Bekanntlich hat der Europäische Gerichtshof am 16. Juli 2020 auf „Initiative“ des Datenschutz-Aktivisten Max Schrems das EU-US-Privacy Shield-Abkommen gekippt. Begründet hat der EuGH dies (einfach gesagt) damit, dass die unverhältnismäßigen Zugriffsrechte von US-Behörden auf Daten von US-Unternehmen (die wie z.B. bei Facebook, Google, usw. auch von EU-Bürgern stammen) keinen dem EU-Datenschutz gleichwertigen Schutz für personenbezogene Daten darstellen. Das US-amerikanische Datenschutzniveau entspricht also nicht dem europäischen Datenschutzniveau gemäß DSGVO.
Denn die US-amerikanischen Datenüberwachungsprogramme sind u.a. nicht (wie in der DSGVO gefordert) auf das zwingend erforderliche Maß beschränkt. Gemäß den FISA Amendment Acts von 2008 ist es der US-Regierung erlaubt, gezielte Überwachung von Ausländern, die sich außerhalb der USA befinden, mithilfe von „US Electronic Communication Service Providern“ durchzuführen. Darüber hinaus haben betroffene Personen kein vor Gericht durchsetzbares Recht.
Nun kann man einwenden, dass auch europäische Behörden auf eine Vielzahl an Daten zugreifen können. Allerdings hierzulande nur anlassbezogen, also zum Beispiel im Rahmen von Ermittlungstätigkeiten bzw. der Strafverfolgung, nach richterlicher Genehmigung. Genau diese ist in den USA nicht notwendig, um auf Daten zuzugreifen und diese zu verwenden.
Datenschutz in China?
Kaum angesprochen wird im Zusammenhang mit Datenübermittlungen an Drittstaaten die Frage, wie sicher personenbezogenen Daten sind, die zum Beispiel nach China übermittelt werden. Auf der Internetseite des Europäischen Datenschutzausschuss EDSA, der sich intensiv mit dem Fall Schrems II beschäftigt, liefert der Suchbegriff „China“ jedenfalls keinen Treffer. Dies nährt meine Vermutung, dass sich an diese „heiße Kartoffel“ womöglich noch niemand ernsthaft herangetraut hat. Und nicht vergessen: ab 1. Januar 2021, nach dem Ablauf der Übergangsphase, ist auch Großbritannien ein Drittland.
Keine Datenübermittlung an die USA mehr
Seit dem so genannten Schrems II-Urteil des EuGHs vom 16. Juli 2020 ist folglich der Datenexport aus der EU in die USA auf Basis des EU-US-Privacy Shield-Abkommens nicht mehr zulässig. Dasselbe gilt für den Datenexport auf Grundlage der so genannten Standardvertragsklauseln, auf deren Basis dieselben Zugriffrechte für US-Behörden bestehen bzw. kann der Zugriff von US-Behörden auch von diesen nicht ausgeschlossen werden.
Jede Datenspeicherung von personenbezogenen Daten aus der EU bei einem US-Unternehmen ist nunmehr als datenschutzrechtliches Risiko zu werten, da die vom EuGH als unverhältnismäßig beurteilten Zugriffsrechte von US-Behörden auf Daten bei US-Firmen nicht auf Daten beschränkt sind, die auf Servern in den USA gespeichert sind.
Kaum europäische Alternativen
Die momentan einzige rechtskonforme Lösung wäre der komplette Verzicht auf die Datenübermittlung aus der EU an die USA, also der gänzliche Verzicht auf Software und Dienstleistungen von US-amerikanischen „Electronic Communication Service Providern“ wie beispielsweise Google, Amazon, Facebook und Microsoft. Das Problem dabei ist allerdings, dass es zu Software und Dienstleistungen von US-amerikansichen Unternehmen oftmals keine gleichwertige europäische Alternativen gibt.
Umgangssprachlich gesagt: der Karren steckt im Dreck. Denn bis zur Lösung dieses Knotens (der immer schon bestanden hat und von Max Schrems lediglich ans Tageslicht befördert wurde) durch die europäischen Datenschutzbehörden wird noch einige Zeit vergehen.
Erschwerend kommt hinzu, dass die Datenschutz-NGO von Max Schrems (namens NOYB) bereits in 101 Fällen bei den jeweiligen nationalen Datenschutzbehörden Beschwerde darüber eingereicht hat, dass EU-Unternehmen weiterhin personenbezogene Daten an die USA übermitteln. Ob Max Schrems damit der Sache dienlich ist, möge jeder für sich selbst entscheiden.
So bleiben Sie am Laufenden:
Nur ein Klick zur Newsletter-Anmeldung!
Weitere interessante Beiträge: