Aktuell

MEEDIA

Jurist zum „Safe Harbor“-Urteil der EU: „Internetkonzerne haben keinen Freifahrtschein beim Datenschutz“

Die Daten europäischer Internet-Nutzer sind in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt. Mit diesem Urteil hat der Europäische Gerichtshof die 15 Jahre alte Vereinbarung zur einfachen Datenübermittlung in die USA ("Safe Harbor") gekippt. Die Folgen sind auch für deutsche Unternehmen unabsehbar. Der Hamburger Medienrechtsexperte Dirk-Hagen Macioszek beantwortet im MEEDIA-Interview die wichtigsten Fragen.

Von Georg Altrogge

Was bedeutet das Urteil für Unternehmen und Internet-Nutzer?

Dirk-Hagen Macioszek: Im Klartext stellen die Richter fest, dass Daten europäischer Firmen und Verbraucher in den USA nicht sicher sind. Damit können sich Unternehmen, die ihre Server in den Vereinigten Staaten stehen haben oder aus irgendwelchen Gründen Daten in die USA liefern, nicht länger auf das sogenannte Safe-Harbor-Prinzip berufen. Der Datenschutz, den ein europäischer Nutzer erwarten darf, ist nicht mehr gewahrt.

Kann ich als Kunde verlangen, dass die betroffenen Unternehmen die Datensicherheit, auf die ich einen gesetzlichen Anspruch habe, wiederherstellen?

Die Unternehmen müssen sich auf jeden Fall darum bemühen, einen entsprechenden Schutz zu gewährleisten, indem sie etwa ihre Server aus den USA nach Europa verlegen. Eine andere Möglichkeit bestünde darin, dass die Unternehmen mit ihren US-Partnern verbindliche Vereinbarungen über den Schutz der Daten treffen.

Das klingt nach aufwändigen Prozessen. Gibt es dafür im Zuge des Urteils Übergangsfristen?

Zunächst ist ja die Frage, wie schnell das Urteil Rechtskraft erlangt. Ansonsten gibt es keinerlei Fristen. Allerdings hat jeder mit der Veröffentlichung des Urteilsspruchs Kenntnis davon, wie der Europäische Gerichtshof zum Safe-Harbor-Prinzip steht. Unternehmen müssen demzufolge auch sofort tätig werden und Vorkehrungen treffen.

Was hat sich im Rechtsempfinden des höchsten europäischen Gerichts seit der Einführung der Safe-Harbor-Regel im Jahr 2000 geändert?

Da hat ganz sicher die NSA-Affäre und die damit verbundenen Erkenntnisse über die Datenabschöpfung und -auswertung der amerikanischen Geheimdienste in den vergangenen Jahren eine zentrale Rolle gespielt. Es hat sich ja gezeigt, dass die Geheimdienste nicht nur von sich aus auf Datenströme zugreifen, sondern dass Internetkonzerne wie Facebook oder Google Daten ihrer User auch en masse frei Haus liefern.

Nun hat sich die Klage, über die jetzt entschieden wurde, direkt gegen Facebook gerichtet. Was sollten Nutzer des Social Network jetzt tun?

Generell gibt es die Möglichkeit, auf die Nutzung von Facebook zu verzichten bzw. einen bestehenden Account zu löschen, wenn man nicht will, dass Daten weitergereicht werden. Wer schon bei Facebook ist, muss davon ausgehen, dass die eigenen Daten bereits in den USA gespeichert sind und von dortigen Behörden auch überwacht und ausgewertet werden. Es wird spannend sein zu sehen, wie Facebook selbst reagieren wird und ob das Netzwerk Änderungen an der bestehenden Praxis vornimmt. Es ist davon auszugehen, dass Facebook auf dieses Urteil vorbereitet war und kurzfristig reagieren kann. In diesem Fall müsste der Konzern die Daten europäischer Nutzer in einem rechtssicheren Land hosten und verarbeiten.

Nun ist es kein Geheimnis, dass Facebook & Co. die Daten nicht freiwillig an die NSA weitergeben, sondern dies nur auf Druck der US-Behörden geschieht. Ist es auch nach dem europäischen Urteil überhaupt realistisch, dass sich die globalen Internetkonzerne der Überwachung durch die Geheimdienste entziehen können?

Wahrscheinlich nicht.

Warum?

Wir müssen davon ausgehen, dass die Technologie heute so weit entwickelt ist, dass Geheimdienste Mittel und Wege finden würden, Datenströme auch dann anzuzapfen, wenn sich Konzerne wie Facebook dagegen sperren. Der tatsächliche Wert des Urteils ist die Signalwirkung an die globalen Internetunternehmen, dass sie keinen Freifahrtschein haben, was Datenschutz angeht. Ähnliches haben wir im Zusammenhang mit Klageverfahren zur Speicherung von personenbezogenen Inhalten im Google-Archiv erlebt, auch da musste der Konzern einlenken und seine Praktiken ändern.

Wie sieht es mit den kleinen Firmen aus? Gehen die ein Rechtsrisiko im Datenverkehr mit den USA ein, müssen sie mit Schadenersatzklagen rechnen?

Ich denke, vor etwaigem Schadenersatz stehen zunächst die Auskunftsansprüche der Verbraucher. Die sind aufgrund der jetzt gekippten Safe-Harbor-Regelung zurecht massiv verunsichert und können nun verlangen, dass sie über die Weitergabe und mögliche Verwendung ihrer Daten explizit aufgeklärt werden. Die Unternehmen müssen das herausfinden und ihren Kunden erklären, was einen immensen Arbeitsaufwand mit sich bringen dürfte. Im nächsten Schritt sind dann Unterlassungsansprüche der Verbraucher gegenüber den Unternehmen denkbar. Die Unternehmen selbst müssen den Datenschutz an die neue Gesetzesregelung anpassen, um möglichen Schadenersatzansprüchen zu entgehen.

Ist nach dem Urteil mit einer Klageflut zu rechnen?

Das bleibt abzuwarten. Natürlich kann das passieren, zunächst ist aber mit einer Flut von Anfragen zu rechnen: Wo sind meine Daten gespeichert? Sind sie in den USA gespeichert? In welchem Umfang sind sie weiter gegeben worden? Für alle Beteiligten wird es schwierig sein, hier die Klarheit zu schaffen bzw. zu erlangen. Mehr als die Abwehr von Schadenersatzansprüchen wird es für Unternehmen darum gehen, das Vertrauen der Kunden nicht zu verlieren. Die Firmen müssen nachweisen, dass sie Verbraucherdaten in einer Weise speichern und verarbeiten, die auch nach der neuen EU-Regelung rechtskonform ist.

Wäre da nicht eine generelle, das heißt politische Regelung sinnvoll?

Hier ist der Gesetzgeber gefragt, der entsprechende Regelungen verbindlich treffen sollte. Ganz sicher kann die Regierung das Urteil des Europäischen Gerichtshofs nicht ignorieren, sodass eine Novellierung des europäischen und deutschen Datenschutzes unumgänglich ist. Aber der Gesetzgeber wird sich damit schwer tun, denn die deutschen Behörden haben von der bisherigen Praxis auch profitiert, in dem sie Daten von den Amerikanern geliefert bekommen haben.

http://meedia.de/2015/10/06/jurist-zum-safe-harbor-urteil-der-eu-internetkonzerne-haben-keinen-freifahrtschein-beim-datenschutz/