Die Konsequenzen für die Unternehmen wiegen schwer. In Zukunft müssen diese jeden einzelnen Nutzer explizit um eine Einwilligung zur Übertragung der Daten in die USA bitten und dabei auch auf die willkürliche Überwachung der Daten durch die US-Nachrichtendienste hinweisen. Bürger, wie Max Schrems, können sich auf größere Erfolgschancen bei Beschwerden gegenüber den Datenschutzbehörden freuen.
Unternehmen stehen nun vor einer großen Herausforderung
Die Datenübermittlungen sind ab der heutigen Entscheidung unwirksam und nicht rückwirkend für bereits erfolgte Datenübermittlungen. Nichts desto trotz besteht nun für die Zukunft erst einmal eine große Rechtsunsicherheit für die Unternehmen in Bezug auf die Übertragung der Daten.
Das große Problem ist, dass der US Patriot Act - das Gesetz, das letztlich das Safe-Harbor-Abkommen unterlief - nicht außer Kraft gesetzt werden wird. Insofern wird jede denkbare Lösung, beispielsweise über den Abschluss von Standardverträgen, an diesem Gesetz scheitern. Solange die US-Nachrichtendienste die Befugnis haben auf die Daten der EU-Bürger jederzeit zuzugreifen, ist der Datenschutz nach EU-Grundsätzen nicht gewährleistet. Einzig, wenn jeder einzelne Bürger sich mit dieser Praxis einverstanden erklärt, könnte ein wirksamer Datenschutz erzielt werden. Das bedeutet für die Unternehmen einen enormen Aufwand. Sie müssten den Nutzern detaillierte Einwilligungserklärungen zur Übertragung der Daten zur Verfügung stellen. Insbesondere mit dem Hinweis, dass US-Behörden sich jederzeit Zugriff auf die Daten verschaffen können. Außerdem hätten die Nutzer jederzeit die Möglichkeit ihr Einverständnis zu widerrufen und die Löschung der Daten zu verlangen. Das würde eine große Herausforderung für die Geschäftsprozesse der Unternehmen bedeuten. Eine andere Lösung zur rechtmäßigen Übertragung von Daten in die USA sehe ich nach der heutigen Entscheidung jedoch nicht.
Was ist das Safe-Harbor-Abkommen?
Das Safe Harbor Abkommen entstand im Jahre 2000, als das US-Handelsministerium die sieben "Grundsätze des "sicheren Hafens" zum Datenschutz" veröffentlicht hat. Die EU-Kommission entschied daraufhin, dass diese Grundsätze ein angemessenes Schutzniveau für die Übertragung von Daten aus der EU gewährleisten und legte damit die Basis für die rechtmäßige Übertragung personenbezogener Daten von EU-Bürgern auf die Server von US-Unternehmen. Ohne das Safe-Harbor-Abkommen wäre eine Datenübertragung rechtswidrig gewesen, da die EU-Datenschutzrichtlinie 95/46/EG die Übertragung von personenbezogenen Daten in Staaten verbietet, die keinen vergleichbaren Datenschutz wie die EU aufweist. Das trifft auf den US-Bundesstaat zu.
Das Abkommen ermöglicht US-Unternehmen sich zu den sogenannten Safe Harbor Principles (englisch für "Grundsätze des sicheren Hafens") zu bekennen, die bestimmte Schutzvorschriften bei der Übertragung personenbezogener Daten vorsehen. Auf diese Weise sollte eine Rechtssicherheit bei der Übertragung der personenbezogenen Daten mit diesen Unternehmen gewährleistet werden. Bislang hatten sich 4.410 Unternehmen zu den Safe Harbor Grundsätzen bekannt. Darunter auch Facebook, Google, Twitter und Yahoo.
US Patriot Act unterläuft Safe Harbor
Das Problem ist jedoch, dass der US Patriot Act - ein Bundesgesetz, das im Kampf gegen den Terrorismus verabschiedet wurde - vorsieht, dass US-Sicherheitsbehörden in manchen Fällen das Recht haben, sich auch ohne Erlaubnis der Dateninhaber Zugriff auf die von den Unternehmen gespeicherten Daten zu verschaffen. Datenschützer liefen Sturm, denn durch diese Praxis sei das Safe Harbor Abkommen wertlos. Die übertragenen Daten würden nicht den Schutz erfahren, der durch das Abkommen ursprünglich gewährleistet werden sollte.
Wie kam es zu dem Verfahren?
Gegen diese Praxis der Datenspionage durch die US-Nachrichtendienste hatte sich der Österreicher Max Schrems gewehrt. Er wandte sich zunächst an die zuständige irische Datenschutzkommission, die jedoch lediglich auf das Safe Harbor Abkommen verwies. Max Schrems klagte daraufhin vor dem irischen High Court, der im Rahmen des Verfahrens vom EuGH wissen wollte, ob die Datenschutzkommission hier tatsächlich keine Befugnisse hatte der Beschwerde nachzugehen und einen Rechtsverstoß zu prüfen. Diese Frage verneinte der EuGH heute.
Das Gericht stellte fest, dass die nationalen Datenschutzbehörden sehr wohl nach einer Beschwerde prüfen dürften, ob die Datenübermittlung im Einzelfall den Anforderungen des Datenschutzes genüge - und das unabhängig davon, ob die EU-Kommission die Datenübertragung durch das Safe-Harbor-Abkommen für rechtmäßig befindet.
Das Gericht ging dann aber noch einen Schritt weiter und erklärte das ganze Abkommen für ungültig. Grund dafür sei, dass die Kommission in ihrer Entscheidung zu Safe-Harbor damals nicht festgestellt hat, ob die USA aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau "gewährleisten". Das Gericht stellt fest, dass "ohne dass es einer Prüfung des Inhalts der Grundsätze des "sicheren Hafens" bedarf, der Schluss zu ziehen sei, dass Art. 1 der Entscheidung 2000/520 gegen die in Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Charta festgelegten Anforderungen verstößt und aus diesem Grund ungültig ist". Hier die Entscheidung des EuGH im Volltext: C_0362_2014 DE ARR
Ähnliche Artikel:
- Umbrella-Agreement: Rahmenabkommen zum Datenschutz zwischen USA und EU unterzeichnet
- Facebook: EuGH prüft Verstoß gegen den Datenschutz
- Achtung Unternehmen: Vorsicht bei Übermittlung von persönlichen Daten ins Ausland
