Der EuGH hat das Safe-Harbour-Abkommen mit den USA praktisch gekippt. Werden Facebook, Google und Co. nach dem entsprechenden Urteil den Datenverkehr auf ihre US-Server einstellen?
Das müssen Ihnen die genannten Unternehmen beantworten. Nachdem der EuGH die Safe-Harbor-Entscheidung der Europäischen Kommission (2000/520/EG3) für ungültig erklärt hat, können Übermittlungen von personenbezogenen Daten aus Europa in die USA nicht mehr auf Basis dieses Regelwerks erfolgen. Die betroffenen Unternehmen müssen nun sorgfältig prüfen, ob sie in datenschutzrechtlich einwandfreier Weise ein anderes rechtliches Instrument für die Übermittlung von Daten in die USA nutzen können.
Der Umgang der US-Internetriesen mit persönlichen Daten widerspricht eigentlich dem strengeren EU-Datenschutz – die für Facebook zuständige irische Behörde konnte sich jedoch auf das bislang bestehende Safe-Harbour-Abkommen der EU-Kommission berufen. Woher kommt dieses Durcheinander?
Die irische Datenschutzbehörde vertrat die Auffassung, dass die Safe Harbor-Entscheidung der Europäischen Kommission aus dem Jahre 2000 weitergehende Ermittlungen gegen Facebook ausschließt. Der EUGH hat nunmehr klargestellt, dass die europäischen Datenschutzbehörden in völliger Unabhängigkeit ein eigenes Prüfrecht haben, das nicht durch Entscheidungen der Kommission, wie etwa zu Safe Harbor, eingeschränkt werden darf.
Ein neues sogenanntes Safe-Harbour-Abkommen zwischen der EU und der USA wird gerade verhandelt. Was sollte darin stehen?
Die Europäische Kommission veröffentlichte – in Reaktion auf die Snowden-Enthüllungen – im November 2013 zwei Mitteilungen, die sich mit der Wiederherstellung des Verbrauchervertrauens in transatlantische Datentransfers befassen. Diese Mitteilungen enthalten 13 Empfehlungen zur Verbesserung des Safe-Harbor-Abkommens, insbesondere zu den Aspekten Stärkung der Betroffenenrechte, Transparenz, Durchsetzung, Regelungen zur Weitergabe von Daten an Dritte und Zugriff von Sicherheitsbehörden auf diese Daten.
Ich habe mich wiederholt für eine Überarbeitung der geltenden Safe-Harbor-Entscheidung eingesetzt und den zügigen Abschluss der Verhandlungen gefordert. Mit dem aktuellen Urteil des EUGH ist dies mehr als geboten. Dazu reicht aber allein ein Nachbessern nicht aus. Eine Neuregelung unter Berücksichtigung der vom EUGH geforderten strengen Vorgaben muss das Ziel sein.
Auf EU-Ebene wird zudem gerade an einer Datenschutzreform gearbeitet. Was sind Ihre wichtigsten Mindestanforderungen an eine neue Verordnung?
Was den Schutz der Daten der EU-Bürger im Verhältnis zu Drittstaaten, wie den USA, anbelangt, so wird die Datenschutzgrundverordnung wesentliche Verbesserungen gegenüber der aktuellen Rechtslage enthalten. Dies gilt insbesondere für das sogenannte Marktortprinzip. Dieses Prinzip beinhaltet, dass jeder Datenverarbeiter, der seine Dienste an Bürgerinnen und Bürger innerhalb der EU anbietet, dem Europäischen Datenschutzrecht unterfallen wird. Das wird auch dann gelten, wenn er nicht in der EU niedergelassen ist. Hinsichtlich der Übermittlung personenbezogener Daten in Drittstaaten müssen die Kriterien für die Beurteilung des angemessenen Datenschutzniveaus an die Vorgaben des EuGH-Urteils angepasst, d. h. verschärft werden. Insbesondere sind bei der Beurteilung des Datenschutzniveaus der Umfang und die Kriterien für die staatliche Überwachung in diesen Ländern deutlich stärker in den Blick zu nehmen.