Europäischer Gerichtshof kassiert Safe-Harbor-Abkommen

Der Gerichtshof der Europäischen Union (EuGH) hat das sogenannte Safe-Harbor-Abkommen zwischen der EU und den USA über die Übermittlung personenbezogener Daten von EU-Bürgern einkassiert. Konkret erklärt das Gericht die Entscheidung der EU-Kommission für ungültig, mit der sie festgestellt hat, dass die „Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten“.

In einer Pressemitteilung (PDF) wirft der EuGH der Kommission vor, sie hätte prüfen müssen, ob die USA tatsächlich ein „Schutzniveau der Grundrechte gewährleisten.“ Stattdessen habe sich die Kommission auf die Prüfung des Safe-Harbor-Abkommens beschränkt. Letzteres gelte aber nur für amerikanische Unternehmen, „nicht aber für die Behörden der Vereinigten Staaten.“

US-Unternehmen müssten sich indes den geltenden US-Gesetzen unterwerfen, die sie verpflichteten, die Safe-Harbor-Regelungen nicht anzuwenden, wenn sie US-Gesetzen widersprechen. Die EU habe aber weder einen gerichtlichen Rechtsschutz gegen behördliche Eingriffe festgestellt, noch Regeln, die solche Eingriffe begrenzen. Von daher erlaube die Safe-Harbor-Regelung Eingriffe amerikanischer Behörden in die Grundrechte von EU-Bürgern.

In ihrem Urteil berufen sich die Richter unter anderem auf zwei Mitteilungen der Kommission. Darin bestätige sie, dass die USA Daten von EU-Bürgern in einer Weise verarbeiteten, die „mit den Zielen der Übermittlung unvereinbar war und über das hinausging, was nach Ansicht der Kommission zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig gewesen wäre“. Außerdem gebe es für Betroffene keine „administrativen oder gerichtlichen Rechtsbehelfe“, um beispielsweise eine Berichtigung oder Löschung von Daten zu erwirken.

Darüber hinaus weist das Gericht darauf hin, dass das Safe-Harbor-Abkommen keine Bestimmungen enthält, die nationale Datenschutzbehörden hindert, die an Drittländer übermittelten Daten zu kontrollieren. Die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union verfügten, könne die EU-Kommission „weder beseitigen noch einschränken“. Die Ungültigkeit einer Entscheidung der Kommission könne allerdings nur der EuGH feststellen.

Ausgelöst hatte das Verfahren eine Beschwerde des österreichischen Juristen Max Schrems. Er behauptet, dass seine von Facebook auf US-Servern gespeicherten Daten dort vor einer Überwachung durch US-Behörden nicht ausreichend geschützt seien. In seiner Beschwerde bei der irischen Datenschutzbehörde, die jedoch keine Verstöße gegen Datenschutzgesetze feststellte, berief er sich unter anderem auf Unterlagen aus dem Fundus des Whistleblowers Edward Snowden. Der von ihm schließlich angerufene irische High Court wandte sich zur Klärung des Sachverhalts an den Europäischen Gerichtshof.

„Ich begrüße das Urteil sehr, das hoffentlich ein Meilenstein für die Privatsphäre im Internet ist“, heißt es in einer ersten Stellungnahme von Schrems (PDF). „Das Urteil zieht eine klare Linie. Es macht deutlich, dass Massenüberwachung unsere Grundrechte verletzt.“ Damit sei auch klar, dass US-Firmen, die die USA bei ihren Abhörprogrammen unterstützten, gegen europäische Grundrechte verstoßen.

Schrems lobt zudem die Stärkung der Befugnisse nationaler Datenschutzbehörden. Sie hätten nun das Recht, auch in Einzelfällen die Übertragung von Daten in die USA zu überprüfen.

Das Urteil sei aber auch ein Sieg über die irische Datenschutzbehörde, so Schrems weiter. Sie habe bis zum Schluss eine Bearbeitung seiner Beschwerde abgelehnt und seine Vorwürfe als „unseriös“ bezeichnet. „Die irische Behörde hat die Pflicht, ihrer Aufgabe nachzukommen und unsere Privatsphäre nach EU- und irischem Recht zu schützen.“

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.