Was vor drei Jahren als Anreiten eines Österreichers gegen ein irisch-amerikanisches Windmühlenkonstrukt begann, fand am 6. Oktober in Luxemburg nun mit einem Urteil des Europäischen Gerichtshofs (EuGH) ein vorläufiges juristisches Ende. Dabei folgte der EuGH der Argumentation des Klägers und erklärte die „Safe-Harbor-Regelung“, mit der die EU-Kommission im Jahr 2000 die USA zum sicheren Hafen für personenbezogene Daten erklärte, für ungültig.

 

 

 

Die „Safe-Harbor-Richtlinie“ folgte einer Entscheidung des Europäischen Parlaments, die es amerikanischen Firmen ermöglichte, personenbezogene Daten europäischer Bürger auf Servern in den USA zu speichern. Dies wäre normalerweise nicht mit europäischem Recht vereinbar, da die Vereinigten Staaten zu den Ländern gehören, in denen persönliche Daten weniger vor dem Zugriff Dritter geschützt sind als in der EU. Da viele Firmen jedoch ihre Datenzentren gerade in den USA haben, konstruierte man mit der Richtlinie eine Ausnahmeregelung.

Der EuGH beanstandete nun, dass die Richtlinie europäischen Datenschutz außer Acht lässt. So wurde beispielsweise keine Regelung für europäische Bürger getroffen, rechtlichen oder administrativen Zugang zu den über sie gespeicherten Daten zu erlangen und sie gegebenenfalls zu berichtigen oder löschen zu lassen. Auch nationale Datenschutzbehörden bremste die „Safe-Harbor-Regelung“ aus.

Mit den Enthüllungen Edward Snowdens über die weitreichenden Überwachungsaktivitäten amerikanischer Geheimdienste 2013 wurde die Tragweite der Richtlinie für europäische Bürger erst wirklich sichtbar. Ohne Möglichkeit des Einspruchs wurden Datensätze in großem Stil von den amerikanischen Behörden abgegriffen, ausgewertet und auf unbestimmte Zeit gespeichert. Dies widerspricht europäischem Recht.

Das dachte sich auch der Salzburger Maximilian Schrems, der 2012 den „Verein zur Durchsetzung des Grundrechts auf Datenschutz ‚europe-v-facebook.org‘“ gründete. Mit diesem Verein legte er bei der irischen Datenschutzbehörde DPC Beschwerde gegen Facebook, das steuerbedingt seine europäische Niederlassung in Irland hat, ein. Gerade Facebook, das über einen riesige Mengen persönlicher Daten verfügt, gilt Datenschützern schon lange als rotes Tuch. Die Übertragung all dieser Daten in die USA entzieht sie effektiv dem Zugriff europäischer Datenschützer und setzt sie dem freien Zugriff der amerikanischen Geheimdienste aus.

Nach jahrelangem Hickhack ging die Beschwerde in eine Klage beim obersten irischen Gericht über. Das wiederum verwies sie 2014 an den EuGH mit dem Hinweis, dass europäisches Datenschutzrecht über dem nationalen irischen Recht stehe. Die erste Anhörung fand im März statt und im September stellte der zuständige Generalanwalt des EuGH, Yves Bot, fest, dass die EU die Sicherheit der Daten ihrer Bürger außerhalb ihrer Grenzen nicht effektiv gewährleisten kann. Die Richter des EuGH erklärten nun die gesamte „Safe-Harbor-Richtlinie“ für ungültig.

Von diesem Urteil sind grundsätzlich alle Firmen betroffen, die Daten europäischer Bürger in den USA speichern. Sowohl Facebook als auch Google, die bereits große Datenzentren in Europa besitzen, werden ihre Infrastruktur allerdings sehr viel einfacher anpassen können, als kleinere Firmen, die nur über amerikanische Rechenzentren verfügen. Zudem ist unklar, ob sich durch die Abschaffung der Richtlinie eine wirkliche Verbesserung der Datensicherheit einstellt. Datenschutz in einer globalisierten Welt mit datenhungrigen staatlichen Agenturen und mindestens ebenso interessierten Privatunternehmen bleibt ein fast aussichtsloses Unterfangen.

 

{flike}