Dieser Browser wird nicht mehr unterstützt

Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.

Das Ende von "Safe Harbour" und seine Folgen

imago stock&people
  • Drucken

Die USA sind kein sicherer Hafen für Daten von EU-Bürgern mehr. Doch das bedeutet nicht, dass Firmen diese nicht weiterhin in die USA übertragen können.

Die Entscheidung des Europäischen Gerichtshofs kann bereits jetzt als historisch angesehen werden. Weniger wegen der zu erwartenden Konsequenzen, sondern vielmehr, weil ein junger Mann sich mit einem Nein nicht zufrieden geben wollte und für seine Privatsphäre bereit war bis zum EuGH zu gehen: Seit 2008 ist Max Schrems selbst aktiver Facebook-Nutzer. Doch nach dem Bekanntwerden der massiven Überwachung durch die NSA wollte er genauer darüber Bescheid wissen, welche privaten Daten in die USA wandern. Dafür reichte er 2013 Beschwerde bei der irischen Datenschutzbehörde in Irland ein, wo Facebook seinen europäischen Hauptsitz hat.

Die irische Datenschutzbehörde (DPC) sah sich für den Fall nicht zuständig und bezeichnete die Beschwerde als "albern und lästig". Zudem erklärte man, dass man an die Safe-Harbour-Bestimmungen gebunden sei und auch die Snowden-Enthüllungen nichts daran ändern würden. Die vorsitzenden Richter teilen die Ansichten von Max Schrems und befanden die Anfrage legitim. Das zugrunde liegende Abkommen "Safe Harbour" wurde nun vom EuGH für ungültig erklärt. Kurz- und mittelfristig werden Nutzer diese Änderung aber nicht zu spüren bekommen. Unternehmen hingegen sehen sich mit einer Reihe an neuen Herausforderungen konfrontiert.

"Die Presse" beantwortet die wichtigsten Fragen zum Urteil:

Was ist "Safe Harbour"?

Das 2000 geschlossene Abkommen "Safe Harbour" sollte dazu dienen, um den Internet-Verkehr mit Amerika nicht zu gefährden. Da die USA und die EU nicht das gleiche Datenschutz-Niveau haben, wollte man mit "Safe Harbour" für die nötige Sicherheit sorgen. Dafür mussten sich US-Unternehmen bislang lediglich bei der FTC, der amerikanischen Handelskommission, eintragen. Laut aktuellen Zahlen sind über 4400 Unternehmen in dieser Liste eingetragen.

Gibt es Kontrollen, wer auf diese Liste kommt?

Nein. In den USA gibt es keine unabhängige Behörde, die eingetragene Unternehmen auf ihre Datenschutzbestimmungen überprüft.

Was bedeutet das Urteil?

In erster Linie bedeutet es, dass die irische Datenschutzbehörde nun sehr wohl die Beschwerde von Max Schrems überprüfen muss. Sollte der Beauftragte zu dem Schluss kommen, dass das Datenschutzniveau in den USA nicht ausreichend ist, könnte ein Datentransfer  verboten werden.

Warum wollen Facebook, Apple und die über 4400 eingetragenen Unternehmen überhaupt die Daten von EU-Nutzern in die USA bringen?

Jeder, der sich im Internet bewegt, hinterlässt Spuren in Form von Daten. Sobald man auf Facebook eine Seite mit "Gefällt mir" markiert, oder auf Amazon nach gewissen Produkten sucht, wird dieses Verhalten zur Analyse und Erstellung von personalisierter Werbung genutzt. Facebook verdient sein Geld vor allem mit den Daten zu Vorlieben und Interessen ihrer über 1,4 Milliarden Nutzer.

Damit aber Profile erstellt werden können, müssen diese Daten erst gespeichert werden und Algorithmen für die Analyse durchlaufen. Diese ebenfalls intensiven Datenmengen sind meist zentral gespeichert - gewöhnlich am Hauptsitz des Unternehmens.

Worin besteht das Problem?

Unternehmen, die vor allem durch Werbung ihr Geld verdienen (Facebook, Google, Amazon) sind natürlich daran interessiert so viele Daten wie möglich zu sammeln. Und damit haben sie etwas mit der US-Regierung gemeinsam. Durch den 2001 beschlossenen Patriot Act können NSA, CIA und FBI beinahe uneingeschränkt Zugang zu diesen privaten Daten erhalten. Die Daten unterliegen im Gegensatz zu den europäischen Bestimmungen keinem Schutz. Dies aber widerspricht dem EU-Grundrecht auf Achtung des Privatlebens sowie dem Grundrecht auf Rechtschutz.

Besteht die Möglichkeit, dass Facebook in Europa nicht mehr verfügbar sein wird?

In erster Linie geht es nicht nur um Facebook, sondern auch um andere Unternehmen wie Google, Apple, Amazon und viele andere. Das Urteil ist auf den ersten Blick positiv. Denn es ebnet den Weg für einen besseren und ausgefeilteren Datenschutz über die Ländergrenzen hinaus. Das obliegt jetzt aber der Europäischen Kommission, welche seit nunmehr über zwei Jahren mit den USA an der Ausarbeitung eines neuen Abkommens arbeitet. Die veränderten Bedingungen werfen die beiden Parteien jetzt wieder zurück an den Anfang, da sich die Vertragsbedingungen maßgeblich verändert haben.

Für den Nutzer bedeutet es in diesem Fall mehr Datenschutz, mehr Kontrolle über die eigenen Daten und mehr Rechtssicherheit. Es kann aber auch bedeuten, dass gewisse Funktionen aufgrund der Bestimmungen in Europa nicht zugänglich sein werden. Dafür gibt es auch bereits jetzt aktuelle Fälle: Zum Beispiel ist Googles Street View nicht in gleichem Ausmaß wie in den USA verfügbar.

Ist der Datenverkehr zwischen US-Unternehmen und den europäischen Niederlassungen ab sofort eingestellt?

Nein, denn das 1995 beschlossene Gesetz zur Datenschutz-Grundversorgung ist nach wie vor gültig. Dieses sieht verschiedene Wege vor, wie personenbezogene Informationen übermittelt werden können.

Was bedeutet das jetzt konkret für Unternehmen?

Für Unternehmen und hier insbesonders für kleine Unternehmen hat das Urteil massive Auswirkungen. Das Aus von "Safe Harbour" bedeutet in erster Linie einen massiven Verwaltungsaufwand. Bislang musste man sich nur in eine Liste eintragen und es war erledigt. Nun müssen aber die Verträge entsprechend adaptiert werden, was immense Kosten nach sich zieht. Vor allem für kleinere Unternehmen kann das das Ende bedeuten. Für Facebook, Amazon, Google, Apple und andere Größen hingegen werden die zuständigen Rechtsabteilungen alsbald einen Weg finden, diese Hürde zu umschiffen. Die Datenübermittlung in die USA wird durch den aktuellen Rechtsspruch kein Ende finden.