2/2: Vermeidbarer Fehler der Kommission
Wie Facebook bereits in einer ersten Stellungnahme betont hat, ist das Urteil kein "Fall Facebook". Seine Bedeutung geht in der Tat weit über das soziale Netzwerk hinaus. Es ist eine Art Kampfansage an die USA und deren laxen Umgang mit personenbezogenen Daten. Zu Recht hat der Generalanwalt in seinem Vorgutachten zum Schrems-Fall auf die besondere Bedeutung der Snowden-Enthüllungen hingewiesen, aus denen sich unter anderem ergeben hatte, in welch gewaltigem Umfang amerikanische Sicherheitsbehörden praktisch voraussetzungslos auf gespeicherte Nutzerdaten zugreifen.
Wer ohne Gespür für verfassungsrechtliche Vorgaben und die Sensibilitäten europäischer Betroffener sinnlos Daten sammelt, darf sich über eine Niederlage vor dem EuGH, der bereits in seiner Entscheidung zur Vorratsdatenspeicherung den hohen Wert des Datenschutzes betont hatte, nicht wundern. Das Urteil ist aber auch eine Ohrfeige für die EU-Kommission und den Ministerrat, die das Abkommen 2000 ausgehandelt haben. Schon damals hatten Kritiker davor gewarnt, den Amerikanern Zugang zu Daten über ein Gütesiegel zu gewähren, dessen Kriterien niemals überprüft werden.
"business as usual" für die Unternehmen
Das Abkommen wurde dennoch erlassen, und amerikanische Unternehmen konnten sich in einem einfachen Verfahren zertifizieren lassen. Das taten sie auch, und in der Folge brüsteten sich alle möglichen Unternehmen, darunter auch VISA und Google mit dem Gütesiegel, ohne, dass dies tatsächlich etwas über die Qualität des dort praktizierten Datenschutzes ausgesagt hätte.
Diese Siegel sind nach dem EuGH-Urteil rechtlich so bedeutungslos, wie sie es qualitativ schon vorher waren. Und was werden die betroffenen Unternehmen jetzt tun? Erst einmal nichts; business as usual – denn ohne den Datentransfer in die USA geht es in der Wirtschaft nunmehr nicht. Mit dem Verweis auf das Abkommen werden sie in Zukunft aber weder ihr Gewissen noch die nationalen Datenschutzbehörden beruhigen können; diese können die Berechtigung der Übertragung von Nutzerdaten in die USA nun vielmehr jeweils im Einzelfall prüfen. Der Zugriff auf die europäischen Datentöpfe dürfte dadurch zumindest schwieriger werden.
Auf dem Prüfstand stehen jedenfalls jetzt alle Abkommen zur Datenübermittlung an die USA, auch wenn es um Flugdaten oder SWIFT- Bankdaten geht. Auch die Standardverträge, die die EU-Kommission für den Datentransfer in Drittstaaten entwickelt hatte, stehen zur Diskussion, wie erste Stellungnahmen etwa der Hamburger Datenschutzaufsicht zeigen.
Implikationen für laufende Gesetzgebungsverfahren
Der Druck auf die Verhandlungsparteien hinsichtlich der Verabschiedung der EU-Datenschutzgrundverordnung wird enorm wachsen; denn ohne eine Harmonisierung des EU-Datenschutzrechts und eine klare Ansage an die USA, unter welchen Voraussetzungen man zum Export von personenbezogenen Daten bereit ist, droht die digitale Kontinentalsperre.
Mittelbare Relevanz hat das Urteil übrigens auch für die derzeit im Gesetzgebungsverfahren befindliche deutsche Neuauflage der Vorratsdatenspeicherung. Wer die Entscheidungsgründe des EuGH liest, stößt schnell auf Erwägungen, die sich übertragen lassen und an denen sich das deutsche Gesetz wird messen lassen müssen. Es wäre, bei aller Kritik an den "Amis", nicht das erste Mal, dass auch der deutsche Gesetzgeber in diesem Punkt daneben greift.
Der Autor Prof. Dr. Thomas Hoeren ist Professor an der WWU Münster und Direktor des Instituts für Informations-, Telekommunikations- und Medienrecht (Landeskompetenzzentrum).
EuGH kippt Abkommen zur Datenübertragung in die USA: . In: Legal Tribune Online, 06.10.2015 , https://www.lto.de/persistent/a_id/17114 (abgerufen am: 04.11.2024 )
Infos zum Zitiervorschlag