home / Aktuelles

18.12.2015, Social Media - Law Flash 12/2015: Was kommt nach Safe Harbor?

Anfang Oktober diesen Jahres kippte der EuGH in einem Urteil das Safe-Harbor-Abkommen und sorgte dabei für grosses Aufsehen. Der Wiener Jurist Max Schrems klagte mit dem Ziel, dass die irische Datenschutzbehörde seine Beschwerde überprüft – er hatte gegen die Übertragung seiner Daten in die USA durch Facebook Beschwerde eingelegt. Dort sah er seine personenbezogenen Daten unzulässigen Eingriffen ausgesetzt. Bisher war die Übertragung von personenbezogenen Daten im Rahmen des sogenannten Safe-Harbor-Abkommens möglich. Der EuGH erklärte dieses Abkommen nun für ungültig. Die Begründung bezog sich vor allem darauf, dass die Europäische Kommission das Datenschutzniveau in den USA nicht überprüft hatte. Außerdem bestanden für Betroffene aus Europa keine Rechtsschutzmöglichkeiten vor Eingriffen durch US-amerikanische Behörden. Die Folge des Urteils ist nun, dass die irische Datenschutzbehörde die Übermittlung der Daten an die USA überprüfen muss. Die irische Behörde ist im Fall von Max Schrems zuständig, da Facebook seine Europa-Niederlassung in Irland hat. Eine weitere Konsequenz ist, dass die Europäische Kommission ein neues Abkommen mit den USA abschließen wird. Darin sollen die Kriterien, die der EuGH in seinem Urteil aufgestellt hat, beachtet werden. Das Urteil hat bei international tätigen Unternehmen zum Teil zu erheblichen Unsicherheiten geführt und rechtliche Fragen aufgeworfen, die es zu beantworten gilt. Die Herausforderung besteht nun darin, die unterschiedlichen Interessen des Wirtschaftsstandortes Europa und des Grundrechts auf Datenschutz auf einen gemeinsamen Nenner zu bringen.

 

In einem aufsehen erregenden Urteil hat der Europäische Gerichtshof (EuGH) Anfang Oktober 2015 die Übertragung von personenbezogenen Daten europäischer Bürger an die USA, auf Grundlage des Safe-Harbor-Abkommens, für ungültig erklärt.

 

Diesen Stein hatte der Wiener Jurist Max Schrems ins Rollen gebracht, der sich nicht damit zufrieden geben wollte, dass Facebook seine persönlichen Daten an die USA überträgt. Dort sieht er die Gefahr, dass insbesondere Behörden (wie die NSA) ungehindert darauf zugreifen können.

 

Die europäische Datenschutzrichtlinie verbietet eigentlich die Übermittlung von personenbezogenen Daten in die USA - mangels gesetzlicher Regelungen, die dem europäischen Standard entsprechen. Doch die europäische Datenschutzrichtlinie ermöglicht es eben auch der Europäischen Kommission festzustellen, dass der Datenschutz in einem Drittland – wie z.B. den USA – angemessen ist. Dieses Verfahren wird „Safe Harbor“ genannt, im Sinne, dass ein Drittland ein „sicherer Hafen“ für die Daten darstellt. Im Fall der USA machte die Europäische Kommission von einer solchen Feststellung Gebrauch und legte fest, dass das dortige Datenschutzniveau ausreichend ist, wenn sich US-Unternehmen zur Einhaltung bestimmter Datenschutzkriterien verpflichten. Diese Kriterien wurden durch das US-Handelsministerium festgelegt.

 

Vor allem unter Datenschützern wurde dieses Abkommen sehr kritisch gesehen. Nicht zuletzt weil sich herausstellte, dass die Einhaltung der Datenschutzkriterien nicht geprüft wurden und Daten entgegen der europäischen Datenschutzvorgaben ausgewertet wurden. Nach einer abgewiesenen Beschwerde von Max Schrems gegen die Übertragung seiner personenbezogenen Daten an die USA bei der irischen Datenschutzbehörde (Sitz der europäische Niederlassung von Facebook), klagte Schrems schließlich mit seiner Initiative „Europe vs. Facebook“ bis zum EuGH.

 

EuGH: Wenig Rechtsschutz und mangelhafte Prüfung

 

Der EuGH gab ihm Recht und befand, dass das Safe-Harbor-Verfahren keinen ausreichenden Schutz vor Eingriffen in das Grundrecht auf Datenschutz gewährleistet. Vor allem sei problematisch, dass kein Rechtsschutz gegen etwaige Eingriffe seitens der Behörden bestehe. Im Lichte des sog. NSA-Skandals wurde zuletzt vor Augen geführt, in welchem Umfang Zugriffe auf persönliche Daten möglich sind.

 

Die EU-Kommission hätte nach einer Überprüfung eine konkrete Feststellung treffen müssen, ob „die Vereinigten Staaten aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleisten, das dem in der Union aufgrund der Richtlinie im Lichte der Charta garantierten Niveau der Sache nach gleichwertig ist“. Das Safe-Harbor-Abkommen gilt nur für Unternehmen, nicht aber für Behörden. Hinzu kommt, dass die Unternehmen die Schutzregelungen des Safe-Habror-Abkommens nicht anwenden, wenn diese den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder auch US-Gesetzen entgegenstehen. Die Safe-Harbor-Regelung ermöglicht daher völlig ungehinderte Eingriffe seitens der US-Behörden in das Grundrecht. Die EU-Kommission hat sich in diesem Zusammenhang lediglich darauf beschränkt, die Safe-Harbor-Regelung zu prüfen, nicht aber welche Regelungen es in den USA genau gibt, die gegen einen Eingriff schützen und ob oder welche Rechtsschutzmöglichkeiten gegen etwaige Eingriffe bestehen.

 

Weiters argumentiert der EuGH, „dass eine solche Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt.“

 

Die Europäische Kommission hat laut EuGH durch die Safe-Harbor-Regelung unzulässiger Weise, die Befugnisse zur Überprüfung von Beschwerden durch die zuständigen nationalen Datenschutzbehörden beschränkt.

 

Somit ist das Safe-Harbor-Verfahren aus den eben dargestellten Gründen hinfällig und nicht gültig. In dieser Sache geht somit der Vorwurf in erster Linie Richtung Europäischer Kommission, die eine pauschale Genehmigung erteilt hat, ohne jegliche Prüfung, ob das vorausgesetzte angemessene Schutzniveau überhaupt besteht.

 

Der EuGH hat daher einen Kriterienkatalog aufgestellt, der bei den Neuverhandlungen zwischen den USA und der Europäischen Kommission beachtet werden muss, um das Schutzniveau für Betroffene aus Europa in den USA zu gewährleisten. Der EuGH sieht außerdem die nationalen Datenschutzbehörden in den Mitgliedsstaaten in der Pflicht die Datenübermittlungen in die USA zu überprüfen. Die Staaten sollen „in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung der Daten einer Person in ein Drittland die in der Richtlinie aufgestellten Anforderungen gewahrt werden“. Im aktuellen Fall von Max Schrems ist also die irische Datenschutzbehörde wieder am Zug und muss überprüfen, ob die Übermittlung der Daten in die USA rechtmäßig ist. Gegebenenfalls ist sie dazu berufen die Übermittlung zu untersagen.

 

Handlungsbedarf bei Unternehmen

 

Doch was bedeutet dieses Urteil für Unternehmen? Das EuGH-Urteil ist nicht lediglich für Facebook, Google und Co. relevant, es betrifft auch zahlreiche europäische Unternehmen, die Daten auf US-Servern speichern oder auf sonstige Art Daten in die USA übermitteln. Zu beachten ist, dass nicht jede Übermittlung von Daten in die USA rechtswidrig ist. Das Urteil betrifft ausdrücklich nur das Safe-Harbor-Verfahren. Daher gibt es nach wie vor neben den sog. EU-Standard-Vertragsklauseln und den Binding Corporate Rules, auch die Möglichkeit durch die „klassische“ Einwilligung des Betroffenen, die Daten in die USA zu übermitteln. Dabei sind besondere Anforderungen hinsichtlich des Inhalts der Einwilligung zu beachten.

 

Unternehmen stehen daher vor der Herausforderung die Handhabung des Datenschutzes zu überdenken und sich mit diesem Thema auseinanderzusetzen. Der Datentransfer in die USA steht sicherlich nicht vor dem Aus. Dies wäre in der heutigen Zeit eine absurde Vorstellung. Außerdem bestehen, wie soeben aufgezeigt, bereits durchaus rechtskonforme Wege.

 

An dieser Stelle sollte angemerkt werden, dass sehr viele Unternehmen auch bisher (also vor diesem EuGH-Urteil) den Datenschutz ignoriert haben. Da dieses Thema jedoch vor allem nach Bekanntwerden der US-Geheimdienstpraktiken in den Fokus der Öffentlichkeit gerückt ist, ist zu erwarten, dass die Datenschutzbehörden die bisherige Praxis überdenken. Es stellt sich die Frage, ob ein komplettes Ignorieren künftig noch haltbar ist.


Grundrecht vs. Wirtschaftsinteressen

 

Facebook stellte bereits eine konstruktive Mitarbeit bei etwaigen Untersuchungen in Aussicht. Die Europäische Kommission hat ebenfalls angekündigt nach diesem EuGH-Urteil rasch Verhandlungen mit den USA führen zu wollen, um ein entsprechendes neues Abkommen zu erzielen. Die EU-Justizkommissarin hat bereits dazu Stellung bezogen und mehr Kontrolle gefordert. Ein neues Abkommen soll keine generelle Genehmigung für die Übertragung personenbezogener Daten darstellen, es soll effektiv überprüft werden und jederzeit von der Europäischen Kommission ausgesetzt werden können.

 

Bei der Verhandlung eines neuen Abkommens geht es einerseits um enorme Wirtschaftsinteressen, da Online-Konzerne wie Facebook, Google, Amazon und Co. hauptsächlich von den Daten der Nutzer wirtschaftlichen Nutzen ziehen. Andererseits sollte Europa auch die Attraktivität des Wirtschaftsstandortes Europa nicht aufs Spiel setzen, dabei aber auch das Grundrecht auf Datenschutz nicht außer Acht lassen. Diese Debatte wird neben Wirtschaftsinteressen vor allem ideologisch geführt, weil hier sehr unterschiedliche Vorstellungen über das Gewicht und die Bedeutung des Grundrechts auf Datenschutz aufeinandertreffen.