Europäischer Gerichtshof: Richter kippen umstrittenes Safe-Harbor-Abkommen

Update Andreas Frischholz
60 Kommentare
Europäischer Gerichtshof: Richter kippen umstrittenes Safe-Harbor-Abkommen
Bild: Cédric Puisney | CC BY 2.0

Erneut hat der Europäische Gerichtshof (EuGH) ein Urteil mit politischer Brisanz gefällt: Die Luxemburger Richter haben das Safe-Harbor-Abkommen gekippt, das den Austausch von Nutzerdaten zwischen der EU und den USA regelt. Welche Auswirkungen diese Entscheidung hat, lässt sich derzeit kaum absehen.

Laut dem Urteil sind die USA kein „sicherer Hafen“ (Safe Harbor) für europäische Nutzerdaten. Das liege aber in erster Linie nicht an den Unternehmen wie Facebook, sondern vielmehr an den amerikanischen Behörden. Denn selbst wenn die Internetfirmen sich an die europäischen Datenschutzstandards halten, haben etwa die US-Geheimdienste jederzeit Zugriff auf sämtliche Nutzerdaten – begründet mit den entsprechenden Gesetzen und den Anforderungen an die nationalen Sicherheit. „Die amerikanische Safe-Harbor-Regelung ermöglicht daher Eingriffe der amerikanischen Behörden in die Grundrechte der (europäischen) Personen“, heißt es in der Mitteilung des Europäische Gerichtshofs.

Das entscheidende Problem ist dabei: Die US-Gesetze erlauben, dass amerikanische Behörden alle personenbezogenen Daten von EU-Bürgern erfassen dürfen, sobald diese in die USA übermittelt werden. Rechtlich wird dabei nicht differenziert, es gibt also keine Ausnahmen, die eine spätere Auswertung der Nutzerdaten begrenzt. Das widerspricht aber den in der EU garantierten Freiheiten und Grundrechte. Denn die europäische Rechtslage beinhaltet etwa die Vorgabe, dass die Speicherung von personenbezogenen Daten auf das absolut Notwendige beschränkt ist. Somit ist die USA nun den Safe-Harbor-Status los.

Der Kern des Urteils hat hingegen einen eher bürokratischen Charakter. Denn die Luxemburger Richter haben auch entschieden, dass die EU-Kommissionen den nationalen Datenschutzbehörden nicht vorschreiben darf, ob ein Drittland – also in diesem Fall die USA – ein angemessenes Datenschutzniveau haben. In der Praxis bedeutet das: Wenn eine Person sich beschwert, dass etwa ein amerikanisches Unternehmen die Nutzerdaten nicht entsprechend der EU-Rechte verarbeitet, müssen diese Vorwürfe auch geprüft werden. Damit folgt der Europäische Gerichtshof (EuGH) dem Schlussantrag des EU-Generalanwalts Yves Bot.

Eine gute Nachricht für den Datenschutzaktivisten Max Schremms, der das Verfahren mit der „Facebook-v-Europe“-Klage ins Rollen brachte. Denn die irische Datenschutzbehörde muss nun entscheiden, ob Facebook weiterhin die europäischen Nutzerdaten in die USA übermitteln darf. Angesichts dieser Ausgangslage lässt sich derzeit aber nicht eindeutig bewerten, welche politischen und ökonomischen Auswirkungen das Urteils in der Praxis hat. Die EU-Kommission will sich heute Nachmittag zu der Entscheidung der Luxemburger Richter äußern.

Update

In den ersten Reaktionen begrüßen Datenschützer und Politiker das Urteil. So erklärt etwa die Bundesdatenschutzbeauftragte Andrea Voßhoff: „Nach den bahnbrechenden Urteilen zu Google und zur Vorratsdatenspeicherung hat der Europäische Gerichtshof mit seinem energischen Eintreten für die Grundrechte europäischer Bürgerinnen und Bürger erneut einen Meilenstein für den Datenschutz gesetzt.“ Ähnlich bewerten Vertreter der Bundesregierung das Urteil. Beispielhaft dafür steht Justizminister Heiko Maas, der via Twitter erklärte:

Deutlich zurückhaltender fällt derweil die Einschätzung der EU-Kommission aus. Trotz des Urteils werde der „transatlantische Datenfluss zwischen Unternehmen werde vorerst weiterlaufen“, verkündete Vize-Präsident Frans Timmermans. Klar ist allerdings, dass nun Handlungsbedarf besteht. Daher sollen die entsprechenden Datenaustausch-Abkommen mit den USA nachgebessert werden. Die entsprechenden Gespräche laufen schon seit 2013. Denn infolge der NSA-Enthüllungen hatte die EU-Kommission 13 Punkte ausgemacht, in denen das Safe-Harbor-Abkommen verbessert werden müsste. Eine Einigung ist aber kurzfristig noch nicht in Sicht.

Mit Blick auf das aktuelle EuGH-Urteil lautet nun aber das Ziel: Es muss sichergestellt werden, dass die Nutzerdaten von EU-Bürgern geschützt sind, wenn diese übermittelt werden. Gleichzeitig müsse aber der transatlantische Datenfluss abgesichert werden, den die EU-Kommission als „Rückgrat der Wirtschaft“ bezeichnet. Über konkrete Maßnahmen will man in den kommenden Wochen mit den nationalen Datenschutzbehörden beraten.

Amerikanische Internetfirmen halten sich bedeckt

Derweil halten sich die betroffenen Unternehmen noch bedeckt. Auf Anfrage von ComputerBase erklärte etwa eine Sprecherin von Facebook: „Das Verfahren dreht sich nicht um Facebook.“ Und selbst der EU-Generalanwalt habe eingeräumt, dass das soziale Netzwerk nichts falsch gemachte habe. Nichtsdestotrotz wäre es nun „zwingend notwendig“, dass die EU und die US-Regierung einen rechtlichen Rahmen schaffen, der die Datenübermittlung legitimiert. In diesem Kontext müssten auch die Probleme ausgeräumt, die aufgrund der Vorgaben für die nationale Sicherheit bestehen. Microsoft will das Urteil nicht direkt kommentieren, verweist aber auf ein Statement vom Unternehmerverband Digital Europe (PDF-Datei), der ebenfalls eine schnelle Einigung zwischen der EU und den USA fordert.

Selbst ohne Safe Harbor wird der Transfer von europäischen Nutzerdaten aber vorerst weitergehen. Dieser erfolgt nun im Rahmen von sogenannten Corporate Binding Rules und Standardvertragsklauseln, die die EU-Kommission bereitstellt. Eine weitere Möglichkeit ist, dass Nutzer künftig explizit zustimmen müssen, wenn ihre Daten in die USA übermittelt werden. Allerdings warnt Susanne Dehmel vom IT-Branchenverband Bitkom: „Eine Umstellung von Safe Harbor auf andere rechtliche Verfahren bedeutet für die Unternehmen einen enormen Aufwand.

Zumal ohnehin unklar ist, ob solche Maßnahmen ausreichen, um die Anforderungen des EuGH-Urteils zu erfüllen. So erklärt Alexander Sander von der Digitalen Gesellschaft: „Die Safe Harbor-Entscheidung macht unmissverständlich klar, dass geheimdienstliche Spähexzesse den Grundrechten und der Online-Wirtschaft schweren Schaden zufügen und mit freien transatlantischen Datenflüssen schlichtweg unvereinbar sind.

Nvidia GTC 2024 (18.–21. März 2024): ComputerBase ist vor Ort!