Categories: RechtRegulierung

Europäischer Gerichtshof kassiert Safe-Harbor-Abkommen

Der Gerichtshof der Europäischen Union (EuGH) hat das sogenannte Safe-Harbor-Abkommen zwischen der EU und den USA über die Übermittlung personenbezogener Daten von EU-Bürgern einkassiert. Konkret erklärt das Gericht die Entscheidung der EU-Kommission für ungültig, mit der sie festgestellt hat, dass die „Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten“.

In einer Pressemitteilung (PDF) wirft der EuGH der Kommission vor, sie hätte prüfen müssen, ob die USA tatsächlich ein „Schutzniveau der Grundrechte gewährleisten.“ Stattdessen habe sich die Kommission auf die Prüfung des Safe-Harbor-Abkommens beschränkt. Letzteres gelte aber nur für amerikanische Unternehmen, „nicht aber für die Behörden der Vereinigten Staaten.“

US-Unternehmen müssten sich indes den geltenden US-Gesetzen unterwerfen, die sie verpflichteten, die Safe-Harbor-Regelungen nicht anzuwenden, wenn sie US-Gesetzen widersprechen. Die EU habe aber weder einen gerichtlichen Rechtsschutz gegen behördliche Eingriffe festgestellt, noch Regeln, die solche Eingriffe begrenzen. Von daher erlaube die Safe-Harbor-Regelung Eingriffe amerikanischer Behörden in die Grundrechte von EU-Bürgern.

In ihrem Urteil berufen sich die Richter unter anderem auf zwei Mitteilungen der Kommission. Darin bestätige sie, dass die USA Daten von EU-Bürgern in einer Weise verarbeiteten, die „mit den Zielen der Übermittlung unvereinbar war und über das hinausging, was nach Ansicht der Kommission zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig gewesen wäre“. Außerdem gebe es für Betroffene keine „administrativen oder gerichtlichen Rechtsbehelfe“, um beispielsweise eine Berichtigung oder Löschung von Daten zu erwirken.

Darüber hinaus weist das Gericht darauf hin, dass das Safe-Harbor-Abkommen keine Bestimmungen enthält, die nationale Datenschutzbehörden hindert, die an Drittländer übermittelten Daten zu kontrollieren. Die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union verfügten, könne die EU-Kommission „weder beseitigen noch einschränken“. Die Ungültigkeit einer Entscheidung der Kommission könne allerdings nur der EuGH feststellen.

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Ausgelöst hatte das Verfahren eine Beschwerde des österreichischen Juristen Max Schrems. Er behauptet, dass seine von Facebook auf US-Servern gespeicherten Daten dort vor einer Überwachung durch US-Behörden nicht ausreichend geschützt seien. In seiner Beschwerde bei der irischen Datenschutzbehörde, die jedoch keine Verstöße gegen Datenschutzgesetze feststellte, berief er sich unter anderem auf Unterlagen aus dem Fundus des Whistleblowers Edward Snowden. Der von ihm schließlich angerufene irische High Court wandte sich zur Klärung des Sachverhalts an den Europäischen Gerichtshof.

„Ich begrüße das Urteil sehr, das hoffentlich ein Meilenstein für die Privatsphäre im Internet ist“, heißt es in einer ersten Stellungnahme von Schrems (PDF). „Das Urteil zieht eine klare Linie. Es macht deutlich, dass Massenüberwachung unsere Grundrechte verletzt.“ Damit sei auch klar, dass US-Firmen, die die USA bei ihren Abhörprogrammen unterstützten, gegen europäische Grundrechte verstoßen.

Schrems lobt zudem die Stärkung der Befugnisse nationaler Datenschutzbehörden. Sie hätten nun das Recht, auch in Einzelfällen die Übertragung von Daten in die USA zu überprüfen.

Das Urteil sei aber auch ein Sieg über die irische Datenschutzbehörde, so Schrems weiter. Sie habe bis zum Schluss eine Bearbeitung seiner Beschwerde abgelehnt und seine Vorwürfe als „unseriös“ bezeichnet. „Die irische Behörde hat die Pflicht, ihrer Aufgabe nachzukommen und unsere Privatsphäre nach EU- und irischem Recht zu schützen.“

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago