Im Juli 2020 hat der Europäische Gerichtshof (EuGH) in der Entscheidung Schrems II das EU-US Privacy Shield für ungültig erklärt. Das EU-US Privacy Shield war der Rechtsrahmen für den transatlantischen Datentransfer.
Insbesondere stellte der EuGH fest, dass die US-Überwachungsbehörden weitreichende, gesetzlich gewährleistete Eingriffe in die Privatsphäre von EuropäerInnen vornehmen können und das Privacy Shield keine angemessenen Rechtsbehelfsmechanismen vorsah.
Mit der Ablehnung des Privacy Shield hat der EuGH deutlich gemacht, dass ein Datenübermittlungsabkommen zwischen der EU und den USA einer gerichtlichen Überprüfung kaum standhalten wird, solange die USA nicht den Umfang ihrer Überwachung einschränkt und/oder umgestaltet.
Seitdem stellt sich vor allem Zusammenhang mit Tracking Tools wie Google Analytics, aber auch mit anderen Services wie Cloud Anbietern, Mailing Versand, etc und Social Media Plattformen die Frage, wie bei transatlantischem Datentransfer nun weiter verfahren werden soll. Lange Zeit nahm man es als sicheren Weg an, das am häufigsten genutzte Analysetool Google Analytics über die IP-Adresse zu anonymisieren, um so aus dem Anwendungsbereich der DSGVO „herauszufallen“. Die österreichische Datenschutzbehörde vertritt aber die Ansicht, dass das Tool so viele Daten übermittle, dass die DSGVO anwendbar und eine Datenübermittlung nicht rechtskonform möglich sei.
Die Europäische Union und die USA haben letzte Woche bekannt gegeben, dass sie sich grundsätzlich auf einen neuen Rahmen für EU-US Datentransfer geeinigt hätten. Ein neues Abkommen auf Grundlage dieses Rahmen solle einen vorhersehbaren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA ermöglichen und dabei den Schutz der Privatsphäre und der bürgerlichen Freiheiten gewährleisten. Wie dies konkret ausgestaltet sein soll, insbesondere in Bezug auf die strengen Überwachungsgesetze der USA, wurde nicht erläutert.
Besonders pikant in diesem Zusammenhang ist, dass die Befugnisse der Überwachungsbehörden durch die Entscheidung des Obersten Gerichtshofs der USA (Supreme Court) kürzlich in der Rechtssache FBI gegen Fazaga weiter gestärkt wurden. Der Fall FBI gegen Fazaga geht auf eine FBI-Operation in den Jahren 2006 und 2007 zurück, bei der Agenten einen bezahlten Informanten in einige der größten Moscheen in Orange County, Kalifornien, schickten und ihn anwiesen, sich als Konvertit zum Islam auszugeben. Der FBI-Informant sammelte Namen, Telefonnummern und E-Mail-Adressen sowie Informationen über die religiösen und politischen Überzeugungen von zahlreichen muslimischen Amerikanern, die ihr verfassungsmäßiges Recht auf Religionsfreiheit ausübten.
Es bleibt abzuwarten, wann und welcher Rechtsrahmen den Datentransfer zwischen EU und USA regeln wird und ob eine solcher neuer Datentransfer zwischen EU und USA – wiederum – vom EuGH „gekippt“ werden wird. Bis auf weiteres besteht für die Praxis erhebliche Rechtsunsicherheit, da ein Datentransfer zwischen EU und USA kaum rechtskonform möglich ist.
[Link zu Schrems II: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:62018CJ0311&from=DE]
[Link zu DSB Entscheidung: Standarderledigung Bescheid (noyb.eu)]
[Lik zu Fazaga vs FBI: Fazaga v. FBI, No. 12-56867 (9th Cir. 2020) :: Justia]