Bisher war es extrem einfach, Daten von Europäern in die USA zu schicken. Dafür sorgte seit 2000 die Vereinbarung „Safe Harbor“. Sie wurde jetzt gekippt. Vor allem auf kleinere Unternehmen, die sich darauf verließen, kommt mehr Aufwand zu.
Luxemburg - Nach einem bahnbrechenden Urteil wird die Übermittlung persönlicher Daten europäischer Internet-Nutzer in die USA schwieriger. Der Europäische Gerichtshof (EuGH) erklärte die 15 Jahre alte Vereinbarung zur unkomplizierten Datenübertragung („Safe Harbor“) für ungültig. Die Informationen seien in den USA nicht ausreichend vor dem Zugriff von Behörden und Geheimdiensten geschützt, das verletze die Rechte der Europäer, urteilten die Richter in Luxemburg am Dienstag. (Rechtssache C-362/14).
Die Entscheidung hat weitreichende Folgen für die Internet-Wirtschaft. Vor allem kleinere Unternehmen verließen sich bisher darauf, dass Datenübermittlung in die USA unbedenklich ist. Ohne „Safe Harbor“ müsste jede Firma selber dafür Sorgen, dass der rechtliche Rahmen nach der Datenschutz-Grundverordnung eingehalten wird. Das kann zusätzliche Verträge und Aufwand für Anwälte bedeuten. Betroffen sind gleichermaßen deutsche und amerikanische Unternehmen, die Daten in die USA fließen lassen.
Die EU-Kommission, die „Safe Harbor“ beschlossen hatte, will nun über die Folgen des Urteils beraten. „Das ist eine wichtige Entscheidung, die eine Reihe an politischen Fragen auslöst“, sagte ein Sprecher.
Facebook sieht sich vom Urteil nicht betroffen
Das Urteil ist ein juristischer Erfolg für den österreichischen Facebook-Kritiker Max Schrems, der das Verfahren ausgelöst hatte. Schrems klagt gegen das weltgrößte Online-Netzwerk Facebook, weil seiner Ansicht nach seine Facebook-Daten in den USA nicht vor staatlicher Überwachung etwa durch die Geheimdienste geschützt sind. Zur Begründung verwies er auf den NSA-Skandal. Nun ist der Weg dafür frei, dass seine Beschwerde auch geprüft wird.
Facebook selbst sieht sich allerdings nicht von dem EuGH-Urteil betroffen. „Facebook verlässt sich wie Tausende europäische Unternehmen auf eine Reihe von Mitteln nach EU-Recht, um unabhängig von Safe Harbor legal Daten von Europa in die USA zu übermitteln“, erklärte ein Sprecher. Schon seit der Datenschutz-Grundverordnung von 1995 gibt es diverse Wege, auf denen Daten legal ins Ausland fließen können. „Safe Harbor“ war nur eine Art Blanko-Erlaubnis, die den Datentransfer vereinfachen sollte.
In dem Verfahren wollte ein irisches Gericht im Kern wissen, ob nationale Behörden das Datenschutzniveau in den USA auch selbst prüfen können, oder ob sie an das europäisch-amerikanische Abkommen gebunden sind. Die Vereinbarung soll europäische Datenschutzstandards garantieren, auch in den USA. Allerdings mussten US-Firmen sich lediglich registrieren lassen und sich dazu verpflichten, bestimmte Prinzipien einzuhalten.
Die Luxemburger Richter bestätigten ausdrücklich, dass Betroffene das Recht haben, die nationalen Gerichte anzurufen. Nationale Datenschutzbehörden dürften prüfen, ob die Daten einer Person entsprechend geschützt seien.
Die Richter gingen noch weiter
Doch die Richter gingen noch weiter: Nach Ansicht des Gerichts bietet das - als wirtschaftsfreundlich bekannte - „Safe Harbor“-Abkommen keine ausreichende Basis für eine Datenübermittlung. Das Gericht erklärte die Einschätzung der EU-Kommission, wonach die USA ein angemessenes Schutzniveau von übermittelten personenbezogenen Daten gewährleisten, für ungültig. In den USA hätten Überlegungen nationaler Sicherheit Vorrang vor den Personenrechten und die Europäer könnten nicht dagegen vorgehen. „Die EU-Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu beschränken“, kritisierten die Richter.
In Irland, dem Europa-Sitz von Facebook, liegen zahlreiche Datenschutzbeschwerden vor. Diese müssen nun genau geprüft werden, mahnen die Luxemburger Richter und schreiben vor, „dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen“ muss. Sie könnten die Übermittlung europäischer Facebook-Daten auf Server in die USA verbieten, „weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet“.