Zum Hauptinhalt springen

EU-Gericht kippt Datenschutzvereinbarung mit den USAEU-Urteil gefährdet Äquivalenz des Schweizer Datenschutzgesetzes

Der Europäische Gerichtshof annulliert die Datenschutzvereinbarung zwischen der EU und den USA, was auch die Hürde für die Äquivalenzerklärung für die Schweiz erhöhen dürfte.

Schlappe für EU-Kommissionsvizepräsidentin Vera Jourova  im Streit um die Datenschutzvereinbarung mit den USA.
Schlappe für EU-Kommissionsvizepräsidentin Vera Jourova im Streit um die Datenschutzvereinbarung mit den USA.
Foto: EPA

Den Entscheid zum Datenschutzniveau in der Schweiz hat die EU-Kommission im Juni nicht ohne Grund verschoben. Brüssel wollte vor dem Äquivalenzbeschluss das Urteil des Europäischen Gerichtshofs zur Datenschutzvereinbarung mit den USA abwarten. Nun ist das Urteil der Richter in Luxemburg zum sogenannten Privacy Shield da, und es ist ein Paukenschlag, mit Auswirkungen auch für die Schweiz.

Die EU-Kommission wird jetzt die Gründe für die Niederlage vor dem EuGH studieren müssen. Es ist eine doppelte Schmach, denn die Richter in Luxemburg kippen nun zum zweiten Mal eine Äquivalenzvereinbarung über den Datenschutz mit den USA, weil sie dort die Rechte der Europäer nicht gewahrt sehen. Für die Schweiz heisst das zuerst einmal, dass es wohl mit dem Angemessenheitsbeschluss aus Brüssel länger dauern wird als geplant.

Mehr Zeit für die Schweiz, aber höhere Hürden

Das ist nicht unbedingt schlecht, weil die Beratungen im Parlament über das neue Datenschutzgesetz noch nicht abgeschlossen sind und die Inkraftsetzung möglicherweise noch durch ein Referendum weiter verzögert wird. Die Schweiz ist hier beim autonomen Nachvollzug ohnehin spät dran. Die EU hat mit der neuen Datenschutzverordnung (GDPR) schon vor zwei Jahren einen Standard gesetzt, während in der Schweiz noch immer ein Gesetz aus dem Steinzeitalter des Internets gilt, von Anfang der 90er-Jahre.

Die schlechte Nachricht ist allerdings, dass die EU-Kommission nun genauer hinschauen wird, ob der Schweizer Datenschutz wirklich dem Standard der europäischen Datenschutzverordnung gerecht wird oder nicht. Die Richter am EuGH machen jedenfalls deutlich, dass sie die Standards für EU-Bürger auch ausserhalb der Union gewahrt sehen wollen. Und hier gab es schon im Vorfeld des Urteils vom Donnerstag mit Blick auf die Schweiz gewisse Vorbehalte. Die Schweiz bleibe mit ihrem «Swiss finish» beim automatischen Nachvollzug hinter dem EU-Datenschutzgesetz zurück, heisst es in EU-Kreisen.

Schwache Datenschutzbehörde

Zum Beispiel mit Blick auf Unabhängigkeit und Machtbefugnisse des Datenschutzbeauftragten. In der EU können nationale Datenschutzbehörden bei Verstössen selber Sanktionen verhängen und nicht nur Gerichte, wie in der Schweiz vorgesehen. Die Behörden können nicht nur Privatpersonen oder Führungskräfte eines Unternehmens, sondern auch Konzerne haftbar machen beziehungsweise büssen. Die vorgesehenen Bussgelder sind in der Schweiz zudem deutlich bescheidener. Maximal möglich sind 250’000 Franken, während Datenschutzbehörden in der EU Strafgelder bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes eines Unternehmens verhängen können.

Auslöser für den Entscheid des EuGH gegen die Datenschutzvereinbarung mit den USA ist eine Klage des österreichischen Juristen Max Schrems, der mit einer Beschwerde 2015 auch schon «Safe Harbour» zu Fall gebracht hat, eine frühere Grundlage für den transatlantischen Datentransfer. Der Datenschutzaktivist hatte auch jetzt wieder beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Facebook sei aber in den USA dazu verpflichtet, US-Behörden wie der NSA und dem FBI Daten vollumfänglich zugänglich zu machen, ohne dass Betroffene dagegen vorgehen könnten.

Zugriff der Geheimdienste

Anforderungen an den Datenschutz und der Rechtsschutz seien für betroffene Europäer nicht gewährleistet, entschieden die Richter am EuGH. Sie beanstanden unter anderem den automatischen Zugriff der Sicherheitsbehörden auf den Datenfluss und die mangelnde Unabhängigkeit der Ombudsbehörde, die von den USA nach der ersten Schlappe vor dem EuGH als Zugeständnis eingerichtet worden war.

Vera Jourova, Vizepräsidentin der EU-Kommission, kündigte an, im Gespräch mit den USA nun rasch eine neue Grundlage für den transatlantischen Datentransfer aushandeln zu wollen. Bis es so weit ist, müssen Facebook und Co. auf die sogenannten Standardvertragsklauseln ausweichen, die aufwendiger und von jedem Unternehmen separat ausverhandelt werden müssen. Die Schweiz hat es da einfacher. Der bisherige Angemessenheitsbeschluss, den die EU noch für das alte Datenschutzgesetz gewährt hatte, gilt weiter. Zumindest solange die EU-Kommission diese Äquivalenz nicht widerruft.

Der Datenschutzaktivist Max Schrems hat zum zweiten Mal erfolgreich gegen den Datentransfer von Facebook Irland in die USA geklagt.
Der Datenschutzaktivist Max Schrems hat zum zweiten Mal erfolgreich gegen den Datentransfer von Facebook Irland in die USA geklagt.
Foto: Hans Punz (APA)
18 Kommentare
    Sven Steuer

    Wie schon bei den Waffen brauchen die Schweizer Bürger mal wieder die Hilfe der EU um geschützt zu werden. Wir haben schon seltsame Volksvertreter.