Digital
Analyse

Was die EuGH-Entscheidung im Fall «Facebook vs. Max Schrems» bedeutet

ABD0004_20200716 - LUXEMBURG - EUROP
Jurist und Datenschutzaktivist Max Schrems pocht bei den US-Techgiganten auf den Datenschutz.Bild: keystone
Analyse

EU-Richter versenken Datenschutz-Pakt mit den USA – das sind die Folgen

Dürfen Firmen wie Facebook, Google oder Apple Nutzerdaten in die USA übertragen? Der europäische Gerichtshof hat heute ein wichtiges Datenschutz-Abkommen zwischen der EU und den USA für ungültig erklärt. Die wichtigsten Fragen und Antworten.
16.07.2020, 13:4816.07.2020, 20:19
Mehr «Digital»

Max Schrems hat europäische Datenschutz-Geschichte geschrieben - schon wieder. Auf sein Betreiben kippte der Europäische Gerichtshof das Datenabkommen «Privacy Shield» zwischen der EU und den USA. Der EuGH hatte nach einer Schrems-Klage bereits 2015 die Vorgängerregelung «Safe Harbor» kassiert.

Was ist die zentrale Aussage des Urteils?

Das Urteil beinhaltet zwei Entscheidungen: Zum einen stellt der Gerichtshof fest, dass Standardvertragsklauseln zur Datenübertragung ins Ausland nicht gegen die Charta der Grundrechte der Europäischen Union verstossen. Diese nutzt auch Facebook für die Datenübertragung zwischen der EU und den USA. Das Datenabkommen «Privacy Shield» zwischen den USA und der EU erklärt der EuGH hingegen für ungültig.

Was ist «Privacy Shield»?

Nach dem Scheitern des «Safe Harbor»-Abkommens zwischen den USA und der EU vor dem EuGH 2015 wurde ein Jahr später eine Abmachung zwischen der Europäischen Union und den Vereinigten Staaten geschlossen. Darin wurde geregelt, dass Unternehmen personenbezogene Daten unter bestimmten Schutzvorkehrungen von EU-Ländern in die USA übermitteln dürfen. Es wird pauschal festgestellt, dass eine wichtige Bedingung der Europäischen Datenschutz-Grundverordnung (DSGVO) erfüllt ist. Nach der DSGVO dürfen im Ausland nur personenbezogene Daten gespeichert und verarbeitet werden, wenn die Datenschutzvorkehrungen in jenem Land ähnlich hoch sind. In einer Selbstverpflichtung erklären die Unternehmen dabei, dass dies der Fall ist.

Warum wurde «Privacy Shield» jetzt für ungültig erklärt?

Dem EuGH gehen die Überwachungsbefugnisse der amerikanischen Geheimdienste und Sicherheitsbehörden zu weit. Nach dem amerikanischen Foreign Surveillance Act (FISA) dürfen NSA, FBI und andere auch ohne einen richterlichen Beschluss die Daten ausländischer Nutzer durchforsten. Den Enthüllungen des Whistleblowers Edward Snowden konnte man entnehmen, dass Daten von Microsoft, Facebook, Google, Apple, Yahoo und anderen abgesaugt werden. Der EuGH sagt nun, dass die Überwachungsprogramme nicht auf das zwingend erforderliche Mass beschränkt sind.

Was hat es mit den Standardvertragsklauseln auf sich?

In diesen Verträgen erklären die beteiligten Parteien, dass es auch im Ausland einen angemessenen Schutz für die Daten von EU-Bürgern gibt. Sie gelten deshalb als einfach anwendbares Instrument, um rechtskonform personenbezogene Daten ins Ausland zu übermitteln.

Sind die Standardvertragsklauseln also ein Freibrief für die Datenübertragung ins Ausland?

Nein. Das Konstrukt wurde zwar vom EuGH bestätigt. Aber auch hier haben die Betroffenen die Möglichkeit, die Rechtmässigkeit im konkreten Fall durch die zuständigen Datenschutzbehörden überprüfen zu lassen. Im Streit zwischen dem Datenschutzaktivisten Max Schrems und Facebook liegt der Ball damit wieder im Feld der irischen Datenschutzbehörde DPC. Die ist bislang aber nicht durch ein scharfes Vorgehen gegenüber US-Konzernen aufgefallen, die von Irland aus ihr Europa-Geschäft betreiben.

Welche Folgen hat das Urteil?

Das Urteil hat für europäische oder Schweizer Internet-Nutzer kaum direkte Folgen, wird aber die Rechtsabteilungen vieler Firmen beschäftigen. Sie müssen nun sicherstellen, dass sie personenbezogene Daten rechtskonform ins Ausland übermitteln.

Wer ist Max Schrems?

Der Jurist Max Schrems kämpft seit Jahren für einen stärkeren Datenschutz in Europa - und gegen Facebook. Nach den ersten Anfragen bei Facebook und der irischen Datenschutzbehörde seien die Antworten so surreal gewesen, dass er immer habe weitermachen müssen, sagt er. Schrems gründete auch den Datenschutz-Verein Noyb, der auf Grundlage der DSGVO bereits Anzeigen gegen Google und Facebook auf den Weg brachte.

Was bemängelt Schrems genau?

Schrems hat bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet, obwohl diese dort nicht angemessen gegen Ausspähaktionen gesichert seien. Der irische High Court rief schliesslich den EuGH an und wollte wissen, ob Standardvertragsklauseln und «Privacy Shield» mit dem europäischen Datenschutzniveau vereinbar sind.

Sind nur Nutzer von Facebook betroffen?

Nein, die Entscheidung des EuGH betrifft ganz grundsätzlich die Datenübertragung ins Ausland. Häufig werden Daten auch in den USA gespeichert, selbst wenn man es mit Firmen aus Europa zu tun hat. Diese greifen nämlich häufig auf Cloud-Dienste in den USA wie Amazon AWS, Microsoft Azure oder Google Cloud zurück. In der Regel agieren die grossen US-Anbieter nicht allgemein unter dem Dach des «Privacy Shields», sondern haben Verträge abgeschlossen.

Was bedeutet das Urteil für die Digital-Branche?

Der deutsche Branchenverband Bitkom beklagt, dass nach dem gescheiterten Safe-Harbor-Abkommen jetzt zum zweiten Mal die Rechtsgrundlage für die Datenverarbeitung zwischen der EU und den USA weggefallen ist. Auch die bis dato gültige Praxis der Standardvertragsklauseln gerate mit dieser Entscheidung ins Wanken. «Für Unternehmen mit einer Datenverarbeitung in den USA entsteht durch dieses Urteil massive Rechtsunsicherheit», erklärte Bitkom-Präsident Achim Berg. Wer bislang allein auf Basis des «Privacy Shields» Daten verarbeitet habe, muss zumindest auf die Standardvertragsklauseln umstellen - «andernfalls droht ein Daten-Chaos».

Wie reagiert Schrems?

Schrems erklärte in einer ersten Reaktion, er sei sehr glücklich über das Urteil. «Auf den ersten Blick scheint uns der Gerichtshof in allen Aspekten gefolgt zu sein. Dies ist ein totaler Schlag für die irische Datenschutzbehörde DPC und Facebook. Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen.»

(oli/sda/dpa)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das bedeuten die Haken bei WhatsApp wirklich
1 / 9
Das bedeuten die Haken bei WhatsApp wirklich
Neue WhatsApp-Nachricht erhalten? So deaktiviert man die automatische Lesebestätigung.
quelle: watson
Auf Facebook teilenAuf X teilen
Fragst du dich, warum du überall neuen AGB zustimmen musst?
Video: watson
Das könnte dich auch noch interessieren:
4 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
NiemandVonNirgendwo
16.07.2020 14:56registriert April 2016
Vielen Dank, Max Schrems. Schön, dass sich jemand durch diesen Rechts Djschungel kämpft.
1641
Melden
Zum Kommentar
avatar
derEchteElch
16.07.2020 14:31registriert Juni 2017
Das sind doch mal gute Nachrichten 👍

Aufs Erste. Wies im Artikel steht, liegt der Ball wieder bei der Datenschutzbehörde Irlands. Und von ihnen erwarte ich nicht besonders viel, wie in der Vergangenheit..
953
Melden
Zum Kommentar
4
Gemeinde Glarus Nord nach gefälschtem Mailverkehr um fast 50'000 Franken betrogen

Die Gemeindeverwaltung Glarus Nord ist von einer kriminellen Organisation um 48'000 Franken betrogen worden. Eine eingeleitete Strafuntersuchung soll nun helfen, das Delikt aufzuklären. Ausserdem untersucht die Geschäftsprüfungskommission den Vorfall.

Zur Story