Obwohl die USA zu den unsicheren Drittländern zählen, in denen kein ausreichendes Datenschutzniveau herrscht, ermöglicht der Safe-Harbor-Beschluss der EU-Kommission seit dem Jahr 2000 ein verhältnismäßig unkompliziertes Vorgehen bei der Übermittlung von personenbezogenen Daten an US-amerikanische Unternehmen. Doch insbesondere nach dem Bekanntwerden der von Edward Snowden an die Öffentlichkeit gebrachten Späh-Affäre durch Sicherheitsbehörden wie die NSA steht die Rechtmäßigkeit der Safe-Harbor-Entscheidung infrage. Der Europäische Gerichtshof soll nun Klarheit darüber schaffen, ob eine Datenübermittlung auf dieser Grundlage künftig datenschutzrechtlich akzeptabel ist.

Wer personenbezogene Daten aus der EU in ein Drittland übermitteln möchte, ist dazu verpflichtet, zuvor nachweisbar zu überprüfen, ob die Rechte der betroffenen Personen in Bezug auf den Schutz ihrer Daten dabei gewahrt werden. Die obersten Datenschutzbehörden Deutschlands sehen dazu ein zweistufiges Prüfverfahren vor (Beschluss des Düsseldorfer Kreises). In der ersten Stufe wird untersucht, ob überhaupt eine Rechtsgrundlage für die Datenübermittlung besteht, in der zweiten Stufe wird geprüft, ob im Zielland ein angemessenes Datenschutzniveau herrscht. Auch nach europäischem Recht ist es grundsätzlich zunächste einmal untersagt, personenbezogene Daten in Staaten zu übermitteln, in denen kein Datenschutzniveau herrscht, das dem innerhalb der EU entspricht (EU-Richtlinie 95/46/EG). Unter anderem die USA kennen keine Regelungen, die einen vergleichbaren Schutz von personenbezogenen Daten sicherstellen könnten und gelten daher als ein sogenanntes „unsicheres Drittland“. Die EU-Kommission hat in einer Entscheidung im Jahr 2000 jedoch festgelegt, dass unter bestimmten Bedingungen personenbezogene Daten dennoch in die USA übermittelt werden können.

Was bedeutet Safe Harbor?

Europäische Unternehmen dürfen personenbezogene Daten in ein unsicheres Drittland wie die USA übermitteln, wenn sie sich nachweislich vergewissern, dass die konkrete Stelle, an die die Daten übermittelt werden, trotz des Fehlens entsprechender gesetzlicher Regelungen einen ausreichenden Schutz der Daten sicherstellt. Die Idee hinter Safe Harbor ist, dass eine regelmäßige aufwändige Prüfung des Datenempfängers überflüssig wird, wenn ein US-Unternehmen sich grundsätzlich als eine Stelle zertifiziert, die einen sicheren Umgang mit personenbezogenen Daten gewährleistet. Eine europäische Stelle kann dann personenbezogene Daten an Safe-Harbor-Unternehmen in den USA übermitteln, ohne den Empfänger selbst prüfen zu müssen. Somit soll das Safe-Harbor-Verfahren eine Datenübermittlung zwischen der EU und den zertifizierten US-Unternehmen erleichtern, indem es die erforderlichen Prüfungen reduziert. Ein US-Unternehmen kann sich selbst zertifizieren, indem es sich bei der Federal Trade Commission (FTC) anmeldet und dabei angibt, dass es sich an bestimmte datenschutzrechtliche Grundsätze hält.

Zahlreiche bekannte Unternehmen wie Amazon, Google oder Facebook haben sich in die Safe-Harbor-Liste des US-Handelsministeriums eintragen lassen. Die Verlässlichkeit dieses Vorgehens ist jedoch Gegenstand von Kritik. Unter anderem die Konferenz der obersten Datenschutzbehörden in Deutschland hat festgestellt, dass allein die Aussage der US-Unternehmen über das herrschende Datenschutzniveau im eigenen Unternehmen nicht ausreichend sei, um eine Übermittlung von personenbezogenen Daten an diese zu rechtfertigen. Vielmehr nehmen sie auch die Unternehmen und Institutionen, die Daten aus EU-Mitgliedsstaaten exportieren, in die Pflicht, sicherzustellen, dass das Selbstbestimmungsrecht der betroffenen Personen gewahrt wird.

Safe Harbor nach Snowden-Enthüllungen

Die Enthüllungen des Whistleblowers Edward Snowden schüren die Zweifel daran, dass das Selbstbestimmungsrecht der EU-Bürger in Bezug auf ihre eigenen Daten bei einer Übermittlung in die USA durch das Safe-Harbor-Verfahren ausreichend gesichert ist. Der Europäische Gerichtshof (EuGH) soll nun grundsätzlich klären, ob das Verfahren noch zeitgemäß und datenschutzrechtlich akzeptabel ist.

Anlass dazu gab eine Klage des österreichischen Juristen Max Schrems vor dem irischen High Court. Er sah sich durch die vermutete massenhafte Datenabfrage durch die NSA bei Facebook in seinem Persönlichkeitsrecht verletzt und verlangte vom irischen Datenschutzbeauftragten gegen die Datenübermittlung der für Europa zuständigen Facebook Ireland Ltd. an die US-amerikanische Konzernmutter vorzugehen. Der Aufsichtsbehörde waren jedoch durch den Safe-Harbor-Beschluss der EU-Kommission die Hände gebunden. Angesichts der Erkenntnisse über die pauschale massenhafte Erfassung von Personendaten durch Sicherheitsbehörden ohne konkreten Verdacht sah der High Court die Befürchtung Schrems als durchaus begründet an. Das Gericht wandte sich an den EuGH, um eine grundlegende Klärung der Rechtmäßigkeit einer Datenübermittlung nach dem Safe-Harbor-Verfahren zu bewirken.

Der Europäische Gerichtshof soll nun unter anderem untersuchen, ob die Safe-Harbor-Entscheidung der EU-Kommission aus dem Jahr 2000 mit der 2009 in Kraft getretenen Europäischen Grundrechte-Charta vereinbar ist, die den EU-Bürgern in ihren Artikeln 7 und 8 ein Recht auf Vertraulichkeit der Kommunikation und Datenschutz zusichert. Sollte der Europäische Gerichtshof feststellen, dass dies nicht der Fall ist, müssten dringend neue Regelungen geschaffen werden, um eine praktikable Lösung für einen Datenaustausch mit den USA zu gewährleisten.

Bitte bewerten Sie diese Inhalte!
[2 Bewertung(en)/ratings]
0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.