"Safe Harbour" vom EuGH für ungültig erklärt

06/10/2015

Am 06.10.2015 hat der EuGH das Urteil im Fall "Schrems gegen Facebook" gesprochen. Demnach sind die persönlichen Daten europäischer Internetnutzer nach Ansicht des EuGH in den USA nicht ausreichend vor dem Zugriff von Behörden geschützt. Aus diesem Grunde wurde die Vereinbarung zur vereinfachten Datenübermittlung und Datenüberlassung in die USA ("Safe Harbour") für ungültig erklärt.

Zur Vorgeschichte:

Im Jahr 2013 hat der österreichische Jusstudent Max Schrems Facebook wegen Verletzung des Datenschutzgesetzes in Irland geklagt. Er argumentierte, dass Facebook automatisch alle Daten in die USA unter Berufung auf das Safe Harbour-Regime übermittelte.

Nach Ansicht von Max Schrems verstößt es gegen EU-Recht, Daten ohne Prüfung durch nationale europäische Behörden, ob Facebook europäisches Datenschutzrecht in den USA einhält, dorthin zu übermitteln.

Der High Court of Ireland hat bereits Ende September 2014 festgestellt, dass diese Frage für die Auslegung des Unionsrechts relevant gewesen sei und hat daher ein Vorabentscheidungsverfahren beim EuGH eingeleitet, der den Fall zur Aktenzahl C-362/14 führte.

Entscheidungsinhaltlich war, ob das Safe Harbour-Regime mit EU-Recht im Einklang steht. Das Safe Harbour-Regime basiert auf einem Vertrag zwischen der EU und den USA, das eine Selbstzertifizierung der US-Unternehmen vorsieht. Alle Unternehmen, die in der Liste der US-Regierung als zertifiziert eingetragen waren, sollten so behandelt werden, als wären sie europäische Gesellschaften im Hinblick auf das Datenschutzrecht. Diese Zertifizierung war bis dato ein Garant dafür, dass das jeweilige Unternehmen europäische Datenschutzstandards einhält.

Am 06.10.2015 urteilte der EuGH, dass das Safe Harbour Abkommen zwischen den USA und der EU ungültig sei, weil US-Unternehmen keinen adäquaten Datenschutz bieten könnten. Seit den Enthüllungen von Edward Snowden gelten die US-Unternehmen nicht mehr als "sicherer Hafen" für die Daten europäischer Nutzer.

Weitreichende Konsequenzen

Die Entscheidung hat für Unternehmen in den USA und Europa weitreichende Konsequenzen. So ist ein Übermitteln oder Überlassen von Daten in die USA oder in Clouds von US-Unternehmen unter dem Safe Harbour-Regime nicht mehr möglich. Die US-Anbieter müssen sich nun einen Plan-B überlegen, um weiterhin für europäische Unternehmen tätig sein zu können.

Aber auch auf die europäische Cloud-Wirtschaft sind die Auswirkungen wahrscheinlich groß. Als vorläufige Konsequenz müsste ein österreichisches Unternehmen entweder Einzelpersonen um Zustimmung zur Datenweitergabe in die USA bitten, oder aber es müsste eine aufwändige Einzelfallprüfung durch die österreichische Datenschutzbehörde erfolgen, zum Beispiel, ob der Empfänger in den USA dem PRISM-Programm unterliegt oder nicht. Eine weitere Alternative ist der Abschluss von sog. "Standardvertragsklauseln", welche allerdings ebenfalls auf einer Entscheidung der EU-Kommission beruhen und nach dem nunmehrigen Urteil möglicherweise auch zu Fall gebracht werden könnten.

Es bleibt abzuwarten, wie die nationalen Datenschutzbehörden mit der vorliegenden Entscheidung umgehen werden. Voraussichtlich werden sie in naher Zukunft eine Veröffentlichung bzw. Empfehlung an die betroffenen Unternehmen richten, wie der nunmehr rechtswidrige Zustand der Datenweitergabe in die USA zu sanieren ist.

Autoren

Das Photo von Johannes Juranek
Johannes Juranek
Partner