Kein sicherer Hafen: Die Rechtsprechung des EuGH zum Datenschutz

19.10.2015, Redaktion Anwalt-Suchservice / Lesedauer ca. 3 Min. (292 mal gelesen)
Kein sicherer Hafen: Die Rechtsprechung des EuGH zum Datenschutz © Marco2811 - Fotolia.com
Der Europäische Gerichtshof hat in den letzten Jahren verschiedene wichtige Urteile zum Thema Datenschutz gefällt. Für besonderes Aufsehen sorgte die kürzliche Entscheidung zum „Safe-Harbour“- Abkommen mit den USA.

Safe-Harbour-Abkommen – was ist das?
Das Safe-Harbour-(= „Sicherer Hafen“) Abkommen ist eigentlich eine Entscheidung der EU-Kommission. Dazu muss man wissen: Grundsätzlich dürfen personenbezogene Daten aus Mitgliedsstaaten der EU nicht in Staaten übertragen werden, die keinen Datenschutzstandard haben, der dem europäischen entspricht. Dies besagt eine EU-Richtlinie. Zu diesen Staaten gehören auch die USA, da dort entsprechende gesetzliche Regelungen fehlen. Ende der 90er Jahre wurde nun ein System geschaffen, bei dem sich US-Unternehmen freiwillig zur Einhaltung gewisser Standards verpflichten und sich beim US-Handelsministerium entsprechend zertifizieren lassen können. Die EU-Kommission hat im Jahr 2000 schlicht beschlossen, dass Daten, die an diese Unternehmen in den USA übermittelt werden, sicher sind. Eine Kontrollmöglichkeit, was wirklich mit den Daten passiert, existiert jedoch in der Praxis nicht.

Grundprinzipien des Safe-Harbour-Systems
Folgende Prinzipien müssen Unternehmen einhalten, die sich am „Safe-Harbour-System“ beteiligen:
- Informationspflicht der Betroffenen darüber, welche Daten für welche Zwecke erhoben werden und welche Rechte die Betroffenen haben,
- jeder Betroffene muss die Möglichkeit erhalten, der Weitergabe seiner Daten an Dritte oder der Nutzung für andere Zwecke zu widersprechen,
- gibt ein Unternehmen Daten an Dritte weiter, muss es die Betroffenen darüber und über die Widerspruchsmöglichkeit informieren,
- Betroffene müssen die Möglichkeit haben, die über sie gespeicherten Daten einzusehen und sie ggfs. berichtigen, ergänzen oder löschen zu können,
- Unternehmen müssen angemessene Sicherheitsvorkehrungen treffen, um die Daten vor unbefugtem Zugang, Zerstörung und Missbrauch zu bewahren,
- Unternehmen müssen dafür sorgen, dass erhobenen Daten korrekt, vollständig und sachdienlich sind,
- die Unternehmen verpflichten sich, Streitschlichtungsmechanismen beizutreten, so dass Betroffene ihre Beschwerden und Klagen untersuchen lassen und ggf. Schadenersatz fordern können.

Der Fall – worüber wurde vor dem EuGH gestritten?
Der Europäische Gerichtshof hat in seiner Entscheidung vom 6. Oktober 2015 die Safe-Harbour-Entscheidung der EU-Kommission für ungültig erklärt. Passiert war folgendes: Ein Jurist aus Österreich hatte Zweifel an der Sicherheit seiner Daten bei Facebook. Denn nach den Enthüllungen von Edward Snowden muss wohl davon ausgegangen werden, dass US-Behörden und Geheimdienste jederzeit alles an Daten bei großen US-Unternehmen abfragen können, was sie wollen – ohne dass irgendein Nutzer davon erfährt, um Erlaubnis gefragt wird oder gar widersprechen kann. Der wegen des dortigen Geschäftssitzes der europäischen Facebook-Zentrale zuständige Datenschutzbeauftragte in Irland verweigerte jedes Einschreiten unter Berufung auf das Safe-Harbour-Abkommen. Da zog der Facebook-Nutzer vor Gericht.

Die Entscheidung
Der EuGH entschied, dass die Safe-Harbour-Entscheidung der EU-Kommission keinen Bestand habe (Az. C-362/14). Denn die EU-Kommission dürfe nicht die Befugnisse der nationalen Datenschutzbehörden einschränken. Im Ergebnis darf also die irische Datenschutzbehörde den Umgang mit Daten bei Facebook überprüfen. Aber auch die Herangehensweise der US-Behörden kritisierte das Gericht: Eine Regelung, die es den Behörden gestatte, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, verletze das Grundrecht auf Achtung des Privatlebens. Somit könnten mit dem bisherigen System US-Behörden die Grundrechte von EU-Bürgern verletzen, ohne dass eine Möglichkeit des gerichtlichen Einschreitens bestehe.

Was nun – wird das Urteil ignoriert oder umgangen?
Wie nun die Zukunft aussieht, ist noch nicht klar. Oft wird im Online-Recht mit Einwilligungen der Nutzer gearbeitet. Es gibt zwei denkbare Wege für Unternehmen, das Problem zu umgehen: Erstens könnten nach entsprechender Aufklärung die Nutzer einer US-üblichen Verwendung ihrer Daten zustimmen und damit selbst auf ihre Rechte verzichten. Dann müsste man bei der Eröffnung des Accounts also nur wieder einmal eine lange, juristisch verklausulierte Datenschutzerklärung anhaken, die kein normaler Nutzer lesen wird. Oder aber es kommen Standard-Vertragsklauseln zum Einsatz, also Musterverträge zwischen dem jeweils an einer Datenübermittlung beteiligten europäischen und dem US-Unternehmen (etwa Facebook Irland und Facebook USA), in denen das US-Unternehmen verspricht, dass es keinen Gesetzen unterliegt, die die Sicherheit der Nutzerdaten gefährden. Ein solches Vorgehen haben Microsoft und Google bereits angekündigt.

Datenschützer-Position
Das Unabhängige Landeszentrum für Datenschutz (ULD) in Kiel hält jedoch in einem Positionspapier dagegen: Ein Nutzer könne gar nicht selbst auf seine Rechte verzichten, weil es hier um verfassungsmäßig gewährleistete Grundrechte ginge. Dies entspreche der Rechtsprechung des Bundesverfassungsgerichts und gelte auch gegenüber US-Unternehmen. Auch die Standard-Vertragsklauseln seien in Anbetracht des neuen Urteils kein gangbarer Weg mehr, um Daten in die USA zu übermitteln. Folgerichtig – denn an Partiot Act und PRISM-Programm können alle Verprechungen von Unternehmen nichts ändern. Aus Sicht der Datenschützer in Schleswig-Holstein sind Verarbeitungen von deutschen persönlichen Daten in den USA damit zunächst unzulässig. Auch Bußgeldverfahren seien künftig möglich. Helfen könne allenfalls eine Änderung der US-Gesetze, vorzugsweise in Verbindung mit neuen Abkommen mit der EU. Wie andere Datenschutzbehörden dies sehen, bleibt abzuwarten.