Europäischer Datenschutz setzt sich durch

Die heutige Entscheidung des Europäischen Gerichtshofs zur sog. Safe Harbor-Entscheidung der Kommission von 2000 ist ein Erdbeben für den europäisch-amerikanischen Geschäftsverkehr insgesamt. Das europäische Datenschutzrecht verbietet es nämlich Behörden und Unternehmen, personenbezogene Daten aus dem Gebiet der Europäischen Union hinaus in Drittstaaten zu übertragen, wenn der Drittstaat kein angemessenes Schutzniveau für personenbezogene Daten gewährleistet.

Das ist Safe Harbor

Damit die Frage nach dem angemessenen Schutzniveau nicht in jedem einzelnen Fall getroffen werden muss, darf die Europäische Kommission eine generelle Entscheidung darüber treffen, ob in einem Drittstaat ein angemessenes Schutzniveau besteht – im Jargon der Internet-Welt, ob er einen Safe Harbor (einen sicheren Hafen) für die Daten bildet. Solche Entscheidungen gibt es viele, etwa für die Schweiz, Andorra, Israel oder die Isle of Man. Mit diesen Entscheidungen wird allerdings nicht jede Übermittlung zulässig, sondern nur eine solche, die auch den übrigen Voraussetzungen des europäischen Datenschutzrechts genügt, wie sie auch im Europäischen Binnenmarkt gelten.

Versäumnis der Kommission

Die Entscheidung des Europäischen Gerichtshofs – von der bislang nur eine mehrseitige Pressemitteilung vorliegt – klärt nun vor allem, unter welchen Voraussetzungen die Europäische Kommission eine solche generelle Entscheidung treffen darf. Für den Fall der USA hat der Gerichtshof die Entscheidung für nichtig erklärt, weil sie den Anforderungen des Europäischen Rechts nicht genügt. Die Kommission habe nämlich, so der Gerichtshof, nicht das Datenschutzniveau der USA als solches geprüft, sondern nur ob die besonderen Bedingungen für Unternehmen den Anforderungen an das Europäische Recht genügen. Ob auch bei staatlichen Maßnahmen der Schutz des Einzelnen genügt, habe die Kommission nicht geprüft und zudem habe sie nach eigenen Äußerungen aus jüngerer Zeit Zweifel an einem angemessenen Schutzniveau.

Der Gerichtshof hat in seiner Entscheidung das Datenschutzniveau in den USA ausdrücklich nicht selbst geprüft, sondern diese Prüfung zur Aufgabe der irischen Datenschutzbehörde erklärt. Gleichwohl wird in der Entscheidung eine große Skepsis gegenüber den US-amerikanischen Standards deutlich, wenn der Gerichtshof im einzelnen erklärt, welche Maßstäbe die irische Datenschutzbehörde anlegen muss.

Zweifel bei Facebook

Die Entscheidung entzieht dem bisherigen Persilschein der Kommission für den Datenverkehr mit den USA seine Grundlage. Soweit US-amerikanische Unternehmen – etwa aufgrund der US-Bestimmungen zur Terrorismusbekämpfung – nicht zeigen können, dass die USA ein angemessenes Datenschutzniveau gewährleisten, darf eine Übermittlung in die USA grundsätzlich nicht erfolgen. Zwar kann die Übermittlung im Einzelfall durch Einwilligungen der betroffenen Personen gleichwohl zulässig sein, jedoch setzt das die Wirksamkeit dieser Einwilligungen voraus, an die das Datenschutzrecht hohe Anforderungen stellt. Gegenüber Aufsichtsbehörden muss ein Unternehmen zudem jeweils sicherstellen, dass keine Daten übermittelt werden, für die es an einer Einwilligung fehlt oder für die die Einwilligung widerrufen worden ist. Praktisch ist das für die Unternehmen kaum zu bewerkstelligen. Bei Facebook bestehen aber schon größte Zweifel, ob das Unternehmen überhaupt über rechtswirksame wirksame Einwilligungen seiner Nutzer verfügt.

Immense Folgen

Die Folgen der Entscheidung für mit Daten handelnde Unternehmen sind immens. Ohne den nahezu aussichtslosen Nachweis eines angemessenen Schutzniveaus des US-Rechts verwirklicht die Datenübermittlung in die USA in fast allen Fällen ohne wirksame Einwilligung Bußgeldtatbestände und begründet Unterlassungs- und Schmerzensgeldansprüche der Betroffenen. Angesichts der vielen Vermögenswerte, über die die betroffenen US-Unternehmen in Europa verfügen, ist auch die zwangsweise Durchsetzung der europäischen Standards realistisch.

USA müssen sich bewegen

Der hohe europäische Qualitätsstandard für den Datenschutz setzt sich also im Zweifel durch. Für die praktische Bewältigung der neuen Lage sind nun einerseits technische Lösungen erforderlich die im Hintergrund bei vielen Unternehmen zweifellos schon bereit stehen. Andererseits hat der Gerichtshof auch deutlich gemacht, dass die politischen Spielräume für Verhandlungen in den USA begrenzt sind, weil wichtige Grundrechtspositionen der europäischen Bürger auf den Spiel stehen. Die Erfahrungen mit dem nun gescheiterten Safe Harbor I-System zeigen, dass dies die USA dazu zwingen wird, sich ganz erheblich zu bewegen.