Schwerpunkte

Verbot für Datentransporte in die USA

EuGH kippt Safe Harbor

06. Oktober 2015, 10:51 Uhr   |  Lars Bube | Kommentar(e)

EuGH kippt Safe Harbor
© icholakov - fotolia

Der Europäische Gerichtshof hat das Safe Harbor-Abkommen für ungültig erklärt. Für viele IT-Firmen und -dienstleister, die Rechenzentren und Services in den USA betreiben oder nutzen, hat das erhebliche Konsequenzen.

In seinem Urteil zur Klage des Österreichers Maximilian Schrems gegen Facebook ist der Europäische Gerichtshof weitgehend den zuvor ausgesprochenen Empfehlungen des Generalanwalts Yves Bot gefolgt (siehe: USA zittern vor EuGH-Urteil zum Datenschutz). Die Richter haben dabei auch das vor 15 Jahren von der EU-Kommission verabschiedete Safe Harbor-Abkommen mit den USA einkassiert, mit dem die Vereinigten Staaten als sicherer Hafen und Lageplatz für Daten aus Europa eingestuft worden waren. Die Richter des EuGH sehen aufgrund der Erkenntnisse der zahlreichen Lauschaffären in den letzten Jahren und der weitgehenden Geheimdienstbefugnisse aus dem amerikanischen Patriot Act keinen ausreichenden Schutz für europäische Daten für eine Aufrechterhaltung des Status als sicherer Hafen.

Zwar steht die schriftliche Begründung mit den Details zum Urteil noch aus, allerdings ist schon jetzt klar, dass es nicht nur für global agierende amerikanische IT-Giganten wie Facebook, Google, Twitter und Yahoo erhebliche Konsequenzen mit sich bringt. Sie dürfen die personenbezogenen Daten europäischer Bürger ab sofort nicht mehr einfach in die USA transferieren. Damit müssen auch tausende kleinere Firmen und IT-Dienstleister, die beispielsweise Kundendaten bei Amazon lagern oder amerikanische Hosting-Kapazitäten nutzen und weitervermitteln, schnell reagieren und sich Alternativen überlegen. »In Zukunft müssen diese jeden einzelnen Nutzer explizit um eine Einwilligung zur Übertragung der Daten in die USA bitten und dabei auch auf die willkürliche Überwachung der Daten durch die US-Nachrichtendienste hinweisen«, mahnt etwa der IT-Rechtsanwalt Christian Solmecke von der Kanzlei WBS Law aus Köln. Wer sich bislang alleine auf Safe Harbor verlassen und keine entsprechenden vorbereitenden Maßnahmen für das Urteil getroffen hat, muss die betroffenen Daten nun schnellstmöglich aus den USA zurückholen – egal, ob es sich dabei lediglich um einen E-Mail-Account, komplette Cloud-Dienste oder gar Outsourcing-Projekte handelt. Andernfalls drohen teure Klagen der Nutzer. Unternehmen wie Bürger haben bei entsprechenden Beschwerden und Klagen gegenüber den Datenschutzbehörden nun sehr gute Erfolgsaussichten.

Da der Patriot Act weiter Bestand haben wird, kann das Problem nach der Ansicht von Solmecke auch nicht einfach durch die Einführung oder Nachreichung neuer Standardklauseln in Verträgen aus der Welt geschafft werden. »Solange die US-Nachrichtendienste die Befugnis haben auf die Daten der EU-Bürger jederzeit zuzugreifen, ist der Datenschutz nach EU-Grundsätzen nicht gewährleistet«, erklärt Solmecke. Deshalb muss mit dem Urteil jeder Nutzer oder Kunde explizit und individuell sein Einverständnis mit der Speicherung und den damit verbundenen Risiken in den Vereinigten Staaten von Amerika geben. Andernfalls kann er gegen die Verletzung der EU-Datenschutzrichtlinie 95/46/EG durch den Patriot Act vorgehen. Nicht nur logistisch bedeutet das einen echten Kraftakt für die über 5.000 betroffenen Unternehmen, die sich bisher zum Safe Harbor-Abkommen bekannt hatten und nach seinen Vorgaben arbeiten.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Facebook

Datenschutz

Cloud Computing