Sicherheit

Paukenschlag des EuGH: Safe Harbor-Abkommen ungültig

© david_leshem - Fotolia.com

In einer Aufsehen erregenden Entscheidung mit noch unüberschaubaren Konsequenzen hat der Europäische Gerichtshof (EuGH) am 6. Oktober das Safe Harbor-Abkommen zum Austausch personenbezogener Daten zwischen der Europäischen Union und den USA für ungültig erklärt (Az. C-362/14).  Das Gericht folgte damit den Schlussanträgen des Generalanwalts Yves Bot, der bereits am 23. September 2015 zu dem Ergebnis kam, dass das Safe Harbor-Abkommen mit den USA gegen das Datenschutzrecht verstößt und somit ungültig ist.  

Was ist (war) das Safe Harbor-Abkommen?

Die Datenschutzrichtlinie (Richtlinie 95/46/EG) und das Bundesdatenschutzgesetz (BDSG) verbieten die Übermittlung personenbezogener Daten aus EU-Mitgliedstaaten in Staaten, die über kein Datenschutzniveau verfügen, das dem der EU-Mitgliedstaaten entspricht. Ein solches „Defizit“ hinsichtlich des Datenschutzes besteht unter anderem im Hinblick auf die USA, bleibt das US-Datenschutzrecht doch weit hinter dem EU-Datenschutzrecht zurück.

Vor diesem Hintergrund entstand im Jahre 2000 das sog. Safe Harbor-Abkommen, als das US-Handelsministerium sieben „Grundsätze des ‚sicheren Hafens’ zum Datenschutz“ veröffentlichte. Die EU-Kommission hatte daraufhin entscheiden, dass diese Grundsätze ein angemessenes Schutzniveau für die Übertragung von Daten aus der EU gewährleisten und damit die Basis für die rechtmäßige Übertragung personenbezogener Daten von EU-Bürgern auf die Server von US-Unternehmen gelegt.  

Das Abkommen ermöglichte es US-Unternehmen, sich zu den sogenannten Safe Harbor Principles (englisch für „Grundsätze des sicheren Hafens“) zu bekennen, die bestimmte Schutzvorschriften bei der Übertragung personenbezogener Daten vorsehen. Auf diese Weise sollte Rechtssicherheit bei der Übertragung der personenbezogenen Daten mit diesen Unternehmen gewährleistet werden. Bislang hatten sich 4.410 Unternehmen zu den Safe Harbor-Grundsätzen bekannt. Darunter auch Facebook, Google, Twitter und Yahoo.

US Patriot Act unterläuft Safe Harbor

Das Problem ist jedoch, dass der US Patriot Act – ein Bundesgesetz, das im Kampf gegen den Terrorismus verabschiedet wurde – vorsieht, dass US-Sicherheitsbehörden in manchen Fällen das Recht haben, sich auch ohne Erlaubnis der Dateninhaber Zugriff auf die von den Unternehmen gespeicherten Daten zu verschaffen. Datenschützer liefen Sturm, da durch diese Praxis das Safe Harbor-Abkommen wertlos sei. Die übertragenen Daten würden nicht den Schutz erfahren, der durch das Abkommen ursprünglich gewährleistet werden sollte.

Wie kam es zu dem Verfahren?

Gegen diese Praxis der Datenspionage durch die US-Nachrichtendienste hatte sich der Österreicher Max Schrems gewehrt. Er wandte sich zunächst an die zuständige irische Datenschutzkommission, die jedoch lediglich auf das Safe Harbor-Abkommen verwies. Max Schrems klagte daraufhin vor dem irischen High Court, der im Rahmen des Verfahrens vom EuGH wissen wollte, ob die Datenschutzkommission hier tatsächlich keine Befugnisse hatte, der Beschwerde nachzugehen und einen Rechtsverstoß zu prüfen.

Diese Frage verneinte der EuGH. Das Gericht stellte fest, dass die nationalen Datenschutzbehörden sehr wohl nach einer Beschwerde prüfen dürften, ob die Datenübermittlung im Einzelfall den Anforderungen des Datenschutzes genüge – und dies unabhängig davon, ob die EU-Kommission die Datenübertragung durch das Safe-Harbor-Abkommen für rechtmäßig befindet. Das Gericht ging dann aber noch einen Schritt weiter und erklärte das ganze Abkommen für ungültig. Grund dafür sei, dass die Kommission in ihrer Entscheidung zu Safe-Harbor damals nicht festgestellt habe, ob die USA aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau „gewährleisten“. Das Gericht stellte fest, dass „ohne dass es einer Prüfung des Inhalts der Grundsätze des ‚sicheren Hafens’ bedarf, der Schluss zu ziehen ist, dass Art. 1 der Entscheidung 2000/520 gegen die in Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Charta festgelegten Anforderungen verstößt und aus diesem Grund ungültig ist“.

Unternehmen stehen vor einer großen Herausforderung

Die Konsequenzen für die Unternehmen wiegen nach Auffassung des Autors schwer. Mit der Entscheidung vom 6. Oktober sind künftige Datenübermittlungen – keine Rückwirkung! – unwirksam. Dabei besteht aber für die Unternehmen zunächst eine große Rechtsunsicherheit: Da der US Patriot Act – das Gesetz, das letztlich das Safe-Harbor-Abkommen unterlief – nicht außer Kraft gesetzt werden wird, muss insofern jede denkbare Lösung, beispielsweise über den Abschluss von Standardverträgen, an diesem Gesetz scheitern. Solange die US-Nachrichtendienste die Befugnis haben, auf die Daten der EU-Bürger jederzeit zuzugreifen, ist der Datenschutz nach EU-Grundsätzen nicht gewährleistet.

Einzig, wenn jeder einzelne Bürger sich mit dieser Praxis einverstanden erklärt, könnte ein wirksamer Datenschutz erzielt werden. Das bedeutet für die Unternehmen einen enormen Aufwand. Sie müssten den Nutzern detaillierte Einwilligungserklärungen zur Übertragung der Daten zur Verfügung stellen, die insbesondere den expliziten Hinweis enthalten, dass US-Behörden sich jederzeit Zugriff auf die Daten verschaffen können. Außerdem hätten die Nutzer jederzeit die Möglichkeit, ihr Einverständnis zu widerrufen und die Löschung der Daten zu verlangen – eine große Herausforderung für die Geschäftsprozesse der Unternehmen. Eine andere Lösung zur rechtmäßigen Übertragung von Daten in die USA ist nach Auffassung des Autors aber nach der heutigen Entscheidung derzeit nicht in Sicht.