Datenschutz

EuGH erklärt Safe-Harbor-Abkommen für ungültig – Welche Konsequenzen hat das Urteil?

Der Europäische Gerichtshof (EuGH) hat das Safe-Harbor-Abkommen zwischen dem US-Handelsministerium und der EU-Kommission für ungültig erklärt. Damit folgte der EuGH im Ergebnis den Schlussanträgen des Generalanwalts, Yves Bot, der bereits am 23. September 2015 zu dem Schluss kam, dass das Safe Harbor Abkommen mit den USA gegen das Datenschutzrecht verstößt und somit ungültig ist.

„Die Konsequenzen für die Unternehmen wiegen schwer“, sagt der Kölner IT-Anwalt Christian Solmecke. „In Zukunft müssen diese jeden einzelnen Nutzer explizit um eine Einwilligung zur Übertragung der Daten in die USA bitten und dabei auch auf die willkürliche Überwachung der Daten durch die US-Nachrichtendienste hinweisen. Bürger, wie Max Schrems, können sich auf größere Erfolgschancen bei Beschwerden gegenüber den Datenschutzbehörden freuen“.

 

Unternehmen stehen nun vor einer großen Herausforderung

Die Datenübermittlungen sind ab der heutigen Entscheidung unwirksam und nicht rückwirkend für bereits erfolgte Datenübermittlungen. Nichts desto trotz besteht nun für die Zukunft erst einmal eine große Rechtsunsicherheit für die Unternehmen in Bezug auf die Übertragung der Daten.

„Das große Problem ist“, erklärt Solmecke, „dass der US Patriot Act – das Gesetz, das letztlich das Safe-Harbor-Abkommen unterlief – nicht außer Kraft gesetzt werden wird. Insofern wird jede denkbare Lösung, beispielsweise über den Abschluss von Standardverträgen, an diesem Gesetz scheitern. Solange die US-Nachrichtendienste die Befugnis haben auf die Daten der EU-Bürger jederzeit zuzugreifen, ist der Datenschutz nach EU-Grundsätzen nicht gewährleistet. Einzig, wenn jeder einzelne Bürger sich mit dieser Praxis einverstanden erklärt, könnte ein wirksamer Datenschutz erzielt werden. Das bedeutet für die Unternehmen einen enormen Aufwand. Sie müssten den Nutzern detaillierte Einwilligungserklärungen zur Übertragung der Daten zur Verfügung stellen. Insbesondere mit dem Hinweis, dass US-Behörden sich jederzeit Zugriff auf die Daten verschaffen können. Außerdem hätten die Nutzer jederzeit die Möglichkeit ihr Einverständnis zu widerrufen und die Löschung der Daten zu verlangen. Das würde eine große Herausforderung für die Geschäftsprozesse der Unternehmen bedeuten. Eine andere Lösung zur rechtmäßigen Übertragung von Daten in die USA sehe ich nach der heutigen Entscheidung jedoch nicht“.

Was ist das Safe-Harbor-Abkommen?

Das Safe Harbor Abkommen entstand im Jahre 2000, als das US-Handelsministerium die sieben „Grundsätze des „sicheren Hafens“ zum Datenschutz“ veröffentlicht hat. Die EU-Kommission entschied daraufhin, dass diese Grundsätze ein angemessenes Schutzniveau für die Übertragung von Daten aus der EU gewährleisten und legte damit die Basis für die rechtmäßige Übertragung personenbezogener Daten von EU-Bürgern auf die Server von US-Unternehmen. Ohne das Safe-Harbor-Abkommen wäre eine Datenübertragung rechtswidrig gewesen, da die EU-Datenschutzrichtlinie 95/46/EG die Übertragung von personenbezogenen Daten in Staaten verbietet, die keinen vergleichbaren Datenschutz wie die EU aufweist. Das trifft auf den US-Bundesstaat zu.

Das Abkommen ermöglicht US-Unternehmen sich zu den sogenannten Safe Harbor Principles (englisch für „Grundsätze des sicheren Hafens“) zu bekennen, die bestimmte Schutzvorschriften bei der Übertragung personenbezogener Daten vorsehen. Auf diese Weise sollte eine Rechtssicherheit bei der Übertragung der personenbezogenen Daten mit diesen Unternehmen gewährleistet werden. Bislang hatten sich 4.410 Unternehmen zu den Safe Harbor Grundsätzen bekannt. Darunter auch Facebook, Google, Twitter und Yahoo.

US Patriot Act unterläuft Safe Harbor

Das Problem ist jedoch, dass der US Patriot Act – ein Bundesgesetz, das im Kampf gegen den Terrorismus verabschiedet wurde – vorsieht, dass US-Sicherheitsbehörden in manchen Fällen das Recht haben, sich auch ohne Erlaubnis der Dateninhaber Zugriff auf die von den Unternehmen gespeicherten Daten zu verschaffen. Datenschützer liefen Sturm, denn durch diese Praxis sei das Safe Harbor Abkommen wertlos. Die übertragenen Daten würden nicht den Schutz erfahren, der durch das Abkommen ursprünglich gewährleistet werden sollte.

Wie kam es zu dem Verfahren?

Gegen diese Praxis der Datenspionage durch die US-Nachrichtendienste hatte sich der Österreicher Max Schrems gewehrt. Er wandte sich zunächst an die zuständige irische Datenschutzkommission, die jedoch lediglich auf das Safe Harbor Abkommen verwies. Max Schrems klagte daraufhin vor dem irischen High Court, der im Rahmen des Verfahrens vom EuGH wissen wollte, ob die Datenschutzkommission hier tatsächlich keine Befugnisse hatte der Beschwerde nachzugehen und einen Rechtsverstoß zu prüfen. Diese Frage verneinte der EuGH heute. Das Gericht stellte fest, dass die nationalen Datenschutzbehörden sehr wohl nach einer Beschwerde prüfen dürften, ob die Datenübermittlung im Einzelfall den Anforderungen des Datenschutzes genüge – und das unabhängig davon, ob die EU-Kommission die Datenübertragung durch das Safe-Harbor-Abkommen für rechtmäßig befindet. Das Gericht ging dann aber noch einen Schritt weiter und erklärte das ganze Abkommen für ungültig. Grund dafür sei, dass die Kommission in ihrer Entscheidung zu Safe-Harbor damals nicht festgestellt hat, ob die USA aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau „gewährleisten“. Das Gericht stellt fest, dass „ohne dass es einer Prüfung des Inhalts der Grundsätze des „sicheren Hafens“ bedarf, der Schluss zu ziehen sei, dass Art. 1 der Entscheidung 2000/520 gegen die in Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Charta festgelegten Anforderungen verstößt und aus diesem Grund ungültig ist“. Hier die Entscheidung des EuGH im Volltext: C_0362_2014 DE ARR

(JEB)

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (3 Bewertungen, Durchschnitt: 5,00 von 5)

RSSKommentare (1)

Kommentar schreiben | Trackback URL

  1. Joachim Schmid sagt:

    Absolut richtige Entscheidung. Was mit meinen privaten Daten gemacht wird obliegt einzig und alleine meiner Entscheidung und nicht bei fremden Leuten in anderen Ländern !

    Die Frage ist nur, was nützt so ein Abkommen wirklich ?
    Die gesetzlose NSA und BND Mitarbeiter scheren sich doch recht wenig um Rechte der Bürger.
    Die schnüffeln doch einfach weiter völlig ungestraft in privaten Briefen, Emails und unter Betriebsgeheimnis liegenden Dokumente der Konzernen herum.

    Das kann man doch nur eindämmen, indem man das transatlantische Kabel mit einer Axt durchtrennt !
    Traurig, das man so weit gehen muss…

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×