EurActiv.de

Das führende Medium zur Europapolitik

17/01/2017

EuGH-Urteil: Safe-Harbour-Abkommen mit den USA ist ungültig

EU-Innenpolitik

EuGH-Urteil: Safe-Harbour-Abkommen mit den USA ist ungültig

Das sogenannte Safe-Harbor-Abkommen der EU-Kommission mit den USA verstößt gegen europäische Grundrechte. So lautet eine Entscheidung des Europäischen Gerichtshofes (EuGH).

[sprklg/Flickr]

Der Europäische Gerichtshof (EuGH) hat das „Safe Harbour“-Abkommen zum Datenaustausch zwischen den USA und der EU für ungültig erklärt. Demnach können EU-Behörden etwa die Übermittlung europäischer Facebook-Daten auf Server in den USA künftig verbieten.

Der Europäische Gerichtshof (EuGH) hat das „Safe Harbour“-Abkommen zum Datenaustausch zwischen den USA und der EU für ungültig erklärt. Die irischen Datenschutzbehörden sind daran nicht gebunden und können die Übermittlung europäischer Facebook-Daten auf Server in den USA verbieten, erklärte der EuGH am Dienstag in Luxemburg.

Damit ist der Weg für die Prüfung einer Beschwerde des österreichischen Datenschutz-Aktivisten Maximilian Schrems frei. Er verlangt vom irischen Datenschutzbeauftragten, die Übermittlung seiner Facebook-Daten durch die Europäische Facebook-Zentrale auf US-Server zu unterbinden. Zur Begründung verweist er insbesondere auf den NSA-Skandal.

Nach EU-Recht dürfen personenbezogene Daten nur dann in Drittländer übermittelt werden, wenn sie dort „angemessen“ geschützt sind. Im Juni 2000 hatte die EU-Kommission entschieden, dass dies in den USA gewährleistet ist und das Land daher als solcher sogenannter sicherer Hafen gilt. Weil dieser Entscheidung Absprachen mit den USA vorausgingen, wird sie auch als „Safe-Harbour-Abkommen“ bezeichnet.

Die Europa-Zentrale von Facebook übermittelt die Daten ihrer europäischen Nutzer zumindest in Teilen an Server in den USA. Mit seiner Klage verlangt Schrems vom irischen Datenschutzbeauftragten, dies zu unterbinden. Nach den Enthüllungen von Edward Snowden sei davon auszugehen, dass die Daten dort nicht wirklich geschützt sind und dem Zugriff des US-Geheimdienstes NSA unterliegen. Der Datenschutzbeauftragte hatte dies mit dem Hinweis abgelehnt, nach der Kommissionsentscheidung reiche der Datenschutz in den USA aus.

Die Entscheidung des EuGH ist für Bundesjustizminister Heiko Maas ein „starkes Signal für den Grundrechtsschutz in Europa“. Die Daten europäischer Verbraucher müssten „auch in den USA effektiv geschützt werden“, erklärte Maas am Dienstag in Berlin. Über die Folgen der EuGH-Entscheidung müsse „unverzüglich“ mit Washington gesprochen werden. „Das Urteil ist ein Auftrag an die europäische Kommission, auch international für unsere Datenschutzstandards zu kämpfen“, so Maas.

Auch der Chef des Verbraucherzentrale Bundesverband (vzbv), Klaus Müller, erklärte, Verbraucher in Europa müssten darauf vertrauen können, dass ihre Daten am jeweiligen Speicherort „wirklich sicher“ seien. Die EU-Kommission müsse sicherstellen, dass US-Firmen die entsprechenden Standards einhalten. Bevor Unternehmen Daten in die USA übermitteln dürften, müssten sie „von einer unabhängigen Instanz zertifiziert werden“, erklärte Müller.

„Das heutige EuGH-Urteil ist der Todesstoß für Safe Harbour. Das Abkommen bietet keinen ausreichenden Datenschutz für europäische Bürger. Es ist nur eine Einladung für Unternehmen, bessere Geschäfte über den Atlantik hinweg zu machen. Das ist eine rechtliche Farce“, sagt die liberale EU-Abgeordnete Sophie In‘ t Veld.

Nach Überzeugung eines einflussreichen EuGH-Generalanwalts Yves Bot – dem das EuGH nun folgte – sind die nationalen Datenschutzbeauftragten an diese Entscheidung aber nicht gebunden. In seinem Gutachten betonte er am 23. September die hohe Bedeutung des Datenschutzes und einer unabhängigen Kontrolle durch die nationalen Behörden. Der irische Datenschutzbeauftragte sei daher berechtigt, die Sicherheit der Facebook-Daten eigenverantwortlich zu prüfen und aus dem Ergebnis seine eigenen Konsequenzen zu ziehen.

Positionen

Jan Philipp Albrecht, stellvertretender Vorsitzender des Innen- und Justizausschusses und Verhandlungsführer des Europäischen Parlaments zur Datenschutzreform, erklärt: "Auf der Basis von Safe Harbor haben Unternehmen wie Facebook 15 Jahre lang Unmengen personenbezogener Daten von Europäern in die USA gesendet. Mit dem Urteil ist klar, dass all diese Datentransfers das Grundrecht auf Datenschutz verletzt haben. Die Europäische Kommission und der irische Datenschutzbeauftragte müssen jegliche weitere Datentransfers im Rahmen von Safe Harbor in die USA unterbinden. Das Europäische Parlament hat bereits lange gefordert, Safe Harbor auszusetzen. Es ist absolut inakzeptabel, dass die Europäische Kommission diese eindeutige Forderung seit eineinhalb Jahren ignoriert. Es ist höchste Zeit für starke und einheitliche Datenschutzregeln für die Europäische Union, die auch gegenüber Unternehmen aus Drittländern wie den USA durchsetzbar sind. Eine Vermutung gleichwertiger Datenschutzregeln darf es mit Blick auf die USA nur dann wieder geben, wenn auch dort generelle und verbindliche Datenschutzgesetze auf den Weg gebracht werden, die den Datenschutz auf einem dem EU-Recht vergleichbarem Niveau schützen und EU-Bürgern gerichtliche Klagemöglichkeiten einräumen."

"Das Urteil ist ein Meilenstein für den Schutz europäischer Grundrechte", sagt Birgit Sippel, innenpolitische Sprecherin der Sozialdemokraten im Europäischen Parlament. "Seit Jahren haben wir Sozialdemokraten massive Bedenken an der Grundrechtskonformität von Safe Harbour geäußert, denn der Beschluss erlaubt Firmen die Weitergabe personenbezogener Daten von EU-Bürgern in die USA ohne ausreichende Grundrechtsgarantien zu bieten. Die NSA-Enthüllungen haben den vermeintlich sicheren Hafen endgültig als Farce entlarvt."

Der CDU-Europaabgeordnete Axel Voss, der für die EVP-Fraktion den EU-Verordnungsentwurf zum Datenschutz betreut, sagte: ""Das EuGH-Urteil stellt klar, das was das Europäische Parlament seit dem NSA-Untersuchungsausschuss wiederholt gefordert hat: Safe Harbour ist ungültig, da die Übermittlung der personenbezogenen Daten von Unionsbürgern in die USA als nicht mehr sicher eingestuft wird. Die Aufhebung des Safe-Harbour-Mechanismus befürworte ich, dennoch muss der Datenfluss auf einer anderen verbesserten Grundlage funktionieren können. Deshalb kritisiere ich erstens, dass der EuGH Safe Harbour ohne jegliche Übergangsmöglichkeit aufhebt - das bringt die Unternehmen in große rechtliche Schwierigkeiten. Zweitens, dass der Gerichtshof mit der Möglichkeit der Prüfung für nationale Datenschutzbehörden von dem für Europa so wichtigen Grundsatz der Einheitlichkeit des europäischen Rechts abweicht. Denn die nationalen Datenschutzbehörden werden die Gleichwertigkeit des grundrechtlichen Schutzes in den USA auch unterschiedlich auslegen."

Der Vorstand der Stiftung Datenschutz Frederick Richter erklärt: "Safe Harbour war lediglich ein unsicherer Kompromiss und eben kein sicherer Hafen für die Daten europäischer Bürger. Die reine Selbstverpflichtung von US-Unternehmen, auf der die Safe Harbour-Regelung beruhte, war von Anbeginn eine Verlegenheitslösung. Sie diente allein dazu, die EU-Datenschutzrichtlinie für international agierende Unternehmen praktikabel zu machen."

Das bisherige Verfahren bei der amerikanischen Federal Trade Comission (FTC) sieht Richter skeptisch: "Das Versprechen der Unternehmen auf der Safe Harbour-Liste, EU-Datenschutzstandards einzuhalten konnte nie Ersatz sein für eine Überprüfung durch unabhängige Dritte. Selbstzertifizierung ersetzt nicht Zertifizierung. Die EU ist nun gefordert, zügig ein neues Verfahren zu verhandeln. Die Aufgabe ist gleichwohl gigantisch: Es gilt die Privatsphäre der Europäer wirksam zu schützen und gleichzeitig Rechtssicherheit für die Unternehmen zu schaffen."