Montag, 15. Oktober 2018
Lade Login-Box.

EU-Urteil: Daten von Nutzern in den USA nicht ausreichend geschützt

erstellt am 06.10.2015 um 10:35 Uhr
aktualisiert am 08.08.2018 um 09:44 Uhr | x gelesen
Luxemburg (dpa/DK) Nach einem bahnbrechenden Urteil wird die Übermittlung persönlicher Daten europäischer Internet-Nutzer in die USA schwieriger. Der Europäische Gerichtshof (EuGH) erklärte "Safe Harbor", die 15 Jahre alte Vereinbarung zur unkomplizierten Datenübertragung, für ungültig. Die Informationen seien in den USA nicht ausreichend vor dem Zugriff von Behörden und Geheimdiensten geschützt, das verletze die Rechte der Europäer, urteilten die Richter in Luxemburg am Dienstag.
Textgröße
Drucken
Die Entscheidung hat eine weitreichende Bedeutung für die Internet-Wirtschaft. Vor allem kleinere Unternehmen verließen sich bisher darauf, dass Datenübermittlung in die USA unbedenklich ist. Ohne "Safe Harbor" müsste jede Firma selber dafür Sorgen, dass der rechtliche Rahmen nach der Datenschutz-Grundverordnung eingehalten wird. Das kann zusätzliche Verträge und Aufwand für Anwälte bedeuten. Betroffen sind gleichermaßen deutsche und amerikanische Unternehmen, die Daten in die USA fließen lassen.

In dem Verfahren wollte ein irisches Gericht wissen, ob nationale Behörden das Datenschutzniveau in den USA auch selbst prüfen können, oder ob sie an das europäisch-amerikanische Abkommen gebunden sind. Die Vereinbarung soll europäische Datenschutzstandards garantieren, auch in den USA. Allerdings müssen US-Firmen sich lediglich registrieren lassen und sich dazu verpflichten, bestimmte Prinzipien einzuhalten.

Die Luxemburger Richter bestätigten ausdrücklich, dass Betroffene das Recht haben, die nationalen Gerichte anzurufen. Nationale Datenschutzbehörden dürften prüfen, ob die Daten einer Person entsprechend geschützt seien.

Doch die Richter gingen noch weiter: Nach Ansicht des Gerichts bietet das - als wirtschaftsfreundlich bekannte - "Safe Harbor"-Abkommen keine ausreichende Basis für eine Datenübermittlung. Das Gericht erklärte die Einschätzung der EU-Kommission, wonach die USA ein angemessenes Schutzniveau von übermittelten personenbezogenen Daten gewährleisten, für ungültig. In den USA hätten Überlegungen nationaler Sicherheit Vorrang vor den Personenrechten und die Europäer könnten nicht dagegen vorgehen. "Die EU-Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu beschränken", kritisierten die Richter.

Das Urteil ist ein juristischer Erfolg für den österreichischen Facebook-Kritiker Max Schrems, der das Verfahren ausgelöst hatte. Nun ist der Weg frei, dass seine Beschwerde auch geprüft wird. Schrems klagt gegen das weltgrößte Online-Netzwerk Facebook, weil seiner Ansicht nach seine Facebook-Daten in den USA nicht vor staatlicher Überwachung etwa durch die Geheimdienste geschützt sind. Zur Begründung verwies er auf den NSA-Skandal.

In Irland, dem Europa-Sitz von Facebook, liegen zahlreiche Datenschutzbeschwerden vor. Diese müssen nun genau geprüft werden, mahnen die Luxemburger Richter und schreiben vor, "dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen" muss. Sie könnten die Übermittlung europäischer Facebook-Daten auf Server in die USA verbieten, "weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet".

Bundesjustizminister Heiko Maas (SPD) sieht das Urteil als Signal für den Schutz der Grundrechte in Europa. Mit den USA müsse nun unverzüglich über die Folgen des Urteils gesprochen werden. "Das Urteil ist ein Auftrag an die Europäische Kommission, auch international für unsere Datenschutzstandards zu kämpfen."
 

 

Fragen und Antworten



Worin liegt das Problem?

Wer auf Facebook einen bestimmten Film mag, im Online-Shop einkauft oder im Internet etwas sucht, hinterlässt Daten. Solch persönlichen Informationen übermitteln US-Internetfirmen wie Facebook, Google oder Amazon - aber zum Teil auch europäische Firmen - auf Server in den USA. Wie seit den Enthüllungen von Edward Snowden 2013 bekannt ist, können dort auch US-Geheimdienste und Fahnder großzügig Zugang zu den Daten bekommen. Dabei sind die Hürden deutlich niedriger als in der EU zulässig. Die Standards der "Safe Harbor"-Vereinbarung, wonach US-Firmen europäische Datenschutzstandards garantieren, werden verletzt, wie der EU-Gerichtshof entschied. Deshalb erklärte er "Safe Harbor" für unzulässig.

Können jetzt gar keine personenbezogenen Daten europäischer Internet-Nutzer mehr in die USA übermittelt werden?

Doch. Die weiterhin gültige europäische Datenschutz-Grundverordnung von 1995 sieht verschiedene Wege vor, wie personenbezogene Informationen von Europäern in andere Länder übermittelt werden können. Etwa durch eine Einwilligung der Nutzer. Dabei müssen die Anbieter als Voraussetzung rechtlich festhalten, dass dort die Rechte der Bürger gewahrt werden - etwa über entsprechende Verträge. Für die Datenübermittlung in die USA wurde das bisher mit "Safe Harbor" einfach vorausgesetzt, es waren keine weiteren Anstrengungen nötig.

Da das Urteil von einem Verfahren gegen Facebook ausgelöst wurde - kann zumindest das Online-Netzwerk jetzt keine Daten mehr in die USA übermitteln?

Das ist das Paradoxe an der Situation: Facebook selbst sieht sich von dem Urteil nicht direkt betroffen, weil das Online-Netzwerk sich seit Jahren nicht auf "Safe Harbor" verlasse. Stattdessen schloss die europäische Tochter Facebook Irland Verträge mit Facebook in den USA gemäß Vorgaben der Datenschutz-Verordnung ab. Zugleich schrieben die EuGH-Richter der irischen Datenschutz-Behörde aber vor, zu prüfen, ob die Übermittlung der Informationen von Facebook-Nutzern in die USA gestoppt werden müsse - weil dort die Daten nicht ausreichend geschützt seien.

Was heißt das Urteil für die Nutzer aller anderen Internet-Dienste, die Daten in die USA übermitteln?

Die Nutzer werden das Aus für "Safe Harbor" in dem Maße spüren, wie die Unternehmen davon betroffen sind. Insgesamt haben sich über 5000 Unternehmen für eine Datenübermittlung nach "Safe Harbor" registriert. Unklar ist, wie viele davon sich nur darauf verließen. Experten gehen davon aus, dass nun vor allem auf kleinere Unternehmen ein zusätzlicher Aufwand zukommt, um den Datentransfer rechtlich abzusichern. Denkbar ist, dass US-Unternehmen künftig einer Nachweispflicht unterliegen, wo und wie Daten verarbeitet werden. Es könnten zusätzliche Kosten entstehen, etwa für neue Rechenzentren in der EU.

Was dürfen die nationalen Datenschutz-Behörden?

Das Urteil brachte ein Ergebnis, das den Internet-Firmen schon vorher große Sorgen bereitete. Bisher konnten sie sich darauf verlassen, dass die Datenschutzbehörden in allen EU-Ländern nichts gegen die Übermittlung von Daten in die USA haben. Das EuGH ermutigte sie jedoch ausdrücklich, die Einhaltung der Rechte von Europäern auch entgegen der Einschätzung der EU-Kommission eigenständig zu prüfen. Online-Anbieter befürchten jetzt, dass sie in jedem Land auf den Prüfstand gestellt werden.

Wie geht es jetzt politisch weiter?

Die EU-Kommission und das US-Handelsministerium verhandeln schon seit mehreren Jahren über eine neue Version von "Safe Harbor". Nach Informationen aus dem Umfeld der Gespräche gibt es bereits eine Annäherung in mehreren zentralen Fragen. Unter anderem sollen höhere Hürden für den Zugriff auf Daten von EU-Bürgern vorgesehen sein - also keine flächendeckende Überwachung, sondern nur punktueller Zugang. Außerdem sollen europäische Bürger die Möglichkeit bekommen, ihre Rechte in den USA zu vertreten. Das würde Probleme beheben, die "Safe Harbor" aus Sicht des EuGH ungültig machen.

Was bedeutet dann das EuGH-Urteil für diese Verhandlungen?

Das ist eine offene Frage. Einerseits wollten EU-Kommission und US-Regierung die Einwände des EuGH gegen "Safe Harbor" ohnehin ausräumen. Andererseits ist es eine politische Angelegenheit. Und die USA haben bereits deutlich gemacht, dass sie die Rechte der Europäer für ausreichend geschützt halten.
Kommentare

Schreiben Sie den ersten Kommentar!

Kommentare geben die Meinung des Verfassers wieder. Für die Inhalte übernimmt donaukurier.de keinerlei Verantwortung und Haftung. weitere Informationen
Um Beiträge schreiben zu können, müssen Sie eingeloggt sein!