# taz.de -- Rechte von Internet-Nutzer:innen in der EU: Entscheidung über Datenweitergabe
> Der Europäische Gerichtshof entscheidet am Donnerstag, wann Daten von
> EU-Nutzer:innen exportiert werden dürfen. Die wichtigsten Fragen und
> Antworten.
(IMG) Bild: In indischen Call-Centern (vor Corona) landen so manche Daten aus der EU
1. Worum geht es?
Der [1][Europäische Gerichtshof] entscheidet am Donnerstag, ob persönliche
Daten von Nutzer:innen aus der EU in andere Länder übermittelt werden
dürfen. Das ist ständig der Fall: Zum Beispiel, wenn der europäische
Facebook-Ableger die Daten hiesiger Nutzer an den US-Mutterkonzern
übermittelt. Wenn ein europäischer Onlineshop einen kanadischen
E-Mail-Dienstleister nutzt. Oder wenn ein Unternehmen seine Hotline für
Kundenanfragen nach Indien ausgelagert hat.
2. Wie soll das geregelt werden?
Es geht um zwei Regelungen: das EU-US Privacy Shield und
Standardvertragsklauseln. Das EU-US Privacy Shield ist eine Vereinbarung
zwischen der EU-Kommission und der US-Regierung, die Unternehmen die
Weitergabe persönlicher Daten in die USA erlaubt. Die Vereinbarung gibt es
seit 2016. Kritiker:innen weisen darauf hin, dass Nutzer:innen
praktisch keine rechtliche Handhabe haben, wenn sie ihre Daten missbraucht
sehen.
Die Standardvertragsklauseln gibt es hingegen schon seit 2010. Damit
sichert der Datenimporteur zu, dass er auf ausreichenden Datenschutz in dem
Land achten wird, in das die Daten importiert werden. Faktisch kann das
allerdings ein ziemlich gewagtes Versprechen sein. Schließlich kommt es
nicht nur auf die Rechtslage in dem Land an, in dem die Daten landen,
sondern auch darauf, ob sich alle Beteiligten – etwa Geheimdienste – an
diese Vereinbarung halten.
3. Warum ist das wichtig?
Weil die Übermittlung von Daten in nicht-EU-Länder eher die Regel ist als
die Ausnahme. Für Nutzer:innen ist das allerdings nicht unbedingt
sichtbar. Wer sieht etwa beim Besuch einer Website, in welchem Land der
Server steht? Wer nimmt wahr, dass beim Verwenden eines Online-Formulars
die Daten über einen Drittanbieter aus den USA verschickt werden? Wer weiß,
ob sich das Callcenter, in dem man gerade anruft, in Irland, Großbritannien
oder Australien befindet?
Im Kern geht es also um die Frage: Wie sicher sind die Daten von
Nutzer:innen in Nicht-EU-Ländern? Sind sie dort mindestens genauso
geschützt wie auf einem Server innerhalb der EU? Nur dann dürfen sie
dorthin übertragen werden. Gerade in Bezug auf die USA gibt es daran
erhebliche Zweifel: So haben US-Geheimdienste viele Rechte, die den Zugriff
auf Daten erlauben. Zudem sind in den USA ansässige Unternehmen – wie
Apple, Microsoft und Google – zur Herausgabe von Daten verpflichtet. Es
geht also auch darum, welche Möglichkeiten Nutzer:innen haben müssen, um
sich gegen mutmaßlichen Datenmissbrauch zu wehren.
5. Wie kommt es überhaupt dazu, dass sich jetzt der EuGH damit beschäftigt?
Angefangen hat das Verfahren mit einer Beschwerde des österreichischen
Datenschutzaktivisten und Juristen Max Schrems. Der stellt sich, noch
während seines Studiums, die Frage: Was weiß eigentlich Facebook über mich?
Er schickt ein Auskunftsersuchen an das US-Unternehmen – und bekommt als
Antwort eine CD-ROM. Darauf: 1.200 Seiten mit persönlichen Daten. Darunter
auch solche, die er längst gelöscht hatte.
Als etwas später der Whistleblower Edward Snowden die umfangreichen
Überwachungsprogramme der USA enthüllt, will Schrems, dass Facebook keine
persönlichen Daten mehr in die USA übermittelt. Er wendet sich 2013 an die
für Facebook in Europa zuständige irische Datenschutzaufsicht. Die lehnt
seine Beschwerde jedoch als „belanglos“ ab mit Verweis auf die
Safe-Harbor-Regelung der EU-Kommission. Safe Harbor erlaubte es damals
Unternehmen, persönliche Daten von Nutzer:innen aus der EU in die USA zu
übermitteln. Schrems klagt dagegen, der irische High Court schaltet den
EuGH ein – und der kippt 2015 schlussendlich Safe Harbor. Ein Coup.
Damit dadurch das System der transatlantischen Datentransfers nicht
zusammenbricht, zimmern die EU-Kommission und die damalige US-Regierung
unter Barack Obama in aller Eile eine neue Vereinbarung: das Privacy
Shield. Die US-Regierung, so die damalige Aussage des zuständigen
EU-Kommissars, habe zugesichert, dass es keine Überwachung europäischer
Nutzer:innen durch US-Geheimdienste geben werde. Allerdings: Gesetze
werden auf US-Seite keine geändert. Die rechtliche Grundlage ändert sich
also nicht. Die USA setzen lediglich eine Ombudsperson ein, an die sich
Nutzer:innen mit Beschwerden wenden können.
„Das massenhafte Sammeln von Daten europäischer Nutzer bleibt unter der
neuen Vereinbarung möglich“, kritisiert daraufhin die
Bürgerrechtsorganisation Access Now. Schrems bezeichnet das Privacy Shield
als „minimal behübschte Version des illegalen Safe Harbor“. 2015 fordert er
die irische Datenschutzaufsichtsbehörde daher abermals auf, Facebook die
Datenübermittlung in die USA zu untersagen. Die weigert sich erneut, und
der Fall landet vor dem EuGH, der nun die grundsätzlichen Fragen klären
soll.
6. Was sagt der EU-Generalanwalt?
Vor einem Urteil des EuGH legt immer ein:e EU-Generanwält:in eine
Empfehlung vor, an das die Richter:innen allerdings nicht gebunden sind.
Generalanwalt Henrik Saugmandsgaard Øe sagte im Dezember kurzgefasst: Jein.
So äußerte er einerseits Zweifel daran, dass die Daten europäischer
Facebook-Nutzer:innen in den USA sicher sind. Eine Ombudsperson reiche
nicht aus, um die Rechte europäischer Nutzer:innen zu sichern.
In Sachen Datensicherheit und Privacy Shield klang das Votum also eher nach
einem Nein. Zum Thema Standardvertagsklauseln sagte er allerdings Ja: Dort
sei vorgesehen, dass der Datenexporteur – oder gegebenenfalls die nationale
Datenschutzbehörde – den Datentransfer stoppen müsse, wenn der zugesagte
Datenschutz im Zielland nicht mehr gewährleistet ist.
7. Was passiert, wenn das Privacy Shield gekippt würde?
Das wäre eine ordentliche Niederlage für die EU-Kommission, die gehofft
hatte, mit einem schnellen Safe-Harbor-Nachfolger das Problem gelöst zu
haben. Für die Wirtschaft wäre es verschmerzbar – sie müsste zwar ein paar
Klauseln ändern, doch grundsätzlich könnte sie Datenübermittlungen auf
Basis der Standardvertragsklauseln weiterführen. Für Nutzer:innen bliebe
es also im Wesentlichen wie bisher.
Die EU-Kommission jedenfalls bereitet sich auf ein Scheitern des Privacy
Shields vor. Das zeigt die Antwort auf eine Anfrage des Europaabgeordneten
Moritz Körner (FDP) vom Mai. Man sei in Gesprächen unter anderem mit der
US-Regierung und arbeite an „alternativen Instrumenten“ für Datentransfers
in die USA.
8. Was passiert, wenn das Privacy Shield und die Standardvertragsklauseln
gekippt werden?
Das würde die Unternehmen, die Daten europäischer Nutzer:innen in andere
Länder übermitteln, vor große Probleme stellen. Zwar wäre die
Datenübermittlung damit nicht ausgeschlossen, schließlich gibt es noch
andere Möglichkeiten, sie legal zu abzuwickeln. Zum Beispiel mit
individuellen Verträgen oder mit Binding Corporate Rules. Das sind
verbindliche interne Datenschutzvorschriften von Unternehmen, die von den
Datenschutzaufsichtsbehörden genehmigt werden müssen. Doch diese
Vorschriften auszuarbeiten und genehmigen zu lassen kann schon einmal ein,
zwei Jahre dauern – und ist damit deutlich komplizierter und
zeitaufwändiger für die Unternehmen. Und auch teurer.
Der EuGH hätte zwar die Möglichkeit, ein Moratorium zu definieren, also
eine Übergangszeit, in der die alten Regeln noch verwendet werden dürfen.
Doch mehrere Jahre wären dafür etwas lang. In der Zwischenzeit müssten
Unternehmen, die sich auf die gekippten Regeln berufen, mit Klagen von
Verbraucherschützer:innen oder Betroffenen rechnen, ebenso wie mit
Bußgeldern von den Aufsichtsbehörden.
Für die Zukunft gäbe daher zwei Möglichkeiten: Entweder die Unternehmen
exportieren die Daten ohne verlässliche Rechtsgrundlage, mit entsprechenden
juristischen Risiken. Oder, und das wäre für die Nutzer:innen in den
meisten Fällen die bessere Lösung: Persönliche Daten von Menschen aus der
EU bleiben auch in der EU. Das würde allerdings bedeuten, dass die
Unternehmen ihre technischen und organisatorischen Strukturen umstellen
müssten.
Dazu käme: Wenn der EuGH sich nicht gegenteilig äußert, gelten die
aktuellen Regeln schon rückwirkend nicht mehr. Zusätzlich zu
Unterlassungsansprüchen und Bußgeldern könnten Betroffene dann versuchen,
Schmerzensgeld einzuklagen.
16 Jul 2020
## LINKS
(DIR) [1] https://europa.eu/european-union/about-eu/institutions-bodies/court-justice_de
## AUTOREN
(DIR) Svenja Bergt
## TAGS
(DIR) Schwerpunkt Meta
(DIR) Datenschutzabkommen
(DIR) Datenschutzgrundverordnung
(DIR) Datenschutz
(DIR) EuGH
(DIR) Datenschutz
(DIR) DSGVO
(DIR) Edward Snowden
(DIR) Google
(DIR) EuGH
(DIR) Datenschutz
(DIR) Datenschutz
(DIR) Schwerpunkt Meta
(DIR) Schwerpunkt Meta
(DIR) Schwerpunkt Coronavirus
(DIR) Datenschutz
(DIR) Datenschutz
## ARTIKEL ZUM THEMA
(DIR) Datenweitergabe an die Polizei: Verfassungsschützer teilen ungern
Der Verfassungsschutz dürfte sich über die Entscheidung des
Bundesverfassungsgerichts freuen. Er teilt Informationen ohnehin lieber
weniger als mehr.
(DIR) Datenschutz in EU: Zahme Iren weiter zuständig
Irlands Datenschützer sind zahm zu Firmen wie Facebook. Doch der
EuGH-Generalanwalt sieht kaum Chancen für ein Eingreifen deutscher
Datenschützer.
(DIR) Trump äußert sich zum Whistleblower: Trump erwägt Snowden-Begnadigung
US-Präsident Donald Trump erklärt, sich den Fall des NSA-Whistleblower
Edward Snowden anzuschauen. Seinerzeit wollte er ihn noch hinrichten
lassen.
(DIR) Tech-Bosse im US-Kongress: Die USA sollten von Europa lernen
Demokraten und Republikaner haben die „Big Four“ befragt. Doch um die
Verantwortung und Datensparsamkeit der Tech-Firmen ging es kaum.
(DIR) Datenschutzbeauftagter über Abkommen: „Das Urteil ist notwendig“
Der EuGH hat das europäische Datenschutzabkommen mit den USA gekillt. Was
nun, erklärt Stefan Brink, Datenschutzbeauftragter von Baden-Württemberg.
(DIR) Regelungen im Datenschutz: Keine Abfrage ins Blaue
Das Bundesverfassungsgericht fordert Nachbesserungen am Gesetz zur
Bestandsdatenauskunft. Kleinere Vergehen sind kein Anlass dafür.
(DIR) Urteil zu Datenabkommen zwischen USA und EU: Ein guter Anfang
Datenexporte in die USA sind legal nicht möglich, urteilt der Europäische
Gerichtshof. Das Silicon Valley ist entsetzt.
(DIR) Datenschutzabkommen zwischen EU und USA: EuGH kippt Privacy Shield
Die Datenübertragung in die USA wird für Unternehmen in Zukunft
schwieriger. Es ist ein Erfolg für den Datenschutzaktivisten Max Schrems.
(DIR) EuGH-Urteil zu „Privacy Shield“: Aus für EU-Datenschutzabkommen
Der europäische Gerichtshof kippt erneut einen Beschluss zum Transfer von
Daten von EU-Bürger_innen in die USA. Das könnte weitreichende Folgen
haben.
(DIR) Daten-Missbrauch in Hamburg: Wo die Corona-Daten landen
Eigentlich sollten Gaststätten die Daten ihrer Gäste sammeln um
Infektionsketten aufzuspüren. Aber die Listen locken Unbefugte und die
Polizei an.
(DIR) Zwei Jahre Datenschutzgrundverordnung: Für die Nutzer komplett nutzlos
Trotz DSGVO sind Internetuser unverändert dem Datenklau ausgesetzt. Google
und Facebook profitieren sogar von den einheitlichen EU-Regeln.
(DIR) BGH stellt Missbrauch fest: Wahlfreiheit für Facebook-Nutzer
Der BGH fordert von Facebook, dass Kunden wählen können, wie viel
Datenauswertung sie zulassen – und stellt einen Missbrauch von Marktmacht
fest.