Der Europäische Gerichtshof hat am 06.10.2015 in einem in seiner Trageweite als historisch zu bezeichnenden Urteil über den Umgang von Facebook mit europäischen Nutzerdaten das sogenannte „Safe Harbor“-Abkommen zwischen der EU und den USA für ungültig erklärt. Das Urteil hat zur Folge, dass die Übermittlung von personenbezogenen Daten in die USA nicht mehr auf der Grundlage des „Safe Harbor”-Abkommens erfolgen darf (EuGH, 06.10.2015 – C-362/14, Safe-Harbor-Entscheidung).
EuGH: Entscheidung der Kommission zum Safe-Harbor ist ungültig
von Carl Christian Müller
Der Europäische Gerichtshof ist mit dem Urteil dem Schlussantrag des Generalanwalts Yves Bot gefolgt. Geklagt hatte der Österreicher Maximilian Schrems, der mit der Weiterleitung und Speicherung seiner auf der Onlineplattform Facebook zunächst veröffentlichten persönlichen Daten nicht mehr einverstanden war. Bei einer Nutzeranfrage hatte er herausgefunden, dass Facebook auch noch längst gelöscht geglaubte Daten vorhielt. Nun muss die irische Datenschutzbehörde eine entsprechende Beschwerde des Österreichers prüfen. Über den konkreten Fall hinaus hat die Entscheidung des EuGH jedoch in ihren Dimensionen sehr weitreichende politische wie juristische Folgen. Denn der EuGH hat das so genannte „Safe Harbor“-Abkommen zwischen der EU und den USA für ungültig erklärt.
Nach dem „Safe Harbor“-Abkommen dürfen persönliche Daten von Europäern nach Amerika gesendet werden, wenn das datenverarbeitende Unternehmen bestimmte Mindeststandards zum Datenschutz garantiert. Das „Safe Harbor“-Abkommen aus dem Jahr 2000 beruhte auf der Annahme, dass Amerika ein angemessenes Schutzniveau von übermittelten personenbezogenen Daten gewährleistet. Insbesondere die Enthüllungen von Edward Snowden ließen den EuGH jedoch zu einer anderen Bewertung kommen. Der Generalanwalt am EuGH hatte hierzu ausgeführt, dass Recht und Praxis der Vereinigten Staaten es gestatteten, die übermittelten Daten von Unionsbürgern in großem Umfang zu sammeln, ohne dass sie über einen wirksamen gerichtlichen Rechtsschutz verfügten. Das Urteil ist als ein Meilenstein für den europäischen Datenschutz zu bezeichnen und insofern begrüßenswert. Andererseits entsteht für die datenübermittelnden Unternehmen nun erhebliche Rechtsunsicherheit, da diese für die Rechtmäßigkeit der Übermittlung verantwortlich und als solche auch etwaigen Sanktionen der nationalen Aufsichtsbehörden ausgesetzt sind.