Safe-Harbor - Datenschutzabkommen mit den USA ist ungültig

Mehr zum Thema: Experteninterviews, Facebook, Datenschutzabkommen, USA, Europa, Safe-Harbor, Datenaustausch
3,5 von 5 Sterne
Bewerten mit: 5 Sterne 4 Sterne 3 Sterne 2 Sterne 1 Stern
22

Welche Folgen hat das Urteil des Europäischen Gerichtshofs für den europäischen Datenschutz?

Der Europäische Gerichtshof hat das Safe-Harbor-Datenschutzabkommen zwischen den USA und Europa für ungültig erklärt. Es könne nicht garantiert werden, dass in den USA europäische Daten ausreichend vor Zugriff staatlicher Ermittlungsbehörden geschützt sind. Viele Fragen bleiben jedoch. Grund genug, einmal mit Rechtsanwalt Dr. Sven Jürgens über das Thema zu sprechen.

Safe-Harbor"-Abkommen soll Übermittlung personenbezogener Daten legalisieren

123recht.de: Herr Dr. Jürgens, welchen Zweck verfolgte das Datenschutzabkommen zwischen den USA und Europa?

Dr. Sven Jürgens: Nach geltendem EU-Recht ist die Übermittlung personenbezogener Daten in die USA eigentlich verboten. Mit dem so genannten „Safe-Harbor"-Abkommen wollte die Kommission der Europäischen Union den Datenverkehr zwischen der Europäischen Union und den USA legalisieren.

123recht.de: Wer hat dagegen geklagt und warum kam es zur Klage? Was wurde beanstandet?

Dr. Sven Jürgens: Der Österreicher Maximillian Schrems hatte gegen die Übermittlung seiner Facebook-Daten in die USA geklagt. Der Kläger hat 2012 die Initiative „Europe versus Facebook" gegründet, die sich für die Einhaltung des Datenschutzes und mehr Transparenz bei Facebook einsetzt.

Schrems hatte sich bei der Kommission beschwert und gefordert, die Weiterleitung und Speicherung seiner auf der Onlineplattform Facebook veröffentlichten persönlichen Daten in die USA zu unterbinden. Nach den Enthüllungen im Fall Edward Snowden hielt er die Sicherheit seiner Daten nicht mehr für gewährleistet, einen Zugriff etwa der NSA für möglich.

Die Kommission wies die Beschwerde zurück. Schrems klagte dagegen beim irischen High Court, der die Sache wegen der zu klärenden unionsrechtlichen Fragen zur Vorabentscheidung an den Europäischen Gerichtshof (EuGH) verwies.

Persönlichen Daten europäischer Nutzer sind in den USA nicht ausreichend vor dem Zugriff durch Behörden geschützt

Der EuGH schloss sich der Argumentation des Klägers an und entschied, dass die Regelungen zum Datenaustausch zwischen der Europäischen Union und den USA rechtswidrig ist. Die EU-Kommission habe ihre Befugnisse bei dem Abkommen überschritten, auch seien die persönlichen Daten europäischer Nutzer in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt, heißt es in dem Urteil.

Eine Regelung, die es Behörden gestatte, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, verletze das Grundrecht auf Achtung des Privatlebens. Auch sei das Grundrecht auf Rechtsschutz berührt, wenn der Bürger keine Möglichkeit habe, Zugang zu seinen personenbezogenen Daten zu erlangen oder ihre Berichtigung und Löschung zu verlangen.

Der EuGH hat die Entscheidung der Kommission „Safe Harbor" (Entscheidung der Kommission vom 26.07.2000, 2000/520) für ungültig erklärt. Sie kann daher nicht mehr als Grundlage für die Datenübermittlung herangezogen werden.

123recht.de: Gilt das nur für Facebook-Daten oder sind generell alle Daten von dem Abkommen und dem Urteil betroffen?

Dr. Sven Jürgens: Das Abkommen hat Auswirkungen weit über Facebook hinaus. Alle personenbezogenen Daten europäischer Internetnutzer, die von den etwa 5.000 betroffenen Unternehmen in Europa in die USA übermittelt und dort gespeichert werden, fallen unter das für ungültig erklärte Abkommen und sind damit der Entscheidung des EuGH betroffen.

EU-Kommision opferte europäischen Datenschutz primär aus wirtschaftlichen Interessen

123recht.de: Hätte das Datenschutzabkommen nicht für Sicherheit gesorgt?

Dr. Sven Jürgens: Nein, das glaube ich nicht.

Das Datenschutzabkommen verfolgte primär wirtschaftliche Ziele. Erklärtes Ziel war es, den Datenaustausch zwischen der EU und ihrem wichtigsten Handelspartner USA nach Verschärfung des EU-Datenschutzrechts im Jahre 1998 aufrechtzuerhalten. Die Kommission hat sehenden Auges hingenommen, dass „die Vereinigten Staaten …" datenschutzrechtlich „…einen anderen Ansatz verfolgen als die Europäische Gemeinschaft..." (Entscheidung der Kommission, 26.07.2000, 2000/520). Im Klartext heißt das, dass der europäische Datenschutz als „Kolateralschaden" auf der Strecke blieb, weil die USA keinen dem Niveau der EU vergleichbaren Datenschutzstandard gewährleisten können.

Die Safe-Harbor-Vereinbarung hat zwar den an der Datenübermittlung beteiligten Unternehmen Pflichten auferlegt, diese blieben aber weit hinter dem europäischen Schutzniveau zurück und konnten in der Praxis kaum überprüft werden.

Der Datenschutz hat in Europa hohes Schutzniveau: Die Grundrechtscharta und eine Reihe von Richtlinien (insbesondere die Datenschutzrichtlinie 95/46/EG) gewährleisten, dass bei der Datenverarbeitung die Privatsphäre von natürlichen Personen geschützt wird. Nach diesen Regeln ist eine Übermittlung in Staaten außerhalb der EU grundsätzlich verboten. Sie kommt nur dann in Betracht, wenn gewährleistet ist, dass in dem Drittland ebenfalls ein „angemessenes Schutzniveau" besteht (Art. 25 der RiLi 95/46/EG).

Die USA bieten kein solches „angemessenes Schutzniveau", weil keine entsprechenden gesetzliche Datenschutzregeln bestehen.

Nach der Richtlinie gibt es aber eine Hintertür, die die Kommission genutzt hat. Unter den Voraussetzungen des Art. 25 Ab. 6 der RiLi kann die Kommission die Übermittlung personenbezogener Daten in Drittstaaten erlauben, auch wenn das „angemessene Schutzniveau" des Drittstaates nicht erfüllt ist.

Keine Übermittlung von Daten auf Grundlage des Safe-Harbor"-Abkommens mehr möglich

123recht.de: Welche Konsequenzen hat das Urteil? Wer profitiert von dem Urteil?

Dr. Sven Jürgens: Unternehmen dürfen Nutzerdaten nicht mehr auf Grundlage des „Safe-Harbor"-Abkommens in die USA übermitteln.

Sie müssen auf andere, legale Speichermöglichkeiten zurückgreifen, etwa in der europäischen Union. Denkbar wäre auch die Einwilligung der Nutzer in die Datenübermittlung, etwa durch Änderung der AGB, was rechtlich fragwürdig ist.

Möglich ist auch, dass die großen Anbieter wie Facebook, Google oder Amazon eigene EU-Rechenzentren errichten, was zu einem deutlichen Sicherheitsgewinn für die persönlichen Daten führen würde.

Eine Garantie, dass die Daten nicht in falsche Hände geraten, gibt es aber auch dann nicht.

123recht.de: Welche Rechte kann ich als Internetuser aus dem Urteil ableiten?

Dr. Sven Jürgens: Unmittelbare Folgen hat die Entscheidung des EuGH (Urteil vom 6.10.2015, C-362/14) nur für die Kommission, deren Entscheidung für ungültig erklärt wurde, und die Unternehmen, die Daten auf Grundlage der aufgehobenen „Safe-Harbor"-Regelung übermitteln.

Greifbare Ergebnisse für Internetnutzer gibt es kaum. Sie können sich aber auf die Einhaltung des deutschen und europäischen Datenschutzes berufen und bei Verletzungen den Datenschutzbeauftragten anrufen. Nach dem BDSG (Bundesdatenschutzgesetz) ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich verboten und nur in den gesetzlich geregelten Fällen ausnahmsweise erlaubt. Betroffene haben umfangreiche Rechte auf Benachrichtigung, Auskunft, Korrektur, Sperrung oder Löschung von personenbezogenen Daten.Die unerlaubte Weitergabe von personenbezogenen Daten an Stellen in den USA ist nach der EuGH-Entscheidung des EuGH verboten, weil das Abkommen als Rechtsgrundlage entfallen ist.

Verstoß gegen das Urteil stellt Ordnungswidrigkeit oder sogar Straftat dar

123recht.de: Was droht Unternehmen bei Verstoß?

Dr. Sven Jürgens: Verstöße gegen den Datenschutz könnten als Ordnungswidrigkeit oder sogar Straftat geahndet werden. Im Einzelfall kommen auch Unterlassungs- oder Schmerzensgeldansprüche von Betroffenen in Betracht.

123recht.de: Kann ich Unternehmen in den USA oder in Deutschland selbst verklagen?

Dr. Sven Jürgens: Die Wahrnehmung von Rechten gegenüber Facebook ist schwierig und mit Unsicherheiten verbunden:

In den USA ist eine Klage für deutsche Betroffene in der Regel nicht möglich.

Eine Klage in Deutschland ist heikel, weil schon die Zuständigkeit deutscher Gerichte und die Anwendbarkeit deutschen Rechts nicht abschließend geklärt ist. Es gibt Stimmen dafür (etwa LG Berlin, 06.03.2012, Az. 16 O 551/10), viele andere Gerichte haben Klage in Deutschland für unzulässig erklärt.

Da Facebook seinen Sitz in Irland hat, könnte aber jedenfalls dort geklagt werden.

Neues Abkommen soll Zugriff erschweren und Rechtsschutzmöglichkeiten für EU-Bürger in den USA schaffen

123recht.de: Herr Dr. Jürgens, was meinen Sie, ist das Abkommen nun aus Ihrer Sicht vom Tisch oder nur vertagt?

Dr. Sven Jürgens: Nein, mit Sicherheit wird in Kürze eine Nachfolgeversion von „Safe-Harbor" aufgelegt werden. Die EU-Kommission und das US-Handelsministerium führen schon seit längerem Verhandlungen über eine aktualisierte Version, die auf Grund der EuGH-Entscheidungen noch deutlich umgestaltet werden muss. Dabei ist angedacht, die Hürden für den Zugriff auf die EU-Daten zu erhöhen und Rechtsschutzmöglichkeiten für EU-Bürger in den USA zu schaffen.

Ob damit die Einhaltung europäischen Datenschutzrechts erzielt wird, ist fraglich. Nimmt man die Richtlinie und den EuGH ernst, wäre eine Übermittlung von personenbezogenen Daten in die USA erst dann möglich, wenn dort ein vergleichbares Datenschutzniveau gesetzlich verankert wird.

Ob und wann das erfolgt, steht in den Sternen.

123recht.de: Herzlichen Dank für das Gespräch.