Als Verantwortlicher für Automatisierung hat man mit zu schützenden Daten und Datenschutzthemen wie Verantwortungsbereichen, Verarbeitern, Auskunftspflichten, Datenschutzbeauftragten, Maßnahmen und diesbezüglichen Methoden zu tun. In den Lese- und Kursmaterialien zu diesem Thema kommt immer wieder eine Geschichte vor, die mit Österreich zu tun hat.
Welche Geschichte das ist, die dem David-gegen-Goliath-Mythos ähnelt, erzähle ich hier.

Es ist eine Geschichte, die von der EU und ihren Ländern angestoßen hätte werden sollen.
Jahrelang übertrugen US-Konzerne wie Facebook (Meta) die Daten europäischer Nutzer in die USA. Dort gelten Überwachungsgesetze, die Behörden wie der NSA oder dem FBI weitreichenden Zugriff erlauben, ohne dass es wirksame Rechte für EU-Bürger gibt.
Erst durch Max Schrems nahm die Sache Fahrt auf.

Warum ein Bürger aktiv wurde

Max Schrems, damals Jurastudent, stellte fest, dass diese Praxis dem europäischen Grundrecht auf Datenschutz widerspricht. Anstatt die EU-Kommission oder nationale Behörden einzuschalten, reichte er selbst eine Beschwerde ein, da die zuständigen Stellen zögerten, gegen große US-Konzerne vorzugehen.

Die EU schaute 20 Jahre lang praktisch zu, wie Daten in die Hände von US-Unternehmen und -Behörden gelangten.

Safe Harbour und Privacy Shield fallen

Man darf über die Namen schmunzeln!

Die irische Datenschutzbehörde wollte Facebook nicht stoppen und verwies auf das Abkommen „Safe Harbour“. Schrems klagte – und der Europäische Gerichtshof entschied 2015, dass Safe Harbour ungültig ist, da US-Überwachungsgesetze kein „angemessenes Schutzniveau“ bieten.

Im Prinzip wurde es mehr oder weniger umbenannt und als Privacy Shield verkauft. Vielleicht amüsiert Sie dieser Witz.

2020 kippte der EuGH auch dieses Abkommen. Der Kern des Problems ist, dass EU-Bürger in den USA keine ausreichenden Rechtsmittel gegen staatlichen Zugriff haben.

Der Konflikt

Solange US‑Gesetze Behörden unbegrenzten Zugang zu Daten gewähren, bleibt der transatlantische Datentransfer ein juristisches Risiko. Schrems hat nicht die EU ersetzt – er hat sie daran erinnert, ihre eigenen Grundrechte ernst zu nehmen. Es ist jedoch Aufgabe der EU, nicht nur Gurken zu prüfen und Gesetze über die Biegung von Gurken zu erlassen, sondern auch den Schutz ihrer Bürger zu gewährleisten.

“Die Überwachung durch die amerikanischen Behörden ist uferlos” (EuGH)

Seit vielen Jahren erlauben US‑Gesetze wie FISA 702 oder der CLOUD Act, dass:

• Geheimdienste auf Daten zugreifen können, die bei US‑Unternehmen gespeichert sind,
• auch wenn diese Daten von EU‑Bürgern stammen,
• auch wenn sie auf Servern außerhalb der USA liegen.

Das betrifft nicht nur Social‑Media‑Daten, sondern potenziell auch Kommunikation, Cloud‑Speicher und Metadaten.

Wünschen Sie Ihren Fotos und Nachrichten eine gute Reise – es wird schon gut gehen!

Referenzen

Das Schrems‑II‑Urteil des Europäischen Gerichtshofs und seine Bedeutung für Datentransfers in Drittländer
https://www.lfd.niedersachsen.de/startseite/themen/internationaler_datenverkehr/das_schrems_ii_urteil_des_eugh_und_seine_bedeutung_fur_datentransfers_in_drittlander/das-schrems-ii-urteil-des-europaischen-gerichtshofs-und-seine-bedeutung-fur-datentransfers-in-drittlander-194085.html

Datenübermittlungen in die USA und das Schrems‑II‑Urteil
https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Europa-Internationales/Auswirkungen-Schrems-II-Urteil.html

Schrems III – Was das neue Datenschutzabkommen für den Datentransfer in die USA bedeutet
(Beinhaltet Rückblick auf Schrems I & II sowie Hinweise zu US‑Behördenzugriff)
https://www.pjm-partner.de/post/schrems-iii-was-das-neue-datenschutzabkommen-f%C3%BCr-den-datentransfer-in-die-usa-bedeutet

Schrems II Urteil – Folgen für DSGVO‑Datentransfer
https://www.e-rechtsanwaelte.de/news/schrems-ii-urteil-folgen-fuer-dsgvo-datentransfer/

EuGH zu Schrems II: EU/US‑Privacy Shield ist unwirksam
https://datenschutz-generator.de/eugh-privacy-shield-unwirksam/