# taz.de -- Rechte von Internet-Nutzer:innen in der EU: Entscheidung über Date… | |
> Der Europäische Gerichtshof entscheidet am Donnerstag, wann Daten von | |
> EU-Nutzer:innen exportiert werden dürfen. Die wichtigsten Fragen und | |
> Antworten. | |
Bild: In indischen Call-Centern (vor Corona) landen so manche Daten aus der EU | |
1. Worum geht es? | |
Der [1][Europäische Gerichtshof] entscheidet am Donnerstag, ob persönliche | |
Daten von Nutzer:innen aus der EU in andere Länder übermittelt werden | |
dürfen. Das ist ständig der Fall: Zum Beispiel, wenn der europäische | |
Facebook-Ableger die Daten hiesiger Nutzer an den US-Mutterkonzern | |
übermittelt. Wenn ein europäischer Onlineshop einen kanadischen | |
E-Mail-Dienstleister nutzt. Oder wenn ein Unternehmen seine Hotline für | |
Kundenanfragen nach Indien ausgelagert hat. | |
2. Wie soll das geregelt werden? | |
Es geht um zwei Regelungen: das EU-US Privacy Shield und | |
Standardvertragsklauseln. Das EU-US Privacy Shield ist eine Vereinbarung | |
zwischen der EU-Kommission und der US-Regierung, die Unternehmen die | |
Weitergabe persönlicher Daten in die USA erlaubt. Die Vereinbarung gibt es | |
seit 2016. Kritiker:innen weisen darauf hin, dass Nutzer:innen | |
praktisch keine rechtliche Handhabe haben, wenn sie ihre Daten missbraucht | |
sehen. | |
Die Standardvertragsklauseln gibt es hingegen schon seit 2010. Damit | |
sichert der Datenimporteur zu, dass er auf ausreichenden Datenschutz in dem | |
Land achten wird, in das die Daten importiert werden. Faktisch kann das | |
allerdings ein ziemlich gewagtes Versprechen sein. Schließlich kommt es | |
nicht nur auf die Rechtslage in dem Land an, in dem die Daten landen, | |
sondern auch darauf, ob sich alle Beteiligten – etwa Geheimdienste – an | |
diese Vereinbarung halten. | |
3. Warum ist das wichtig? | |
Weil die Übermittlung von Daten in nicht-EU-Länder eher die Regel ist als | |
die Ausnahme. Für Nutzer:innen ist das allerdings nicht unbedingt | |
sichtbar. Wer sieht etwa beim Besuch einer Website, in welchem Land der | |
Server steht? Wer nimmt wahr, dass beim Verwenden eines Online-Formulars | |
die Daten über einen Drittanbieter aus den USA verschickt werden? Wer weiß, | |
ob sich das Callcenter, in dem man gerade anruft, in Irland, Großbritannien | |
oder Australien befindet? | |
Im Kern geht es also um die Frage: Wie sicher sind die Daten von | |
Nutzer:innen in Nicht-EU-Ländern? Sind sie dort mindestens genauso | |
geschützt wie auf einem Server innerhalb der EU? Nur dann dürfen sie | |
dorthin übertragen werden. Gerade in Bezug auf die USA gibt es daran | |
erhebliche Zweifel: So haben US-Geheimdienste viele Rechte, die den Zugriff | |
auf Daten erlauben. Zudem sind in den USA ansässige Unternehmen – wie | |
Apple, Microsoft und Google – zur Herausgabe von Daten verpflichtet. Es | |
geht also auch darum, welche Möglichkeiten Nutzer:innen haben müssen, um | |
sich gegen mutmaßlichen Datenmissbrauch zu wehren. | |
5. Wie kommt es überhaupt dazu, dass sich jetzt der EuGH damit beschäftigt? | |
Angefangen hat das Verfahren mit einer Beschwerde des österreichischen | |
Datenschutzaktivisten und Juristen Max Schrems. Der stellt sich, noch | |
während seines Studiums, die Frage: Was weiß eigentlich Facebook über mich? | |
Er schickt ein Auskunftsersuchen an das US-Unternehmen – und bekommt als | |
Antwort eine CD-ROM. Darauf: 1.200 Seiten mit persönlichen Daten. Darunter | |
auch solche, die er längst gelöscht hatte. | |
Als etwas später der Whistleblower Edward Snowden die umfangreichen | |
Überwachungsprogramme der USA enthüllt, will Schrems, dass Facebook keine | |
persönlichen Daten mehr in die USA übermittelt. Er wendet sich 2013 an die | |
für Facebook in Europa zuständige irische Datenschutzaufsicht. Die lehnt | |
seine Beschwerde jedoch als „belanglos“ ab mit Verweis auf die | |
Safe-Harbor-Regelung der EU-Kommission. Safe Harbor erlaubte es damals | |
Unternehmen, persönliche Daten von Nutzer:innen aus der EU in die USA zu | |
übermitteln. Schrems klagt dagegen, der irische High Court schaltet den | |
EuGH ein – und der kippt 2015 schlussendlich Safe Harbor. Ein Coup. | |
Damit dadurch das System der transatlantischen Datentransfers nicht | |
zusammenbricht, zimmern die EU-Kommission und die damalige US-Regierung | |
unter Barack Obama in aller Eile eine neue Vereinbarung: das Privacy | |
Shield. Die US-Regierung, so die damalige Aussage des zuständigen | |
EU-Kommissars, habe zugesichert, dass es keine Überwachung europäischer | |
Nutzer:innen durch US-Geheimdienste geben werde. Allerdings: Gesetze | |
werden auf US-Seite keine geändert. Die rechtliche Grundlage ändert sich | |
also nicht. Die USA setzen lediglich eine Ombudsperson ein, an die sich | |
Nutzer:innen mit Beschwerden wenden können. | |
„Das massenhafte Sammeln von Daten europäischer Nutzer bleibt unter der | |
neuen Vereinbarung möglich“, kritisiert daraufhin die | |
Bürgerrechtsorganisation Access Now. Schrems bezeichnet das Privacy Shield | |
als „minimal behübschte Version des illegalen Safe Harbor“. 2015 fordert er | |
die irische Datenschutzaufsichtsbehörde daher abermals auf, Facebook die | |
Datenübermittlung in die USA zu untersagen. Die weigert sich erneut, und | |
der Fall landet vor dem EuGH, der nun die grundsätzlichen Fragen klären | |
soll. | |
6. Was sagt der EU-Generalanwalt? | |
Vor einem Urteil des EuGH legt immer ein:e EU-Generanwält:in eine | |
Empfehlung vor, an das die Richter:innen allerdings nicht gebunden sind. | |
Generalanwalt Henrik Saugmandsgaard Øe sagte im Dezember kurzgefasst: Jein. | |
So äußerte er einerseits Zweifel daran, dass die Daten europäischer | |
Facebook-Nutzer:innen in den USA sicher sind. Eine Ombudsperson reiche | |
nicht aus, um die Rechte europäischer Nutzer:innen zu sichern. | |
In Sachen Datensicherheit und Privacy Shield klang das Votum also eher nach | |
einem Nein. Zum Thema Standardvertagsklauseln sagte er allerdings Ja: Dort | |
sei vorgesehen, dass der Datenexporteur – oder gegebenenfalls die nationale | |
Datenschutzbehörde – den Datentransfer stoppen müsse, wenn der zugesagte | |
Datenschutz im Zielland nicht mehr gewährleistet ist. | |
7. Was passiert, wenn das Privacy Shield gekippt würde? | |
Das wäre eine ordentliche Niederlage für die EU-Kommission, die gehofft | |
hatte, mit einem schnellen Safe-Harbor-Nachfolger das Problem gelöst zu | |
haben. Für die Wirtschaft wäre es verschmerzbar – sie müsste zwar ein paar | |
Klauseln ändern, doch grundsätzlich könnte sie Datenübermittlungen auf | |
Basis der Standardvertragsklauseln weiterführen. Für Nutzer:innen bliebe | |
es also im Wesentlichen wie bisher. | |
Die EU-Kommission jedenfalls bereitet sich auf ein Scheitern des Privacy | |
Shields vor. Das zeigt die Antwort auf eine Anfrage des Europaabgeordneten | |
Moritz Körner (FDP) vom Mai. Man sei in Gesprächen unter anderem mit der | |
US-Regierung und arbeite an „alternativen Instrumenten“ für Datentransfers | |
in die USA. | |
8. Was passiert, wenn das Privacy Shield und die Standardvertragsklauseln | |
gekippt werden? | |
Das würde die Unternehmen, die Daten europäischer Nutzer:innen in andere | |
Länder übermitteln, vor große Probleme stellen. Zwar wäre die | |
Datenübermittlung damit nicht ausgeschlossen, schließlich gibt es noch | |
andere Möglichkeiten, sie legal zu abzuwickeln. Zum Beispiel mit | |
individuellen Verträgen oder mit Binding Corporate Rules. Das sind | |
verbindliche interne Datenschutzvorschriften von Unternehmen, die von den | |
Datenschutzaufsichtsbehörden genehmigt werden müssen. Doch diese | |
Vorschriften auszuarbeiten und genehmigen zu lassen kann schon einmal ein, | |
zwei Jahre dauern – und ist damit deutlich komplizierter und | |
zeitaufwändiger für die Unternehmen. Und auch teurer. | |
Der EuGH hätte zwar die Möglichkeit, ein Moratorium zu definieren, also | |
eine Übergangszeit, in der die alten Regeln noch verwendet werden dürfen. | |
Doch mehrere Jahre wären dafür etwas lang. In der Zwischenzeit müssten | |
Unternehmen, die sich auf die gekippten Regeln berufen, mit Klagen von | |
Verbraucherschützer:innen oder Betroffenen rechnen, ebenso wie mit | |
Bußgeldern von den Aufsichtsbehörden. | |
Für die Zukunft gäbe daher zwei Möglichkeiten: Entweder die Unternehmen | |
exportieren die Daten ohne verlässliche Rechtsgrundlage, mit entsprechenden | |
juristischen Risiken. Oder, und das wäre für die Nutzer:innen in den | |
meisten Fällen die bessere Lösung: Persönliche Daten von Menschen aus der | |
EU bleiben auch in der EU. Das würde allerdings bedeuten, dass die | |
Unternehmen ihre technischen und organisatorischen Strukturen umstellen | |
müssten. | |
Dazu käme: Wenn der EuGH sich nicht gegenteilig äußert, gelten die | |
aktuellen Regeln schon rückwirkend nicht mehr. Zusätzlich zu | |
Unterlassungsansprüchen und Bußgeldern könnten Betroffene dann versuchen, | |
Schmerzensgeld einzuklagen. | |
16 Jul 2020 | |
## LINKS | |
[1] https://europa.eu/european-union/about-eu/institutions-bodies/court-justice… | |
## AUTOREN | |
Svenja Bergt | |
## TAGS | |
Schwerpunkt Facebook | |
Datenschutzabkommen | |
Datenschutzgrundverordnung | |
Datenschutz | |
EuGH | |
Datenschutz | |
DSGVO | |
Edward Snowden | |
EuGH | |
Datenschutz | |
Datenschutz | |
Schwerpunkt Facebook | |
Schwerpunkt Facebook | |
Schwerpunkt Coronavirus | |
Datenschutz | |
Datenschutz | |
## ARTIKEL ZUM THEMA | |
Datenweitergabe an die Polizei: Verfassungsschützer teilen ungern | |
Der Verfassungsschutz dürfte sich über die Entscheidung des | |
Bundesverfassungsgerichts freuen. Er teilt Informationen ohnehin lieber | |
weniger als mehr. | |
Datenschutz in EU: Zahme Iren weiter zuständig | |
Irlands Datenschützer sind zahm zu Firmen wie Facebook. Doch der | |
EuGH-Generalanwalt sieht kaum Chancen für ein Eingreifen deutscher | |
Datenschützer. | |
Trump äußert sich zum Whistleblower: Trump erwägt Snowden-Begnadigung | |
US-Präsident Donald Trump erklärt, sich den Fall des NSA-Whistleblower | |
Edward Snowden anzuschauen. Seinerzeit wollte er ihn noch hinrichten | |
lassen. | |
Tech-Bosse im US-Kongress: Die USA sollten von Europa lernen | |
Demokraten und Republikaner haben die „Big Four“ befragt. Doch um die | |
Verantwortung und Datensparsamkeit der Tech-Firmen ging es kaum. | |
Datenschutzbeauftagter über Abkommen: „Das Urteil ist notwendig“ | |
Der EuGH hat das europäische Datenschutzabkommen mit den USA gekillt. Was | |
nun, erklärt Stefan Brink, Datenschutzbeauftragter von Baden-Württemberg. | |
Regelungen im Datenschutz: Keine Abfrage ins Blaue | |
Das Bundesverfassungsgericht fordert Nachbesserungen am Gesetz zur | |
Bestandsdatenauskunft. Kleinere Vergehen sind kein Anlass dafür. | |
Urteil zu Datenabkommen zwischen USA und EU: Ein guter Anfang | |
Datenexporte in die USA sind legal nicht möglich, urteilt der Europäische | |
Gerichtshof. Das Silicon Valley ist entsetzt. | |
Datenschutzabkommen zwischen EU und USA: EuGH kippt Privacy Shield | |
Die Datenübertragung in die USA wird für Unternehmen in Zukunft | |
schwieriger. Es ist ein Erfolg für den Datenschutzaktivisten Max Schrems. | |
EuGH-Urteil zu „Privacy Shield“: Aus für EU-Datenschutzabkommen | |
Der europäische Gerichtshof kippt erneut einen Beschluss zum Transfer von | |
Daten von EU-Bürger_innen in die USA. Das könnte weitreichende Folgen | |
haben. | |
Daten-Missbrauch in Hamburg: Wo die Corona-Daten landen | |
Eigentlich sollten Gaststätten die Daten ihrer Gäste sammeln um | |
Infektionsketten aufzuspüren. Aber die Listen locken Unbefugte und die | |
Polizei an. | |
Zwei Jahre Datenschutzgrundverordnung: Für die Nutzer komplett nutzlos | |
Trotz DSGVO sind Internetuser unverändert dem Datenklau ausgesetzt. Google | |
und Facebook profitieren sogar von den einheitlichen EU-Regeln. | |
BGH stellt Missbrauch fest: Wahlfreiheit für Facebook-Nutzer | |
Der BGH fordert von Facebook, dass Kunden wählen können, wie viel | |
Datenauswertung sie zulassen – und stellt einen Missbrauch von Marktmacht | |
fest. |