"Safe Harbor": EuGH: Daten in den USA nicht sicher

Das bisher geltende Abkommen zwischen den USA und Europa zum Datenaustausch von Privatunternehmen ist ungültig und nicht bindend. Das hat der Europäische Gerichtshof (EuGH) entschieden. Nun müssen neue Regeln gefunden werden, um den Datentransfer zwischen den Kontinenten weiter zu ermöglichen.

Wie hat der Streit begonnen?

Kläger ist der österreichische Jurist und Internet-Aktivist Maximilian Schrems. Als Facebook-User hatte er die Herausgabe sämtlicher über ihn gespeicherter Daten verlangt, die – wie bei allen Kunden – zum großen Teil auf Servern in den USA liegen. Ausgehändigt wurde ihm ein Konvolut, das auch längst gelöschte Angaben enthielt. Schrems wandte sich an die irische Datenschutzbehörde, weil Facebook, wie auch Microsoft und Twitter, seine Europazentrale in Dublin hat. Alarmiert durch die Enthüllungen von Edward Snowden zur NSA, trug er in seiner Beschwerde vor, die Überwachungspraxis der Geheimdienste gefährde die Sicherheit seiner jenseits des Atlantiks gespeicherten Daten.

Wie reagierten die irischen Datenschützer?

Sie wiesen die Beschwerde ab und beriefen sich auf die sogenannte „Safe Harbor“ (Sicherer Hafen)-Vereinbarung zwischen der EU und den USA, die ein angemessenes Schutzniveau garantieren soll. Daran seien Irlands Behörden gebunden.

© John Thys/AFP

Was regelt „Safe Harbor“?

Die EU-Datenschutzrichtlinie untersagt es, personenbezogene Daten aus EU-Staaten in andere Staaten zu übertragen, in denen kein der EU vergleichbares Schutzniveau herrscht. Mehr als 5000 amerikanische Unternehmen, darunter Facebook, Amazon und Google, haben sich mit „Safe Harbor“ bereit erklärt, entsprechende Grundsätze zu befolgen und sich dafür beim US-Handelsministerium registrieren zu lassen. Im Jahr 2000 entschied die EU-Kommission, ebenfalls auf Grundlage der Richtlinie, dass diese Unternehmen das EU-Schutzniveau generell einhalten.

Wie kam das Verfahren zum EuGH?

Nach seiner Abfuhr bei den irischen Behörden klagte Schrems bis vor das höchste irische Gericht, das den Streit wegen der Anwendbarkeit von EU-Recht den Luxemburger EU-Richtern vorlegte. Sie wollten wissen, ob und inwieweit die nationale Datenschutzbehörde an die Kommissionsentscheidung gebunden ist.

Was sagen jetzt die EU-Richter?

Dass die EU-Kommission die Befugnisse der Datenschützer der Mitgliedstaaten nicht einschränken kann. Die Behörden müssen unabhängig prüfen können, ob ihre Richtlinien zur Datenübermittlung in andere Länder eingehalten würden. Damit folgt der Gerichtshof dem Gutachten des Europäischen Generalanwalts Yves Bot.

Das Gericht sagt: In den USA sind Daten nicht sicher.

Was erklären die Richter für ungültig?

Nur die Entscheidung der Kommission aus dem Jahr 2000, mit der „Safe Harbor“ gebilligt wird. Denn nur diese ist ein EU-Rechtsakt, den der EuGH prüfen und verwerfen kann. Die Richter halten der Kommission vor, sie hätte es versäumt, das Schutzniveau von „Safe Harbor“ positiv festzustellen. Darüber hinaus seien die Regelungen für US-Behörden überhaupt nicht verbindlich: „Erfordernisse der nationalen Sicherheit“ oder des „öffentlichen Interesses“ hätten stets Vorrang. Im Klartext: „Safe Harbor“ schließt exzessive Geheimdienstüberwachung überhaupt nicht aus.

Können die USA „Safe Harbor“ jetzt noch nachbessern?

Ja, aber die Latte liegt hoch. Ähnlich wie in ihrem Urteil zur Vorratsdatenspeicherung dringen die Richter darauf, dass die Datenspeicherung auf „das Notwendige beschränkt“ sein müsse. Ausnahmen anhand des verfolgten Ziels oder Regelungen ohne Differenzierung verstießen gegen die EU-Grundrechte-Charta. Wird Behörden generell gestattet, auf Inhalte elektronischer Kommunikation zuzugreifen, verletze dies das Grundrecht auf Achtung des Privatlebens. Bürger müssten Zugang zu den über sie gespeicherten Daten haben und mindestens per Gericht Löschungen durchsetzen können. Das Problem, dass einseitige EU-Regeln den amerikanischen Staat nicht binden können, kommt weiterhin hinzu.

Da reden fast 80 Millionen Menschen von der freiheitlich-demokratischen Grundordnung des 20. Jahrhunderts und ignorieren die fast durchgängige Penetration der demokratischen Institutionen sowie die massenhaften Abhängigkeiten der sogen. Volksvertreter von wirtschaftlich mächtigen Organisationen, Gruppen und/oder Organisationen.

schreibt NutzerIn laotoa

Wird der Datentransfer jetzt verboten?

Noch nicht. Sie haben aber die Beschwerde von Schrems „mit aller gebotenen Sorgfalt“ zu prüfen. Nach den im Urteil entwickelten Vorgaben wird wohl vorläufig nichts anderes übrig bleiben.

Etwa 5000 Firmen sind betroffen - nur die ganz großen finden eigene Auswege

Was bedeutet das Urteil für Facebook und andere Internetunternehmen?

Das Urteil hat noch keinen unmittelbaren Einfluss auf soziale Netzwerke wie Facebook, Twitter oder Google Plus. Entscheidend wird sein, wie nationale Datenschutz-Aufsichtsbehörden entscheiden. Selbst der Umstand, dass der EuGH das „Safe Harbor“-Abkommen für ungültig erklärt hat, muss sich nicht zwangsläufig auf Facebook oder andere Netzwerke auswirken. Liegt ihnen die Einwilligung der Nutzer vor, dass sie mit den Eingriffen in ihre Privatsphäre einverstanden sind, könnten weiter Daten in die USA transferiert werden. Schwieriger sieht es für Unternehmen und Angebote aus, bei denen es keinen direkten Kundenkontakt gibt, mit dem eine Einwilligung eingeholt wird.

Wie reagiert die IT-Wirtschaft?

Facebook forderte am Dienstag nach dem Urteil von der Politik verlässliche Regeln für die Datenübermittlung in die USA. Es sei „zwingend erforderlich“, dass EU und USA „weiterhin verlässliche Methoden für rechtskonforme Datentransfers zur Verfügung stellen“. Auch der Bundesverband der Deutschen Industrie und der IT-Verband Bitkom fordern rasches Handeln der Politik, um schnellstmöglich für Rechtssicherheit zu sorgen: „Die Akteure in Brüssel und Washington müssen nun die Bedenken des Europäischen Gerichtshofs ernst nehmen und die Verhandlungen rasch abschließen“, erklärte BDI- Hauptgeschäftsführer Markus Kerber.

„Tausende von Unternehmen haben ihre Datenübermittlungen zwischen Deutschland und den USA bisher auf ,Safe Harbor‘ gestützt.“ Sie müssen wissen, auf welche rechtliche Grundlagen sie zukünftig bauen können und wie viel Zeit sie für die Umstellung auf andere Rechtsgrundlagen haben, sagte die Geschäftsleiterin des Digitalverbands Bitkom, Susanne Dehmel. Der Internetverband Eco drängt auf eine Lösung, „die unseren hohen Datenschutzstandards genügt und gleichzeitig eine praktikable Lösung für die Unternehmen schafft“.

Entstehen für europäische IT-Dienstleister durch das Urteil Vorteile?

Die europäische Datenschutzgrundverordnung müsse jetzt schnell kommen, „damit auch Unternehmen aus Übersee gezwungen sind, sich an hohe europäische Datenschutzstandards zu halten“, sagte Thomas Kremer, Datenschutzvorstand der Deutschen Telekom. Ob europäischen Konzernen aus der Entscheidung sogar Wettbewerbsvorteile erwachsen – dazu äußern sich die Unternehmen nur vorsichtig: SAP falle es leichter als vielen anderen Unternehmen, Kunden „ein hohes Schutzniveau“ zu gewährleisten, heißt es beim Datenbankspezialisten aus Walldorf. Man habe „große Cloud-Kapazitäten in Europa“ und könne „auch Service- und Supportleistungen lokal anbieten“. Grund zur Freude oder gar zur Schadenfreude ist das EuGH-Urteil aber nicht: Für erfolgreiche datenbasierte Geschäftsmodelle sei „Rechts- und Planungssicherheit für einen freien und sicheren Datenverkehr zwischen Europa, den USA und anderen Regionen wichtig“. Das Software-Unternehmen fordert deshalb einen digitalen europäischen Markt, „bei dem es unerheblich ist, wo Daten gespeichert sind“.

„Du hast die Welt besser gemacht“, twitterte Edward Snowden

Was bedeutet die Entscheidung für den Kläger Maximilian Schrems?

Schrems, der das Verfahren in Gang gesetzt hat, begrüßt das Urteil, das „hoffentlich ein Meilenstein für die Online-Privatsphäre wird“. Es ziehe eine klare Linie und stelle klar, dass Massenüberwachung gegen die Grundrechte verstößt. Dagegen müsse ein angemessener Rechtsschutz möglich sein, schreibt der Kläger auf seinem Facebook-Profil. Per Twitter gratulierte ihm am Dienstag Edward Snowden: „Du hast die Welt besser gemacht.“

Wie reagieren Politik und Datenschützer auf das Urteil?

Heiko Maas, der Bundesminister der Justiz und für Verbraucherschutz, sieht in dem Urteil ein „starkes Signal für den Grundrechtsschutz in Europa“. Das Urteil sei ein Auftrag an die Europäische Kommission, auch international für unsere Datenschutzstandards zu kämpfen. „Wer in der EU Waren oder Dienstleistungen anbietet, muss danach auch EU-Datenschutzrecht beachten – und zwar unabhängig davon, wo der Server steht“, sagte Maas. Für die Bundesdatenschutzbeauftragten Andrea Voßhoff hat der EugH „nach den bahnbrechenden Urteilen zu Google und zur Vorratsdatenspeicherung erneut einen Meilenstein für den Datenschutz gesetzt“. Die Entscheidung bedeute eine erhebliche Stärkung der Befugnisse der Datenschutzbehörden.