Der Europäische Gerichtshof hat am Donnerstag die Regeln für Datentransfers aus der EU in die USA und darüber hinaus gekippt. Konkret geht es um die Frage, ob europäische Unternehmen weiterhin auf Grundlage der geltendenden EU-Regeln personenbezogene Daten an andere Unternehmen im EU-Ausland übermitteln dürfen (Rechtssache C-311/18). Das Urteil hat weitreichende Folgen für die globale Wirtschaft.
Hintergrund ist eine Beschwerde des Datenschutzaktivisten Max Schrems. Der österreichische Jurist hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Er begründete seine Beschwerde damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen - ohne dass Betroffene dagegen vorgehen können.
Keine Rechte für EU-Bürger
Der EuGH begründete seine Entscheidung insbesondere damit, dass EU-Bürgerin den USA keinerlei Möglichkeit hätten, gerichtlich gegen US-Behörden vorgehen zu können. Die Einschränkungen des Datenschutzes durch "Privacy Shield" würden sich unter anderem daraus ergeben, dass US-Behörden auf die personenbezogenen Daten nach US-Recht zugreifen und diese verwenden dürften. Die Verwendung der Daten sei nicht auf das "zwingend erforderliche Maß beschränkt", betonten die Richter.
Der Generalanwalt Henrik Saugmandsgaard Öe hatte bereits Mitte Dezember des Vorjahres Bedenken bezüglich "Privacy Shield" (Datenschutzschild) angemeldet. Das Abkommen wurde zwischen der EU und den USA ausverhandelt, nachdem sein Vorgängerabkommen "Safe Harbor" 2015 - ebenfalls nach einer erfolgreichen Klage von Schrems - gekippt worden war. Auch damals bestätigte der EuGH die Ansicht von Schrems und entschied, dass die Massenüberwachung die europäischen Grundrechte verletzt. Das "Safe Harbor"-System, das den Datentransfer zwischen der EU und den USA ermöglichte, wurde für ungültig erklärt.
US-Gesetze ändern
Schrems zeigte sich in einer ersten Reaktion "sehr erfreut" über das Urteil. Es sei ein "totaler Schlag" gegen die Irische Datenschutzbehörde (DPC) und Facebook. Er forderte eine "ernsthafte Änderung" der Überwachungsgesetze in den USA. Denn diese schützen derzeit nur US-Bürger vor dem uneingeschränkten Zugriff durch US-Behörden. Nicht-US-Bürger haben hier keine Rechte.
Allerdings seien diese notwendig, "wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen", hieß es auf der Website seiner in Wien ansässigen Organisation noyb.
Verhandlungen laufen
EU-Kommissionsvizepräsidentin Vera Jourová hat sich bereits darauf vorbereitet, dass der EuGH die Rechtsgrundlage für den Datentransfer in die USA kippt. "Ich habe am Dienstag bereits mit US-Wirtschaftsminister Wilbur Ross darüber gesprochen: Wir müssen uns auf alle Eventualitäten einstellen und eine Antwort bereithalten", sagte sie dem "Handelsblatt" laut Mitteilung.
Auf Schrems' Betreiben kippte der EuGH 2015 bereits die Safe-Harbor-Regelung, weil sie die Daten europäischer Bürger nicht ausreichend vor dem Zugriff von US-Behörden geschützt habe.