EuGH kippt Datendeal mit USA Auf ganzer Linie Recht bekommen
Der EuGH hat auf Betreiben des Datenschutzaktivisten Schrems erneut die Regeln für den Datentransfer in die USA gekippt. Sollten Unternehmen wie Facebook die neuen Vorgaben missachten, könnte es teuer für sie werden.
Jetzt hat er ein zweites Mal erreicht, dass die EU die Grundlagen für Datentransfer neu überdenken muss: Der österreichische Datenschutzaktivist Max Schrems hat auf ganzer Linie vom obersten Gerichtshof der EU Recht bekommen. So wie es im Augenblick läuft, darf Facebook in Europa nicht mehr Daten der Kunden an die amerikanische Muttergesellschaft übermitteln.
Schrems hatte schon 2013 bei der irischen Datenschutzbehörde eine Beschwerde eingelegt: Seine Daten dürften nicht von Facebook in Europa an Facebook in den USA weitergeleitet werden, wo amerikanische Sicherheitsbehörden alles durchleuchten können. Die irische Datenschutzbehörde ist zuständig, weil Facebook Irland alle Daten von Nutzern in Europa sammelt und an die Muttergesellschaft in die USA weiterreicht.
Schrems schon 2015 erfolgreich
Daraufhin klagte Schrems in Irland. Die Klage wurde dem europäischen Gerichtshof (EuGH) in Luxemburg vorgelegt, und 2015 bekam er dort zum ersten Mal Recht: Der EuGH entschied damals, dass die bis dahin gültige Grundlage, die sogenannten Safe-Harbor- Regelungen, für die Übermittlung von Daten nicht ausreicht. Denn: Europäische Bürger könnten zum Beispiel ihre Daten in den USA nicht löschen oder korrigieren lassen.
Nach dem Urteil von 2015 arbeiteten die EU mit den USA ein Abkommen mit mehr Sicherungen aus, den sogenannten Privacy Shield. Aber auch dieses Abkommen reicht nicht aus, sagt jetzt der Europäische Gerichtshof in einer zweiten großen Entscheidung. Nach der europäischen Datenschutzgrundverordnung dürfen personenbezogene Daten in andere Länder nur weitergegeben werden, wenn die Informationen über Menschen dort genauso geschützt werden wie in Europa.
US-Ombudsstelle reicht nicht
Nach dem Abkommen gibt es zwar in den USA eine Ombudsstelle, an die sich betroffenen Bürgerinnen und Bürger wenden können, wenn sie meinen, dass ihre Daten nicht korrekt verwertet werden. Aber das, so die obersten EU-Richter, sei kein wasserdichter Schutz und nicht dasselbe wie die Möglichkeit, vor Gericht zu klagen. Das aktuelle Abkommen mit den USA ist also ab sofort ungültig.
Daneben musste der Gerichtshof auch noch die Frage klären: Genügt es vielleicht, wenn Facebook USA der Tochterfirma Facebook in Irland einfach per Vertrag zusichert, dass der europäische Datenschutz in den USA beachtet wird? Solche Standardvertragsklauseln hat die Kommission einmal entworfen, können also von den Unternehmen eingebaut werden in ihre Verträge. Der EuGH sagt jetzt: Ja, die Firmen können Datenschutz einfach auch nur in einem Vertrag vereinbaren. Aber: Wenn im Ausland nicht dasselbe Schutzniveau für Menschen aus Europa gewährleistet ist, dürfen und müssen die Datenschutzbehörden reingrätschen und die Datenübertragung verbieten.
Nicht alle Datentransfers verboten
Praktische Folge des EuGH-Urteils: Bestimmte notwendige Daten dürfen weiterhin in die USA übermittelt werden. Es ist zum Beispiel immer noch möglich, per Mail ein Hotel dort zu buchen. Aber Datenverarbeitung im großen Stil, die theoretisch genauso gut in Europa stattfinden könnte - dafür braucht es ein neues Abkommen. Und wenn die Firmen sich einfach auf die Verträge berufen, die sie miteinander abgeschlossen haben, müssen die Datenschutzbehörden sehr genau hinsehen und - solange Europäer in den USA kein Klagerecht haben - die Weitergabe im Zweifel stoppen.
Das heißt, die irische Datenschutzbehörde hat ab jetzt viel zu tun. Denn viele große Konzerne sitzen in Irland, und deren Datentransfers müssten unter die Lupe genommen werden. Bislang glänzte die Behörde durch Untätigkeit - gut möglich, dass sie die Anweisung hatte, die Konzerne im Land zu halten und nicht durch zu viel Kontrolle zu vergrätzen.
Es bleibt spannend, ob sie jetzt tatsächlich aktiv wird. Sollte sie den Anweisungen des EuGH nachkommen, könnte es für Facebook in Irland richtig teuer werden, falls sich das Unternehmen nicht an die Auflagen hält: Es müsste nach der Datenschutzgrundverordnung mit Geldstrafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes rechnen.