EU-Gericht erklärt Datenschutzabkommen mit den USA für ungültig
Das zwischen der EU und den USA geschlossene Safe-Harbor-Abkommen zum vereinfachten Austausch von Nutzerdaten wurde vom Europäischen Gerichtshof für ungültig erklärt. Begründet wird dies damit, dass Safe Harbor den Handlungsspielraum für die
Datenschutzbehörden in den einzelnen Mitgliedsländern unzulässig einschränke. Anlass war eine Klage des österreichischen Facebook-Nutzers Max Schrems, nachdem dieser in Irland keine Beschwerde wegen der indirekten Weitergabe von Facebook-Daten an US-Behörden einreichen konnte.
Beschwerden und Prüfung nicht möglichIn Irland befindet sich der europäische Rechtssitz von Facebook, namens Facebook Ireland Ltd. Dadurch ist die 30-köpfige Datenschutzbehörde von Irland für alle 500 Millionen potenziellen Facebook-Nutzer in der EU verantwortlich und muss eigentlich die Einhaltung des Datenschutzes im weltweit größten Social Network überprüfen. Die Behörde sieht sich aber angesichts des Safe-Harbor-Abkommens dazu nicht in der Lage, weil dessen Regelung die Übertragung in die USA und dortige Speicherung als grundsätzlich sicher einstuft.
Übermäßige Verarbeitung wahrscheinlichIm Zuge der Snowden-Enthüllungen wurde jedoch unter anderem das Geheimdienstprogramm PRISM aufgedeckt, welches eine umfassende Überwachung und Auswertung der in die USA übermittelten Daten durchführt. Schrems sieht daher den Schutz seiner Daten bei Speicherung auf US-amerikanischen Facebook-Servern verletzt und will deren Weitergabe verhindern. Der Europäische Gerichtshof sieht ebenfalls eine übermäßige Verarbeitung der Daten als recht wahrscheinlich an und hat nun das Safe-Harbor-Abkommen für ungültig erklärt. Die EU muss diesbezüglich also wieder mit den USA an den Verhandlungstisch zurück.
Konsequenzen für IT-UnternehmenInternational agierende IT-Unternehmen müssen daher EU-Datenschutzregelungen auch in den USA berücksichtigen. Sofern es keine ausreichenden Richtlinien gibt, ist dann allerdings zusätzlich die explizite Einwilligung betroffener Personen zur Speicherung der Daten in den USA notwendig.
Konsequenzen für FacebookMax Schrems wird nun voraussichtlich eine neue Beschwerde in Irland einreichen, um Facebook an der Übertragung der Daten in die USA zu hindern. Ob dies aber Erfolg haben wird, bleibt abzuwarten. Die irische Datenschutzbehörde sieht sich nämlich für geheimdienstliche Aktivitäten wie im Fall von PRISM bislang nicht zuständig. Es erscheint daher unwahrscheinlich, dass Facebook Ireland Ltd. die Datenübertragung untersagt wird.
Weiterführende Links: