 |
# taz.de -- Rechte von Internet-Nutzer:innen in der EU: Entscheidung über Date… |
|
|
|
> Der Europäische Gerichtshof entscheidet am Donnerstag, wann Daten von |
|
> EU-Nutzer:innen exportiert werden dürfen. Die wichtigsten Fragen und |
|
> Antworten. |
|
|
 |
Bild: In indischen Call-Centern (vor Corona) landen so manche Daten aus der EU |
|
|
|
1. Worum geht es? |
|
|
|
Der [1][Europäische Gerichtshof] entscheidet am Donnerstag, ob persönliche |
|
Daten von Nutzer:innen aus der EU in andere Länder übermittelt werden |
|
dürfen. Das ist ständig der Fall: Zum Beispiel, wenn der europäische |
|
Facebook-Ableger die Daten hiesiger Nutzer an den US-Mutterkonzern |
|
übermittelt. Wenn ein europäischer Onlineshop einen kanadischen |
|
E-Mail-Dienstleister nutzt. Oder wenn ein Unternehmen seine Hotline für |
|
Kundenanfragen nach Indien ausgelagert hat. |
|
|
|
2. Wie soll das geregelt werden? |
|
|
|
Es geht um zwei Regelungen: das EU-US Privacy Shield und |
|
Standardvertragsklauseln. Das EU-US Privacy Shield ist eine Vereinbarung |
|
zwischen der EU-Kommission und der US-Regierung, die Unternehmen die |
|
Weitergabe persönlicher Daten in die USA erlaubt. Die Vereinbarung gibt es |
|
seit 2016. Kritiker:innen weisen darauf hin, dass Nutzer:innen |
|
praktisch keine rechtliche Handhabe haben, wenn sie ihre Daten missbraucht |
|
sehen. |
|
|
|
Die Standardvertragsklauseln gibt es hingegen schon seit 2010. Damit |
|
sichert der Datenimporteur zu, dass er auf ausreichenden Datenschutz in dem |
|
Land achten wird, in das die Daten importiert werden. Faktisch kann das |
|
allerdings ein ziemlich gewagtes Versprechen sein. Schließlich kommt es |
|
nicht nur auf die Rechtslage in dem Land an, in dem die Daten landen, |
|
sondern auch darauf, ob sich alle Beteiligten – etwa Geheimdienste – an |
|
diese Vereinbarung halten. |
|
|
|
3. Warum ist das wichtig? |
|
|
|
Weil die Übermittlung von Daten in nicht-EU-Länder eher die Regel ist als |
|
die Ausnahme. Für Nutzer:innen ist das allerdings nicht unbedingt |
|
sichtbar. Wer sieht etwa beim Besuch einer Website, in welchem Land der |
|
Server steht? Wer nimmt wahr, dass beim Verwenden eines Online-Formulars |
|
die Daten über einen Drittanbieter aus den USA verschickt werden? Wer weiß, |
|
ob sich das Callcenter, in dem man gerade anruft, in Irland, Großbritannien |
|
oder Australien befindet? |
|
|
|
Im Kern geht es also um die Frage: Wie sicher sind die Daten von |
|
Nutzer:innen in Nicht-EU-Ländern? Sind sie dort mindestens genauso |
|
geschützt wie auf einem Server innerhalb der EU? Nur dann dürfen sie |
|
dorthin übertragen werden. Gerade in Bezug auf die USA gibt es daran |
|
erhebliche Zweifel: So haben US-Geheimdienste viele Rechte, die den Zugriff |
|
auf Daten erlauben. Zudem sind in den USA ansässige Unternehmen – wie |
|
Apple, Microsoft und Google – zur Herausgabe von Daten verpflichtet. Es |
|
geht also auch darum, welche Möglichkeiten Nutzer:innen haben müssen, um |
|
sich gegen mutmaßlichen Datenmissbrauch zu wehren. |
|
|
|
5. Wie kommt es überhaupt dazu, dass sich jetzt der EuGH damit beschäftigt? |
|
|
|
Angefangen hat das Verfahren mit einer Beschwerde des österreichischen |
|
Datenschutzaktivisten und Juristen Max Schrems. Der stellt sich, noch |
|
während seines Studiums, die Frage: Was weiß eigentlich Facebook über mich? |
|
Er schickt ein Auskunftsersuchen an das US-Unternehmen – und bekommt als |
|
Antwort eine CD-ROM. Darauf: 1.200 Seiten mit persönlichen Daten. Darunter |
|
auch solche, die er längst gelöscht hatte. |
|
|
|
Als etwas später der Whistleblower Edward Snowden die umfangreichen |
|
Überwachungsprogramme der USA enthüllt, will Schrems, dass Facebook keine |
|
persönlichen Daten mehr in die USA übermittelt. Er wendet sich 2013 an die |
|
für Facebook in Europa zuständige irische Datenschutzaufsicht. Die lehnt |
|
seine Beschwerde jedoch als „belanglos“ ab mit Verweis auf die |
|
Safe-Harbor-Regelung der EU-Kommission. Safe Harbor erlaubte es damals |
|
Unternehmen, persönliche Daten von Nutzer:innen aus der EU in die USA zu |
|
übermitteln. Schrems klagt dagegen, der irische High Court schaltet den |
|
EuGH ein – und der kippt 2015 schlussendlich Safe Harbor. Ein Coup. |
|
|
|
Damit dadurch das System der transatlantischen Datentransfers nicht |
|
zusammenbricht, zimmern die EU-Kommission und die damalige US-Regierung |
|
unter Barack Obama in aller Eile eine neue Vereinbarung: das Privacy |
|
Shield. Die US-Regierung, so die damalige Aussage des zuständigen |
|
EU-Kommissars, habe zugesichert, dass es keine Überwachung europäischer |
|
Nutzer:innen durch US-Geheimdienste geben werde. Allerdings: Gesetze |
|
werden auf US-Seite keine geändert. Die rechtliche Grundlage ändert sich |
|
also nicht. Die USA setzen lediglich eine Ombudsperson ein, an die sich |
|
Nutzer:innen mit Beschwerden wenden können. |
|
|
|
„Das massenhafte Sammeln von Daten europäischer Nutzer bleibt unter der |
|
neuen Vereinbarung möglich“, kritisiert daraufhin die |
|
Bürgerrechtsorganisation Access Now. Schrems bezeichnet das Privacy Shield |
|
als „minimal behübschte Version des illegalen Safe Harbor“. 2015 fordert er |
|
die irische Datenschutzaufsichtsbehörde daher abermals auf, Facebook die |
|
Datenübermittlung in die USA zu untersagen. Die weigert sich erneut, und |
|
der Fall landet vor dem EuGH, der nun die grundsätzlichen Fragen klären |
|
soll. |
|
|
|
6. Was sagt der EU-Generalanwalt? |
|
|
|
Vor einem Urteil des EuGH legt immer ein:e EU-Generanwält:in eine |
|
Empfehlung vor, an das die Richter:innen allerdings nicht gebunden sind. |
|
Generalanwalt Henrik Saugmandsgaard Øe sagte im Dezember kurzgefasst: Jein. |
|
So äußerte er einerseits Zweifel daran, dass die Daten europäischer |
|
Facebook-Nutzer:innen in den USA sicher sind. Eine Ombudsperson reiche |
|
nicht aus, um die Rechte europäischer Nutzer:innen zu sichern. |
|
|
|
In Sachen Datensicherheit und Privacy Shield klang das Votum also eher nach |
|
einem Nein. Zum Thema Standardvertagsklauseln sagte er allerdings Ja: Dort |
|
sei vorgesehen, dass der Datenexporteur – oder gegebenenfalls die nationale |
|
Datenschutzbehörde – den Datentransfer stoppen müsse, wenn der zugesagte |
|
Datenschutz im Zielland nicht mehr gewährleistet ist. |
|
|
|
7. Was passiert, wenn das Privacy Shield gekippt würde? |
|
|
|
Das wäre eine ordentliche Niederlage für die EU-Kommission, die gehofft |
|
hatte, mit einem schnellen Safe-Harbor-Nachfolger das Problem gelöst zu |
|
haben. Für die Wirtschaft wäre es verschmerzbar – sie müsste zwar ein paar |
|
Klauseln ändern, doch grundsätzlich könnte sie Datenübermittlungen auf |
|
Basis der Standardvertragsklauseln weiterführen. Für Nutzer:innen bliebe |
|
es also im Wesentlichen wie bisher. |
|
|
|
Die EU-Kommission jedenfalls bereitet sich auf ein Scheitern des Privacy |
|
Shields vor. Das zeigt die Antwort auf eine Anfrage des Europaabgeordneten |
|
Moritz Körner (FDP) vom Mai. Man sei in Gesprächen unter anderem mit der |
|
US-Regierung und arbeite an „alternativen Instrumenten“ für Datentransfers |
|
in die USA. |
|
|
|
8. Was passiert, wenn das Privacy Shield und die Standardvertragsklauseln |
|
gekippt werden? |
|
|
|
Das würde die Unternehmen, die Daten europäischer Nutzer:innen in andere |
|
Länder übermitteln, vor große Probleme stellen. Zwar wäre die |
|
Datenübermittlung damit nicht ausgeschlossen, schließlich gibt es noch |
|
andere Möglichkeiten, sie legal zu abzuwickeln. Zum Beispiel mit |
|
individuellen Verträgen oder mit Binding Corporate Rules. Das sind |
|
verbindliche interne Datenschutzvorschriften von Unternehmen, die von den |
|
Datenschutzaufsichtsbehörden genehmigt werden müssen. Doch diese |
|
Vorschriften auszuarbeiten und genehmigen zu lassen kann schon einmal ein, |
|
zwei Jahre dauern – und ist damit deutlich komplizierter und |
|
zeitaufwändiger für die Unternehmen. Und auch teurer. |
|
|
|
Der EuGH hätte zwar die Möglichkeit, ein Moratorium zu definieren, also |
|
eine Übergangszeit, in der die alten Regeln noch verwendet werden dürfen. |
|
Doch mehrere Jahre wären dafür etwas lang. In der Zwischenzeit müssten |
|
Unternehmen, die sich auf die gekippten Regeln berufen, mit Klagen von |
|
Verbraucherschützer:innen oder Betroffenen rechnen, ebenso wie mit |
|
Bußgeldern von den Aufsichtsbehörden. |
|
|
|
Für die Zukunft gäbe daher zwei Möglichkeiten: Entweder die Unternehmen |
|
exportieren die Daten ohne verlässliche Rechtsgrundlage, mit entsprechenden |
|
juristischen Risiken. Oder, und das wäre für die Nutzer:innen in den |
|
meisten Fällen die bessere Lösung: Persönliche Daten von Menschen aus der |
|
EU bleiben auch in der EU. Das würde allerdings bedeuten, dass die |
|
Unternehmen ihre technischen und organisatorischen Strukturen umstellen |
|
müssten. |
|
|
|
Dazu käme: Wenn der EuGH sich nicht gegenteilig äußert, gelten die |
|
aktuellen Regeln schon rückwirkend nicht mehr. Zusätzlich zu |
|
Unterlassungsansprüchen und Bußgeldern könnten Betroffene dann versuchen, |
|
Schmerzensgeld einzuklagen. |
|
|
|
16 Jul 2020 |
|
|
|
## LINKS |
|
|
 |
[1] https://europa.eu/european-union/about-eu/institutions-bodies/court-justice… |
|
|
|
## AUTOREN |
|
|
|
Svenja Bergt |
|
|
|
## TAGS |
|
|
|
Schwerpunkt Meta |
|
Datenschutzabkommen |
|
Datenschutzgrundverordnung |
|
Datenschutz |
|
EuGH |
|
Datenschutz |
|
DSGVO |
|
Edward Snowden |
|
|
|
EuGH |
|
Datenschutz |
|
Datenschutz |
|
Schwerpunkt Meta |
|
Schwerpunkt Meta |
|
Schwerpunkt Coronavirus |
|
Datenschutz |
|
Datenschutz |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Datenweitergabe an die Polizei: Verfassungsschützer teilen ungern |
|
|
|
Der Verfassungsschutz dürfte sich über die Entscheidung des |
|
Bundesverfassungsgerichts freuen. Er teilt Informationen ohnehin lieber |
|
weniger als mehr. |
|
|
|
Datenschutz in EU: Zahme Iren weiter zuständig |
|
|
|
Irlands Datenschützer sind zahm zu Firmen wie Facebook. Doch der |
|
EuGH-Generalanwalt sieht kaum Chancen für ein Eingreifen deutscher |
|
Datenschützer. |
|
|
|
Trump äußert sich zum Whistleblower: Trump erwägt Snowden-Begnadigung |
|
|
|
US-Präsident Donald Trump erklärt, sich den Fall des NSA-Whistleblower |
|
Edward Snowden anzuschauen. Seinerzeit wollte er ihn noch hinrichten |
|
lassen. |
|
|
|
Tech-Bosse im US-Kongress: Die USA sollten von Europa lernen |
|
|
|
Demokraten und Republikaner haben die „Big Four“ befragt. Doch um die |
|
Verantwortung und Datensparsamkeit der Tech-Firmen ging es kaum. |
|
|
|
Datenschutzbeauftagter über Abkommen: „Das Urteil ist notwendig“ |
|
|
|
Der EuGH hat das europäische Datenschutzabkommen mit den USA gekillt. Was |
|
nun, erklärt Stefan Brink, Datenschutzbeauftragter von Baden-Württemberg. |
|
|
|
Regelungen im Datenschutz: Keine Abfrage ins Blaue |
|
|
|
Das Bundesverfassungsgericht fordert Nachbesserungen am Gesetz zur |
|
Bestandsdatenauskunft. Kleinere Vergehen sind kein Anlass dafür. |
|
|
|
Urteil zu Datenabkommen zwischen USA und EU: Ein guter Anfang |
|
|
|
Datenexporte in die USA sind legal nicht möglich, urteilt der Europäische |
|
Gerichtshof. Das Silicon Valley ist entsetzt. |
|
|
|
Datenschutzabkommen zwischen EU und USA: EuGH kippt Privacy Shield |
|
|
|
Die Datenübertragung in die USA wird für Unternehmen in Zukunft |
|
schwieriger. Es ist ein Erfolg für den Datenschutzaktivisten Max Schrems. |
|
|
|
EuGH-Urteil zu „Privacy Shield“: Aus für EU-Datenschutzabkommen |
|
|
|
Der europäische Gerichtshof kippt erneut einen Beschluss zum Transfer von |
|
Daten von EU-Bürger_innen in die USA. Das könnte weitreichende Folgen |
|
haben. |
|
|
|
Daten-Missbrauch in Hamburg: Wo die Corona-Daten landen |
|
|
|
Eigentlich sollten Gaststätten die Daten ihrer Gäste sammeln um |
|
Infektionsketten aufzuspüren. Aber die Listen locken Unbefugte und die |
|
Polizei an. |
|
|
|
Zwei Jahre Datenschutzgrundverordnung: Für die Nutzer komplett nutzlos |
|
|
|
Trotz DSGVO sind Internetuser unverändert dem Datenklau ausgesetzt. Google |
|
und Facebook profitieren sogar von den einheitlichen EU-Regeln. |
|
|
|
BGH stellt Missbrauch fest: Wahlfreiheit für Facebook-Nutzer |
|
|
|
Der BGH fordert von Facebook, dass Kunden wählen können, wie viel |
|
Datenauswertung sie zulassen – und stellt einen Missbrauch von Marktmacht |
|
fest. |
