Der europäische Gerichtshof sorgt mit seinem jüngsten Urteil zum Privacy Shield für reichlich Aufregung. Die bisherige Vereinbarung zur Verarbeitung personenbezogener Daten zwischen Europa und den USA ist nun Geschichte. Das Urteil birgt gravierende Folgen für alle europäischen Unternehmen, die mit amerikanischen Betrieben und Kunden zusammenarbeiten.
Was ist der Privacy Shield?
Auch bekannt unter der genaueren Bezeichnung «EU-US Privacy Shield», handelt es sich um eine Vereinbarung zwischen der Europäischen Union und den Vereinigten Staaten von Amerika. Eine zuständige Kommission handelte im Jahr 2016 einen Beschluss aus, der besagt, dass die amerikanischen Vorgaben zum Datenschutz dem europäischen Standard entsprechen.
Die Vereinbarung dreht sich insbesondere um den Transfer von Daten zwischen den Mitgliedsstaaten. Eine der Voraussetzungen war auch, dass EU-Bürger die Möglichkeit einer Klage erhalten, sofern ihre Datenschutzrechte innerhalb der USA verletzt werden.
Derselbe Kläger vor dem EuGH
Wichtig zu wissen: Das Privacy Shield ersetzte eine frühere, ähnliche Lösung. Vor 2016 galt das sogenannte Safe Harbor-Abkommen. Damals klagte ein österreichischer Jurist vor dem Europäischen Gerichtshof.
Maximilian Schrems zog erneut bis zur obersten Instanz. Kern seiner Klage: Der Facebook-Konzern übermittelte auf Basis von Standardklauseln Personendaten an die Mutterfirma in den USA.
Diese Standardklauseln erfüllten die Anforderungen des Privacy Shields — nicht aber die der DSGVO. Die Entscheidung des EuGH war damit folgerichtig: Das Privacy Shield wurde für nichtig erklärt.
Privacy Shield zu „standardisiert“?
Der EuGH hält fest, dass die Einhaltung der Standardklauseln grundsätzlich ausreicht — sie aber kein Alleinstellungsmerkmal sind. Das heisst: Derselbe Datenschutz muss auch im Empfängerland gelten. Wer Daten überträgt, muss das selbst prüfen.
Alle eingesetzten Klauseln müssen nicht nur inhaltlich den Anforderungen entsprechen — sie müssen auch tatsächlich angewendet werden, nicht bloss anwendbar sein.
Für eine Privacy-Shield-Zertifizierung genügte bislang eine schriftliche Verpflichtung und ein Listeneintrag. Eine Zusicherung des amerikanischen Büros für Nachrichtendienste sollte sicherstellen, dass die bekannt strengen US-Überwachungsmassnahmen nicht für den Zugriff auf Daten von EU-Bürgern genutzt würden.
Privacy Shield von Anfang an unter starker Kritik
Das Abkommen stand von Beginn an auf wackligem Fundament. Teile der Vereinbarung entstanden kurz vor der amerikanischen Präsidentschaftswahl. Aus einer Klageschrift ging hervor, dass US-Recht in vielen Fällen weiterhin vor europäischem stehe. Der Zugriff auf personenbezogene Daten soll zwar die Ausnahme sein — beispielsweise aus Gründen der nationalen Sicherheit —, bleibt unter bestimmten Bedingungen aber möglich.
Viele Bürgerrechtsorganisationen und Datenschützer lehnten das Privacy Shield vollständig ab. Kritisiert wurde vor allem, dass das Abkommen kein echtes Gesetz sei, sondern eher eine «Sammlung von Schriftstücken». Dem neu eingesetzten Ombudsmann fehlten zudem die nötigen Befugnisse — und als Beamter des US-Aussenministeriums war er kaum eine unabhängige Partei.
Folgen des Urteils
Alle Betriebe, die Daten auf Grundlage des Privacy Shields verarbeiten, müssen jetzt handeln. Ein paar konkrete Wege, wie du den Datenschutz mit deinen Vertragspartnern sicherstellst:
- Die genannten Standardklauseln sind nicht grundsätzlich ungültig. Du musst aber prüfen, ob im Drittland gleichwertige und wirksame Rechte bestehen. Ist das nicht der Fall, sind EU-Standardklauseln die bessere Wahl.
- Es gibt eine Übergangsfrist. Nutze sie, um betroffene Prozesse und Datenflüsse zu identifizieren und umzustellen.
- Wo möglich, ist die Verschlüsselung von Personendaten vor der Übertragung ein rechtssicherer Weg.
- Ebenfalls rechtsgültig: die vorherige (und ausführliche!) Einwilligung der betroffenen Personen zur Verarbeitung ihrer Daten.