irland, werden Daten in die USA weitergeleitet. Viele persönliche Daten landen aus Deutschland also auch in den Vereinigten Staaten.
Die Kritik, die federführend von dem österreichischen Datenaktivisten und Juristen Max Schrems formuliert wurde, lautet: Das Datenschutzniveau ist in den USA so gering, dass es mit der europäischen Datenschutzgrundverordnung nicht zu vereinbaren ist, dass massenhaft Daten von Europa in die USA übertragen werden.
Schrems argumentiert, dass zum Beispiel Facebook in den USA verpflichtet sei, Daten Behörden zugänglich zu machen – etwa dem FBI.
Urteil verbietet nicht alles
Unter anderem aufgrund der Aktivitäten von Schrems hat sich der Europäische Gerichtshof jetzt wieder mit der Datenübertragung in die USA beschäftigt. Heute (16. Juli) ist das Urteil gefallen: Es erschwert den Datentransfer, macht ihn aber nicht unmöglich.
Unternehmen haben prinzipiell zwei Möglichkeiten, Daten in die USA zu transferieren:
- zum einen auf Basis der sogenannten Standardvertragsklauseln
- zum anderen auf Basis des sogenannten Privacy Shields
Beides sind quasi vorgefertige Datenschutz-Instrumente, Unternehmen können sich aussuchen, welches sie verwenden.
Die Standardvertragsklauseln sind gebräuchlicher, das Gericht erklärte sie für zulässig. Ein Datentransfer ist also weiterhin möglich. Die Richter betonten aber, dass eine Übertragung ausgesetzt werden müsse, wenn der Datenschutz im anderen Land nicht gewährleistet sei.
Das Instrument "Privacy Shield" ist im Gegensatz zu den Standardvertragsklauseln jetzt in Gänze für ungültig erklärt worden.
Geschäfte im Wert von Billionen von Dollar stehen auf dem Spiel
Nach Informationen der Süddeutschen Zeitung nutzen zum Beispiel SAP, Siemens, Telefonica und Aldi das Instrument Privacy Shield. Diesen Unternehmen ist nun erstmal die legale Möglichkeit entzogen, Daten aus Europa in die USA zu übermitteln.
Die IAPP (International Association of Privacy Professionals), eine weltweite Vereinigung von Datenschützern, erklärte, die Entscheidung werde zehntausende Unternehmen um die legale Möglichkeit bringen, transatlantische Geschäfte im Wert von Billionen von Dollar zu machen.
Max Schrems sagte in einer ersten Reaktion, er sei glücklich über das Urteil. "Auf den ersten Blick scheint uns der Gerichtshof in allen Aspekten gefolgt zu sein. Dies ist ein totaler Schlag für die irische Datenschutzbehörde und Facebook. Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen."