Der Europäische Gerichtshof (EuGH) hat das „Safe Harbour“-Abkommen zum Datenaustausch zwischen den USA und der EU für ungültig erklärt. Demnach können EU-Behörden etwa die Übermittlung europäischer Facebook-Daten auf Server in den USA künftig verbieten.
Der Europäische Gerichtshof (EuGH) hat das „Safe Harbour“-Abkommen zum Datenaustausch zwischen den USA und der EU für ungültig erklärt. Die irischen Datenschutzbehörden sind daran nicht gebunden und können die Übermittlung europäischer Facebook-Daten auf Server in den USA verbieten, erklärte der EuGH am Dienstag in Luxemburg.
Damit ist der Weg für die Prüfung einer Beschwerde des österreichischen Datenschutz-Aktivisten Maximilian Schrems frei. Er verlangt vom irischen Datenschutzbeauftragten, die Übermittlung seiner Facebook-Daten durch die Europäische Facebook-Zentrale auf US-Server zu unterbinden. Zur Begründung verweist er insbesondere auf den NSA-Skandal.
Nach EU-Recht dürfen personenbezogene Daten nur dann in Drittländer übermittelt werden, wenn sie dort „angemessen“ geschützt sind. Im Juni 2000 hatte die EU-Kommission entschieden, dass dies in den USA gewährleistet ist und das Land daher als solcher sogenannter sicherer Hafen gilt. Weil dieser Entscheidung Absprachen mit den USA vorausgingen, wird sie auch als „Safe-Harbour-Abkommen“ bezeichnet.
Die Europa-Zentrale von Facebook übermittelt die Daten ihrer europäischen Nutzer zumindest in Teilen an Server in den USA. Mit seiner Klage verlangt Schrems vom irischen Datenschutzbeauftragten, dies zu unterbinden. Nach den Enthüllungen von Edward Snowden sei davon auszugehen, dass die Daten dort nicht wirklich geschützt sind und dem Zugriff des US-Geheimdienstes NSA unterliegen. Der Datenschutzbeauftragte hatte dies mit dem Hinweis abgelehnt, nach der Kommissionsentscheidung reiche der Datenschutz in den USA aus.
Die Entscheidung des EuGH ist für Bundesjustizminister Heiko Maas ein „starkes Signal für den Grundrechtsschutz in Europa“. Die Daten europäischer Verbraucher müssten „auch in den USA effektiv geschützt werden“, erklärte Maas am Dienstag in Berlin. Über die Folgen der EuGH-Entscheidung müsse „unverzüglich“ mit Washington gesprochen werden. „Das Urteil ist ein Auftrag an die europäische Kommission, auch international für unsere Datenschutzstandards zu kämpfen“, so Maas.
Auch der Chef des Verbraucherzentrale Bundesverband (vzbv), Klaus Müller, erklärte, Verbraucher in Europa müssten darauf vertrauen können, dass ihre Daten am jeweiligen Speicherort „wirklich sicher“ seien. Die EU-Kommission müsse sicherstellen, dass US-Firmen die entsprechenden Standards einhalten. Bevor Unternehmen Daten in die USA übermitteln dürften, müssten sie „von einer unabhängigen Instanz zertifiziert werden“, erklärte Müller.
„Das heutige EuGH-Urteil ist der Todesstoß für Safe Harbour. Das Abkommen bietet keinen ausreichenden Datenschutz für europäische Bürger. Es ist nur eine Einladung für Unternehmen, bessere Geschäfte über den Atlantik hinweg zu machen. Das ist eine rechtliche Farce“, sagt die liberale EU-Abgeordnete Sophie In‘ t Veld.
EU-Kommission muss #SafeHarbor nun umgehend aussetzen (wie EP schon seit März 2014 fordert). @VeraJourova @JunckerEU https://t.co/sF5Et0OToo
— Jan Philipp Albrecht (@JanAlbrecht) 6. Oktober 2015
Nach Überzeugung eines einflussreichen EuGH-Generalanwalts Yves Bot – dem das EuGH nun folgte – sind die nationalen Datenschutzbeauftragten an diese Entscheidung aber nicht gebunden. In seinem Gutachten betonte er am 23. September die hohe Bedeutung des Datenschutzes und einer unabhängigen Kontrolle durch die nationalen Behörden. Der irische Datenschutzbeauftragte sei daher berechtigt, die Sicherheit der Facebook-Daten eigenverantwortlich zu prüfen und aus dem Ergebnis seine eigenen Konsequenzen zu ziehen.