Der Ungültigkeits-Beschluss des Privacy-Shields („Schrems II“) wird derzeit hauptsächlich mit internen Aufwänden und Umstrukturierungen in Verbindung gebracht. An dieser Stelle möchten wir daher noch einmal den tatsächlichen Wert des EuGH-Urteils verdeutlichen.
Im Jahr 2016 hat die EU-Kommission das Privacy Shield als sogenannten Angemessenheitsbeschluss erlassen und der USA damit ein angemessenes Schutzniveau bescheinigt.
Aber was genau ist ein angemessenes Schutzniveau eigentlich?
Hierzulande gelten wichtige Grundsätze, die vor allem zum Ziel haben, die Rechte der Privatpersonen zu schützen. Aus diesem Grund gibt es z.B. die EU-Charta, die regelt, dass die Privatsphäre ein Grundrecht jedes Bürgers ist. Dazu gehört auch, dass jeder das Recht hat selbst zu entscheiden, was mit seinen Daten geschieht.
Von diesen Grundsätzen ist in Amerika wenig zu spüren. Dort ist es gelebte Praxis, dass aufgrund der nationalen Gesetzgebung die Behörden und Geheimdienste dazu befugt sind, sich beliebig Zugang zu den Daten der Bürger zu verschaffen, und diese im Bedarfsfall auszuwerten, weiterzuleiten und für eigene Zwecke zu verwenden. Die Betroffenen werden dabei nicht einmal informiert! Dasselbe geschieht in den USA auch mit unseren EU-Daten, wenn wir diese z.B. durch Webseiten-Dienste dorthin übertragen. Da stellt sich natürlich die Frage: Ist dies in Ordnung? Wollen wir das so hinnehmen? Der EuGH hat sich am 16.07.2020 stellvertretend für alle EU-Bürger dagegen entschieden.
Die im Jahr 2010 von der EU-Kommision beschlossen Standandvertragsklauseln (SVK) sind weiterhin gültig. Es muss allerdings bei der Nutzung der SVK ein Schutzniveau sichergestellt werden, dass den Anforderungen der EU entspricht:
1.) Datensicherheit durch geeignete Garantien vom Verantwortlichen und von Auftragsverarbeitern sowie
2.) durchsetzbare Rechte und wirksame Rechtsbehelfe für die betroffenen Personen (insbesondere in Hinblick auf die Zugriffsmöglichkeit durch Behörden eines Drittlandes und das Rechtssystem dieses Landes).
Der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg fasst die Kritikpunkte an der amerikanischen Gesetzgebung wie folgt zusammen:
1.) Es gibt keine Beschränkungen der Überwachungsmaßnahmen der Geheimdienste und keine geeigneten Garantien für Nicht-EU-Bürger.
2.) Es gibt keine wirksamen Rechtsbefehle für Betroffene gegen Maßnahmen der US-Behörden und keine Schranken für die Sicherstellung verhältnismäßiger Maßnahmen.
3.) Der Ombudsmann (unparteiische Schiedsperson), hat keine ausreichende Unabhängigkeit von der amerikanischen Exekutive und kann keine bindenden Anordnungen gegenüber den Geheimdiensten treffen.
Da die gelebte Praxis in den USA nicht ansatzweise mit den Grundsätzen der EU-Kommission übereinstimmt, hat diese zum Schutz der persönlichen Daten der EU-Bürger das Privacy-Shield für ungültig erklärt. Das EuGH-Urteil hat dabei Bindewirkung für alle Behörden und Gerichte der Mitgliedsstaaten sowie für alle dem EU-Recht unterworfenen Unternehmen. Natürlich zieht dies nach sich, dass die EU-Unternehmen nun ihre Prozesse prüfen müssen und dass dadurch unerwartete Aufwände entstehen. Dabei sind die Unternehmen unterschiedlich stark betroffen: Manche Firmen müssen nur einige Dienste auf ihrer Webseite deaktivieren, bei anderen sind US-Beziehungen Bestandteil des Kerngeschäfts. Ein weiterer Punkt, den derzeit viele Unternehmen beklagen, ist das Abstellen der US-Dienste in der Praxis, da europäische Anbieter oftmals nicht mit dem Funktionsumfang und der intuitiven Handhabung der US-Dienste mithalten können. Aber auch dies stellt für europäische Unternehmen eine Chance dar, auf diesem Markt zu wachsen. Ihre Privatsphäre (und die Ihrer Kunden) stellt in jedem Fall einen triftigen Grund dafür dar, vorübergehende „Downgrades“ bzw. Kompromisse einzugehen. [SR]
Quelle: Landesbeauftragter für Datenschutz und Informationssicherheit Baden-Württemberg, Orientierungshilfe des LfDI BW: Was jetzt in Sachen internationaler Datentransfer?, Stand vom 25.08.2020, abgerufen unter: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf