Datenschutz bei Facebook & Co.: EuGH erklärt Safe Harbor für ungültig
Der Europäische Gerichtshof in Luxemburg hat das Safe-Harbor-Abkommen zwischen den USA und der EU für ungültig erklärt. Persönliche Daten europäischer Nutzer seien in den USA nicht ausreichend vor dem Zugriff von Behörden geschützt.
Der Europäische Gerichtshof hat das Safe-Harbor-Abkommen zu Austausch personenbezogener Daten zwischen der Europäischen Union und der USA für ungültig erklärt. Das urteilte das Gericht am Dienstagmorgen und folgte damit dem Antrag des Generalanwalts.
In dem seit Jahren andauernden Rechtsstreit zwischen zwischen dem Juristen Max Schrems und der irischen Datenschutzbehörde gab das oberste europäische Gericht damit dem Österreicher recht. Der hatte den mangelnden Datenschutz bei Facebook kritisiert, für den Irland zuständig ist, weil das US-Unternehmen dort seinen Europasitz hat. Irlands Datenschutzbeauftragter hatte die zugehörige Beschwerde aber abgelehnt, weil bei Facebooks Datensicherung Safe Harbor Anwendung finde. Diesem Abkommen zufolge dürfen die Daten von EU-Bürgern in die USA übermittelt werden, da dort der Datenschutz ausreichend gesichert sei. Das sah Schrems anders, zog vor Gericht und landete schließlich vor dem EuGH.
Eindeutige Absage an Safe Harbor
In seiner Entscheidung ist der Gerichtshof der Einschätzung des Generalanwalts Yves Bot nun weitgehend gefolgt. So urteilt der EuGH, dass die Europäische Kommission die Befugnisse nationaler Datenschutzbehörden "weder beseitigen noch auch nur beschränken kann". Nach der Beschwerde von Max Schrems hätten Irlands Datenschützer prüfen können, ob die Grundrechte des Klägers gewahrt würden. Die Rechtmäßigkeit von Safe Harbor selbst habe aber tatsächlich nur der Europäische Gerichtshof prüfen können.
Zu dem Abkommen führt der Gerichtshof aus, dass der erlaubte Zugriff von Behörden auf Daten in den USA "den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt". US-Unternehmen seien verpflichtet, in Europa geltende Schutzregeln außer acht zu lassen, wenn US-Behörden aus Gründen der nationalen Sicherheit beziehungsweise des öffentlichen Interesses Zugriff auf persönliche Daten verlangen. Gleichzeitig gebe es für EU-Bürger keine Möglichkeit, per Rechtsbehelf die Löschung ihrer Daten zu verlangen. Das verletze "den Wesensgehalt des Grundrechts auf wirksamen Rechtsschutz", das dem Wesen eines Rechtsstaats inhärent sei. Deswegen sei Safe Harbor ungültig und Irlands Datenschutzbehörde müsse nun prüfen, ob Facebooks Übermittlung von Daten europäischer Nutzer in die USA auszusetzen sei.
Problem für kleine Unternehmen
Die Entscheidung des Gerichts hat weitreichende Bedeutung für US-Internetkonzerne, für die es nun schwieriger wird, Daten von Europäern in die USA zu übertragen. Aber deutsche Unternehmen, die auf US-Dienste zurückgreifen, sind von dem Urteil nicht weniger betroffen. Nach Ansicht des Gerichts können Bürger die nationalen Gerichte anrufen und nationale Datenschutzbehörde prüfen, ob die Daten einer Person geschützt sind.
Vor allem dürfte das Urteil kleinere Unternehmen treffen, die sich bisher komplett auf Safe Harbor verlassen hatten. Schwergewichte wie Facebook oder Google mit ihren großen Rechtsabteilungen können leichter die nötigen Verträge zur Datenübermittlung ohne Safe Harbor ausarbeiten. (mit Material der dpa) (mho)
