von Aileen Weibeler und Rechtsanwältin Karina Filusch, LL.M.
Stand: 09.09.2020
Die NGO des Aktivisten Max Schrems hat 101 Beschwerden gegen europäische Unternehmen eingereicht, die Facebook- und Google-Dienste verwenden. Wie gehen die europäischen Datenschutzbehörden nun damit um? Was sagt die EU-Kommission?
Ein Bruch des transatlantischen Datentransfers zwischen den USA und der EU, das ist nur ein Ergebnis des EuGH-Urteils vom 16.07.2020, wodurch das „Privacy-Shield“-Abkommen für ungültig erklärt wurde. Doch was bedeutet das für Unternehmen, die tagtäglich auf Facebook, Google und Co. setzen?
Prinzipiell ist es richtig, dass nur die Übertragung von Daten aus der EU in jene Drittstaaten erlaubt ist, die vergleichbare Datenschutzstandards, wie wir haben. Unsere privaten, aber auch geschäftlichen Daten wollen wir schließlich auch in Übersee geschützt wissen.
Der „Privacy-Shield“ war ein Beschluss der EU-Kommission, durch den der Datentransfer in die USA ermöglicht wurde. Er stellte eine von mehreren Möglichkeiten dar, den Datentransfer in die USA zu legitimieren. Durch die Kippung dieses Beschlusses fehlt es jedoch aktuell an einer rechtlichen Grundlage, da die anderen Rechtsgrundlagen, die noch zur Verfügung stünden, bisher in Bezug auf den Datenschutz noch nicht zufriedenstellend ausgestaltet werden konnten. Schaue dazu gerne bei unserem Blogbeitrag „EuGH kippt Privacy – Ist die Datenübermittlung in die USA nun verboten?“ vorbei.
Hauptbeweggrund des EuGH, den Privacy Shield zu kippen, war, dass die US-amerikanischen Geheimdienste, Zugriff auf die Daten der US-amerikanischen Unternehmen erhalten, auch wenn sie in Europa tätig sind und nur hier Daten speichern. Hinzu kommt, dass den betroffenen Personen aus der Europäischen Union kein wirksames Rechtsmittel in den USA zur Verfügung steht, um zu verhindern, dass die Behörden auf die eigenen Daten zugreifen können. Mit dem Urteil der Ungültigkeitserklärung gab es auch keine Karenzzeit, sondern das Urteil galt sofort, sodass der Datentransfer in die USA laut der deutschen Aufsichtsbehörden unverzüglich einzustellen sei. Die Umsetzung davon ist in der Praxis jedoch eine andere und Unternehmen aus der EU übermitteln weiterhin Daten in die USA.
Genau dies prangert der österreichische Datenschutzaktivist und Gründer der NGO NOYB (My Privacy is Non of Your Business) Max Schrems, auf den auch schon die Kippung des Vorgänger-Beschlusses „Safe Harbor“ (Schrems I) zurückgeht, an. Die NGO NOYB hat Quellcodes der Websites der europäischen Unternehmen analysiert und dabei herausgefunden, dass trotz des EuGH-Urteils noch immer die Dienste von Google Analytics und Facebook Connect verwendet werden. Die Datenschützer finden, dass das nicht so weiter gehen darf. Max Schrems NGO hat nicht etwa vor, den Unternehmen das Leben schwer zu machen oder diese gar zu zerstören, sondern sie will vielmehr geltendes Recht und natürlich auch unsere Grundrechte schützen. Deshalb wurden 101 Beschwerden eingereicht. Sie zielen auf die großen Unternehmen in der EU ab. In Deutschland gingen so Beschwerden gegen TV Spielfilm, das Handelsblatt, Chefkoch und Sky ein. Die Liste mit den Unternehmen, gegen die Beschwerde erhoben wurde, findest Du hier.
Dabei wurde darauf geachtet, dass in allen Mitgliedstaaten eine Beschwerde eingereicht wird, damit alle Behörden in den verschiedenen Ländern dazu Stellung nehmen. Da es in dem föderalen System von Deutschland mehrere Aufsichtsbehörden gibt, wurden die Beschwerden auf verschiedene Bundesländer aufgeteilt, also erhielten nur einige Landesaufsichtsbehörden eine Beschwerde. Den eingereichten Beschwerden müssen die europäischen Datenschutzbehörden nachgehen. Max Schrems hat hierbei betont, dass die Aufsichtsbehörden, bei denen die Beschwerden eingegangen sind, über den aktuellen Stand Auskunft geben müssen. Eine Aufsichtsbehörde hat sich dazu bereits geäußert, nämlich die irische Datenschutzbehörde. Diese galt schon vor dem Urteil als „Datenschutzwüste“ und ist durch die Untätigkeit der Behörden auch Schrems negativ auffallen. Sie ließ verlautbaren, dass Sie in den nächsten Jahren erst einmal nichts tun wolle. Die europäische Aufsichstbehörde (EDSA) hat hingegen am 03.09.2020 verkündet eine Task Force einzusetzen, um die „schnelle und europaweit einheitliche Bearbeitung der Beschwerden der Organisation „Non-of-your-business“ (NOYB) zur Nutzung von Google- und Facebook-Services durch europäische Anbieter“ zu gewährleisten. Eine europäische Datenschutz-Task Force hat einen großen Vorteil: Denn in unserer globalisierten und digitalen Welt sind datenschutzrechtliche Themen nur grenzüberschreitend denkbar. Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, findet, dass mit dieser Task Force ein „starkes Signal“ gesendet wird.
Zwischenzeitlich haben die EU und die USA allerdings bereits mit „Diskussionen begonnen, um das Potential, eines verbesserten Privacy Shield-Rahmenabkommens zu evaluieren.“ Max Schrems, sowie auch der europäische Kommissar für Justiz und Rechtstaatlichkeit, Didier Reynders, sind sich einig, dass ein „Privacy Shield 3.0“ keine Lösung für die Problematik mit den US-amerikanischen Geheimdiensten ist. Es soll keinen „Quick Fix“ des Privacy Shield geben.
Es bleibt abzuwarten, wohin diese Diskussion führen wird, wie die Behörden gesamteuropäisch mit der Prüfung der 101 Beschwerden verfahren und, ob wir es nicht sogar schaffen „aus der Not heraus“ in Europa digitaler zu werden. Praktische Tipps finden Sie im Blog. Hier findest Du z.B. eine Liste mit Alternativen zu US-amerikanischen Tools, die wir für Dich aktuell halten.
Du kannst mich gerne bei Fragen kontaktieren!
Beitragsbild: © Timo Klostermeier / PIXELIO