Inhaltsverzeichnis
Eine EuGh Entscheidung mit Sprengkraft
Der Europäische Gerichtshof (EuGH) hat das EU-US-Privacy-Shield Abkommen aufgehoben. Dabei handelt es sich um ein Übereinkommen zwischen der Europäischen Union und den Vereinigten Staaten, das die Übertragung von Nutzerdaten ermöglicht. (16.07.2020)
Irisches Gericht wandte sich an EuGH
Ein irisches Gericht wollte nun vom EuGH wissen, ob die Standardvertragsklauseln und der EU-US-Datenschutzschild („Privacy Shield“) mit dem europäischen Datenschutzniveau vereinbar sind. Die Luxemburger Richter erklärten den „Privacy Shield“ nun für ungültig. Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden seien die Anforderungen an den Datenschutz nicht gewährleistet. Zudem sei der Rechtsschutz für Betroffene unzureichend.
Die Standardvertragsklauseln sollen im Kern Garantien dafür bieten, dass es bei der Datenübermittlung aus der EU ins Ausland angemessenen Schutz für die Daten von EU-Bürgern gibt. Der Datenschutzschild ist ein weiterer Kanal, der ausschließlich für den Datentransfer in die USA zur Verfügung steht.
Das aktuelle Urteil bezieht sich auf personenbezogene Informationen, wobei „unbedingt notwendige“ Datentransfers nicht beinhaltet sind aber alle personenbezogenen Daten davon sehr wohl. Von dem Urteil betroffen sind demnach über 5.000 US-Unternehmen, die Daten zwischen den USA und der EU übertragen, etwa aus den Bereichen des Marketings, Cloud-Services und Datenhosting-Dienste. Dazu gehören natürlich auch Whatsapp, Zoom, Microsoft, Facebook, Instagram und viele andere Anwendungen die von den meisten Internetnutzern täglich verwendet werden.
Bekritelt und Grundlage des Urteiles war, dass EU Bürger in den USA keinerlei Schutz vor einem Zugriff durch NSA, CIA oder dem FBI in den USA haben und auch keinerlei rechtliche Möglichkeiten sich dagegen zu schützen oder zu beschweren. Die Richter stellten fest, dass eine Person praktisch keine Möglichkeit hat überhaupt Beschwerden führen zu können und auch keine Auskunftspflicht über die Datenzugriffe vorhanden sind.
Das sich die USA unter Trump wohl kaum vergnügt darüber zeigen werden, dass nun im EU Markt US Unternehmen einen klaren Nachteil haben werden ist bereits abzusehen. Es bleibt abzuwarten ob die EU sich diesmal für die Verbraucherinteressen einsetzen wird und Sanktionen und andere Nachteile durch die USA zurückweisen oder beantworten wird.
USA Gesetze bieten keinerlei Datenschutz für Ausländer
US Gesetze schützen zwar USA Bürger allerdings EU Bürger als „Ausländer“ haben keinen durch die DSGVO vorgeschriebenen Schutzmechanismen zu erwarten. Daher haben die USA als Drittland nun den durch das bisherige Abkommen bestimmte Sonderrecht nicht mehr. Die USA gilt als unsicherer Datenhafen und es wäre im Einzelfall zu überprüfen ob die beauftragten Unternehmen die Daten DSGVO und EU-Menschenrechtskonform schützen können. Das ist aber derzeit aufgrund der Gesetzeslage eigentlich ausgeschlossen, denn US Unternehmen müssen sich den lokalen Gesetzen natürlich beugen und damit auch den uneingeschränkten Zugriff auf die Daten sogar „ohne Benachrichtigung an die Nutzer“ ermöglichen.
Damit wird durch den EU-Gerichtshof bestätigt, was den meisten Menschen auch schon beim Abschluss des Abkommens im Jahr 2016 klar war. Das die EU-Kommission damals diese Umstände zugunsten der USA ignorierten und ein Abkommen das gegen EU Gesetze verstößt abgeschlossen haben entbehrt eigentlich jeder moralischen Vorstellung. Tausende Organisationen haben damals bereits darauf verwiesen und es wird auch diesmal keinerlei Konsequenzen für die Verteidiger dieses Abkommens haben.
Konflikt seit 2013
Der Hintergrund: Europäische Datenschutzgesetze stehen im Konflikt mit US-Judikatur – erstere schreiben einen sensiblen Umgang mit Daten vor, deren Weitergabe an einen Drittstaat ist nur gestattet, wenn auch dort ein bestimmtes Niveau erreicht wird.
Der österreichische Datenschützer Max Schrems (NOYB) hatte sich 2013 bei der irischen Datenschutzbehörde darüber beschwert, dass Facebook Nutzerdaten in den USA verarbeitet. Die Begründung: Die dortigen Überwachungsgesetze würden keinen ausreichenden Schutz bieten. Er hatte auch schon damals Erfolg, das ursprüngliche Safe-Harbor-Abkommen wurde gekippt. Daraufhin beschloss die EU 2015 die Nachfolgeregelung Privacy-Shield, die nun ebenso für unzulässig erklärt wurde.
Was ist nun zu tun?
Firmen können einzelne Abkommen mit den beauftragten Unternehmen auf individeller Basis treffen. Darin enthalten kann das Unternehmen eine Zusicherung geben, sich an die DSGVO und EuGh Richtlinien zu halten. US Unternehmen werden sich aber schwer tun das auch zu versprechen, da dies in vielen Fällen ausschließen wird, dass diese sich dann noch an die US Gesetzgebung halten können und daraus riskieren diese dann gesetzliche Zwangsmassnahmen gegen die Unternehmen.
Vereine und Privatspersonen aber hingegen haben diese Möglichkeiten eigentlich nicht, daher müssen die Firmen umgehend eine Lösung finden oder können von einzelnen Nutzern verklagt werden. Der Ablauf dazu geht über eine Datenschutzbeschwerde welche die nationalen Datenschutzstellen verfolgen und auch zu Anzeigen verfolgen müssten. Damit einhergehend sind dann Strafen und Schadensersdatzzahlungen nicht ausgeschlossen.
Da dieser Prozess aber länger dauern wird, sollten Vereine die aber Daten von Dritten verwalten recht rasch EU Alternativen verwenden die die DSGVO Richtlinien einhalten können. Der Markt und das Angebot an Cloud und Kommunikationsdiensten in der EU ist sicherlich ausreichend vorhanden. Daher gibt es hierbei auch keine wirklichen Übergangsfristen oder Notwendigkeiten auf die man sich dabei berufen kann.
Erstellt am: 17. Juli 2020