Der EU-Gerichtshof erklärt die gemeinsame Nutzung von Daten im Rahmen von Privacy Shield aufgrund von US-Überwachung für ungültig.
Facebook und Co können keine Daten von EU-Bürgern auf Grundlage von Privacy Shield in die USA übermitteln, da dies den durch die DSGVO garantierten Datenschutz untergräbt.
Privacy Shield nicht mehr gültig
Der Datenschutzaktivist Max Schrems und seine Organisation NOBY (kurz für non of your business) haben direkt nach der Einführung der DSGVO im Mai 2018 eine Klage gegen die Datentransferpraxis von Facebook eingereicht.
Der Europäische Gerichtshof (EuGH) erklärte heute in seinem Urteil, dass die US-Gesetze die Daten der europäischen Bürger nicht angemessen schützen, da die Überwachungsprogramme in den USA nicht auf das unbedingt Notwendige beschränkt sind.
So hat der EU-Gerichtshof das Datentransfersystem Privacy Shield zwischen der EU und den USA für ungültig erklärt.
#ECJ: the Decision on the adequacy of the protection provided by the EU-US Data Protection Shield is invalidated, but @EU_Commission Decision on standard contractual clauses for the transfer of personal data to processors established in third countries is valid #Facebook #Schrems pic.twitter.com/BgxGAvuq3T
— EU Court of Justice (@EUCourtPress) July 16, 2020
Sieg der Privatsphäre für Europäer
Max Schrems sagt, dass dies ein Gewinn für die Privatsphäre auf ganzer Linie sei: “Ich bin sehr glücklich über das Urteil. Unsere Argumente wurden bestätigt. Das ist ein totaler Schlag für die irische DPC und Facebook. Es steht nun fest, dass die USA ihre Überwachungsgesetze grundlegend ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen.”
BREAKING: The EU’s Court of Justice has just invalidated the “Privacy Shield” data sharing system between the EU and the US, because of overreaching US surveillance. All details available here: https://t.co/xN4HKhZaBT #PRISM #FISA702 #Privacy #PrivacyShield #SCCs #GDPR #CJEU
— Max Schrems 🇪🇺🇦🇹 (@maxschrems) July 16, 2020
Fragwürdiger Datenschutz in den USA
Ein großes Problem, auf das das EU-Gericht hinwies, ist, dass Daten von Ausländern in den USA nicht geschützt sind. Die dort bestehenden Schutzmechanismen - auch wenn sie begrenzt sind - gelten nur für US-Bürger. Die NSA kann über Facebook jederzeit vollen Zugang zu allen Daten von Nicht-US-Bürgern erhalten. Darüber hinaus haben nicht-amerikanische Datensubjekte keine vor Gericht gegen die US-Behörden einklagbaren Rechte, was gegen das “Wesen” bestimmter EU-Grundrechte verstößt, befand der EuGH.
Dem Urteil zufolge hat die Europäische Kommission bei der Verabschiedung des Privacy Shield-Abkommens die US-amerikanischen Überwachungsgesetze nicht angemessen bewertet. Stattdessen beugte sich die Kommission dem Druck der USA.
Infolgedessen würde eine Übermittlung der Daten unter Privacy Shield den europäischen Bürgern die Datenschutzrechte verweigern, die ihnen laut der DSGVO zustehen.
”Aus all diesen Gründen erklärt das Gericht den Beschluss 2016/1250 für ungültig”, entschied der EU-Gerichtshof.
Der Konflikt der Unterschiede in den Datenschutzgesetzen kann nur auf zwei Wegen gelöst werden:
- Die USA und die EU werden kein “neues” Privacy Shield-Abkommen verabschieden, was bedeutet, dass Unternehmen aus dem Silicon Valley keinen besonderen Zugang zum europäischen Markt erhalten werden.
- Oder die USA ändern ihre Überwachungsgesetze so, dass Daten von Menschen, die in der Europäischen Union leben, in einer Weise geschützt werden, die den hohen Anforderungen der DSGVO genügt.
Max Schrems kommentiert: “Der Gerichtshof hat nun zum zweiten Mal klargestellt, dass es einen Konflikt von EU-Datenschutzrecht und US-Überwachungsrecht gibt. Da die EU ihre Grundrechte nicht ändern wird, um die NSA zufriedenzustellen, besteht die einzige Möglichkeit, diesen Konflikt zu überwinden, darin, dass die USA solide Datenschutzrechte für alle Menschen – auch für Ausländer – einführen. Eine Überwachungsreform wird dadurch entscheidend für die Geschäftsinteressen von Silicon Valley."
"Dieses Urteil ist nicht die Ursache für eine Beschränkung der Datenübermittlung, sondern die Folge der US-amerikanischen Überwachungsgesetze. Man kann dem Gerichtshof nicht vorwerfen, das Unvermeidliche zu sagen.”
Kein Privacy Shield-Privileg
Eine Datenübetragung in die USA sind nach Artikel 49 der DSGVO weiterhin möglich. Sie müssen jedoch auf das für die Erfüllung eines Vertrags absolut Notwendige beschränkt werden. Wenn ein Benutzer wünscht, dass seine Daten in die USA fließen, ist dies ebenfalls rechtlich möglich, aber die Zustimmung kann vom Benutzer jederzeit zurückgezogen werden.
Kurzum: Die USA haben kein Privileg mehr, wenn es um die Übermittlung von Daten von EU-Bürgern geht. US-amerikanische Technologieunternehmen haben aufgrund der US-amerikanischen Überwachung ihren besonderen Zugang zum EU-Markt verloren.
Schrems sagt: “Der Gerichtshof hat ausdrücklich betont, dass durch die Aufhebung des Privacy Shield kein „Rechtsvakuum“ entsteht, da unbedingt „notwendige“ Datenübermittlungen weiterhin stattfinden können. Die USA werden nun einfach in ein den Status eines Landes ohne besonderen Zugang zu EU-Daten zurückversetzt.”
Dies ist ein bahnbrechender Sieg für das Recht auf Privatsphäre.