Bereits seit Mitte 2014 beschäftigt sich der Europäische Gerichtshof (EuGH) mit der Frage ob Daten von EU-Bürgern auf Servern in den USA sicher sind.
Hintergrund
Der österreichische Datenschutzaktivist Max Schrems hatte im April 2014 die irische Datenschutzaufsichtsbehörde aufgefordert, Facebook Irland die Übermittlung von personenbezogenen Daten an Facebook Inc. in den USA zu untersagen. Die irische Aufsichtsbehörde kam der Aufforderung Schrems mit der Begründung, dass Facebook Safe Harbor „zertifiziert“ sei, nicht nach. Dennoch rief sie den EuGH an, um klären zu lassen, ob die Safe Harbor Regelungen aufgrund der bekanntgewordenen Datenschutzlücken in den USA, Stichwirt PRISM, noch zulässig seien.
Heute nun wurden in Luxembourg vor dem EuGH die Schlussanträge verkündet. Generalanwalt Yves Bot kam in seinem Antrag zu dem Schluss, dass die Daten von EU-Bürgern auf Servern in den USA keinesfalls in einem „sicheren Hafen“ ruhen.
Was nun?
Sollten die Richter der Einschätzung von Generalanwalt Bot nachkommen, dürften Konzerne wie Facebook, Google, Amazon etc. nicht mehr einfach personenbezogene Daten von EU-Bürgern auf Servern in den USA mit der Begründung, sie seien Safe Harbor zertifiziert, speichern.
Die Auswirkungen wären aber noch weitreichender: Amerikanische Unternehmen, die Niederlassungen innerhalb der EU unterhalten und Übertragung von Kunden- und Mitarbeiterdaten zur Konzernmutter veranlassen, dürften diese, mangels adäquatem Datenschutzniveau in den USA, nicht mehr durchführen. Das Ausmaß der hieraus resultierenden Folgen wäre immens.
Safe Harbor – kurz und bündig
Die vor 15 Jahren ergangene „Safe Harbor Entscheidung“ der Europäischen Kommission ermöglicht es europäischen Unternehmen bisher, personenbezogene Daten legal an Unternehmen in den USA zu übermitteln, obwohl in den USA per se kein angemessenes Datenschutzniveau gegeben ist. Eine Datenübermittlung in die USA ist gemäß Art. 25 der Europäischen Datenschutzrichtlinie grundsätzlich unzulässig (vgl. hier). Unterwerfen sich US-Amerikanische Unternehmen allerdings den vom US-Handelsministerium aufgestellten „Grundsätzen des ‚sicheren Hafens‘ zum Datenschutz“ und den zugehörigen FAQs, ist eine gesetzeskonforme Übermittlung zurzeit noch möglich.
Generalanwalt Bot machte deutlich, dass nicht von einem Schutz der Privatsphäre in den USA ausgegangen werden könnte, da die NSA Zugriff die bei Facebook und Co. gespeicherten Daten erlangen könnte. Somit sei die Sicherstellung des in Artikel 8 der EU-Grundrechte-Charta verbrieften Rechts eines jeden Einzelnen zum Schutz seiner ihn betreffenden personenbezogenen Daten nicht gewährleistet. Das Gericht ist zwar nicht an den Schlussantrag gebunden, dieser hat aber Indizwirkung: Nur selten weichen die Richter davon grundlegend ab.