0
Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

Sicherheit beim Datenschutz: Der EuGH erklärt das „Safe Harbor“ Abkommen für ungültig

In seinem jüngst veröffentlichten Urteil kippt der Europäische Gerichtshof (EuGH) das „Safe-Harbor-Abkommen“. Das Abkommen bot die Grundlage für europäische Unternehmen personenbezogene Daten an amerikanische Unternehmen zu übermitteln. Wie es zu diesem Urteil gekommen ist, warum das Abkommen nicht rechtsmäßig ist und wie Unternehmen nun vorgehen können, damit der Datenaustausch mit den USA nicht vollkommen zum Erliegen kommt, soll der nachfolgende Artikel erläutern.


Übersicht:

Wie kam es zu dem Verfahren vor dem Europäischen Gerichtshof (EuGH)?

Der Österreicher Max Schrems, ein Jurist, Autor und Datenschutzaktivist forderte 2011 die Europazentrale des sozialen Netzwerkes „Facebook“ auf, ihm alle Informationen herauszugeben, welche das Unternehmen zu seiner Person gespeichert hatte. Der Jurist bekam daraufhin 1.222 Seiten Post von der Facebook Ireland Limited. Dieser Gesellschaft war in Sachen Facebook der Ansprechpartner für alle Nutzer außerhalb der USA und Kanada. Darin enthalten waren alle über ihn gespeicherten Daten, darunter auch solche, die er längst gelöscht hatte. Max Schrems wendete sich im Folgenden an den irischen Datenschutzbeauftragten, da er unter anderem nicht hinnehmen wollte, dass Facebook seine Daten auf Servern in den USA speichert. Spätestens seit den Enthüllungen des amerikanischen „Whsitleblowers“ Edward Snowden sei bekannt, dass persönliche Daten in den USA nicht ausreichend geschützt seien. Der irische Datenschutzbeauftragte wies das Anliegen jedoch unter Verweis auf das „Safe-Harbor-Abkommens“ zurück. Dagegen klagte Max Schrems vor dem High Court Ireland. Dieser legte den Rechtsstreit dem EuGH vor, der entscheiden sollte, ob eine Bindung seitens der irischen Behörden an das „Safe-Harbor-Abkommen“ vorliegt oder ob sie den Datenschutz bei Facebook einer eigenständigen Überprüfung unterziehen müssen.

Wie war die bisherige Rechtslage?

Gemäß der EU-Datenschutzrichtlinie 95/46 EG ist es verboten, personenbezogene Daten aus EU-Mitgliedstaaten in Staaten zu übertragen, deren Datenschutzrecht unterhalb des Schutzniveaus des EU-Rechts liegt. Da Letzteres seit jeher für die Vereinigten Staaten anzunehmen ist, der Datenverkehr mit den USA aber nicht einfrieren sollte, wurde im Jahre 2000 zwischen der Europäischen Union und den USA das sogenannte „Safe-Harbor-Abkommen“ geschlossen und im „Safe-Harbor-Urteil“ von der EU-Kommission seinerzeit bestätigt.

Was war der Sinn von Safe Harbor?

Safe Harbor bedeutet sicherer Hafen und gewährleistet dabei die legale Übermittlung der personenbezogenen Daten von europäischen an amerikanischen Unternehmen. US-Unternehmen, die dem „Safe-Harbor-Abkommen“ beitreten möchten, müssen sich bereit erklären, die Safe Harbor Principles zu befolgen. Dazu gehört unter anderem die Pflicht, Nutzer über die Erhebung und Weitergabe personenbezogener Daten zu informieren und ihnen das Recht einräumen, Daten einzusehen, zu ergänzen oder zu löschen. Zu den bekanntesten amerikanischen Unternehmen, die dem „Safe-Harbor-Abkommen“ beigetreten sind, zählen Google, Facebook, Amazon und Microsoft.

Was hat der Europäische Gerichtshof (EuGH) entschieden?

Mit seinem Urteil vom 06.10.2015 erklärt der EuGH das „Safe-Harbor-Abkommen“ für ungültig (Az. C-362/14), da die persönlichen Daten der europäischen Internetbenutzer in den USA nicht ausreichend geschützt seien. Das Problem liege vor allem darin, dass das „Safe-Harbor-Abkommen“ nur für Unternehmen, nicht aber für die Behörden der Vereinigten Staaten gelte. Diese müssen die Safe Harbor Principles nicht anwenden, wenn sie mit den Anforderungen der „nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten“ im Widerspruch stehen. Das „Safe-Harbor-Abkommen“ erlaube so den Eingriff der amerikanischen Behörden in die Grundrechte der EU-Bürger. Datenschützer bemängeln seit langem den unzureichenden Schutz der personenbezogenen Daten vor den amerikanischen Behörden in den USA und fühlen sich vor allem seit den Enthüllungen von Edward Snowden in ihrem Anliegen bestätigt. Die Behörden müssen, wenn sie mit solchen Beschwerden befasst sind, in völliger Unabhängigkeit prüfen, ob bei der Datenermittlung alle Anforderungen eingehalten werden.

Welche Auswirkungen hat das Urteil auf Unternehmen?

Fraglich ist dabei, welche Auswirkungen das Urteil auf die etwa 5.500 Unternehmen hat, die dem „Safe-Harbor-Abkommen“ beigetreten sind. Grundsätzlich ist es Facebook weiterhin gestattet, personenbezogene Daten in die USA zu übermitteln, da jeder Nutzer diesem Vorgang zustimmen musste, um weiterhin Teil des sozialen Netzwerkes zu bleiben. Es ist jedoch damit zu rechnen, dass dieses Verhalten in Zukunft einer genauen rechtlichen Prüfung unterliegen wird, was auch für andere Unternehmen gilt, die so handeln. Unternehmen, die hingegen eine Datenübermittlung in die USA nur auf „Safe Harbor“ gestützt haben, müssen die personenbezogenen Daten zurückfordern.

Welche Lösungsmöglichkeiten gibt es für die Unternehmen?

Grundsätzlich ist die Einwilligung der Nutzer in den Datenaustausch mit den USA in Form der „Corporate Binding Rules“ weiterhin eine gute Alternative zu „Safe Harbor“. Um dem Schutzniveau der EU gerecht zu werden, muss sich das Unternehmen jedoch dem höheren europäischen Datenschutzrecht unterwerfen. Diesen Anforderungen gerecht zu werden, verlangt einen hohen Bearbeitungsaufwand der Unternehmen. Für Weltunternehmen wie Facebook oder Google wird dies aufgrund ihrer eigenen Rechtsabteilungen mit einem gewissen Aufwand umsetzbar sein. Kleinere Unternehmen könnte die Erfüllung dieser massiven Anforderungen jedoch vor ernsthafte Probleme stellen.

Wird nun ein umfangreicher Datenschutz begründet?

Das Urteil des EuGH stößt in weiten Teilen auf Zustimmung und zeigt den erheblichen Umfang an gänzlich neuen datenschutzrechtlichen Fragen auf, die mit der Digitalisierung und den neuen Medien zusammenhängen. Seit den Enthüllungen von Edward Snowden über die NSA sehen die Bürger ihre persönlichen Daten vor allem vor einer amerikanischen Überwachung gefährdet. Dabei sind es nicht nur amerikanische Behörden wie die NSA, die personenbezogene Daten im großen Stil ausgespäht haben. Auch europäische Behörden betreiben mitunter Massenüberwachung, wie das bekannt gewordene Beispiel aus Großbritannien zeigt. Der EuGH hat in seinem Urteil die Behörden dazu aufgefordert, solche Datenrechtsverstöße auch im Inland zu prüfen und gegeben falls den Rechtsweg zu bestreiten. Was dies in der Praxis bedeuten wird, bleibt abzuwarten.

Autor

Dr. Ulrich Schulte am Hülse

Publikationen:

Veröffentlichungsliste Dr. Schulte am Hülse (PDF)

Auswahl (Sonderdrucke als PDF)

Das Abgreifen von Zugangsdaten zum Online-Banking, in: MMR 7/2016, S. 435-440.

Umfang des Auskunftsanspruches gegen die Schufa-Scorewerte, in: NJW 17/2014, S. 1235-1239

Der Anscheinsbeweis bei missbräuchlicher Bargeldabhebung an Geldautomaten mit Karte und Geheimzahl, in: NJW 18/2012, S. 1262-1266.

Das Abgreifen von Bankzugangsdaten im Online-Banking, in: MMR, 2010, S. 84-90.

Weitere Sonderdrucke auf Anfrage

ilex Rechtsanwälte – Berlin & Potsdam Yorckstraße 17, 14467 Potsdam Hohenzollerndamm 123, 14199 Berlin

Telefon +49 331 9793750
Telefax +49 331 97937520

E-Mail: schulte@ilex-recht.de
Internet: ilex-bankrecht.de

Verwandte Themen

Zurück

Sie haben Fragen? Gleich Kontakt aufnehmen!

Medienpräsenz

Chip Online
Frankfurter Allgemeine
Merkur
Berliner Morgenpost
Sat1
Der Spiegel
ZDF
Chip Online
Frankfurter Allgemeine
Merkur
Berliner Morgenpost
Sat1
Der Spiegel
ZDF
ilex Rechtsanwälte hat 4,99 von 5 Sternen 84 Bewertungen auf ProvenExpert.com