EUGH

EuGH: USA ist kein "sicherer Hafen"

Der Europäische Gerichtshof (EuGH) hat heute ein folgenreiches Urteil gefällt: Die USA gelten demnach nicht als „sicherer Hafen“ für die personenbezogenen Daten von EU-Bürgern. Damit widerruft der EuGH eine Entscheidung der Kommission aus dem Jahr 2000.

 

Facebook als Auslöser

 

Hintergrund des Urteils ist die Klage des Österreichers Maximillian Schrems gegen Facebook. Die irische Tochtergesellschaft von Facebook übermittelt die Daten der europäischen Nutzer an Server, die in den USA stehen, wo diese auch weiter verarbeitet werden. Schrems hatte nach den Enthüllungen des amerikanischen Whistleblowers Edward Snowden begonnen, sich gegen die Weitergabe seiner Daten an die USA zu wehren.

 

Die irischen Behörden hatten seine Klage zunächst abgelehnt und dies mit der bereits erwähnten Entscheidung der EU-Kommission begründet. Im Juli 2000 hatte die Kommission festgestellt, dass die USA der "Safe-Harbor-Regelung" entsprechen würden. Personenbezogene Daten von EU-Bürgern dürfen nur dann an Drittländer übermittelt werden, wenn diese ein angemessenes Schutzniveau gewährleisten. Das wird von der Kommission sowie nationalen Datenschutzbehörden in den Mitgliedsstaaten geprüft.

 

Der irische High Court stellte dem EuGH nun die Frage, ob die nationale Behörde eine Beschwerde auch dann prüfen soll, wenn bereits eine Entscheidung der Kommission zum betroffenen Land besteht – wie im Fall von Maximillian Schrems gegen Facebook.

 

EuGH hat das letzte Wort

 

Der EuGH hat nun entschieden, dass die nationale Datenschutzbehörde völlig unabhängig von der EU-Kommission jede Beschwerde prüfen muss. Die Kommission darf die Befugnisse einer Datenschutzbehörde nicht einschränken. Wenn eine solche Behörde feststellt, dass kein ausreichendes Schutzniveau besteht, muss die Beschwerde an die nationalen Gerichte weitergeleitet werden, welche sich wiederum an den EuGH wenden müssen. Denn nur dieser kann eine Entscheidung der Kommission aufheben – wie jetzt auch in Bezug auf die USA.

 

Laut dem EuGH bieten die Vereinigten Staaten keinen ausreichenden Schutz für die Daten von EU-Bürgern. Der Gerichtshof begründet das mit verschiedenen Aspekten:

  1. US-Behörden
    Amerikanische Unternehmen können sich freiwillig der Safe-Harbor-Regelung unterwerfen. Sie haben damit die Verpflichtung, die an sie übermittelten personenbezogenen Daten in dem Maße zu schützen wie es die entsprechenden EU-Richtlinien verlangen.
    Diese Bestimmungen gelten jedoch nicht für die US-amerikanischen Behörden. Untersuchungen, die im Sinne der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen getätigt werden, haben außerdem mehr Gewicht als die Safe-Harbor-Regelung. Das bedeutet konkret: Wenn ein US-Unternehmen von einer Behörde aufgefordert wird, Daten eines EU-Bürgers zu übermitteln, so muss es dieser Aufforderung Folge leisten, auch wenn es die Daten damit nicht mehr ausreichend schützen kann.
     
  2. Uneingeschränkter Zugriff
    Des Weiteren stellt der EuGH in der Begründung des Urteils fest, dass dem Zugriff der US-Behörden auf personenbezogene Daten keine Rechtsvorschriften entgegenstehen, welche diesen beschränken oder verhindern können. Zugleich geht die Verarbeitung der Daten durch US-Behörden weit über das notwendige Maß hinaus. Auch haben EU-Bürger keine Möglichkeit, sich gegen diesen Zugriff zu wehren, auf die übermittelten Daten zuzugreifen oder diese berichtigen bzw. löschen zu lassen. Dies ist laut dem Gerichtshof mit den Zielsetzungen der europäischen Schutzregelungen unvereinbar.
     
  3. Unverhältnismäßigkeit
    Der EuGH schreibt in der Pressemitteilung zum Urteil, dass das Schutzniveau nach europäischem Maßstab nicht gegeben ist, wenn "die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden" gestattet wird, "ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen". Die Behörden hätten die Möglichkeit, auf sämtliche elektronisch vermittelte Kommunikation zuzugreifen, worin der EuGH eine Verletzung des Grundrechts auf Privatsphäre sieht.

Diese drei Punkte, in Kombination mit dem zuvor erläuterten Umstand, dass die Entscheidung der Kommission von Juli 2000 die Befugnisse der nationalen Datenschutzbehörde einschränkt, haben den EuGH zu seinem Urteil bewogen. Die USA gelten somit nicht länger als „sicherer Hafen“ für die Daten der EU-Bürger.

 

Folgen

 

Die irische Datenschutzbehörde muss nun die Beschwerde von Maximillian Schrems nochmals prüfen. Medienberichten zufolge fühlt sich Facebook bislang durch das Urteil nicht betroffen, da es sich bei der Übermittlung von Daten in die USA bereits an EU-Regelungen halten würde (siehe dazu folgenden Artikel auf news.orf.at).
 

Das Urteil könnte auch Auswirkungen auf andere US-amerikanische Unternehmen, die ihre Geschäftstätigkeit nach Europa ausrichten. Internetriesen wie Google werden prüfen müssen, ob ihr Umgang mit Daten europäischer Nutzer weiterhin legitim ist oder ob sie diese überarbeiten müssen.