EuGH zu Safe Harbor: Kein Grundrechterabatt beim internationalen Datentransfer

Das Urteil des Europäischen Gerichtshofs (EuGH) in der Sache Schrems gegen den Irischen Datenschutzbeauftragten wirkt weit über den eigentlichen Streitgegenstand hinaus. Die Irische Datenschutzbebehörde muss der Frage nachgehen, ob Facebook Irland die personenbezogenen Daten seiner Nutzer in die Vereinigten Staaten weitergeben darf. Die Entscheidung betrifft auch die deutschen Facebook-Nutzer, denn Facebook Ireland ltd. mit Sitz in Dublin bietet seinen Service für die meisten Länder – mit Ausnahme Nordamerikas – rechtlich von Irland aus an. Deren Daten werden aber gleichwohl in den USA verarbeitet – im Wege der „Datenverarbeitung im Auftrag“.

Die für die Datenschutzkontrolle bei Facebook Irland zuständige Irische Datenschutzbeauftragte kann sich einer solchen Überprüfung nicht mit dem Hinweis darauf entziehen, dass die EU-Kommission  in ihrer „Safe Harbour“-Entscheidung vom 26. Juli 2000 den Vereinigten Staaten ein angemessenes Datenschutzniveau bescheinigt hat, jedenfalls soweit sich die Datenempfänger zu den „Grundsätzen eines sichern Hafens“ bekennen, wie dies seitdem mehr al 3000 US-Unternehmen getan haben.

Das höchste EU-Gericht hat festgestellt, dass die Safe-Harbour-Vereinbarung nicht den Anforderungen von Art. 7 und 8 der EU-Grundrechtecharta genügt, die die Grundrechte auf Datenschutz und Privatsphäre garantieren. Letztlich unbegrenzte Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten europäischer Herkunft verletzten den Kernbereich der Grundrechte. Ihre sehr weit gehenden Befugnisse widersprächen zudem den grundlegenden Anforderungen an ein rechtsstaatliches Verfahren, denn Betroffene EU-Bürger hätten keinen Anspruch darauf, in den USA Auskunft über die Datenverarbeitung staatlicher Stellen zu erlangen und die entsprechenden Zugriffe und die anschließende Datenverarbeitung gerichtlich überprüfen zu lassen. Das Safe Harbour Abkommen sei deshalb ungültig.

Für Facebook und die übrigen Unternehmen, die sich in den vermeintlich sicheren Hafen geflüchtet haben, bedeutet das Urteil zunächst, dass die Verarbeitung personenbezogener Daten, die aus der EU übermittelt wurden, nicht mehr der Vermutung unterliegen, sie würden in Übereinstimmung mit dem EU-Datenschutzrecht verarbeitet (Art. 25 der EU-Datenschutzrichtlinie von 1995). Sie benötigen für den Datentransfers grundsätzlich die Genehmigung durch die zuständigen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten. Die Datenschutzbehörden dürfen diese Genehmigung nur erteilen, wenn der Datenempfänger – bezogen auf die jeweiligen personenbezogenen Daten – ein angemessenes Datenschutzniveau gewährleistet. Dieser Nachweis dürfte insbesondere denjenigen Unternehmen schwer fallen, die an der Massenüberwachung durch US-Geheimdienste mitgewirkt haben.

Schwer vorstellbar ist, dass Facebook, Microsoft, Google & Co. einfach auf ein anderes Instrument „umschalten“ können, das die Angemessenheit des Datenschutzes garantieren soll, etwa auf die sog. „Standardvertragsklauseln„, die ebensowenig wie der „sichere Hafen“ vor staatlicher Überwachung schützen. Die vom EuGH formulierten Anforderungen sind auch auf sie anwendbar.

Auch die Änderung der Vertragsbestimmungen mit den Nutzern in der Weise, dass diese in die mögliche Überwachung durch die NSA und andere Behörden einwilligen, wäre keine Lösung. Zwar haben Betroffene grundsätzlich die Möglichkeit, in das Eingehen besonderer Risiken einzuwilligen, auch soweit diese den Umgang mit ihren Daten betreffen. Die Einwilligung kann jedoch nur dann eine wirksameRechtsgrundlage für die Verarbeitung personenbezogener Daten sein, wenn die Nutzer der Tragweite der Einwilligung bewusst sind (Transparenz), sie frei von jedem Zwang erfolgt (tatsächliche Freiwilligkeit) und sie jederzeit zurückgenommen werden kann.

Eine pauschale Einwilligung in umkfassende staatliche Überwachung durch einen Drittstaat, verbunden mit dem Verzicht auf Rechtsschutz und auf das nach EU-Recht unabdingbare Auskunftsrecht bezüglich der eigenen Daten wäre deshalb unwirksam.

Wie könnte also eine Lösung aussehen?

Kurzfristig müssen die betroffenen Unternehmen – sowohl die Absender als auch die Empfänger personenbezogener Daten – dafür sorgen, dass die ihnen anvertrauten Daten nicht weiter Gegenstand der Massenüberwachung sind: Durch Kryptographie, Standortenscheidungen für Server und anderer Netzkomponenten und ggf. durch Wechsel von Geschäftspartnern, etwa bei der Auftragsdatenverarbeitung oder bei der Erbringung sonstiger IT-Dienstleistungen.

Längerfristig besteht der einzige Weg darin, den in Art. 12 der UN-Menschenrechtserklärung, in der EU-Grundrechtecharta und in vielen Verfassungen demokratischer Staaten garantierten Grund- und Menschenrechte auf Privatsphäre und Datenschutz endlich global durchzusetzen. Die notwendigen Änderungen beschränken sich dabei nicht auf die Vereinigten Staaten, sie betreffen auch Europa. Auch hier folgen Geheimdienste der absurden Vorstellung, möglichst alles zu wissen und deshalb alles und jeden zu überwachen, um damit vermeintlich mehr Sicherheit zu schaffen (was bekanntlich nicht einmal in autoritären Regimes jemals geklappt hat).

Nicht ein angeblich „überzogener“ Datenschutz gefährdet den Welthandel und die Informationsgesellschaft, sondern überbordende Massenüberwachung!

Mit freundlichen Grüßen, Peter Schaar

Vgl. auch meinen Blog-Eintrag zum Votum des Generalanwalts