Gegen ausufernde Datensammelwut der US-Behörden: EuGH kippt "Privacy Shield"
Der Europäische Gerichtshof hat die EU-US-Datenschutzvereinbarung "Privacy Shield" gekippt. Die Luxemburger Richter stimmten damit dem österreichischen Juristen Max Schrems zu, dass die Anforderungen an den Datenschutz für europäische Nutzer nicht gewährleistet ist, weil US-Behörden darauf Zugriff erhalten, ohne dass die Besitzer der Daten davon wissen, geschweige denn dagegen vorgehen können.
Mehr zum Thema - Europäischer Gerichtshof kippt EU-US-Datenschutzvereinbarung "Privacy Shield" wegen NSA-Spionage
Seit Jahren setzt sich der Datenschützer und Jurist Schrems für den besseren Schutz von Daten europäischer Nutzer von US-Plattformen wie Facebook ein und konnte jetzt einen weiteren Sieg erringen. Der Europäische Gerichtshof kippte die EU-US-Datenschutzvereinbarung "Privacy Shield" und machte damit klar, dass die weitreichende US-amerikanische Internet-Überwachung im Widerspruch zu den Grundrechten der EU steht.
BREAKING: The EU's Court of Justice has just invalidated the "Privacy Shield" data sharing system between the EU and the US, because of overreaching US surveillance. All details available here: https://t.co/xN4HKhZaBT#PRISM#FISA702#Privacy#PrivacyShield#SCCs#GDPR#CJEU
— Max Schrems 🇪🇺🇦🇹 (@maxschrems) July 16, 2020
Spätestens mit den Enthüllungen des geschassten US-Regierungsmitarbeiters Edward Snowden wurde die massive Internet-Überwachung durch US-Geheimdienste bekannt, bei der sensible Informationen auch von Menschen, die den Sicherheitsbehörden keinerlei Anlass geben, von US-Behörden wie der NSA aufgezeichnet werden.
You too can get access to the "100s of petabytes of data"—perfect records of our private lives—that the NSA routinely ingests about people who have never been suspected of any wrongdoing. They'll tell you this is legal. They'll say it's constitutional.But you'll know better. https://t.co/VKD6rWkttG
— Edward Snowden (@Snowden) June 29, 2020
Mit Bezug auf "Privacy Shield" beanstandete Schrems der irischen Datenschutzbehörde gegenüber, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weitergeleitet hatten. Facebook hat seinen EU-Sitz in Irland. Schrems begründete seine Beschwerde damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen – ohne dass Betroffene dagegen vorgehen können. Es besteht nicht einmal die Möglichkeit herauszufinden, ob Nutzer – Unternehmen oder Personen – überwacht werden.
Wie die Luxemburger Richter nun erklärten, ist in den USA insbesondere aufgrund der Zugriffsmöglichkeiten durch US-Behörden kein angemessenes Schutzniveau für persönliche Daten gewährleistet, da "die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind".
Schrems begrüßte das Urteil: Durch dieses sei klargestellt worden, dass es einen Konflikt zwischen dem EU-Datenschutzrecht und dem US-Überwachungsrecht gibt.
Ich bin sehr glücklich über das Urteil. Unsere Argumente wurden bestätigt. Das ist ein totaler Schlag für die irische DPC (die irische Datenschutzbehörde "Data Protection Commission"; Anm.) und Facebook. Es steht nun fest, dass die USA ihre Überwachungsgesetze grundlegend ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen.
Der Jurist verweist auch im Hinblick auf Marktinteressen von Silicon Valley auf die Notwendigkeit für Reformen seitens der US-Behörden:
Da die EU ihre Grundrechte nicht ändern wird, um die NSA zufriedenzustellen, besteht die einzige Möglichkeit, diesen Konflikt zu überwinden, darin, dass die USA solide Datenschutzrechte für alle Menschen – auch für Ausländer – einführen. Eine Überwachungsreform wird dadurch entscheidend für die Geschäftsinteressen von Silicon Valley.
Dieses Urteil sei nicht die Ursache für eine Beschränkung der Datenübermittlung, sondern die Folge der US-amerikanischen Überwachungsgesetze.
Man kann dem Gerichtshof nicht vorwerfen, das Unvermeidliche zu sagen.
Auf Schrems' Betreiben hatte der EuGH 2015 bereits den Vorgänger des "Privacy Shield", die Safe-Harbor-Regelung, beanstandet, weil diese die Daten europäischer Bürger nicht ausreichend vor dem Zugriff von US-Behörden geschützt habe. Allerdings war nach Ansicht der in den Fall Schrems involvierten Anwälte die Europäische Kommission bei der Verabschiedung des Privacy Shields nicht sonderlich gründlich, sondern beugte sich dem Druck der USA.
Es kann keine Datenübermittlungen in ein Land mit Massenüberwachungsmaßnahmen geben. Solange das US-Recht seiner Regierung die Befugnis einräumt, EU-Daten beim Transit in die USA abzugreifen, werden solche Instrumente immer wieder außer Kraft gesetzt werden. Da die Kommission im 'Privacy Shield'-Angemessenheitsbeschluss die US-Überwachungsgesetze einfach akzeptiert hat, stand sie nun ohne Argumente da", so Herwig Hofmann, Professor der Rechtswissenschaften an der Universität Luxemburg und einer der Anwälte, die die Schrems-Fälle vor dem EUGH verhandeln.
Die Luxemburger Richter erklärten in dem aktuellen Urteil auch, dass Nutzerdaten von EU-Bürgern weiterhin auf Basis sogenannter Standardvertragsklauseln in die USA und andere Staaten übertragen werden können, auf die sich Facebook bei der Übertragung der Daten von Europa in die USA beruft. Die Standardvertragsklauseln sollen im Kern Garantien dafür bieten, dass die Daten von EU-Bürgern auch bei einer Übermittlung aus der EU ins Ausland angemessen geschützt sind.
Wie der Generalanwalt des EuGH bereits zuvor in einer rechtlich nicht bindenden Schlussantrag erklärte, sei die irische Datenschutzbehörde verantwortlich für die Prüfung der Standardvertragsklauseln von Facebook. Damit oblag es der irischen Behörde, bei Verstößen gegen den Datenschutz durch den Transfer in die USA aktiv zu werden.
In dem aktuellen Urteil rügten die Luxemburger Richter die bisherige Arbeit der irischen Datenschutzbehörde und betonten, diese seien verpflichtet, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie "im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können". Aktuell lag die Betonung des EuGH auch darauf, dass europäische Datenschutzbehörden verpflichtet sind, die DSGVO durchzusetzen.
Schrems kommentiert dies:
Der Gerichtshof sagt der irischen DPC nicht nur, dass sie nach sieben Jahren Untätigkeit ihre Arbeit tun soll, sondern auch, dass alle europäischen Datenschutzbehörden die Pflicht haben, Maßnahmen zu ergreifen und nicht einfach wegschauen dürfen.
Nach dem Urteil kündigte die EU-Kommission Gespräche mit den USA dazu an. EU-Justizkommissar Didier Reynders sagte, er werde die USA ansprechen, um einen "gestärkten" Transfermechanismus für Nutzerdaten zu entwickeln. Kommissionsvizepräsidentin Věra Jourová betonte jedoch, die EU könne die Massenüberwachung durch die USA nicht stoppen. "Wir können amerikanische Gesetze nicht von Europa aus ändern, das müssen die Amerikaner machen."
Der Branchenverband Bitkom sieht durch dieses Urteil für Unternehmen mit einer Datenverarbeitung in den USA "massive Rechtsunsicherheit".
Durch die Sperrung von RT zielt die EU darauf ab, eine kritische, nicht prowestliche Informationsquelle zum Schweigen zu bringen. Und dies nicht nur hinsichtlich des Ukraine-Kriegs. Der Zugang zu unserer Website wurde erschwert, mehrere Soziale Medien haben unsere Accounts blockiert. Es liegt nun an uns allen, ob in Deutschland und der EU auch weiterhin ein Journalismus jenseits der Mainstream-Narrative betrieben werden kann. Wenn Euch unsere Artikel gefallen, teilt sie gern überall, wo Ihr aktiv seid. Das ist möglich, denn die EU hat weder unsere Arbeit noch das Lesen und Teilen unserer Artikel verboten. Anmerkung: Allerdings hat Österreich mit der Änderung des "Audiovisuellen Mediendienst-Gesetzes" am 13. April diesbezüglich eine Änderung eingeführt, die möglicherweise auch Privatpersonen betrifft. Deswegen bitten wir Euch bis zur Klärung des Sachverhalts, in Österreich unsere Beiträge vorerst nicht in den Sozialen Medien zu teilen.