EU-Generalanwalt Yves Bot hat in seinen Schlussanträgen im Verfahren zwischen dem österreichischen Juristen Max Schrems und Facebook festgestellt, dass das Datenschutzniveau der USA nicht den Anforderungen der Europäischen Union genügt. Daher halte er auch das sogenannte Safe-Harbor-Abkommen, das US-Diensten die Übermittlung und Speicherung von Daten europäischer Nutzer erlaubt, für ungültig. Sollte der Europäische Gerichtshof (EuGH) der nicht bindenden Empfehlung des Generalanwalts wie üblich folgen, dürfte dies erhebliche Auswirkungen auf Facebook und andere US-Dienste sowie Cloud-Services haben, die personenbezogene Daten verarbeiten.
Außerdem hindere die Entscheidung der Kommission nationale Behörden nicht daran, die Übermittlung der Daten europäischer Nutzer von Facebook an Server in den USA zu untersagen. Genau auf diese Entscheidung hatte sich aber nicht nur Facebook in dem Verfahren berufen, sondern verweisen auch andere Cloud-Dienste wie Salesforce.com immer wieder. Folgt der EuGH nun der Auffassung von Bot, wird es für sie erneut schwieriger.
„Der Generalanwalt tut einen überfälligen Schritt, um dem politischen Rumgeeiere bei der geheimdienstlichen Massenüberwachung ein Ende zu setzen. In seinem Votum stellt er nicht nur klar, dass die Kommission den Schutz personenbezogener Daten seit Jahren schleifen lässt. Er plädiert auch dafür, die von Edward Snowden enthüllte Totalüberwachung der elektronischen Kommunikation durch US-Dienste erstmals höchstrichterlich zu bestätigen. Folgt das Gericht dem Votum, so können politische Entscheidungsträger in Deutschland und Europa die Massenüberwachung künftig nicht mehr als unbewiesene Behauptung abtun“, kommentiert Alexander Sander, Geschäftsführer des Vereins Digitale Gesellschaft, den Schlussantrag Bots in einer Stellungnahme.
Bisher wurde argumentiert, dass nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 bei der Verarbeitung personenbezogener Daten deren Übermittlung in ein Drittland zulässig ist, wenn dieses ein „angemessenes Schutzniveau“ gewährleistet. Ob das der Fall ist, kann die EU-Kommission feststellen.
Die irische Behörde wies die Beschwerde unter anderem mit dem Verweis auf die Safe-Harbor-Entscheidung zurück. Das oberste irische Gericht fragte daraufhin im weiteren Verlauf des Verfahrens beim EuGH an, ob nationale Kontrollstellen trotz dieser Entscheidung eine Beschwerde untersuchen dürfen, mit der geltend gemacht wird, dass ein Drittland kein angemessenes Schutzniveau gewährleistet, und die beanstandete Übermittlung von Daten gegebenenfalls auszusetzen.
In seinen Schlussanträgen (PDF) hat Generalanwalt Bot dies bejaht. Überdies ist er der Ansicht, „dass die Mitgliedstaaten, falls in dem Drittland, in das personenbezogene Daten übermittelt werden, systemische Mängel festgestellt werden, die erforderlichen Maßnahmen ergreifen können müssen, um die Grundrechte, die von der Charta der Grundrechte der Europäischen Union geschützt werden, zu wahren, wie das Recht auf Achtung des Privat- und Familienlebens und das Recht auf den Schutz personenbezogener Daten.“
Laut Bot ergibt sich sowohl aus den vom irischen High Court als auch von der Kommission selbst getroffenen Feststellungen zudem, „dass das Recht und die Praxis der Vereinigten Staaten es gestatten, die übermittelten personenbezogenen Daten von Unionsbürgern in großem Umfang zu sammeln, ohne dass sie über einen wirksamen gerichtlichen Rechtsschutz verfügen. Diese Tatsachenfeststellungen belegen, dass die Entscheidung der Kommission keine ausreichenden Garantien enthält.“
Der Generalanwalt ist ferner der Ansicht, dass der Umstand, dass „Unionsbürger keine Möglichkeit haben, zur Frage des Abfangens und der Überwachung ihrer Daten in den Vereinigten Staaten gehört zu werden, einen Eingriff in das von der Charta geschützte Recht der Unionsbürger auf einen wirksamen Rechtsbehelf“ darstellt. In diesem Eingriff in die Grundrechte sieht er einen Verstoß gegen den Grundsatz der Verhältnismäßigkeit, „insbesondere weil die von den amerikanischen Nachrichtendiensten ausgeübte Überwachung massiv und nicht zielgerichtet ist“.
In einer ersten Stellungnahme (PDF) hat Kläger Max Schrems unter anderem erklärt: „Wenn das Safe-Harbor-System wegfällt, ist es sehr wahrscheinlich, dass die Datenschutzbehörden in den 28 EU-Mitgliedsstaaten den Datentransfer zu US-Firmen, die den Gesetzen zur Massenüberwachung unterliegen, nicht mehr erlauben werden. Das könnte erhebliche negative wirtschaftliche Auswirkungen auf die US-Technologiebranche haben.“
Die Schlussanträge des Generalanwalts sind für den Europäischen Gerichtshof nicht bindend, sondern stellen einen Entscheidungsvorschlag dar. Über den werden die Richter nun beraten. Wann das Urteil verkündet wird, ist noch nicht bekannt.
[mit Material von Peter Marwan, ITespresso.de]
Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…