Seit den Enthüllungen durch Edward Snowden ist bekannt, in welchem Ausmaß US-Geheimdienste auf Nutzerdaten zugreifen. Das hat den Angriff auf das Safe-Harbor-Abkommen getragen, doch zu lasch und wirkungslos war es bereits zuvor.
Nachdem es vor knapp zwei Wochen bereits in den Schlussanträgen des Generalanwalts geblitzt hatte, kam das heutige Donnerwetter aus Luxemburg nicht ganz überraschend – doch in der Rechtswelt wird es lange nachhallen.
Den Sturm heraufbeschworen hatte der österreichische Datenschützer und Facebook-Kritiker Max Schrems, der gegen Facebook Irland mit dem Argument vorgeht, seine durch das Unternehmen gesammelten Daten seien in den USA nicht vor staatlicher Überwachung etwa durch die dortigen Geheimdienste geschützt. Die irische Datenschutzbehörde hatte jedoch erklärt, sie könne in dieser Sache gar nicht erst tätig werden, da die Datenübertragung durch das sogenannte "Safe Harbor"-Abkommen gedeckt sei.
Diese Argumentation hat der Europäsche Gerichtshof (EuGH) am Dienstag für ungültig erklärt – und das Abkommen gleich mit. Die Übermittlung europäischer Nutzerdaten auf Server in den USA nach Maßgabe des Abkommens sei verboten. Die für Facebook Irland zuständigen irischen Datenschutzbehörden müssen Schrems' Beschwerde prüfen und dürfen sich nicht auf bestehende Verträge berufen, die den Datenaustausch angeblich erlauben.
Die neue Macht der Datenschutzaufsicht
Der EuGH stärkt in seiner Entscheidung zunächst einmal die Macht der Datenschutzaufsicht. Die EU-Kommission habe keine Kompetenz gehabt, die Befugnisse der nationalen Datenschutzbehörden durch das Safe Harbor-Abkommen zu beschränken; vielmehr müsse die Datenschutzaufsicht auch Übermittlung von Daten an Drittstaaten weisungsfrei und unabhängig prüfen können.
Falls sie bei dieser Prüfung zu dem Ergebnis gelangt, dass die eingereichte Beschwerde unbegründet sei, müsse gegen diese Entscheidung der Rechtsweg vor den nationalen Gerichten offenstehen.
Safe harbor ist nicht "safe"
Die Luxemburger Richter haben im Safe Harbor-Abkommen aber nicht lediglich einen unzulässigen Eingriff der Kommission in die Kompetenzen der nationalen Datenschutzbehörden erblickt, sondern es auch darüber hinaus für ungültig erklärt. Dies hatte knapp zwei Wochen zuvor bereits Generalanwalt Yves Bot in seinen vielbeachteten Schlussanträgen gefordert.
Im Einzelnen kritisieren die EuGH-Richter viele Punkte des Abkommens mit den USA. So werde dort pauschal den "Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen" Vorrang vor den Grundsätzen des "sicheren Hafens" eingeräumt. Auch fehle es an jedweder Feststellung dazu, ob es in den USA staatliche Regeln gibt, die dazu dienen, etwaige Eingriffe in die Grundrechte der Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, zu begrenzen.
Hinzu komme, dass das Abkommen keine Feststellung zum Bestehen eines wirksamen gerichtlichen Rechtsschutzes gegen derartige Eingriffe enthalte. Wegen der hohen Schutzbedürftigkeit personenbezogener Daten bedürfe es klarer und präziser Regeln und Mindestanforderungen, die sicherstellen, dass Bürger vor unberechtigtem Zugriff auf ihre personenbezogenen Daten sowie vor Missbrauchsrisiken hinreichend geschützt sind.
2/2: Vermeidbarer Fehler der Kommission
Wie Facebook bereits in einer ersten Stellungnahme betont hat, ist das Urteil kein "Fall Facebook". Seine Bedeutung geht in der Tat weit über das soziale Netzwerk hinaus. Es ist eine Art Kampfansage an die USA und deren laxen Umgang mit personenbezogenen Daten. Zu Recht hat der Generalanwalt in seinem Vorgutachten zum Schrems-Fall auf die besondere Bedeutung der Snowden-Enthüllungen hingewiesen, aus denen sich unter anderem ergeben hatte, in welch gewaltigem Umfang amerikanische Sicherheitsbehörden praktisch voraussetzungslos auf gespeicherte Nutzerdaten zugreifen.
Wer ohne Gespür für verfassungsrechtliche Vorgaben und die Sensibilitäten europäischer Betroffener sinnlos Daten sammelt, darf sich über eine Niederlage vor dem EuGH, der bereits in seiner Entscheidung zur Vorratsdatenspeicherung den hohen Wert des Datenschutzes betont hatte, nicht wundern. Das Urteil ist aber auch eine Ohrfeige für die EU-Kommission und den Ministerrat, die das Abkommen 2000 ausgehandelt haben. Schon damals hatten Kritiker davor gewarnt, den Amerikanern Zugang zu Daten über ein Gütesiegel zu gewähren, dessen Kriterien niemals überprüft werden.
"business as usual" für die Unternehmen
Das Abkommen wurde dennoch erlassen, und amerikanische Unternehmen konnten sich in einem einfachen Verfahren zertifizieren lassen. Das taten sie auch, und in der Folge brüsteten sich alle möglichen Unternehmen, darunter auch VISA und Google mit dem Gütesiegel, ohne, dass dies tatsächlich etwas über die Qualität des dort praktizierten Datenschutzes ausgesagt hätte.
Diese Siegel sind nach dem EuGH-Urteil rechtlich so bedeutungslos, wie sie es qualitativ schon vorher waren. Und was werden die betroffenen Unternehmen jetzt tun? Erst einmal nichts; business as usual – denn ohne den Datentransfer in die USA geht es in der Wirtschaft nunmehr nicht. Mit dem Verweis auf das Abkommen werden sie in Zukunft aber weder ihr Gewissen noch die nationalen Datenschutzbehörden beruhigen können; diese können die Berechtigung der Übertragung von Nutzerdaten in die USA nun vielmehr jeweils im Einzelfall prüfen. Der Zugriff auf die europäischen Datentöpfe dürfte dadurch zumindest schwieriger werden.
Auf dem Prüfstand stehen jedenfalls jetzt alle Abkommen zur Datenübermittlung an die USA, auch wenn es um Flugdaten oder SWIFT- Bankdaten geht. Auch die Standardverträge, die die EU-Kommission für den Datentransfer in Drittstaaten entwickelt hatte, stehen zur Diskussion, wie erste Stellungnahmen etwa der Hamburger Datenschutzaufsicht zeigen.
Implikationen für laufende Gesetzgebungsverfahren
Der Druck auf die Verhandlungsparteien hinsichtlich der Verabschiedung der EU-Datenschutzgrundverordnung wird enorm wachsen; denn ohne eine Harmonisierung des EU-Datenschutzrechts und eine klare Ansage an die USA, unter welchen Voraussetzungen man zum Export von personenbezogenen Daten bereit ist, droht die digitale Kontinentalsperre.
Mittelbare Relevanz hat das Urteil übrigens auch für die derzeit im Gesetzgebungsverfahren befindliche deutsche Neuauflage der Vorratsdatenspeicherung. Wer die Entscheidungsgründe des EuGH liest, stößt schnell auf Erwägungen, die sich übertragen lassen und an denen sich das deutsche Gesetz wird messen lassen müssen. Es wäre, bei aller Kritik an den "Amis", nicht das erste Mal, dass auch der deutsche Gesetzgeber in diesem Punkt daneben greift.
Der Autor Prof. Dr. Thomas Hoeren ist Professor an der WWU Münster und Direktor des Instituts für Informations-, Telekommunikations- und Medienrecht (Landeskompetenzzentrum).
Prof. Dr. Thomas Hoeren, EuGH kippt Abkommen zur Datenübertragung in die USA: Das Ende von Safe Harbor . In: Legal Tribune Online, 06.10.2015 , https://www.lto.de/persistent/a_id/17114/ (abgerufen am: 18.07.2024 )
Infos zum Zitiervorschlag