Der Europäische Gerichtshof hatte bereits am 6. Oktober 2015 festgestellt, dass eine Entscheidung, welche sich auf das "Safe-Harbor-Abkommen" stützt, ungültig ist. Heute hat nun der EuGH den Nachfolgepakt "Privacy-Shield" aufgehoben: Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäss der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ist ungültig.
Das Gericht bestimmt heute richtig, dass das Privacy-Shield-Abkommen keine genügende Erlaubnis darstellt, um Personendaten nach Übersee senden zu dürfen. Die Gefahr für unsere Daten bestehe darin, dass die US-Behörden aufgrund des US-Rechts - entgegen unserem Recht! - an unsere Daten gelangen.
Doch wie kam es dazu?
Im Jahre 2013 verlangte Herr Maximillian Schrems vom Datenschutzbeauftragten Irland, dass dieser der Unternehmung Facebook Ireland Ltd untersagen soll, personenbezogene Daten in die Vereinigten Staaten zu übermitteln. Die Datenschutzstelle Irland war der Ansicht, dass ja das Safe-Harbor-Abkommen bestehe, weshalb nicht geprüft werden müsse, ob in den Vereinigten Staaten ein angemessenes Datenschutzniveau bestehe. Bereits mit Urteil vom 6. Oktober 2015 gab dann aber der Europäische Gerichtshof (EuGH) dem Beschwerdeführer Recht:
- Das Safe-Harbor-Abkommen durfte ab sofort nicht mehr als Rechtsgrundlage für die Weitergabe von Personendaten nach US-Amerika gelten.
Eigentlich hätte nun das Problem, wonach in den Vereinigten Staaten wegen den Regierungseingriffen auf unsere Daten absolut kein angemessenes Datenschutzniveau besteht, angegangen werden müssen. So hätten sich die Vereinigten Staaten verbindlich verpflichten müssen, unser Recht zu beachten. Anstatt die Ursache zu beseitigen, wurde anschliessend aber nur ein neues Abkommen abgeschlossen (EU-US Privacy-Shield bzw. Swiss-U.S. Privacy-Shield).
Der EuGH hat heute betreffend dem damals geschlossenen Ersatzabkommen, dem EU-US Privacy-Shield, entschieden:
- dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleiste und
- dass die EU-DSGVO auch Anwendung finde, wenn Personendaten für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates an die (US-)Behörden gehen.
Es genügt also nicht, wenn sich ausländische Unternehmen zur Einhaltung des Datenschutzes verpflichten, da dann die Personendaten aufgrund ausländischem Recht dennoch an die ausländischen Regierungen gehen müssen. Die Datenschutz-Aufsichtsbehörden sind demnach verpflichtet, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, "wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können".
Das heutige Urteil sollte uns nun endlich die Augen öffnen! Behördendaten dürfen nie auf die Server von US-bezogenen Unternehmungen gelangen! Das gilt selbstverständlich nicht nur für die Vereinigten Staaten aufgrund des CLOUD-Acts, sondern auch für andere Auslandsbehörden mit ähnlichen Rechtserlassen.
Die entsprechende Urteil finden Sie hier.
(Stand: 16.07.2020)