Max Schrems vs. Facebook Was die Entscheidung des EuGH bedeutet

Der Österreicher Max Schrems brachte das Verfahren gegen Facebook ins Rollen.

(Foto: AFP)
  • Der Europäische Gerichtshof hat das sogenannte Safe-Harbor-Abkommen zwischen EU-Kommission und den USA gekippt.
  • Die Vereinbarung regelt die Übermittlung personenbezogener Daten - diese seien in den USA aber unzureichend vor dem Zugriff der Geheimdienste geschützt.
  • Mehr als 4 400 Unternehmen, darunter Facebook, Google, Amazon und Microsoft, dürfen europäische Nutzerdaten nun nicht mehr grundsätzlich in den USA speichern.
Von Simon Hurtz

Worüber hat der Europäische Gerichtshof (EuGH) heute entschieden?

Es ging um eine Klage des österreichischen Juristen Max Schrems. Er wollte nicht hinnehmen, dass Facebook persönliche Daten auf Servern in den USA speichert, wo sie nach Schrems' Meinung nur unzureichend vor dem Zugriff durch die NSA geschützt sind. Deshalb sollten die Richter in Luxemburg klären, ob sich der europäische Facebook-Ableger mit Sitz in Dublin an die EU-Grundrechtecharta zum Schutz personenbezogener Daten halten muss und womöglich europäisches Datenschutzrecht verletzt.

Wie haben die Richter geurteilt?

Der EuGH hat Irland die Übermittlung europäischer Nutzerdaten auf Server in den USA verboten. Die irischen Datenschutzbehörden müssen die Beschwerde von Max Schrems prüfen und dürfen sich nicht auf bestehende Verträge berufen, die den Datenaustausch angeblich erlauben.

EuGH erklärt Datenabkommen mit USA für ungültig

Im Streit zwischen dem österreichischen Datenschutz-Aktivisten Max Schrems und Facebook hat der EuGH entschieden: Das "Safe Harbor"-Abkommen ist ungültig, personenbezogene Daten dürfen nicht grundsätzlich an die USA übermittelt werden. mehr ...

Facebook selbst sieht sich unmittelbar nicht von dem EuGH-Urteil betroffen. Die Richter hätten nicht den Datenschutz von Facebook bemängelt, sondern eine grundlegende Entscheidung darüber gefällt, ob personenbezogene Daten in den USA ausreichend geschützt sind. "In diesem Verfahren ging es nicht um Facebook", betont ein Sprecher. "Der Generalanwalt selbst hat gesagt, dass Facebook nichts Falsches getan hat."

Warum ist das wichtig?

Das Urteil des EuGH könnte Auswirkungen haben, die deutlich über Facebook hinausgehen. Rund 4 400 US-Unternehmen speichern europäische Kundendaten in den Vereinigten Staaten. In seinem Schlussantrag hatte Generalanwalt Yves Bot die Meinung vertreten, dass US-amerikanische Geheimdienste wie die NSA nahezu uneingeschränkt auf Nutzerdaten zugreifen können, die Unternehmen auf dortigen Servern speichern.

Dieser Einschätzung hat sich der EuGH nun angeschlossen. Den Richtern zufolge bieten die USA kein ausreichendes Schutzniveau für die Daten europäischer Nutzer. Dementsprechend verliert das Safe-Harbor-Abkommen seine Gültigkeit. Für den Rechtsanwalt Marco Maurer hat die Entscheidung "zweifellos große Auswirkungen auf die Datenübermittlungspraxis international tätiger Unternehmen in die USA." Diese seien nun gezwungen, auf anderem Wege ein angemessenes Datenschutzniveau zu gewährleisten, sagt Maurer. Ähnlich sieht das sein Kollege Matthias Bergt. Unternehmen, die sich bisher auf Safe Harbor verlassen haben, müssten nun sofort alle Daten aus den USA zurückholen.

"Ein starkes Signal für mehr Datenschutz"

Bundesjustizminister Heiko Maas mit einer ersten Einschätzung nach dem EuGH-Urteil. mehr ...

Was ist das Safe-Harbor-Abkommen?

Das Safe-Harbor-Abkommen zwischen der EU und den USA erlaubt es europäischen Unternehmen und den europäischen Tochtergesellschaften amerikanischer Firmen, personenbezogene Daten in die Vereinigten Staaten zu übermitteln. Der EU-Datenschutzrichtlinie von 1995 zufolge dürfen personenbezogene Daten nur dann in andere Länder übermittelt werden, wenn die Informationen dort ausreichend geschützt werden. Es ist Aufgabe der EU-Kommission, darüber zu entscheiden, ob andere Länder dieses Schutzniveau garantieren können.

Im Jahre 2000 hat die EU im Zuge des Safe-Harbor-Abkommens die USA zu einem solchen "sicheren Hafen" erklärt. US-Unternehmen können sich demnach selbst bescheinigen, dass sie europäische Datenschutzbestimmungen erfüllen. Sie müssen dafür gegenüber der US-Handelskommission (FTC) einige Selbstverpflichtungen zum Datenschutz eingehen. Darunter fällt die Pflicht, Nutzer zu informieren, welche Daten sie zu welchem Zweck weitergeben, sie bei Weitergabe an Dritte zu informieren und ihnen das Recht einzuräumen, die gespeicherten Daten einzusehen und sie ergänzen oder löschen zu können.

Allerdings bestehen Zweifel, ob und inwieweit sich Konzerne wie Google, Microsoft, Facebook und Apple daran halten. Die Konzerne müssen keine Nachweise für diese Verpflichtungen erbringen, die EU selbst kontrolliert gar nicht, die FTC nur lax.

Welche wirtschaftlichen Konsequenzen hätte das Ende von Safe Harbor?

Unternehmen, die Nutzerdaten bislang auf Grundlage von Safe Harbor in die USA übermittelt haben, müssen nun auf andere Wege ausweichen. Als Alternative bringt Rechtsanwalt Marco Maurer einen Rückgriff auf die EU-Standardvertragsklauseln oder für internationale Großkonzerne die Einführung konzernweiter "Binding Corporate Rules" ins Spiel. Durch diese würden allerdings nur die Unternehmen in den USA, nicht aber die US-Überwachungsbehörden verpflichtet. Daher sei es zweifelhaft, ob das vom EuGH geforderte Schutzniveau allein durch solche Mittel erreicht werden könne.

Nach Einschätzung des Juristen Matthias Bergt könnten nun auch die EU-Standardvertragsklauseln grundrechtswidrig geworden sein. Der EuGH habe schließlich festgestellt, dass der faktisch unbeschränkten Zugriff US-amerikanischer Geheimdienste auf elektronische Kommunikation mit den europäischen Grundrechten nicht vereinbar ist. Weder Safe Harbor noch die Standardvertragsklauseln würden die Befugnisse der US-Behörden einschränken, dementsprechend seien beide ungültig.

Allerdings bestehe eine faktische Übergangsregelung, sagt Bergt: "Der EuGH hat auch entschieden, dass nur er selbst eine Entscheidung der EU-Kommission für ungültig erklären kann. Bis also ein entsprechendes Verfahren zum EuGH kommt, bleiben die Standardvertragsklauseln weiter gültig." Dessen ungeachtet sei es den nationalen Datenschutzbehörden möglich, die Standardvertragsklauseln als unwirksam anzusehen - auch hier erachte der EuGH die Kommissionsentscheidung nicht als bindend.

Andere Juristen vertreten die Einschätzung, dass Unternehmen die Nutzer ab sofort vorab in die Datenübermittlung einwilligen lassen und über den genauen Verwendungszweck und die Reichweite der Datenverarbeitung in Kenntnis setzen müssen. Sie seien nun verpflichtet, in ihren Geschäftsbedingungen darauf hinzuweisen, dass US-Geheimdienste auf gespeicherten Daten zugreifen können. Das ist aber heikel, da ihnen das US-amerikanische Recht verbietet, ihre Zusammenarbeit mit eben jenen Diensten offen zu legen. Möglicherweise könnte das bedeuten, dass Firmen wie Facebook, Google, Microsoft oder Amazon neue Rechenzentren in der EU aufbauen müssen, da sie die Daten nicht mehr in den USA speichern dürfen.