Safe-Harbor-Abkommen: Endlich ein sicherer Hafen in Sicht?

2 min.

Unlängst entschied der Europäische Gerichtshof (EuGH) mit seinem Urteil  in der Rechtssache C-362/14 – Maximillan Schrems gegen die irische Datenschutz-Aufsichtsbehörde, dass das Datenübermittlungsprogramm zwischen den USA und Europa („Safe-Harbor“) nicht europäischen Datenschutzstandards gerecht wird.

Dieses Urteil wurde mit Spannung erwartet. Doch auch nach der Entscheidung des EuGH sind viele Fragen im Hinblick auf den europäischen Datenschutz noch nicht endgültig beantwortet.

Eine Einschätzung.

Ausgangspunkt – worum handelt es sich bei „Safe-Habor“?

Das Safe-Harbor-Abkommen legt fest, unter welchen Bedingungen Internetunternehmen Nutzerdaten aus Europa in den USA verarbeiten dürfen. Hierbei zielt das Abkommen auf personenbezogene Daten ab. Safe-Harbor fußt auf einer Entscheidung der EU-Kommission aus dem Jahr 2000 und Regeln des US-Handelsministeriums. Diese Vereinbarung sieht vor, dass Internetunternehmen zusichern müssen, die Daten ihrer europäischen Nutzer angemessen zu schützen. Treten sie dem Abkommen bei, dürfen sie die Daten in den USA weiterverarbeiten.

Urteil des EuGH – Safe-Harbor und angemessener Datenschutz?

Der EuGH entschied mit diesem Urteil nun also über die Rechtsfrage, ob einerseits den nationalen Datenschutzbehörden ein angemessener Entscheidungsspielraum zusteht, um das Safe-Harbor-Abkommen hinsichtlich des Datenschutzes zu hinterfragen – was nach Einschätzung des Gerichts hier gegeben sei. Andererseits nahmen die Richter das Abkommen selbst unter die Lupe und erklärten es schlussendlich für rechtswidrig. Dies begründete der EuGH u.a. mit der Argumentation, dass die persönlichen Daten europäischer Internetnutzer in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt seien.

In einer Pressemitteilung zu diesem Urteil heißt es zurecht kritisch:

„Der Gerichtshof fügt hinzu, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt.“

Ebenso deutlich verweisen die Richter auf ein weiteres Problem – EU-Bürger können gegen die Weiternutzung ihrer Daten nicht gerichtlich Einspruch erheben, deshalb sei „der Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt“.

Formulierung des Urteils – kann man es noch klarer auf den Punkt bringen?

„Aus all diesen Gründen erklärt der Gerichtshof die Entscheidung der Kommission vom 26. Juli 2000 für ungültig. Dieses Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.“

Auswirkungen für die Praxis – was kommt jetzt?

Wie von vielen Experten erwartet, schloss sich das Gericht der Einschätzung des EuGH-Generalanwalts an. Yves Bot hatte Ende September erklärt, er halte die Safe-Harbor-Regelung mit den USA vor dem Hintergrund der Aktivitäten von US-Geheimdiensten für ungültig. Somit überrascht die Entscheidung des EuGH im Ergebnis nicht. Spannend ist jedoch zu beobachten, welche Schlüsse die nationalen Datenschutzbehörden – sowie insbesondere auch die Europäische – aus diesem wegweisenden Urteil ziehen.

Die EU-Kommission plant schon jetzt eine Neuverhandlung eines entsprechenden Abkommens zwischen den USA und Europa. Daher bleibt zunächst erst einmal nur abzuwarten und zu hoffen, dass bei der Neuregelung die gesetzlichen Rahmenbedingungen für den Schutz von personenbezogenen Daten noch weiter verschärft und damit an das europäische Datenschutz-Niveau angeglichen werden.

Nun fehlt es für einen sichereren Hafen also nur noch an den richtigen Kapitänen.

__

Bildquelle

Pixabay (CCO Public Domain)

__

 

Über den Autor

Mein Name ist Julius S. Schoor. Ich bin Rechtsanwalt und spezialisiert auf IT-Vertragsrecht. Seit 2011 bin ich als Datenschutzbeauftragter TÜV-zertifiziert und bereits für mehrere Unternehmen als solcher offiziell bestellt.

Kommentieren Sie diesen Beitrag!

Die Daten werden nur dafür verarbeitet, die Kommentarfunktion des Blogs zu ermöglichen.
Soweit Sie mir eine persönliche Nachricht schreiben wollen, nutzen Sie bitte die Seite Kontakt.
Im Übrigen gelten meine Datenschutzhinweise.