Der EU-US Privacy Shield, den die USA und die EU zwischen 2015 und 2016 als Nachfolger des Safe-Harbor-Abkommens ausgehandelt haben, wurde nun vom Europäischen Gerichtshof (EuGH) für ungültig erklärt – ein Urteil, das als wegweisend bezüglich Datenschutz gilt.
Mit dem Datenpakt hatten die USA und die EU den Austausch respektive den Schutz personenbezogener Daten geregelt, die von einem EU-Staat in die USA übertragen werden dürfen. Das Abkommen war von Datenschützern allerdings von Beginn weg kritisiert worden, da Internetkonzerne in den USA verpflichtet werden können, Daten mit den Behörden zu teilen, ohne dass sich Betroffene dagegen wehren können. Entsprechende urteilte der EuGH nun auch, dass die Anforderungen an den Datenschutz angesichts der weiterreichenden Zugriffsmöglichkeiten, die US-Behörden auf Internetdaten haben, sowie des mangelnden Rechtschutzes mit dem Privacy Shield nicht gewährleistet sind.
Das bedeutet nun aber nicht, dass keine Daten mehr von Europa in Richtung USA fliessen. Facebook und Co. können Nutzerdaten im Rahmen sogenannter Standardvertragsklauseln weiterhin übermitteln, so der Entscheid des Gerichts. Allerdings muss sichergestellt sein, dass die Klauseln in dem Land, in das die Daten geschickt werden, eingehalten werden können. Ausserdem lässt sich der Transfer gewisser Nutzerdaten auch mit dem Datenschutz-Grundverordnung (DSGVO) rechtfertigen. Und der freiwillige Versand von Daten in die USA – etwa beim Senden einer E-Mail – ist ebenfalls nicht vom Urteil betroffen.
Tangiert vom Entscheid werden gut 5000 Internetunternehmen, wie aus einer Liste auf
www.privacyshield.gov entnommen werden kann.
(mw)