Categories: RechtRegulierung

EU-Generalanwalt hält Datenschutzniveau in den USA für unzureichend

EU-Generalanwalt Yves Bot hat in seinen Schlussanträgen im Verfahren zwischen dem österreichischen Juristen Max Schrems und Facebook festgestellt, dass das Datenschutzniveau der USA nicht den Anforderungen der Europäischen Union genügt. Daher halte er auch das sogenannte Safe-Harbor-Abkommen, das US-Diensten die Übermittlung und Speicherung von Daten europäischer Nutzer erlaubt, für ungültig. Sollte der Europäische Gerichtshof (EuGH) der nicht bindenden Empfehlung des Generalanwalts wie üblich folgen, dürfte dies erhebliche Auswirkungen auf Facebook und andere US-Dienste sowie Cloud-Services haben, die personenbezogene Daten verarbeiten.

Laut Bot erhalten US-Geheimdienste bei amerikanischen Social-Media-Plattformen unbeschränkt und ohne jegliche unabhängige Aufsicht Zugriff auf personenbezogene Daten europäischer Bürger. Daher verstoße die Übermittlung und Speicherung dieser Daten in den USA gegen die EU-Grundrechte auf Privatsphäre, Schutz personenbezogener Daten sowie das Recht auf effektiven Rechtsschutz. Die als Safe Harbor bezeichnete Entscheidung der EU-Kommission aus dem Jahre 2000 zur Datenübermittlung beruht dem EU-Generalanwalt zufolge auf der falschen Annahme, dass das Datenschutzniveau in den USA dem in der EU entspricht. Sie sei daher ungültig.

Außerdem hindere die Entscheidung der Kommission nationale Behörden nicht daran, die Übermittlung der Daten europäischer Nutzer von Facebook an Server in den USA zu untersagen. Genau auf diese Entscheidung hatte sich aber nicht nur Facebook in dem Verfahren berufen, sondern verweisen auch andere Cloud-Dienste wie Salesforce.com immer wieder. Folgt der EuGH nun der Auffassung von Bot, wird es für sie erneut schwieriger.

„Der Generalanwalt tut einen überfälligen Schritt, um dem politischen Rumgeeiere bei der geheimdienstlichen Massenüberwachung ein Ende zu setzen. In seinem Votum stellt er nicht nur klar, dass die Kommission den Schutz personenbezogener Daten seit Jahren schleifen lässt. Er plädiert auch dafür, die von Edward Snowden enthüllte Totalüberwachung der elektronischen Kommunikation durch US-Dienste erstmals höchstrichterlich zu bestätigen. Folgt das Gericht dem Votum, so können politische Entscheidungsträger in Deutschland und Europa die Massenüberwachung künftig nicht mehr als unbewiesene Behauptung abtun“, kommentiert Alexander Sander, Geschäftsführer des Vereins Digitale Gesellschaft, den Schlussantrag Bots in einer Stellungnahme.

Bisher wurde argumentiert, dass nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 bei der Verarbeitung personenbezogener Daten deren Übermittlung in ein Drittland zulässig ist, wenn dieses ein „angemessenes Schutzniveau“ gewährleistet. Ob das der Fall ist, kann die EU-Kommission feststellen.

Von der für das Europageschäft zuständigen irischen Tochtergesellschaft von Facebook werden Daten europäischer Nutzer ganz oder teilweise an Server im Hoheitsgebiet der Vereinigten Staaten übermittelt und dort gespeichert. Dagegen legte Max Schrems, der seit 2008 Facebook nutzt, 2014 Beschwerde bei der irischen Datenschutzbehörde ein. Dies begründete er damit, dass aufgrund der von Edward Snowden seit 2013 enthüllten Tätigkeiten der US-Nachrichtendienste weder Recht noch Praxis in den Vereinigten Staaten angemessenen Schutz dagegen böten, dass Behörden die in die USA übermittelten Daten überwachen.

Die irische Behörde wies die Beschwerde unter anderem mit dem Verweis auf die Safe-Harbor-Entscheidung zurück. Das oberste irische Gericht fragte daraufhin im weiteren Verlauf des Verfahrens beim EuGH an, ob nationale Kontrollstellen trotz dieser Entscheidung eine Beschwerde untersuchen dürfen, mit der geltend gemacht wird, dass ein Drittland kein angemessenes Schutzniveau gewährleistet, und die beanstandete Übermittlung von Daten gegebenenfalls auszusetzen.

In seinen Schlussanträgen (PDF) hat Generalanwalt Bot dies bejaht. Überdies ist er der Ansicht, „dass die Mitgliedstaaten, falls in dem Drittland, in das personenbezogene Daten übermittelt werden, systemische Mängel festgestellt werden, die erforderlichen Maßnahmen ergreifen können müssen, um die Grundrechte, die von der Charta der Grundrechte der Europäischen Union geschützt werden, zu wahren, wie das Recht auf Achtung des Privat- und Familienlebens und das Recht auf den Schutz personenbezogener Daten.“

Laut Bot ergibt sich sowohl aus den vom irischen High Court als auch von der Kommission selbst getroffenen Feststellungen zudem, „dass das Recht und die Praxis der Vereinigten Staaten es gestatten, die übermittelten personenbezogenen Daten von Unionsbürgern in großem Umfang zu sammeln, ohne dass sie über einen wirksamen gerichtlichen Rechtsschutz verfügen. Diese Tatsachenfeststellungen belegen, dass die Entscheidung der Kommission keine ausreichenden Garantien enthält.“

Den von Max Schrems vorgetragenen Vorbehalten hat EU-Generalanwalt Yves Bot jetzt in wesentlichen Punkten zugestimmt (Bild: Edition A).Der Generalanwalt ist ferner der Ansicht, dass der Umstand, dass „Unionsbürger keine Möglichkeit haben, zur Frage des Abfangens und der Überwachung ihrer Daten in den Vereinigten Staaten gehört zu werden, einen Eingriff in das von der Charta geschützte Recht der Unionsbürger auf einen wirksamen Rechtsbehelf“ darstellt. In diesem Eingriff in die Grundrechte sieht er einen Verstoß gegen den Grundsatz der Verhältnismäßigkeit, „insbesondere weil die von den amerikanischen Nachrichtendiensten ausgeübte Überwachung massiv und nicht zielgerichtet ist“.

In einer ersten Stellungnahme (PDF) hat Kläger Max Schrems unter anderem erklärt: „Wenn das Safe-Harbor-System wegfällt, ist es sehr wahrscheinlich, dass die Datenschutzbehörden in den 28 EU-Mitgliedsstaaten den Datentransfer zu US-Firmen, die den Gesetzen zur Massenüberwachung unterliegen, nicht mehr erlauben werden. Das könnte erhebliche negative wirtschaftliche Auswirkungen auf die US-Technologiebranche haben.“

Die Schlussanträge des Generalanwalts sind für den Europäischen Gerichtshof nicht bindend, sondern stellen einen Entscheidungsvorschlag dar. Über den werden die Richter nun beraten. Wann das Urteil verkündet wird, ist noch nicht bekannt.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago