Der Europäische Gerichtshof hat am Dienstag das Safe-Harbor-Abkommen zwischen den USA und der EU für ungültig erklärt. Mit dem Abkommen wurde bisher festgehalten, dass personenbezogene Daten von EU-Bürgern in die USA übertragen und dort gespeichert werden dürfen. Die US-Unternehmen könnten dafür einen angemessenen Datenschutz bieten, hatte die EU-Kommission im Jahr 2000 entschieden. Nur gilt das seit den Enthüllungen rund um die NSA-Spionageaktivitäten nicht mehr, wie der Gerichtshof nun festgestellt hat.

Verletzung der Privatsphäre

"Der Gerichtshof erklärt die Entscheidung der Kommission, in der festgestellt wird, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig", heißt es in einer Aussendung. Die EU-Kommission habe keine Kompetenz gehabt, die Befugnisse der nationalen Datenschutzbehörden durch das Abkommen zu beschränken, urteilten die Richter.

Eine Regelung, die es Behörden gestatte, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, verletzt demnach das Grundrecht auf Achtung des Privatlebens. Außerdem sei das Grundrecht auf Rechtsschutz berührt, wenn der Bürger keine Möglichkeit habe, Zugang zu seinen personenbezogenen Daten zu erlangen oder ihre Berichtigung und Löschung zu verlangen.

Weitreichende Konsequenzen

Die Entscheidung könnte für Unternehmen weitreichende Konsequenzen haben. Firmen, die ihre Daten in die USA übertragen wollen, können das nun nicht mehr unter dem Safe-Harbor-Zertifikat tun. Sie müssen auf Alternativen zurückgreifen – etwa ihre Datensicherheit entweder im Einzelfall prüfen lassen oder die Daten bei europäischen Diensten speichern. Das betrifft von kleinen Firmen, die ihre Daten bei Anbietern wie Amazon hosten, bis zu großen Anbietern wie Facebook und Google mehr als 4.000 Unternehmen.

"Die Entscheidung hat tatsächlich enorme Auswirkungen auf die europäischen Bürger wie Unternehmen", sagt der auf Internetrecht spezialisierte Jurist Matthias Bergt zum STANDARD. Von jetzt an könne sich kein Unternehmen mehr auf das Abkommen berufen, um Datenübermittlung wie einen E-Mail-Account, Cloud-Dienste oder ein Outsourcing-Projekt zu rechtfertigen. Wer sich bisher alleine auf Safe Harbor verlassen habe, muss nun seine Daten aus den USA zurückholen. Die deutschen Aufsichtsbehörden haben laut Bergt bereits bekanntgegeben, dass sie sich die Datenübertragung einzelner Unternehmen überprüfen werden.

Industrie fordert neues Abkommen

Die deutsche Industrie fordert ein neues Datenschutzabkommen zwischen der EU und den USA. "Ein Abbruch des Datenaustauschs wäre ein Paukenschlag", sagte der Hauptgeschäftsführer des Bundesverbands der Deutschen Industrie, Markus Kerber, am Dienstag der Nachrichtenagentur Reuters. "Ziel ist, zügig einen verlässlichen Rechtsrahmen für den Datenaustausch mit den USA zu schaffen", sagte Kerber. "Washington und Brüssel müssen das Vertrauen in die digitale Welt stärken." Die Politik müsse die Bedenken des Gerichtshofs ernst nehmen und die Verhandlungen rasch abschließen.

Angestoßen hatte die Überprüfung des Abkommens der Jurist Max Schrems mit seiner Initiative Europe vs. Facebook. Er hatte bei der irischen Datenschutzbehörde eine Beschwerde gegen Facebook eingelegt, da er spätestens durch die Spionage der NSA die Datensicherheit bei dem Konzern nicht mehr gewährleistet sah. Ende September hatte schon der Generalanwalt des Europäischen Gerichtshofs festgestellt, dass er das Datenschutzabkommen zwischen der EU und den USA für ungültig hält. Jetzt müssen die irischen Behörden im Fall Schrems erneut die Frage klären, ob die USA aus ihrer Sicht ein angemessenes Schutzniveau für personenbezogene Daten bieten.

Schrems: Meilenstein bei Online-Privatsphäre

Für Schrems ist die Entscheidung des Gerichtshofs ein Meilenstein bei der Durchsetzung der Online-Privatsphäre. Das Urteil bestätige nun, dass Massenüberwachung durch Geheimdienste wie die NSA die fundamentalen Bürgerrechte verletzen, wie er in einer ersten Stellungnahme sagt.

Dass das Urteil spürbare Auswirkungen auf Nutzer haben wird, glaubt er nicht. Es gebe für Unternehmen alternative Möglichkeiten, Daten von der EU in die USA zu übertragen. Die nationalen Datenschutzbehörden dürfen die Datenübertragung in die USA nun aber in jedem einzelnen Fall überprüfen. "Entgegen einigen alarmierenden Kommentaren glaube ich nicht, dass es gravierende Einschnitte in der Praxis geben wird", so Schrems.

Beim US-Gesetz seien allerdings weitreichende Änderungen notwendig, die über ein Update des Safe-Harbor-Abkommens hinausgehen müssten. Für US-Firmen wie Apple, Google, Facebook und Microsoft könnte es rechtliche Konsequenzen geben, wenn europäische Datenschutzbehörden ihre Zusammenarbeit mit Geheimdiensten überprüfen. Für Schrems' Anwalt Wolfram Proksch bedeutet das Urteil eine große Chance für die EU, um Wirtschaftsspionage einzudämmen. (Birgit Riegler, 6.10.2015)