23 Jahre illegale Datentransfers dank untätiger Behörden und neuer EU-US-Abkommen
Mit zwei bahnbrechenden Entscheidungen hat der Europäische Gerichtshof (EuGH) transatlantische Datentransfers zwischen der EU und den USA 2015 und 2020 für illegal erklärt. Diese Entscheidungen gelten rückwirkend, was bedeutet, dass es zwischen 2000 und 2023 keine Rechtsgrundlage für diese Übermittlungen gab. Dennoch nutzten die meisten EU-Unternehmen weiterhin Dienste wie Google Analytics oder Tracking-Tools von Meta. Eine neue Analyse von noybs 101 Beschwerden in dieser Angelegenheit zeigt: Eine Kombination aus untätigen Datenschutzbehörden und neuen Abkommen der Europäischen Kommission ermöglicht seit 23 Jahren illegale Datentransfers.
23 Jahre illegale Datentransfers. Mit der Aufhebung der transatlantischen Datenabkommen "Safe Harbor" und "Privacy Shield" hat der Europäische Gerichtshof 2015 und 2020 ein klares Zeichen für mehr Datenschutz gesetzt. Die Folgen dieser Entscheidungen waren eigentlich klar: Fast alle Datentransfers zwischen der Europäischen Union und den Vereinigten Staaten seit dem Jahr 2000 waren illegal. In Wirklichkeit haben sich jedoch nur die wenigsten Unternehmen an diese höchstgerichtlichen Urteile gehalten und stattdessen weitergemacht wie bisher. Ermöglicht wurde dies vor allem durch die Untätigkeit europäischer Datenschutzbehörden, die die EuGH-Urteile meist nicht umgesetzt haben. In Kombination mit neuen (und nichtigen) Abkommen blicken wir deshalb bereits auf 23 Jahre illegale Datentransfers zurück.
Marco Blocher, Datenschutzjurist bei noyb: "Wir sind Zeugen eines gewissen Zusammenbruchs der Rechtsstaatlichkeit. Europas Höchstgericht hat die Datentransfers der letzten 23 Jahre für illegal erklärt, aber die Behörden schauen weitgehend weg."
In einer Schublade verstaubt. Um die Durchsetzung zu gewährleisten, hat noyb kurz nach der Aufhebung des Angemessenheitsbeschlusses "Privacy Shield" im Jahr 2020 ganze 101 Beschwerden bei europäischen Datenschutzbehörden eingereicht, denn: Das EuGH-Urteil hat den Datentransfers die Rechtsgrundlage entzogen. Das hinderte viele gut besuchte Webseiten allerdings nicht daran, weiterhin Besucherdaten an Google- und Meta-Server in den Vereinigten Staaten weiterzuleiten. Trotz der klaren DSGVO-Verstöße ist das Ergebnis nach drei Jahren – die Beschwerden jähren sich am 18. August zum dritten Mal – ernüchternd. Die zuständigen Datenschutzbehörden haben in mehr als 70 Prozent der 101 Beschwerden noch immer keine Entscheidung getroffen.
Endloses Warten. Eigentlich hätte das EuGH-Urteil von 2020 den nationalen Datenschutzbehörden eine rasche Entscheidung im Fall von transatlantischen Datentransfers ermöglicht. Zumindest theoretisch. Die jüngste noyb-Analyse zeigt, dass 20 von 32 ebendieser Behörden (62,5 %) noch keine einzige Entscheidung im Rahmen der 101 Beschwerden getroffen haben. Selbst die aktiveren Behörden haben sich viel mehr Zeit genommen als gesetzlich vorgesehen. Die erste von derzeit 13 Entscheidungen kam von der österreichischen Datenschutzbehörde – die trotz der einfachen Fakten- und Rechtslage fast 1,5 Jahre dafür brauchte.
Marco Blocher, Datenschutzjurist bei noyb: "Rund zwei Drittel aller Datenschutzbehörden, bei denen wir Beschwerde eingereicht haben, haben innerhalb von drei Jahren keine einzige Entscheidung getroffen. Einige sind sogar unmöglich zu erreichen und geben keine Auskunft über den Stand der Beschwerden. Es ist absurd, dass es in manchem Mitgliedstaaten selbst bei solch einfachen Fällen an der Durchsetzung mangelt."
Ein schlechtes Beispiel. Noch schlimmer macht das Ganze, dass gerade die Irische Datenschutzkommission (DPC) – also die Aufsichtsbehörde für Google und Meta – zu den 20 Datenschutzbehörden gehört, die noch keinen Finger gerührt haben. Alle sechs noyb-Beschwerden, die bei der DPC eingereicht wurden, sind weiterhin anhängig. Alleine ist die Behörde damit jedoch nicht. Das Gleiche gilt unter anderem für die belgische, niederländische, griechische, polnische, slowakische und tschechische Datenschutzbehörde. Eine vollständige Analyse wurde eingangs verlinkt.
Niemand wagt es, ein Bußgeld zu verhängen. Insgesamt sind heute noch 73 Fälle anhängig. noyb hat neun Fälle gewonnen, drei teilweise gewonnen und einen verloren. Doch selbst die positiven Nachrichten sind ernüchternd. Nur in einem Fall hat die zuständige Behörde (in Schweden) ein Bußgeld für die unrechtmäßige Nutzung von Google Analytics verhängt: Der Telekommunikationsanbieter Tele2 musste eine Million Euro zahlen, der Onlinehändler CDON 25.000 Euro – das sind gerade mal zwei Bußgelder in 101 Fällen.
Marco Blocher, Datenschutzjurist bei noyb: "Nur die schwedische Behörde hat ein Bußgeld verhängt, alle anderen Behörden haben trotz offensichtlicher DSGVO-Verstöße kein Bußgeld verhängt."
Die EU-Kommission hat die Datenschutzbehörden überholt. Bei vielen verbliebenen Beschwerden ist bis heute unklar, ob die zuständigen Datenschutzbehörden jemals eine Entscheidung treffen oder versuchen werden, die Angelegenheit auszusitzen. In der Zwischenzeit haben sich die EU-Kommission und die USA an die Arbeit gemacht. Mitte Juli dieses Jahres haben diese sich auf ein "neues" Trans-Atlantic Data Privacy Framework ("TADPF") geeinigt, das weitgehend eine Kopie seines Vorgängers Privacy Shield ist. EU-Bürger:innen genießen in den Vereinigten Staaten weiterhin keine verfassungsmäßigen Rechte. Das erlaubt Geheimdiensten wie der NSA, ihre Daten zu Überwachungszwecken zu nutzen. Gleichzeitig ermöglicht das neue Abkommen den Datenschutzbehörden, laufende Verfahren auszusetzen, um abzuwarten, ob der EuGH die Angemessenheitsentscheidung zum dritten Mal für ungültig erklärt.
Marco Blocher, Datenschutzjurist bei noyb: "Wir haben im Grunde 23 Jahre lang immer wieder entweder illegale Datentransfer-Deals oder die Nichtdurchsetzung. Es ist erstaunlich, dass jeder normale Mensch eine Strafe bekommt, wenn er gegen das Gesetz verstößt, nur bei der DSGVO gibt es einfach keine Konsequenzen – selbst nach zwei EuGH-Urteilen."
Mögliche Maßnahmen sind alle ins Leere gelaufen. Nachdem noyb seine 101 Beschwerden eingereicht hatte, sah es kurz so aus, als bestünde Hoffnung auf eine zeitnahe Lösung. Der EDPB richtete sogar eine informelle "Taskforce" ein, um eine Zersplitterung der Entscheidungspraxis zu vermeiden. Leider führte dies nicht zu einem einheitlichen Ansatz zur Unterbindung unrechtmäßiger Datentransfers. Das grundlegende Problem von Unternehmen, die sich nicht an europäischer Datenschutzrecht halten, besteht nach wie vor. Der Abschlussbericht der Taskforce enthält nur hochtrabende, offensichtliche Aussagen.
Aller guten Dinge sind drei? Genau wie bei "Safe Harbor" und "Privacy Shield" wird auch das neue "TADPF" früher oder später vor dem EuGH angefochten werden - der dann die rechtmäßigkeit beurteilen wird. Da die grundlegenden Probleme mit dem US-amerikanischen Überwachungsrecht nach wie vor bestehen, ist die Wahrscheinlichkeit groß dass es das Schicksal seiner Vorgänger erleiden wird - und rückwirkend für ungültig erklärt wird. Die Verantwortung wird dann erneut bei den Datenschutzbehörden liegen, da sie das Urteil des EuGH schlussendlich durchsetzen müssen. Angesichts ihrer bisherigen Leistungen sind die Aussichten jedoch düster. noyb ist bereit, alle rechtlichen Möglichkeiten auszuschöpfen, um eine Entscheidung für anhängige Beschwerden zu erwirken und - falls erforderlich - neue Beschwerden einzureichen, damit künftige EuGH-Entscheidungen respektiert werden.