Mobile-Menu

Konsequenzen des EuGH-Urteils Zu viel spioniert – Safe-Harbor gekippt

Autor / Redakteur: Dr. Stefan Riedl / Dr. Stefan Riedl

Geheimdienst-Kritiker fühlen sich bestätigt, Rechtsanwälte warnen, Verbände kommentieren. IT-BUSINESS gibt einen Überblick über erste Reaktionen nach dem, vom EuGH gekippten, Safe-Harbor-Abkommen. Dieser Vorgang betrifft nicht nur die Zusammenarbeit mit Unternehmen, die personenbezogene Daten in die USA übertragen, sondern auch „Binding Corporate Rules“ in Konzernen.

Firma zum Thema

Der Europäische Gerichtshof EuGH kassierte das Safe-Harbor-Abkommen ein.
Der Europäische Gerichtshof EuGH kassierte das Safe-Harbor-Abkommen ein.
(Bild: kamasigns - Fotolia.com)

Der Europäische Gerichtshof (EuGH) hat in einem Grundsatzurteil festgestellt, dass personenbezogene Daten europäischer Internet-­Nutzer nicht ohne Weiteres auf US-Server übertragen werden ­dürfen.

Der Grund: Dort werden EU-Datenschutzstandards nicht gewährleistet.

Bildergalerie

Das nun aufgekündigte Safe-Harbor-­Abkommen stammt aus dem Jahr 2000. Bis September 2015 sind etwa 5.500 US-amerikanische Firmen beigetreten. Darunter bekannte Namen wie Dropbox, IBM, Microsoft, General Motors, Amazon, Google, HP und Facebook.

Im Rahmen dieses Abkommens haben sich diese Firmen verpflichtet, die Datenschutzregeln des jeweiligen Ausgangslandes einzuhalten. Deutsche und europäische Unternehmen sowie Endkunden haben dadurch Datenübertragungen personenbezogener Daten mit US-Dienstleistern vereinbart und ihre Daten in den USA gespeichert.

Die Vorgeschichte

Die Schlapphüte aus einem der vielen US-Geheimdienste bedienen sich bislang ohne große Hürden. Das K.O.-Argument „Terrorismusbekämpfung“ stellt jedoch immer weniger skeptische Denker kalt. So wird im medialen Mainstream seit geraumer Zeit das Thema Wirtschafts- und Industriespionage besprochen (beispielsweise bei Maybrit Illner).

Das EuGH-Urteil bezog sich auf Snowden-Enthüllungen.
Das EuGH-Urteil bezog sich auf Snowden-Enthüllungen.
(Bild: © rendermax - Fotolia)

Bei der Klage ging es hingegen um den Umgang mit Nutzerdaten seitens Facebook. Ein österreichischer Datenschutz-Aktivist kippte damit letztendlich das sogenannte „Safe-Harbor-Abkommen“, nach dem die USA als „sicherer Hafen“ für Daten angesehen werden. Dieses Grundsatzurteil betrifft neben Facebook tausende weitere Unternehmen und mehrere hundert Millionen Nutzer.

Der EuGH folgte im Urteil dem Gutachten des Generalanwalts Yves Bot, in dem die Überwachung durch US-Dienste kritisiert wurde. Der Umgang mit persönlichen Daten in den USA habe daher nichts mit einem „sicheren Hafen“ zu tun.

„Ein Stück Rechtsgeschichte“

Nach Einschätzung der Nationalen Initiative für Informations- und Internet-­Sicherheit e.V. (NIFIS) müssen nun zahllose Firmen ihre Verträge auf eine neue Grundlage stellen und gegebenenfalls ihre Zusammenarbeit mit den US-Dienstleistern beenden.

Der TeleTrusT Bundesverband IT-Sicherheit e.V spricht in einer Stellungnahme davon, dass mit dem EuGH-Urteil ein Stück Rechtsgeschichte geschrieben wurde.

Zu den Konsequenzen des Urteils schreibt der Verband, dass das Urteil für den transatlantischen Datenaustausch und insbesondere für US-Internetunternehmen sowie US-Cloud Service Provider Konsequenzen habe: „Mindestens dürfte die Übermittlung personenbezogener Daten in die USA auf Basis der „Safe Harbor“-Regelung ab sofort als unzulässig gelten.“

Lesen Sie auf der nächsten Seite mehr zu den praktischen Auswirkungen.

Die Problemstellung

Rechtsanwalt Matthias Bergt aus der ­Sozietät „von Boetticher Rechtsanwälte“, führt zur EuGH-Begründung in einem Blogpost aus: „Denn in die USA übermittelte Daten von EU-Bürgern würden dort – nach dem dortigen Recht legal – in großem Umfang ­gesammelt, ohne dass es dagegen einen wirksamen Rechtsschutz gebe.“

Die ­Zugriffsmöglichkeiten der US-Geheimdienste auf diese Daten stellen zudem einen Eingriff in die europäischen Grundrechte auf Achtung des Privatlebens und auf den Schutz personenbezogener ­Daten dar (Art. 7 und 8 der Grundrechte-Charta).

„Die fehlenden Möglichkeiten für EU-Bürger, sich gegen die Überwachung zu wehren, sei ein Eingriff in das Grundrecht auf einen wirksamen Rechtsbehelf“, so Bergt. „Diese Eingriffe, insbesondere die massive und wahllose Überwachung durch die US-Geheimdienste, verstößt nach Ansicht des [EU-]Generalanwalts gegen die Verhältnismäßigkeit, so dass die EU-Kommission die Anwendung der Safe-Harbor-Entscheidung hätte aussetzen müssen.“

Binding Corporate Rules

TeletTrust geht weiter und kommentiert: „Mit Blick auf die Begründung des EuGH könnte das Urteil aber auch Auswirkungen auf die vor allem von großen Unternehmen, insbesondere multinationalen Konzernen und Organisationen, gern genutzten Binding Corporate Rules haben.“ Diese so genannten „Binding Corporate Rules“ sollen vor allem im Umfeld multinationaler Konzerne einen Rahmen für verbindliche Richtlinien zum Umgang mit personenbezogenen Daten bilden. Wenn ein Unternehmen seine „Binding Corporate Rules“ von europäischen ­Datenschutzbehörden verifizieren lässt, dann dürfen auf Grundlage dieser festgelegten Richtlinien Daten in Drittstaaten, beispielsweise in die USA, übermittelt werden. Der Verband wies jedoch darauf hin, dass der EuGH im Urteil kritisch hervorhob, dass „amerikanische Unternehmen ohne jede Einschränkung ver­pflichtet sind, die […] vorgesehenen Schutzregeln unangewendet zu lassen, wenn sie in Widerstreit zu Erfordernissen [der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten] stehen.“

Freiheiten und Rechte

Dieses Recht zu Schnüffeln, welches sich die USA herausnehmen, lässt solche „Binding Corporate Rules“ aber eben nicht mehr bindend sein, wenn es um den Schutz der ­Daten gegenüber amerikanischen Behörden geht. Aus Sicht des TeleTrust-Verbandes sind solche Regeln dadurch ein Papiertiger. Auch im Umfeld multinationaler Konzerne wird es durch den Wegfall der Safe-Harbor-Annahme daher zu Änderungen kommen müssen. Denn wie der EuGH feststellte, sind in den Vereinigten Staaten von Amerika die Zugriffe von Behörden auf diese Daten nicht auf das in der EU geforderte, „absolut Notwendige“ beschränkt. Im Urteil ist vielmehr die Rede „von der Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, [...] ohne Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels“. Laut TeleTrust ist damit die anlasslose Massenspeicherung von Daten durch die NSA gemeint.

Aus US-Sicht sei das deswegen möglich, da Daten, die in die USA übermittelt werden uneingeschränkt dem Recht der USA unterliegen, „ganz gleich, ob es Binding Corporate Rules gibt oder nicht“, so TeleTrust. Da aber das geltende Recht der USA nach Ansicht des EuGH kein ausreichendes ­Datenschutzniveau gewährleistet, sei nach EU-Recht die Übermittlung personenbezogener Daten in die USA unzulässig.

Lesen Sie auf der nächsten Seite mehr zu der praktischen Bedeutung und den politischen Konsequenzen.

Bedeutung in der IT-Praxis

Was bedeutet das gekippte Safe-Harbor-Abkommen aber überhaupt in der Praxis? Thomas Schwenke von der Rechtsanwaltskanzlei Schwenke hat sich dieser Frage in einem Blogpost gewidmet.

Schwenke erläutert, dass die Tatsache, dass das Safe-Harbor-Abkommen keine Wirksamkeit mehr besitzt, dazu führt, dass entsprechende Standardvertragsklauseln angezweifelt werden müssen. Das Ergebnis sei eine große Unsicherheit bei den Unternehmen. Der Rechtsanwalt führt aus: „Als einzig sichere Alternative kommen daher die Einwilligungen der betroffenen Kunden/Nutzer/Mitarbeiter in Frage, die ­jedoch praktisch schwer umzusetzen sind. Sie dürfen beispielsweise nicht in den AGB „versteckt“ werden, müssen also ähnlich wie Newsletter-Anmeldungen per Kontrollkästchen erklärt werden.

Ferner muss den Einwilligungen eine ausführliche Darstellung der übermittelten Daten, ihrer Zwecke und der, mit ihrer Übermittlung verbundenen Risiken, vorgehen.“

„In den meisten Fällen“, so Schwenk, „wird der Wegfall von Safe Harbor jedoch bedeuten, dass rechtswidrige Praktiken ­„lediglich“ ein Stück mehr rechtswidrig werden.“

Lesen Sie auf der nächsten Seite mehr zu den praktischen Auswirkungen.

Handlungsempfehlungen

Als Handlungsempfehlungen nennt Schwenke, dass nach Möglichkeit EU- statt US-Anbieter gewählt werden sollten, beziehungsweise US-­Anbieter, die ADV-Verträge (Auftragsdatenverarbeitung) anbieten, nach denen die Daten in der EU verarbeitet werden, wie es beispielsweise auch bei Amazon Web Services oder Microsoft möglich ist. Auch Dienstleister, die Nutzer-, Kunden- oder Mitarbeiter-Daten im Auftrag verarbeiten, sollten nach solchen ADV-Verträgen gefragt werden. Im Zweifel sollten Betroffene stets um deren Einwilligung gebeten werden. Außerdem sollte stets eine Datenschutzerklärung angeboten werden, die über die vorgesehene Datenverarbeitung Auskunft gibt.

Seitens der IT-Verbände wurde vor allem betont, dass die Rechtsunsicherheit überwunden werden muss. Dahingehend ­äußerte sich Oliver Süme, Eco Vorstand Politik & Recht (siehe Kasten „Ergänzendes zum Thema“), aber auch der Bitkom-Verband. So kommentierte Susanne Dehmel, Geschäftsleiterin des Digitalverbands Bitkom: „Tausende von Unternehmen haben ihre Datenübermittlungen zwischen Deutschland und den USA bisher auf Safe Harbor gestützt. Die Unternehmen brauchen jetzt schnellstmöglich Rechtssicherheit.“

Dr. Thomas Endres, Vorsitzender des Voice-Präsidiums, dem Bundesverband der IT-Anwender, sagte in dem Zusammenhang: „Gleichgültig wie eine Nachfolgeregelung aussehen wird, sie muss zuallererst eine gemeinsame europäische Lösung sein.“

Politische Ursachenbekämpfung nicht in Sicht

Es ist ein offenes Geheimnis, dass es bei der Überwachung auch um Wirtschafts- und Industriespionage geht.
Es ist ein offenes Geheimnis, dass es bei der Überwachung auch um Wirtschafts- und Industriespionage geht.
(Bild: © Photonzzz - Fotolia)

Ein No-Spy-Abkommen zur Ursachenbekämpfung der Problematik wird es aber nicht ­geben. Die USA erteilten so einem Abkommen bereits eine Absage. In aller Deutlichkeit geht das aus einem internen E-Mail-Verkehr zwischen dem politischen Berlin und Washington hervor, welchen der Rechercheverbund der Süddeutschen Zeitung, des NDR und des WDR öffentlich gemacht hat. In dieser Richtung wurde unmissverständlich abgeblockt. Ein No-Spy-Abkommen stand nie zur Debatte. Dieser Umstand erschwert eine politische Lösung. Denn das „NSA-Problem“ kann nicht technisch, sondern muss politisch gelöst werden.

(ID:43648160)