Der Europäische Gerichtshof hat entschieden, dass europäische Daten nicht ohne Prüfung in die USA übermittelt werden dürfen. Was bedeutet das EuGH Urteil für meine Daten? OBERLAND DABEI hat mit dem Data Protection Engineer (Datenschutzberater) Hendrik Hirsch gesprochen. Die wichtigsten Informationen im Überblick.
Worum geht es?
Stein des Anstoßes ist bei vielen Datenschützern seit Jahren, dass die Datenschutzregeln in Europa und in den USA unterschiedlich sind. Vor sieben Jahren hatte der österreichische Datenschützer Max Schrems die Frage aufgeworfen, ob Unternehmen personenbezogene Daten in die USA übermitteln dürfen. Bei der irischen Datenbehörde legte er damals Beschwerde gegen Facebook ein, weil er verhindern wollte, dass die europäische Tochter des sozialen Netzwerks seine personenbezogenen Daten an den amerikanischen Mutterkonzern sendet. Personenbezogene Daten sind zum Beispiel Informationen wie Name, Standort, Alter, Telefonnummer oder auch die IP-Adresse.
Wo liegt das Problem? Sind wir nicht schon der gläserne Mensch?
„Nicht nur Unternehmen können auf die personenbezogenen Daten zugreifen – sondern auch US-Geheimdienste. Dank Abschnitt 702 des amerikanischen Foreign Surveillance Act (FISA, deutsch Gesetz zur Überwachung in der Auslandsaufklärung)) dürfen die nämlich die Daten ausländischer Nutzerinnen und Nutzer durchforsten. Selbst ohne richterlichen Beschluss. Es kann also sein, dass die US-Geheimdienste die Dokumente eines EU-Bürgers in der Google Cloud oder seines Facebook-Profils speichern. Obwohl das gegen sein Recht auf Schutz der Privatsphäre in der Europäischen Union verstößt,“ so der Datenschutzberater Hendrik Hirsch.
Privacy Shield-Abkommen
Mit dem Privacy Shield-Abkommen, einer informellen Abmachung zwischen der Europäischen Union und den Vereinigten Staaten, von 2016 sollte diese Übermittlung geregelt werden. Das Abkommen regelt, dass Unternehmen personenbezogene Daten unter bestimmten Schutzvorkehrungen von EU-Ländern in die USA übermitteln dürfen. Denn wer bei Amazon in Österreich bestellt, schließt oft keinen Kaufvertrag mit dem amerikanischen Unternehmen direkt, sondern mit der europäischen Tochter in Luxemburg. „Auch andere Service-Leistungen sind davon betroffen, Microsoft, Google, Apple Cloud, Facebook, Booking und einige mehr. Wenn wir so wollen, sind wir alle davon betroffen, außer wir verzichten auf Internet, Soziale Netzwerke, steaming-Dienste, also auf das digitale Leben,” sagt Hirsch. Laut der Datenschutz-Grundverordnung (DSGVO) dürfen die dort verarbeiteten, personenbezogenen Daten nur dann in ein Land außerhalb der EU übertragen werden, wenn die Datenschutzvorkehrungen in eben jenem ähnlich hoch sind. Die Europäische Union erkannte die US-Datenschutzregeln in der Privacy-Shield-Vereinbarung als angemessen an. „Allerdings handelte es sich dabei lediglich um eine Art Selbstverpflichtung des Unternehmens. Vergleichbar mit der Jugendschutzkennung (FSK) in Medien. Man konnte sich daran halten, musste aber nicht. Es folgten bei Nicht-Einhaltung keine strafrechtlichen Konsequenzen,“ erläutert der Datenschutzexperte Hendrik Hirsch.
Das EuGH – Urteil
Der EuGH widerspricht nun der EU-Einschätzung, wonach die US-Datenschutzregeln „angemessen“ seien, in seinem Urteil fundamental: Das Abkommen würde „den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang“ einräume. Da „die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt“ seien, sei das Privacy Shield nicht gleichwertig mit dem Unionsrecht, heißt es. „Nach dem EuGH-Urteil darf Facebook keine personenbezogenen Daten mehr von Irland in die USA senden,“ erklärt Hirsch. Das Urteil könnte weitreichende Folgen haben. „Nutzerinnen und Nutzer könnten natürlich immer noch entscheiden, ob sie ihre personenbezogenen Daten an amerikanische Firmen übertragen wollen. Zum Beispiel, indem sie auf einer amerikanischen Website surfen oder einen cloudbasierten Dienst nutzen. Genauso dürfen Unternehmen weiterhin Daten in den USA verarbeiten. Wenn jemand ein Hotel in New York bucht oder eine E-Mail an jemanden schreibt, wäre das ja auch gar nicht anders möglich,“ sagt Hirsch Personenbezogene Daten dürfen nicht mehr im Hintergrund ohne Wissen des Kunden in die USA übermittelt werden, nur weil es einfacher für die Firmen ist. Man wird sich Alternativen überlegen müssen. „Rechenzentren in Europa bauen. Sonst wird es teuer. Bei Verstößen drohen Geldbußen von bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten Jahresumsatzes eines Unternehmens,“ so Hirsch weiter. Die meisten Firmen werden jetzt wohl wieder auf Standardvertragsklauseln umsteigen. „Es handelt sich dabei um eine Art rechtliche Vorlage, die die EU für die Datenübermittlung erstellt hat. Die sind laut EuGH weiterhin gültig, weil sie wirksame Mechanismen enthalten, dass dasselbe Datenschutzniveau wie in der Europäischen Union eingehalten werden könnte. Diese SCC (Safety Certificate Contractors) sind Teil der DSGVO. Damit hebt man die Vereinbarung, dass Daten geschützt werden müssen, auf EU-Gesetz Ebene und man kann über den Rechtsweg die Firmen jetzt belangen, wenn sie sich nicht dran halten. Leider steht das FISA in den USA trotzdem drüber. Es heißt, da muss politisch zwischen EU und USA nachgebessert werden,“ meint Hendrik Hirsch abschließend.
Im Bild: Data Protection Engineer Hendrik Hirsch im homeoffice Foto: Oberland Dabei/Hirsch