Zum Hauptinhalt springen

"Es ist kein Sieg für den Datenschutz"

Von Gregor Kucera

Politik

Der Europäischen Gerichtshof hat das "Safe Harbour"-Abkommen gekippt, weil er die Daten europäischer User in den USA nicht geschützt sah. Für Facebook und Co werde sich durch das Urteil aber am wenigsten ändern, sagt der Jurist Lukas Feiler.


Hinweis: Der Inhalt dieser Seite wurde vor 8 Jahren in der Wiener Zeitung veröffentlicht. Hier geht's zu unseren neuen Inhalten.

"Wiener Zeitung":Ist das EuGH-Urteil ein Sieg für den Datenschutz?Lukas Feiler: Der EuGH stärkt den Datenschutz mit seiner Entscheidung nicht. Es gibt, faktisch gesprochen, keinerlei Schutz gegen die Aktivitäten der Geheimdienste. Wenn die US-Geheimdienste Daten wollen, schaffen sie sich Zugriff darauf, egal ob die Daten nun in den USA oder in Europa liegen. Und man darf auch nicht vergessen, dass europäische Geheimdienste, etwa der britische oder französische, ebenfalls Daten ausspionieren. Dadurch, dass Safe Harbor nun für ungültig erklärt wurde, ändert sich für Konsumenten de facto wenig. Für Unternehmen sind allerdings weitere Schritte notwendig, um den Datentransfer in die USA zu ermöglichen. Was man geschaffen hat, ist mehr Bürokratie - einen Papiertiger, der nun gefüttert werden will. Denn ein Datenaustausch mit Unternehmen in den USA ist immer noch möglich, wenn bürokratische Hürden genommen werden: Erstens müssen Unternehmen in der EU mit Datenempfängern in den USA Standardvertragsklauseln abschließen, die die Europäische Kommission bereits vor langem veröffentlich hat. Zweitens müssen zumindest österreichische Datenexporteure zusätzlich ein Genehmigungsverfahren durchlaufen, wie es jetzt schon für Länder außerhalb der EU, etwa China oder Indien, schon seit Jahren üblich ist.

Wie aufwendig ist ein solches Genehmigungsverfahren?

Grundsätzlich sind diese Verfahren relativ unkompliziert. Allerdings dauert dieses Verfahren einige Wochen. Wird nun der Andrang größer, kann es auch einige Monate dauern, bis die Anträge bearbeitet sind.

Welche Auswirkungen hat die Entscheidung auf Facebook und Co?

Wenn man sich den Ausgangsfall ansieht, so wird sich für Facebook wohl am allerwenigsten ändern. Facebook Ireland Ltd. hat vermutlich bereits Standardvertragsklauseln mit Facebook Inc. abgeschlossen, um den konzerninternen Datentransfer in die USA zu regeln. Eine effektive Verbesserung des Datenschutzes ist durch das EuGH-Urteil daher nicht eingetreten. Das Urteil ist aber in jedem Fall ein großes politisches Statement. Der EuGH hat entschieden, dass das Datenschutzniveau in den USA nicht mit europäischen Grundrechten vereinbar ist.

Welche Konsequenzen wird das zur Folge haben?

Die Europäische Kommission wird ein "Safe Harbour, Version zwei" aushandeln. Von Seiten der USA wird es wohl in den beiden kritisierten Punkten Zugeständnisse geben: beim fehlenden Rechtsschutz für Betroffene gegen den Eingriff von Behörden und bei den Bereichen, in denen es um die nationale Sicherheit geht. Zumindest auf dem Papier. Es ist also ein Safe Harbour eins mit kleinen Verbesserungen zu erwarten. Um zu erfahren, ob sich die US-Geheimdienste an Safe Harbour zwei tatsächlich halten, bedürfte es allerdings eines zweiten Edward Snowden.

Wird die Entscheidung des EuGH Auswirkungen auf verstärkte Datenschutzbestrebungen innerhalb der USA haben?

Man muss sich bewusst sein, dass in den USA eine andere Rechtsauffassung und Rechtskultur herrscht. Daher darf man den Einfluss der europäischen Rechtsprechung auch nicht überbewerten. Natürlich wird über die Safe-Harbour-Entscheidungen des EuGH diskutiert, aber die grundsätzliche Einstellung zum Thema Privatsphäre wird sich nicht ändern. Es gibt in den USA zwar in einzelnen Wirtschaftssektoren gesetzliche Regelungen, aber kein Grundrecht auf Datenschutz. Auch sonstiger verfassungsrechtlicher Schutz setzt voraus, dass man seine Daten mit keinem Dritten geteilt hat - und sie insbesondere nicht einem Service-Provider (etwa Facebook, Anm.) anvertraut hat. Insofern handeln die Behörden und Geheimdienste rechtskonform, wenn sie sich Daten von Drittanbietern wie Facebook oder Google verschaffen.

Lassen sich Rückschlüsse auf die Auswirkungen für europäische beziehungsweise US-amerikanische Unternehmen ziehen?

Für europäische Unternehmen bedeutet es zusätzlichen Bürokratieaufwand, wenn sie rechtskonform Daten in die USA transferieren wollen. In manchen Fällen werden US-Anbieter sich auch weigern, rechtskonforme Standardvertragsklauseln anzubieten. Manche große europäische Unternehmen werden die Verhandlungsmacht besitzen, mit ihren US-amerikanischen Vertragspartnern die Standardvertragsklauseln zu implementieren. Übrig bleiben Millionen europäischer Ein-Personen-Unternehmen und Klein- und Mittelständler, die keine Chance haben, ihren amerikanischen Softwareanbietern - etwa Clouddienste oder E-Mail-Services - irgendwelche Vertragsänderungen aufzuzwingen. Und solange es zu vielen Angeboten keine adäquate europäische Konkurrenz gibt, wird sich daran auch nichts ändern. Gerade in Österreich gibt es auch viele Unternehmen, die das Thema Datenschutz überhaupt noch nicht ernst nehmen. Für US-amerikanische Unternehmen wird es schwieriger werden, ihre Dienstleistungen in der EU zu verkaufen. Nicht nur, dass Standardvertragsklauseln notwendig sind: Zumindest die österreichischen Geschäftskunden werden auch die Genehmigung der Datenschutzbehörde abwarten müssen, bevor sie die Dienstleistung aus den USA in Anspruch nehmen.



Welche Möglichkeiten haben Privatanwender?

Für Privatanwender ist das deutlich schwieriger. Man weiß meist wenig darüber, wo die Daten liegen oder gespeichert werden. Als Privatanwender sollte man sich bewusst folgende Frage stellen: Welchem Unternehmen vertraue ich meine Daten an? Einem der großen Anbieter oder einem kleinen Start-up? Einem Unternehmen, das offenlegt, wo sich seine Datenzentren befinden, oder einem, das daraus ein Geheimnis macht? Sollte man eine Verletzung des Datenschutzes feststellen, kann man erstens eine Beschwerde bei der Datenschutzbehörde einbringen. Zweitens kann man gegen das betroffene Unternehmen auch Klage einbringen - sofern man sich dafür Zeit nehmen will.

Zur Person

Lukas

Feiler

ist Rechtsanwalt und Leiter der Praxisgruppe Information Technology/Intellectual Property bei Baker & McKenzie /Diwok Hermann Petsche Rechtsanwälte.