Zur Navigation springen Zum Inhalt springen Zum Footer springen

Urteil des EuGH: Datenübertragung in die USA unzulässig

Rechtstipp vom 06.10.2015
(19)
Rechtstipp vom 06.10.2015
(19)
Urteil des EuGH: Datenübertragung in die USA unzulässig
Das für die Datenübertragung in die USA wichtige Safe-Harbor-Abkommen ist dem EuGH zufolge unwirksam.

Der EuGH hat das Safe-Harbor-Abkommen für ungültig und die darauf beruhende Datenübertragung in die USA für rechtswidrig erklärt. Die Entscheidung wird massive Änderungen für den Datenverkehr mit den USA und speziell mit den dort ansässigen Unternehmen wie etwa Google und Facebook bringen. Ins Rollen gebracht hat die Entscheidung der Österreicher Max Schrems.

Datenschutzbeauftragter verweigert Überprüfung

Der EuGH-Entscheidung ging eine Weigerung des irischen Datenschutzbeauftragten gegenüber Schrems voraus, den Datenschutz bei Facebook zu überprüfen. Das IT-Unternehmen hat seinen europäischen Sitz in Irland. Dabei übermittelt es zahlreiche Daten europäischer Nutzer auf Server in den USA, wo bekanntermaßen ein geringeres Datenschutzniveau herrscht und zudem von einer massiven staatlichen Überwachung auszugehen ist.

Voraussetzung für eine rechtmäßige Datenübermittlung in Nicht-EU-Länder ist jedoch, dass in diesen ein vergleichbares Niveau in Sachen Datenschutz herrscht wie in der EU. Das verlangt die EU- Datenschutzrichtlinie (95/46/EG). Schrems hatte daran jedoch aufgrund der Enthüllungen Edward Snowdens über die NSA und deren PRISM-Programm Zweifel am tatsächlichen Datenschutz in den USA angeführt.

Tausende US-Unternehmen betroffen

Dennoch sah sich der irische Datenschutzbeauftragte nicht zum Handeln veranlasst und verwies insofern auf das mit den USA durch die EU-Kommission geschlossene Safe-Harbor-Abkommen. In Bezug auf US-Unternehmen, die sich Safe Harbor unterworfen haben, sei ohne Weiteres von einem ausreichenden Datenschutz auszugehen. Durch Vorlage des Falls zur Klärung dieser Haltung durch das Irische High Court, dem obersten Zivilgericht Irlands, an den EuGH setzte sich dieser mit dem Abkommen auseinander.

In der Tat ermöglicht Art. 25 Abs. 6 der Datenschutz-Richtlinie dabei der EU-Kommission die Feststellung, dass in einem Drittland ein angemessenes Schutzniveau herrscht. Im Jahr 2000 hatte die Kommission darüber mit den USA das Safe-Harbor-Abkommen vereinbart. Mehr als 5000 US-Unternehmen, darunter Größen wie Apple, Microsoft und eben auch Facebook, haben sich dabei Safe Harbor unterworfen. Bislang gilt die Datenübertragung an sie als sicher. Vorwiegend bestand diese Sicherheit allerdings, wie bereits schon zuvor gemutmaßt wurde, nur auf dem Papier.

Verweis auf Safe Harbor ungenügend

Den Verweis auf Safe Harbor hielt der EuGH daher nun auch für ungenügend. Den Luxemburger Richtern zufolge ist das Datenschutzabkommen bereits deshalb unwirksam, weil die EU-Kommission zu einem derart weitreichenden Abkommen keine Kompetenz hatte. Materielle Gründe für diese Entscheidung waren vor allem die fehlende Kontrolle der über Safe Harbor beim US-Handelsministerium registrierten Firmen hinsichtlich des praktizierten Datenschutzes. Dabei geht der EuGH von einer generellen Überwachung der übermittelten Daten durch US-Behörden aus, der sich die Unternehmen ihrerseits aufgrund geltenden Rechts zur nationalen Sicherheit in den Vereinigten Staaten nicht entziehen können. Der daraus resultierende massive Eingriff in die Grundrechte auf Achtung der Privatsphäre sowie auf wirksamen Rechtsschutz, weil Betroffene keinen wirksamen Rechtsschutz gegen die staatliche Überwachung haben, lasse sich durch die bisherige Regelung insofern nicht rechtfertigen.

Statt Safe Harbor nun mehr Datenschutzkontrolle

In der Folge der Entscheidung ist es nicht mehr so leicht, Daten in die USA zu übermitteln. Der EuGH stellt klar, dass die nationalen Datenschutzbehörden, schon als Safe Harbor noch bestand, zur Kontrolle berufen waren. Diese werden angesichts des Wegfalls von Safe Harbor ihrer Aufgabe aber nun erst recht verstärkt nachkommen. Für den Datenschutz zuständige Stellen müssen ihre Aufgaben dabei gemäß Art. 28 Abs. 1 der EU-Datenschutzrichtlinie „in völliger Unabhängigkeit“ wahrnehmen können. Deutschland musste hier bereits nachbessern. 2010 hatte der EuGH eine Vertragsverletzung festgestellt, da die Bundesrepublik die zuständigen Kontrollstellen in den Bundesländern staatlicher Aufsicht unterstellt hatte (EuGH, Urteil v. 09.03.2010, Az.: C-518/ 07).

Die EU-Kommission verhandelt bereits seit Ende 2013 mit den USA über eine Neufassung des Datenschutzabkommens. Die Entscheidung dürfte sich auch auf die laufenden Verhandlungen zwischen der EU mit den USA über das Handelsabkommen TTIP auswirken.

Mehr zu der vor etwas mehr als einem halben Jahr stattgefundenen Verhandlung vor dem EuGH und zu weiteren Hintergründen können Sie hier lesen.

(EuGH, Urteil v. 06.10.2015, Az.: C-362/14)

(GUE)

Update 26.10.2015: Der Datenschutzbeauftragten der Bundesländer haben angekündigt, dass sie 01.02.2016 Firmen kontrollieren werden, ob sie Daten weiherhin nur auf Grundlage des für unwirksam erklärten Safe-Harbor-Abkommens in die USA übermitteln. Vorrangig soll es um Tochterfirmen amerikanischer Unternehmen gehen.

Foto : ©Fotolia.com/fotomek


aus dem Rechtsgebiet IT-Recht | Europäisches Recht

Rechtstipps zum Thema

Damit Sie wissen, wann Sie im Recht sind

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.