Der Europäische Gerichtshof hat in der Rechtssache C‑362/14 (Maximillian Schrems / Data Protection Commissioner) am 06.10.2015 das sog. Safe-Harbor mit den USA für ungültig erklärt. Das Safe-Harbor Abkommen ermöglichte bislang Unternehmen personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA zu übermitteln.
Im Rechtsstreit vor dem EuGH bemängelte nun ein facebook-Nutzer aus Österreich, dass seine „facebook-Daten“ von der irischen Facebook -Tochtergesellschaft ganz oder teilweise an Server, die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet werden. Er legte bei der irischen Datenschutzbehörde eine Beschwerde ein, weil er im Hinblick auf die von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten, insbesondere der NSA, der Ansicht war, dass das Recht und die Praxis der USA keinen ausreichenden Schutz der übermittelten Daten vor Überwachungstätigkeiten der amerikanischen Behörden bieten können.
Der EuGH stellte nunmehr fest, dass sich das Safe-Harbor-Abkommen nicht auf amerikanische Behörden erstreckt, sondern nur für die amerikanischen Unternehmen gilt. Außerdem haben die Erfordernisse der nationalen Sicherheit der USA und der Durchführung von Gesetzen der Vereinigten Staaten Vorrang vor der Safe-Harbor-Regelung, so dass die amerikanischen Unternehmen sich gegenüber den dortigen Behörden nicht auf Datenschutz berufen können und auch die Daten von EU-Bürgern vor behördlichen Zugriff nicht „geschützt“ werden können.
Als Konsequenz müssen nunmehr US-Konzerne wie Apple, facebook, amazon oder Google ihre Dienste an die neue Rechtslage umgehend anpassen. Entweder müssen sie die Daten der europäischen Nutzer künftig in Europa speichern oder die fraglichen Dienste für Europäer deaktivieren. Eine Weitergabe der personenbezogenen Daten auf die bisherige Art und Weise ist nach europäischem Datenschutzrecht (vorerst) nicht möglich.
Es bleibt somit abzuwarten, wie die genannten Großkonzerne nunmehr den Datentransfer behandeln werden. Denkbar wäre, dass sie ihre Nutzer ab sofort vorab in die Datenübermittlung einwilligen lassen und über den genauen Verwendungszweck und die Reichweite der Datenverarbeitung in Kenntnis setzen. Hierbei wäre dann aber zwingend auch auf die Zugriffsmöglichkeit der US-Geheimdienste auf die gespeicherten Daten zu verweisen. Dies wird man aber seitens der Geheimdienste untersagen.
Bei Rückfragen steht Ihnen Rechtsanwalt Markus Knieschon gerne zur Verfügung.
Autor: Rechtsanwalt Markus Knieschon