Der EuGH hat gerade zum zweiten Mal eine EU-US-Datenschutzvereinbarung, das sogenannte Privacy Shield, wegen erwiesener Unwirksamkeit gekippt. Das wird er wohl noch öfter tun müssen, befürchtet Chefredakteur Jörg Luther.

Sehr geehrte Leserinnen und Leser,

es heißt Schrems-II-Urteil, nach dem österreichischen Juristen und Datenschutzaktivisten Max Schrems, der das Verfahren angestrengt hatte: Am 16. Juli 2020 kippte der Europäische Gerichtshof (EuGH) das sogenannte EU-US Privacy Shield [1], mit dem die Europäische Kommission seit dem Juli 2016 versuchte, die Übermittlung personenbezogener Daten aus EU-Mitgliedsstaaten in die USA zu legalisieren [2].

Pikant daran ist nicht zuletzt die Nummerierung: Der EuGH hatte schon im Oktober 2015 den Vorläufer von Privacy Shield als ungültig erklärt, die sogenannte Safe-Harbor-Entscheidung [3] – ebenfalls auf eine Klage von Max Schrems hin. Dass der höchste europäische Gerichtshof nun auch den Nachfolger kassiert, nimmt wenig Wunder: Beim Privacy Shield handelt es sich schlicht um eine umetikettierte Variante von Safe Harbor [4]. Rein gar nichts ist “safe”, und die Privacy bleibt auf der Strecke, weil nach wie vor US-Geheimdienste nach Belieben Zugriff auf die übermittelten personenbezogenen Daten nehmen können.

Bedeutet das Urteil nun, dass die EU-Kommission im Sinn der DSGVO endlich dafür Sorge tragen wird, die Daten der europäischen Bürger vor dem unkontrollierten Zugriff durch US-Behörden zu schützen? Mitnichten – und ich befürchte, ich werde auch noch Editorials über die Urteile Schrems-III, -IV und -V schreiben. Die Wurzel des Übels liegt nämlich in eben jener DSGVO, die angeblich für den Schutz unserer Privatsphäre sorgen soll.

Der Artikel 45 [5] der Verordnung besagt, dass die EU-Kommission schlicht per Dekret bestimmt, ob “ein Drittland oder eine internationale Organisation” ein “angemessenes Schutzniveau” für die personenbezogenen Daten von EU-Bürgern bietet. Dabei liegt nach Absatz 2 eine “Angemessenheit des gebotenen Schutzniveaus” bereits vor, wenn es sich beim Empfänger der Daten nicht gerade um eine völkermordende Diktatur handelt und er zusichert, mit den Daten schon nichts Schlimmes anzustellen.

OK, etwas salopp formuliert, aber das sind exakt die Kriterien, auf denen auch schon Safe Harbor und Privacy Shield fußten und die der EuGH bereits zwei Mal für unzureichend erklärt hat. Das wird er wohl auch noch ein drittes, viertes, fünftes Mal tun müssen – so lange, bis die Abgeordneten des EU-Parlaments diesen offensichtlichen Unfug endlich abstellen. Dass sie das schnell tun, darf man getrost bezweifeln; schließlich haben sie die DSGVO Anfang 2016 mit eben diesem Wischiwaschi-Passus durchgewinkt.

Auf Safe Harbor und Privacy Shield wird also unvermeidlich der nächste schale Aufguss desselben Mauschelabkommens folgen. Mal sehen, welchen schicken Namen er diesmal trägt. Privacy Storm?

Herzliche Grüße,

Jörg Luther

Chefredakteur