Die Weitergabe von Daten von Personen aus der Europäischen Union (EU) an Firmen in den USA muss neu geregelt werden. So lautet die Entscheidung des Europäischen Gerichtshofs (EuGH), die am am 16. Juli 2020 veröffentlicht wurde.
Bisher galt der Privacy Shield, ein Abkommen, das in letzter Instanz das US-amerikanische über das europäische Recht stellte. Dagegen geklagt hatte der österreichische Datenschutzaktivist Max Schrems. Schon 2015 hatte der EuGH seiner Klage gegen den Vorgänger des Abkommens ("Safe Harbor") stattgegeben.
Beide waren dazu gedacht, den Austausch personenbezogener Daten zwischen Firmen in der EU und in den USA zu erleichtern und gleichzeitig zu reglementieren. Die Regeln waren Datenschützer*innen wie Schrems aber nicht sicher genug.
Europäisches Recht fordert mehr
Laut der europäischen Datenschutz-Grundverordnung (DSGVO) dürfen personenbezogene Daten von EU-Bürger*innen aber nur dann an Unternehmen außerhalb der EU weitergegeben werden, wenn "das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet". Das sei mit dem bisherigen Abkommen nicht gegeben gewesen.
In der Vergangenheit konnten US-amerikanische Geheimdienste wie die NSA oder das FBI personenbezogene Daten von EU-Bürger*innen auswerten, ohne dass die betroffenen Personen dagegen Einspruch erheben konnten.
Das sind die Konsequenzen
Die Entscheidung ist ein Erfolg für den Schutz der Daten europäischer Bürger*innen. Sie kann zu einer langfristigen Stärkung transatlantischer Vereinbarungen gegenüber nationaler Datensammlung und -auswertung führen.
Kurzfristig dürfte sie vor allem Folgen für viele europäische Unternehmen haben. Sollten diese weiterhin Daten an US-amerikanische Firmen übertragen, müssten sie nun mit Geldstrafen rechnen.
Ungeklärt bleibt noch die Gültigkeit sogenannter Standardvertragsklauseln, in denen amerikanische Unternehmen ihren europäischen Partner*innen zusichern, dass übertragene Personendaten gut geschützt werden.
In einem solchen Fall trägt das europäische Unternehmen die Verantwortung dafür, dass im Drittland tatsächlich ein hohes Datenschutzniveau herrscht - was im Fall der USA laut EuGH-Urteil nicht gegeben ist.