EuGH-Generalanwalt: Daten von Europäern in USA unsicher

Plädoyer zum Fall Facebook/Schrems: Server in den Vereinigten Staaten kein "sicherer Hafen" für EU-Bürger

Die heute veröffentlichten Schlussanträge des Generalanwalts des Gerichtshofs der Europäischen Union (EuGH) haben es in sich. Zwar ist er an eine Klage geknüpft, die sich am Datenschutz von europäischen Facebook-Nutzern aufhängt, aber die Sache ist weiter gespannt: Es geht generell um den Schutz personenbezogener Daten von Europäern im Falle ihrer Übermittlung an Server in die USA.

Anzeige

Sollten die EuGH-Richter der Auffassung des Generalanwalts Yves Bot folgen, dann, so die ersten Einschätzungen, könnte dies "massive Folgen für unzählige Internetdienste" haben).

"Die gesamte globale Datenwirtschaft würde umgekrempelt", schwant der FAZ. Nicht nur Facebook, auch Amazon, Apple, Ebay, Google, Twitter, Yahoo und über 4.000 andere amerikanische Unternehmen "dürften die Daten von EU-Bürgern nicht mehr nach Amerika weiterleiten und dort horten". Sie müssten in Europa Datenspeicher einrichten, wie es sie bislang noch nicht gebe.

Darüber hinaus würde eine richterliche Entscheidung des EuGH, die dem Plädoyer des Generalanwalts folgt, höchstwahrscheinlich auch Einfluss auf die Verhandlungen zwischen der EU und den USA zum Datenaustausch haben.

Im Zentrum der Entscheidung steht die Frage, wie es um das Schutzniveau von Daten in einem Drittland steht. Geklagt hatte Maximilian Schrems, ein österreichischer Jurist und Datenschutzexperte, gegen Facebook. Da Facebook, aus bekannten steuerlichen Gründen, seinen europäischen Hauptsitz in Irland hat, sind das Drittland die USA, wo Server von Facebook stehen.

Damit rückt dreierlei in den Fokus: Erstens, wie es um den Schutz der Daten in den USA bestellt ist, zweitens welche Kompetenzen nationale Datenschutzbehörden haben und drittens, damit direkt zusammenhängend, eine im Jahr 2000 zwischen der EU und den USA getroffene Vereinbarung, bekannt als "Safe Harbor"-Vereinbarung.

Was das Datenschutzniveau in den USA betrifft, so hat sich deren Wahrnehmung durch die Aufklärungsarbeit von Edward Snowden einiges verändert. Dafür hat der Generalanwalt deutliche Worte:

Der Generalanwalt ist (…) der Ansicht, dass der Zugang der amerikanischen Nachrichtendienste zu den übermittelten Daten einen Eingriff in das Recht auf Achtung des Privatlebens und in das Recht auf den Schutz personenbezogener Daten bedeutet.

Auch pocht er auf die Eigenständigkeit der nationalen Datenschutzbehörden gegenüber Vereinbarung über den "sicheren Hafen". Der irische High Court will in der Sache Schrems nämlich vom EuGH wissen, ob die Vereinbarung, getroffen von der EU-Kommission, "eine nationale Kontrollstelle" daran hindere, eine Beschwerde zu untersuchen, die geltend mache, dass das geforderte Datenschutzniveau im Drittland nicht gewährleistet ist. Die Schlussanträge des Generalanwalts nehmen dazu eindeutig Stellung.

Anzeige

Desgleichen bedeutet der Umstand, dass die Unionsbürger keine Möglichkeit haben, zur Frage des Abfangens und der Überwachung ihrer Daten in den Vereinigten Staaten gehört zu werden, einen Eingriff in das von der Charta geschützte Recht der Unionsbürger auf einen wirksamen Rechtsbehelf.

Er vertritt die Ansicht, dass " die Existenz einer Entscheidung der Kommission, mit der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet, die Befugnisse der nationalen Kontrollstellen nach der Richtlinie über die Verarbeitung personenbezogener Daten weder beseitigen noch auch nur verringern kann". (Hervorhebung d.A.)

Die Regelung über den sicheren Hafen in der Entscheidung der Kommission enthalten nach seiner Auffassung keine Garantien, "die geeignet sind, einen massiven und generalisierten Zugang zu den übermittelten Daten zu verhindern". Weiter heißt es in der Pressemitteilung.

Er ist außerdem der Ansicht, dass die Entscheidung der Kommission ungültig ist.

Ob aus alledem folgt, was eingangs an massiven Folgen für die US-Internetdienste angedeutet wurde, bleibt abzuwarten - davon abgesehen, dass das EuGH ja noch gar kein Urteil abgegeben hat. Das Blog "De lege data" gibt zu bedenken, "dass die Datenströme ja nicht aufhören zu fließen":

Man wird dann einfach eine Situation mit tausendfacher Rechtsverletzung kreieren. Die Unternehmen stehen natürlich zwischen zwei Stühlen. Verschiedenen, auf sie anwendbare Rechtsordnung. Auch wenn Safe Harbor fällt, werden Sicherheitsbehörden (im Übrigen nicht nur in Drittsaaten) auf Daten bei Unternehmen zugreifen. In diesem Zusammenhang sollte man sich auch einmal die Frage stellen, wie denn der Rechtsschutz und die Aufsicht über den Zugriff von Geheimdiensten bei uns in der EU ausgestaltet sind.

(Thomas Pany)

Anzeige