USA sind kein sicherer Hafen

URTEIL Der Europäische Gerichtshof verbietet die Übertragung von EU-Daten in die USA. Entmachtung der nationalen Datenschutzbehörden war nicht rechtens

Sieg in höchster Instanz: Der Österreicher Max Schrems legte sich mit Facebook an – und gewann. Mit ihm wird das Recht vieler Datenschützer gestärkt Foto: Geert Vanden Wijngaert/ap

Von Christian Rath

FREIBURG taz | Die EU-Kommission hat Firmen zu Unrecht erlaubt, Daten in die USA zu transferieren. Der Safe-Harbor-Beschluss aus dem Jahr 2000 ist ungültig. Das entschied jetzt der Europäische Gerichtshof (EuGH). Das Urteil wird nach einer Übergangszeit weitreichende Folgen haben.

Ausgelöst hat den Rechtsstreit der österreichische Datenschutzaktivist Max Schrems. Er wollte nach den Snowden-Enthüllungen 2013 erreichen, dass Facebook keine Daten mehr in die USA überträgt. Er wandte sich deshalb an die irische Datenschutzbehörde, die für Face­books europäische Aktivitäten zuständig ist. Die Behörde lehnte jedoch jede Prüfung ab, da sie an einen Beschluss der EU-Kommission aus dem Jahr 2000 gebunden sei. In diesem Safe-Harbor-Beschluss hat die EU-Kommission nach Absprache mit der US-Regierung bestimmte Datenschutz-Mindeststandards definiert. Wenn sich US-Firmen an diese Standards halten, gelten sie als „sicherer Hafen“ und die Übermittlung europäischer Daten ist zulässig. Dagegen klagte Schrems, und der irische High Court hat daraufhin den EuGH eingeschaltet.

In einem spektakulären Grundsatzurteil hat der EuGH nun den Safe-Harbor-Beschluss für ungültig erklärt. Die Richter stützten sich dabei auf drei Argumente. Erstens habe die Kommission nur von US-Unternehmen die Einhaltung bestimmter Datenschutzstandards verlangt, nicht aber von den US-Behörden. Das war ein Fehler, weil US-Geheimdienste wie die NSA nach US-Recht nahezu unbegrenzt auf Kommunikationsdaten zugreifen können. Ein so weit gehender Zugriff auf Kommunikationsinhalte verletzte den „Wesensgehalt des Grundrechts auf Achtung des Privatlebens“, so der EuGH.

Zweitens moniert der EU-Gerichtshof, dass europäische Bürger in den USA keinen Rechtsbehelf haben, um eine Löschung oder Berichtigung ihrer Daten zu verlangen. Das verletze „den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz“.

Drittens hätte die EU-Kommission den nationalen Datenschutzbehörden nicht verbieten dürfen, den Datenfluss in die USA selbst zu kontrollieren. Dies habe die Unabhängigkeit der Datenschutzbehörden verletzt.

Wie geht es nun weiter? Grundsätzlich gilt die Vorgabe der EU-Datenschutzrichtlinie von 1995: Daten von EU-Bürgern dürfen nur dann ins Ausland übermittelt werden, wenn dort ein angemessenes Datenschutzniveau besteht. Die EU-Kommission hat dies bisher nur wenigen Staaten wie Kanada attestiert, nicht aber den USA. Deshalb wurde im Jahr 2000 die Safe-Harbor-Lösung für US-Unternehmen gefunden, die aber jetzt für unwirksam erklärt wurde. Auf dieser Grundlage kann Facebook ab sofort also keine Daten mehr in die USA übermitteln.

Zunächst werden Datenübertragungen in die USA noch möglich sein, wenn Facebook seinen Mitgliedern vertraglich ein angemessenes Datenschutzniveau zusichert. Hierfür kann Facebook seinen Mitgliedern zwar keine Bedingungen diktieren. Allerdings hat die EU-Kommission 2000 und 2010 konkrete Standardvertragsklauseln veröffentlicht, die interessierte Unternehmen nutzen können.

Diese Klauseln sind aber keine wirkliche Lösung. Denn sie gehen auf die jetzt entscheidenden Punkte nicht ein und können es auch gar nicht. Facebook kann als Unternehmen nicht zusichern, dass die NSA nicht auf Daten zugreift. Und Facebook kann seinen europäischen Mitgliedern auch kein Klagerecht in den USA verschaffen. Deshalb genügen wohl auch die Standardvertragsklauseln nicht den Anforderungen der EU-Datenschutzrichtlinie. Sie bleiben allerdings noch anwendbar, bis der EuGH sie ausdrücklich für unwirksam erklärt. Das kann bis zu zwei Jahre dauern – wenn jemand sofort dagegen klagt. Ein derartiges Klagerecht hat laut EuGH nun auch die irische Datenschutzbehörde.

Und wenn auch die Vertragsklauseln gekippt sind? Dann muss entweder Facebook die Daten seiner europäischen Mitglieder künftig in Europa verarbeiten oder die USA müssen ihr Datenschutzrecht an europäische Vorstellungen anpassen. Ersteres dürfte wahrscheinlicher sein. Denn wer glaubt schon, dass die USA ihren Geheimdiensten verbieten, unbegrenzt auf Daten von Europäern zuzugreifen, die in den USA gespeichert sind.

Das alles gilt nicht nur für Face­book, sondern für mehr als 4.400 Unternehmen, darunter Google, Amazon und Microsoft, die Daten bisher aus Europa in die USA transferieren.