Newsbeitrag veröffentlicht am 17.10.2015




Urteil EuGH: Datenschutz der USA wird als nicht ausreichend eingestuft



Daten Speichern Ausland



Bürger legt Beschwerde gegen Facebook ein

Der Europäische Gerichtshof hat am 06.10.2015 eine Presseerklärung herausgegeben. Es sollte ein Urteil gefällt werden zu einem Fall, in dem ein österreichischer Staatsbürger sich über die Weiterleitung (und Verarbeitung) seiner personenbezogenen Daten, von Facebook Irland zu Facebook USA, beschwert hatte. Vor dem Hintergrund der Informationen von Edward Snowden sei, der Meinung dieses Bürgers nach, kein ausreichender Datenschutz in den USA vorhanden. Der irische High Court hatte den Fall beim EuGH eingereicht, mit der Bitte zur Prüfung, ob die "Save-Harbor-Regelung" hier Anwendung findet.

Bisheriger Status des Datenschutzniveaus der USA: Save-Harbor

Die Save-Harbor-Regelung wurde im Jahr 2000 von der Europäischen Kommission entschieden. Die oben genannte Presseerklärung meldet, dass sich die irische Datenschutzbehörde darauf berufen hatte, dass die Save-Harbor-Regelung ein angemessenes Schutzniveau der übermittelten personenbezogenen Daten gewährleistet. Lt. Wikipedia sollte durch die Save-Harbor-Regelung "es Unternehmen ermöglicht werden [...], personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA zu übermitteln."

EuGH stellt fest: USA hat kein angemessenes Datenschutzniveau

In dem nun vorliegenden Urteil des EuGH wird zunächst festgestellt, dass die Europäische Kommission bei der Save-Harbor-Entscheidung nie die Rechtsvorschriften der USA auf das Schutzniveau der Grundrechte hin überprüft habe.

Hinsichtlich dieses Schutzniveaus trifft in dem Urteil die Aussage, dass
"die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten Vorrang vor der Safe-Harbor-Regelung [haben], so dass die amerikanischen Unternehmen ohne jede Einschränkung verpflichtet sind, die in dieser Regelung vorgesehenen Schutzregeln unangewandt zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen stehen."

"Der Gerichtshof fügt hinzu, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt. Ferner führt der Gerichtshof aus, dass eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt."

Lt. der Presseerklärung des EuGH bieten die USA "kein angemessenes Schutzniveau für personenbezogene Daten".

Weiter erklärt der EuGH in diesem Urteil die Entscheidung der Europäischen Kommission von 2000 und damit die Save-Harbor-Regelung für ungültig.

Die genannte Pressemeldung weist auf folgendes hin: "Es ist Sache des nationalen Gerichts, über die Rechtssache im Einklang mit der Entscheidung des Gerichtshofs zu entscheiden." Ein Urteil des EuGH ist aber generell für alle Mitgliedsstaaten der Europäischen Union gültig.

Was hat sich nun faktisch geändert?

Wir hatten bereits in der Diskussion über die Nutzung von Google-Produkten darauf hingewiesen, dass dabei das Bundesdatenschutzgesetz berücksichtigt werden muss. Dies gilt auch für die Empfehlung von Google die Einholung der Zustimmung zu Cookies über entsprechende Tool-Anbieter umzusetzen und natürlich auch bei der Weitergabe personenbezogener Daten (bzw. lt. Herleitung in unserem Artikel vom 30.07.2015 möglicherweise auch pseudonymisierte Daten) an andere Unternehmen. Hier gibt es den § 11 BDSG, welcher einen schriftlichen Auftrag, bzw. einen Vertrag zur Auftragsdatenverarbeitung, mit festgelegten Bestandteilen vorschreibt.

Nach § 4b BDSG "Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen" gilt: "Die Übermittlung unterbleibt [...] insbesondere wenn [...] ein angemessenes Datenschutzniveau nicht gewährleistet ist."

Lt. § 4c hingegen ist es auch bei unangemessenem Datenschutzniveau möglich, Daten weiterzuleiten, wenn z. B. der Betroffene seine Einwilligung gegeben hat.

Das neue Urteil des EuGH könnte also möglicherweise in einem zukünftigen Urteil als Beleg eingesetzt werden, dass nach § 4b BDSG die Weiterleitung oder die Verarbeitung von personenbezogenen Daten (bzw. lt. Herleitung in unserem Artikel vom 30.07.2015 möglicherweise auch pseudonymisierte Daten) in den USA nur unter Beachtung von § 4c möglich sein könnte, also beispielsweise mit der Einwilligung des Betroffenen.

Unser Kommentar zu einer solchen Einwilligung

Es ist ja gut gemeint von den Verantwortlichen, dass immer wieder der Datenschutz und in diesem konkreten Fall das Recht der Nutzer verteidigt wird, die Weiterleitung von Daten in Länder mit unangemessenem Datenschutzniveau zu unterbinden. Es sollte aber klar sein, dass bei einem derart verbreitetem Angebot wie Facebook oder das anderer Großkonzerne, ein völliger Verzicht auf die Teilnahme an dem Angebot auch ein Ausschluss aus wichtig gewordenen Teilen der Gesellschaft bedeuten würde.
Wie ist Ihre Meinung zu diesem Thema? Hinterlassen Sie unten Ihren Kommentar.

Hat Ihnen der Artikel gefallen? Die interessantesten eCom1.de-Infos für Webseitenbetreiber nicht mehr verpassen und Newsletter abonnieren (hier klicken für Sprung nach unten).

Newsletter:








Empfehlen Sie diesen Beitrag weiter: