Safe-Harbor-Abkommen: EuGH erklärt Entscheidung der EU-Kommission für ungültig
Der Europäische Gerichtshof hat das sogenannte Safe-Harbor-Abkommen zwischen der EU und den USA jetzt einkassiert. Dem Urteil zufolge gewährleisten die USA “keinen angemessenen Schutz übermittelter Daten” von EU-Bürgern.
Der Gerichtshof der Europäischen Union (EuGH) hat die Entscheidung der EU-Kommission, mit der sie festgestellt hat, dass die “Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten”, für ungültig erklärt. Der EuGH wirft der Kommission in einer Pressemitteilung (PDF) vor, sie hätte prüfen müssen, ob die USA tatsächlich ein “Schutzniveau der Grundrechte gewährleisten.” Stattdessen habe sich die Kommission auf die Prüfung des Safe-Harbor-Abkommens beschränkt. Letzteres gelte aber nur für amerikanische Unternehmen, “nicht aber für die Behörden der Vereinigten Staaten.”
Indes müssen sich US-Unternehmen den geltenden US-Gesetzen unterwerfen, die sie verpflichteten, die Safe-Harbor-Regelungen nicht anzuwenden, wenn sie US-Gesetzen widersprechen. Die EU habe aber weder einen gerichtlichen Rechtsschutz gegen behördliche Eingriffe festgestellt, noch Regeln, die solche Eingriffe begrenzen. Von daher erlaube die Safe-Harbor-Regelung Eingriffe amerikanischer Behörden in die Grundrechte von EU-Bürgern.
Die Richter berufen sich in ihrem Urteil unter anderem auf zwei Mitteilungen der Kommission. Darin bestätige sie, dass die USA Daten von EU-Bürgern in einer Weise verarbeiteten, die “mit den Zielen der Übermittlung unvereinbar war und über das hinausging, was nach Ansicht der Kommission zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig gewesen wäre”. Außerdem gebe es für Betroffene keine “administrativen oder gerichtlichen Rechtsbehelfe”, um beispielsweise eine Berichtigung oder Löschung von Daten zu erwirken.
Das Gericht weist darüber hinaus darauf hin, dass das Safe-Harbor-Abkommen keine Bestimmungen enthält, die nationale Datenschutzbehörden hindert, die an Drittländer übermittelten Daten zu kontrollieren. Die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union verfügten, könne die EU-Kommission “weder beseitigen noch einschränken”. Die Ungültigkeit einer Entscheidung der Kommission könne allerdings nur der EuGH feststellen.
Eine Beschwerde des österreichischen Juristen Max Schrems, der behauptet, dass seine von Facebook auf US-Servern gespeicherten Daten dort vor einer Überwachung durch US-Behörden nicht ausreichend geschützt seien, hatte das Verfahren ausgelöst. In seiner Beschwerde bei der irischen Datenschutzbehörde, die jedoch keine Verstöße gegen Datenschutzgesetze feststellte, berief er sich unter anderem auf Unterlagen aus dem Fundus des Whistleblowers Edward Snowden. Der von ihm schließlich angerufene irische High Court wandte sich zur Klärung des Sachverhalts an den Europäischen Gerichtshof.
“Ich begrüße das Urteil sehr, das hoffentlich ein Meilenstein für die Privatsphäre im Internet ist”, heißt es in einer ersten Stellungnahme von Schrems (PDF). “Das Urteil zieht eine klare Linie. Es macht deutlich, dass Massenüberwachung unsere Grundrechte verletzt.” Damit sei auch klar, dass US-Firmen, die die USA bei ihren Abhörprogrammen unterstützten, gegen europäische Grundrechte verstoßen. Zudem lobte Schrems die Stärkung der Befugnisse nationaler Datenschutzbehörden. Sie hätten nun das Recht, auch in Einzelfällen die Übertragung von Daten in die USA zu überprüfen.
Das Urteil sei aber auch ein Sieg über die irische Datenschutzbehörde, so Schrems weiter. Sie habe bis zum Schluss eine Bearbeitung seiner Beschwerde abgelehnt und seine Vorwürfe als “unseriös” bezeichnet. “Die irische Behörde hat die Pflicht, ihrer Aufgabe nachzukommen und unsere Privatsphäre nach EU- und irischem Recht zu schützen.”
[Mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.