Safe Harbour und EuGH-Urteil

Der Europäische Gerichtshof hat vor wenigen Tagen in einem schon jetzt viel beachteten Urteil das sog. „Safe-Harbor“-Abkommen zwischen der EU-Kommission und den USA gekippt. Dieses Abkommen hat die Regelung der Übermittlung personenbezogener Daten zum Inhalt, insbesondere also, ob und wie personenbezogene Daten aus der EU in die USA gesendet werden dürfen. Der EuGH hat im nun ergangenen Urteil entschieden, dass die aus der EU nach Amerika gesendeten personenbezogenen Daten dort nur unzureichend vor dem Zugriff der agierenden Geheimdienste geschützt seien. Von dem Urteil ist jedoch nicht nur die Politik und insbesondere die Datenschutzbehörden beeinflusst, auch für den Handel und den Wettbewerb hat dieses Urteil eine weitreichende, nahezu ohnmächtig machende Kraft für viele Unternehmen. Schätzungsweise über 4.400 Unternehmen dürfen nach dem neuen EuGH-Urteil keine europäischen Nutzerdaten in die USA senden und dort speichern. Dies umfasst nicht nur Großunternehmen wie Facebook, Google, Amazon, Microsoft, Apple und eBay, sondern auch viele kleinere Unternehmen, welche sich nun damit konfrontiert sehen, ihren Datenverkehr zu überprüfen und im Zweifelsfall anpassen zu müssen.

Der vorliegende Beitrag soll das Urteil des EuGH aufarbeiten und dabei auch insbesondere das „Safe-Harbor“-Abkommen erläutern. Auch die konkreten Folgen dieses äußerst wichtigen Urteils sollen detaillierter dargestellt werden.

Sachverhalt der Klage

Der EuGH entschied über eine Klage eines österreichischen Juristen. Dieser bemängelte, dass Facebook seine persönliche Daten auf Servern in den USA sendet und dort auch speichert, wogegen er mit der Klage vorgehen wollte. Grund für diese Auseinandersetzung ist, dass der Kläger insbesondere nach den Enthüllungen der Spionage-Skandale und dem vor Jahren ergangenen Patriot Act der Meinung ist, dass Daten in Amerika nicht ausreichend vor dem Zugriff der amerikanischen Geheimdienste, allen voran der NSA, geschützt sind. Konkret sollte der EuGH darüber entscheiden, ob sich der europäische Facebook-Ableger, welcher seinen Sitz in irischen Dublin hat, an die EU-Grundrechtecharta zum Schutz personenbezogener Daten halten muss und womöglich europäisches Datenschutzrecht verletzt, wenn er die Daten in die USA sendet. Dabei ist im Grundsatz die Übermittlung personenbezogener Daten durch das „Safe-Harbor“-Abkommen erlaubt. Der Kläger glaubte jedoch trotz allem hierin eine Verletzung der EU-Grundrechtecharta zu sehen, welche normenhierarchisch über dem „Safe-Harbor“-Abkommen steht.

Verfahrensgang der Klage

Schon 2011 hatte der Kläger Facebook aufgefordert, alle Informationen herauszugeben, die das Unternehmen über ihn gespeichert hat, wobei er sich auf einen geltenden Auskunftsanspruch aus dem Datenschutzgesetz berufen konnte. Seiner Bitte wurde seitens Facebook entsprochen, woraufhin ihm die irische Facebook-Zweigstelle eine elektronische Datei zustellte. Diese PDF-Datei war fast 500MB groß und enthielt auf 1222 Seiten alle persönlichen Daten, die das Unternehmen über den Kläger gespeichert hatte. Besonders brisant: Auch solche Daten waren enthalten, die der Kläger bereits gelöscht hatte.

Der Kläger hatte daraufhin schon damals den irischen Datenschutzbeauftragten eingeschaltet und insbesondere dazu aufgefordert, die Sicherheit der Daten aller europäischen Nutzer von Facebook zu überprüfen. Der Aufforderung wurde damals allerdings nicht entsprochen, da der irische Datenschutzbeauftragte auf das „Safe-Harbor“-Abkommen verwiesen hatte. Wenn die EU-Kommission selbst dem Datenaustausch mit den USA zugestimmt hat, könne die Datenschutzbehörde zu keinem anderen Ergebnis kommen, als den Schutz der Daten in einem angemessenen Maße anzunehmen.

Der Kläger reichte daraufhin Klage beim irischen High Court ein, welcher klären sollte, ob die irischen Datenschutzbehörden in ihrer Prüfung an das Safe-Harbor-Abkommen gebunden sind oder auch eigene Ermittlungen zum Datenschutz bei Facebook anstellen müssen, in welchen sie eventuell zu einem anderen Ergebnis kommen können. Der irische High Court hat diese Frage an den EuGH weiter geleitet mit der Bitte um Klärung. Insbesondere sei durch die Entwicklungen der letzten Jahre, namentlich den Enthüllungen von Edward Snowden, fraglich, ob von Unternehmen in die USA gesendete, personenbezogene Daten der EU-Bürger dort ausreichend geschützt werden.

Urteil des EuGH

Der EuGH hat die Übermittlung von Nutzerdaten europäischer Bürger auf amerikanische Server verboten. Weiterhin dürften die irischen Datenschutzbehörden die Beschwerde des Klägers nicht schlichtweg mit der Berufung auf das „Safe-Harbor“-Abkommen zurückweisen, sondern müssten diese konkret prüfen Wichtig ist in diesem Zusammenhang, dass nicht der Datenschutzstandard von Facebook selbst von dem urteil gerügt wurde – hierzu wurde keine Aussage getroffen. Vielmehr stellt das Urteil eine grundlegende Entscheidung darüber dar, ob personenbezogene Daten in den USA ausreichend geschützt sind. Der Generalanwalt im besagten Verfahren hat selbst darauf hingewiesen, dass Facebook grundsätzlich keine Verfehlung vorgeworfen wird, sondern es einzig und allein um die europäischen Rahmenbedingungen geht, in denen personenbezogene Daten übermittelt werden.

Was ist das Safe-Harbor-Abkommen?

Das „Safe-Harbor“-Abkommen war eine Vereinbarung zwischen der EU und den USA , welches europäischen Unternehmen und europäischen Tochtergesellschaften amerikanischer Firmen erlaubte, personenbezogene Daten in die USA zu übermitteln und dort zu speichern. Notwendig war dieses Abkommen, da gemäß der EU-Datenschutzrichtlinie von 1995 personenbezogene Daten nur dann in andere Länder übermittelt werden dürfen, wenn diese dort ebenfalls ausreichend geschützt werden, also ein vergleichbares Datenschutz-Niveau aufweisen, wie es in der EU der Fall ist. Die Einschätzung dieses angemessenen Niveaus obliegt dabei der EU-Kommission, welche mittels Abkommen auch festhalten kann, dass ein Land das geforderte Schutzniveau einhält.

Im Jahre 2000 hat die EU-Kommission von dieser Möglichkeit Gebrauch gemacht und mit den USA das „Safe-Harbor“-Abkommen geschlossen, durch welches die USA als “sicherer Hafen” für personenbezogene Daten aus Europa deklariert wurde. Das Abkommen gibt damit US-Unternehmen die Möglichkeit, sich selbst ein aus europäischer Sicht angemessenes Datenschutz-Niveau zu bescheinigen, wofür lediglich einzelne Selbstverpflichtungen zum Datenschutz gegenüber der US-Handelskommission eingegangen werden müssen, beispielsweise die Verpflichtung, Nutzer zu informieren, welche Daten sie zu welchem Zweck weitergeben, sie bei Weitergabe an Dritte zu informieren und ihnen das Recht einzuräumen, die gespeicherten Daten einzusehen und sie ergänzen oder löschen zu können.

Abseits dieser theoretischen Pflichten und der theoretischen Festlegung im Abkommen war in der Praxis dabei schon seit jeher fraglich, inwieweit die hiervon betroffenen Unternehmen, insbesondere die „big players“ wie Google, Microsoft, Facebook und Apple, an die Vorgaben halten. Nachweise müssen nämlich grade nicht erbracht werden, sodass die EU selbst gar keine Kontrollmöglichkeit hat. Die mögliche Kontrolle durch die US- Handelskommission ist in der Praxis ebenfalls als unzureichend angesehen worden.

Auswirkungen

Die Auswirkungen des Urteils werden als sehr weitreichend und von erheblicher Wirkung erwartet. Nicht nur die großen Unternehmen, sondern über 4.400 Unternehmen speichern personenbezogene Daten von Europäern in den USA.

Der EuGH hatte sich dem Schlussantrag des Generalanwalts Yves Bot angeschlossen, welcher der Meinung war, dass US-amerikanische Geheimdienste, allen voran die NSA, beinahe uneingeschränkt auf diese Daten zugreifen können. Mit dieser Auffassung können die USA kein ausreichendes Schutzniveau für die Daten europäischer Nutzer mehr bieten, was gleichbedeutend mit der Abschaffung des „Safe-Harbor“-Abkommens ist. Der EuGH hat klargestellt, dass es für dieses ausreichende Schutzniveau nicht ausreicht, lediglich theoretische Abkommen zu schließen. Ein Hafen sei das deshalb sicher, weil man ihn als sicher deklariert, sondern weil er in der Praxis als sicher festgestellt werden kann. Dies sei im Falle der Vereinigten Staaten aufgrund der Ereignisse und Erkenntnisse der letzten Jahre für die personenbezogenen Daten von Europäern jedoch nicht mehr der Fall. Das 2009 eingeführte Recht auf Datenschutz sei nicht mehr zu gewährleisten, wie insbesondere die Enthüllungen durch Edward Snowden aus dem Jahre 2013 aufgezeigt haben. Im Artikel 8 der EU-Grundrechtecharta ist festgelegt: “Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten”. Dieses Recht sieht das Gericht durch das „Safe-Harbor“-Abkommen verletzt, und zwar in einem solchen Maße, dass es sich zum Einzugreifen verpflichtet sieht. Das Abkommen gebe das Recht der EU-Bürger aus Art. 8 Der EU-Grundrechtecharta auf, sodass von anderer Stelle das Recht verteidigt werden muss.

Datenschutzrechtliche Auswirkungen

Nach dem Willen des EuGH müssen die Datenschutz-Aufsichtsbehörden darüber befinden, wie es ohne das „Safe-Harbor“-Abkommen mit dem Datenschutz weitergeht. Europas Datenschützer wollen noch diese Woche zusammen kommen und über das weitere Vorgehen debattieren – eine europäische Strategie ist dabei jedoch noch nicht absehbar.

Wirtschaftliche Auswirkungen des Urteils

Bei den Unternehmen, die bisher Daten in die USA übermittelt haben, ist eine große Unruhe zu erkennen. Stimmen von bspw. Facebook lassen darauf schließen, dass das Urteil zu Kosten in Höhe von mehrerer Milliarden US-Dollar führen wird, da für die datenschutzkonforme Behandlung der Daten neue Rechenzentren in Europa gebaut werden müssten. Diese Kosten könnten wohl auf alle betroffenen Unternehmen zukommen, deren konkrete Höhe sich natürlich nach dem jeweiligen Umfang der verarbeiteten Daten richtet.

Alternativen, wie etwa EU-Standardvertragsklauseln oder „Binding Corporate Rules“ sind vor dem Hintergrund des EuGH-Urteils dagegen nicht als Lösung anzuraten. In dem Urteil wurde festgestellt, dass vor allem der Zugriff der amerikanischen Geheimdienste auf die personenbezogenen Daten mit den europäischen Grundrechten nicht vereinbar sei. Da die Befugnisse der Geheimdienste jedoch durch Einzelregelungen der Unternehmen ebenfalls nicht werden können, sind auch diese als nicht mit dem europäischen Datenschutz vereinbar anzusehen. Hier ist jedoch eine Besonderheit einschlägig, denn nur der EuGH selbst kann Entscheidungen der EU-Kommission für ungültig erklären. Für die Standardvertragsklauseln besteht also eine faktische Gültigkeit, bis der EuGH auch diese konkret als datenschutzwidrig aburteilt. Möglich bleibt es allerdings, dass die nationalen Datenschutzbehörden diese Standardvertragsklauseln als unwirksam ansehen. Insgesamt kann daher nicht angeraten werden, schlichtweg auf solche Standardvertragsklauseln auszuwichen.

Politische Auswirkungen des Urteils

Europa und Amerika sind schon seit zwei Jahren in Verhandlungen über eine erneuerte Regelung des „Safe-Harbor“-Abkommens. Diese Gespräche seien nach verschiedenen Medienberichten schon kurz vor dem Abschluss gewesen, werden nun aber durch das neue EuGH-Urteil sicher neuen Gesprächsstoff bekommen. Es ist als gewiss anzusehen, dass die aktuelle Entwicklung auch in die Neuverhandlung Eingang finden wird. Mit Spannung wird abgewartet werden, ob es eine politische Regelung überhaupt geben kann, welche die USA weiterhin als Safe Harbor ansieht. Solange nicht sicher gestellt werden kann, dass amerikanische Geheimdienste auf die Daten europäischer Bürger nicht zugreifen können, ist dies höchst zweifelhaft.

Standpunkt der USA

Die USA kritisieren an der Entscheidung, dass das datenschutzrechtliche Niveau in den USA verzerrt dargestellt werden würde. Die USA würden grade keine Massenüberwachung praktizieren, sondern lediglich mit dem Überwachungsprogramm Prism “konkrete, zulässige Ziele” ins Visier nehmen. Dabei sei das Vorgehen insbesondere gesetzlich genehmigt und unterliege der öffentlichen Kontrolle, was für den Datenschutz eher positive Punkte seien. Das Urteil würde eher den freien Fluss von Informationen behindern und sei ein eher politisches als rechtliches Urteil.

Fazit

Das Urteil zum „Safe Harbor“-Abkommen ist bereits das dritte Urteil des EuGH, welches in der letzten Zeit den europäischen Datenschutz zum Inhalt hat. Während im April 2014 zur EU-Vorratsdaten-Richtlinie judiziert wurde und im Mai 2014 das ebenfalls viel beachtete Urteil zum Recht auf Vergessen und gegen Google folgte, ist im aktuellen Urteil nun die Fiktion angegriffen, dass europäische Daten in den USA sicher seien.

Die Auswirkungen sind auf mehreren Ebenen spürbar. Besonders gefordert sind nun die nationalen Datenschutzbehörden, welche im europäischen Kontext einen Leitfaden für das weitere Vorgehen errichten müssen. Unternehmen müssen abwarten, wie dieser Leitfaden in der Praxis aussieht und ob in der Tat nun Datenzentren in Europa gebaut werden müssen. Ob das „Safe Harbor“-Abkommen in einer erneuerten Fassung denkbar ist, bleibt dabei äußerst fraglich.

 
1 Star2 Stars3 Stars4 Stars5 Stars 7 Bewertung(en), durchschnittlich: 4,43 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*