Edward Snowden hat mit seinen Enthüllungen Sicherheitsexperten auf beiden Seiten des Atlantiks aufgeschreckt. Der Europäische Gerichtshof hat heute die Konsequenz gezogen und ein grundsätzliches Abkommen für den Datenaustausch mit den USA für ungültig erklärt. Die Folgen für Internetkonzerne sind noch nicht abzusehen.
Safe-Harbor-Mitglieder müssen Sicherheit nur zusagen
Die als „Safe Harbor“ bekannte Vereinbarung besagt, dass personenbezogene Informationen in andere Länder übermittelt werden dürfen, wenn diese Länder ein „angemessenes Schutzniveau“ garantieren. Eine Überprüfung, ob die Grundsätze des Abkommens eingehalten werden, ist aber praktisch kaum möglich.
Dem österreichischen Juristen Maximilian Schrems war das zu unsicher, vor allem, nachdem er erfahren hatte, dass Facebook über 1000 Seiten an Informationen über ihn gespeichert hatte. Nach den Aussagen von Edward Snowden musste er davon ausgehen, dass auch die Nationale Sicherheitsagentur NSA auf all diese Daten Zugriff hatte, denn die großen Datenspeicher des Netzwerks stehen in den USA.
Gericht: „Datenschutz in USA unzureichend“
Schrems legte also Beschwerde ein, und zwar in Irland, wo die für Europa zuständige Facebook- Tochtergesellschaft ihren Sitz hat. Jahrelange juristische Auseinandersetzungen an verschiedenen Stellen folgten, bis der Österreicher nun vom Europäischen Gerichtshof in Luxemburg Recht bekam. Die Richter entschieden, dass die EU-Kommission im Jahr 2000 mit dem Safe-Harbor-Abkommen ihre Kompetenz überschritten habe. Die Richtlinie sei ungültig, weil sie die Befugnisse der einzelnen nationalen Behörden in unzulässigem Maß einschränke.
Mindestens ebenso wichtig aber scheint Experten, was das Gericht darüber hinaus zum „sicheren Hafen USA“ zu sagen hatte: Genau dort seien persönliche Daten eben nicht ausreichend vor staatlicher Überwachung geschützt; das sei spätestens nach den Enthüllungen Edward Snowdens auch in Europa bekannt.
Über 4000 Unternehmen betroffen
Der irischen Datenschutzbehörde gab der EuGH eine klare Aufgabe mit: Sie müsse „mit aller gebotenen Sorgfalt“ untersuchen, ob und wie Unternehmen sensible Informationen europäischer Nutzer unter den gegebenen Umständen überhaupt noch in die USA übermittelt werden dürften. Sollte Irland das verbieten, wäre von dieser Entscheidung nicht nur Facebook betroffen: Mehr als 4000 US- amerikanische Unternehmen aus dem Internetbereich können sich nun nicht mehr auf Safe Harbour berufen; dazu kommen die meisten deutschen Firmen, die ihre Daten auf Cloud-Servern in den USA speichern und Dienste von US-Unternehmen nutzen, bei denen Kundendaten von Deutschland aus in die USA übertragen werden. Und das sind eine ganze Menge.... .
In den vergangenen zwei Jahren hatten EU und USA bereits an einer Neufassung des Safe-Harbor- Abkommens gearbeitet; angeblich stand eine Einigung kurz bevor. Nun könnten alle Beteiligten von vorn anfangen müssen.
Fazit:
Bisher galt: Die Daten europäischer Nutzer bei US-Konzernen sind sicher, wenn die Unternehmen dem Safe-Harbor-Abkommen beigetreten sind. Der EuGH hat diese Richtlinie aufgehoben, weil sie die Rechte einzelner Länder unzulässig einschränkt. Gleichzeitig haben die Richter betont, dass die USA kein „sicherer Hafen“ für sensible persönliche Informationen seien. Welche konkreten Folgen daraus für mehrere Tausend Unternehmen und deren Kunden entstehen, ist im Moment völlig offen.
Wir werden versuchen in den nächsten Tagen eine fundierte Analyse mit konkreten Handlungsanleitungen für die betroffenene Unternehmen online zu stellen.
Klicken Sie einfach auf das Formularfeld und kopieren Sie sich den Link heraus.
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
