06.10.2015 | Datenschutz

Safe Harbor-Abkommen zum Datenschutz ist ungültig

Von wegen sicherer Hafen: Der EuGH hat wegen Datenschutzbedenken das Safe-Harbor-Abkommen für ungültig erklärt
Bild: MEV-Verlag, Germany

Datenschutz nach europäischem Recht und Safe Harbor sind unvereinbar. So kann man das Urteil des Europäischen Gerichtshofs (EuGH) zum Datenverkehr zwischen der EU und den USA zusammenfassen. Begründung: Mit dem sogenannten Safe Harbor-Abkommen aus dem Jahr 2000 habe die EU die Rechte und Befugnisse der nationalen Datenschutzbehörden unrechtmäßig eingeschränkt.

Die USA bieten möglicherweise kein angemessenes Schutzniveau für personenbezogene Daten. So lautet ein Grund für die Entscheidung des EuGH vom 6. Oktober 2015, das sogenannte "Safe Harbor-Abkommen" zwischen der EU und den USA für ungültig zu erklären. Zudem schränke dieses Abkommen die rechte der nationalen Datenschutzbehörden in der EU unzulässig ein.

Verstößt Facebook gegen europäischen Datenschutz?

Geklagt hatte der Österreicher Max Schrems. Dieser hatte sich an die irische Datenschutzbehörde gewandt, weil er der Meinung war, dass nicht zuletzt wegen der Schnüffeleien der NSA keine Daten europäischer Facebook-Nutzer zur Verarbeitung in die USA ausgeliefert werden dürften. Die irische Datenschutzbehörde, die für Facebook zuständig ist, ging seiner Beschwerde nicht nach. Dabei berief sie sich auf das Abkommen, mit dem die EU festgestellt habe, dass die USA ein angemessenes Schutzniveau biete.

Das aber sei hinfällig, so die EuGH-Richter, denn: "die Existenz einer Entscheidung der Kommission, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für übermittelte personenbezogene Daten gewährleistet, [könne] die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union und der Richtlinie verfügen, weder beseitigen noch auch nur beschränken", wie es in der Presseerklärung zum Urteil heißt. 

Datenschutz: Beschwerden muss nachgegangen werden

Die Richter betonen, dass die Safe-Harbor-Regelung in keiner Weise nationale Datenschutzbehörden daran hindere, Hinweisen auf Verstöße gegen den Datenschutz nachzugehen. Die Behörden müssten bei Beschwerden völlig unabhängig prüfen, ob bei der Übermittlung personenbezogener Daten in die USA gegen europäische Datenschutzregeln verstoßen werde. 

Der EuGH moniert zudem, dass die EU-Kommission im Jahr 200 hätte feststellen müssen, dass die USA ein angemessenes Schutzniveau bieten. Das sei nicht geschehen. Stattdessen habe die EU-Kommission nur die Safe-Harbor-Regelung geprüft. Diese Regelung gelte aber nur für US-amerikanische Unternehmen, die sich ihr unterwerfen.. Sie gälte aber nicht für US-Behörden. 

Datenschutzbehörden dürfen in ihrer Arbeit nicht beschränkt werden

Zudem stellt der EuGH fest, "dass nach dem Unionsrecht eine Regelung nicht auf das absolut Notwendige beschränkt ist, wenn sie generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne objektive Kriterien vorzusehen, die es ermöglichen, den Zugang der Behörden zu den Daten und deren spätere Nutzung zu beschränken", wie es in der Pressemitteilung weiter heißt.

Mit anderen Worten: Die Art und Weise, wie Facebook und andere Unternehmen mit den Daten ihrer Nutzer verfahren, widerspricht per se den in Europa gültigen Datenschutzbestimmungen. Abschließend erklärt der EuGH, "die Entscheidung der Kommission vom 26. Juli 2000 für ungültig". 

Muss Facebook die Datenübermittlung in die USA stoppen?

Was heißt das im konkreten Fall? Auch dazu ein Zitat aus der Pressemitteilung: "Dieses Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet."


Der Hightech-Verband Bitkom hat sich auch zur Sache gemeldet. Die Geschäftsleiterin, Susanne Dehmel, forderte die EU-Kommission und die nationalen Datenschutzbehörden auf, schnell für neue, rechtssichere Regelungen zu sorgen. "Die Digitalwirtschaft braucht international einheitliche Regelungen zum Datenschutz auf hohem Niveau. Tausende von Unternehmen haben ihre Datenübermittlungen zwischen Deutschland und den USA bisher auf Safe Harbor gestützt. Die Unternehmen brauchen jetzt schnellstmöglich Rechtssicherheit", kommentierte Dehmel.

Schlagworte zum Thema:  Datenschutz, EuGH, Kundendaten, Nutzung personenbezogener Daten

Aktuell

Meistgelesen