Schnellauswahl

Datenschutz: Was bringt das Ende von Safe Harbor?

Er hat viel bewegt. Der Datenschutzexperte Max Schrems brachte die Facebook-Causa vor den Gerichtshof der EU.
Er hat viel bewegt. Der Datenschutzexperte Max Schrems brachte die Facebook-Causa vor den Gerichtshof der EU.(c) APA/GEORG HOCHMUTH (GEORG HOCHMUTH)

Nächste Woche entscheidet der EuGH über die Causa Max Schrems gegen Facebook. Seine Entscheidung hat für viele europäische Unternehmen weitreichende Folgen.

Wien. Vergangene Woche konnte der Begründer der Initiative Europe vs Facebook, Max Schrems, vor dem Gerichtshof der EU (EuGH) einen ersten Erfolg erringen. Der Österreicher hatte bei dem Rechtsstreit (C-362/14) gegen die Übermittlung seiner Facebook-Daten an die USA geklagt. Der EuGH-Generalanwalt Yves Bot erklärte nun in seinen Schlussanträgen, dass er das Safe-Harbor-Abkommen der Europäischen Kommission mit den USA über ein angemessenes Datenschutzniveau für nicht bindend, wenn nicht sogar für ungültig hält.

Das Abkommen hindere die nationalen Behörden überdies nicht, im Einzelfall zu untersuchen, ob ein angemessenes Datenschutzniveau in den USA gegeben sei. Bot begründet seinen Standpunkt damit, dass die US-Behörden ihre Zugriffsrechte auf Daten im Safe Harbor sehr weit auslegten und Betroffene in den USA nur mit mangelndem Rechtsschutz rechnen könnten. Die Ausführungen des Generalanwalts sind für den EuGH nicht bindend. In der Regel folgt er jedoch seiner Meinung. Sein Urteil wird der EuGH bereits am 6. Oktober fällen. Folgt er Bots Meinung, hat das für alle europäischen Unternehmen, die Daten in die USA transferieren, weitreichende Auswirkungen. „Jeder geschäftliche Transfer würde künftig der Genehmigung einer nationalen Behörde unterliegen. In Österreich müsste also die Datenschutzbehörde (DSB) über jeden einzelnen Antrag gesondert entscheiden“, sagt ihr stellvertretender Leiter, Matthias Schmidl.

 

„Eingriffe sind massiv“

Derzeit ist das nicht so. Prinzipiell bedürfen Datenübermittlungen von österreichischen Unternehmen an Empfänger außerhalb des EWR-Raums einer Vorabgenehmigung durch die DSB. „Diese Verfahren sind jedoch oft langwierig und nehmen in Einzelfällen mehrere Jahre in Anspruch“, erklärt Freshfields-Rechtsanwalt Bertram Burtscher. „Die USA verfügen über keinen den strengen EU-Standards entsprechenden Datenschutz. Um zu vermeiden, dass der Datenverkehr mit den USA zum Erliegen kommt, hat die Europäische Kommission im Jahr 2000 Folgendes entschieden: US-Unternehmen, die sich durch Registrierung beim US-Handelsministerium den mit der EU verhandelten Safe Harbor Principles unterwerfen, sind als sicher einzustufen. In Österreich bedürfen Datentransfers an Safe-Harbor-zertifizierte US-Unternehmen also keiner Vorabgenehmigung der DSB.

Bot scheint diese Art der Freizeichnung nicht zu überzeugen. Er hält Eingriffe in den Schutz personenbezogener Daten in den USA für unverhältnismäßig, zumal die Überwachung seitens der amerikanischen Nachrichtendienste „massiv und nicht zielgerichtet“ sei.

Burtscher ist das zu pauschal: Das Safe-Harbor-Abkommen sei ein vernünftiges Instrument, um notwendige und sinnvolle Datentransfers zwischen den USA und den Mitgliedstaaten der EU zu ermöglichen. „Angesichts der Ereignisse rund um Facebook könnte man hingegen den Eindruck gewinnen, das Safe-Harbor-Abkommen diene geradezu der Aufweichung des Datenschutzes beim Datenaustausch mit den USA. Das ist unrichtig.“ Viele der in der Öffentlichkeit heftig diskutierten Verstöße, wie etwa der NSA, seien im täglichen Unternehmenskontext nicht relevant. „Man kann über die Anpassung der Safe-Harbor-Grundsätze des US-Handelsministeriums diskutieren. Die aktuelle Forderung, das Abkommen auszusetzen oder es gar abzuschaffen, ist aber überschießend und für viele österreichische Unternehmen ein großes Problem.“

Er gibt zu bedenken, dass vor allem im Bereich der sozialen Medien wie Facebook die Datenfreigabe freiwillig ist und dass viele Möglichkeiten der Selbstkontrolle bestünden. „Vielleicht sollte die Frage der Mündigkeit und Eigenverantwortung der Nutzer stärker in den Vordergrund treten, statt wichtige und bewährte Möglichkeiten des Datenaustausches in Unternehmen und Konzernen pauschal zu torpedieren. Die aktuelle Diskussion um Safe Harbor erscheint dagegen plakativ und etwas sensationslüstern, ohne ein sinnvolles Konzept und pragmatische Lösungen für die Wirtschaft und für die Betroffenen erkennen zu lassen.“

 

Mit Antragsflut ist zu rechnen

Auch bei der DSB erwartet man schon mit Spannung die Entscheidung des EuGH. Mit wie vielen Anträgen die Behörde auf einmal zu rechnen hätte, wenn es kein Safe-Harbor-Abkommen mehr gibt, kann Schmidl jetzt noch nicht abschätzen: „Wir haben keine Zahlen. Sollte der Fall eintreten, müssen wir Vorkehrungen treffen, um mit der Bewältigung aller Anträge zurechtzukommen.“ Nach dem Datenschutzgesetz (DSG) hat die DSB innerhalb von sechs Monaten über Anträge zu entscheiden. „Sofern alle Unterlagen vollständig vorliegen, brauchen wir dafür allerdings nur wenige Wochen“, so Schmidl. Dass es länger dauern könnte, wenn sich der EuGH der Meinung von Bot anschließt, kann der Jurist freilich nicht ausschließen.

Lange Wartezeiten hin oder her – von einem ist dringend abzuraten: Datentransfers an Unternehmen, die nach Safe Harbor zertifiziert sind, nach dem Fall des Abkommens einfach ohne Genehmigung fortzusetzen: „Ein solches Vorgehen wäre unmittelbar gesetzwidrig. Ein (noch) nicht genehmigter Datentransfer in die USA ist sofort und bis zur Erlangung der Genehmigung einzustellen“, sagt Burtscher. Entscheidet sich ein Unternehmen trotzdem dazu, muss es nach § 52 des Datenschutzgesetzes mit einer Strafe von bis zu 10.000 Euro pro Verstoß rechnen. Detail am Rande: Unklar ist, ob diese Sanktion pro nicht genehmigter Datenanwendung oder pro Datensatz verhängt werden kann. Entscheidet sich die Rechtsprechung für letztere Variante, würden die Strafgelder drastisch in die Höhe schießen.

AUF EINEN BLICK

US-Unternehmen, die sich durch Registrierung beim US-Handelsministerium den Safe Harbor Principles unterwerfen, sind als sicher einzustufen. EU-Unternehmen brauchen bei Datentransfers mit solchen US-Unternehmen keine gesonderte Bewilligung. Am 6. Oktober entscheidet nun der EuGH, ob das Safe-Harbor-Abkommen fällt.

("Die Presse", Print-Ausgabe, 01.10.2015)