Datenschutz

Max Schrems gegen Facebook: EuGH erklärt „Safe Harbour“-Abkommen für ungültig

Der Wiener Datenschutzaktivist Max Schrems. © Jakob Steinschaden
Der Wiener Datenschutzaktivist Max Schrems. © Jakob Steinschaden

Der Europäische Gerichtshof (EuGH) hat heute Vormittag eine weitreichende Entscheidung gefällt: Sie hat das Abkommen „Safe Harbour“ zwischen den USA und der EU für ungültig erklärt, weil sie die Übermittlung von Daten von EU-Bürgern in die USA für nicht sicher hält. Der erlaubte Zugriff von Behörden auf Daten in den USA würde „den Wesensgehalt des Grundrechts auf Achtung des Privatlebens“ verletzen. Unter Safe Harbour fallen etwa 4100 US-Unternehmen wie Facebook, Google und Microsoft, die sich eine Zertifizierung geholt haben und sich unter anderem auf das Abkommen berufen, wenn sie Daten über EU-Bürger auf ihre Server, die nicht immer, aber oft in den USA stehen, übermitteln und dort verarbeiten.

Den Fall ins Rollen gebracht hat der Wiener Jurist Max Schrems (28), der auch sofort nach dem Entscheid einen Tweet absetzte:

Schrems führt gegen Facebook seit Jahren einen Kampf, weil er seine Daten durch die Übermittlung an die Facebook-Server nicht ausreichend geschützt sieht. „Ich begrüße die Entscheidung des Gerichts, weil es einen Meilenstein für die Online-Privatsphäre bedeutet“, so Schrems in einem ersten Statement. Er hatte gegen die Übermittlung seiner Facebook-Daten geklagt, nachdem 2013 durch Edward Snowden die Überwachungsmethoden der NSA enthüllt wurden (Stichwort „Prism“). Aus den Snowden-Dokumenten geht hervor, dass die NSA auf Nutzerdaten bei Facebook, Google oder Apple zugreifen kann.

Die Entscheidung des EuGH bedeutet faktisch, dass sich nun nationale Datenschutzbehörden jeden einzelnen Fall des Datentransfers von EU-Bürgern in die USA ansehen müssen. Schrems hatte bei der irischen Datenschutzbehörde, die für die europäischen Niederlassungen der großen US-Internetfirmen wie Facebook zuständig ist, geklagt. Diese wiederum sah sich nicht zuständig und eskalierte an den EuGH – nun sind wieder die Iren an der Reihe. „Die irische Datenschutzbehörde hat jetzt einen klaren Auftrag und muss unsere Privatsphäre unter irischem und EU-Recht schützen“, so Schrems. Er erwartet nicht, dass sich für die Internetnutzer etwas spürbar bei der Nutzung von Diensten wie Facebook oder Google ändern wird, sie würden aber hoffentlich bald in der Lage sein, diese Services zu nutzen, ohne einer Massenüberwachung ausgesetzt zu sein, so Schrems.

Konsequenzen für Internetfirmen

Wie US-Internetfirmen auf das EuGH-Urteil reagieren, bleibt abzuwarten. Einfachster Weg ist, dass sich die Firmen von den individuellen Nutzern die Zustimmung holen, dass ihre Daten in die USA übertragen werden dürfen. Das betrifft auch europäische Firmen, die mit US-Partnern zusammenarbeiten oder Unternehmen, die international tätig sind. Sie können etwa die so genannten „Binding Corporate Rules“ anwenden, also verbindliche unternehmensinterne Datenschutzregelungen, wie sie die Artikel-29-Datenschutzgruppe der EU vorgibt. Außerdem gibt es die so genannten Standardvertragsklauseln, von denen die EU-Kommission mittlerweile drei Versionen verabschiedet hat. Auf ihrer Grundlage ist eine Übermittlung von personenbezogenen Daten ins EU-Ausland zulässig, ohne sich erst auf Safe Harbour berufen zu müssen.

Reagieren müssen Unternehmen, die Nutzerdaten verarbeiten und in die USA übertragen, auf jeden Fall – aussitzen sollte man die Sache nicht. Da Betroffene nun nationale Gerichte anrufen und nationale Datenschutzbehörde prüfen können, ob die Daten einer Person entsprechend geschützt sind, werden Prüfungen nun wahrscheinlicher.

Springe zu:

Be smart and nice ;)

Ganzen Artikel lesen