Irgendwann vor Jahren in meiner alten Firma musste ich dem Safe Harbor Abkommen zustimmen. Das ist jetzt aber für ungültig erklärt worden. Der Europäische Gerichtshof hat einen unzureichenden Schutz europäischer Facebook-Nutzer vor Zugriffen staatlicher Stellen der USA festgestellt. Hier ging es erst einmal nur um Facebook. Aber dieses Abkommen dürfte sich nach der Entscheidung eigentlich komplett erledigt haben. „Safe Harbor“ heißt „Sicherer Hafen“, was suggerieren sollte, dass die Daten dort sicher seien. Und das ist aber eben nicht der Fall.
Was ist Safe Harbor?
Mit dem Abkommen aus dem Jahr 2000 zwischen den USA und Europa wurde eine Grundlage im Datenschutzrecht geschaffen, mit der es Unternehmen ermöglicht wurde, personenbezogene Daten in die USA transferieren zu können. Das sollte im Einklang mit der europäischen Datenschutzrichtlinie erfolgen.
Etwas ähnliches besteht zwischen den USA und der Schweiz. Immer ging es um den Datenverkehr und den Schutz der personenbezogenen Daten. Bis September diesen Jahren sind ca. 5500 US-amerikanische Unternehmen dem Abkommen beigetreten. Und immer wieder gab es Kritik. Die alleinige Behauptung, die Daten seien sicher, hätten nie genügen dürfen, Mindeststandards hätten immer gefehlt. Aber vielleicht ist das ja jetzt alles vorbei.
Der Europäische Gerichtshof hat wegen Facebook geurteilt
Nachdem EU-Justizkommissarin Viviane Reading im September 2013 angekündigt hatte, dass der EU-Datenschutz reformiert werden müsse und Unternehmen mit bis zu 2% des weltweiten Jahresumsatzes rechnen müssten, wurde Safe Harbor im März 2014 vorerst ausgesetzt. Yves Bot, Generalanwalt am EuGH, befand September 2015 Safe Harbor nicht für bindend und daher für ungültig. Hintergrund war eine Beschwerde des österreichischen Juristen und Autors Maximilian Schrems.
Das hohe Gericht stellte fest, dass die Daten europäischer Facebook-Nutzer in den USA nicht ausreichend vor dem Zugriff staatlicher Stellen geschützt sind und daher Safe Harbor ungültig sei. Schrems hatte zuvor bei der irischen Datenschutzbehörde Beschwerde gegen Facebook eingereicht und dabei auf das PRISM-Programm der NSA verwiesen. Die Iren hatten jedoch mit Verweis auf Safe Harbor abgelehnt. Und nun wurde die Beschwerde vor dem EuGH anerkannt.
Das Urteil des Gerichtshofs nimmt dabei die Sicherheitsbehörden der USA ins Visier. Deren Ausreden „Nationale Sicherheit“, „Justiz“ oder „Öffentliches Interesse“ hätten generell Vorrang vor den Datenschutzregeln von Safe Harbor. Und dagegen können sich EU-Bürger nicht einmal wegen Datenmissbrauch wehren. Und hier wird eine strikte Verbesserung verlangt.
Facebook nicht alleiniger Verlierer
Klar, Schrems hatte es auf den eher problematischen Datenschutz von Facebook abgesehen. Aber auch Wettbewerber wie Google, Twitter oder Apple sollten zu Anpassen ihrer Datenschutzbestimmungen in der Lage sein. Aber es kann auch viele kleine Firmen treffen, die Teile der Buchhaltung oder so an Cloud-Anbieter in den USA auslagern. Und hier könnte es problematisch werden.
Es wird aber in der Endkonsequenz bedeuten, dass viele Firmen am Datenschutz arbeiten müssen und eigentlich jeder Anbieter aufgrund von Druck auf den gesamten transatlantischen Wirtschafts- und Datenverkehr das Arbeiten auf rechtlich tragfähige Füße stellen muss. Und für Verwaltungen, wie die US-Administration, wird es unumgänglich sein, ihre Geheimdienste mit einer rechtsstaatlich verbindlichen Grundlage auszustatten.
Rasche Konsequenzen
Ja, für weltweit agierende IT-Unternehmen könnte es rasch Konsequenzen geben. Facebook hat seine Europa-Zentrale in Irland. Und mit dem neuen Urteil muss der Irische Gerichtshof, an den die Beschwerde gerichtet war, nun erneut prüfen und kann die Übermittlung von Benutzerdaten für Facebook verbieten. Microsoft hatte das schon behandelt und hat eine eigene Infrastruktur für Europa begonnen. Facebook und Co. müssen nun nachziehen.
Daneben muss es auch ein neues Abkommen geben. Es müssen international verbindliche Standards im Datenschutz geschaffen werden. Wenn schon Daten in die USA transferiert werden (müssen), müssen diese dort wenigstens sicher sein. Ohne Grundlage darf niemand darauf Zugriff haben, auch keine staatliche Behörde. Und deshalb ist das Urteil ein unbedingter Erfolg.
2 Replies to “Facebook: Safe Harbor Abkommen wurde gekippt”