Max Schrems lässt auch Privacy-Shield-Abkommen beim EuGH durchfallen – Dr. Hasse: Keine Überraschung, leider.

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit vom 16.07.2020

Nicht unerwartet hat der Europäische Gerichtshof heute das Privacy-Shield Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika (USA) gekippt.

Im zu entscheidenden Verfahren, das der Österreicher Max Schrems gegen die Übermittlung von personenbezogenen Daten durch Facebook Ireland in die USA eingeleitet hatte, ging es zunächst um die Rechtmäßigkeit der so genannten Standardvertragsklauseln. Diese bilden – neben den Privacy-Shield-Abkommen – eine weitere Rechtsgrundlage für die Datenübermittlung in die USA und können nach dem heutigen Urteilsspruch des EuGH unter bestimmten Voraussetzungen auch weiterhin zur Anwendung kommen.

Thüringens Datenschutzbeauftragter Dr. Lutz Hasse begrüßt zum einen die ausdrückliche Feststellung im EuGH-Urteil, dass der Einsatz von US-Programmen zur Überwachung des Datenverkehrs nicht auf das zwingend erforderliche Maß beschränkt sei. „Daraus leitet der EuGH zutreffend die fehlende Verhältnismäßigkeit ab, die mit dem Datenschutzrecht der EU nicht vereinbar ist“, so der Thüringer Datenschutzbeauftragte.

Für Dr. Hasse ist es zum anderen auch kein Wunder, dass der EuGH das Privacy-Shield-Abkommen für ungültig erklärt hat: „Gerade der so genannte Ombudsmechanismus, also das Verfahren, wie sich eine betroffene Person an die Ombudsperson (eine Art Datenschutzbeauftragter in den USA) wenden kann, um überprüfen zu lassen, ob ihre Daten rechtmäßig verarbeitet wurden, war immer wieder Gegenstand der Kritik von Datenschützern. Ich bin dem EuGH für seine klare Feststellung dankbar, dass dieser Ombudsmechanismus nicht die EU-Rechtsschutzgarantien erfüllt“, so der Thüringer Datenschützer. Der EuGH hat in seinem Urteil sowohl die fehlende Unabhängigkeit als auch die unzureichenden Kontrollbefugnisse der Ombudsperson bemängelt.

Fraglich bleibt für Dr. Hasse aber, wie die weiterhin anwendbaren Standardvertragsklauseln der EU künftig mit „Leben erfüllt“ werden sollen. Diese Klauseln sollen die Garantien dafür bieten, dass es bei der Daten-Übermittlung aus der EU ins Ausland angemessenen Schutz für die personenbezogenen Daten von EU-Bürgern gibt.

„Wenn der EuGH nun hervorhebt, dass die Schutzmechanismen der Standardvertragsklauseln und ihre Einhaltung vom Datenexporteur und dem Datenempfänger vor der Übermittlung geprüft werden müssen, dann weiß ich nicht, wie im Fall der Datenübermittlung in die USA hier ein EU-datenschutzkonformes Prüfergebnis zu Stande kommen soll. Bei der Beantwortung dieser Frage sind nach dem Urteil des EuGHs nun auch die europäischen Datenschutzaufsichtsbehörden verstärkt in der Pflicht“, so der Thüringer Datenschutzbeauftragte.

Die Pressemitteilungen des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.