Das Privacy Shield fungiert als eine Art Gütesiegel: Es soll gewährleisten, dass die Daten, die Unternehmen von Europa in die USA transferieren, mindestens so gut wie in Europa geschützt sind. Es geht also um die Einhaltung europäischer Standards in Sachen Datenschutz.
Genau um dieses Gütesiegel geht es dem österreichischen Datenschutzaktivisten Max Schrems mit seiner Klage gegen Facebook vor dem Europäischen Gerichtshof. Facebook speichert die personenbezogenen Daten seiner Nutzer auf Servern in den USA. Das Problem: Auf Verlangen der US-amerikanischen Sicherheitsbehörden ist Facebook jederzeit dazu verpflichtet, diese Daten herauszugeben. Laut der Ansicht Schrams stellt dies eine Verletzung des Privacy Shields dar, mit der Folge, dass Facebook den Datentransfer in die USA unterbinden muss (wir berichteten). Nun hat der EU-Generalanwalt sein Rechtsgutachten zu dem Fall veröffentlicht.
Transatlantisches Datenschutz-Drama
Als „neues transatlantisches Datenschutz-Drama“ bezeichnete die Süddeutsche Zeitung am 19.12.2019 den Streit um die Datenschutzgarantien der USA. Der Grund für diesen Titel mag in dem überraschenden Ergebnis des Rechtsgutachtens des EU-Generalanwalts liegen. Noch im Sommer schien die Sache recht klar: Der Europäische Gerichtshof soll in Sachen Facebook quasi auch mit entscheiden, wie sinnvoll das Privacy Shield ist, wenn NSA und FBI möglicherweise fern der europäischen Datenschutzgrundsätze Zugriff auf personenbezogene Daten erhalten können.
Nun ist der Generalanwalt aber zu dem Ergebnis gekommen, dass sich Facebook gar nicht oder jedenfalls nicht allein auf das Privacy Shield stützt, um den Datentransfer in die USA zu rechtfertigen. Neben dem Privacy Shield gibt es nämlich noch so genannte EU-Standardvertragsklauseln. Diese haben den Zweck, ein angemessenes Datenschutzniveau beim Datenempfänger herzustellen. Bei den Standardverträgen handelt es sich um verschiedene Sets an Klauseln, mit deren Hilfe Unternehmen Auftragsdatenverarbeiter-Verträge schließen können. Diese Klauseln entsprechen den EU-Standards.
Schutz für Bürger ausreichend
Der EU-Generalanwalt äußert zwar auch Kritik am Privacy Shield, sagt aber im gleichen Atemzug, dass dies nicht vom Europäischen Gerichtshof zu prüfen sei. Es müsse allein über die Standardvertragsklauseln entschieden werden, da sich Facebook nun einmal auf diese stützt. Laut seiner Einschätzung böten diese Standardvertragsklauseln ausreichenden Schutz vor unbefugten Zugriffen auf die transferierten Daten. Schließlich können die Datenschutzbehörden den Transfer jederzeit untersagen, wenn Datenschutzmängel vorliegen.
Auch die weiteren Ausführungen des EU-Generalanwalts dürften Schrems wenig Hoffnung auf einen Erfolg machen: Selbst wenn der Privacy Shield unzulänglich, also quasi ein Sieb sei, welches es der NSA jederzeit ermögliche, die Daten der europäischen Facebook-Nutzer mitzulesen, bleiben die EU-Standardklauseln sicher.
Unterm Strich bleibt also eine kritische Frage stehen: Können die Standardklauseln tatsächlich noch ihr Ziel erfüllen, wenn bereits das Privacy Shield als datenschutzrechtliches Gütesiegel versagt?
Kommentar schreiben