Er hat es wieder getan …

Kenner der Materie kennen ihn (wer schafft es schon, dass EuGH-Urteile den eigenen Namen als Alias erhalten), allen anderen sei er kurz vorgestellt: Max Schrems, seines Zeichens österreichischer Jurist, Autor und Privatsphäre-Aktivist, auf dessen Initiative hin schon das Safe-Harbor-Abkommen in Rauch aufging. Nun war es gestern wieder so weit: Der vom irischen High Court angerufene Europäische Gerichtshof entschied, dass der Privacy Shield ungültig ist. Nur eine Randnotiz? Mitnichten, denn damit ist die noch gängige Praxis, europäische Nutzerdaten ungeprüft in die USA zu übermitteln, für unrechtmäßig erklärt worden. Worum geht’s denn da genau?

Zwischen der EU und den USA wurde eine Datenschutzvereinbarung getroffen, der sogenannte „Privacy Shield“. Darin wurden Standards festgezurrt, wie in den USA mit Daten bzw. Informationen aus Europa umzugehen ist. Klingt abstrakt, konkreter wird es, wenn man erwähnt, dass es um ca. 5000 Unternehmen mit Sitz in den USA und die entsprechenden Datenübermittlungen geht – darunter Schwergewichte wie Google, Apple und Windows. Das Urteil ist Ergebnis eines Rechsstreits, den Max Schrems „vom Zaun gebrochen“ hatte – und er ist zufrieden, da er das Urteil als Rückschlag für Facebook und die irische Datenschutzaufsicht betrachtet. Stein des Anstoßes war, dass Facebook Irland Daten an die US-Mutter weiterleitet, obwohl die Daten dort nicht angemessen vor US-Überwachungsprogrammen geschützt sind (Stichwort CLOUD Act). So hätten Geheimdienste Zugang zu den Daten – ohne dass Betroffene dagegen etwas tun könnten. Die Luxemburger Richter entschieden nun also, dass die per „Privacy Shield“ vereinbarten Regeln nicht mit dem europäischen Datenschutzniveau vereinbar sind und der Rechtsschutz für Betroffene unzureichend sei.

Grundsätzlich bleiben Datentransfer in die USA möglich, allerdings können Unternehmen Nutzerdaten von EU-Bürgern nun lediglich auf Basis sogenannter Standardvertragsklauseln in die USA übermitteln. Sie sollen im Kern garantieren, dass Daten von EU-Bürgern auch angemessen geschützt sind, wenn sie die EU verlassen.Wir fallen also durch das Urteil nicht zurück ins tiefste Mittelalter, sondern faktisch stehen die USA damit einfach auf einer Stufe mit allen anderen Drittländern, für die kein anerkanntes Sicherheitsniveau bescheinigt ist. Allerdings sind die Datenschutzbehörden nun aber verpflichtet, Datenübermittlungen auszusetzen oder gar zu verbieten – wenn sie davon ausgehen, dass die Standardvertragsklauseln im Empfängerland praktisch nicht eingehalten werden (können).

Was heißt das aber nun für Unternehmen? Müssen die nun Office abschalten? Nun, so weit würden wir nicht gehen – wir gehen davon aus, dass die Datenschutzaufsichtsbehörden nicht morgen bei Ihnen auf der Matte stehen und den Stecker ziehen. Vielmehr dürfte mit Übergangsfristen zu rechnen sein – da bleiben aber die Stellungnahmen der Aufsichtsbehörden abzuwarten. Dennoch könnte man als Unternehmen schon mal beweisen, dass man sich mit der Materie befasst, sich an Microsoft und Co. wenden und eine Anpassung der Vertragsbestandteile auf Basis der Standardvertragsklauseln anfordern.