Der Europäische Gerichtshof (EuGH) hat heute Dienstag das seit 2000 geltende Safe Harbor – Abkommen für ungültig erklärt. Mit der Entscheidung stellte der EuGH fest, dass persönlichen Daten europäischer Internetnutzer in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt ist.
Inhaltsverzeichnis
Safe Harbor: Daten in den USA nicht sicher
Die Entscheidung ins Rollen gebracht hat eine Klage von Max Schrems gegen Facebook. Im Schlussantrag des Generalanwalts Bot in der Rechtssache C-362/14 vom 23. September 2015 (Maximillian Schrems / Data Protection Commissioner) stellt dieser fest, dass nach Ansicht von Generalanwalt Bot die Entscheidung der Kommission, mit der die Angemessenheit des Schutzes personenbezogener Daten in den Vereinigten Staaten festgestellt wird, die nationalen Behörden nicht daran hindert, die Übermittlung der Daten europäischer Nutzer von Facebook an Server, die sich in den Vereinigten Staaten befinden, auszusetzen. Der Generalanwalt sei ferner der Auffassung, dass diese Entscheidung ungültig ist. (PDF)
Was bedeutet Safe Harbor?
Die Datenschutzrichtlinie 95/46/EG verbietet es personenbezogene Daten aus Mitgliedstaaten der EU in Staaten zu übertragen, deren Datenschutz kein dem EU-Recht vergleichbares Schutzniveau aufweist. Dazu zählen auch die USA, denn das amerikanische Recht kennt keine umfassenden gesetzlichen Regelungen, die den Standards der EU entsprechen. Damit der Datenverkehr zwischen der EU und den USA nicht zum Erliegen kommt, wurde zwischen 1998 und 2000 ein Verfahren entwickelt, bei dem US-Unternehmen dem Safe Harbor beitreten und sich auf einer Liste des US-Handelsministeriums eintragen lassen können, wenn sie sich verpflichten, die Safe Harbor Principles (Grundsätze des sicheren Hafens) und die dazugehörenden Regeln zu befolgen. (Quelle: Wikipedia)
Die EuGH-Entscheidung im Detail
Der Gerichtshof erklärt die Entscheidung der Kommission, in der festgestellt wird, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig.
Während allein der Gerichtshof dafür zuständig ist, einen Rechtsakt der Union für ungültig zu erklären, können die mit einer Beschwerde befassten nationalen Datenschutzbehörden, auch wenn es eine Entscheidung der Kommission gibt, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, prüfen, ob bei der Übermittlung der Daten einer Person in dieses Land die Anforderungen des Unionsrechts an den
Schutz dieser Daten eingehalten werden, und sie können, ebenso wie die betroffene Person, die nationalen Gerichte anrufen, damit diese ein Ersuchen um Vorabentscheidung zur Prüfung der Gültigkeit der genannten Entscheidung stellen.Die Richtlinie über die Verarbeitung personenbezogener Daten (Anmerkung der Redaktion:Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31)) bestimmt, dass die Übermittlung solcher Daten in ein Drittland grundsätzlich nur dann zulässig ist, wenn das betreffende Drittland ein angemessenes Schutzniveau dieser Daten gewährleistet. Ferner kann nach der Richtlinie die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen ein angemessenes Schutzniveau gewährleistet. Schließlich sieht die Richtlinie vor, dass jeder Mitgliedstaat eine oder mehrere öffentliche Stellen benennt, die in seinem Hoheitsgebiet mit der Überwachung der Anwendung der zur Umsetzung der Richtlinie erlassenen nationalen Vorschriften beauftragt sind („Datenschutzbehörden“).
Herr Schrems, ein österreichischer Staatsangehöriger, nutzt seit 2008 Facebook. Wie bei allen anderen in der Union wohnhaften Nutzern von Facebook werden die Daten, die Herr Schrems Facebook liefert, von der irischen Tochtergesellschaft von Facebook ganz oder teilweise an Server, die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Herr Schrems legte bei der irischen Datenschutzbehörde eine Beschwerde ein, weil er im Hinblick auf die von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten, insbesondere der National Security Agency (NSA), der Ansicht war, dass das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor Überwachungstätigkeiten der dortigen Behörden böten. Die irische Behörde wies die Beschwerde insbesondere mit der Begründung zurück, die Kommission habe in ihrer Entscheidung vom 26. Juli 2000 (Anmerkung der Redaktion: Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (ABl. L 215, S. 7) festgestellt, dass die Vereinigten Staaten im Rahmen der sogenannten „Safe-Harbor-Regelung“ (Anmerkung der Redaktion: Die Safe-Harbor-Regelung enthält eine Reihe von Grundsätzen über den Schutz personenbezogener Daten, denen sich amerikanische Unternehmen freiwillig unterwerfen können) ein angemessenes Schutzniveau der übermittelten personenbezogenen Daten gewährleisteten.
(…)
Aus all diesen Gründen erklärt der Gerichtshof die Entscheidung der Kommission vom 26. Juli 2000 für ungültig. Dieses Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.
Quelle: curia.europa.eu
Reaktionen zur Safe Harbor Entscheidung
Presseerklärung von Max Schrems (englisch):
I very much welcome the judgement of the Court, which will hopefully be a milestone when it comes to online privacy. This judgement draws a clear line. It clarifies that mass surveillance violates our fundamental rights. Reasonable legal redress must be possible.
The decision also highlights that governments and businesses cannot simply ignore our fundamental right to privacy, but must abide by the law and enforce it.
This decision is a major blow for US global surveillance that heavily relies on private partners. The judgement makes it clear that US businesses cannot simply aid US espionage efforts in violation of European fundamental rights.
At the same time this case law will be a milestone for constitutional challenges against similar surveillance conducted by EU member states.
There are still a number of alternative options to transfer data from the EU to the US. The judgement makes it clear, that now national data protection authorities can review data transfers to the US in each individual case – while ‘safe harbor’ allowed for a blanket allowance. Despite some alarmist comments I don’t think that we will see mayor disruptions in practice.
Quelle: www.europe-v-facebook.org/DE/de.html
Die ISPA sieht im EuGH-Urteil zu Safe Harbor einen Meilenstein für den Datenschutz und einen klaren Auftrag an den Gesetzgeber. Es sei ein klares Signal gegen Massenüberwachung und Zensur – nicht nur in den USA und der EU sondern auch in Österreich, wo beispielsweise beim Staatsschutzgesetz oder den Netzsperren speziell im Bereich des Rechtsschutzes mit mehr Sorgfalt vorgegangen werden sollte.
Unternehmen brauchen klare und praktikable Regelungen. Wichtig dabei ist ein einheitliches Niveau, das einerseits den Schutz der Privatsphäre effektiv gewährleistet, auf der anderen Seite jedoch Innovation nicht verhindert. Ein Übererfüllen der datenschutzrechtlichen Standards ist zudem eine klare Chance für Unternehmen, sich dadurch vom Mitbewerb abzuheben – was ja heute auch schon von einigen praktiziert wird.
so Maximilian Schubert, Generalsekretär der ISPA.
Weidenholzer, Vizepräsident der sozialdemokratischen Fraktion (S&D) und Mitglied im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres im EU-Parlament:
Der Schutz unserer Daten ist im EU-Primärrecht verankert. Dass dieses Grundrecht durch Safe Harbor nicht geschützt ist, hat nun auch der EuGH bestätigt. Die USA haben nicht das Recht dazu, willkürlich mit unseren persönlichen Daten zu verfahren. Hier braucht es eine fundamentale Änderung im Datenaustausch. Die Grundrechtecharta hat über allem zu stehen.
Dieses Abkommen hat nur Unternehmen gedient, aber nicht den BürgerInnen. Safe Harbor war ein schwaches und extrem unsicheres Konstrukt und es ist höchste Zeit, es endlich zu begraben.
Wir brauchen verbindliche Regeln für den Datenaustausch mit den USA. Europa muss Verantwortung für die persönlichen Daten seiner BürgerInnen übernehmen.
Grüne Datenschutzsprecher Albert Steinhauser:
Mit der Beseitigung des Safe Harbour-Abkommens zwischen den USA und der EU hat der europäische Gerichtshof ein historisches Signal für mehr Datenschutz gesetzt. Während die europäische Politik nicht zur Kenntnis nehmen wollte, dass an diesem Abkommen nichts sicher ist, haben die Gerichte klar gezeigt, wohin der Weg gehen muss.
Es führt praktisch keine Alternative an Regelungen vorbei, die EuropäerInnen künftig einen gleichwertigen Schutz ihrer Daten in den USA wie in Europa garantieren.
In Soziale Medien wie Twitter und Co wird aktuell eifrig über das Thema unter dem Hasthtag #SafeHarbor diskutiert und kommentiert.
Auswirkungen
Wie das Handelsblatt schreibt, hat das Urteil nach Einschätzung des Internet-Verbands Eco für die gesamte Internetwirtschaft weitreichende Folgen und für viele Unternehmen herrsche nun eine große Rechtsunsicherheit. Kein Ende des Datenflusses zwischen Europa und Amerika sehen Bürgerrechtsorganisationen, da das europäische Datenschutzrecht viele Ausnahmen für die Übermittlung personenbezogener Daten auch ohne eine „Safe Harbor“ Regelung vorsieht. Diese Ausnahmen würden aber nur greifen, wenn Nutzer zunächst umfassend über den Verwendungszweck und die Weitergabe ihrer Daten an Dritte unterrichtet wurden. (Quelle: futurezone.at/netzpolitik/eugh-safe-harbour-abkommen-ist-ungueltig/156.792.404)
Auswirkungen auf die Datenverwertung von Facebook sieht die deutsche Datenschutzbeauftragte Hansen darin, dass Facebook zwar nicht darauf angewiesen ist seine Daten in die USA zu schicken, aber diesbezügliche Umstellungen aber ein umfassendes Neudesign erfordern würden. (Quelle: www.faz.net)
Firmen, die ihre Daten in die USA gespeichert haben, müssten laut Jurist Matthias Bergt ihre Daten wieder nach Europa zurück holen, da sie sich nicht mehr auf das Safe Harbor Abkommen berufen können. Beispielsweise kleine Firmen, die Ihre Daten bei Amazon hosten. (Quelle: derstandard.at/2000023272903/EuGH-urteilt-Datentransfer-von-EU-in-USA-ist-unzulaessig)
Die ISPA gibt zu bedenken, dass das Internet auf Datenaustausch beruht. Sofern keine Nachfolgeregelung gefunden werden kann, würde die ersatzlose Streichung von Safe Harbor diesen Datenaustausch bzw. Datentransfer über die Grenzen der EU hinweg deutlich erschweren und könnte somit schlimmstenfalls zu einer Abkapselung der EU führen. Das würde die weitere Entwicklung der digitalen Wirtschaft sowie des Internets stark behindern beziehungsweise das damit verbundene Potential deutlich reduzieren.
Aus ihrer Sicht soll das heutige Urteil als Chance gesehen und genutzt werden, das Datenschutzniveau zu vereinheitlichen und praktikabel zu gestalten sowie die Einhaltung durch sinnvolle Überprüfungsmaßnahmen für alle am europäischen Markt tätigen Unternehmen sicherzustellen. Nur so – und nicht durch eine digitale Isolierung Europas – wird es gelingen, die europäische digitale Wirtschaft voranzutreiben. (Quelle: ispa.at)
