Seit den Enthüllungen durch Edward Snowden ist bekannt, in welchem Ausmaß US-Geheimdienste auf Nutzerdaten zugreifen. Das hat den Angriff auf das Safe-Harbor-Abkommen getragen, doch zu lasch und wirkungslos war es bereits zuvor.
Nachdem es vor knapp zwei Wochen bereits in den Schlussanträgen des Generalanwalts geblitzt hatte, kam das heutige Donnerwetter aus Luxemburg nicht ganz überraschend – doch in der Rechtswelt wird es lange nachhallen.
Den Sturm heraufbeschworen hatte der österreichische Datenschützer und Facebook-Kritiker Max Schrems, der gegen Facebook Irland mit dem Argument vorgeht, seine durch das Unternehmen gesammelten Daten seien in den USA nicht vor staatlicher Überwachung etwa durch die dortigen Geheimdienste geschützt. Die irische Datenschutzbehörde hatte jedoch erklärt, sie könne in dieser Sache gar nicht erst tätig werden, da die Datenübertragung durch das sogenannte "Safe Harbor"-Abkommen gedeckt sei.
Diese Argumentation hat der Europäsche Gerichtshof (EuGH) am Dienstag für ungültig erklärt – und das Abkommen gleich mit. Die Übermittlung europäischer Nutzerdaten auf Server in den USA nach Maßgabe des Abkommens sei verboten. Die für Facebook Irland zuständigen irischen Datenschutzbehörden müssen Schrems' Beschwerde prüfen und dürfen sich nicht auf bestehende Verträge berufen, die den Datenaustausch angeblich erlauben.
Die neue Macht der Datenschutzaufsicht
Der EuGH stärkt in seiner Entscheidung zunächst einmal die Macht der Datenschutzaufsicht. Die EU-Kommission habe keine Kompetenz gehabt, die Befugnisse der nationalen Datenschutzbehörden durch das Safe Harbor-Abkommen zu beschränken; vielmehr müsse die Datenschutzaufsicht auch Übermittlung von Daten an Drittstaaten weisungsfrei und unabhängig prüfen können.
Falls sie bei dieser Prüfung zu dem Ergebnis gelangt, dass die eingereichte Beschwerde unbegründet sei, müsse gegen diese Entscheidung der Rechtsweg vor den nationalen Gerichten offenstehen.
Safe harbor ist nicht "safe"
Die Luxemburger Richter haben im Safe Harbor-Abkommen aber nicht lediglich einen unzulässigen Eingriff der Kommission in die Kompetenzen der nationalen Datenschutzbehörden erblickt, sondern es auch darüber hinaus für ungültig erklärt. Dies hatte knapp zwei Wochen zuvor bereits Generalanwalt Yves Bot in seinen vielbeachteten Schlussanträgen gefordert.
Im Einzelnen kritisieren die EuGH-Richter viele Punkte des Abkommens mit den USA. So werde dort pauschal den "Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen" Vorrang vor den Grundsätzen des "sicheren Hafens" eingeräumt. Auch fehle es an jedweder Feststellung dazu, ob es in den USA staatliche Regeln gibt, die dazu dienen, etwaige Eingriffe in die Grundrechte der Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, zu begrenzen.
Hinzu komme, dass das Abkommen keine Feststellung zum Bestehen eines wirksamen gerichtlichen Rechtsschutzes gegen derartige Eingriffe enthalte. Wegen der hohen Schutzbedürftigkeit personenbezogener Daten bedürfe es klarer und präziser Regeln und Mindestanforderungen, die sicherstellen, dass Bürger vor unberechtigtem Zugriff auf ihre personenbezogenen Daten sowie vor Missbrauchsrisiken hinreichend geschützt sind.
EuGH kippt Abkommen zur Datenübertragung in die USA: . In: Legal Tribune Online, 06.10.2015 , https://www.lto.de/persistent/a_id/17114 (abgerufen am: 05.11.2024 )
Infos zum Zitiervorschlag