Europäischer Gerichtshof: Amerika ist kein sicherer Hafen für europäische Daten

artikel_facebookEuropa gegen Facebook, das Kapitel wurde am 1. August 2014 aufgeschlagen. Grob ging es darum, dass Facebook personenbezogene Daten von Europäern in den USA speichert und diese nicht ausreichend geschützt sind. Eine Beschwerde bei der irischen Datenschutzbehörde (Facebook ist in Irland für Europa tätig) wurde mit der Begründung abgewiesen, dass die Daten durch das Safe-Harbor-Abkommen ausreichend geschützt seien, weil es die Europäische Kommission so entschieden hat. Die Frage ist nun, ob die Entscheidung einer Kommission Einfluss auf die Ermittlungen einer Datenschutzbehörde haben darf. Darf sie nicht, wie der Europäische Gerichtshof nun urteilte.

Die dreiseitige Ausführung des Europäischen Gerichtshof ist keine leichte Kost, komplett kann sie an dieser Stelle eingesehen werden. Hier ein paar Auszüge, die die Entscheidung etwas erklären:

In seinem heutigen Urteil führt der Gerichtshof aus, dass die Existenz einer Entscheidung der Kommission, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für übermittelte personenbezogene Daten gewährleistet, die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union und der Richtlinie verfügen, weder beseitigen noch auch nur beschränken kann.

Auch wenn die Kommission eine solche Entscheidung erlassen hat, müssen die nationalen Datenschutzbehörden daher, wenn sie mit einer Beschwerde befasst werden, in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung der Daten einer Person in ein Drittland die in der Richtlinie aufgestellten Anforderungen gewahrt werden. Der Gerichtshof weist allerdings darauf hin, dass er allein befugt ist, die Ungültigkeit eines Unionsrechtsakts wie einer Entscheidung der Kommission festzustellen.

Zum Vorliegen eines Schutzniveaus, das den in der Union garantierten Freiheiten und Grundrechten der Sache nach gleichwertig ist, stellt der Gerichtshof fest, dass nach dem Unionsrecht eine Regelung nicht auf das absolut Notwendige beschränkt ist, wenn sie generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne objektive Kriterien vorzusehen, die es ermöglichen, den Zugang der Behörden zu den Daten und deren spätere Nutzung zu beschränken. Der Gerichtshof fügt hinzu, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt.

Die Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu beschränken.
Aus all diesen Gründen erklärt der Gerichtshof die Entscheidung der Kommission vom 26. Juli 2000 für ungültig. Dieses Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.

Was bedeutet dies nun konkret? Während der Europäische Gerichtshof kein Urteil gefällt hat, ob Facebook Daten nun auf diese Weise speichern darf oder nicht, verlangt das Urteil zumindest eine Zulassung einer Beschwerde bei Datenschutzbehörden, auch wenn es für solche Fälle bereits Entscheidungen von der Europäischen Kommission gibt. Die Europäische Kommission kann mit ihren Entscheidungen also nicht dafür sorgen, dass Beschwerden oder Klagen nicht zugelassen werden, die Untersuchung durch Datenschutzbehörden muss hier in jedem Fall erfolgen. Gleichzeitig erklärt der Europäische Gerichtshof aber auch die Entscheidung der Europäischen Kommission vom 26. Juli 2000 für ungültig.

Im aktuellen Fall heißt dies, dass die ursprüngliche Beschwerde von Max Schrems nun doch durch die irischen Datenschutzbehörden geprüft werden muss und diese sich nicht auf die Europäische Kommission beziehen darf. Man kann davon ausgehen, dass hier nun sicher auch weitere Beschwerden folgen werden, denn im Prinzip handhaben es alle großen (und kleinen) US-Tech-Firmen auf die gleiche Weise, was die Weiterleitung europäischer Nutzerdaten angeht (Ausnahmen bestätigen die Regel). Und alle beziehen sich dabei auf das Safe-Harbor-Abkommen zwischen Europa und den USA.

Facebook_Logo_neu

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

11 Kommentare

  1. Ich habe nicht das Urteil selber gelesen, aber wenn es hier korrekt wiedergegeben wurde, ist es leider kein Erfolg, weil der schwarze Peter der Entscheidung mehr oder weniger nur weitergeschoben wurde. Schade eigentlich, denn sie hätten fordern sollen, daß die Daten innerhalb der EU gespeichert werden müssen. Dies würde übrigens auch Arbeitsplätze schaffen, da die Serverfarmen hier ausgebaut werden müßten.

  2. Wie wäre es mit ein bisschen Selbstreflexion in Bezug auf das Einbinden von Facebook, Google-Analytics etc? IPs sind personenbezogene Daten, die ihr hier, ab heute dann wohl mehr illegal als legal, in die USA übermittelt.

  3. Ein Kommentator im Radio war heute der Meinung, dass das Urteil wohl auch das Safe-Harbor-Abkommen zu Nichte macht.
    Den angeblich sei es Bestandteil der Urteilsbegründung, dass die EU mit solchen Abkommen nicht einfach so nationale (und möglicherweise abweichende) Datenschutzbestimmungen aushebeln kann.

    Das ist aber alles noch nicht so ganz sicher, auf das Urteil und dessen Begründung werden sich jetzt eine Heerschar von Juristen stürzen.

    Irgend etwas werden sich die großen kommerziellen Datenabgreifer mit Firmen- und Serversitz in den USA aber zumindest mittelfristig einfallen lassen müssen, Augen zu und durch und einfach weiter machen wie bisher wird dauerhaft nicht funktionieren.

    Ich muss aber 2cent Recht geben:

    ein Stück weit ist natürlich auch jeder selbst dafür verantwortlich, was er von sich ins Netz stellt. Das Bedürfnis mancher Menschen, schier alles von ihrem Privatleben öffentlich zu prostituieren werde ich wohl nie verstehen.

  4. @Grainger: Ich bezog mich auf das, was die Seite hier einbindet. Das sucht sich der Nutzer nicht aus. Und ich finde nicht, dass man die Verantwortung auf die unbedarften Nutzer schieben und die Gesetzgebung den Händen der Lobbyisten lassen soll.

  5. @Grainger:
    Das berühmte Autobeispiel: Wenn Du hierzulande Winterreifen kaufst, dann sind es nur Winterreifen den hiesigen Regelung nach. Wird ein Winterreifen, der keiner nach den hiesigen Regeln ist, als solcher verkauft, wird der Verkäufer belangt, nicht der Käufer.
    Wenn ein Datendienst hierzulande (EU) angeboten wird, muß er sich auch an die hiesigen Regeln halten. Punkt. Wenn Du bei allem sagen willst, da soll man selbstverantwortlich lesen, kommst Du aus dem Lesen nicht mehr raus. Denn dann müßtest Du z.B. die gesamten Informationen über Dein japanisches Auto lesen bevor Du es hierzulande fahren kannst, weil Du erst sicherstellen mußt, daß es auch den hiesigen Regeln entspricht. Und das kannst Du auf einiges ausweiten.
    Das mag bei Menschen, die dauerhaft ohne Arbeit sind funktionieren, Arbeitnehmer haben definitiv keine Zeit dazu. Und wozu gibt es Regeln und Einrichtungen, die deren Einhaltung überwachen, wenn man dennoch alles selber kontrollieren muß? Das würde auch bedeuten sich erst einmal unnötiges Fachwissen aus allen möglichen Bereichen anzueignen. Du redest hier zwar nur vom Internet, aber wenn, dann müßtest Du es auf alles ausweiten. Oder Du ziehst willkürlich Regeln bei welchen Dingen man es so handhaben muß wie Du es willst.

  6. @ Fraggle: Du hast Grainger nicht verstanden. Es geht ihm nicht um die Privatperson, sondern um den Blog hier, welcher Google Analytics & Co verwendet… Ich stimme ihm übrigens zu.

  7. Ihr habt mich missverstanden (oder noch wahrscheinlicher: ich habe mich missverständlich ausgedrückt).

    Selbstverständlich geben die Gesetze, Verordnungen, usw. die legalen Rahmenbedingungen vor, in denen ich mich als Bürger eines demokratischen Staates bewege.
    Aber innerhalb dieser Grenzen bin ich für mein Handeln verantwortlich.

    Um beim Reifenbeispiel zu bleiben:

    welche Reifen in Deutschland als Winterreifen verkauft werden dürfen ist auf die eine oder andere Weise gesetzlich geregelt.
    Trotzdem gibt es für mein Auto eine ziemlich große Auswahl an Winterreifen.
    Die Wahl aus diesem Angebot zu treffen bleibt mit überlassen.
    Ob ich nun den billigsten Reifen wähle, den Testsieger aus meiner Lieblings-Autozeitschrift, meine Lieblingsmarke, der Empfehlung des Autoschraubers meines Vertrauens folge oder einfach eine Münze werfe ist meine Sache.

    Wenn ich aber nun feststelle, das der gewählte Reifen nichts taugt ist das aber auch mein Problem.

    Und so verhält es sich auch mit einem großen Teil der Sicherheit meiner persönlichen Daten.

    Niemand muss Facebook, WhatsApp, Twitter, Google+, usw. nutzen, dass das alles Datenkraken sind sollte wohl allgemein bekannt sein.
    Aber selbst wenn ich es nutze entscheide doch immer noch ich, was und wie viel ich von meiner Person preis gebe.

    Niemand zwingt mich, mehr oder weniger intime Fotos von mir oder meiner Familie zu veröffentlichen oder zu twittern, was ich gerade gefrühstückt habe, welche Filme ich mir ansehe, was mein Lieblingsbier ist, usw.

    Das liegt in der Verantwortung jedes Einzelnen.

    Der virtuelle Durchfall, den etliche da haben und deswegen glauben, einfach alles über sich und ihr näheres Umfeld in das Licht der virtuellen Öffentlichkeit zerren zu müssen ist eben auch deren Verantwortung.

    Falls dann aber doch mal unangenehme oder unerwünschte Folgen auftreten sollte man aber auch nicht Jammern.

  8. Das wird noch ein spannendes Feld; eher abseits von Facebook. Viele Hosting-Verträge von Firmen in der EU, die Software in der Cloud nutzen, könnten so nichtig werden. Nämlich dann wenn nur auf den „sicheren Hafen“ in den Datenschutzvereinbarungen Bezug genommen wurde. Aktuell vermute ich, dass z.B. unter Anwendung der EU Model Clause, sehr wohl noch Daten transferiert werden dürfen. Da darf ich aber die nächsten Tage selber noch etwas Forschungsaufwand investieren – betrifft auch meinen Verantwortungsbereich. Und man muss in der Regel massiven Aufwand betreiben, bis das eine Firma in den USA unterschreibt. Selbst die Töchter von den ganz Großen in der EU oder DACH-Region haben noch vollkommen unzureichende Datenschutz-Vorlagen, die dem Kunden überreicht werden.

  9. Ich habe mich über das Urteil gefreut!