Sag uns, was los ist:

  • 0Likes
  • 0Shares

Dämpfer für Facebook & Co.

EuGH kippt Datenschutzabkommen

(test) Das "Safe-Harbor"-Abkommen zwischen der USA und der EU ist ungültig. Das hat der Europäische Gerichtshof entschieden. Firmen wie Google und Facebook müssen mit Daten aus Europa nun anders umgehen. test.de sagt, was das Urteil des höchsten EU-Gerichts für Verbraucher bedeutet und wie man mithilfe eines Musterbriefes Auskunft über die Datenhaltung bekommen kann.*

Worüber hat der EuGH entschieden?

Spätestens seit der NSA-Spionageaffäre im Jahr 2013 stand die Frage im Raum: Sind europäische Daten in den USA noch sicher? Der Europäische Gerichtshof (EuGH) sagt "nein" und kippte heute Morgen das "Safe Harbor"-Abkommen zum Austausch von Daten zwischen den USA und der EU. Der EuGH kam zu dem Ergebnis, dass die persönlichen Daten europäischer Internetnutzer in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt sind. Damit ist das Datenschutzabkommen ungültig, Unternehmen wie Google, Facebook und Apple können sich darauf nicht mehr berufen.

Was steht im "Safe-Harbor"-Abkommen?

Die Vereinbarung regelte bisher, wie Internetunternehmen wie Facebook und Google personenbezogene Daten aus Europa in den USA verarbeiten dürfen. Sie mussten zusichern, die Daten ihrer europäischen Nutzer angemessen zu schützen. Nur dann durften sie die Daten "mitnehmen" und in den USA verwenden. Das Abkommen basierte auf einer Entscheidung der EU-Kommission aus dem Jahr 2000. Die Kommission nahm damals an, die USA würden einen ausreichenden Schutz für persönliche Daten bieten und die EU-Datenschutzrichtlinie von 1995 einhalten. Es ist Aufgabe der EU-Kommission, darüber zu entscheiden, ob andere Länder diesen Schutz garantieren können.

Wie kam es zu dem Gerichtsverfahren?

Verstoß gegen europäische Datenschutzregeln. Ob die USA tatsächlich ein "sicherer Hafen" für die europäischen Daten waren, daran zweifelten seit den Enthüllungen des Ex-Geheimdienstmitarbeiters Edward Snowden viele Datenschützer. Der Österreicher Max Schrems sah einen klaren Verstoß gegen alle europäischen Datenschutzregeln. Er brachte das Verfahren vor dem EuGH erst ins Rollen.

Mutmacher im Kampf gegen Facebook. Der Jurist Schrems beschwerte sich 2013 bei der irischen Datenschutzbehörde, dass die dort ansässige EU-Tochtergesellschaft von Facebook seine persönlichen Daten in die USA weiterleitet. Dort seien diese aber nicht vor staatlicher Überwachung geschützt, wie der NSA-Skandal gezeigt habe. Schrems" Ziel: die irische Behörde soll die Übermittlung seiner Daten durch den europäischen Facebook-Ableger in die Vereinigten Staaten unterbinden. Die irischen Datenschützer lehnten seine Beschwerde ab und verwiesen auf das "Safe-Harbor"-Abkommen. Das zuständige irische Gericht legte die Sache dem EuGH zur Prüfung vor.

Was bedeutet das Urteil für Unternehmen?

Das EuGH-Grundsatzurteil macht es amerikanischen Internetfirmen schwerer, Daten von Europäern in die USA zu übertragen und dort zu speichern. Das Urteil trifft aber auch deutsche Unternehmen, die personenbezogene Daten erheben und diese etwa an Dienstleister in den USA weiterleiten. Sie müssen nun neue Wege finden, einen besseren Datenschutz zu gewährleisten.

Was bedeutet das Urteil für Verbraucher?

Bürger der Europäischen Union können nun von nationalen Datenschutzbehörden und Gerichten den Schutz ihrer Daten bei Firmen wie Google, Facebook und Apple prüfen lassen. So muss sich die irische Datenschutzbehörde nun doch mit der Beschwerde von Max Schrems gegen Facebook beschäftigen und darf sich nicht mehr auf das "Safe-Harbor"-Abkommen berufen, das den Datenaustausch erlaubt hat. Nach der Entscheidung des EuGH kann die irische Behörde die Übermittlung europäischer Facebook-Daten auf Server in den USA verbieten.

Wie geht es jetzt weiter?

Nun sind die Datenschutzbehörden in den Mitgliedstaaten am Zug. Das Urteil hat ihre Kompetenzen gestärkt. Sie dürfen Beschwerden bearbeiten und in Einzelfällen prüfen, ob Datentransfers von Europa in die USA auszusetzen sind, weil dort kein angemessenes Schutzniveau für personenbezogene Daten besteht. Die EU und die USA müssen schnellstens neue Regelungen zur Übermittlung von Nutzerdaten finden, die den europäischen Datenschutzstandards gerecht werden. Seit 2013 führen Brüssel und Washington Verhandlungen über eine neue Vereinbarung. Die müssen sie jetzt zügig zum Abschluss bringen. Für die Zeit bis zu einer Einigung wird die Europäische Kommission "Leitlinien" für die nationalen Datenschutzbehörden veröffentlichen, erklärte Kommissionsvizepräsident Frans Timmermans nach Bekanntgabe des Urteils.

Was die Online-Firmen jetzt tun könnten

Unklar ist noch, wie Unternehmen wie Amazon, Google oder Microsoft auf das Urteil reagieren werden. Sicher ist: sie müssen reagieren. Denn sie sind nicht mehr automatisch durch "Safe Harbor" vor Überprüfungen durch nationale Datenschutzbehörden geschützt. Firmen könnten etwa ihre Server aus den USA nach Europa verlegen oder mit ihren Partnern in den Vereinigten Staaten verbindliche Vereinbarungen über den Datenschutz treffen. Denkbar ist auch, dass Unternehmen ihre Nutzer auffordern werden, in den Datentransfer und die Datenverarbeitung in Drittländern, wie den USA, einzuwilligen - beispielsweise per E-Mail, Mitteilungen oder Popups auf ihren Internetseiten. Die weitere Nutzung des jeweiligen Angebots würde dann von der Einwilligung abhängen. Wer das nicht möchte, muss also überlegen, ob er auf den jeweiligen Dienst verzichten und auf andere Anbieter in Deutschland und Europa ausweichen kann.

Ein Musterbrief für Kunden

Übrigens: Wer bei Facebook ist, hat dessen allgemeine Geschäftsbedingungen bereits anerkannt und sich damit einverstanden erklärt, dass persönliche Daten in die USA weitergeleitet und dort verarbeitet werden. Auf der Internetseite der Verbraucherzentrale Nordrhein-Westfalen finden verunsicherte Verbraucher einen Musterbrief (http://www.vz-nrw.de/mediabig/237185A.pdf), mit dem sie sich an Unternehmen wenden und fragen können, ob und welche Daten die jeweilige Firma von ihnen gespeichert hat und wo.

SCHLAGWORTE:
Ort
Veröffentlicht
30. Oktober 2015, 00:00
Autor