Der Kläger Max Schrems, hier bei den „Big Brother Awards“ im April 2015 in Bielefeld
Dieses Urteil dürfte Internetnutzer und IT-Konzerne weltweit aufrütteln: Der Austausch von Daten zwischen Unternehmen in den USA und der Europäischen Union muss neu geregelt werden. Der Europäische Gerichtshof (EuGH) erklärte Dienstag die Zustimmung der EU-Kommission zum sogenannten Safe-Harbor-Abkommen für rechtswidrig (Az.: C-362/14).
Safe Harbor erlaubt bislang Konzernen wie Facebook oder Amazon, die Daten ihrer Kunden aus Europa auf Servern in den USA zu verarbeiten, ohne zuvor extra zu prüfen, ob das den europäischen Datenschutzbestimmungen entspricht. Davon profitieren beispielsweise auch europäische Reiseunternehmen oder Finanzdienstleister. Mit dieser Praxis soll nun Schluss sein: Der EuGH erklärte, dass Safe Harbor in seiner aktuellen Form nicht mit dem europäischen Recht zu vereinbaren sei.
Die Richter kritisierten in ihrer Urteilsbegründung, die EU-Kommission hätte dem Safe-Harbor-Abkommen nie zustimmen dürfen, da US-Behörden nie an die entsprechenden Datenschutzbestimmungen gebunden gewesen wären. „Es ist festzustellen, dass diese Regelung nur für die amerikanischen Unternehmen gilt, die sich ihr unterwerfen, nicht aber für die Behörden der Vereinigten Staaten“, erklärten die Richter.
Lesenswert: USA kein „sicherer Hafen“ für Daten von EU-Bürgern?
Die Verhandlung überhaupt erst ausgelöst hatte der österreichische Datenschutzaktivist Max Schrems, der gegen den irischen Datenschutzbeauftragten geklagt hatte. In Irland sitzt Facebooks Tochtergesellschaft, die für alle Nutzer außerhalb der USA und Kanada zuständig ist.
Schrems hatte die irischen Behörden dazu aufgefordert, zu überprüfen, inwieweit Facebook seine Nutzerdaten überhaupt auf Server in den USA übertragen durfte. Als die Iren daraufhin auf das Safe-Harbor-Abkommen verwiesen, strengte Schrems eine Klage vor dem obersten irischen Gerichtshof, dem Supreme Court, an. Dieser legte den Fall den europäischen Richtern vor.
Streng genommen hätte der EuGH gar kein so weitreichendes Urteil fällen müssen. Im Grunde sollte das Gericht nur entscheiden, ob die irische Datenschutzbehörde eigene Ermittlungen zum Datenschutz bei Facebook anstellen muss oder weiterhin auf Safe Harbor verweisen kann. Doch der Generalanwalt Yves Bot ging in seinem Rechtsgutachten zu dem Fall deutlich weiter und zweifelte angesichts der Enthüllungen des ehemaligen US-Geheimdienstmitarbeiters Edward Snowden über die Arbeitsweise der amerikanischen Sicherheitsbehörden das gesamte Abkommen an. Seiner Einschätzung folgten die Richter nun in ihrem Spruch.
Erhebliche Rechtsunsicherheit für Unternehmen
Nach dem Urteil muss die Europäische Kommission jetzt handeln. Sie kann Safe Harbor aussetzen oder aber versuchen, die beanstandeten Defizite mit Neuverhandlungen zu beseitigen. Die Verhandlungen zwischen der EU und den USA in Sachen Safe Harbor laufen jedoch bereits seit zwei Jahren, ohne dass ein Ergebnis in Sicht ist – und sie dürften jetzt noch schwieriger werden.
Nun stehen die mehr als 4000 Firmen, die bislang auf Safe Harbor vertraut haben, erst einmal einer erheblichen Rechtsunsicherheit gegenüber. Zwar können auch ohne Safe Harbor personenbezogene Daten in die USA transferiert werden. Experten weisen beispielsweise auf sogenannte Standardvertragsklauseln hin, die mit dem Unternehmen geschlossen werden können, an das die Daten übermittelt werden sollen. Damit unterwirft das Unternehmen sich aber quasi den EU-Standards – und damit können Nutzer ab sofort die jeweiligen nationalen Datenschützer dazu auffordern, die Einhaltung dieser Standards auch zu überprüfen.
„Ab jetzt können sich auch deutsche Datenschützer nicht mehr auf Safe Harbor verlassen, sondern müssen nach Aufforderung der Nutzer genau prüfen, was mit den Nutzerdaten in den USA passiert und ob die Unternehmen sich an die nationalen und europäischen Datenschutzrichtlinien halten“, sagt Katy Ritzmann, Expertin für Datenschutzrecht der Kanzlei FPS in Berlin.
Geschäftsmodelle könnten durcheinandergeraten
Die Datenschützer müssten dann für jeden Einzelfall sogenannte Binding Corporate Rules mit dem Unternehmen vereinbaren, also verbindliche Richtlinien zum Umgang mit personenbezogenen Daten. Diese Regeln müssten von der Datenschutzbehörde des Landes, aus dem Daten übertragen werden sollen, verifiziert werden. Darauf haben sich beispielsweise deutsche Unternehmen wie die DHL, Siemens und auch die Deutsche Telekom eingelassen.
„Wie genau jedoch die europäischen Datenschützer sicherstellen können, dass die Daten der Nutzer in den USA entsprechend den Regeln behandelt werden – also dass etwa Sicherheitsbehörden nur im Einzelfall und nach Richterspruch darauf Zugriff haben –, ist völlig unklar“, erklärt Ritzmann. Damit aber könnten die US-Unternehmen dazu gezwungen sein, die Daten der Nutzer auf europäischen Servern abzulegen, um die Regeln überhaupt einhalten zu können.
Das jedoch würde Geschäftsmodelle von Unternehmen wie Google oder Facebook, die auf weltweit synchronisierte Datenspeicher setzen, erheblich durcheinanderbringen. „Was passiert, wenn ein europäischer Nutzer auf der Facebook-Pinnwand eines US-Nutzers postet? Viele Geschäftsmodelle funktionieren ohne Datenaustausch überhaupt nicht.“
Bei Amazon dagegen schon: AWS, die Hosting-Services-Tochter des Konzerns, hat bereits vor einigen Monaten eine eigene Präsenz in Frankfurt eröffnet, um Daten von Firmenkunden explizit innerhalb Deutschlands zu speichern und zu verarbeiten.
Wirtschaft fordert neuen Rechtsrahmen
Auch deutsche Unternehmen müssen nun überprüfen, ob sie Kundendaten weiterhin von US-Unternehmen verarbeiten lassen dürfen – im Zweifelsfall droht jeder Firma, die Daten etwa auf Cloud-Servern von Microsoft oder Amazon ablegt, eine Untersuchung der Datenschützer.
Der Hauptgeschäftsführer des Bundesverbandes der Deutschen Industrie (BDI), Markus Kerber, sieht daher große Probleme auf die Wirtschaft zukommen: „Die Politik auf beiden Seiten des Atlantiks muss jetzt unverzüglich handeln. Unternehmen und Bürger brauchen Rechtssicherheit. Die USA sind Europas wichtigster Handelspartner. Ein Abbruch des Datenaustauschs wäre ein Paukenschlag. Ziel ist, zügig einen verlässlichen Rechtsrahmen für den Datenaustausch mit den USA zu schaffen.“
Doch selbst eine strenge Regelung zur ausschließlichen Speicherung von personenbezogenen Daten in Europa heißt nicht automatisch, dass amerikanische Sicherheitsbehörden darauf keinen Zugriff mehr hätten. Microsoft kämpft derzeit vor einem US-Gericht gegen die Herausgabe von Daten eines seiner Kunden, die ausgerechnet in Irland gespeichert sind. Ein Bezirksgericht hatte den Konzern genau dazu verpflichtet. Gerade hat das Berufungsverfahren begonnen. Zwar geht es hier um Drogenhandel, doch Beobachter sehen darin einen Präzedenzfall.
Dieser Artikel erschien zuerst auf Welt Online.
