Was Sie jetzt über das Safe-Harbor-Urteil wissen müssen

27.10.2015

Das war ein Paukenschlag: Der Europäische Gerichtshof (EuGH) erklärte das Safe-Harbor-Abkommen für ungültig. Die Vereinbarung zwischen der EU und den Vereinigten Staaten über den sicheren Austausch personenbezogener Daten aus dem Jahr 2000 ist damit hinfällig. Wie kam es dazu und was bedeutet das für Unternehmen, deren Datenverkehr bis in die USA reicht?

Ziel der Europäischen Kommission war es, einen sicheren Hafen (Safe Harbor) für die Übermittlung von Daten in Richtung Vereinigter Staaten zu schaffen. Dazu setzte man auf eine sogenannte Angemessenheitsentscheidung. Sie sollte sicherstellen, dass personenbezogene Daten aufseiten der USA geschützt sind. Erfüllen konnten Unternehmen wie Facebook, Google und Co. diese Vorgabe, indem sie sich im Rahmen einer Selbstzertifizierung den Prinzipien des Abkommens und den Frequently Asked Questions (FAQ) unterwarfen.

Zweifel daran, dass die Unternehmen es mit dem Datenschutz wirklich ernst nehmen, gab es schon immer. Entsprechend früh keimte erste Kritik am Safe-Harbor-Abkommen auf. Jetzt hat der EuGH diese Zweifel bestätigt.

Den Stein ins Rollen gebracht hat der österreichische Jurist Max Schrems. Nachdem Irlands Datenschutzbehörde seine Beschwerde, dass Facebook den geltenden Datenschutzstandards nicht gerecht wird, abgelehnt hatte, ging der Fall vor das oberste irische Zivilgericht und von dort an den Europäischen Gerichtshof. Die obersten Richter sollten prüfen, ob die Datenschutzbehörde das Recht hat, sich über die EU-Kommission hinwegzusetzen.

Das Ergebnis ist eindeutig: Laut Urteil des EuGH kann die Europäische Kommission die Befugnisse der Datenschutzbehörden „weder beseitigen noch auch nur beschränken“. Demnach hätte die zuständige Behörde in Irland aktiv werden müssen.

Ob Safe-Harbor rechtmäßig ist oder nicht, könne allerdings nur der Europäische Gerichtshof entscheiden. Auch diesbezüglich fanden die Richter klare Worte. Der Datenzugriff durch US-amerikanische Behörden verletzte den „Wesensgehalt des Grundrechts auf Achtung des Privatlebens“. Insbesondere, weil EU-Regeln außer Kraft gesetzt werden, sobald US-Behörden Einblick in die Daten eines Unternehmens verlangen.

Hinzu komme, so der EuGH, dass es europäischen Verbrauchern an Möglichkeiten mangele, mithilfe eines Rechtsbehelfs auf die Löschung von Daten zu pochen. Dadurch werde das Grundrecht auf wirksamen Rechtsschutz verletzt. Ergebnis: Das Safe-Harbor-Abkommen ist ungültig.

Die Konsequenzen lassen sich derzeit nur schwer einschätzen. Firmen, die personenbezogene Daten mit den US austauschen oder auf amerikanischen Servern speichern, bleiben drei Optionen: eine Einwilligung Betroffener, Binding Corporate Rules und EU-Standardvertragsklauseln.

Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) mahnt dabei zur Besonnenheit. „Wichtig für datenverarbeitende Stellen ist […] auch die Aussage des EuGH, dass Angemessenheitsentscheidungen der Kommission durchaus eine bindende Wirkung haben, die erst auf Grund konkreter Anhaltspunkte erschüttern werden […] und letztlich nur durch den EuGH selbst aufgehoben werden kann.“

Die Forderung der GDD nach Rechtssicherheit und damit einer novellierten Vereinbarung zwischen der EU und den USA zum Export personenbezogener Daten, ist absolut nachvollziehbar. Wenn Sie wissen möchten, wie Sie jetzt reagieren sollen: Fragen Sie uns als Ihren externen Datenschutzbeauftragten. Rufen Sie uns einfach an oder nutzen Sie unser Kontaktformular.