Wien. Die ersten Reaktionen auf das EuGH-Urteil rund um "Safe Harbour", Facebook und den Datenschutz sprechen von einem "Meilenstein für den Datenschutz", sehen "weitreichende Konsequenzen" und fordern "Gesetzgeber zum Handeln auf".

Weitreichende Konsequenzen

"Die Entscheidung hat für Unternehmen in den USA und Europa weitreichende Konsequenzen. So ist ein Übermitteln oder Überlassen von Daten in die USA oder in Clouds von US-Unternehmen unter dem Safe Harbour-Regime nicht mehr möglich. Die US-Anbieter müssen sich nun einen Plan-B überlegen, um weiterhin für europäische Unternehmen tätig sein zu können", so eine Aussendung von CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH.

"Aber auch auf die europäische Cloud-Wirtschaft sind die Auswirkungen wahrscheinlich groß. Als vorläufige Konsequenz müsste ein österreichisches Unternehmen entweder Einzelpersonen um Zustimmung zur Datenweitergabe in die USA bitten, oder aber es müsste eine aufwändige Einzelfallprüfung durch die österreichische Datenschutzbehörde erfolgen, zum Beispiel, ob der Empfänger in den USA dem PRISM-Programm unterliegt oder nicht. Eine weitere Alternative ist der Abschluss von sog. "Standardvertragsklauseln", welche allerdings ebenfalls auf einer Entscheidung der EU-Kommission beruhen und nach dem nunmehrigen Urteil möglicherweise auch zu Fall gebracht werden könnten.

Es bleibt abzuwarten, wie die nationalen Datenschutzbehörden mit der vorliegenden Entscheidung umgehen werden. Voraussichtlich werden sie in naher Zukunft eine Veröffentlichung bzw. Empfehlung an die betroffenen Unternehmen richten, wie der nunmehr rechtswidrige Zustand der Datenweitergabe in die USA zu sanieren ist", so die Meinung der Rechtsanwälte.

Meilenstein für den Datenschutz

Die ISPA sieht "alleine schon das Verfahren - aber jetzt natürlich auch das Urteil - ist ein starkes Zeichen für den Schutz der Grund- und Menschrechte im Internet", das zeigt, dass die Sensibilisierung für dieses Thema steigt. Die ISPA sieht dies als ganz klares Signal gegen Massenüberwachung und Zensur und als klaren Auftrag an den Gesetzgeber; und zwar nicht nur in den USA und der EU, sondern auch in Österreich, wo beispielsweise beim Staatsschutzgesetz oder den Netzsperren speziell im Bereich des Rechtsschutzes mit mehr Sorgfalt vorgegangen werden sollte.

"Prinzipiell gibt die ISPA jedoch zu bedenken, dass das Internet auf Datenaustausch beruht. Sofern keine Nachfolgeregelung gefunden werden kann, würde die ersatzlose Streichung von Safe Harbor diesen Datenaustausch bzw. Datentransfer über die Grenzen der EU hinweg deutlich erschweren und könnte somit schlimmstenfalls zu einer Abkapselung der EU führen. Das würde die weitere Entwicklung der digitalen Wirtschaft sowie des Internets stark behindern beziehungsweise das damit verbundene Potential deutlich reduzieren", so die Aussendung weiter.

ISPA sieht aber auch klaren Auftrag an den Gesetzgeber

Bei allen Defiziten hat Safe Harbor für eine einheitliche Vorgehensweise bei der Datenübertragung und damit deutlich zur Rechtssicherheit vor allem bei KMUs beigetragen. Diese stellen über 60 Prozent der Safe Harbor Teilnehmer dar und sind durch das Aussetzen besonders stark betroffen, da sie nicht über die erforderlichen Ressourcen verfügen, Einzelgenehmigungen für jeden Transfer durch die Datenschutzbehörde zu tragen.

Darüber hinaus hat Safe Harbor bei rund 4.000 US-amerikanischen Unternehmen dafür gesorgt, dass europäische Datenschutzstandards von diesen akzeptiert und angewandt wurden. Natürlich besteht - speziell bei der Frage der Überwachung durch fremde Nachrichten- und Geheimdienste - enormes Verbesserungspotential. Daher soll aus ISPA-Sicht das heutige Urteil als Chance gesehen und genutzt werden, das Datenschutzniveau zu vereinheitlichen und praktikabel zu gestalten sowie die Einhaltung durch sinnvolle Überprüfungsmaßnahmen für alle am europäischen Markt tätigen Unternehmen sicherzustellen. Nur so - und nicht durch eine digitale Isolierung Europas - wird es gelingen, die europäische digitale Wirtschaft voranzutreiben.

"Unternehmen brauchen klare und praktikable Regelungen", fasst Maximilian Schubert, Generalsekretär der ISPA zusammen. "Wichtig dabei ist ein einheitliches Niveau, das einerseits den Schutz der Privatsphäre effektiv gewährleistet, auf der anderen Seite jedoch Innovation nicht verhindert. Ein Übererfüllen der datenschutzrechtlichen Standards ist zudem eine klare Chance für Unternehmen, sich dadurch vom Mitbewerb abzuheben – was ja heute auch schon von einigen praktiziert wird."

Zur Vorgeschichte

Im Jahr 2013 hat der österreichische Jusstudent Max Schrems Facebook wegen Verletzung des Datenschutzgesetzes in Irland geklagt. Er argumentierte, dass Facebook automatisch alle Daten in die USA unter Berufung auf das Safe Harbour-Regime übermittelte.

Nach Ansicht von Max Schrems verstößt es gegen EU-Recht, Daten ohne Prüfung durch nationale europäische Behörden, ob Facebook europäisches Datenschutzrecht in den USA einhält, dorthin zu übermitteln.

Der High Court of Ireland hat bereits Ende September 2014 festgestellt, dass diese Frage für die Auslegung des Unionsrechts relevant gewesen sei und hat daher ein Vorabentscheidungsverfahren beim EuGH eingeleitet, der den Fall zur Aktenzahl C-362/14 führte.

Entscheidungsinhaltlich war, ob das Safe Harbour-Regime mit EU-Recht im Einklang steht. Das Safe Harbour-Regime basiert auf einem Vertrag zwischen der EU und den USA, das eine Selbstzertifizierung der US-Unternehmen vorsieht. Alle Unternehmen, die in der Liste der US-Regierung als zertifiziert eingetragen waren, sollten so behandelt werden, als wären sie europäische Gesellschaften im Hinblick auf das Datenschutzrecht. Diese Zertifizierung war bis dato ein Garant dafür, dass das jeweilige Unternehmen europäische Datenschutzstandards einhält.

Am 06.10.2015 urteilte der EuGH, dass das Safe Harbour Abkommen zwischen den USA und der EU ungültig sei, weil US-Unternehmen keinen adäquaten Datenschutz bieten könnten. Seit den Enthüllungen von Edward Snowden gelten die US-Unternehmen nicht mehr als "sicherer Hafen" für die Daten europäischer Nutzer.

Safe Harbour - Was das Urteil bedeutet

Die USA sind kein sicherer Hafen für Daten europäischer Nutzer - so lautet ein Urteil des EU-Gerichtshofs. Die Blanko-Erlaubnis, Informationen nach Amerika zu schicken, wurde für ungültig erklärt. Viele Nutzer werden im Alltag nichts merken, die Firmen schon.

Es ist ein Signal der Europäer für den Datenschutz im Netz: Nutzerdaten können nicht länger ohne weiteres in die USA übermittelt werden. Das entschied der Europäische Gerichtshof (EuGH) in einem Grundsatzurteil. Während Unternehmen höhere Kosten fürchten, können die Europäer auf einen besseren Schutz ihrer Daten hoffen.

Worin liegt das Problem?

Wer auf Facebook einen bestimmten Film mag, im Online-Shop einkauft oder im Internet etwas sucht, hinterlässt Daten. Solch persönlichen Informationen übermitteln US-Internetfirmen wie Facebook, Google oder Amazon - aber zum Teil auch europäische Firmen - auf Server in den USA. Wie seit den Enthüllungen von Edward Snowden 2013 bekannt ist, können dort auch US-Geheimdienste und Fahnder großzügig Zugang zu den Daten bekommen. Dabei sind die Hürden deutlich niedriger als in der EU zulässig. Die Standards der "Safe Harbor"-Vereinbarung, wonach US-Firmen europäische Datenschutzstandards garantieren, werden verletzt, wie der EU-Gerichtshof entschied. Deshalb erklärte er "Safe Harbor" für unzulässig.

Können jetzt gar keine personenbezogenen Daten europäischer Internet-Nutzer mehr in die USA übermittelt werden?

Doch. Die weiterhin gültige europäische Datenschutz-Grundverordnung von 1995 sieht verschiedene Wege vor, wie personenbezogene Informationen von Europäern in andere Länder übermittelt werden können. Etwa durch eine Einwilligung der Nutzer. Dabei müssen die Anbieter als Voraussetzung rechtlich festhalten, dass dort die Rechte der Bürger gewahrt werden - etwa über entsprechende Verträge. Für die Datenübermittlung in die USA wurde das bisher mit "Safe Harbor" einfach vorausgesetzt, es waren keine weiteren Anstrengungen nötig.

Da das Urteil von einem Verfahren gegen Facebook ausgelöst wurde - kann zumindest das Online-Netzwerk jetzt keine Daten mehr in die USA übermitteln?

Das ist das Paradoxe an der Situation: Facebook selbst sieht sich von dem Urteil nicht direkt betroffen, weil das Online-Netzwerk sich seit Jahren nicht auf "Safe Harbor" verlasse. Stattdessen schloss die europäische Tochter Facebook Irland Verträge mit Facebook in den USA gemäß Vorgaben der Datenschutz-Verordnung ab. Zugleich schrieben die EuGH-Richter der irischen Datenschutz-Behörde aber vor, zu prüfen, ob die Übermittlung der Informationen von Facebook-Nutzern in die USA gestoppt werden müsse - weil dort die Daten nicht ausreichend geschützt seien.

Was heißt das Urteil für die Nutzer aller anderen Internet-Dienste, die Daten in die USA übermitteln?

Die Nutzer werden das Aus für "Safe Harbor" in dem Maße spüren, wie die Unternehmen davon betroffen sind. Insgesamt haben sich über 5.000 Unternehmen für eine Datenübermittlung nach "Safe Harbor" registriert. Unklar ist, wie viele davon sich nur darauf verließen. Experten gehen davon aus, dass nun vor allem auf kleinere Unternehmen ein zusätzlicher Aufwand zukommt, um den Datentransfer rechtlich abzusichern. Denkbar ist, dass US-Unternehmen künftig einer Nachweispflicht unterliegen, wo und wie Daten verarbeitet werden. Es könnten zusätzliche Kosten entstehen, etwa für neue Rechenzentren in der EU.

Was dürfen die nationalen Datenschutz-Behörden?

Das Urteil brachte ein Ergebnis, das den Internet-Firmen schon vorher große Sorgen bereitete. Bisher konnten sie sich darauf verlassen, dass die Datenschutzbehörden in allen EU-Ländern nichts gegen die Übermittlung von Daten in die USA haben. Das EuGH ermutigte sie jedoch ausdrücklich, die Einhaltung der Rechte von Europäern auch entgegen der Einschätzung der EU-Kommission eigenständig zu prüfen. Online-Anbieter befürchten jetzt, dass sie in jedem Land auf den Prüfstand gestellt werden.

Wie geht es jetzt politisch weiter?

Die EU-Kommission und das US-Handelsministerium verhandeln schon seit mehreren Jahren über eine neue Version von "Safe Harbor". Nach Informationen aus dem Umfeld der Gespräche gibt es bereits eine Annäherung in mehreren zentralen Fragen. Unter anderem sollen höhere Hürden für den Zugriff auf Daten von EU-Bürgern vorgesehen sein - also keine flächendeckende Überwachung, sondern nur punktueller Zugang. Außerdem sollen europäische Bürger die Möglichkeit bekommen, ihre Rechte in den USA zu vertreten. Das würde Probleme beheben, die "Safe Harbor" aus Sicht des EuGH ungültig machen.

Was bedeutet dann das EuGH-Urteil für diese Verhandlungen?

Das ist eine offene Frage. Einerseits wollten EU-Kommission und US-Regierung die Einwände des EuGH gegen "Safe Harbor" ohnehin ausräumen. Andererseits ist es eine politische Angelegenheit. Und die USA haben bereits deutlich gemacht, dass sie die Rechte der Europäer für ausreichend geschützt halten.