Artikel drucken
06.10.2015

Facebook & Co: EuGH stärkt europäische Datenschützer

Persönliche Daten von europäischen Internetnutzern sind in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt. Zu diesem Urteil gelangte der Europäische Gerichtshof (EuGH) heute – und kippt damit das sogenannte Safe-Harbor-Abkommen. Die Richter folgten mit ihrem Urteil dem Antrag des Generalanwalts Yves Bot. Das Urteil wird weitreichende Folgen für Internetkonzerne und Cloud-Dienste haben, deren Server außerhalb Europas stehen.

Der österreichische Student Max Schrems war gegen die irische Datenschutzaufsichtsbehörde vor den EuGH gezogen (C-362/14). Stein des Anstoßes: US-Unternehmen wie Facebook würden persönliche Daten regelmäßig in die USA übermitteln und damit gegen europäisches Datenschutzrecht verstoßen. Persönliche Daten, so Schrems, seien in den USA nicht vor staatlicher Überwachung geschützt. Er berief sich dabei auf die Enthüllungen Edward Snowdens. Denn das US-Geheimgericht FISC könne US-Unternehmen dazu zwingen, Nutzerdaten herauszugeben.

Schrems hatte deswegen bei der irischen Datenschutzbehörde Beschwerde eingelegt, die diese aber zurückwies. Die Datenschutzbehörde hatte sich auf das Safe-Harbor-Abkommen berufen. Facebook, dessen europäische Firmenzentrale in Dublin liegt, war diesem Abkommen beigetreten. Deshalb dürften die Datenschützer die Datenübermittlung des Internetkonzerns nicht überprüfen, argumentierte die Behörde gegenüber Schrems.

US-Firmen brauchen neue Rechtsgrundlage für Datentransfer

Schrems zog mit seinem Fall vor den obersten irischen Gerichtshof, der seinerseits den Fall dem EuGH in Luxemburg vorlegte. Die Richter stellten mit ihrem Urteil heute fest, dass Safe Harbor die Kontrollbefugnisse der Datenschutzbehörden nicht einschränkt. Datenschutzbehörden dürften damit die Datenübertragung kontrollieren und gegebenenfalls verbieten, auch wenn ein Unternehmen nach Safe Harbor zertifiziert ist.

Als Safe Harbor wird eine Entscheidung aus dem Jahr 2000 bezeichnet. Die war seinerzeit nötig geworden, weil die deutsche Datenschutzrichtlinie es verbot, personenbezogene Daten aus den Mitgliedstaaten der EU in Staaten mit geringerem Datenschutzniveau zu übertragen. Dazu zählten auch die USA. In Absprache mit den USA einigte sich die EU-Kommission damals darauf, dass personenbezogene Daten nur dann in die USA übermittelt werden dürfen, wenn der Umgang mit ihnen den europäischen Datenschutzrichtlinien entspricht.

Wollte sich ein US-Unternehmen nach dem Abkommen zertifizieren, musste es der US-Handelsbehörde FTC versichern, Vorgaben zu erfüllen, die in Summe für ein angemessenes Datenschutzniveau sorgten. Die Safe-Harbor-Prinzipien regeln etwa die Informationspflichten und die Weitergabe personenbezogener Daten durch das Unternehmen an Dritte. War ein Unternehmen bis dato nach Safe Harbor zertifiziert, konnte es innerhalb der EU personenbezogene Daten in die USA weitergeben. Mittlerweile haben sich rund 4.500 Unternehmen zertifizieren lassen.

In Deutschland hat das Landeszentrum für Datenschutz Schleswig-Holstein bereits angekündigt, gegen US-Unternehmen datenschutzrechtlich vorzugehen. Sein früherer Leiter, Thilo Weichert, galt lange Jahre als besonders strenger Datenschutzrechtler. In jedem Fall brauchen die Unternehmen, die sich bis dato auf Safe Harbor verlassen haben, eine neue rechtliche Grundlage für den Datentransfer. Das könnten etwa Binding Corporate Rules oder Standard-Vertragsklauseln sein.

Schrems wurde vor dem EuGH von einem internationalen Juristenteam vertreten, darunter mehrere irische Anwälte und der Rechtsprofessor Herwig Hofmann, der an der Universität Luxemburg lehrt. (Eva Flick)

  • Teilen