Dürfen Unternehmen weiterhin personenbezogene Daten von Nutzern, Verbrauchern oder Arbeitnehmern in die USA senden? Der Europäische Gerichtshof hat die EU-US-Datenschutzvereinbarung "Privacy Shield" gekippt. Damit ist die Datenübertragung persönlicher Daten von der EU in die USA in vielen Fällen illegal.

Allerdings können Nutzerdaten von EU-Bürgern weiterhin auf Basis sogenannter Standardvertragsklauseln in die USA und andere Staaten übertragen werden, wie die Luxemburger Richter entschieden.

Ins Rollen gebracht wurde der Fall durch den österreichischen Datenschutzaktivisten Max Schrems, nach dessen Klage der Europäische Gerichtshof 2015 bereits das transnationale Safe-Harbor-Abkommen zwischen der EU und den USA kassiert hatte.

Das Urteil könnte gravierende Folgen für die globale Wirtschaft haben. E-Mails oder Hotel-Buchungen von Privatpersonen dürften von dem Urteil nicht betroffen sein. Im Fokus stehen "Electronic Communication Service Provider", also Service-Anbieter wie Facebook, Google, Microsoft, Apple und Yahoo.

Übertragen Unternehmen nun weiter unter den Privacy-Shield-Regeln Daten, könnte es Bussgelder nach der Datenschutzgrundverordnung (DSGVO) geben. Welche Alternativlösungen es für internationale Datentransfers gibt, ist noch völlig unklar. Die EU-Kommission müsste möglichst schnell Alternativen ausarbeiten. Wie es aus der Brüsseler Behörde heisst, ist man dort auf verschiedene Szenarien vorbereitet.

Derzeit geschieht der Datenaustausch meist auf Grundlage sogenannter Standardvertragsklauseln, die im Kern Garantien dafür bieten, dass es bei der Übermittlung ins Ausland angemessenen Schutz für die Daten von EU-Bürgern gibt. In einigen Fällen legt auch der EU-US- Datenschutz-Schild ("Privacy Shield") Standards für den Umgang mit europäischen Informationen in den USA fest. Die Standardvertragsklauseln sind aber gebräuchlicher. Datenschützer Schrems hatte es vor allem auf Facebook abgesehen.

Max Schrems kämpft seit Jahren für einen stärkeren Datenschutz in Europa - und gegen Facebook. Nach den ersten Anfragen bei Facebook und der irischen Datenschutzbehörde seien die Antworten so surreal gewesen, dass er immer habe weitermachen müssen, sagt er.

Auf sein Betreiben kippte der EuGH 2015 bereits die Safe-Harbor-Regelung. Als Nachfolgeregelung hatte die EU-Kommission mit den US-Behörden schliesslich den Datenschutz-Schild ausgehandelt, der nun erneut infrage steht. Er gründete auch den Datenschutz-Verein Noyb, der auf Grundlage der seit 2018 gültigen EU-Datenschutzgrundverordnung bereits Anzeigen gegen Google und Facebook auf den Weg brachte.

Schrems hat bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet, obwohl diese dort nicht angemessen gegen Ausspähaktionen gesichert seien. Er begründet das damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI Zugang zu den Daten zu gewähren - ohne dass Betroffene dagegen vorgehen können.

Der irische High Court rief schliesslich den EuGH an und wollte wissen, ob Standardvertragsklauseln und Datenschutz-Schild mit dem europäischen Datenschutzniveau vereinbar sind.

Schrems orientiert sich an den Enthüllungen von Edward Snowden. Der US-Whistleblower hatte 2013 dokumentiert, dass US-Geheimdienste wie die NSA und andere Behörden auf Server von US-Konzernen wie Facebook und Google zugreifen können.

Auf den von Snowden enthüllten Folien werden namentlich Microsoft (auch mit Skype), Google (auch mit Youtube), Facebook, Yahoo, Apple, AOL und Paltalk erwähnt. Amazon steht nicht auf den Folien zum Überwachungsprogramm Prism.