EuGH-Urteil Safe-Harbor-Abkommen zwischen EU und USA ungültig

Anbieter zum Thema

Der Europäische Gerichtshof (EuGH) hat das Safe-Harbor-Abkommen für ungültig erklärt. Bei der Übermittlung von personenbezogenen Daten von der EU in die USA darf nun kein hinreichendes Datenschutzniveau nach Safe-Harbor-Prinzip angenommen werden, konkrete Prüfungen und Vereinbarungen sind erforderlich.

Mit dem für ungültig erklärten Safe-Harbor-Abkommen fehlt ein essenzielles Puzzleteil für den rechtssicheren Datenverkehr in die USA.
Mit dem für ungültig erklärten Safe-Harbor-Abkommen fehlt ein essenzielles Puzzleteil für den rechtssicheren Datenverkehr in die USA.
(Bild: Archiv)

Viele haben das Urteil kommen sehen, trotzdem ist die Verunsicherung groß: Am 6. Oktober 2015 hat der Europäische Gerichtshof (EuGH) entschieden, dass das Safe-Harbor-Abkommen zwischen EU und USA ungültig ist.

Das Safe-Harbor-Abkommen war bisher eine wesentliche Rechtsgrundlage für die Übermittlung personenbezogener Daten europäischer Bürger durch Unternehmen aus Europa in die USA. Diese Rechtsgrundlage besteht nun nicht mehr. Der EuGH begründet seine Entscheidung damit, dass die EU-Kommission keine Kompetenz gehabt habe, die Befugnisse der nationalen Datenschutzbehörden durch das Abkommen zu beschränken.

Die Bundesdatenschutzbeauftragte Andrea Voßhoff begrüßte das Urteil: „Der Europäische Gerichtshof hat einmal mehr die überragende Bedeutung des Datenschutzes unterstrichen und der europäischen Grundrechtecharta Geltung verschafft. Die Entscheidung bedeutet ebenfalls eine erhebliche Stärkung der Befugnisse der europäischen Datenschutzbehörden als Wächter über die Datenschutzrechte der europäischen Bürger. Datenübermittlungen in die USA müssen von nun an im Lichte des Urteils betrachtet werden.“

Wesentlich für die Einschätzung, dass das Safe-Harbor-Abkommen keine tragfähige Grundlage für Datenübermittlungen von EU-Unternehmen in die USA ist, ist auch die Einschätzung des Gerichtes, dass die personenbezogenen Daten europäischer Nutzer in den USA nicht genügend geschützt seien vor dem Zugriff der US-Behörden.

Rechtssicherheit für Cloud Computing muss geschaffen werden

Eine direkte Konsequenz aus dem EuGH-Urteil: Nutzer von US-Clouds dürfen nicht mehr auf die Safe-Harbor-Erklärung des jeweiligen Anbieters vertrauen, das ein Datenschutzniveau bescheinigen sollte, das dem innerhalb der EU gleichkommt. Die deutschen Aufsichtsbehörden für den Datenschutz hatten bereits mehrfach darauf hingewiesen, dass Safe Harbor nach ihrer Einschätzung keinen ausreichenden Schutz für den Datentransfer in die USA bietet.

Die deutschen Datenschützer wiesen darauf hin, dass bei Übermittlungen in einen Staat, in dem europäisches Datenschutzrecht nicht direkt anwendbar ist, zumindest folgende Garantien für den Datenschutz gegeben sein müssen:

  • Die Zweckbindung der Daten ist grundsätzlich sicherzustellen.
  • Staatliche Zugriffsmöglichkeiten müssen auf ein angemessenes und grundrechtskonformes Maß begrenzt bleiben.
  • Den Betroffenen ist ein effektiver Anspruch auf Auskunft und auf Berichtigung bzw. Löschung falscher bzw. unzulässig gespeicherter Daten zu gewähren.
  • Bei Verstößen bedarf es eines effektiven Rechtsschutzes.
  • Formelle und sprachliche Barrieren dürfen nicht dazu führen, dass die Betroffenen ihre Rechte nicht wahrnehmen können.

Ohne Safe-Harbor-Abkommen als Rechtsgrundlage können Datenübermittlungen in die USA gegenwärtig auf Basis von auf EU-Ebene frei gegebenen Standardvertragsklauseln, auf der Grundlage der so genannten Corporate Binding Rules sowie nach Einwilligung der Nutzer in die Datenübermittlung durchgeführt werden.

Was nach Safe Harbor kommen muss

Die EU-Kommission müsse nun in den laufenden Verhandlungen über ein neues Abkommen sicherstellen, dass US-Unternehmen europäische Datenschutzstandards einhalten und persönliche Daten vor dem Zugriff der Geheimdienste schützen, so der Verbraucherzentrale Bundesverband (vzbv).

„Wir fordern, dass Unternehmen künftig von einer unabhängigen Instanz zertifiziert werden, bevor sie Daten in die USA übermitteln dürfen“, so vzbv-Vorstand Klaus Müller. „Es reicht nicht, wenn Unternehmen sich ohne Prüfung in eine Liste eintragen lassen und dann nichts mehr kontrolliert wird. Eine effektive Kontrolle, zum Beispiel durch die europäischen Datenschutzbehörden, ist unerlässlich.“

Oliver Süme, eco Vorstand Politik & Recht, weist auf die entstehende Verunsicherung hin: „Der Fall des Safe Harbor Abkommens bedeutet für viele Unternehmen eine erhebliche Rechtsunsicherheit. Bundesregierung und Europäische Union müssen jetzt schnellstmöglich eine neue Regelung finden, die unseren hohen Datenschutzstandards genügt und gleichzeitig eine praktikable Lösung für die Unternehmen schafft."

„Die Digitalwirtschaft braucht international einheitliche Regelungen zum Datenschutz auf hohem Niveau “, so die Geschäftsleiterin des Digitalverbands Bitkom, Susanne Dehmel. „Tausende von Unternehmen haben ihre Datenübermittlungen zwischen Deutschland und den USA bisher auf Safe Harbor gestützt. Die Unternehmen brauchen jetzt schnellstmöglich Rechtssicherheit. Sie müssen wissen, auf welche rechtliche Grundlagen sie zukünftig bauen können und wie viel Zeit sie für die Umstellung auf andere Rechtsgrundlagen haben.“

* Oliver Schonschek ist IT-Fachjournalist und IT-Analyst in Bad Ems.

(ID:43640144)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung