Werbung
Der langjährige Rechtsstreit zwischen Max Schrems aus Österreich und der irischen Datenschutzbehörde hat ihren vorläufigen Höhepunkt gefunden. Der Europäische Gerichtshof hat das Safe-Harbor-Abkommen zwischen der Europäischen Union und den USA für ungültig erklärt. Damit gelten alle in den USA gespeicherten personenbezogenen Daten als nicht sicher, was hinsichtlich der Erkenntnisse über die Arbeit der Geheimdienste und Behörden in den USA eigentlich keine große Überraschung mehr sein sollte.
Konkret ging es um die Bemängelung des Datenschutzes bei Facebook. Die Daten der europäischen Nutzer werden im irischen Europasitz von Facebook gespeichert. Wegen des Safe-Harbor-Abkommens sollen diese aber in die USA übermittelt werden dürfen – so dachte zumindest die irische Datenschutzbehörde. Max Schrems klagte genau gegen dieses Vorgehen und bezweifelte die Sicherheit seiner Daten in den USA.
Mit dem Urteil schränkt der EuGH die Befugnisse der Europäischen Kommission weiter ein. Diese sei nicht dazu befugt, die lokalen Datenschutzbestimmungen der einzelnen Länder zu beschränken. So hätten die irischen Datenschutzbehörden bereits prüfen müssen, ob die Weitergabe der Daten rechtmäßig sei. Der EuGH erklärt die Ungültigkeit von Safe Harbor aber aus anderen Gründen. So sei dadurch der "Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt". Die Unternehmen in den USA müssten die in Europa geltenden Schutzregeln beachten, egal ob die Datenabfragen aus Gründen der nationalen Sicherheit geschehen oder nicht.
Aber auch von der anderen Seite aus sei Safe Harbor ungültig, denn gleichzeitig könnten EU-Bürger nicht die Löschung ihrer Daten verlangen. Der dazugehörige Rechtsbehelf verletze "den Wesensgehalt des Grundrechts auf wirksamen Rechtsschutz". Schlussendlich bedeutet die Ungültigkeit von Safe Harbor auch wahrscheinliche Aussetzung der Datenübermittlung. Dies gilt natürlich aus beiden Richtungen. Zum einen können US-Unternehmen wie Facebook, Twitter und Google nun keine personenbezogenen Daten mehr direkt abfragen, was hinsichtlich des Datenschutzes zu befürworten ist. Auf der anderen Seite erschwert dies kleineren Unternehmen den Datenaustausch und nicht immer ist dieser als problematisch zu betrachten.
Die Verantwortung geht nun also wieder zurück auf die nationalen Datenschutzbehörden. Diese müssen nun jeweils prüfen, ob die personenbezogenen Daten übertragen werden dürfen oder nicht. Große Unternehmen wie Facebook und Google werden dies sicherlich nun versuchen einzeln auszuhandeln.