Safe-Harbor-Urteil : Datenschutzbehörden setzen EU-Kommission Ultimatum
- -Aktualisiert am
Wohin liefern diese Kabel die Daten? Bild: dpa
Der Europäische Gerichtshof hat entschieden: Daten dürfen nicht mehr so leicht nach Amerika geschickt werden. Welche Regeln gelten jetzt? Zur Klärung gibt es eine Frist.
Die EU-Datenschutzbehörden geben der Europäischen Kommission und der amerikanischen Regierung nach dem Safe-Harbor-Urteil des Europäischen Gerichtshofs drei Monate Zeit, um eine Lösung für die Datenübertragung in die Vereinigten Staaten zu finden.
In einer gemeinsamen Erklärung der nationalen Datenschutzbehörden vom Wochenende heißt es, wenn es bis Ende Januar 2016 keine angemessene Lösung gebe, seien die Datenschutzbehörden der EU-Staaten verpflichtet, alle nötigen und angebrachten Schritte zu ergreifen. Das beinhalte abgestimmte Schritte, um das Urteil durchzusetzen, sprich: Vollstreckungsmaßnahmen und Bußgelder gegen Unternehmen, die weiterhin Daten in Amerika speichern.
Der Europäische Gerichtshof (EuGH) hatte Anfang Oktober in einem Grundsatzurteil festgestellt, dass die Übertragung persönlicher Daten von Europa nach Amerika auf der Grundlage des Safe-Harbor-Abkommens nicht mehr möglich ist. Die Richter hatten argumentiert, dass die Vereinigten Staaten angesichts des weitgehenden Zugriffs der nationalen Geheimdienste auf die dort gespeicherten persönlichen Daten nicht als „sicherer Hafen“ eingestuft werden können. Das ist Voraussetzung dafür, dass die Kommission Unternehmen nach dem Safe-Harbor-Abkommen Transfer und Speicherung von Daten nach Amerika erlaubt.
Auch den Unternehmen bleibt jetzt Zeit
Rechtlich gesehen, dürfen rund 4400 betroffene Unternehmen seither keine Daten mehr auf dieser Basis dorthin transferieren. Sie müssten sie stattdessen in der EU speichern. Tatsächlich fließen die Daten momentan weitgehend ungehindert weiter. Das Urteil trifft die großen Internetunternehmen Facebook, Google oder Amazon. Viel gravierender ist es für viele Dienstleister, die nicht in der Lage sind, kurzfristig in der EU die nötigen Speicherkapazitäten zu schaffen. Sie können nun etwas aufatmen. Zumindest bis Ende Januar müssen sie nicht mit rechtlichen Schritten rechnen, wenn sie dem Urteil nicht Folge leisten.
Allerdings schließen die nationalen Datenschützer explizit nicht aus, auf der Basis von Beschwerden oder anderem Anlass gegen den Transfer von Daten vorzugehen. Die in Datenschutzfragen als strikt geltende Datenschutzbehörde Schleswig-Holsteins hatte Ende vergangener Woche klargestellt, dass sie das EuGH-Urteil eng auszulegen gedenkt.
Die nationalen Datenschutzbehörden kündigten weiter an, bis Ende Januar zu analysieren, inwieweit Unternehmen andere Wege nutzen können, um Daten in den Vereinigten Staaten zu speichern. Sie erwähnen als Option Standardvertragsklauseln. Das sind Musterverträge zwischen dem europäischen Datenexporteur (etwa Facebook Ireland) und dem amerikanischen Datenimporteur (die Facebook-Muttergesellschaft). Der Importeur sagt darin - vereinfacht gesagt - zu, die EU-Datenschutzregeln zu beachten. Nach Ansicht der Datenschutzbehörde Schleswig-Holstein bieten diese Verträge allerdings keinen ausreichenden Schutz für die EU-Daten. Das sei erst der Fall, wenn die Vereinigten Staaten ihr Datenschutzrecht auf EU-Niveau höben.
