VG-Wort Pixel

Datenschutz Privacy Shield: Steht das Daten-Abkommen mit den USA auf der Kippe?

Facebook startet Gesichtserkennung in Deutschland
Facebook und andere Konzerne übertragen ihre Daten in die USA. Nun steht die Rechtsgrundlage dazu auf der Kippe
© Niall Carson/PA Wire/Empics / Picture Alliance
Welche Daten dürfen Facebook und Co. in die USA übertragen? Darüber entscheidet demnächst das höchste EU-Gericht. Ein Gutachten des Generalanwalts gibt nun eine erste Richtung vor - zugunsten des Datenschutzes.

Welche meiner Daten darf Facebook in die USA übertragen und kann ich sie daran hindern? Diese einfache Frage wollte der österreichische Student Max Schrems beantwortet haben. Und wartet seit mehr als sechs Jahren auf eine Antwort. Schon zum zweiten Mal muss demnächst das höchste europäische Gericht, der Europäische Gerichtshof (EuGH), darüber entscheiden. Das Urteil könnte für das europäische Internet weitreichende Folgen haben.

Dabei fing alles klein an. Im Rahmen der NSA-Enthüllungen durch Edward Snowden fragte sich  Schrems, welche Daten da eigentlich von Facebook übertragen wurden. Er reichte eine Beschwerde bei der irischen Datenschutzbehörde ein, dort hat der US-Konzern seinen Sitz in Europa. Sein Anliegen: Er wollte verhindern, dass seine Daten im Rahmen des FISA-Abkommens routiniert und ohne eine Widerspruchsmöglichkeit von den US-Geheimdiensten abgerufen werden können. Der Schutz seiner Daten sei in den USA nicht gewährleistet, argumentiert Schrems.

Wie sicher sind die Daten in den USA?

Zwar sollen verschiedene Maßnahmen dafür sorgen, dass die Daten von EU-Bürgern auch in den USA geschützt werden. Schrems stellte aber infrage, ob das überhaupt möglich ist. "Einfach ausgedrückt: Europäisches Recht verlangt Datenschutz, während das US-Recht eine Massenüberwachung verlangt. Die Frage ist, was passiert, wenn ein EU-Unternehmen wie Facebook Irland dem US- statt dem EU-Recht folgt?"

Damit trat er mehr los, als er zunächst geahnt haben dürfte. Die irische Datenschutz-Behörde lehnte die Beschwerde ab - und verwies auf das sogenannte Safe-Harbour-Abkommen. Das erlaubte die Datenübertragung zwischen Firmen in den USA und Europa. Und war kurz darauf Geschichte: Nachdem der Fall das erste Mal vor dem EuGH landete, entschied der, dass das Abkommen zu viel Spielraum erlaubte - und kippte es 2015. Dem Nachfolge-Abkommen "Privacy Shield" könnte nun ein ähnliches Schicksal drohen.

In einem aktuellen Verfahren klagt die irische Datenschutzbehörde gegen Facebook und Schrems. Sie will klären, inwiefern die Daten nach dem neuen Abkommen übertragen werden dürfen. Heute hat der zuständige Generalanwalt seinen Bericht vorgelegt. Er sieht bei Privacy Shield viele offene Fragen - und fordert die Datenschutzbehörde auf, ihren Job zu machen. In der Vergangenheit folgte der Gerichtshof der Einschätzung des Generalanwaltes in der Regel, ein endgültiges Urteil wird aber erst in einigen Wochen erwartet.

Weitreichende Folgen

Theoretisch könnte das Gericht noch deutlich weiter gehen als vom Generalanwalt vorgeschlagen. Facebook beruft sich bei der Datenübertragung bislang auf sogenannte Standardvertragsklauseln. Die erlauben die Übertragung zwischen Unternehmen in der EU und den USA, indem die US-Firmen zusichern, die strengen Datenschutzvorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) auch in den USA zu garantieren. Die irische Datenschutzbehörde wollte das auf dem Prüfstand sehen. Der Generalanwalt sieht die Regelung in seinem Gutachten aber nicht als Problem.

Ein Kippen der Standardvertragsklauseln hätte weitreichende Konsequenzen. So könnte im Extremfall die Datenübertragung in die USA weitgehend zum Erliegen kommen, bis eine neue Regelung umgesetzt würde, so der auf Medienrecht spezialisierte Anwalt Christian Solmecke. Bei Verstößen sieht die DSGVO Strafen in Höhe von bis zu vier Prozent des Jahresumsatzes des Unternehmens vor. Bei den großen Internetkonzernen wäre man da sehr schnell im Milliardenbereich.

Schrems ist zufrieden

Das will allerdings weder Facebook noch Schrems. Er gab sich mit dem Ergebnis des Generalanwaltes in einer ersten Stellungnahme zufrieden. "Die Stellungnahme entspricht großteils auch unserer Rechtsansicht. Das ist eine schallende Ohrfeige für die irische Datenschutzbehörde und für Facebook – und ein wichtiges Zeichen für den Schutz der Privatsphäre von Nutzern", so Schrems.

Ihn freut vor allem die Einschätzung, dass die Datenschutzbehörden tätig werden müssen. Die Standardvertragsklauseln erlauben etwa schon heute, einzelne Datenströme zu untersagen, wenn sie als problematisch gesehen werden. Die irische Datenschutzbehörde könnte auch nach Ansicht des Gerenalanwaltes also Facebooks Datenübertragung verbieten, ohne sonstige Firmen bei der Arbeit zu hindern. Statt eine Entscheidung darüber zu treffen, suchte die Behörde aber Rechtssicherheit über die Gerichte. Schrems kann das nicht nachvollziehen. "Es ist wie ein Ruf nach der europäischen Feuerwehr, weil man nicht in der Lage ist, eine Kerze auszublasen."

Quellen: Generalanwalt EuGH, Statement Schrems, Pressemitteilung Kanzlei Wilde Beuger Solmecke


Mehr zum Thema


Wissenscommunity


Newsticker