Am heutigen Dienstagmorgen hat der Europäische Gerichtshof sein Urteil in Sachen Safe Harbor gesprochen: Safe Harbor ist ungültig!

Die Safe-Harbor-Entscheidung der EU-Kommission autorisierte die Übertragung personenbezogener Daten an Unternehmen in den USA, indem davon ausgegangen wird, dass die US-Firmen gleichwertige Datenschutzstandards gewähren wie sie auch innerhalb der EU herrschen. Dass die USA das nicht einmal gewährleisten wollen, haben uns die Snowden-Enthüllungen deutlich gezeigt und der Ruf nach der Aufhebung von Safe Harbor wurde in den letzten Jahren an mehreren Stellen laut, etwa bei den Datenschutzbeauftragten oder den EU-Parlamentariern. Schon seiner Form nach war Safe Harbor ungeeignet, um wirklichen Datenschutz zu bieten, denn ein Unternehmen muss sich Safe Harbor lediglich anschließen, um Daten aus der EU verarbeiten zu dürfen. Wirksame Aufsicht existiert nicht, aktuell stehen etwa 5500 US-Unternehmen auf der Safe-Harbor-Liste, dabei natürlich alle großen Datenverarbeiter die wir kennen – Apple, Google, Microsoft, Facebook, …

Die Klage ging von Max Schrems mit seiner Initiative europe-v-facebook.org aus. 2013 hatte er sich bei der irischen Datenschutzbehörde beschwert, dass seine Daten bei Facebook in den USA nicht „angemessen geschützt“ sein könnten, solange es dort ungehinderte staatliche Massenüberwachung gibt. Er hatte bereits Ende September einen Teilsieg errungen, als der Generalanwalt des EuGH Yves Bot verkündete, er folge ebenso der Auffassung, Safe Harbor sei ungültig und nicht bindend. Die EU-Kommission dürfe die Befugnisse der nationalen Datenschutzkontrollbehörden nicht einschränken, wenn es um den Schutz von Grundrechten geht. Er begründete seine Meinung vor allem damit, dass durch das Agieren der US-Nachrichtendienste, wie es sich etwa im Prism-Überwachungsprogramm zeigte, kein angemessenes Schutzniveau existieren könne, das Recht auf Privatsphäre und Datenschutz kann so nicht geachtet werden. Denn die US-Dienste greifen weitestgehend unkontrolliert auf die Daten von US-Firmen zu:

Der Zugang zu personenbezogenen Daten, über den die amerikanischen Nachrichtendienste verfügen, erfasst nämlich in generalisierter Weise alle Personen und alle elektronischen Kommunikationsmittel sowie sämtliche übertragenen Daten (einschließlich des Inhalts der Kommunikationen), ohne jede Differenzierung, Einschränkung oder Ausnahme anhand des im Allgemeininteresse liegenden Ziels, das verfolgt wird.

Darüberhinaus stellt er fest, dass in den USA keine unabhängige Behörde besteht, um ein solches Schutzniveau zu prüfen. Kernessenz: Nur dadurch, dass es eine Vereinbarung gibt, die ein gleichwertiges Datenschutzniveau auf Papier schreibt, muss es noch lange nicht existieren.

Damit fällt auch ein wesentlicher Teil der Geschäftsgrundlage für viele US-Firmen weg, die Geld mit dem Verarbeiten personenbezogener Daten verdienen – auch mit denjenigen europäischer Nutzer. Facebook ist dabei sicher das prominenteste Beispiel. Doch auch EU-Firmen, die Daten zur Auftragsdatenverarbeitung in die USA übermittelt, sehen sich nun neuen Herausforderungen gegenübergestellt. Und auch die US-Strafverfolger dürften sich ärgern, wenn es für sie schwieriger wird an die persönlichen Daten von EU-Bürgern zu gelangen. So einfach, sie sich einfach von den Servern der US-Unternehmen zu holen, wird es zumindest nicht mehr.

Spannend ist die Frage, wie es nun weitergeht. Das heutige Urteil kann als Anstoß dafür dienen, ein inhaltsvolleres und wirksameres Datenübertragungsabkommen zu verhandeln. Das ist bereits seit den Anfängen der Snowden-Enthüllungen in Diskussion, von den USA kam jedoch Widerstand, der Fortschritte verhindert hat. Aber ungeachtet dessen, was nun konkret passiert, das Signal ist klar – und wichtig. Alexander Sander von Digitale Gesellschaft kommentiert:

Der Europäische Gerichtshof hat heute ein historisches Zeichen für den Datenschutz und gegen anlasslose Massenüberwachung gesetzt. Die Safe Harbor-Entscheidung macht unmissverständlich klar, dass geheimdienstliche Spähexzesse den Grundrechten und der Online-Wirtschaft schweren Schaden zufügen und mit freien transatlantischen Datenflüssen schlichtweg unvereinbar sind. Die politisch Verantwortlichen in Europa und den USA stehen nun in der Pflicht, die Missstände abzustellen und die längst überfälligen Reformen bei Aufsicht und Befugnissen der Geheimdienste vorzunehmen.

Um 15 Uhr wollen Frans Timmermans, der für Rechtsfragen zuständige Vizepräsident, und EU-Verbraucherschutz-Kommissarin Věra Jourová in Straßburg eine Pressekonferenz zum Urteil geben. Eine erste Reaktion des Klägers Max Schrems gibt es hier, er ist verständlicherweise sehr froh über die Entscheidung:

I very much welcome the judgement of the Court, which will hopefully be a milestone when it comes to online privacy. This judgement draws a clear line. It clarifies that mass surveillance violates our fundamental rights. Reasonable legal redress must be possible. The decision also highlights that governments and businesses cannot simply ignore our fundamental right to privacy, but must abide by the law and enforce it. This decision is a major blow for US global surveillance that heavily relies on private partners. The judgement makes it clear that US businesses cannot simply aid US espionage efforts in violation of European fundamental rights.

Auch wir werden uns das Urteil genauer ansehen und euch auf dem Laufenden halten.