Genau ein Jahr ist es her, dass der Europäische Gerichtshof den sogenannten EU-US-Privacy Shield (auch EU-US-Datenschutzschild) für ungültig erklärte. Die Absprache war 2016 ausgehandelt worden und diente als Grundlage für den kommerziellen Datenaustausch personenbezogener Informationen zwischen der Europäischen Union und den USA.
Die Richter des EuGHs begründeten ihre Entscheidung damit, dass US-Geheimdienste praktisch ungehemmt auf Daten von EU-Bürgern zugreifen könnten und der Datenschutz somit nicht gewährleistet sei. Grundsätzlich hielt der Europäische Gerichtshof fest, dass das Datenschutzniveau in den USA nicht gleichrangig sei mit dem in der EU und die Vereinbarung deswegen nichtig sei.
Das Gericht entschied außerdem, dass der Datenaustausch mit Nicht-EU-Ländern insgesamt auf Basis der "Standardvertragsklauseln" zwar rechtens sei, aber im Einzelfall geprüft werden müsse. Konkret hatte das Urteil zur Folge, dass US-Tech-Konzerne wie etwa Facebook personalisierte Daten von EU-Bürgern nicht mehr in die Vereinigten Staaten exportieren und dort speichern dürfen. Gleiches gilt natürlich auch andersherum.
Die Realität sieht aber anders aus, denn wie eine Studie des Think Tanks „Centrum für Europäische Politik“ im Januar dieses Jahres zeigte, übermitteln zahlreiche Unternehmen nach wie vor illegal personalisierte Informationen in die USA und berufen sich hier oft auf die Standardvertragsklauseln, deren Nutzung grundsätzlich erlaubt bleibt.
Das cep argumentiert aber, dass Datentransfers in die USA nicht auf diesen oder zum Beispiel auf unternehmensinternen Datenschutzregelungen basieren dürfen, wenn die dortigen Datenempfänger den problematischen US-Gesetzen zur Überwachung unterliegen und Zugriff auf die Dateninhalte im Klartext haben.
Die Denkfabrik merkt an, dass in solchen Fällen zusätzliche Datenschutzmaßnahmen Zugriffe von US-Behörden faktisch nicht verhindern können. Besonders Transfers im Rahmen von Cloud-Diensten werden hier als rechtswidrig genannt. Sie sollten laut cep vom Datenexporteur selbst oder von Aufsichtsbehörden gestoppt werden.
Vor knapp einem Monat stellte die EU-Kommission neue Standardvertragsklauseln vor, um die Rechtssicherheit für europäische Unternehmen zu erhöhen, die Daten in die USA schicken. Als langfristige Lösung sei laut Justizkommissar Didier Reynders aber ein neues Datenschutzabkommen mit den USA geplant.
Auch wenn derzeit in einigen Punkten noch Rechtsunsicherheit besteht, war das Urteil vor einem Jahr ein wichtiger Schritt in Sachen Datenschutz in Europa und ein deutliches Signal für die Stärkung europäischer Datensouveränität. Nicht zuletzt bietet es einen weiteren Anreiz für die USA, von datenschutzfeindlichen Gesetzen Abstand zu nehmen und das Thema langfristig auch in seiner Gesetzgebung zu verankern.
Ein weiterer Grund, warum sich dies lohnt, ist die Tatsache, dass Unternehmen und Nutzer hier immer mehr sensibilisiert werden und Kaufentscheidungen oft davon abhängen, wie sehr Kunden einem Anbieter in Sachen Datenschutz vertrauen. Die aktuelle Pandemie und die Gegebenheit, dass das „New Normal“ in der Arbeitswelt längst Realität ist, verdeutlicht noch einmal die Dringlichkeit der Themen Datenschutz und IT-Sicherheit.
Dies gilt für Unternehmen genauso wie für Privatnutzer. Es bleibt zu hoffen, dass das neue Abkommen die Rolle Europas im Kampf für mehr Transparenz und Datensouveränität für alle Nutzer stärken kann und seine Vorreiterrolle hier ausbauen kann.