Newsbeitrag veröffentlicht am 17.10.2015
Der Europäische Gerichtshof hat am 06.10.2015 eine
Presseerklärung
herausgegeben.
Es sollte ein Urteil gefällt werden zu einem Fall, in dem ein österreichischer Staatsbürger sich über die Weiterleitung (und Verarbeitung) seiner personenbezogenen Daten,
von Facebook Irland zu Facebook USA, beschwert hatte. Vor dem Hintergrund der Informationen von Edward Snowden sei, der Meinung dieses Bürgers nach, kein ausreichender
Datenschutz in den USA vorhanden.
Der irische High Court hatte den Fall beim EuGH eingereicht, mit der Bitte zur Prüfung, ob die "Save-Harbor-Regelung"
hier Anwendung findet.
Die Save-Harbor-Regelung wurde im Jahr 2000 von der Europäischen Kommission entschieden.
Die oben genannte Presseerklärung meldet, dass sich die irische Datenschutzbehörde darauf berufen hatte, dass die Save-Harbor-Regelung ein angemessenes Schutzniveau
der übermittelten personenbezogenen Daten gewährleistet.
Lt. Wikipedia sollte durch die Save-Harbor-Regelung "es Unternehmen ermöglicht werden [...], personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA zu übermitteln."
In dem nun vorliegenden Urteil des EuGH wird zunächst festgestellt, dass die Europäische Kommission bei der Save-Harbor-Entscheidung nie
die Rechtsvorschriften der USA auf das Schutzniveau der Grundrechte hin überprüft habe.
Hinsichtlich dieses Schutzniveaus trifft in dem Urteil die Aussage, dass
"die Erfordernisse der nationalen Sicherheit, des
öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten Vorrang vor
der Safe-Harbor-Regelung [haben], so dass die amerikanischen Unternehmen ohne jede Einschränkung
verpflichtet sind, die in dieser Regelung vorgesehenen Schutzregeln unangewandt zu
lassen, wenn sie in Widerstreit zu solchen Erfordernissen stehen."
"Der Gerichtshof fügt hinzu, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen,
den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt. Ferner führt der Gerichtshof aus, dass eine Regelung, die keine Möglichkeit
für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder
Löschung zu erwirken, den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt."
Lt. der Presseerklärung des EuGH bieten die USA "kein angemessenes Schutzniveau für personenbezogene Daten".
Weiter erklärt der EuGH in diesem Urteil die Entscheidung der Europäischen Kommission von 2000 und damit die Save-Harbor-Regelung für ungültig.
Die genannte Pressemeldung weist auf folgendes hin:
"Es ist Sache des nationalen Gerichts, über die Rechtssache im Einklang mit der Entscheidung des Gerichtshofs zu entscheiden."
Ein Urteil des EuGH ist aber generell für alle Mitgliedsstaaten der Europäischen Union gültig.
Wir hatten bereits in der
Diskussion über die Nutzung von Google-Produkten
darauf hingewiesen, dass dabei das Bundesdatenschutzgesetz berücksichtigt werden muss. Dies gilt auch für die Empfehlung von Google
die Einholung der Zustimmung zu Cookies über entsprechende Tool-Anbieter umzusetzen und natürlich auch bei der Weitergabe personenbezogener Daten
(bzw. lt. Herleitung in
unserem Artikel vom 30.07.2015
möglicherweise auch pseudonymisierte Daten)
an andere Unternehmen. Hier gibt es den § 11 BDSG, welcher einen schriftlichen Auftrag,
bzw. einen Vertrag zur Auftragsdatenverarbeitung, mit festgelegten Bestandteilen
vorschreibt.
Nach § 4b BDSG "Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen" gilt:
"Die Übermittlung unterbleibt [...] insbesondere wenn [...] ein angemessenes Datenschutzniveau nicht gewährleistet ist."
Lt. § 4c hingegen ist es auch bei unangemessenem Datenschutzniveau möglich, Daten weiterzuleiten, wenn z. B. der Betroffene seine Einwilligung gegeben hat.
Das neue Urteil des EuGH könnte also möglicherweise in einem zukünftigen Urteil als Beleg eingesetzt werden, dass nach § 4b BDSG die Weiterleitung
oder die Verarbeitung von personenbezogenen Daten
(bzw. lt. Herleitung in
unserem Artikel vom 30.07.2015
möglicherweise auch pseudonymisierte Daten)
in den USA nur unter Beachtung von § 4c möglich sein könnte, also beispielsweise mit der Einwilligung des Betroffenen.
Es ist ja gut gemeint von den Verantwortlichen, dass immer wieder der Datenschutz und in diesem konkreten Fall das Recht der Nutzer verteidigt wird,
die Weiterleitung von Daten in Länder mit unangemessenem Datenschutzniveau zu unterbinden.
Es sollte aber klar sein, dass bei einem derart verbreitetem Angebot wie Facebook oder das anderer Großkonzerne, ein völliger Verzicht auf die Teilnahme
an dem Angebot auch ein Ausschluss aus wichtig gewordenen Teilen der Gesellschaft bedeuten würde.
Wie ist Ihre Meinung zu diesem Thema? Hinterlassen Sie unten Ihren Kommentar.
Hat Ihnen der Artikel gefallen? Die interessantesten eCom1.de-Infos für Webseitenbetreiber nicht mehr verpassen und
Newsletter abonnieren (hier klicken für Sprung nach unten).