Der Gerichtshof der Europäischen Union (EuGH) hat mit Urteil vom 06.10.2015 entschieden, dass die USA kein sicherer Hafen für Daten von Europäern sind.
Das Urteil darf man getrost als “Paukenschlag” bezeichnen. Die Medien überschlugen sich mit Sensationsmeldungen. Laut Zeit Online habe der EuGH ein “Monster” geschaffen. Die FAZ spricht von einem “Datentsunami”.
Aber sind die Folgen wirklich so gravierend? Geht es jetzt für Facebook, Google und Co. ans Eingemachte oder müssen wir in Zukunft einfach nur einen Klick mehr machen und alles bleibt wie es ist?
Um das vorweg zu nehmen, wirklich seriös lässt sich diese Frage zum jetzigen Zeitpunkt noch nicht beantworten, was im Wesentlichen darin begründet liegt, dass zu viele noch ungeklärte Variablen in die Beurteilung einfliessen. So ist beispielsweise noch völlig unklar, ob und wie die Europäische Kommission auf das Urteil reagieren wird.
Um eine Prognose abgeben zu können, empfiehlt es sich daher, zunächst einmal das EuGH Urteil näher zu betrachten. Anders als es teilweise in den Medien -zumindest in den reißersichen Überschriften- verbreitet wurde, handelt es sich bei dem Urteil nicht um eine Entscheidung gegen Facebook. Tatsächlich war Facebook an dem Verfahren überhaupt nicht beteiligt.
Richtig ist, dass es um die Nutzung von Userdaten bei Facebook ging. Der österreichische Student Maximilian Schrems begehrte Auskunft, was mit seinen von Facebook gesammelten Daten in den USA geschieht. Richtigerweise forderte er diese Auskunft bei der für Facebook Europa zuständigen irischen Aufsichtsbehörde. Der dort zuständige Datenschutzbeauftragte wiederum verweigerte die Auskunft unter Berufung auf das so genannte “Safe Harbor” Abkommen. Dies wollte Schrems nicht hinnehmen und zog vor den EuGH.
Im Ergebnis sahen die Richter des EuGH die USA -spitzfindig formuliert- nicht mehr als sicheren Hafen für Daten von Europäern an. Hierbei wurden unter anderem die öffentlich gewordenen Praktiken der US Geheimdienste als Begründung angeführt.
Was sind nun die Konsequenzen?
Direkte Auswirkung hat die Entscheidung tatsächlich zunächst einmal nur auf die jeweiligen Aufsichtsbehörden. Der EuGH hat nun klar gestellt, dass diese nicht mehr unter Berufung auf das “Safe Harbor” Abkommen untätig bleiben dürfen. Vielmehr besteht nunmehr eine Verpflichtung, etwaigen Anfragen europäischer Bürger nachzugehen.
Dies wiederum wird zu noch unüberschaubaren Konsequenzen bei betroffenen Unternehmen führen, allen voran bei den Giganten Facebook und Google. Denn der Datentransfer in die USA kann für diese nicht mehr mit dem Safe-Harbor-Abkommen begründet werden. Welcher Weg nun hierfür beschritten wird, ist vollkommen offen. Milliarden Investitionen durch Bau von Servern in der EU durch US-Unternehmen dürften unwahrscheinlich sein.
Die Fachpresse diskutiert derzeit die drei Möglichkeiten, um die Datenverarbeitung durch US-Unternehmen datenschutzrechtskonform zu gestalten: Die Einwilligung der Betroffenen, EU-Standardvertragsklauseln oder so genannte Binding Corporate Rules.
In einem aktuellen Positionspapier des Unabhängigen Zentrums für Datenschutz (ULD) Schleswig Holstein vom 14.10.2015 verneinen die Datenschützer jedoch die oben skizzierten drei Möglichkeiten. Im Wesentlichen wird dies damit begründet, dass eine massenweise Überwachung durch Geheimdienste immer in die Grundrechte europäischer Bürger eingreife. Die Begründung des EuGH konsequent angewandt – und insoweit argumentiert das ULD korrekt – wäre ein Datentransfer in die USA aufgrund der US-Geheimdienstgesetzgebung stets rechtswidrig.
Doch das ist die einzige seriöse Prognose, die aktuell abgegeben werden kann:
Der Datenaustausch zwischen EU und USA wird nicht abgestellt werden. Das Internet ist nicht tot.
"Nach dem EuGH Urteil – “Safe Harbor” war gestern, was kommt jetzt?"