Der Gerichtshof der Europäischen Union (EuGH) hat das Safe-Harbor-Abkommen zum Austausch von Daten zwischen den USA und der EU für ungültig erklärt. Die EU-Kommission habe zudem keine Kompetenz gehabt, die Befugnisse der nationalen Datenschutzbehörden durch das Abkommen zu beschränken, urteilten die Luxemburger Richter.

Im vorliegenden Fall hatte der junge österreichische Jurist Max Schrems gegen die Übermittlung seiner Facebook-Daten geklagt, nachdem 2013 durch die Snowden-Enthüllungen zahlreiche Überwachungsmethoden der NSA ans Licht gekommen waren (Az: C-362/14). Seitdem versucht Schrems, europäische Bürger vor dem NSA-Programm Prism zu beschützen.

In einem ersten Schritt legte Schrems bei der irischen Datenschutzbehörde Beschwerde gegen die Weitergabe seiner Daten durch die dort sitzende EU-Tochtergesellschaft von Facebook ein. Die Datenschutzbehörde wies die Beschwerde unter anderem mit der Begründung zurück, die Kommission habe die Vereinigten Staaten als "sicheren Hafen" eingestuft, worauf Schrems vor den obersten irischen Gerichtshof zog.

Der irische Gerichtshof wiederum hat den EuGH gebeten zu prüfen, ob eine nationale Datenschutzbehörde sich über die Entscheidung der Kommission hinwegsetzen kann. Genau genommen ging es bei dem vorliegenden Fall zunächst nicht um die Frage, ob Amerika ein "sicherer Hafen" für persönliche EU-Daten ist. Die Richter entschieden jedoch, der Bewertung des Generalanwalts beim Europäischen Gerichtshof, Yves Bot, zu folgen. Dieser hatte bereits erklärt, er halte das Safe-Harbor-Abkommen für ungültig.

Die Safe-Harbor-Vereinbarung legt fest, unter welchen Bedingungen Internetunternehmen personenbezogene Nutzerdaten aus Europa in den USA verarbeiten dürfen. Die Vereinbarung beruht auf Regeln des US-Handelsministeriums und einer Entscheidung der EU-Kommission aus dem Jahr 2000. Danach müssen Internetunternehmen zusichern, dass sie die Daten ihrer europäischen Nutzer angemessen schützen. Dann dürfen sie die Daten exportieren und in den USA weiterverarbeiten. Auch deutsche Datenschützer kritisieren die Praxis. Seit den Snowden-Enthüllungen sei kaum anzunehmen, dass personenbezogene Daten in den USA ausreichend vor den dortigen Behörden geschützt seien.

Nach dem Urteil des EuGH muss Irland nun prüfen, ob Schrems Beschwerde zutrifft. Das bedeutet, die irische Datenschutzbehörde wird entscheiden müssen, ob die USA ein angemessenes Schutzniveau für personenbezogene Daten bietet. Die Richter fordern eine Überprüfung "mit aller gebotenen Sorgfalt".

Meilenstein für den Datenschutz

Schrems bezeichnete das Urteil als Meilenstein für den Schutz persönlicher Daten: "Dieses Urteil zieht eine klare Linie und macht deutlich, dass Massenüberwachung unsere grundlegenden Rechte verletzt", schreibt er in einer Mitteilung.

Die ehemalige Bundesjustizministerin Sabine Leutheusser-Schnarrenberger sagte, der Europäische Gerichtshof zeige sich als einziger echter Hüter der Grundrechte in Europa, während die deutsche und europäische Politik in Sachen Datenschutz Däumchen drehten. "Die EU muss endlich mit Druck gegenüber den USA verhandeln, damit zumindest in Europa die lückenlose Überwachung und Ausschnüffelei durch die USA beendet wird", sagte die FDP-Politikerin.

Bundesjustizminister Heiko Maas (SPD) erklärte, es müsse nun unverzüglich mit den USA über die Folgen des Urteils gesprochen werden. Es sei "ein Auftrag an die Europäische Kommission, auch international für unsere Datenschutzstandards zu kämpfen", sagte Maas.

Für Reporter ohne Grenzen ist das EuGH-Urteil eine "längst überfällige Entscheidung". Sie eröffne die Chance, "endlich die Konsequenzen aus dem Skandal um die NSA-Überwachung zu ziehen, denen die Bundesregierung bislang ausgewichen ist", sagte ROG-Geschäftsführer Christian Mihr.

EuGH-Urteil betrifft nicht nur Facebook-Daten

Die Entscheidung des Europäischen Gerichtshofs wird nun auch weitreichende Bedeutung für andere amerikanische Internetkonzerne haben. Für sie wird es nun schwieriger, Daten von Europäern in die USA zu übertragen. Nach Ansicht des Gerichts können Betroffene die nationalen Gerichte anrufen und nationale Datenschutzbehörden können prüfen, ob die Daten einer Person entsprechend geschützt sind.

Vor allem dürfte das Urteil kleinere Unternehmen treffen, die sich bisher komplett auf Safe Harbor verließen. Schwergewichte wie Facebook oder Google mit ihren großen Rechtsabteilungen können leichter die nötigen Verträge zur Datenübermittlung ohne Safe Harbor ausarbeiten. Einige Unternehmen – etwa Microsoft – berufen sich gar nicht erst auf Safe Harbor, sondern auf Alternativen wie die sogenannten Standardvertragsklauseln. Davon hat die EU-Kommission mittlerweile drei Versionen verabschiedet. Eine Übermittlung von personenbezogenen Daten auf dieser Grundlage in das EU-Ausland ist zulässig.