Ende von Safe Harbor als Chance für Europa

Das Datenschutabkommen zwischen den USA und der EU ist vom Gerichtshof der Europäischen Union (EuGH) gekippt worden. Das Safe-Harbor-Abkommen hat zwischen der EU und den USA die Übermittlung personenbezogener Daten von EU-Bürgern geregelt. Deutsche Unternehmen und Industrieverbände wie BITMI oder eco reagieren mit Erleichterung auf das Urteil, mit dem die Einschätzung der EU-Kommission revidiert wird, dass die “Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten”.

In einer Pressemitteilung (PDF) wirft der EuGH der Kommission vor, sie hätte prüfen müssen, ob die USA tatsächlich ein “Schutzniveau der Grundrechte gewährleisten.” Stattdessen habe sich die Kommission auf die Prüfung des Safe-Harbor-Abkommens beschränkt. Letzteres gelte aber nur für amerikanische Unternehmen, “nicht aber für die Behörden der Vereinigten Staaten.”

US-Unternehmen müssten sich indes den geltenden US-Gesetzen unterwerfen, die sie verpflichteten, die Safe-Harbor-Regelungen nicht anzuwenden, wenn sie US-Gesetzen widersprechen. Die EU habe aber weder einen gerichtlichen Rechtsschutz gegen behördliche Eingriffe festgestellt, noch Regeln, die solche Eingriffe begrenzen. Von daher erlaube die Safe-Harbor-Regelung Eingriffe amerikanischer Behörden in die Grundrechte von EU-Bürgern.

In ihrem Urteil berufen sich die Richter unter anderem auf zwei Mitteilungen der Kommission. Darin bestätige sie, dass die USA Daten von EU-Bürgern in einer Weise verarbeiteten, die “mit den Zielen der Übermittlung unvereinbar war und über das hinausging, was nach Ansicht der Kommission zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig gewesen wäre”. Außerdem gebe es für Betroffene keine “administrativen oder gerichtlichen Rechtsbehelfe”, um beispielsweise eine Berichtigung oder Löschung von Daten zu erwirken.

Darüber hinaus weist das Gericht darauf hin, dass das Safe-Harbor-Abkommen keine Bestimmungen enthält, die nationale Datenschutzbehörden hindert, die an Drittländer übermittelten Daten zu kontrollieren. Die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union verfügten, könne die EU-Kommission “weder beseitigen noch einschränken”. Die Ungültigkeit einer Entscheidung der Kommission kann jedoch nur der EuGH feststellen.

Ausgelöst hatte das Verfahren eine Beschwerde des österreichischen Juristen Max Schrems. Er behauptet, dass seine von Facebook auf US-Servern gespeicherten Daten dort vor einer Überwachung durch US-Behörden nicht ausreichend geschützt seien. In seiner Beschwerde bei der irischen Datenschutzbehörde, die jedoch keine Verstöße gegen Datenschutzgesetze feststellte, berief er sich unter anderem auf Unterlagen aus dem Fundus des Whistleblowers Edward Snowden. Der von ihm schließlich angerufene irische High Court wandte sich zur Klärung des Sachverhalts an den Europäischen Gerichtshof.

“Das Safe-Harbor Prinzip hat in den letzten Jahren für eine enorme Wettbewerbsverzerrung zu Ungunsten der digitalen Wirtschaft in Europa geführt”, so Oliver Grün, Präsident des Bundesverband IT-Mittelstand e.V. (BITMi). So mussten beispielsweise deutsche Unternehmen sehr hohe Auflagen erfüllen, um den Datenschutz zu gewährleisten. “Gerade große internationale IT-Konzerne konnten sich aber hinter den Regelungen ihrer Heimatstaaten verstecken oder arbeiteten teilweise sogar aktiv daran mit, dass Daten an Regierungsbehörden weitergegeben wurden”, kritisiert Grün.

Vor allem US-Unternehmen konnten daher unter US-Auflagen deutlich einfacher personenbezogene Daten verarbeiten, weiterleiten und vermarkten. “Jetzt herrschen gleiche Rahmenbedingungen für alle und das ist gut für den Wettbewerb. Wenn wir mit einer EU-Datenschutzgrundverordnung den Datenraum weiter vereinheitlichen und stärken ist das zum Vorteil aller Marktteilnehmer und damit am Ende auch gut für die Nutzer.” Grün hofft natürlich, dass dadurch gerade der IT-Mittelstand von dieser Entwicklung profitieren wird.

“Das heutige Urteil des EUGH hat für die Internetwirtschaft weitreichende Folgen”, kommentiert auch Oliver Süme, Vorstand des Verbandes der deutschen Internetwirtschaft, eco. Nachdem datenbasierte Geschäftsmodelle und der transnationale Austausch von Daten volkswirtschaftlich immer wichtiger werde, habe auch der “sachgerechte Ausgleich” zwischen internationalem Datenfluss und dem Schutz personenbezogener Daten einen hohen Stellenwert. Aber was bedeutet das EuGH-Urteil jetzt für die Digitalwirtschaft?

“Der Fall des Safe Harbor Abkommens bedeutet für viele Unternehmen eine erhebliche Rechtsunsicherheit”, so Süme weiter. “Bundesregierung und Europäische Union müssen jetzt schnellstmöglich eine neue Regelung finden, die unseren hohen Datenschutzstandards genügt und gleichzeitig eine praktikable Lösung für die Unternehmen schafft.”

Eine schnelle Neuregelung fordert auch Thomas Spaeing, Vorstandsvorsitzender des Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. In seinen Augen wäre eine schnelle Möglichkeit, der Abschluss eines sogenannten EU-Standardvertrags. “Gleichwohl bedarf dieser der Erstellung und der Beachtung einiger Vorgaben. Vorteilhaft ist, dass dieser EU-Standardvertrag – anders als Binding Corporate Rules oder Individualverträge – nicht der zuständigen Aufsichtsbehörde zur Genehmigung vorgelegt werden oder angezeigt werden müssen. In einigen EU-Mitgliedstaaten bestehen auch insoweit Anzeige- beziehungsweise Genehmigungspflichten.”

Laut Spaeing habe die Tatsache, dass der EuGH keine eigenen Feststellungen zur Frage nach dem angemessenen Schutzniveau in den USA trifft, die langfristig größere Tragweite: So können nationalen Aufsichtsbehörden trotz der Entscheidungen der EU-Kommission die Angemessenheit des Datenschutzniveaus selbständig prüfen. “Allerdings – und das betont der EuGH – sie können sie nicht aus eigener Machtvollkommenheit aussetzen. Das ist der Entscheidung durch den EuGH vorbehalten”, ergänzt Spaeing.

Die Folge sei, dass die nationalen Behörden oder der Betroffene die nationalen Gerichte anrufen müssen, die dann die Frage der Angemessenheit dem EuGH zur Entscheidung vorlegen können.

Daraus folge wiederum, dass die deutschen Datenschutzaufsichtsbehörden nicht direkt deutsche Gerichte mit internationalen Datenschutzfragen beauftragen können, sondern den Umweg über Anordnungen beziehungsweise Untersagungen oder Bußgelder gehen müssen. Was im Falle deutscher Gerichte nicht als sehr wahrscheinlich gelten könne, prognositiziert Speing.

“Die Konsequenzen für die Unternehmen wiegen schwer”, sagt der Kölner IT-Anwalt Christian Solmecke. “In Zukunft müssen diese jeden einzelnen Nutzer explizit um eine Einwilligung zur Übertragung der Daten in die USA bitten und dabei auch auf die willkürliche Überwachung der Daten durch die US-Nachrichtendienste hinweisen.” Zudem, so Solmecke, könnten Bürger wie Max Schrems dank des Urteils auf größere Erfolgschancen bei Beschwerden gegenüber den Datenschutzbehörden hoffen.

Die neue Regelung dürfte aber auch Unternehmen betreffen, die IT-Outsourcing-Verträge mit US Anbietern haben oder die sich auf Cloud-Dienste von Anbietern wie Amazon Web Services, Microsoft Azure oder Google Cloudplattform nutzten.

Allerdings sieht Solmecke durchaus Probleme für eine rechtssichere Regelung des Datenaustauschs mit den USA. “Das große Problem ist dass der US Patriot Act – das Gesetz, das letztlich das Safe-Harbor-Abkommen unterlief – nicht außer Kraft gesetzt werden wird. Insofern wird jede denkbare Lösung, beispielsweise über den Abschluss von Standardverträgen, an diesem Gesetz scheitern.” Solmecke kommentiert, dass solange die US-Nachrichtendienste die Befugnis haben auf die Daten der EU-Bürger jederzeit zuzugreifen, der Datenschutz nach EU-Grundsätzen nicht gewährleistet sein könne.

In einer ersten Stellungnahme gibt sich Klageführer Max Schrems optimistisch: “Ich begrüße das Urteil sehr, das hoffentlich ein Meilenstein für die Privatsphäre im Internet ist. Das Urteil zieht eine klare Linie. Es macht deutlich, dass Massenüberwachung unsere Grundrechte verletzt.” Damit sei auch klar, dass US-Firmen, die die USA bei ihren Abhörprogrammen unterstützten, gegen europäische Grundrechte verstoßen.

Schrems lobt zudem die Stärkung der Befugnisse nationaler Datenschutzbehörden. Sie hätten nun das Recht, auch in Einzelfällen die Übertragung von Daten in die USA zu überprüfen.

Das Urteil sei aber auch ein Sieg über die irische Datenschutzbehörde, so Schrems weiter. Sie habe bis zum Schluss eine Bearbeitung seiner Beschwerde abgelehnt und seine Vorwürfe als “unseriös” bezeichnet. “Die irische Behörde hat die Pflicht, ihrer Aufgabe nachzukommen und unsere Privatsphäre nach EU- und irischem Recht zu schützen.”

In einer Pressekonferenz am Nachmittag erklärte der Vize-Kommissionspräsident Frans Timmermans wie die Nachrichtenagentur Reuters berichtet, dass die EU bestrebt sei, schnell den Datenaustausch mit den USA in einen “neuen und sicheren Rahmen” zu bringen. “Wir werden schnell klare Richtlinien für die nationalen Datenschutzbehörden veröffentlichen, wie mit Anfragen für Datentransfers in die Vereinigten Staaten angesichts des neuen Urteils zu verfahren ist.”

EU-Justizkommissarin Vera Jourova ergänzt, dass durch verschiedene andere geltende EU-Datenschutzregeln es zunächst ermöglichen, Daten an Unternehmen in den USA zu transferieren. Auch bestehende Verträge sowie standardisierte Klauseln für den Datenschutz ermöglichten die Weitergabe von Personenbezogenen Daten. Darüber hinaus gelten etwa für medizinische Fälle oder bei Hotelbuchungen Ausnahmen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.