EuGH-Urteil zu „Safe Harbor“: Daten in den USA nicht sicher

Der EuGH hat den „Safe Harbor“-Beschluss der EU für ungültig erklärt. Der unbeschränkte Zugriff der NSA verletze europäische Grundrechte.

Kein sicherer Hafen: Datenschutz in den USA. Foto: tagstiles.com/photocase.de

KARLSRUHE taz | Die EU-Kommission hat Firmen zu Unrecht erlaubt, Daten in die USA zu transferieren. Der „Safe Harbor“-Beschluss aus dem Jahr 2000 ist ungültig. Das entschied jetzt der Europäische Gerichtshof (EuGH). Das Urteil wird nach einer Übergangszeit weitreichende Folgen haben.

Ausgelöst hat den Rechtsstreit der österreichische Datenschutz-Aktivist Max Schrems. Er wollte nach den Snowden-Enthüllungen 2013 erreichen, dass Facebook keine Daten mehr in die USA überträgt. Er wandte sich deshalb an die irische Datenschutzbehörde, die für Facebooks europäische Aktivitäten zuständig ist. Die Behörde lehnte jedoch jede Prüfung ab, da sie an einen Beschluss der EU-Kommission aus dem Jahr 2000 gebunden sei.

In diesem „Safe Harbor“-Beschluss hat die EU-Kommission nach Absprache mit der US-Regierung bestimmte Datenschutz-Mindeststandards definiert. Wenn sich US-Firmen an diese Standards halten, gelten sie als „sicherer Hafen“ und die übermittlung europäischer Daten ist zulässig. Dagegen klagte Schrems und der irische High Court hat daraufhin den EuGH eingeschaltet.

In einem spektakulären Grundsatzurteil hat der EuGH nun den „Safe Harbor“-Beschluss für ungültig erklärt. Die Richter stützten sich dabei auf drei Argumente. Erstens habe die Kommission nur von US-Unternehmen die Einhaltung bestimmter Datenschutzstandards verlangt, nicht aber von den US-Behörden. Das war ein Fehler, weil US-Geheimdienste wie die NSA nach US-Recht nahezu unbegrenzt auf Kommunikationsdaten zugreifen können. Ein so weitgehender Zugriff auf Kommunikationsinhalte verletzte den „Wesensgehalt des Grundrechts auf Achtung des Privatlebens“, so der EuGH.

Zweitens moniert der EU-Gerichtshof, dass europäische Bürger in den USA keinen Rechtsbehelf haben, um eine Löschung oder Berichtigung ihrer Daten zu verlangen. Das verletze „den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz“.

Drittens hätte die EU-Kommission den nationalen Datenschutzbehörden nicht verbieten dürfen, den Datenfluss in die USA selbst zu kontrollieren. Dies habe die Unabhängigkeit der Datenschutzbehörden verletzt.

Facebook kann den Schutz vor der NSA nicht garantieren

Wie geht es nun weiter? Grundsätzlich gilt die Vorgabe der EU-Datenschutzrichtlinie von 1995: Daten von EU-Bürgern dürfen nur dann ins Ausland übermittelt werden, wenn dort ein angemessenes Datenschutzniveau besteht. Die EU-Kommission hat dies bisher nur wenigen Staaten wie Kanada attestiert, nicht aber den USA. Deshalb wurde im Jahr 2000 die „Safe Harbor“-Lösung für US-Unternehmen gefunden, die aber jetzt für unwirksam erklärt wurde. Auf dieser Grundlage kann Facebook ab sofort also keine Daten mehr in die USA übermitteln.

Zunächst werden Datenübertragungen in die USA noch möglich sein, wenn Facebook seinen Mitgliedern vertraglich ein angemessenes Datenschutzniveau zusichert. Hierfür kann Facebook seinen Mitgliedern zwar keine Bedingungen diktieren. Allerdings hat die EU-Kommssion 2000 und 2010 konkrete Standardvertragsklauseln veröffentlicht, die interessierte Unternehmen nutzen können.

Diese Klauseln sind aber keine wirkliche Lösung. Denn sie gehen auf die jetzt entscheidenden Punkte nicht ein und können es auch gar nicht. Facebook kann als Unternehmen nicht zusichern, dass die NSA nicht auf Daten zugreift. Und Facebook kann seinen europäischen Mitgliedern auch kein Klagerecht in den USA verschaffen. Deshalb genügen wohl auch die Standardvertragsklauseln nicht den Anforderungen der EU-Datenschutzrichtlinie. Sie bleiben allerdings noch anwendbar, bis der EuGH sie ausdrücklich für unwirksam erklärt. Das kann bis zu zwei Jahre dauern - wenn jemand sofort dagegen klagt. Ein derartiges Klagerecht hat laut EuGH nun auch die irische Datenschutzbehörde.

Und wenn auch die Vertragsklauseln gekippt sind? Dann muss entweder Facebook die Daten seiner europäischen Mitglieder künftig in Europa verarbeiten oder die USA muss ihr Datenschutzrecht an europäische Vorstellungen anpassen. Ersteres dürfte wahrscheinlicher sein. Denn wer glaubt schon, dass die USA ihren Geheimdiensten verbieten, unbegrenzt auf Daten von Europäern zuzugreifen, die in den USA gespeichert sind.

Das alles gilt natürlich nicht nur für Facebook, sondern auch für viele andere Unternehmen, die Daten bisher aus Europa in die USA transferieren (Az.: C-362/14).