06. Januar 2016
Nach „Safe-Harbor“-Urteil mehr Datenschutz in Europa?
Der EuGH hat mit seiner am 6.10.2015 verkündeten Entscheidung wegweisende Grundsätze über den Umgang mit Daten aufgestellt und erklärte das sog. „Safe-Harbor“-Abkommen für ungültig (Az. C-362/14). Ob sich Facebook & Co. davon beeindrucken lassen, ist jedoch noch ungewiss.
Was war geschehen?
Der österreichische Jura-Student und Facebook-Nutzer Max Schrems störte sich an der Weitergabe seiner Daten über das Portal an den Firmensitz in den USA. Insbesondere nach Bekanntwerden der NSA-Praktiken sei zu vermuten, dass die USA kein angemessenes Schutzniveau für übermittelte personenbezogene Daten gewährleisten könnten. Das Abkommen der EU mit den USA, in welchem die USA als „sicherer Hafen für Daten“ eingestuft wurden und wodurch die Datenübermittlung an die USA allgemein erleichtert wurde, sei rechtswidrig.
Nach erfolglosen Löschungsanfragen klagte der Facebook-Nutzer schließlich. Dies konnte er allerdings nicht in seinem Heimatland und in seiner Muttersprache tun, sondern musste dafür erst vor die irische Gerichtsbarkeit ziehen - an den europäischen Facebook-Sitz. Das irische Gericht legte dem Gerichtshof in Luxemburg die Frage zur Entscheidung vor.
Der EuGH gab dem Kläger Recht und erklärte „die Entscheidung der Kommission, in der festgestellt wird, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig“. Denn Daten europäischer Nutzer werden in den USA nicht ausreichend vor dem Zugriff von Behörden geschützt.
Damit hat der Student zwar einen bedeutenden Sieg errungen. Gleichwohl ist bisher für die Datensicherheit und den Datenschutz in Europa noch einiges auf den Weg zu bringen. Die vielleicht noch vor einigen Jahren geltende Devise „offline gehen“, ist in der heutigen digital geprägten Welt kaum mehr möglich, sodass dringender Handlungsbedarf besteht, um rechtliche an technisch mögliche Rahmenbedingungen anzupassen. Als erste Maßnahme für mehr Datensicherheit verabschiedeten die EU-Institutionen jüngst zwar die Datenschutz-Grundverordnung. Diese sieht u.a. vor, dass Klagen wegen Verletzungshandlungen im Bereich personenbezogener Daten in Zukunft immerhin im Heimatland und in der Muttersprache möglich sein sollen. Datenschutzbeauftragte warnen jedoch vor einer Aufweichung des Datenschutzniveaus in Europa.
Wie in Zukunft Interessen von Nutzern, Webseitenbetreibern und Unternehmen konkret in Einklang gebracht werden können und dabei umfassender Datenschutz gewährleistet werden kann, bleibt also abzuwarten. Denn wer nicht gerade Jura-Student oder Anwalt ist, wird nach wie vor eher „schlechte Karten“ haben, Datentransfer an weltweit operierende Unternehmen oder auch an Geheimdienste verhindern zu können.