+49 (0) 221 - 290270-40
info@datenschutzrechtsanwaelte.de

Facebook-Urteil – EuGH zeigt US-Behörden Grenzen auf

Safe Harbor Abkommen mit USA ungültig

Mit Urteil vom 06.10.15 (Az.: C-362/14) hat der EuGH das umstrittene sog. „Safe-Harbor“-Abkommen mit den USA für ungültig erklärt.

Diese Entscheidung lässt Datenschützer zumindest etwas aufatmen. Nicht jede rechtswidrige und gegen die Interessen der EU-Bürger gerichtete Handlung der EU-Kommission wird sanktioniert.

Denn das sog. „Safe-Harbor“-Abkommen war von Anfang an – so drastisch es auch klingen mag  – ein  schlechter Witz.

Dieses Abkommen erleichterte bislang Konzernen wie Facebook oder Google, die personenbezogenen Daten ihrer europäischen Kunden von Servern in Europa auf Server in den USA weiterzuleiten und dort zu verarbeiten. Vereinfacht formuliert konnten sich die internationalen, amerikanischen Konzerne die Einhaltung des Datenschutzes selbst attestieren, weil es eine den Bestimmungen der EU entsprechende Kontrolle in den USA gar nicht gibt.

Mit dieser Praxis soll nun Schluss sein. Der EuGH erklärte, dass das Abkommen in seiner aktuellen Form nicht mit dem europäischen Recht zu vereinbaren ist.

Den Stein ins Rollen brachte der österreichische Jurastudent und Datenschützer Maximilian Schrems, der nach einer Reihe erfolgreicher Klagen gegen Facebook die irischen Behörden (dort hat Facebook seinen europäischen Sitz) dazu aufgefordert hatte, zu überprüfen, inwieweit Facebook seine Nutzerdaten auf Server in den USA übertragen darf. Daraufhin wiesen die Behörden ihn auf das Safe-Harbor-Abkommen hin und bestritten ihre Zuständigkeit. Es folgte eine Klage gegen die Behörde und der oberste irische Gerichtshof legte die Frage, wer für die Ermittlungen zuständig sei, dem EuGH vor.

Die europäischen Richter stellten nun fest, dass die EU-Kommission das Safe-Harbor-Abkommen im Jahre 2000 so nie hätte unterzeichnen dürfen. Das Abkommen gelte nur für die amerikanischen Unternehmen, die sich ihm unterwerfen, nicht aber für die Behörden der USA. Die Unternehmen sind jedoch auf Grundlage des sog. „US Patriot Act“, einem amerikanischen Bundesgesetz, das im  sog. „Kampf gegen den Terrorismus“ verabschiedet worden ist, verpflichtet, die Safe-Harbor-Regeln nicht anzuwenden, wenn sie mit den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten im Widerspruch stünden.

Übersetzt bedeutet dies, dass das Abkommen nur solange verpflichtend ist, wie es nicht mit (vermeintlichen und nicht näher definierten) US-Interessen kollidiert. Damit legitimiert das Abkommen Eingriffe der amerikanischen Behörden in die Grundrechte der europäischen Bürger, ohne dass diese juristisch überprüfbar sind.

Im Ergebnis schlossen sich die Richter des EuGH damit dem Schlussgutachten des Generalanwalts an, der das Safe-Harbor-Abkommen bereits letzte Woche für ungültig erklärt hatte. Auch er begründete dies damit, dass die USA keinen „sicheren Hafen“ mehr für europäische Daten darstelle, da die Daten europäischer Bürger nicht mehr angemessen vor dem Zugriff durch US-Behörden geschützt seien. Ausschlaggebend waren nicht zuletzt die Enthüllungen des Ex-Geheimdienstmitarbeiters Edward Snowden.

Welche Folgen hat das Urteil für die Unternehmen?

Mit dem Aus von Safe-Harbor ist die Verarbeitung von europäischen Kundendaten auf amerikanischen Servern rechtswidrig geworden. Die Unternehmen, die bislang auf Grundlage des Abkommens handelten, sind somit nun gezwungen, ein angemessenes Datenschutzniveau auf anderem Wege zu gewährleisten.

Eine Möglichkeit wäre, dass die Unternehmen Server in Europa aufbauen, um direkt dort die Daten speichern und verarbeiten zu können. Dies wäre zwar kostenintensiv, für die großen Konzerne aber sicherlich zu finanzieren.

Eine andere Möglichkeit wäre es, die Nutzer eines Internetdienstes schon während des Registrierungsprozesses nach ihrem Einverständnis zu fragen, um sich so die Datenübermittlung in die USA legitimieren zu lassen. Allerdings wäre hierbei zunächst zu prüfen, ob eine solche Form der Einverständniserklärung, vor allem im Hinblick auf das Urteil des EuGH, tatsächlich wirksam wäre, was stark zu bezweifeln ist.

Fazit + Kommentar:

Es bleibt abzuwarten, wie von der Politik bzw. dem Gesetzgeber auf das Urteil reagiert wird. Eins steht jedoch fest: Die EU-Kommission muss handeln. Sie kann das Abkommen entweder aussetzen oder neu verhandeln. Die Verhandlungen zwischen der EU und den USA über Safe Harbor laufen allerdings bereits seit zwei Jahren, bisher völlig ergebnislos. Das Urteil dürfte die Verhandlungen nicht gerade vereinfachen, weil die USA bekanntermaßen nur ihre eigene Meinung und Rechtsetzung achten. Hier gilt es jetzt, endlich selbstbewusst und energisch gegenzusteuern.

Im Hinblick auf die Verhandlungen hat der EuGH in seinem Urteil angekündigt, sich eine „strikte Kontrolle“ vorzubehalten. Damit wird der Wertungsspielraum der EU-Kommission eingeschränkt und verdeutlicht, dass die Richter in Luxemburg auch in Zukunft genau hinschauen werden beim Thema Datenschutz.

Ziel muss es sein, dass dieses Urteil des EuGH für positive Änderungen im Datenschutz sorgt. Nach den Enthüllungen durch Edward Snowden ist das Vertrauen in den Schutz privater Daten vor der staatlichen Gewalt nachhaltig gestört. Die Aufgabe der Politik, angetrieben durch kritische Juristen und andere engagierte Menschen wie Edward Snowden, muss es sein, dieses Vertrauen wiederherzustellen. Zum einen müssen die Bundes- und Landesdatenschutzbehörden mehr Mitarbeiter einstellen, um ihren Auftrag  erfüllen zu können.

Zum anderen müssen die Geheimdienste mit ihrer systemimmanenten und tendenziell rechtswidrigen Datensammelwut in die verfassungsrechtlichen Schranken gewiesen werden.

Edward Snowden muss endlich von dem Stigma befreit werden, ein Verräter zu sein. Er ist vielmehr ein  mutiger Mensch, der sich für die Allgemeinheit, die in großen Teilen nicht begreift, wie stark sie überwacht wird und was das für die Freiheit des Einzelnen bedeutet, aufgeopfert hat.

Die USA verhalten sich in der Causa Snowden nicht  besser als die von ihnen oftmals kritisierten Diktaturen in China, Syrien oder Iran..

Es ist  ein Treppenwitz der Geschichte, dass die  von den USA und der  übrigen westlichen Welt behaupteten „westlichen Werte“ im Fall  „Snowden“ jetzt von einem autoritären Herrscher wie Putin gegenüber den - angeblich rechtsstaatlichen - USA und unserer westlichen Welt geschützt werden müssen. Die USA und Europa diskreditieren mit diesem Verhalten den Kernbestand unserer  freiheitlich demokratischen Grundordnung.

Die Verfassungsfeinde sitzen in den USA und auch in Deutschland  im eigenen Haus in Gestalt der außer Kontrolle  geratenen Geheimdienste. Hier gilt es anzusetzen.

Ein entscheidender Punkt ist dabei, was überhaupt als (Staats)Geheimnis bezeichnet werden darf. Die staatliche Lesart in dieser Frage ist zu einfach. Sie lautet schlicht: Alles, was mit dem Stempel „geheim“ versehen ist. So einfach kann man es sich in einer freiheitlich-demokratischen Grundordnung, in der die Macht vom Volk ausgeht, natürlich nicht machen.

Es gibt tatsächlich Geheimnisse, die auch geheim bleiben sollten, weil sonst der Bundesrepublik oder einzelnen Repräsentanten tatsächlich ein Schaden und/oder Gefahr drohen. Leider sind gerade auch die Begriffe Schaden und Gefahr sehr schwammig, sodass sie leicht zu missbrauchen sind.

Leitlinie kann daher nur sein, dass jeder Einzelfall sehr sorgfältig und kritisch abzuwägen ist und im Zweifel der Grundsatz „in dubio pro Veröffentlichung“ lauten muss.

© Laura Heel, Stefan Müller-Römer, Alexander Fallenstein, Oktober 2015, Alle Rechte vorbehalten

Zurück

© 2022 Müller-Römer Rechtsanwälte