Von Experten wurde es bereits vorhergesagt, seit gestern ist es Fakt: Der Europäische Gerichtshof (EuGH) hat das bisher für den Datenverkehr zwischen Europa und den USA geltende Abkommen, den so genannten EU-US Privacy Shield, für ungültig erklärt. Er gab damit der Klage des österreichischen Datenschutzaktivisten Max Schrems Recht, der bereits seit mehreren Jahren gegen die Firma Facebook zu Felde zieht.
Begründung des EuGH: In den USA können die Unternehmen dazu verpflichtet werden, die – auch in Europa – generierten User-Daten US-Behörden wie der NSA oder dem FBI zur Verfügung zu stellen. Das sei aber mit dem geltenden EU-Datenschutz, insbesondere im Rahmen der DSGVO, nicht vereinbar. Der Rechtsschutz der europäischen Anwender könne nicht gewährleistet werden.
Auswirkungen hat diese Entscheidung nicht nur für Social Network-Anbieter wie Facebook, sondern natürlich auch für Cloud Computing Anbieter mit Sitz in den USA – und davon gibt es ja eine ganze Menge. Max Schrems geht selbst davon aus, dass 5000 Unternehmen mit Sitz in den USA direkt von vom EuGH-Urteil betroffen sind.
Wie üblich bei solch weitreichenden Entscheidungen ließen dann auch die ersten Statements nicht lange auf sich warten.
Max Schrems: “Ich bin sehr glücklich”
Wenig überraschend zeigt sich Max Schrems, der das Ganze ja erst ins Rollen gebracht hat, sehr zufrieden mit der Entscheidung. Er wird zitiert mit den Worten: “Ich bin sehr glücklich über das Urteil. Es scheint, dass der Gerichtshof uns in allen Aspekten gefolgt ist. Dies ist ein totaler Schlag für die irische Datenschutzbehörde DPC und Facebook. Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine wichtige Rolle auf dem EU-Markt spielen wollen.”
eco: Die Auswirkungen für Unternehmen und den internationalen Datenverkehr sind dramatisch
Weniger begeistert EuGH-Urteil reagierte der Branchenverband eco. eco Geschäftsführer Alexander Rabe erklärt: “Nach Safe Harbour wurde heute mit dem EU-US – Privacy Shield nun also auch das zweite internationale Abkommen für den Transfer personenbezogener Daten zu Drittstaaten kassiert und die Unternehmen werden so erneut mit großer Rechtsunsicherheit konfrontiert: Dieses Urteil hat fatale Folgen für die Internetwirtschaft und alle internationalen Geschäftsmodelle auf beiden Seiten des Atlantiks, die auf den Austausch von personenbezogenen Daten angewiesen sind.”
ownCloud begrüßt EuGH-Urteil
Und auch von Anbieterseite gibt es bereits erste Statements. Tobias Gerlinger, CEO und Managing Director von ownCloud, kommentiert das Urteil: „Der heutige Tag ist ein Sieg für den Datenschutz und ein großer Schritt hin zur digitalen Souveränität Europas. Der EuGH hat erkannt, dass das Datenschutzniveau in den USA bei weitem nicht den Vorgaben der DSGVO entspricht und das der EU-US Privacy Shield damit nichtig ist.“
gridscale: Datenschutzbestimmungen der USA sind nicht mit dem europäischen Datenschutzniveau vereinbar
In eine ähnliche Richtung argumentiert Henrik Hasenkamp, CEO des Kölner IaaS- und PaaS-Anbieters gridscale: “Der Entschluss die ‘Privacy Shield’ Verordnung für ungültig zu erklären, zeigt erneut, dass die Datenschutzbestimmungen der USA nicht mit dem europäischen Datenschutzniveau vereinbar sind. Der Umgang mit personenbezogenen Daten ist im europäischen Raum durch die Europäischen Datenschutz-Grundverordnung (DSGVO) besonders streng geregelt. Ebenfalls betroffen ist der Datentransfer in und aus der Cloud. Gerade jetzt ist es wichtig sich über die Risiken bei der Nutzung eines US-Cloud-Anbieters bewusst zu sein. Lokale Anbieter auf Basis der DSGVO stellen dabei sichere und spezialisierte Anwendungen zur Verfügung.”
TeamDrive: Support-Team aus dem Urlaub geholt
“Wer als Verantwortlicher in einem Unternehmen angesichts dieser unsicheren Rechtslage weiterhin personenbezogene Firmendaten bei einem US-Anbieter speichern lässt, muss sich unter Umständen grob fahrlässiges Verhalten vorwerfen lassen”, erklärt TeamDrive-Geschäftsführer Detlef Schmuck in einer ersten Reaktion auf das Urteil und formuliert etwas überspitzt: “Das EuGH-Urteil stellt die USA in Bezug auf den Datenschutz im Grunde auf eine Stufe mit sagen wir China, Nordkorea und Namibia.”
Schmuck hatte bereits im Vorfeld prognostiziert, dass das EuGH-Urteil so ausfällt. Er erklärt weiter „Wir haben das Urteil erwartet und daher unsere Supportkollegen aus dem Urlaub zurückgerufen.“ TeamDrive hat nämlich ein neues Migrationsprogramm gestartet für Unternehmen, die davon betroffen sind, dass der Europäische Gerichtshof (EuGH) das transatlantische Datenschutzabkommen EU-US Privacy Shield für ungültig erklärt hat.
Rechtsanwalt Christian Solmecke: Weitreichende Folgen für Unternehmen, die sich auf den Privacy Shield verlassen haben
Und was sagt ein Anwalt zum EuGH-Urteil? Rechtsanwalt Christian Solmecke, mit dem ich mich bereits im letzten Jahr im Cloud Computing Report Podcast unter anderem auch über die Schrems II-Thematik unterhalten hatte, erklärt in einer ersten Stellungnahme auf der Webseite seiner Kanzlei, dass das Urteil “eine volle Breitseite für Facebook und die irische Datenschutzbehörde (DPC)” sei und erklärt weiter: “Weitreichende Folgen hat das Urteil auch für Unternehmen, die sich bei der Übermittlung personenbezogener Daten bisher auf den Beschluss der EU-Kommission zum EU-US-Privacy-Shield verlassen haben.”
Was sagt eigentlich die „Gegenseite“?
Wie eine Google Recherche heute morgen (17.7.2020, 10.00 Uhr MESZ) ergab, gibt es derzeit anschreinend noch kein Statement von amerikanischer Seite (Verbänden, Unternehmen, Politik). Über die Gründe – Zeitverschiebung, blankes Entsetzen, Kopfschütteln, Desinteresse – kann derzeit nur spekuliert werden.
Wie würde wohl ein Trump-Tweet zum EuGH-Urteil lauten? Besser nicht darüber nachdenken und hoffen, dass es baldmöglichst eine Regelung gibt, die beiden Seiten – aber vor allem dem Datenschutz gerecht wird.
Update 27.7.2020: Keine Gnadenfrist durch EU-Datenschützer
Wie heise.de am vergangenen Freitag berichtete, hat der “Europäische Datenschutzausschuss (EDSA) [..]Antworten zu den wichtigsten Fragen zu den Konsequenzen aus dem Urteil des Europäischen Gerichtshofs (EuGH) zum Datentransfer in Länder außerhalb der EU (“Schrems II”) gefunden. Laut den Aufsichtsbehörden in der EU gebe es keine “Gnadenfrist” für Datenverarbeitungen auf Grundlage des vom EuGH für ungültig erklärten “Privacy Shield”.
Unternehmen, so EDSA laut heise.de weiter, die noch unter dem transatlantischen Datenschutzschild personenbezogene Informationen aus der EU in die USA übermitteln, müssten ihre Praktiken “ohne Verzögerung” umstellen, erläutert der Bundesdatenschutzbeauftragte Ulrich Kelber. Andernfalls drohen auf Basis der Datenschutz-Grundverordnung (DSGVO) saftige Sanktionen.
Die im heise.de Beitrag angekündigten EDSA FAQs zu den Standardvertragsklauseln stehen mittlerweile auf der EDSA Webseite zum Download zur Verfügung.