Der Austausch von personenbezogenen Daten in die USA war bislang aufgrund eines seit dem Jahr 200 bestehenden Abkommens zwischen der EU und den USA, dem sog. Safe Harbor Abkommen, zulässig. Der Europäische Gerichtshof erklärte das Abkommen nun für ungültig, was weitreichende Konsequenzen für zahllose Unternemhen haben wird.
Ausgelöst hatte den Rechtsstreit der Österreicher Max Schrems. Dieser ging nach den Enthüllungen von Edward Snowden und dem NSA-Skandal gegen die Übermittlung seiner personenbezogenen Daten durch Facebook von Europa in die USA vor.
Hierzu legte Schrems bei der für Facebook zuständigen irischen Datenschutzbehörde Beschwerde gegen Facebook ein. Die Behörde wies die Beschwerde unter Verweis auf das Safe Harbor Abkommen zwischen der EU und den USA zurück. Diesem Abkommen zufolge dürfen die Daten von EU-Bürgern in die USA übermittelt werden, da dort der Datenschutz ausreichend gesichert sei. Dies sah Schrems nach den Enthüllungen zu PRISM und Co. anders und zog vor Gericht.
Die Sache landete beim irischen Gerichtshof, der die Sache dem EuGH vorlegte. Der EuGH sollte prüfen, ob eine nationale Datenschutzbehörde sich über eine Entscheidung der EU-Kommission und das von dieser geschlossene Safe Harbor Abkommen hinwegsetzen könne oder müsse.
Verfahren zu Safe Harbor vor dem EuGH
Im Verfahren vor dem EuGH ging es nun im Endeffekt um Safe Harbor als Ganzes. Der Generalanwalt beim EuGH, der Franzose Yves Bot, beurteilte das Abkommen in seinen Schlussanträgen für ungültig. Es bestünde in den USA kein vergleichbares Datenschutzniveau. In den USA würden massenhaft personenbezogene Daten aus Europa gesammelt ohne dass EU-Bürger dies rechtlich überprüfen könnten. Der Zugang der US-Geheimdienste zu diesen Daten stehe im Widerspruch zu grundlegenden europäischen Rechten.
Der EuGH (Urteil vom 06.10.2015 – C-362/14) schließt sich nun der Auffassung des Generalanwalts an und erklärt das Safe Harbor Abkommen für ungültig. Das Safe Harbor Abkommen gelte nur für amerikanische Unternehmen, die sich den Regelungen unterwerfen, nicht aber für amerikanische Behörden. Außerdem hätten in Fällen der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung amerikanischer Gesetze, diese Vorrang vor dem Safe Habor Abkommen. Dies ermögliche Eingriffe amerikanischer Behörden in Grundrechte von Personen ohne jedwede Begrenzung oder Rechtsmittel der betroffenen Personen.
Die Europäische Kommission könne zudem durch Abkommen die Befugnisse nationaler Datenschutzbehörden weder beseitigen noch beschränken. Vielmehr hätten diese in völliger Unabhängigkeit zu prüfen, ob bei der Übermittlung personenbezogener Daten einer Person die gesetzlichen Vorgaben eingehalten werden. Die Ungültigkeit eines einer Entscheidung der EU-Kommission könne zwar nur durch den EuGH erfolgen, aber eine nationale Behörde oder Person könne hierzu den ordentlichen Rechtsweg beschreiten, was dann zur Vorlage an den EuGH führen könne.
Fazit
Die Auswirkungen, insbesondere für die Tech-Riesen aus den USA dürften gravierend sein. Microsoft, Facebook, Amazon, Google, Dropbox, IBM und viele andere Unternehmen auf der Safe Harbor Liste stehen nun vor dem Problem, dass sie unter Safe Harbor keine personenbezogenen Daten mehr in die USA übermitteln dürfen.
Artikel als PDF speichern
