Safe Harbor kein Sicherer Hafen – wie geht es weiter?

- Oktober 8, 2015

Nach der „Milestone decision“ des Europäischen Gerichtshofs (EuGH) am letzten Dienstag, mit dem das höchste europäische Gericht das Safe Harbor Abkommen für ungültig erklärte, wird nun intensiv über die Folgen diskutiert.

Ein kurzer Blick zurück – was bedeutet Safe Harbor?

Das Safe Harbor Abkommen ist eine Entscheidung der Europäischen Kommission aus dem Jahr 2000, aufgrund derer es Unternehmen ermöglicht werden sollte, personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA zu übermitteln. Grundlage für den Beitritt zum Safe Harbor war eine Selbstverpflichtung der (amerikanischen) Unternehmen, europäische Datenschutzstandards einzuhalten. Allerdings haben Datenschützer das Prinzip des Sicheren Hafens schon lange angezweifelt: Die deutschen Datenschutzbehörden erklärten schon im Jahr 2010, dass sich die Übertragung von Daten nicht allein auf eine Safe-Harbor-Zertifizierung von US-Unternehmen stützen dürfe. Nach der Veröffentlichung der Snowden-Dokumente und dem Wissen um die Überwachung durch amerikanische Geheimdienste, wurde diese Kritik noch verstärkt. Insofern war all denjenigen, die mit der Materie vertraut sind, schon länger klar, dass der Sichere Hafen eben kein Sicherer Hafen ist.

Was genau ist geschehen?

Geklagt hatte der österreichische Jurist Max Schrems, der schon seit Jahren in rechtlichen Auseinandersetzungen mit Facebook über Datenschutz streitet. Er wollte nicht akzeptieren, dass Facebook persönliche Daten von Facebook Nutzern auf Servern in den USA speichert, wo sie, so Schrems, nur unzureichend vor dem Zugriff durch die amerikanischen Geheimdienste geschützt sind. Deshalb sollten die Richter des EuGH klären, ob sich die europäische Facebook-Niederlassung mit Sitz in Dublin an die EU-Grundrechtecharta zum Schutz personenbezogener Daten halten muss und möglicherweise europäisches Datenschutzrecht verletzt.
Der EuGH stellt in seiner Entscheidung fest, dass die Safe-Harbour-Vereinbarung nicht den Anforderungen von Art. 7 und 8 der EU-Grundrechtecharta genügt, die die Grundrechte auf Datenschutz und Privatsphäre garantieren. Faktisch unbegrenzte Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten europäischer Herkunft verletzten den Kernbereich der Grundrechte, so der EuGH, und die sehr weit gehenden Befugnisse der amerikanischen Geheimdienste widersprächen den grundlegenden Anforderungen an ein rechtsstaatliches Verfahren. Letzteres, weil betroffene EU-Bürger keinen Anspruch darauf haben, in den USA Auskunft über die Datenverarbeitung staatlicher Stellen zu erlangen und die entsprechenden Zugriffe und die anschließende Datenverarbeitung gerichtlich überprüfen zu lassen. Aus diesen Gründen sei das Safe Harbour Abkommen ungültig. Damit ist gleichzeitig eine rechtliche Erlaubnis für Unternehmen entfallen, personenbezogene Daten in die USA zu übermitteln.

Die Entscheidung ist im Volltext auf Deutsch hier abrufbar: http://www.cr-online.de/blog/wp-content/uploads/2015/10/C_0362_2014-DE-ARR.pdf

Die Folgen der Entscheidung

Facebook und die alle anderen Unternehmen, die auf der Grundlage des Safe Harbor Abkommens personenbezogene Daten in die USA übermittelt haben, können sich jetzt nicht länger auf die Annahme stützen, dass die Verarbeitung personenbezogener Daten, die aus der EU übermittelt wurden, generell der Vermutung unterliegen, sie würden in Übereinstimmung mit dem EU-Datenschutzrecht verarbeitet (Art. 25 der EU-Datenschutzrichtlinie von 1995). Die Unternehmen benötigen für Datentransfers in die USA nunmehr grundsätzlich die Genehmigung durch die zuständigen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten. Die Datenschutzbehörden dürfen diese Genehmigung allerdings nur erteilen, wenn der Empfänger der Daten in den USA ein angemessenes Datenschutzniveau gewährleistet – die Angemessenheit ist bezogen die jeweiligen personenbezogenen Daten, die übermittelt werden sollen. Die irische Datenschutzbehörde muss die Beschwerde von Max Schrems prüfen und darf sich nicht länger auf bestehende Verträge berufen, die den Datenaustausch bisher erlaubten.

Der Nachweis, dass amerikanische Unternehmen auch ohne Safe Harbor ein angemessenes Datenschutzniveau einhalten, dürfte generell schwer zu führen sein, und in der Praxis langwierige Verfahren nach sich ziehen. Davon abgesehen fällt die Vorstellung grundsätzlich schwer, dass Facebook, Microsoft, Google und all die anderen ihre Verfahren mal eben so auf eine andere Rechtsgrundlage umstellen können, die die Angemessenheit des Datenschutzes garantieren soll, wie z.B. die sog. „Standardvertragsklauseln. (Eine gute Übersicht über alternative rechtliche Lösungen findet sich in diesem Artikel von heise.de: http://www.heise.de/newsticker/meldung/Nach-dem-EuGH-Urteil-Alternativen-zu-Safe-Harbor-2837700.html).

Auch andere Lösungen bieten keinen Schutz

Die alternativen rechtlichen Lösungen für die Zulässigkeit von Datentransfers in die USA können im Grunde ebenso wenig wie der nicht mehr „Sichere Hafen“ vor staatlicher Überwachung schützen und es sprechen gute Gründe dafür, dass die vom EuGH in der Sache Schrems formulierten Anforderungen auch auf sie anwendbar sind. Davon geht auch die Art. 29 Arbeitsgruppe aus, die in einer Pressemitteilung schreibt: „The Working party is aware that this decision, taken in the context of the negotiation on the European Regulation and the discussions on the Safe Harbour between the European Commission and the US authorities, has major consequences on all stakeholders”.

Vorerst offen

Die Situation ist also vorerst offen. Die Vertreter der Datenschutzbehörden beraten national und europaweit, wie es weitergehen kann. Dank des europäischen Gerichtshofes besteht nun die Chance, die in den USA und auch in Teilen Europas weitverbreitete „Datenschutz-ist-uns-völlig-egal-Haltung“ zumindest ein wenig aufzubrechen und wir hoffen, dass Heribert Prantl recht behält und das Urteil „die globale Datenwirtschaft“ tatsächlich verändern wird.

Wir erarbeiten Sicherheitskonzepte und übernehmen für Sie den externen betrieblichen Datenschutz.