Am 6. Oktober hat der EuGH in einem aufsehenerregenden Urteil untersagt, was für viele österreichische Unternehmen gelebter Alltag ist: den Transfer personenbezogener Daten im Rahmen der Safe-Harbor-Regelung.
Ob Firmen und deren Personalabteilungen jetzt ihre Praxis ändern müssen, lesen Sie hier.
Was hinter der Massenüberwachung und wie man sich davor schützen kann, lesen Sie hier.
Dieser Artikel zeigt die rechtlichen Hintergründe auf.
Das Urteil kam nicht überraschend. Im März gab es eine mündliche Verhandlung vor dem Europäischen Gerichtshof (EuGH). Die Anhörung der EU-Kommission glich einem Kreuzverhör. Im September hat Generalanwalt Yves Bot in seinem Schlussantrag dargelegt, dass die Safe-Harbor-Regelung mit den USA gegen Datenschutzrecht verstößt und damit als ungültig zu erklären ist. Am 6. Oktober ist der EuGH in seinem Urteil dieser Auffassung gefolgt. Trotzdem hat dieses Urteil einige Überraschungen geboten: Erstens, weil es weit über das Erwartete hinaus geht, indem es nicht nur die Safe-Harbor-Regelung aufhebt, sondern die Grundrechte nach Artikel 7, 8 und 47 der Europäischen Grundrechte-Charta (GRC) hervorhebt und der EU-Kommission die Kompetenz abspricht, mit Verträgen, Abkommen oder Regelungen in diese Grundrechte einzugreifen. Zweitens ist überraschend, dass das Urteil schon jetzt ergangen ist, viele hatten erst zu einem späteren Zeitpunkt damit gerechnet. Und drittens überrascht, dass keinerlei Übergangsfristen enthalten sind. Was der EuGH entschieden hat, gilt also ab sofort. Der EuGH fungierte als »negativer Gesetzgeber«, was bedeutet, dass dieses Urteil geltendes Recht geschaffen hat. Die EU-Kommission kann nicht viel tun, außer möglichst schnell neue Regeln zu schaffen. Genau das hat ihr der EuGH mit diesem Urteil aber sehr schwer gemacht.
Im EuGH-Erkenntnis steht wörtlich: »Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens.« Es gilt außerdem Folgendes: »Bietet hingegen ein Drittland kein angemessenes Schutzniveau, so ist die Übermittlung personenbezogener Daten in dieses Land zu untersagen.« Daher ist die Übermittlung personenbezogener Daten in die USA unter Berufung auf die Safe-Harbor-Regelung ab sofort nicht mehr erlaubt.
Das ist eine schallende Ohrfeige für die EU-Kommission. Da hilft es wenig, dass Justizkommissarin Věra Jourová und Kommissions-Vizepräsident Frans Timmermans in einer Pressekonferenz einige Stunden nach der Urteilsverkündung nervös erklärten, dass dieses Urteil die Vorgehensweise der Kommission bestätige (Timmermans: »I see this as a confirmation of the European Commission’s approach for the renegotiation of the Safe Harbour.«) und der Transfer personenbezogener Daten in die USA aktuell weitergehen könne. Ersteres ist wohl irgendwo zwischen politischem Schönsprech und glatter Lüge angesiedelt und Letzteres stimmt nur in Ausnahmefällen.
Auf der Website der österreichischen Datenschutzbehörde (http://www.dsb.gv.at) stand dann auch bereits am 7. Oktober zu lesen [Zitat gekürzt]: »Die Europäische Kommission hat in ihrer offiziellen Stellungnahme zur Safe-Harbor-Entscheidung vom 6. Oktober 2015 unter anderem festgehalten, dass ein Transfer personenbezogener Daten in die USA auch in Zukunft auf Mechanismen wie Standardvertragsklauseln und Binding Corporate Rules gestützt werden kann. Die Datenschutzbehörde behält sich (diesbezüglich) im Rahmen des Genehmigungsverfahrens aber die Beurteilung des im Empfängerstaat geltenden angemessenen Datenschutzniveaus gemäß § 13 Abs. 2 DSG 2000 im Einzelfall vor.« Mit anderen Worten: Was die EU-Kommission gesagt hat, muss nicht gelten. Und de facto gilt es auch nicht, siehe EuGH-Erkenntnis, aus dem klar hervorgeht, dass ein Grundrecht nicht durch Verträge ausgehebelt werden kann.
Zwickmühle
Um die aus dem Urteil folgende politisch und rechtlich schwierige Situation zu verstehen, muss man einen Blick auf die Hintergründe werfen. Es war der österreichische Jurist Max Schrems, der – ursprünglich noch als Student – gegen die Handhabung seiner persönlichen Daten durch Facebook rechtlich vorgegangen ist. Der europäische Firmensitz von Facebook befindet sich in Irland und so musste sich Max Schrems an irische Gerichte und die irische Datenschutzbehörde wenden. Was lange Zeit wie ein aussichtsloser Kampf wirkte, nahm eine Wende, als der irische High Court den EuGH um Klärung der Rechtsfrage ersuchte, ob die irische Datenschutzbehörde den Fall überhaupt prüfen müsse oder die Beschwerde unter Hinweis auf die Safe-Harbor-Regel einfach ablehnen könne. Es war nun also der EuGH am Zug und nicht mehr die irischen Behörden, die sicherlich nicht unbeeinflusst sind von der Tatsache, dass Irland seit Jahren amerikanische Internetkonzerne mit laxen Regeln und anderen Erleichterungen erfolgreich ins Land lockt und wirtschaftlich davon profitiert. Zusätzlich ergab sich eine inhaltliche Verschiebung: Plötzlich ging es nicht mehr um Facebook, sondern um Safe Harbor. Und diese Regelung war aus Sicht des Datenschutzes immer schon ein Witz. Denn um als US-amerikanisches Unternehmen von der Safe-Harbor-Regelung zu profitieren, brauchte man bloß eine Erklärung abzugeben, dass man sich an diese Regelung hält. Überprüft wurde diese Selbstzertifizierung von niemandem, als europäisches Unternehmen konnte man sie auch gar nicht überprüfen. Vollends absurd wird diese Regelung durch die Tatsache, dass die in der abzugebenden Erklärung gemachten Datenschutz-Zusagen von geltendem amerikanischen Recht aufgehoben werden. Konkret: Nach Aufforderung durch die Behörden müssen die amerikanischen Unternehmen genau jene Daten aushändigen, die sie in der Erklärung zu schützen versprechen.
Es verwundert wirklich, dass es mit Max Schrems einer Privatperson bedurfte, um diese Regelung schließlich zu Fall zu bringen, und nicht Politiker oder Behörden schon lange davor und von sich aus dagegen vorgegangen sind.
Während also in Europa durch das Erkenntnis des EuGH rein rechtlich klargestellt ist, dass Abkommen, die gegen das Grundrecht auf Privatsphäre verstoßen, ungültig sind und auch keine neuen solchen Abkommen geschlossen werden dürfen, spitzt sich ein Verfahren in den USA immer mehr zu, das zwar völlig unabhängig davon geführt wurde und wird, in seinen Auswirkungen aber eng mit der Entscheidung des EuGH verknüpft ist.
Die US-Behörden forderten Microsoft dazu auf, personenbezogene Daten von EU-Bürgern auszuhändigen, die auf Servern in Irland gespeichert waren. (Es geht dabei um Hotmail-E-Mails.) Microsoft erhob dagegen Einspruch. Ein Bundesgericht entschied dann für die Behörden. Dagegen ging Microsoft in Berufung. Momentan ist dieses Verfahren beim Bundesberufungsgericht in New York anhängig, die erste Verhandlung fand Mitte September statt, eine Entscheidung wird innerhalb der nächsten Monate, spätestens im Februar erwartet. Es wird aber davon ausgegangen, dass schlussendlich der Supreme Court der USA darüber entscheiden wird – und das wird wohl erst Ende 2016 oder überhaupt erst 2017 geschehen.
Microsoft hat mittlerweile Unterstützung organisiert. Eine beeindruckende Allianz großer Unternehmen und bedeutender Organisationen hat sich hinter den IT-Konzern und dessen Rechtsansicht gestellt, darunter auch staatliche oder staatsnahe US-Organisationen. Es steht für die amerikanische Wirtschaft sehr viel auf dem Spiel.
Sollte nämlich auch die letztgültige Entscheidung lauten, dass amerikanische Unternehmen (oder überhaupt alle Unternehmen mit einem Firmensitz in den USA) die Daten europäischer Bürger sogar dann aushändigen müssen, wenn diese auf europäischen Servern gespeichert sind, dann bedeutet das in Verbindung mit dem jetzt durch das EuGH-Erkenntnis geltenden Recht in Europa, dass personenbezogene Daten nicht mehr auf den Servern US-amerikanischer Unternehmen gespeichert werden dürfen, das man also deren Dienste nicht mehr oder nur unter ganz bestimmten Voraussetzungen nutzen darf. Das ist einerseits sehr schwer vorstellbar, aber andererseits: Genau das ist streng genommen der Status quo seit dem 6. Oktober 2015.
Link zum Artikel über die Auswirkungen für Firmen und deren Personalabteilungen.
Link zum Artikel, wie man als Privatperson der Massenüberwachung entgehen kann.