EU-Urteil: Safe Harbor ist ungültig
Der EuGH hat das Safe-Harbor-Abkommen für ungültig erklärt
Bild: dpa
Durch ein bahnbrechendes Urteil wird die
Übermittlung persönlicher Daten europäischer Internet-Nutzer in die
USA schwieriger. Der Europäische Gerichtshof (EuGH) erklärte die 15 Jahre alte Vereinbarung zur unkomplizierten Datenübertragung ("Safe
Harbor") für ungültig. Die Informationen seien in den USA nicht
ausreichend vor dem Zugriff von Behörden und Geheimdiensten
geschützt, das verletze die Rechte der Europäer, urteilten die
Richter heute in Luxemburg. (Rechtssache C-362/14).
Der EuGH hat das Safe-Harbor-Abkommen für ungültig erklärt
Bild: dpa
Die Entscheidung hat eine weitreichende Bedeutung für die
Internet-Wirtschaft. Vor allem kleinere Unternehmen verließen sich
bisher darauf, dass Datenübermittlung in die USA unbedenklich ist.
Ohne Safe Harbor müsste jede Firma selber dafür Sorgen, dass der
rechtliche Rahmen nach der Datenschutz-Grundverordnung eingehalten
wird. Das kann zusätzliche Verträge und Aufwand für Anwälte bedeuten.
Betroffen sind gleichermaßen deutsche und amerikanische Unternehmen,
die Daten in die USA fließen lassen.
Betroffene können nationale Gerichte anrufen
In dem Verfahren wollte ein irisches Gericht wissen, ob nationale Behörden das Datenschutzniveau in den USA auch selbst prüfen können, oder ob sie an das europäisch-amerikanische Abkommen gebunden sind. Die Vereinbarung soll europäische Datenschutzstandards garantieren, auch in den USA. Allerdings müssen US-Firmen sich lediglich registrieren lassen und sich dazu verpflichten, bestimmte Prinzipien einzuhalten.
Die Luxemburger Richter bestätigten ausdrücklich, dass Betroffene das Recht haben, die nationalen Gerichte anzurufen. Nationale Datenschutzbehörden dürften prüfen, ob die Daten einer Person entsprechend geschützt seien.
Doch die Richter gingen noch weiter: Nach Ansicht des Gerichts bietet das - als wirtschaftsfreundlich bekannte - Safe Harbor-Abkommen keine ausreichende Basis für eine Datenübermittlung. Das Gericht erklärte die Einschätzung der EU-Kommission, wonach die USA ein angemessenes Schutzniveau von übermittelten personenbezogenen Daten gewährleisten, für ungültig. In den USA hätten Überlegungen nationaler Sicherheit Vorrang vor den Personenrechten und die Europäer könnten nicht dagegen vorgehen. "Die EU-Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu beschränken", kritisierten die Richter.
Erfolg für Max Schrems
Das Urteil ist ein juristischer Erfolg für den österreichischen Facebook-Kritiker Max Schrems, der das Verfahren ausgelöst hatte. Nun ist der Weg frei, dass seine Beschwerde auch geprüft wird. Schrems klagt gegen das weltgrößte Online-Netzwerk Facebook, weil seiner Ansicht nach seine Facebook-Daten in den USA nicht vor staatlicher Überwachung etwa durch die Geheimdienste geschützt sind. Zur Begründung verwies er auf den NSA-Skandal.
In Irland, dem Europa-Sitz von Facebook, liegen zahlreiche Datenschutzbeschwerden vor. Diese müssen nun genau geprüft werden, mahnen die Luxemburger Richter und schreiben vor, "dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen" muss. Sie könnten die Übermittlung europäischer Facebook-Daten auf Server in die USA verbieten, "weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet".
Bundesjustizminister Heiko Maas (SPD) sieht das Urteil als Signal für den Schutz der Grundrechte in Europa. Mit den USA müsse nun unverzüglich über die Folgen des Urteils gesprochen werden. "Das Urteil ist ein Auftrag an die Europäische Kommission, auch international für unsere Datenschutzstandards zu kämpfen."