Max Schrems | Bildquelle: REUTERS

EuGH kippt Datendeal mit USA Auf ganzer Linie Recht bekommen

Stand: 16.07.2020 13:20 Uhr

Der EuGH hat auf Betreiben des Datenschutzaktivisten Schrems erneut die Regeln für den Datentransfer in die USA gekippt. Sollten Unternehmen wie Facebook die neuen Vorgaben missachten, könnte es teuer für sie werden.

Von Gigi Deppe, ARD-Rechtsredaktion

Jetzt hat er ein zweites Mal erreicht, dass die EU die Grundlagen für Datentransfer neu überdenken muss: Der österreichische Datenschutzaktivist Max Schrems hat auf ganzer Linie vom obersten Gerichtshof der EU Recht bekommen. So wie es im Augenblick läuft, darf Facebook in Europa nicht mehr Daten der Kunden an die amerikanische Muttergesellschaft übermitteln.

Schrems hatte schon 2013 bei der irischen Datenschutzbehörde eine Beschwerde eingelegt: Seine Daten dürften nicht von Facebook in Europa an Facebook in den USA weitergeleitet werden, wo amerikanische Sicherheitsbehörden alles durchleuchten können. Die irische Datenschutzbehörde ist zuständig, weil Facebook Irland alle Daten von Nutzern in Europa sammelt und an die Muttergesellschaft in die USA weiterreicht.

EuGH kippt Datendeal zwischen USA und EU
tagesschau 14:00 Uhr, 16.07.2020, Claudia Kornmeier, SWR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Schrems schon 2015 erfolgreich

Daraufhin klagte Schrems in Irland. Die Klage wurde dem europäischen Gerichtshof (EuGH) in Luxemburg vorgelegt, und 2015 bekam er dort zum ersten Mal Recht: Der EuGH entschied damals, dass die bis dahin gültige Grundlage, die sogenannten Safe-Harbor- Regelungen, für die Übermittlung von Daten nicht ausreicht. Denn: Europäische Bürger könnten zum Beispiel ihre Daten in den USA nicht löschen oder korrigieren lassen.

Nach dem Urteil von 2015 arbeiteten die EU mit den USA ein Abkommen mit mehr Sicherungen aus, den sogenannten Privacy Shield. Aber auch dieses Abkommen reicht nicht aus, sagt jetzt der Europäische Gerichtshof in einer zweiten großen Entscheidung. Nach der europäischen Datenschutzgrundverordnung dürfen personenbezogene Daten in andere Länder nur weitergegeben werden, wenn die Informationen über Menschen dort genauso geschützt werden wie in Europa.

US-Ombudsstelle reicht nicht

Nach dem Abkommen gibt es zwar in den USA eine Ombudsstelle, an die sich betroffenen Bürgerinnen und Bürger wenden können, wenn sie meinen, dass ihre Daten nicht korrekt verwertet werden. Aber das, so die obersten EU-Richter, sei kein wasserdichter Schutz und nicht dasselbe wie die Möglichkeit, vor Gericht zu klagen. Das aktuelle Abkommen mit den USA ist also ab sofort ungültig.

Daneben musste der Gerichtshof auch noch die Frage klären: Genügt es vielleicht, wenn Facebook USA der Tochterfirma Facebook in Irland einfach per Vertrag zusichert, dass der europäische Datenschutz in den USA beachtet wird? Solche Standardvertragsklauseln hat die Kommission einmal entworfen, können also von den Unternehmen eingebaut werden in ihre Verträge. Der EuGH sagt jetzt: Ja, die Firmen können Datenschutz einfach auch nur in einem Vertrag vereinbaren. Aber: Wenn im Ausland nicht dasselbe Schutzniveau für Menschen aus Europa gewährleistet ist, dürfen und müssen die Datenschutzbehörden reingrätschen und die Datenübertragung verbieten.

Nicht alle Datentransfers verboten

Praktische Folge des EuGH-Urteils: Bestimmte notwendige Daten dürfen weiterhin in die USA übermittelt werden. Es ist zum Beispiel immer noch möglich, per Mail ein Hotel dort zu buchen. Aber Datenverarbeitung im großen Stil, die theoretisch genauso gut in Europa stattfinden könnte - dafür braucht es ein neues Abkommen. Und wenn die Firmen sich einfach auf die Verträge berufen, die sie miteinander abgeschlossen haben, müssen die Datenschutzbehörden sehr genau hinsehen und - solange Europäer in den USA kein Klagerecht haben - die Weitergabe im Zweifel stoppen.

Das heißt, die irische Datenschutzbehörde hat ab jetzt viel zu tun. Denn viele große Konzerne sitzen in Irland, und deren Datentransfers müssten unter die Lupe genommen werden. Bislang glänzte die Behörde durch Untätigkeit - gut möglich, dass sie die Anweisung hatte, die Konzerne im Land zu halten und nicht durch zu viel Kontrolle zu vergrätzen.

Es bleibt spannend, ob sie jetzt tatsächlich aktiv wird. Sollte sie den Anweisungen des EuGH nachkommen, könnte es für Facebook in Irland richtig teuer werden, falls sich das Unternehmen nicht an die Auflagen hält: Es müsste nach der Datenschutzgrundverordnung mit Geldstrafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes rechnen.

EuGH erklärt Datendeal zwischen USA und EU für ungültig
Gigi Deppe, SWR
16.07.2020 11:44 Uhr

Download der Audiodatei

Wir bieten dieses Audio in folgenden Formaten zum Download an:

Hinweis: Falls die Audiodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Über dieses Thema berichtete die tagesschau am 16. Juli 2020 um 14:00 Uhr.

Korrespondentin

Gigi Deppe | Bildquelle: SWR/Foto: Sandra Jacques Logo SWR

Gigi Deppe, SWR

Darstellung: