Gutachter: EuGH muss Regeln für Datenexport nicht umkrempeln

Laut einem Generalanwalt des EuGH sind die Standardvertragsklauseln, nach denen etwa Facebook Daten europäischer Nutzer außerhalb Europas verarbeiten lässt, gültig.

Um die Übermittlung von Daten europäischer Nutzer von Online-Diensten in die USA gibt es schon lange Streit. Jetzt zeichnet sich ab, dass heutige Regeln in Kraft bleiben dürften - aber die Firmen und Behörden die Datensicherheit bewerten müssen.

Luxemburg (dpa) - Die aktuellen Regeln für Datentransfers aus Europa vor allem in die USA haben gute Chancen, eine Überprüfung durch den Europäischen Gerichtshof zu bestehen.

Ein Generalanwalt des EuGH stellte in seinem Gutachten fest, dass die Standardvertragsklauseln, nach denen unter anderem Facebook Daten europäischer Nutzer außerhalb Europas verarbeiten lässt, gültig seien.

Allerdings betonte Generalanwalt Henrik Saugmandsgaard Øe auch, dass die Verantwortlichen für die Datenverarbeitung und die Kontrollbehörden verpflichtet seien, die Übermittlung zu stoppen, wenn die Datenschutz-Vorgaben nicht eingehalten werden.

«Jedes Unternehmen soll nach dem Generalanwalt selbst prüfen, ob der Empfänger zum Beispiel in den USA diese Pflichten auch wirklich einhalten kann», erläuterte der Datenschutz- und IT-Rechtsexperte Stefan Schuppert von der Wirtschaftskanzlei Hogan Lovells die Position des Gutachters. «Wenn ein Unternehmen falsch entscheidet und die Daten in ein «unsicheres» Land gehen, dann soll die Aufsichtsbehörde einschreiten und die Datenübermittlung aussetzen.»

Folge das Gericht der Einschätzung des Gutachters, liege die nächste Entscheidung bei den Unternehmen und schlussendlich bei dem Europäischen Datenschutzausschuss, sagte Schuppert. «Dieser wird vorgeben, ob die USA als sicher anzusehen sind.»

Bei den 2010 eingeführten Standardvertragsklauseln geht es im Kern um Garantien dafür, dass es angemessenen Schutz für Daten europäischer Bürger nach der Übermittlung ins Ausland gibt.

Beim sogenannten Datenschutz-Schild, das die vom EuGH gekippte «Safe-Harbor»-Regelung ersetzt, sieht Generalanwalt Saugmandsgaard Øe zwar einige Probleme. Er betonte aber zugleich, dass der Gerichtshof zur Klärung des aktuellen Verfahrens nicht über die Gültigkeit des Datenschutzschild-Beschlusses entscheiden müsse.

Das Gericht ist nicht an die Schlussfolgerungen seiner Generalanwälte gebunden, folgt ihnen aber in den meisten Fällen. Das Verfahren war vom österreichischen Datenschutz-Aktivisten Max Schrems angestoßen worden, auf dessen Betreiben schon die «Safe-Harbor»-Regelung gefallen war.

Der EU-US-Datenschutzschild war im Sommer 2016 in Kraft getreten und legt Standards für den Umgang mit europäischen Informationen in den USA fest. Es legt auch Voraussetzungen für die Weiterleitung von Daten aus den USA in andere Staaten fest. Die Vorgängerregelung «Safe Harbor» war vom EuGH gekippt worden, weil sie die Daten europäischer Bürger nicht ausreichend vor dem Zugriff von US-Behörden geschützt habe. Für diese Einschätzung spielten auch die Enthüllungen des Whistleblowers Edward Snowden zur ausufernden Internet-Überwachung durch US-Geheimdienste eine wichtige Rolle. Aus Sicht von Schrems reichen auch die Regelungen im Datenschutzschild nicht aus.

Der Datenschützer wartet nun darauf, ob der EuGH in seinem Urteil eventuell doch noch auch den Datenschutzschild überprüft. Facebook betonte die Wichtigkeit der Standardvertragsklauseln und begrüßte das Gutachten.