Brüssel, Luxemburg (epd). Der Datenschutz europäischer Facebook-Nutzer ist nach einem Urteil des Europäischen Gerichtshofs (EuGH) durch die sogenannte Privacy-Shield-Vereinbarung zwischen der EU und den USA nicht ausreichend gewährleistet. Die US-Behörden haben dem am Donnerstag in Luxemburg verkündeten Urteil zufolge zu weitgehende Zugriffsrechte auf Daten der Nutzer von Facebook und anderer Verbraucher. Ausgangspunkt des Verfahrens ist der österreichische Aktivist Max Schrems. (AZ: C-311/18)

Schrems ist seit über zehn Jahren Nutzer von Facebook. Daten von ihm werden, wie der EuGH erläuterte, so wie Daten anderer Nutzer des sozialen Netzwerks über die Facebook-Niederlassung in Irland in die USA geleitet. Dort haben US-Behörden darauf Zugriff.

Eine Abmachung zwischen den USA und der EU, der Privacy-Shield oder Datenschutzschild, soll dabei den Schutz der europäischen Daten auf Facebook und anderen Diensten gewährleisten. Zuvor hatte es bereits eine andere Regelung gegeben (Safe-Harbour) und daneben existiert ein EU-Beschluss über sogenannte Standardsvertragsklauseln, der ebenfalls den Datenschutz sicherstellen soll. Grundlage des EU-Datenschutzes ist die Datenschutz-Grundverordnung (DSGVO) von 2016.

Schrems hatte in Irland zunächst mit Blick auf die Safe-Harbour-Regelung beziehungsweise die Standardvertragsklauseln versucht, die Übermittlung seiner Facebook-Daten in die USA verbieten zu lassen. Er machte laut EuGH geltend, das Recht und die Praxis in den USA böten keinen ausreichenden Schutz vor dem Zugriff der Behörden.

Aufgrund der zwischenzeitlichen Entwicklungen hatte der EuGH es nun mit dem Privacy-Shield und den Standardvertragsklauseln zu tun. Den Datenschutzschild beziehungsweise den EU-Beschluss über ihn beurteilte der EuGH nun als ungültig. Er werde darin nämlich "den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt". Dies ermögliche Eingriffe in die Grundrechte der Nutzer in der EU. Die Anforderungen des Unionsrecht würden dabei nicht erfüllt, erklärten die EuGH-Richter.

Der EU-Beschluss über Standardvertragsklauseln sei dagegen gültig. Denn gemäß dem Beschluss müssten der Exporteur von personenbezogenen Nutzerdaten und der Empfänger unter anderem vorab prüfen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten werde.

EU-Justizkommissar Didier Reynders kündigte nach dem EuGH-Urteil an, er werde die USA ansprechen, um einen "gestärkten" Transfermechanismus für Nutzerdaten zu entwickeln. Der Branchenverband Bitkom erklärte, für Unternehmen mit einer Datenverarbeitung in den USA entstehe durch dieses Urteil "massive Rechtsunsicherheit". Die sozialdemokratische Europaabgeordnete Birgit Sippel kommentierte: "Europäische Grundrechte und US-amerikanische Massenüberwachungen lassen sich nicht miteinander in Einklang bringen."