In seinem Urteil vom 6. Oktober 2015 hat der Europäische Gerichtshof (EuGH) das Datenschutzabkommen Safe Harbor zwischen Europa und den USA für ungültig erklärt.
Auslöser des Verfahrens war ein Rechtsstreit zwischen dem österreichischen Facebook-Nutzer Maximilian Schrems und dem Data Protection Commissioner wegen dessen Weigerung, eine von Herrn Schrems eingelegte Beschwerde zu prüfen, die sich dagegen richtete, dass die Facebook Ireland Ltd. personenbezogene Daten ihrer Nutzer in die Vereinigten Staaten übermittelt und auf dort befindlichen Servern speichert. M. Schrems zog den Fall an den irischen High Court weiter. Dieser stellte nach Prüfung der von den Parteien des Ausgangsverfahrens vorgelegten Beweise fest, dass die elektronische Überwachung und Erfassung der aus der Union in die Vereinigten Staaten übermittelten personenbezogenen Daten notwendigen und unerlässlichen Zielen von öffentlichem Interesse diene. Die Enthüllungen von Herrn Snowden hätten jedoch gezeigt, dass die NSA und andere Bundesbehörden „erhebliche Exzesse“ begangen hätten. Entsprechend stelle sich die Frage nach der Rechtmäßigkeit der durch die Entscheidung 2000/520 geschaffenen Safe Harbor Regelung, gemäss welcher die Vereinigten Staaten ein angemessenes Schutzniveau der übermittelten personenbezogenen Daten gewährleisteten.
Der EuGH erwägt in seinem Urteil, dass die Übermittlung personenbezogener Daten in die USA unter dem Regime des Safe Harbor Abkommens tatsächlich problematisch ist und erklärt die Entscheidung 2000/520 für ungültig. Dies hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems nun doch eingehend prüfen und entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.
Das Urteil ist jedoch nicht nur für die EU, sondern auch für die Schweiz relevant. So hat der Eidgenössische Datenschutzbeauftragte (EDÖB) nun entschieden, dass solange kein neues Abkommen mit der amerikanischen Regierung ausgehandelt ist, das Safe-Harbor-Abkommen auch in der Schweiz keine genügende Rechtsgrundlage mehr für die datenschutzkonforme Übermittlung von Personendaten in die USA bilde. In der Zwischenzeit empfiehlt der EDÖB, beim Datenaustausch mit US-Unternehmen, vertragliche Garantien im Sinne des Datenschutzgesetzes (Art. 6 Abs. 2 lit. a DSG) zu vereinbaren. Selbst wenn damit das Problem unverhältnismässiger Behördenzugriffe nicht gelöst sei, könne auf diesem Weg das Datenschutzniveau verbessert werden.
Gemäss dem EDÖB müsse dabei Folgendes geregelt werden:
- Personen, deren Daten in die USA übermittelt werden, müssen klar und umfassend über die möglichen Behördenzugriffe informiert werden, damit sie ihre Rechte wahrnehmen können. Der Vertrag zum Austausch von Personendaten sollte die beteiligten Parteien dahingehend verpflichten.
- Die Parteien müssen sich verpflichten, betroffenen Personen die für einen wirksamen Rechtsschutz notwendigen Behelfe zur Verfügung zu stellen, entsprechende Verfahren tatsächlich durchzuführen und darauf ergehende Urteile zu akzeptieren.
Die betroffenen Unternehmen müssen gemäss EDÖB die notwendigen vertraglichen Anpassungen bis Ende Januar 2016 vorgenommen haben.