Folgen des Privacy-Shield-EuGH-Urteils: Wie geht es weiter?

Datenschutz als Teil des Netzes

Seit Beginn der kommerziellen Nutzung des Internets, aber spätestens durch den Siegeszug des Web 2.0 ab 2003, beschäftigt der Online-Datenschutz die Gerichte dieser Welt. Vor allem Social-Media-Plattformen, wie Facebook, Suchmaschinen, wie Google, oder Onlinehändler, wie Amazon, verwenden die Informationen ihrer Nutzer und Kunden zu Werbezwecken. Datenschutzbestimmungen sollen User schützen und die Speicherung sowie die Weitergabe von sensiblen Informationen einschränken. Da sich die Bestimmungen allerdings regional in Strenge und Handhabung sehr unterschiedlich darstellen, braucht es informelle Absprachen: zwischen der EU und den USA erfüllte diesen Zweck der Privacy Shield.

Internationaler Datenschutz – die unendliche Geschichte

Durch die Datenschutzrichtlinie 95/46/EG war es europäischen Unternehmen grundsätzlich verboten, personenbezogene Daten in Staaten zu transferieren, deren Richtlinien nicht denen der EU entsprechen – dazu gehören auch die USA. Um internationale Geschäftsbeziehungen zu vereinfachen, einigten sich die staatlichen Vertreter auf ein Abkommen namens Safe Harbor. Nachdem der Europäische Gerichtshof dies aufgrund mangelnder Datenschutzbestimmungen in den USA kippte, ließ eine Nachfolgevereinbarung nicht lange auf sich warten: Der EU-US-Privacy Shield trat 2016 unter vielen Kritikerstimmen in Kraft. Nun erklärte das EuGH-Urteil am 16. Juli 2020 auch die zweite informelle Absprache für ungültig.

Privacy Shield als Spionagehilfe

Als Gründe für die lange zuvor aufkeimende Kritik lassen sich die Enthüllungen von Whistleblower Edward Snowden über die Spionageaktivitäten der NSA nennen. Der ehemalige CIA-Mitarbeiter deckte auf, dass verschiedene US-Geheimdienste durch heimliche Nutzung von Überwachungssoftware wie PRISM unzählige private Daten durchforsten. Dies wirft alle Datenschutzbemühungen über Bord und geht sowohl gegen die Richtlinien des Safe Harbor als auch die des nachfolgenden Kompromisses Privacy Shield – so festgehalten im jetzt bekannten EuGH-Urteil. Für Kritiker stellt der Beschluss nach einem mehrjährigen Rechtsstreit eine absolute Notwendigkeit dar, da sich in Sachen Datenschutz keine Besserung im Vergleich zum Safe Harbor zeigte.

Privacy Shield mit dem Urteil gekippt: Was nun?

Direkte Auswirkungen hat das EuGH-Urteil lediglich auf das Transferieren von personenbezogenen Daten. Bei Unternehmen, die sich dabei ausschließlich auf die Legitimation durch den Privacy Shield verlassen haben, besteht nun Handlungsbedarf. Manche Übermittlung lässt sich allerdings durch Artikel 49 der Datenschutzgrundverordnung rechtfertigen und auch Standardvertragsklauseln können weiterhin als Grundlage eines legalen Datentransfers dienen. Diese stehen nach dem EuGH-Urteil aber nun ebenfalls unter Beobachtung. Es hängt also vom Einzelfall ab, ob das Datenschutzniveau im Empfängerland den neu aufgestellten Anforderungen genügt. Freiwillige Datenübertragungen, wie beispielsweise auf US-Webseiten gebuchte Events, bleiben auch ohne Privacy Shield weiterhin möglich.

Datenschutz auf die einfache Weise

Vollkommen unberührt von Entscheidungen, wie dem Privacy-Shield-Urteil, bleiben Unternehmen, die ihre Serverleistung nicht in andere Länder outsourcen. Die cobra Private Cloud steht beispielhaft für sicheren und von internationalen, politischen Entscheidungen unbeeinflussten Speicherplatz. Mit einem Rechenzentrum, dessen vollständige Kapazität in Deutschland liegt, lässt sich Datenschutz auf einfache Weise nach gültigem EU-Recht umsetzen. So bleiben sowohl die unternehmenseigenen Daten als auch die der Kunden geschützt und es besteht keine Abhängigkeit von Entscheidungen des Europäischen Gerichtshofs.