EuGH-Urteil zu „Safe Harbor“: Daten in den USA nicht sicher
Der EuGH hat den „Safe Harbor“-Beschluss der EU für ungültig erklärt. Der unbeschränkte Zugriff der NSA verletze europäische Grundrechte.
Ausgelöst hat den Rechtsstreit der österreichische Datenschutz-Aktivist Max Schrems. Er wollte nach den Snowden-Enthüllungen 2013 erreichen, dass Facebook keine Daten mehr in die USA überträgt. Er wandte sich deshalb an die irische Datenschutzbehörde, die für Facebooks europäische Aktivitäten zuständig ist. Die Behörde lehnte jedoch jede Prüfung ab, da sie an einen Beschluss der EU-Kommission aus dem Jahr 2000 gebunden sei.
In diesem „Safe Harbor“-Beschluss hat die EU-Kommission nach Absprache mit der US-Regierung bestimmte Datenschutz-Mindeststandards definiert. Wenn sich US-Firmen an diese Standards halten, gelten sie als „sicherer Hafen“ und die übermittlung europäischer Daten ist zulässig. Dagegen klagte Schrems und der irische High Court hat daraufhin den EuGH eingeschaltet.
In einem spektakulären Grundsatzurteil hat der EuGH nun den „Safe Harbor“-Beschluss für ungültig erklärt. Die Richter stützten sich dabei auf drei Argumente. Erstens habe die Kommission nur von US-Unternehmen die Einhaltung bestimmter Datenschutzstandards verlangt, nicht aber von den US-Behörden. Das war ein Fehler, weil US-Geheimdienste wie die NSA nach US-Recht nahezu unbegrenzt auf Kommunikationsdaten zugreifen können. Ein so weitgehender Zugriff auf Kommunikationsinhalte verletzte den „Wesensgehalt des Grundrechts auf Achtung des Privatlebens“, so der EuGH.
Zweitens moniert der EU-Gerichtshof, dass europäische Bürger in den USA keinen Rechtsbehelf haben, um eine Löschung oder Berichtigung ihrer Daten zu verlangen. Das verletze „den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz“.
Drittens hätte die EU-Kommission den nationalen Datenschutzbehörden nicht verbieten dürfen, den Datenfluss in die USA selbst zu kontrollieren. Dies habe die Unabhängigkeit der Datenschutzbehörden verletzt.
Facebook kann den Schutz vor der NSA nicht garantieren
Wie geht es nun weiter? Grundsätzlich gilt die Vorgabe der EU-Datenschutzrichtlinie von 1995: Daten von EU-Bürgern dürfen nur dann ins Ausland übermittelt werden, wenn dort ein angemessenes Datenschutzniveau besteht. Die EU-Kommission hat dies bisher nur wenigen Staaten wie Kanada attestiert, nicht aber den USA. Deshalb wurde im Jahr 2000 die „Safe Harbor“-Lösung für US-Unternehmen gefunden, die aber jetzt für unwirksam erklärt wurde. Auf dieser Grundlage kann Facebook ab sofort also keine Daten mehr in die USA übermitteln.
Zunächst werden Datenübertragungen in die USA noch möglich sein, wenn Facebook seinen Mitgliedern vertraglich ein angemessenes Datenschutzniveau zusichert. Hierfür kann Facebook seinen Mitgliedern zwar keine Bedingungen diktieren. Allerdings hat die EU-Kommssion 2000 und 2010 konkrete Standardvertragsklauseln veröffentlicht, die interessierte Unternehmen nutzen können.
Diese Klauseln sind aber keine wirkliche Lösung. Denn sie gehen auf die jetzt entscheidenden Punkte nicht ein und können es auch gar nicht. Facebook kann als Unternehmen nicht zusichern, dass die NSA nicht auf Daten zugreift. Und Facebook kann seinen europäischen Mitgliedern auch kein Klagerecht in den USA verschaffen. Deshalb genügen wohl auch die Standardvertragsklauseln nicht den Anforderungen der EU-Datenschutzrichtlinie. Sie bleiben allerdings noch anwendbar, bis der EuGH sie ausdrücklich für unwirksam erklärt. Das kann bis zu zwei Jahre dauern - wenn jemand sofort dagegen klagt. Ein derartiges Klagerecht hat laut EuGH nun auch die irische Datenschutzbehörde.
Und wenn auch die Vertragsklauseln gekippt sind? Dann muss entweder Facebook die Daten seiner europäischen Mitglieder künftig in Europa verarbeiten oder die USA muss ihr Datenschutzrecht an europäische Vorstellungen anpassen. Ersteres dürfte wahrscheinlicher sein. Denn wer glaubt schon, dass die USA ihren Geheimdiensten verbieten, unbegrenzt auf Daten von Europäern zuzugreifen, die in den USA gespeichert sind.
Das alles gilt natürlich nicht nur für Facebook, sondern auch für viele andere Unternehmen, die Daten bisher aus Europa in die USA transferieren (Az.: C-362/14).
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Anschlag auf Magdeburger Weihnachtsmarkt
Vieles deutet auf radikal-islamfeindlichen Hintergrund hin
Exklusiv: RAF-Verdächtiger Garweg
Meldung aus dem Untergrund
Keine Konsequenzen für Rechtsbruch
Vor dem Gesetz sind Vermieter gleicher
Russische Männer auf TikTok
Bloß nicht zum Vorbild nehmen
Anschlag in Magdeburg
„Eine Schockstarre, die bis jetzt anhält“
Klimakiller Landwirtschaft
Immer weniger Schweine und Rinder in Deutschland