VON NORA GRAF | 12.10.2015 17:07

Doch kein sicherer Hafen – EuGH kippt Datenschutzabkommen Safe Harbor

Am Dienstag, den 6. Oktober 2015, hat der Europäische Gerichtshof (EuGH) das Safe-Harbor-Abkommen, die wichtigste Rechtsgrundlage für einen Datentransfer aus der EU in die USA, für ungültig erklärt. In dem Urteil kritisiert er auch deutlich den Umgang von US-Geheimdiensten mit den gesammelten Daten. Der Beschluss hat nicht nur Auswirkungen für amerikanische, sondern auch für europäische Firmen.

Hintergrund bildet die Klage des Österreichers Max Schrems und seiner Initiative europe-v-facebook in Irland, wo das soziale Netzwerk seinen Europasitz hat. Schon 2013 hatte er Beschwerde eingelegt, da er seine Facebook-Daten in den USA nicht ausreichend geschützt sah.

Grundsätzlich verbietet die Datenschutzrichtlinie 95/46/EG Übermittlungen von personenbezogenen Daten aus Mitgliedsstaaten der EU in Länder, in denen ein mit EU-Standards vergleichbares Datenschutzniveau nicht gewährleistet ist. So etwa in den USA. Dort bestehen keine umfassenden gesetzlichen Datenschutz-Regelungen, die denen der EU entsprechen.

Zwischen 1998 und 2000 wurde ein Verfahren entwickelt, um den Datenverkehr nicht völlig auf Eis zu legen, denn viele Internet-Angebote, wie etwa Social Media oder Cloud-Angebote, die auch in Deutschland relevant sind, haben ihren Standort in den USA. Amerikanische Unternehmen können demnach dem Safe-Harbor-Abkommen beitreten. So einfach wie es sich anhört, ist es auch: Die Konzerne verpflichten sich die Prinzipien und einen dazugehörigen Fragenkatalog mit den verbindlichen Antworten einzuhalten und lassen sich in einer Liste des US-Handelsministeriums registrieren. Das genügt schon, um die Daten weiter zu benutzen, eine wirksame Aufsicht gibt es nicht. Mittlerweile stehen etwa 5.500 Unternehmen darauf, darunter zum Beispiel IBM, Amazon, Facebook, Google, Apple oder Microsoft.

Edward Snowden und Alan Rusbridger

Insbesondere seit den Enthüllungen von Edward Snowden regt sich allgemeine Kritik gegenüber US-Datenschutzstandards. Und darauf berief sich auch Max Schrems bei seiner Anklage. Denn im Zuge der NSA-Affäre und der staatlichen Massenüberwachung sei deutlich geworden, wie in Amerika mit Daten umgegangen werde und dass ein ausreichender Schutz persönlicher Daten nicht mehr gegeben sei.

Der EuGH hat nun für ein etwaiges Ende des Datenaustausches gesorgt und Safe Harbor für ungültig erklärt. Seit 2013 dauert der Rechtsstreit nun an. Damals wurde die Klage von Irlands Datenschutzbehörde abgelehnt mit Berufung auf eine Entscheidung der EU-Kommission aus dem Jahr 2000. Die Kommission stufte das Schutzniveau der USA zu diesem Zeitpunkt als ausreichend ein. Mit seinem Urteil stärkt der EuGH weiterhin die Befugnisse nationaler Datenschutzbehörden: Denn diese müssten, wenn ihnen eine Beschwerde vorliegt, auch völlig unabhängig prüfen, ob alle Datenschutzrichtlinien eingehalten wurden. Die EU-Kommission dürfe nationale Rechte nicht einschränken, wenn es um Grundrechte geht.

Auch der Generalstaatsanwalt Yves Bot hat Ende September erklärt, dass Safe Harbor mit Blick auf die US-Geheimdienste keine Gültigkeit mehr besäße. Sehr deutlich werden in der Mitteilung dessen Aktivitäten angeprangert: "Der Gerichtshof fügt hinzu, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt."

Überdies gelte Safe Harbor nur für die unterzeichnenden Unternehmen, nicht aber für die Behörden der USA. Das Abkommen ist auch nur so lange gültig, wie es US-Interessen entspricht. Die US-Unternehmen sind ohne jede Einschränkung verpflichtet, die Safe-Harbor-Prinzipien gar nicht erst anzuwenden, sollten sie etwa mit der nationalen Sicherheit, dem öffentlichen Interesse oder der Durchführung von Gesetzen der Vereinigten Staaten im Widerspruch stehen. Einige behaupten daher sogar, Safe Harbor sei nicht einmal „das Papier wert, auf dem es geschrieben steht.“

Das nun gesprochene Urteil hat nicht nur Auswirkungen auf US-Unternehmen, sondern auch auf deutsche Konzerne, die personenbezogene Daten etwa an Dienstleister in die Vereinigten Staaten übermitteln. Wer im Moment weiterhin legal mit amerikanischen Firmen zusammenarbeiten möchte, hat im Wesentlichen drei Möglichkeiten: Die Einwilligung, die Standardvertragsklausel oder Binding Corporate Rules. Wer nun online etwas in den Vereinigten Staaten kaufen möchte oder wenn eine Übertragung zur Erfüllung eines Vertrages im Interesse des Betroffenen ist, so ist dies weiterhin rechtlich möglich, denn das erkennt das Bundesdatenschutzgesetz als zwei wichtige Ausnahmen an.

Nicht erst seit diesem Rechtsspruch gibt es Überlegungen für neue Regelungen. Schon seit den Snowden-Enthüllungen verhandelt die EU mit den USA über ein neues Abkommen. Für Max Schrems bedeutet das Urteil einen Meilenstein mit Blick auf die Online-Privatssphäre. Bleibt abzuwarten, ob das auch tatsächlich der Fall ist.