Safe Harbor ungültig:
EU gibt Facebook-Rebell recht: Eklatante Mängel beim Datenschutz
Massiver Schlag gegen US-Internetfirmen: Der EuGH hat die Vereinbarung zur einfachen Datenübermittlung in die USA ("Safe Harbor") für ungültig erklärt. Kundendaten dürfen nun nicht ohne weiteres über den Atlantik wandern.
Die Daten europäischer Internet-Nutzer sind in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt. Das hat der Europäische Gerichtshof am Dienstag in einem Verfahren gegen Facebook geurteilt. Deshalb wurde die Vereinbarung zur einfachen Datenübermittlung in die USA (Safe Harbor) für ungültig erklärt. Die Entscheidung der EU-Kommission dazu im Jahr 2000 beruhte auf der Annahme, dass die USA ein angemessenes Schutzniveau von übermittelten personenbezogenen Daten gewährleisten. Nach den Enthüllungen des Informanten Edward Snowden zur Internet-Überwachung sehen die Europäer das inzwischen anders.
Die Entscheidung des Gerichts hat weitreichende Bedeutung nicht nur für amerikanische Internet-Konzerne, für die es nun schwieriger werden, Daten von Europäern in die USA zu übertragen. Ohne Safe Harbor müsste jede Firma selber dafür Sorgen, dass der rechtliche Rahmen nach der Datenschutz-Grundverordnung eingehalten wird. Betroffen sind gleichermaßen deutsche und amerikanische Unternehmen, die Daten in die USA fließen lassen.
In dem Verfahren wollte ein irisches Gericht wissen, ob nationale Behörden das Datenschutzniveau in den USA auch selbst prüfen können, oder ob sie an das europäisch-amerikanische Abkommen gebunden sind. Die Vereinbarung soll europäische Datenschutzstandards garantieren, auch in den USA. Allerdings müssen US-Firmen sich lediglich registrieren lassen und sich dazu verpflichten, bestimmte Prinzipien einzuhalten.
Die Luxemburger Richter bestätigten ausdrücklich, dass Betroffene das Recht haben, die nationalen Gerichte anzurufen. Nationale Datenschutzbehörden dürften prüfen, ob die Daten einer Person entsprechend geschützt seien.
Doch die Richter gingen noch weiter: Nach Ansicht des Gerichts bietet das - als wirtschaftsfreundlich bekannte - Safe Harbor-Abkommen keine ausreichende Basis für eine Datenübermittlung. Das Gericht erklärte die Einschätzung der EU-Kommission, wonach die USA ein angemessenes Schutzniveau von übermittelten personenbezogenen Daten gewährleisten, für ungültig. In den USA hätten Überlegungen nationaler Sicherheit Vorrang vor den Personenrechten und die Europäer könnten nicht dagegen vorgehen. "Die EU-Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu beschränken", kritisierten die Richter.
Bundesjustizminister Heiko Maas (SPD) sieht in dem Urteil des Europäischen Gerichtshofs zur Datenübermittlung in die USA ein Signal für den Schutz der Grundrechte in Europa. Mit den USA müsse nun unverzüglich über die Folgen des Urteils gesprochen werden, erklärte Maas am Dienstag. "Das Urteil ist ein Auftrag an die Europäische Kommission, auch international für unsere Datenschutzstandards zu kämpfen." Nun müssten zügig die seit Jahren laufenden Verhandlungen über eine neue Datenschutz-Grundverordnung zu Ende geführt werden.
Weitreichende Folgen für die gesamte Internetwirtschaft sieht der Branchenverband Eco. Datenbasierte Geschäftsmodelle und der transnationale Austausch von Daten würden volkswirtschaftlich immer wichtiger, sagte Eco-Vorstand Oliver Süme laut einer Mitteilung. Der Fall des Safe-Harbor-Abkommens bedeute für viele Unternehmen jetzt eine erhebliche Rechtsunsicherheit. "Bundesregierung und Europäische Union müssen jetzt schnellstmöglich eine neue Regelung finden, die unseren hohen Datenschutzstandards genügt und gleichzeitig eine praktikable Lösung für die Unternehmen schafft."
"Das Urteil des EuGH ist ein gutes Signal für den Verbraucherschutz, denn Verbraucher in Europa müssen darauf vertrauen können, dass der Hafen wirklich sicher ist, in dem ihre Daten ankommen", so Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands (vzbv). "Wir fordern, dass Unternehmen künftig von einer unabhängigen Instanz zertifiziert werden, bevor sie Daten in die USA übermitteln dürfen“, so Klaus Müller. "Es reicht nicht, wenn Unternehmen sich ohne Prüfung in eine Liste eintragen lassen und dann nichts mehr kontrolliert wird. Eine effektive Kontrolle, zum Beispiel durch die europäischen Datenschutzbehörden, ist unerlässlich."
Unternehmen müssen mit dem Ende von Safe Harbor den Datentransfer in die USA auf eine neue Rechtsgrundlage stellen. Dies könnte über Standardverträge der Auftragsdatenverarbeitung erfolgen. Allerdings muss auch hier sichergestellt werden, dass das Schutzniveau im Empfängerland angemessen ist. Alternativ könnten Unternehmen Nutzer vorab einwilligen lassen und über den genauen Verwendungszweck und die Reichweite der Datenverarbeitung in Kenntnis setzen. Vor allem dürfte das Urteil kleinere Unternehmen treffen, die sich bisher komplett auf Safe Harbor verließen. Schwergewichte wie Facebook oder Google mit ihren großen Rechtsabteilungen können leichter die nötigen Verträge zur Datenübermittlung ohne Safe Harbor ausarbeiten.
"Die Unternehmen werden dies voraussichtlich gekoppelt an die Nutzung des Dienstes tun, so dass Verbraucher keine wirkliche Wahlmöglichkeit haben", kritisiert Müller. Denkbar ist auch, dass amerikanische Unternehmen ihre Dienste verstärkt über europäische Tochtergesellschaften anbieten, um so den Datentransfer in die USA zu vermeiden. Allerdings müssten sie dann trotzdem sicherstellen, dass amerikanische Behörden nicht ohne weiteres auf die Daten zugreifen können.
Das Urteil ist ein juristischer Erfolg für den österreichischen Facebook-Kritiker Max Schrems, der das Verfahren ausgelöst hatte. Er klagte gegen das weltgrößte Online-Netzwerk, weil seiner Ansicht nach seine Facebook-Daten in den USA nicht vor staatlicher Überwachung etwa durch die Geheimdienste geschützt sind. Zur Begründung verwies er auf den NSA-Skandal. Für Schrems war es nicht die erste Klage: Zuvor hatte er bereits vor österreichischen Zivilgerichten geklagt.