Luxemburg / Christian Rath Der Datenschutzaktivist Max Schrems erringt zum zweiten Mal einen Sieg vor Europas höchsten Richtern. Damit ist aber die Übertragung von Nutzerdaten nicht generell unmöglich. Von Christian Rath

Der Europäische Gerichtshof (EuGH) hat im ­Verfahren des österreichischen Datenschutz-­Aktivisten Max Schrems gegen Facebook das EU-US-Daten­schutz-Abkommen „Privacy Shield“ gekippt. Auf dieser Grundlage dürfen Unternehmen nun keine Daten mehr in die USA transferieren. Auch bei den alternativ genutzten Standardvertragsklauseln wird es schwierig. Max Schrems will verhindern, dass seine Facebook-Daten in den USA gespeichert werden, weil dort die Geheimdienste auf Daten von Ausländern relativ unbeschränkt zugreifen können.

Die Übertragung europäischer Daten an US-Firmen war bis 2015 durch das „Safe Harbour“-Abkommen geregelt. Dort wurden Anforderungen definiert, die US-Stellen erfüllen müssen, damit sie das europäische Datenschutzniveau einhalten. Auf Klage von Schrems erklärte der EuGH jedoch im Oktober 2015 den „Safe Harbour“-Beschluss der EU-Kommission für nichtig. Hauptkritik des EuGH: Die EU-Kommission habe den fast grenzenlosen Zugriff der US-Sicherheitsbehörden ignoriert.

In der Folge vereinbarte die EU-Kommission mit den USA neue Regeln, den Privacy Shield. Dort sagten die USA zu, auf die anlasslose Massenüberwachung von Europäern zu verzichten – ohne jedoch die US-Gesetze entsprechend zu ändern.

Nun hat der EuGH auch den Privacy Shield beanstandet. Er gewähre kein gleichwertiges Schutzniveau wie in der EU. Die US-Überwachungsprogramme seien „nicht auf das zwingend erforderliche Maß beschränkt“. EU-Bürger hätten auch keine sichere Möglichkeit, in den USA ihre Rechte durchzusetzen. Ein neuer Ombudsmann sei weder wirklich unabhängig, noch könne er gegenüber US-Geheimdiensten verbindliche Anordnungen aussprechen.

Das Urteil kommt nicht unerwartet. Die Kritik am Privacy Shield war von Beginn an groß. Viele Unternehmen haben daher bei Datenübertragungen in die USA gar nicht auf den Privacy Shield vertraut, sondern auf sogenannte Standardvertragsklauseln, die die EU-Kommission 2010 beschlossen hat. Nach Angaben der EU-Kommission ist dies heute in der Praxis der häufigste Weg, mit dem Problem umzugehen. Die zwölf Klauseln können in Verträge integriert werden, wenn eine Datenübertragung ins Nicht-EU-Ausland geregelt wird. Der dortige Vertragspartner muss zum Beispiel versprechen, dass er keinen Gesetzen unterliegt, die sich nachteilig auf die Einhaltung des Datenschutzes auswirken.

Auch Facebook nutzt inzwischen die Standardvertragsklauseln. Max Schrems hatte deshalb die für Facebook zuständige irische Datenschutzbeauftragte Helen Dixon aufgefordert, einzuschreiten. Denn Facebook könne gar nicht zusichern, dass es in den USA keiner nachteiligen Rechtslage unterliegt. Doch Dixon spielte auf Zeit und stellte zunächst den Kommissions-Beschluss über die Standardvertragsklauseln in Frage.

Aufgrund einer Vorlage des irischen High Court hat der EuGH nun entschieden, dass die Standardvertragsklauseln an sich nicht gegen EU-Recht verstoßen. Denn die national jeweils zuständigen Datenschutzbeauftragten seien verpflichtet, die Datenübertragung zu stoppen, wenn die vertraglichen Versprechen nicht eingehalten werden können.

Max Schrems sieht nun Helen Dixon am Zug, diese könne sich nicht mehr vor ihrer Aufgabe drücken und müsse die Datenübertragung in die USA verbieten. Vermutlich wird Dixon aber weiter auf Zeit spielen, weil die irische Datenschutzbehörde zu schwach ist, um sich mit einem Weltkonzern anzulegen.

Ähnliche Umsetzungsprobleme wird es bald auch in Deutschland geben. Wenn deutsche Firmen für die Übertragung von Daten in die USA die Standardvertragsklauseln nutzen, sind die 16 Landesdatenschutzbeauftragten für die Prüfung zuständig. Diese müssten dann Verbote aussprechen. Nach dem EuGH-Urteil zu Safe Harbour 2015 hatten die deutschen Datenschutzbeauftragten ein Moratorium von drei Monaten verkündet, um Panik bei den Unternehmen zu verhindern.

Nach dem neuen EuGH-Urteil hat die EU-Kommission angekündigt, dass sie Verhandlungen mit den USA aufnehmen will. Möglicherweise wird sie versuchen, einen Nachfolger für den Privacy Shield auszuhandeln. Solange Donald Trump US-Präsident ist, wird man aber wohl kaum mit Zugeständnissen der USA rechnen können.