Wie geht es nach dem Aus für den Privacy Shield weiter?

Am 16. Juli hat der Europäische Gerichtshof (EuGH) die umstrittene Datenschutzvereinbarung "Privacy Shield" zwischen den USA und der EU aufgelöst. Diese legte bislang die Standards für den Umgang mit Daten aus Europa in den Vereinigten Staaten fest. Hinter dem Urteil steht der jahrelange Rechtsstreit zwischen Max Schrems und Facebook. Der österreichische Jurist und Aktivist hatte sich bei der irischen Datenschutzbehörde darüber beschwert, dass das Unternehmen seine Daten an die Muttergesellschaft in den USA weiterschickt - diese dort allerdings nicht ausreichend vor Zugriffen der US-Geheimdienste geschützt sind.

Nachdem der "Privacy Shield" nun gekippt ist, stellen sich zahlreiche Fragen zu den Auswirkungen des EuGH-Urteils. Grundsätzlich wird davon ausgegangen, dass es noch Jahre dauert, bis ein mögliches Nachfolgeabkommen ausgearbeitet ist. In der Zwischenzeit gelten nun die Standardvertragsklauseln gemäß der DSGVO. Allerdings müssen auch diese ein angemessenes Schutzniveau von europäischen Daten in einem Drittstaat garantieren - genau das trifft eben aus Sicht des EuGHs auf die USA nicht zu.

Verantwortlich dafür sind zwei Akte: der Foreign Intelligence Surveillance Act (FISA) und die Executive Order 12333. Der FISA bildet die Grundlage für die beiden Überwachungsprogramme PRISM und UPSTREAM. PRISM weist Anbieter von Internet-Diensten an, der NSA und teils auch dem FBI und der CIA alle von einer bestimmten Person gesendeten und empfangenen Mitteilungen zur Verfügung zu stellen. UPSTREAM nimmt hingegen die Telkos in die Pflicht, der NSA das Kopieren und Filtern des Internet-Traffics zu gestatten. Die Executive Order 12333 erlaubt der NSA schließlich den Zugang zu Seekabeln im Atlantik, um Daten zu sammeln und zu speichern, noch bevor sie überhaupt in den USA ankommen.

Was bedeutet das Aus für den "Privacy Shield" nun konkret für Unternehmen? Einige Stimmen drängen auf ein konsequentes Handeln - so etwa Maja Smoltczyk, die Berliner Beauftragte für Datenschutz und Informationsfreiheit. Sie fordert Verantwortliche - insbesondere bei der Nutzung von Cloud-Diensten - nun dazu auf, in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern. Oder anders gesagt: Betroffene Unternehmen sollen jetzt auf europäische Cloud-Provider umsteigen.

Die Aufgabe, unzulässige Datenexporte zu verbieten, haben die Luxemburger Richter indes den jeweiligen Datenschutzbehörden übertragen. So fasst die Berliner Datenschützerin in einem Communiqué zusammen: "Die Herausforderung, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten, nehmen wir an. Das betrifft natürlich nicht nur Datenübermittlungen in die USA, für die der EuGH die Unzulässigkeit bereits selbst festgestellt hat. Auch bei der Übermittlung von Daten in andere Staaten wie etwa China, Russland oder Indien wird zu prüfen sein, ob dort nicht ähnliche oder gar größere Probleme bestehen."

Max Schrems schlägt zuddem unter anderem den Umstieg auf europäische Cloud-Provider als Lösung vor. Auf der Website des von ihm gegründeten Non-Profit-Unternehmens Noyb liefert er eine umfassende Anleitung für EU-Unternehmen sowie Antworten zu den wichtigsten Fragen im Zusammenhang mit dem EuGH-Urteil.