Eigentlich sollte er für Rechtssicherheit sorgen und Unternehmen die problemlose Nutzung US-amerikanischer Cloud-Dienste ermöglichen: der EU-US Privacy Shield. Die im Jahr 2016 ausgehandelte Datenschutzvereinbarung zwischen der Europäischen Union und den USA regelte, wie Unternehmen in Übersee die Daten von Deutschen und anderen EU-Bürgern verarbeiten dürfen. Der Privatsphäre-Schutzschirm sollte sicherstellen, dass für Daten von EU-Bürgern in den Vereinigten Staaten ein ähnliches Schutzniveau gilt wie in der Europäischen Union.

Der Europäische Gerichtshof (EuGH) hat den EU-US Privacy Shield nun aber für ungültig erklärt: Laut den Luxemburger Richtern erfüllt das Übereinkommen nicht die Anforderungen an einen dem Recht der EU gleichwertigen Datenschutz. Das Urteil hinterlässt eine juristische Lücke - und viele Unternehmen in der EU bleiben ratlos zurück. Denn die Nutzung US-amerikanischer Dienstleister gehört in vielen Bereichen zum Standard.

Der Privacy Shield regelte bislang den Umgang mit personenbezogenen Daten, also etwa Nutzerinformationen, wie sie soziale Netzwerke sammeln. Personenbezogene Daten können Namen oder IP-Adressen von Nutzern sein. Rund 5000 Unternehmen berufen sich momentan bei ihren Datenübertragungen in die USA auf den Privacy Shield. So ermöglichte das Datenschutzübereinkommen zum Beispiel, dass Firmen Daten zwischen mehreren Standorten und Rechen­zen­tren austauschen können.

In den USA dürfen nicht nur Unternehmen ihre gespeicherten Daten nutzen - auch die Behörden behalten sich das Recht vor, jederzeit darauf zuzugreifen. So sind Unternehmen verpflichtet, Geheimdiensten und Behörden wie der NSA oder dem FBI Zugriff auf die Daten ausländischer Nutzer zu gewähren. Da die US-Behörden den Erfordernissen der nationalen Sicherheit und der Einhaltung des amerikanischen Rechts stets Vorrang einräumen, ermöglicht dies laut EuGH einen Eingriff in die Grundrechte der Personen, deren Daten in die Vereinigten Staaten übermittelt werden.

Die Entscheidung über den Privacy Shield ist das Ergebnis eines jahrelangen Rechtsstreits zwischen dem österreichischen Datenschützer Max Schrems und dem sozialen Netzwerk Facebook. Schrems hatte sich schon 2013 bei der irischen Datenschutzbehörde darüber beschwert, dass Facebook Nutzerdaten in den USA verarbeitet. Als Begründung führte er an, dass die US-Gesetze keinen ausreichenden Schutz für Nutzerdaten bieten. Nachdem der EuGH bereits 2015 den sogenannten Safe-Harbor-Beschluss, den Vorgänger des Privacy Shield, für ungültig erklärt hatte, kippte er nun Mitte Juli auch den Privacy Shield.

Auch weiterhin dürfen Unternehmen in den USA Daten aus Europa verarbeiten. So gibt es Fälle, in denen das auch gar nicht anders möglich ist, zum Beispiel wenn man eine E-Mail in die USA versendet oder wenn man in einem US-Online-Shop einkauft. Geht es jedoch um pesonenbezogene Daten von EU-Unternehmen, die diese in den USA verarbeiten, dann besteht für die Unternehmen Handlungsbedarf, wenn sie sich bislang auf die Regelungen des Privacy Shield beriefen.

Als Alternative zum Privacy Shield können Unternehmen auch die sogenannten Standardvertragsklauseln (Standard Contractual Clauses, SCCs) nutzen. Der Europäische Gerichtshof hat in seinem Urteil über den Privacy Shield die Möglichkeit offen gelassen, über die SCCs Daten mit den USA auszutauschen.

Es handelt sich bei den SSCs um standar­disierte Vertragsklauseln, die in Verein­barungen zwischen Unternehmen und Dienstleistern Anwendung finden und sicherstellen sollen, dass personenbezogene Daten, die die EU verlassen, unter Einhaltung der europäischen Datenschutzgesetze übertragen und verarbeitet werden. Die Standardvertragsklauseln wurden von der Europäischen Kommission verabschiedet und enthalten Regelungen, die ihrer Einschätzung nach angemessene Garantien bei der Übermittlung personenbezogener Daten in Drittländer gewährleisten.

Der Europäische Gerichtshof hebt in seinem Privacy-Shield-Urteil jedoch hervor, dass bei Nutzung der Standardvertragsklauseln sowohl vom Datenexporteur als auch vom Empfänger der Daten vorab zu prüfen ist, ob das erforderliche Schutzniveau im betreffenden Drittland außerhalb der Europäischen Union eingehalten wird. Der Empfänger der Daten hat dem Datenexporteur gegebenenfalls mitzuteilen, dass er die Standardvertragsklauseln nicht einhalten kann - woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.

Durch das Urteil haben die USA ihre Sonderstellung in Sachen Datenverarbeitung verloren - die Übermittlung personenbezogener Daten nach Übersee muss nun genauso akribisch geprüft werden wie bei anderen Drittländern außerhalb der Europäischen Union. Unternehmen, die bei der Datenübermittlung in die Vereinigten Staaten bislang auf den Privacy Shield setzten, sollten schnellstmöglich ihre Verträge mit Dienstleistern überarbeiten und auf die Standardvertragsklauseln umstellen. Es ist davon auszugehen, dass die Datenschutzbehörden eine gewisse Schonfrist gewähren und Unternehmen etwas Zeit geben, entsprechend zu handeln - und von Strafen erst einmal absehen, wenn man sich noch auf den Privacy Shield beruft.

Ob sich die EU und die USA zusammensetzen und es nach Safe Harbor und Privacy Shield mit einem dritten Übereinkommen probieren, ist unklar. Aber selbst wenn - bis es so weit ist, dürften Jahre vergehen. Aus wirtschaftlichen Gründen haben beide Seiten zwar sicher großes Interesse an einem solchen Abkommen, fraglich ist aber, ob die USA auf das Recht verzichten, auf Nutzerdaten aus der alten Welt zugreifen zu können.