Safe-Harbor-Urteil schränkt nicht nur Datentransfer in die USA ein, es ruft auch EU-Staaten zur Verantwortung

Gerichtssaal im Europäischen Gerichtshof. Bild: Stefan64. Lizenz: Creative Commons BY-SA 3.0.

Die Safe-Harbor-Entscheidung der EU-Kommission ist heute vom Europäischen Gerichtshof (EuGH) für ungülitg erklärt worden, Datenübertragungen aus der EU in die USA sind daher nicht mehr per se als zulässig zu erachten, da das vormals definierte gleichwertige Datenschutzniveau nun keinen Bestand mehr hat. Abseits von der um sich greifenden Freude lohnt es sich, noch einmal einen genaueren Blick auf das Urteil zu werfen und sich Ausgangslage und Begründung anzusehen.

Die Kernfrage ist nämlich nicht nur, ob die USA ein angemessenes Datenschutzniveau gewährleisten, sondern: Kann die Safe-Harbor-Entscheidung der EU-Kommission aus dem Jahr 2000 die Aufsichtsbehörden der Mitgliedsstaaten davon abhalten, selbst zu untersuchen, ob Datenschutzbestimmungen und damit Grundrechte verletzt werden und eventuell daraufhin Datenübertragungen einzuschränken?

Die Antwort: Nein. Vor allem steht dem nämlich ihre Unabhängigkeit entgegen. Die Datenschutzaufsichtsbehörden sollen prüfen, ob Datenverarbeitung, -erhebung und Co. in Übereinstimmung mit EU-Gesetzen geschehen. Die schreiben nämlich ein gleichwertiges Schutzniveau vor, in dem datenempfangenden Staat müssen alle gesetzlichen Voraussetzungen erfüllt werden können, die in der EU vorgeschrieben sind. Das zu beurteilen ist nicht Sache einer Blankovereinbarung, sondern einer echten Prüfung:

… each of them is therefore vested with the power to check whether a transfer of personal data from its own Member State to a third country complies with the requirements laid down by Directive 95/46 [Data Protection Directive].

Und da jeder Mitgliedsstaat selber berechtigt sein muss, zu prüfen, muss es auch für jeden EU-Bürger möglich sein, bei der nationalen Aufsichtsbehörde Klage einzureichen, sowie Schrems es in Irland, dem Sitz von Facebook in Europa, getan hatte. Die Irische Datenschutzbehörde hatte seine Klage vormals nicht aufgenommen, sah sich nicht in der Verantwortung und war der Auffassung, nicht zuständig zu sein, denn die EU-Kommission hatte ja beschlossen, dass ein angemessenes Datenschutzniveau herrsche. Das ist mit der heutigen Entscheidung hinfällig und die Irische Datenschutzbehörde wird sich des Falles annehmen müssen – ein Erfolg neben der Ungültigkeit der Safe-Harbor-Kommissionsentscheidung selbst und ein Signal an alle nationalen Datenschutzbehörden, nicht untätig eventuellen Grundrechtsverletzungen zuzusehen und sich dabei auf der EU auszuruhen.

Zum Aufheben von Kommissionsentscheidungen braucht es den EuGH aber, das dürfen die nationalen Gerichte nicht allein. Der EuGH entschied heute also auch, dass ein gleichwertiger Datenschutz bei Datenverarbeitung in den USA nicht gewährleistet ist und Safe Harbor damit seiner Grundannahme entbehrt. Zum einen habe die Kommission die nationale Rechtslage der USA nicht hinreichend berücksichtigt, denn US-Unternehmen sind zur Wahrung von US-Gesetzen verpflichtet, Daten an die Landesbehörden zu geben. Diese Gesetze stehen über der Safe-Harbor-Entscheidung und werden nicht durch internationale Regelungen eingeschränkt. Datenschutzbestimmungen der EU können damit per se nicht eingehalten werden, da sie der US-Rechtssituation diametral entgegenstehen. Einen Rechtsschutz für Betroffene gibt es auch nicht, rechtsstaatliche Prinzipien können so nicht eingehalten werden. Die Rechtsstaatlichkeit zweifelt der EuGH auch in Sachen Massenüberwachung an, er gesteht ein, dass die Überwachung im Interesse der USA steht, aber weist auch auf, dass die „Enthüllungen von Edward Snowden zeigen, wie man bei der NSA und anderen US-Behörden über das Ziel hinaus geschossen“ ist.

Darüberhinaus mache die Uneingeschränktheit der bisher zulässigen Datenübermittlung in die USA deutlich, dass die Notwendigkeit der Datennutzung, wie sie im EU-Recht vorgeschrieben ist, nicht besteht, da keinerlei Differenzierung stattfindet und eine generelle Übertragung der Daten mit Safe Harbor vorgesehen ist.

Das heutige Urteil beendet also öffentlichkeitswirksam gleich zwei Blankoscheine: Zum einen denjenigen der USA als sicheren Datenhafen und zum anderen den der Aufsichtsbehörden, die sich bequem auf EU-Entscheidungen berufen. Natürlich ist damit noch längst nicht alles gut oder schlecht. Weder die Massenüberwachung wird spontan unmöglich gemacht noch das Internet wird zusammenbrechen, so wie es einige Alarmisten im Vorfeld des Urteils prophezeiten. Vieles hängt jetzt daran, baldmöglichst einen Rechtsrahmen zu schaffen, der echte Datenschutzbedingungen für den Datentransfer aus der EU in die USA (und den Rest der Welt) formuliert, bevor allerorts versucht wird, Wege zu finden, Datenübertragungen auf andere Weise zu legitimieren, die nicht unbedingt zu besseren Bedingungen führen müssen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

15 Ergänzungen

  1. Bemängelt wird das Gefälle des Datenschutzes zwischen dem Ort der Datenerhebung und dem Ort der Datenverarbeitung, nebst Datenübertragung.

    Geht man davon aus, dass Datenschutzvorkehrungen in den USA nicht europäischen Standard entsprechen, so bedarf es einer Angleichung für ein Folgeabkommen („Super Save Harbour“).

    Hier liegt die Gefahr, die auf uns zukommt. Nur Idealisten glauben, dass die USA künftig etwa deutsches Recht im Datenschutz übernehmen werde. Realistischer dürfte es sein, dass zur Anpassung deutsches Recht geschliffen wird, um dem amerikanischen Niveau näher zu kommen, ein Gedanke an TTIP ist keine Verschwendung.

    Die üblichen IT-Lobbyisten klagen schon lange über die Last des Datenschutzes hier zulande und sehen jetzt ihre Chance, zu noch bequemeren Regelungen zu kommen. Dass sie bei der Legislative dabei offene Ohren und Türen finden werden, dürfte zu erwarten sein. Wer VDS möglich macht, dem kann man alles zutrauen. Ein weiterer Verrat, darauf kommt es jetzt auch nicht mehr an.

    Zunächst sieht es jetzt noch nach einem Sieg der Bürgerrechte aus. Es bleibt jedoch abzuwarten, was nun folgt. Der politische Alltag lehrt, dass Kompromisse der kleinste gemeinsame Nenner ist. Am Ende könnte ein schwächerer Datenschutz in Deutschland und anderswo herauskommen.

    Heads up! Es wird nicht gemütlicher. Bei VDS glaubte man auch erst gewonnen, und heute sehen wir schon zerronnen.

  2. Wer bei Facebook ist, hat dessen AGB zugestimmt. Nach denen werden die personenbezogenen Daten „in die USA weitergeleitet und dort verarbeitet“. Zwar ging es im Verfahren genau um diese Praxis, doch da ihr die Nutzer mit einem Klick zugestimmt haben, dürfte Facebook bis auf Weiteres nichts an der Speicherpraxis ändern – muss aber damit rechnen, dass seine Vorgehensweise jetzt auf den Prüfstand kommt. Das Unternehmen selbst gibt sich entspannt: „Dieses Verfahren dreht sich nicht um Facebook“, kommentiert Facebook das Urteil. Man verfüge über mehrere Wege neben „Safe Harbor“, um Daten in die USA zu übermitteln.

    http://www.spiegel.de/netzwelt/netzpolitik/europaeischer-gerichtshof-urteil-was-passiert-jetzt-mit-unseren-daten-a-1056369.html

    Ist ja interessant. Facebook fühlt sich nicht betroffen und macht weiter so.
    So so. Andere Wege neben „Safe Harbor“ haben sie also auch noch. Hmm.
    Klingt ja irgendwie nach „I like it!“.

    1. Cool! Wenn ich also auf die AGB geklickt habe, dann ist ja alles in Ordnung. Wozu denn die ganze Aufregung dann noch? Haben die dummen Richter das nicht bemerkt?
      Was die wohl mit den Nebenwegen meinen? Die supersicheren Leitungen und Speicher der NSA?

    2. > Man verfüge über mehrere Wege neben „Safe Harbor“, um Daten in die USA zu übermitteln.

      Dies sind namentlich:

      1. Gesetzliche Ausnahmen
      Das BDSG erlaubt als Ausnahme eine Datenübermittlung unter anderem dann, wenn diese „zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen“ erforderlich ist.

      2. Die Einwilligung
      Die vermeintlich einfachste Lösung für eine rechtmäßige Datenübermittlung in die USA liegt dann vor, wenn die betroffenen Personen hierzu individuell ihre Einwilligung erklärt haben.

      3. EU-Standardvertragsklausel
      Als Alternative zu Safe Harbor hat die EU-Kommission Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten in Drittländer festgelegt, welche die Einhaltung eines angemessenen Datenschutzniveaus sicherstellen sollen. Werden diese Klauseln im Rahmen eines Vertrags zwischen Datenexporteur und -importeur unverändert verwendet, so ist ein darauf basierender Datentransfer auch in die USA erlaubt.

      4. Binding Corporate Rules
      Vor allem für internationale Konzerne besteht schließlich die Möglichkeit, verbindliche Konzernregeln zum Datenschutz zu schaffen. In deren Rahmen legt sich eine Gruppe von verbundenen Unternehmen rechtsverbindliche Regeln auf, die den internen Umgang mit personenbezogenen Daten auf Basis von EU-Vorgaben definiert. Unterwirft sich ein Unternehmensverbund diesen Regelungen, so kann dadurch das Datenschutzniveau im Konzern weltweit vereinheitlicht und ein angemessenes Datenschutzniveau hergestellt werden.

      Quelle: http://www.heise.de/newsticker/meldung/Nach-dem-EuGH-Urteil-Alternativen-zu-Safe-Harbor-2837700.html

      1. Folge der EuGH-Argumentation: Jegliche Datenübermittlung nicht nur in Länder wie USA oder China, sondern auch nach Großbritannien ist rechtswidrig? Wenn man die Argumentation zu Ende denkt, wären auch EU-Standardvertragsklauseln und BCR rechtswidrig, da nach diesen natürlich genauso Zugriffsrechte der Geheimdienste bestehen. Jegliche Datenübermittlung außerhalb von EU/EWR wäre nach Ansicht des EuGH wohl unzulässig. Denn wenn der EuGH in Rn. 88 darauf abstellt, dass durch die Kommissionsentscheidung kein Schutz gegen Ausspähung vorgesehen sei, gilt das ebenso für Standardvertragsklauseln. Sogar weitergehend wäre Datenverarbeitung von US-Unternehmen in der EU unzulässig, da nach US-Recht die „Sicherheits“behörden Zugriff auch auf Daten von US-Unternehmen in Europa haben. Das kann offensichtlich nicht richtig sein. Aber es geht natürlich noch weiter: Bekanntlich gehören die Geheimdienste Großbritanniens zu den größten Verbrechern, was das Abgreifen der Daten aller Bürger angeht. Wenn das laut EuGH so massiv in unsere Grundrechte eingreift, ist damit auch jegliche Übermittlung von Daten nach Großbritannien rechtswidrig?

        http://kanzlei-lachenmann.de/safe-harbor-urteil-eugh-setzt-zeichen-gegen-massenausspaehung-mit-wirrer-argumentation/

  3. Gibt es nicht mal nen Strafrechtler, der was über die Auswirkungen des Urteils auf Snowdens Strafverfahren und ggf. Asyl in der EU schreiben kann. Ich würde Snowden ja liebend gerne in Berlin sehen.

  4. Was bei 99% der Urteile immer fehlt sind die Konsequenzen. Also was passiert, wenn es nicht eingehalten wird. Na nix passiert ! Genau darum geht es ! Klar, kann man sich drauf berufen oder nochmal klagen wegen Nichteinhaltung oder was es da so gibt bzw. passt von Fall zu Fall, aber ist doch trotzdem Kopffick Alter. Die überbezahlten Sesselfuzer von Richtern müssen gefälligst in ihren oft fatalen Fehlurteilen endlich ma anfangen die Konsequenzen bei Nichteinhaltung zu schreiben. Und es richtig böse schmerzhaft machen. Gerade bei Firmen, Behörden und vor allem Konzernen. Die paar Milliardchen für den VW Konzern jetzt z.B. Mann die lachen sich schlapp darüber. Das ist doch Peanuts für die Alter. Ist so wie für die meisten von uns nen Zwanni, nicht ma. Bei der Pharma Mafia dasselbe oder bei Apple. 10-30% müssen es sein, damit es wehtut und was bringt. Wohin fließt überhaupt eigentlich das Para bei Gerichtsstrafen ? Der Regierung etwa oder was ?

    1. Bei deiner Qualifikation könntest Du dich ja um den Vorsitz am EuGH bemühen. Ist ja unglaublich, dass Dich noch keiner entdeckt hat und dass Du noch immer Deine Zeit damit verschwenden musst, solche Kommentare zu schreiben.

  5. Wie ist denn jetzt ohne Safe Harbour die Rechtslage für deutsche Behörden, die Verträge mit US-Anbietern haben? Mailserver, Cloud-Services, Infrastruktur? Da darf doch jetzt eigentlich nix mehr gehen? Sind die Amerikaner z.B. bei öffentlichen Ausschreibungen im IT-Bereich damit raus? Kann jemand hier einschätzen, welche Konsequenzen das für den staatlichen und öffentlich-rechtlichen Bereich hat?

    1. Es ist eine gute und wichtige Frage, weil Behörden nach wie vor gerne auf dubiose US-Dienstleister zurückgreifen. Dort sind es zwar keine Buttons, mit denen man irgendwelche Datenklauseln mittels Klick aktiviert, sondern Verträge.

      Man könnte aufgrund des jetzt entstandenen öffentlichen Interesses damit beginnen, Informationsfreiheitsanfragen bezüglich IT-Verträgen mit Behörden zu stellen.

      Hinweise von Wolkenkundigen, wo man den Hebel am besten ansetzen könnte, sind hier stets willkommen.

      1. Danke, aber mir ist es deswegen wichtig, weil der Datenschutz an dieser Stelle imo richtig durchschlägt. Facebook, Amazon und Konsorten können ihre AGB ändern und ich kann als Konsument entscheiden, ob ich mit denen auch ohne Datenschutz zusammenarbeiten will und im Zweifel (theoretisch) auf inner-europäisjche Anbieter ausweichen. Ich muss die ja nicht nutzen, wenn die mir suspekt sind. ( theoretisch! )
        Wenn das Einwohnermeldeamt meine Passdaten über Verizon-Server in eine Amazon-Cloud legt, dann kann ich auch theoretisch nicht sagen: ich such mir ein anderes. Ich kann auch nicht meine Kinder von der Schule nehmen, wenn die ihre IT mit den Zeugnissen und der Korrespondenz über US-Anbieter abwickeln.
        Von der Frage, wo Polizei, Staatsanwaltschaften, etc. ihre Daten speichern, gar nicht mal anzufangen. Das ist für mich als Bürger datenschutztechnich nicht mehr zu lösen, indem ich meinen account lösche.
        Insofern unterstelle ich, daß eine „Verbringung“ der Daten deutscher Staatsbürger über die Landesgrenzen rechtlich NUR mit einem Safe-Harbour-Abkommen möglich ist. Ansonsten verstoßen die Behörden imo gegen Bürgerrechte. Mit dem EUGH-Urteil besteht das Problem imo: Ab sofort, unverzüglich!
        Da haben die Datenschutzbeauftragten, der Gesetzgeber und die IT in den öffentlichen Stellen jetzt eventuell eine echte Nuß zu knacken. Das ist weit weniger trivial als das Problem, vor dem Facebook und Co. jetzt stehen. Die ändern halt ihre AGBs, machen eine Haftungsausschlusserklärung und dann unterschreibt man die oder lässt es halt.
        Ein staatliche, kommunale, öffentlich-rechtliche Stelle hat da meines Wissen ganz andere Umstände zu beachten und wesentlich weniger Spielraum.
        Vor allem: wenn mit Wegfall des SH die Speicherung von Bürgerdaten im Ausland keine Rechtsgrundlage mehr hat für Behörden – wie lösen die das? Wie lang wird das dauern? Woher soll eine neue Rechtsgrundlage kommen? Was ist mit der Übergangszeit?
        Das sind aber jetzt alles nur Spekulationen und Fragen- wer kann das mal aufdröseln?

        Auskunftsersuchen – jep…das wird lustig…… :)

  6. Interessant, dass das Gericht auf die Erkenntnisse aus den von Edward Snowden geleakten Dokumenten Bezug nimmt. Die werden ja sonst eher als Hörensagen gehandelt.

  7. In den USA kann kein Dienstleister einen wirksamen Schutz der Daten gegen Geheimdienste gewährleisten.
    Diese Argumentation des Gerichts gilt aber (mindestens) genauso für Großbritannien!

    Welches (höchste) nationale Gericht traut sich, auf die Grenzen der Dienstleistungsfreiheit in der EU hinzuweisen?

  8. Hallo Zusammen,

    als wenn die Amis und Ihre Marionetten in Berlin das nur Irgendwie Interessieren würde…

    mfg

    Ralf

  9. Das EUGH-Urteil gegen das „Save Harbor“-Abkommen ist zwar ein Meilenstein und eine Stärkedemonstration der EU, wird aber in der Praxis wenig ändern, da sich die amerika-nischen Unternehmen nicht gegen die Datenweitergabe an NSA, CIA und andere wehren können, da sich die amerikanische Regierung um keinerlei Datenschutzrichtlinien in den Partnerländern kümmert.

    Dies gilt nicht nur für die amerikanische Administration sondern auch für die Adminstration in Großbritanien, die eigentich die größten Spionageorganisationen (für private Personen und die Wirtschaft) sind und eigentlich zu den Schurkenstaaten gehören, die sich aber international als Demokratiewächter aufspielen und allen ihren Willen aufzwingen wollen.

    Man darf jedoch auch die deutsche Regierung nicht ausnehmen, die es rechtswiedrig zu- läßt, dass ihre Geheim- und Nachrichtendienste rege Daten mit den amerikanischen Diensten austauschen und es zuläßt, dass auf ihrem Territorium in Bad Aibling (Bayern) eine der größten ame- rikanischen Abhörstationen betrieben wird. Bis zum heutigen Tag hat die Bundesanwaltschaft noch keinerlei Verfahren bezüglich der Abhörskandale der Vergangenheit (auch der Kanzlerin) eingeleitet hat. Eine derart amerikahörige Regierung gehört schon längst in die Wüste geschickt, da sie mit derartigen Schurkenstaaten, die sich als weltweite Moralwächter aufspielen und allen ihren Willen aufzwingen wollen.

    Wenn man all dies berücksichtigt, glaube ich nicht daran, dass sich mit dem EUGH-Urteil wirklich etwas gravierend ändert, da der Staat gar nicht daran interessiert ist, etwas gegen die Firmen zu unternehmen, die sich nicht an das Urteil halten.

    Gravierende Änderungen kann eigentlich nur der Verbraucher (sowohl Firmen- und Privatanwender) erzwingen, der Produkte der großen amerikanischen Firmen wie Microsoft, Apple, Google, Facebook, Intel, HP, Amazon usw. boykottiert und sich weigert, dass seine Daten bei diesen Unternehmen gespeichert und mißbraucht werden.

    Dazu bedarf es allerdings der Unterstützung der Medien (alle EDV-Zeitschriften, große Printmedien) der Verbraucherorganisationen und der Datenschützer, die in einer gemeinsamen konzertierten Aktion zum weltweiten Boykott dieser Unternehmen aufrufen müßten – was im Zeitalter von Twitter und Facebook eigentlich kein Problem wäre. Nur durch große Absatzeinbrüche dieser Unternehmen kann die amerikanische Administration gezwungen werden, ihre Einstellung zu ändern, da in Amerika einmal nur die Macht des Geldes regiert.

    Obwohl ich dies schreibe, glaube ich nicht an eine derartige konzertierte Aktion, da niemand da und Willens ist, eine derartige Aktion zu organisieren.

    So wird es weiterhin nur bei Kommentaren bleiben und sich grundsätzlich nichts ändern.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.