Datenschutz in der EU

EuGH-Urteil: Datenabkommen mit den USA ungültig

Daten von europäischen Nutzern, die US-Konzerne wie Facebook erheben, müssen künftig besser geschützt werden, entschied der EuGH. Ein Urteil mit weitreichenden Folgen. © Quelle: DAV

Der Europäische Gerichtshof (EuGH) entschied heute: Daten europäischer Facebook-Nutzer müssen besser geschützt werden und dürfen nicht grundsätzlich in die USA übermittelt werden. Damit ist ein zentrales Abkommen ungültig. Das Urteil hat Auswirkungen weit über Facebook hinaus.

Facebook sammelt millionenfach Daten von europäischen Nutzern und überträgt sie auf Server in den USA. Der einflussreiche Gutachter Yves Bot, der für das EuGH eine Einschätzung vorab lieferte, sah bereits die europäischen Nutzerdaten nicht ausreichend vor dem Zugriff der amerikanischen Geheimdienste geschützt.

Nun also beschäftigten sich auch die EuGH-Richter in Luxemburg mit der Frage, inwiefern sich der europäische Facebook-Ableger mit Sitz im irischen Dublin an die EU-Grundrechtecharta zum Schutz personenbezogener Daten halten muss. Und sie entschieden im Sinne des Gutachters: er muss, da andernfalls europäisches Datenschutzrecht verletzt werde (Az: C-362/14).

Dass der EuGH sich mit dieser Frage beschäftigte, geht auf ein irisches Gericht zurück, das vom höchsten europäischen Gericht wissen wollte, ob auch nationale Behörden prüfen dürfen, inwieweit der Datenschutz in den USA gewährleistet ist - oder ob sie an das so genannte Safe-Harbor-Abkommen gebunden sind.

Datenabkommen mit den USA für ungültig erklärt

Dieses Abkommen wurde nun für ungültig erklärt. Es bestand (unter anderem) zwischen der Europäischem Kommission und den USA und erlaubte es europäischen Tochtergesellschaften von amerikanischen Firmen, personenbezogene Daten in die USA zu übermitteln – zumindest dann, wenn diese auch ausreichend geschützt werden, also in Übereinstimmung mit der europäischen Datenschutzrichtlinie stehen.

Mit der Entscheidung der Europäischen Kommission im Jahr 2000, die USA als einen Safe Harbor, also sicheren Hafen, zu definieren, konnten US-Unternehmen sich bis jetzt selbst bescheinigen, die europäische Datenschutzrichtlinie zu erfüllen. Hierzu gingen sie eine Selbstverpflichtung zum Datenschutz ein – Nachweise darüber mussten amerikanische Konzerne aber nicht liefern. Daher bestand Zweifel daran, inwiefern sich betreffende Unternehmen auch daran halten.

Folgen des Urteils noch ungewiss

Das Urteil hat weitreichende Folgen – weit über Facebook hinaus. Denn ab sofort wird es für rund 4400 Unternehmen schwieriger, europäische Kundendaten in die USA zu übertragen und dort zu speichern.

Derzeit ist noch unklar, was das Urteil für die betroffenen Konzerne wie Google, Microsoft oder Facebook bedeutet; mit Sicherheit aber wird es künftig schwieriger, personenbezogene Daten in die USA zu übermitteln. Womöglich müssen die Unternehmen eigene Rechenzentren in der EU aufbauen.

In einer ersten Stellungnahme bezeichnete Bundesjustizminister Heiko Maas das Urteil als Signal für den Schutz der Grundrechte in Europa. „Das Urteil ist ein Auftrag an die Eurpäische Kommission, auch international für unsere Datenschutzstandards zu kämpfen.“ Nun müssten zügig die seit Jahren laufenden Verhandlungen über eine neue Datenschutz-Grundverordnung zu Ende geführt werden, so Maas am Dienstag.

Immer wieder gibt es rechtliche Fragen rund um die Datensammlungen großer amerikanischer Unternehmen. Oftmals gibt Kritik daran, wenn wieder einmal Nutzungsbedingungen geändert werden, denen Nutzer zustimmen müssen, um Dienste weiterhin nutzen zu können.