EuGH kippt Datenschutzabkommen mit den USA

veröffentlicht am 07.10.2015 von

Der Europäische Gerichtshof (EuGH) erklärt das Safe-Harbor-Abkommen zwischen Europa und den USA für ungültig. Damit ist es zukünftig global agierenden Unternehmen grundsätzlich untersagt, personenbezogene Daten europäischer Nutzer in den USA zu speichern.

Der Sachverhalt

Geklagt hatte der österreichische Jurist Max Schrems. Als Facebook-Nutzer wollte er nicht akzeptieren, dass seine persönlichen Daten auf Servern in den USA gespeichert werden. Nach seiner Auffassung seien sie dort durch das Safe-Harbor-Abkommen nur unzureichend vor dem Zugriff durch die NSA geschützt. Aus diesem Grund wollte er von den Richtern in Luxemburg geklärt haben, ob sich der europäische Facebook-Standort mit Sitz in Dublin zum Schutz der Nutzerdaten an die EU-Grundrechtecharta halten muss.

Die Entscheidung

Der EuGH hat mit seiner Entscheidung nun die zukünftige Übermittlung europäischer Nutzerdaten in die USA nicht nur Facebook verboten; vielmehr haben die Richter eine grundlegende Entscheidung darüber getroffen, dass personenbezogene Daten auf Servern in den USA nicht ausreichend vor unbefugten Zugriff Dritter geschützt sind.

Was ist das Safe-Harbor-Abkommen?

Daten von EU-Bürgern dürfen in Länder außerhalb der EU übermittelt werden, soweit sie dort ausreichend geschützt sind (RL 95/46/EG).

Das Safe-Harbor-Abkommen zwischen der EU und den USA erlaubte es bis dato europäischen Unternehmen und den Tochtergesellschaften amerikanischer Unternehmen personenbezogene Daten legal in die USA zu übermitteln, obwohl dort kein dem EU-Recht vergleichbares Datenschutzniveau besteht.

Möglich machte dies eine Selbstverpflichtung amerikanischer Firmen gegenüber der US-Handelskommission, europäische Datenschutzstandards einzuhalten. Diese schränkte jedoch nicht die Befugnisse der US-Geheimdienste ein, auf die personenbezogenen Daten der Nutzer zuzugreifen und eine unterschieds- und anlasslose Massenüberwachung durchzuführen.

Auswirkungen für die Praxis

Unternehmen, die personenbezogene Daten bisher auf Grundlage des „Safe-Harbor-Abkommens“ in die USA übermittelt haben, müssen sich nun an den Gedanken gewöhnen, EU-Standardvertragsklauseln oder zumindest konzernweit geltende „Binding Corporate Rules“ für die Legitimation der Datenübermittlung einzusetzen. Ein Schutz vor unrechtmäßigem Zugriff amerikanischer Geheimdienste bieten diese Regelungen freilich nicht. Es bleibt daher abzuwarten, wann die zwei Jahre währenden Verhandlungen zwischen der EU und den USA über eine Neuregelung des Safe-Harbor-Abkommens endlich abgeschlossen sein werden.

Viel Arbeit für Betriebsräte

Arbeitgeber, die sich in den letzten Jahren alleine auf die Safe Harbor Lösung als Legitimation zur Datenübermittlung verlassen haben, müssen nun umdenken. Bereits 2010 hatte der Düsseldorfer Kreis deutliche Hinweise dahingehend gegeben, dass die Safe Harbor Zertifizierung alleine nicht ausreiche. Im Ergebnis bedeutet das: Nach der Entscheidung des EuGH bekommen Betriebsräte jetzt viel zu tun.

Betriebsvereinbarungen, die Datenflüsse in Länder ohne angemessenes Datenschutzniveau betreffen und sich auf Safe Harbor Zertifizierungen beziehen, sollten jetzt neu gefasst werden. Zwar trifft die Verpflichtung zu Legalisierung der Datenströme in erster Linie den Arbeitgeber. Betriebsräte haben jedoch darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze auch eingehalten werden. Es empfiehlt sich daher für die Gremien, ihren Vereinbarungsbestand zu überprüfen.