Verbot für Datentransporte in die USA: EuGH kippt Safe Harbor

Der Europäische Gerichtshof hat das Safe Harbor-Abkommen für ungültig erklärt. Für viele IT-Firmen und -dienstleister, die Rechenzentren und Services in den USA betreiben oder nutzen, hat das erhebliche Konsequenzen.

(Foto: icholakov - fotolia)

In seinem Urteil zur Klage des Österreichers Maximilian Schrems gegen Facebook ist der Europäische Gerichtshof weitgehend den zuvor ausgesprochenen Empfehlungen des Generalanwalts Yves Bot gefolgt (siehe: USA zittern vor EuGH-Urteil zum Datenschutz). Die Richter haben dabei auch das vor 15 Jahren von der EU-Kommission verabschiedete Safe Harbor-Abkommen mit den USA einkassiert, mit dem die Vereinigten Staaten als sicherer Hafen und Lageplatz für Daten aus Europa eingestuft worden waren. Die Richter des EuGH sehen aufgrund der Erkenntnisse der zahlreichen Lauschaffären in den letzten Jahren und der weitgehenden Geheimdienstbefugnisse aus dem amerikanischen Patriot Act keinen ausreichenden Schutz für europäische Daten für eine Aufrechterhaltung des Status als sicherer Hafen.

Zwar steht die schriftliche Begründung mit den Details zum Urteil noch aus, allerdings ist schon jetzt klar, dass es nicht nur für global agierende amerikanische IT-Giganten wie Facebook, Google, Twitter und Yahoo erhebliche Konsequenzen mit sich bringt. Sie dürfen die personenbezogenen Daten europäischer Bürger ab sofort nicht mehr einfach in die USA transferieren. Damit müssen auch tausende kleinere Firmen und IT-Dienstleister, die beispielsweise Kundendaten bei Amazon lagern oder amerikanische Hosting-Kapazitäten nutzen und weitervermitteln, schnell reagieren und sich Alternativen überlegen. »In Zukunft müssen diese jeden einzelnen Nutzer explizit um eine Einwilligung zur Übertragung der Daten in die USA bitten und dabei auch auf die willkürliche Überwachung der Daten durch die US-Nachrichtendienste hinweisen«, mahnt etwa der IT-Rechtsanwalt Christian Solmecke von der Kanzlei WBS Law aus Köln. Wer sich bislang alleine auf Safe Harbor verlassen und keine entsprechenden vorbereitenden Maßnahmen für das Urteil getroffen hat, muss die betroffenen Daten nun schnellstmöglich aus den USA zurückholen – egal, ob es sich dabei lediglich um einen E-Mail-Account, komplette Cloud-Dienste oder gar Outsourcing-Projekte handelt. Andernfalls drohen teure Klagen der Nutzer. Unternehmen wie Bürger haben bei entsprechenden Beschwerden und Klagen gegenüber den Datenschutzbehörden nun sehr gute Erfolgsaussichten.

Da der Patriot Act weiter Bestand haben wird, kann das Problem nach der Ansicht von Solmecke auch nicht einfach durch die Einführung oder Nachreichung neuer Standardklauseln in Verträgen aus der Welt geschafft werden. »Solange die US-Nachrichtendienste die Befugnis haben auf die Daten der EU-Bürger jederzeit zuzugreifen, ist der Datenschutz nach EU-Grundsätzen nicht gewährleistet«, erklärt Solmecke. Deshalb muss mit dem Urteil jeder Nutzer oder Kunde explizit und individuell sein Einverständnis mit der Speicherung und den damit verbundenen Risiken in den Vereinigten Staaten von Amerika geben. Andernfalls kann er gegen die Verletzung der EU-Datenschutzrichtlinie 95/46/EG durch den Patriot Act vorgehen. Nicht nur logistisch bedeutet das einen echten Kraftakt für die über 5.000 betroffenen Unternehmen, die sich bisher zum Safe Harbor-Abkommen bekannt hatten und nach seinen Vorgaben arbeiten.

Kommentare (3) Alle Kommentare

Antwort von newman , 15:41 Uhr

Was für ein juristischer und technischer Irrsinn - ich glaube niemand weiss was diese Entscheidung bedeuten kann. Jede App, jeder Service den wir nutzen (naja zu 80%) kommt aus Ländern der nicht EU. Und natürlich werden die meisten Daten nicht auf einem teuren Deutschen Server gehostet.

Das bedeutet also das wir lieb gewonnen Services nicht mehr nutzen können, Evernote - Ade, Appel Mail - Ade etc pp.

Uns muss klar sein das die NSA & Co so oder so an die Daten kommen wird wenn wir denn so wichtig sind und Angst vor Spionage haben. Nun haben wir nur dafür gesorgt das bisher kostenlose Services entweder teuer werden weil Serverplatz in Europa angemietet werden muss, oder gebaut werden muss. Oder - und ich denke das wird passieren - die meisten User "selbstbestimmt" zustimmen werden das die Daten in den USA oder zumindest ausserhalb der EU, gesichert werden dürfen um die geliebten Services auch weiterhin zu verwenden.

Und wer glaubt eigentlich das Daten bei der Telekom oder 1und1 überhaupt sicher sind.

Ich meine mich zu erinnern das die Telekom noch nicht mal auf CDs achten kann, ausserdem nutzen auch diese Firmen (1und1 und web.de mal ausgenommen, denke ich) auch Server in nicht europäischen Ausland.

Es ist ein Papyrus Sieg und kein besonders glücklicher wie ich finde.

Antworten

Antwort von Console , 05:36 Uhr

… Wer sagt denn, das Services in Deutschland teurer sind als in den USA ?

Wird entsprechend nachgefragt, wird der "Preis per Byte" rapide fallen !

Antwort von PC-Flüsterer Bremen , 20:23 Uhr

Schon das jetzt für unzureichend befundene "Safe Harbor" Abkommen war nie das Papier wert, auf dem es steht. Die erforderliche Selbstverpflichtung der teilnehmenden US-Unternehmen war für sich schon windelweich, kaum nachprüfbar und mit keinerlei Sanktionen belegt. Selbst diese weiche Selbstverpflichtung haben einige US-Unternehmen dermaßen brutal und offensiv missachtet, dass im vorigen Jahr US-Datenschützer eine Beschwerde wegen Nichteinhaltung des Safe Harbor Abkommens gegen über dreißig Unternehmen bei der FTC eingereicht haben, darunter so illustre Namen wie AOL und Adobe. - Was jetzt folgen muss, ist erstens ein völlig neues Konzept für den Schutz der Privatsphäre europäischer Bürger in der "nach-Snowden" Zeit. Und zweitens muss dieser Schutz der Privatsphäre in Verhandlungen gegen die USA durchgesetzt werden. Ob unsere Europa-Politiker dafür genug Eier in der Hose haben, darf bezweifelt werden. Wenn ich mir ansehe, wie bei TTIP und TISA die USA die Europäer am Nasenring durch die Arena ziehen, dann habe ich wenig Hoffnung.