Der EuGH hat wieder mal eine Datenschutz-Vereinbarung zwischen der Europäischen Union und den USA gekippt. Nachdem der österreichische Datenschutz-Aktivist Max Schrems bereits 2015 den Vorgänger, das „Safe-Harbour-Abkommen“, vor den EuGH brachte und erfolgreich bekämpfte, bekam er nun in Bezug auf das „Privacy Shield-Abkommen“ erneut recht.

Vom Safe Harbour…

Das „Safe-Harbour-Abkommen“ war eine Vereinbarung zwischen der EU und den USA über die Einhaltung europäischer Standards beim Datenschutz. Das bedeutete, dass US-Unternehmen, wie z.B. Google, Facebook und Amazon, nur Daten in die USA transferieren durften, wenn sichergestellt war, dass sie dieselben Sicherheitsstandards wie in Europa gewährleisten. Doch spätestens seit Edward Snowdens Enthüllungen wissen wir, dass die US-Geheimdienste dennoch eifrig Daten sammeln, Vereinbarungen hin oder her. Aufgrund dieser Problematik wurde das Abkommen vom EuGH für null und nichtig erklärt.

…zum Privacy Shield

Nachfolger sollte dann das „Privacy Shield“ werden. Das ist kein formelles Abkommen zwischen der EU und den USA, sondern Übereinkommen mit den Firmen, die eine Selbstverpflichtung eingehen, die Daten nach europäischen Standards sichern zu behandeln.

Doch da die Server immer noch auf amerikanischem Boden stehen, können sich die Geheimdienste auf verschiedene Gesetzte berufen, um dennoch im Zuge einer Massenüberwachung auf die Daten zugreifen zu können. Und nachdem der neugewählte Präsident Trump eine Anordnung unterzeichnete, die klarstellt, dass Nicht-amerikanische Staatsbürger vom „Privacy Act“ ausgenommen sind, war endgültig klar, dass von Datenschutz in keinster Weise mehr die Rede sein konnte. Sowieso wurde seit Inkrafttreten des „Privacy Shield“ kritisiert, dass es eh nur ein aufgewärmtes „Safe-Harbour“ wäre, mit all seinen Schwachstellen.

Doch was ist die Alternative?

Der EuGH hat in seinem Urteil ausdrücklich die sog. Standardvertragsklauseln erwähnt. Diese müssen im Rahmen eines Auftragsverarbeitungsvertrages individuell zwischen Auftraggeber und -nehmer abgeschlossen werden. Ob diese Vereinbarungen auch tatsächlich eingehalten werden, ist für den europäischen Nutzer von Facebook aber nicht überprüfbar. Daher ist nach geltendem EU-Recht die nationale Datenschutzbehörde des Landes zuständig, in dem die US-Firma seine europäische Niederlassung hat, in den meisten Fällen ist dies Irland. Doch genau diesem Zusammenhang hat der EU-Generalanwalt die irischen Behörden bereits gerügt. Es darf also bezweifelt werden, ob diese Alternative de facto funktioniert.

Max Schrems, der inzwischen seine eigene Datenschutz-NGO gegründet hat, hat inzwischen europaweit zu über hundert Firmen Beschwerde eingelegt, weil sie trotz des EuGH-Urteils weiterhin Daten unkontrolliert in die USA verschicken. Wenn man also wirklich auf der sicheren Seite sein will, muss man jede Datenübertragung in die USA beenden. Dass bedeutet z.B. dass man statt Google Analytics ein DSGVO-konformes Analyse-Tool verwenden muss, etwa Matomo. Ebenso müssten Nutzer von Cloud-Diensten auf europäische Anbieter ausweichen.

Nach den Urteilen von EuGH und BGH zum setzen von Cookies, bleibt also auch in dieser Hinsicht alles in Bewegung. In den kommenden Monaten werden die Behörden gezwungen sein zu reagieren. Laut EU-Kommission arbeitet man bereits an einer rechtlichen Lösung, aber auf die Schnelle wird wohl kein wasserdichter Ausweg zustandekommen.