http://www.nzz.ch/international/eu-rich ... 1.18625282Weitreichendes Facebook-Urteil
EU-Richter beschränken Datenfluss in die USA
Der europäische Gerichtshof erklärt die Safe-Harbor-Regelung zum Datenaustausch zwischen der EU und den USA für ungültig. Das Urteil dürfte weitreichende wirtschaftliche und politische Folgen haben.
Der Europäische Gerichtshof in Luxemburg (EuGH) hat am Dienstag in einem weitreichenden Urteil die Übermittlung von Daten aus Europa in die USA beschränkt. Konkret erklärten die Richter die sogenannte Safe-Harbor-Vereinbarung zwischen den USA und der EU aus dem Jahr 2000 für ungültig. Das europäische Recht erlaubt Datentransfers in ein Drittland nur dann, wenn dieses über ein vergleichbares Datenschutzniveau verfügt. Die Safe-Harbor-Vereinbarung regelt den Transfer solcher personenbezogenen Daten in die USA, wobei die Internetunternehmen gemäss der Regelung zusichern, dass sie die Daten ihrer europäischen Nutzer in den USA auf angemessene Weise schützen.
Ungenügender Schutz in USA
Die EU-Richter kommen nun aber in ihrem Urteil zum Schluss, dass die Daten europäischer Bürger in den USA keinen mit den EU-Standards vergleichbaren Schutz geniessen. Das Gericht begründet seinen Entscheid unter anderem damit, dass die Safe-Harbor-Regelung nur für Unternehmen gelte, nicht aber für die amerikanischen Behörden. Zudem seien die Internetfirmen verpflichtet, den Behörden «ohne Einschränkung» Daten auszuliefern, wenn die nationale Sicherheit der USA, das öffentliche Interesse oder die Durchführung amerikanischer Gesetzen dies erforderten.
Eine Regelung, die es den Behörden erlaube, generell auf den Inhalt elektronischer Kommunikationsmittel zuzugreifen, widerspreche dem Wesensgehalt des europäischen Grundrechts auf Achtung des Privatlebens, halten die Richter fest. Als rechtswidrig bemängelt das Gericht überdies, dass europäische Bürger laut der Safe-Harbor-Regelung keine Möglichkeit haben, sich in den USA Zugang zu ihren Daten zu verschaffen oder deren Löschung zu beantragen.
Wirtschaftliche Tragweite
Ähnlich hatte im September bereits ein Gutachter des EuGH argumentiert, dessen Empfehlungen die Richter nun in der Substanz gefolgt sind. Das Urteil ist einerseits eine Ohrfeige für die EU-Kommission, die derzeit mit den USA über eine Reform von Safe Harbor verhandelt. Andererseits stellt es auch die Geschäftsgrundlage von Facebook oder Amazon in Europa infrage, da diese nun in letzter Konsequenz die Daten europäischer Bürger auf eigenen Servern in der EU speichern oder rasch andere rechtliche Arrangements finden müssen, um europäisches Recht nicht zu brechen. Das Urteil dürfte insofern auch kleinere Online-Firmen treffen. Die Internet-Industrie hatte in den letzten Wochen eindringlich vor einer Fragmentierung des Internets und vor Einschränkungen des freien Datenflusses gewarnt.
Angesichts der wirtschaftlichen Tragweite des Falls hatte letzte Woche auch die amerikanische Regierung interveniert und erklärt, ein Urteil zur Annullierung von «Safe Harbor» würde das Vertrauen von Unternehmen und Staaten in Verträge mit der EU untergraben. Zudem seien Brüssel und Washington in intensiven Verhandlungen über eine Anpassung von Safe Harbor, um den Datenschutz zu verbessern. Diese Verhandlungen dürften nun komplizierter werden. Die EU-Kommission will am Nachmittag zum Urteil Stellung nehmen und über das weitere Vorgehen informieren. Eine Stellungnahme von Facebook lag zunächst noch nicht vor.
Sieg für Datenschützer
Für europäische Datenschutz-Aktivisten stellt das Urteil der bisher wichtigste Sieg im Kampf gegen die Aktivitäten der NSA dar. Ausgelöst hatte das Verfahren der österreichische Facebook-Kritiker Maximilian Schrems . Er klagte gegen Facebook, weil seiner Ansicht nach seine Facebook-Daten in den USA nicht vor staatlicher Überwachung durch die Geheimdienste geschützt sind.
Eine erste Beschwerde legte Schrems bei der irischen Datenschutzbehörde ein, da Facebook seinen europäischen Hauptsitz in Irland hat. Die Datenschutzbehörde wies die Beschwerde unter anderem mit der Begründung ab, dass die EU-Kommission mit der Safe-Harbor-Vereinbarung das Datenschutz-Niveau in den USA als angemessen eingestuft habe.
Irland muss Klage prüfen
Der irische High Court befasste in der Folge den EUGH mit dem Fall und wollte wissen, ob die Safe-Harbor-Entscheidung nationale Stellen daran hindere, Beschwerden wie jene von Schrems zu prüfen. Hierzu hält der EuGH in aller Deutlichkeit fest, dass eine simple Entscheidung der Kommission über das Datenschutz-Niveau in einem Drittstaat die Kompetenzen nationaler Datenschutzbehörden in keiner Weise beschränken könne.
Darum müssten die irischen Behörden nun Schrems Klage mit aller Sorgfalt prüfen, betont der EuGH. Sobald die Ermittlung abgeschlossen sei, müsse die irische Datenschutzbehörde dann entscheiden, ob die Übermittlung von Daten von Facebooks europäischen Kunden ausgesetzt werden sollte. Das EuGH-Urteil könnte nun eine Flut weiterer individueller Klagen gegen Internet-Unternehmen auslösen.
Ist das ein wichtiges Zeichen zum Schutz der Interessen europäischer Bürgerinnen und Bürger? Belasten solche "Alleingänge" des EuGH die europäisch-amerikanischen Beziehungen? Ist dies ein Durchbruch oder nur ein kleiner Schritt um die Ausspähung von Europäern durch amerikanische Geheimdienste wie die NSA zu beenden? Was wäre ggf. noch zu tun?