EuGH erklärt Datenabkommen mit USA für ungültig

Nach einem bahnbrechenden Urteil wird die Übermittlung persönlicher Daten europäischer Internet-Nutzer in die USA schwieriger. Der Europäische Gerichtshof (EuGH) erklärte die 15 Jahre alte Vereinbarung zur unkomplizierten Datenübertragung («Safe Harbor») für ungültig.

Die Informationen seien in den USA nicht ausreichend vor dem Zugriff von Behörden und Geheimdiensten geschützt, das verletze die Rechte der Europäer, urteilten die Richter in Luxemburg. (Rechtssache C-362/14).

Die Entscheidung hat eine weitreichende Bedeutung für die Internet-Wirtschaft. Vor allem kleinere Unternehmen verließen sich bisher darauf, dass Datenübermittlung in die USA unbedenklich ist. Ohne «Safe Harbor» müsste jede Firma selber dafür Sorgen, dass der rechtliche Rahmen nach der Datenschutz-Grundverordnung eingehalten wird. Das kann zusätzliche Verträge und Aufwand für Anwälte bedeuten. Betroffen sind gleichermaßen deutsche und amerikanische Unternehmen, die Daten in die USA fließen lassen.

In dem Verfahren wollte ein irisches Gericht wissen, ob nationale Behörden das Datenschutzniveau in den USA auch selbst prüfen können, oder ob sie an das europäisch-amerikanische Abkommen gebunden sind. Die Vereinbarung soll europäische Datenschutzstandards garantieren, auch in den USA. Allerdings müssen US-Firmen sich lediglich registrieren lassen und sich dazu verpflichten, bestimmte Prinzipien einzuhalten.

Die Luxemburger Richter bestätigten ausdrücklich, dass Betroffene das Recht haben, die nationalen Gerichte anzurufen. Nationale Datenschutzbehörden dürften prüfen, ob die Daten einer Person entsprechend geschützt seien.

Doch die Richter gingen noch weiter: Nach Ansicht des Gerichts bietet das - als wirtschaftsfreundlich bekannte - «Safe Harbor»-Abkommen keine ausreichende Basis für eine Datenübermittlung. Das Gericht erklärte die Einschätzung der EU-Kommission, wonach die USA ein angemessenes Schutzniveau von übermittelten personenbezogenen Daten gewährleisten, für ungültig. In den USA hätten Überlegungen nationaler Sicherheit Vorrang vor den Personenrechten und die Europäer könnten nicht dagegen vorgehen. «Die EU-Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu beschränken», kritisierten die Richter.

Das Urteil ist ein juristischer Erfolg für den österreichischen Facebook-Kritiker Max Schrems, der das Verfahren ausgelöst hatte. Nun ist der Weg frei, dass seine Beschwerde auch geprüft wird. Schrems klagt gegen das weltgrößte Online-Netzwerk Facebook, weil seiner Ansicht nach seine Facebook-Daten in den USA nicht vor staatlicher Überwachung etwa durch die Geheimdienste geschützt sind. Zur Begründung verwies er auf den NSA-Skandal.

In Irland, dem Europa-Sitz von Facebook, liegen zahlreiche Datenschutzbeschwerden vor. Diese müssen nun genau geprüft werden, mahnen die Luxemburger Richter und schreiben vor, «dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen» muss. Sie könnten die Übermittlung europäischer Facebook-Daten auf Server in die USA verbieten, «weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet».

Bundesjustizminister Heiko Maas (SPD) sieht das Urteil als Signal für den Schutz der Grundrechte in Europa. Mit den USA müsse nun unverzüglich über die Folgen des Urteils gesprochen werden. «Das Urteil ist ein Auftrag an die Europäische Kommission, auch international für unsere Datenschutzstandards zu kämpfen.»