Nicht jeder Anzug hält,
was er verspricht.

Die Wahrheit ist keine
Interpretationssache.

Schräge Kreationen brauchen
manchmal konservativen Beistand.

Der Teufel steckt
immer wieder im Detail.

Man sieht nicht gleich,
wer etwas zu verbergen hat.

Neue Ideen brauchen zum Schutz
hin und wieder recht alte Schinken.

Ohne Fürsorge kann der
kostbarste Inhalt wertlos werden.

EuGH erklärt „Safe-Harbor“-Regelung für ungültig

6. Oktober 2015

In seiner Entscheidung vom 6. Oktober 2015 (Az. C-362/14) erklärte der Europäische Gerichtshof (EuGH) die sogenannte „Safe-Harbor“-Regelung für ungültig. Das Luxemburger Gericht sah die Daten von u.a. Facebook-Nutzern nicht ausreichend geschützt.

Geklagt hatte der österreichische Jurist und Datenschützer Maximilian Schrems, der mit der Speicherung und Weiterleitung seiner auf der Social-Media-Plattform Facebook ehemals veröffentlichten persönlichen Daten nicht mehr einverstanden war. Er hatte herausgefunden, dass Facebook auch noch längst gelöscht geglaubte Daten vorhielt. Die Daten von allen EU-Nutzern der Plattform Facebook werden von der irischen Tochtergesellschaft des amerikanischen Internetunternehmens ganz oder teilweise an Server in den USA übermittelt und dort verarbeitet.

Schrems legte bei der irischen Datenschutzbehörde Beschwerde ein: Insbesondere vor dem Hintergrund der von Edward Snowden enthüllten Tätigkeiten der US-Nachrichtendienste, besonders der National Security Agency (NSA), war er der Ansicht, dass Recht und Praxis der Vereinigten Staaten keinen ausreichenden Schutz der Daten böte. Die Datenschutzbehörde wies die Beschwerde mit der Begründung  zurück, dass die Kommission in der Entscheidung 2000/520/EG vom 26. Juli 2000 festgestellt habe, dass die USA im Rahmen der „Safe-Harbor“-Regelung ein angemessenes Schutz-Niveau der Daten gewährleiste.

Bei der „Safe-Harbor“-Regelung handelt es sich um eine Entscheidung der Europäischen Kommission, aufgrund derer es Unternehmen ermöglicht werden sollte, personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA zu übermitteln. Die Datenschutzrichtlinie 95/46/EG verbietet es grundsätzlich, personenbezogene Daten aus Mitgliedstaaten der Europäischen Union in Staaten zu übertragen, deren Datenschutz kein dem EU-Recht vergleichbares Schutzniveau aufweist. Dazu zählen auch die USA, denn das amerikanische Recht kennt keine umfassenden gesetzlichen Regelungen, die den Standards der EU insoweit entsprechen würden. Damit der Datenverkehr zwischen der EU und den USA dennoch gewährleistet werden konnte, wurde ein Verfahren entwickelt, bei dem US-Unternehmen dem „Safe-Harbor“ beitreten und sich auf der entsprechenden Liste des US-Handelsministeriums eintragen lassen können, wenn sie sich verpflichten, die „Safe-Harbor“-Prinzipien zu befolgen. In der Entscheidung 2000/520/EG vom 26. Juli 2000 hat die Europäische Kommission sodann anerkannt, dass bei den Unternehmen, die diesem System beigetreten sind, ein ausreichender Schutz für die personenbezogenen Daten von EU-Bürgern bestehe.

Der EuGH erklärte nunmehr die zwischen der EU und den USA getroffene „Safe-Harbor“-Regelung für ungültig, denn „…die Kommission hätte feststellen müssen, dass die Vereinigten Staaten aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleisten, das dem in der Union aufgrund der Richtlinie im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist…“. Eine solche Feststellung hätte die Kommission jedoch nicht getroffen. Damit haben die Richter die Grundrechte bei der Übermittlung privater Daten betont. Sie verweisen eindrücklich darauf, dass die Europäische Kommission die Befugnisse nationaler Datenschutzbehörden weder beseitigen noch auch nur beschränken kann.

Das Gericht stellte zudem heraus, dass das Schutzniveau der Grundrechte bei den in die USA übermittelten Daten nicht garantiert sei – an der Snowden-Aufklärung über die Geheimdienstzugriffe könne keiner mehr vorbeisehen. Auch sei bei der Entscheidung der Kommission weder festgestellt worden, dass es in den USA Regeln gibt, die dazu dienen, mögliche Eingriffe der US-Behörden in die Grundrechte zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt.

Fazit:

Das Urteil hat Konsequenzen auf die Datenübermittlung zwischen EU-Staaten und den USA. Es geht um Kunden- und Nutzerdaten sowie die Daten von Beschäftigten nicht nur von großen Internet-Unternehmen wie Facebook, Google, Microsoft oder Apple, sondern auch von unzähligen kleinen und mittelständigen Unternehmen, die sich bisher komplett auf die „Safe-Harbor“-Regelung verlassen hatten.

Haben Sie Fragen zum Internet- und Datenschutzrecht? Kontaktieren Sie uns, wir helfen Ihnen gerne weiter.