Vor kurzer Zeit hat der EuGH das Datenschutzabkommen zwischen den USA und der EU (Privacy Shield) für ungültig erklärt. Nach dem Urteil bleibt die Frage, wie es nun weitergeht.
Die Richter des EuGH haben entschieden: Sie erklärten den EU-US Privacy Shield für ungültig. (Quelle: Gerichtshof der Europäischen Union / G. Fessy) Eigentlich sollte er für Rechtssicherheit sorgen und Unternehmen die problemlose Nutzung US-amerikanischer Cloud -Dienste ermöglichen: der EU-US Privacy Shield. Die im Jahr 2016 ausgehandelte Datenschutzvereinbarung zwischen der Europäischen Union und den USA regelte, wie Unternehmen in Übersee die Daten von Deutschen und anderen EU-Bürgern verarbeiten dürfen. Der Privatsphäre-Schutzschirm sollte sicherstellen, dass für Daten von EU-Bürgern in den Vereinigten Staaten ein ähnliches Schutzniveau gilt wie in der Europäischen Union.
Der Europäische Gerichtshof (EuGH) hat den EU-US Privacy Shield nun aber für ungültig erklärt: Laut den Luxemburger Richtern erfüllt das Übereinkommen nicht die Anforderungen an einen dem Recht der EU gleichwertigen Datenschutz. Das Urteil hinterlässt eine juristische Lücke - und viele Unternehmen in der EU bleiben ratlos zurück. Denn die Nutzung US-amerikanischer Dienstleister gehört in vielen Bereichen zum Standard.
Der Privacy Shield regelte bislang den Umgang mit personenbezogenen Daten, also etwa Nutzerinformationen, wie sie soziale Netzwerke sammeln. Personenbezogene Daten können Namen oder IP-Adressen von Nutzern sein. Rund 5000 Unternehmen berufen sich momentan bei ihren Datenübertragungen in die USA auf den Privacy Shield. So ermöglichte das Datenschutzübereinkommen zum Beispiel, dass Firmen Daten zwischen mehreren Standorten und Rechenzentren austauschen können.
In den USA dürfen nicht nur Unternehmen ihre gespeicherten Daten nutzen - auch die Behörden behalten sich das Recht vor, jederzeit darauf zuzugreifen. So sind Unternehmen verpflichtet, Geheimdiensten und Behörden wie der NSA oder dem FBI Zugriff auf die Daten ausländischer Nutzer zu gewähren. Da die US-Behörden den Erfordernissen der nationalen Sicherheit und der Einhaltung des amerikanischen Rechts stets Vorrang einräumen, ermöglicht dies laut EuGH einen Eingriff in die Grundrechte der Personen, deren Daten in die Vereinigten Staaten übermittelt werden.
Die Entscheidung über den Privacy Shield ist das Ergebnis eines jahrelangen Rechtsstreits zwischen dem österreichischen Datenschützer Max Schrems und dem sozialen Netzwerk Facebook. Schrems hatte sich schon 2013 bei der irischen Datenschutzbehörde darüber beschwert, dass Facebook Nutzerdaten in den USA verarbeitet. Als Begründung führte er an, dass die US-Gesetze keinen ausreichenden Schutz für Nutzerdaten bieten. Nachdem der EuGH bereits 2015 den sogenannten Safe-Harbor-Beschluss, den Vorgänger des Privacy Shield, für ungültig erklärt hatte, kippte er nun Mitte Juli auch den Privacy Shield.