Der Gerichtshof der Europäischen Union (EuGH) hat mit einer Entscheidung vom 16. Juli 2020 das sogenannte Privacy Shield für ungültig erklärt (Fall C-311/18 auf der Seite des Gerichts). Das Abkommen zwischen den USA und der EU sollte beim Transfer von Daten das Schutzniveau der Privatsphäre sicherstellen – wie ein Datenschutzschild. Seit Jahren wird kritisiert, dass das Abkommen faktisch wertlos ist – wir haben es 2016 kurz nach seiner Fertigstellung als Pfusch im Eilverfahren bezeichnet.

Zum Urteil des EuGH hat eine Klage des Juristen Max Schrems gegen die Datennutzung von Facebook geführt. Den Rechtsstreit gegen den Konzern hatte vor sieben Jahren begonnen. Schrems erklärt in einer ersten Reaktion auf das Urteil, dass die USA ihre Überwachungsgesetze reformieren müssten, wenn US-Unternehmen weiterhin Geschäfte in der EU machen wollen:

I am very happy about the judgment. It seems the Court has followed us in all aspects. This is a total blow to the Irish DPC and Facebook. It is clear that the US will have to seriously change their surveillance laws, if US companies want to continue to play a major role on the EU market. (ganzer Artikel auf noyb.eu, unsere Übersetzung ganz unten)

Wir gratulieren Max Schrems und seinem Team für den Erfolg und bedanken uns für den unermüdlichen Einsatz für Grundrechte!

Grundrechte wurden ignoriert

Der EuGH hat eigentlich eine Selbstverständlichkeit verkündet: Die US-Überwachung ist nicht vereinbar mit EU-Grundrechten. US-Recht schützt teilweise US-Bürger.innen, aber nicht ausländische Bürgerinnen und Bürger. Für EU-rechtskonformen Datentransfer müssten die Daten in den USA aber unter dem selben Datenschutzniveau verarbeitet werden wie in der EU.

Das Problem war bekannt und hätte vermieden werden können. Bei der Ausarbeitung des Privacy Shields hatte die Kommission der EU die Kritik ignoriert, die bereits damals geäußert wurde. Das Gericht sieht auch die zuständigen Datenschutzaufsichtsbehörden in der Pflicht. Diese können Gesetze zur Massenüberwachung im Ausland nicht ignorieren.

Was sind die Folgen des Urteils?

Absolut notwendige Datentransfers sind weiterhin zulässig, ebenso wie Datentransfers, in die die betroffenen Personen rechtskonform eingewilligt haben. Nach Max Schrems können Firmen wie Facebook nicht ohne weiteres auf sogenannte EU-Standardvertragsklauseln (siehe dr-datenschutz.de) zurückgreifen, die den Transfer von Daten aus der EU in Drittstaaten rechtlich absichern. Denn der EuGH fordert, dass die Verträge auch auf ihre praktische Umsetzbarkeit geprüft werden. Gegebenenfalls müssten Datentransfers von Datenschutzaufsichtsbehörden untersagt werden.

Das Urteil bestätigt aus unserer Sicht einmal mehr, dass der EuGH allzu oft der letzte Garant für die Einhaltung von Grundrechten ist, weil andere Institutionen Kritik ignorieren und Grundrechtsfragen wirtschaftlichen und politischen Interessen unterordnen.

Fazit: Massenüberwachung ist eine rote Linie

Der Jurist Herwig Hofmann, der Schrems vor Gericht vertreten hat, fasst das EuGH-Urteil so zusammen: „There can be no transfer of data to a country with forms of mass surveillance.“ Massenüberwachung ist in Demokratien und Rechtsstaaten eine rote Linie, die nicht überschritten werden darf. Das gilt auch für anlasslose Vorratsdatenspeicherungen wie beispielsweise die willkürliche Speicherung aller Telefon- und Internetverbindungsdaten, gegen die Digitalcourage seit Jahren arbeitet. Wir informieren zu diesem Thema auf unserer Themenseite und in aktuellen Blogartikeln.

Weitere Informationen

• noyb.eu: CJEU Judgement – First Statement
• noyb.eu: weitere Quellen zum Urteil
• Pressemitteilung des EuGH vom 16.7.2020 (Weiterleitung via curia.europa.eu zum PDF-Download)
• netzpolitik.org: EU-Gericht zerschlägt Privacy Shield
• Der Bundesdatenschutzbeauftragte zum Schrems II-Urteil des EuGH

Übersetzung des Zitats von Max Schrems:

Ich bin sehr glücklich über dieses Urteil. Es sieht so aus, als wäre uns der EuGH in allen Punkten gefolgt. Dies ist ein Schlag ins Gesicht für die irische Datenschutzbehörde DPC und Facebook. Damit ist klar, dass die USA ihre Überwachungsgesetze ändern müssen, wenn US-Unternehmen weiterhin eine nennenswerte Rolle auf dem Europäischen Markt spielen wollen. (eigene Überserzung, ganzer Artikel auf noyb.eu