Das sogenannte „Safe-Harbor-Abkommen“ regelt die Zulässigkeit der Übertragung von personenbezogenen Daten europäischer Bürger in die USA. Mit Urteil des Europäischen Gerichtshofs (EuGH) vom 6. Oktober 2015 ist diese Rechtsgrundlage nun ungültig. Für viele Unternehmen ist aus dieser Entscheidung eine erhebliche Rechtsunsicherheit entstanden.
Das europäische Datenschutzrecht schreibt vor, dass personenbezogene Daten europäischer Bürger grundsätzlich nur dann in Drittstaaten übertragen werden dürfen, wenn dort ein „angemessenes“ Datenschutzniveau gewährleistet wird. In vielen Drittstaaten, insbesondere in den USA, gibt es jedoch kein Datenschutzrecht, das mit dem der EU vergleichbar wäre.
Um trotzdem eine relativ unbürokratische Datenübertragung zu ermöglichen, hat die Europäische Kommission im Jahre 2000 mit der US-amerikanischen Handelsbehörde FTC das sogenannte Safe-Harbor-Abkommen ausgehandelt. Danach können sich Unternehmen gegenüber der Behörde verpflichten, bei der Verarbeitung von Daten europäischer Bürger ein angemessenes Datenschutzniveau im Sinne des europäischen Rechts einzuhalten. So sollte für die Daten ein „sicherer Hafen“ in den USA entstehen.
Abkommen vom EuGH kassiert
Nicht zuletzt die Enthüllungen von Edward Snowden ließen am „Safe Harbor“ zweifeln: Zumindest die amerikanischen Geheimdienste nehmen demnach keine Rücksicht auf die Datenschutzrechte europäischer Bürger, zudem erwies sich die Überprüfung der Unternehmen durch die FTC als mangelhaft. Der Österreicher Max Schrems beschwerte sich 2013 bei der irischen Datenschutzbehörde konkret über die von Facebook praktizierte Datenübermittlung. Mit einem Hinweis auf das Abkommen lehnte die Behörde ein Vorgehen gegen das soziale Netzwerk ab, sodass Schrems vor dem EuGH klagte.
In seinem Urteil vom 6. Oktober 2015 erklärte das Gericht das Abkommen für ungültig. Es erklärte, das Safe-Harbor-Abkommen der Kommission hindere die irische Datenschutzbehörde nicht zu prüfen, ob die Übermittlung von Nutzerdaten in die USA durch Facebook auszusetzen wäre. Die Entscheidung ist damit grundsätzlich als eine Stärkung der europäischen Datenschutzaufsichtsbehörden zu sehen.
Unsicherheit für die Wirtschaft
Das Urteil hat aber – nicht nur – für die Internetwirtschaft weitreichende Folgen. Es schafft für viele Unternehmen eine erhebliche Rechtsunsicherheit. Der reibungslose Datenfluss über die Grenzen ist entscheidend für Innovationen, Wachstum – und auch neue Jobs. Die europäischen Datenschutzbeauftragten setzten bis Ende Januar 2016 eine Frist, in der sich die Regierungen der EU und USA sowie die EU-Kommission auf neue Regelungen einigen sollen.
eco hat einen praktischen Leitfaden für Unternehmen zum Umgang mit dem Urteil veröffentlicht. Der Verband fordert zügig einen grundrechtssichernden und praktikablen Rechtsrahmen für den Datenverkehr in die USA zu schaffen. Beim ersten eco polITalk des Jahres werden Experten aus Politik, Verwaltung und Wirtschaft die aktuelle Situation analysieren, über die volkswirtschaftlichen Auswirkungen diskutieren und klären, wie ein Datentransfer über Europa hinaus in Zukunft überhaupt noch möglich ist.
Foto Anton Sokolov | iStockphoto.com
