Der Europäische Gerichtshof (EuGH) hat am 6. Oktober 2015 über die Klage eines österreichischen Jurastudenten geurteilt und in den Kommentarspalten ist seitdem die Rede von einem „Paukenschlag“, einem „Donnerwetter“ und einer „Sensation“ für den Datenschutz. Was ist genau passiert?

Avatar
Clemens John
Alle Beiträge

Nach geltendem europäischen Recht dürfen Unternehmen personenbezogene Daten nicht ohne Weiteres in die USA übertragen. Das Abkommen Safe Harbor, das im Jahr 2010 zwischen der Europäischen Kommission und den USA geschlossen wurde, schafft für solche Datenübermittlungen die wesentliche rechtliche Grundlage: Vereinfacht gesagt wurde durch das Abkommen bestätigt, dass bei den zertifizierten Unternehmen auf beiden Seiten des Atlantiks ein vergleichbares Datenschutzniveau besteht und eine Datenübertragung daher erlaubt ist. Der EuGH hat dieses Abkommen nun jedoch für ungültig erklärt: Der Gerichtshof ist zu dem Ergebnis gekommen, dass der Schutz der Daten in den USA vor allem durch die aufgedeckten Zugriffe durch US-Geheimdiensten nicht mehr gegeben ist. Eine Datenübertragung auf dieser Grundlage ist daher künftig nicht mehr erlaubt.

Im Fokus stehen dabei vor allem große US-amerikanische Internetunternehmen, denen seit geraumer Zeit vorgeworfen wird, den europäischen Datenschutzstandards nicht zu genügen. Dem EuGH-Urteil liegt eine Klage des Österreichers Max Schrems zugrunde, der sich wiederholt gegen die Datennutzung durch das soziale Netzwerk Facebook gewehrt hat. Von privaten Beiträgen auf Facebook und Twitter über den Fingerabdruckscanner des iPhones bis zu komplexen Geschäftsanwendungen: In fast allen Fällen wurden diese Datentransfers auf Safe Harbor gestützt und ab jetzt bedarf es für all diese Arten von Transfers alternative Rechtsgrundlagen (z.B. eine Einwilligung des Nutzers oder derzeit noch die EU Standardvertragsklauseln). Heribert Prantl prognostiziert diesem Urteil in der Süddeutschen Zeitung daher eine weitreichende Wirkung und geht von Veränderungen für die gesamte Datenwirtschaft aus. Doch derzeit ist noch ziemlich unklar, welche genauen Folgen die Entscheidung haben wird.

Insgesamt ist zu begrüßen, dass durch das Urteil nun eine Debatte angestoßen wird, inwiefern das amerikanische Datenschutzverständnis mit dem deutschen kompatibel ist und welche Datenschutzregeln amerikanische Unternehmen in Europa einzuhalten haben. Kurzfristig schafft das Urteil jedoch auch Unsicherheit – insbesondere auch auf Seiten der Unternehmen, die auf Basis der Safe Harbor Regelungen personenbezogene Daten in US verarbeitet haben, denn sie können aktuell nicht sicher sein, wie sie ihre bisherigen Verträge rechtssicher umstellen können. Auch die erste Alternative der EU Standardvertragsklauseln wird von Aufsichtsbehörden teilweise kritisch gesehen.

Wie geht es nun weiter? Seit 2013 verhandelt die Europäische Kommission bereits mit den USA über ein neues Abkommen, um die Datentransfers verlässlich zu regeln. Ein Abschluss dieser Verhandlungen ist nach dem Urteil weiterhin möglich, allerdings wird dies nicht kurzfristig zu erreichen sein und eine Einigung ist durch das Urteil und Vorgaben durch das Gericht grundsätzlich deutlich schwieriger geworden.

0