Luxemburg – Nach einem bahnbrechenden Urteil wird die Übermittlung persönlicher Daten europäischer Internet-Nutzer in die USA schwieriger. Der Europäische Gerichtshof (EuGH) erklärte die 15 Jahre alte Vereinbarung zur unkomplizierten Datenübertragung («Safe Harbor») für ungültig. Die Informationen seien in den USA nicht ausreichend vor dem Zugriff von Behörden und Geheimdiensten geschützt, das verletze die Rechte der Europäer, urteilten die Richter in Luxemburg am Dienstag. (Rechtssache C-362/14).
Die Entscheidung hat eine weitreichende Bedeutung für die Internet-Wirtschaft. Vor allem kleinere Unternehmen verliessen sich bisher darauf, dass Datenübermittlung in die USA unbedenklich ist. Ohne «Safe Harbor» müsste jede Firma selber dafür Sorgen, dass der rechtliche Rahmen nach der Datenschutz-Grundverordnung eingehalten wird. Das kann zusätzliche Verträge und Aufwand für Anwälte bedeuten. Betroffen sind gleichermassen deutsche und amerikanische Unternehmen, die Daten in die USA fliessen lassen.
Datenschutzniveau auch selbst prüfen
In dem Verfahren wollte ein irisches Gericht wissen, ob nationale Behörden das Datenschutzniveau in den USA auch selbst prüfen können, oder ob sie an das europäisch-amerikanische Abkommen gebunden sind. Die Vereinbarung soll europäische Datenschutzstandards garantieren, auch in den USA. Allerdings müssen US-Firmen sich lediglich registrieren lassen und sich dazu verpflichten, bestimmte Prinzipien einzuhalten.
Die Luxemburger Richter bestätigten ausdrücklich, dass Betroffene das Recht haben, die nationalen Gerichte anzurufen. Nationale Datenschutzbehörden dürften prüfen, ob die Daten einer Person entsprechend geschützt seien.
Auch Schweizer Abkommen betroffen
Auch das Schweizer Abkommen mit den USA werde durch den Entscheid in Frage gestellt, sagte Francis Meier, Informationsbeauftrager des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen Hanspeter Thür, auf Anfrage. Bei der Neuverhandlung werde für die Schweiz nur ein koordiniertes Vorgehen unter Einbezug der EU zum Ziel führen, sagte Meier weiter. Von heute auf morgen werde nicht alles ändern, sagte der Datenschutzbeauftragte Hanspeter Thür zudem in einem Interview mit Radio SRF. Dies ergebe sich einerseits aus der ökonomischen Realität, aber auch aus der Realität der bisherigen Datenflüsse. Diese müssten komplett neu aufgegleist werden, was aber nicht so schnell umgesetzt werden könne. Die Schweiz hatte Ende 2008 mit den USA auf bilateraler Basis ein Rahmenabkommen zum Datentransfer abgeschlossen. Wie bei der EU gibt es eine Liste von zertifizierten US-Unternehmen, die einen beim Verkehr mit der Schweiz ausreichenden Datenschutz zusagen. Mit diesen müssen Schweizer Unternehmen weder einen Vertrag aushandeln noch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten über einen Datentransfer informieren. Auf der Liste befinden sich Firmen wie Microsoft oder Apple. (awp/mc/cs)