Datenübertragung in die USA – Rechtmäßigkeit fraglich?

Aktuell schwelt ein Streit um die Rechtmäßigkeit der Datenübertragung von der EU in die USA auf Basis des Safe-Harbor-Abkommens. Die Datenschutzgruppe „Europe v Facebook“ reicht Beschwerde gegen die Nutzerdatenübertragung durch Skype und Microsoft bei der zuständigen Luxemburger Datenschutzbehörde (CNPD) ein.

Datenschützer zweifeln Rechtmäßigkeit der Datenübertragung in die USA an

Das Tauziehen in der Frage, ob eine Datenübertragung aus der EU in die USA – angesichts der Enthüllung um die Überwachungspraxis der NSA – überhaupt noch rechtmäßig ist, geht damit in eine neue Runde.

Die österreichische Datenschutzgruppe „Europe v Facebook“, die bereits über 20 Beschwerden gegen Facebook beim irischen Datenschutzbeauftragten einreichte, hat eine Beschwerde bei der CNPD in Luxemburg eingereicht. Da Skype und Microsoft ihren europäischen Hauptsitz in Luxemburg haben, ist für Beschwerden die CNPD zuständig. Grund für die Beschwerde ist die Vermutung, dass Skype und Microsoft den Schutz der Daten europäischer Nutzer nicht ausreichend gewähren und amerikanischen Geheimdiensten wie der NSA Zugang zu diesen verschaffen.

Juristisches Problem: Die Auslegung des Art. 25 Abs. 6 EU-Datenschutzrichtlinie

Sollte dies der Fall sein – wofür angesichts der aktuellen Faktenlage im sog. NSA-Skandal einiges spricht – wäre die Übertragung ein Verstoß gegen Art. 25 RL 95/46/EG (Datenschutz), der eine Übertragung in Drittstaaten nur unter Gewährleistung eines angemessenes Schutzniveaus gestattet. Allerdings entschied die EU-Kommission mit Art. 25 Abs. 6 RL 95/46/EG, dass dem Safe-Harbor-Abkommen beigetretene Staaten ein entsprechendes Schutzniveau gewährleisten. In Anbetracht der momentanen Situation wird diese Entscheidung von Datenschützern und Aktivistengruppen kritisiert. Art. 25 Abs. 6 RL 95/46/EG wird von ihnen eher als eine widerlegbare Vermutung und nicht als handfeste Garantie betrachtet. Wenn aber das Schutzniveau zweifelhaft ist, muss – da das Datenschutzrecht in der Systematik als Verbot mit Erlaubnisvorbehalt ausgestaltet ist – die Rechtmäßigkeit verneint werden, so „Europe v Facebook“.

Der dieser These folgende Leser könnte deshalb über die Pressemitteilung, die die CNPD als Antwort auf die Beschwerde veröffentlichte, bemerkenswert erscheinen. Ihrer Ansicht nach ist die Übertragung der Daten in die USA rechtmäßig, da der Schutz der Daten vor dem Zugriff Dritter in den USA gewährleistet sei. Zweifel an dieser Stellungnahme sind berechtigt, da diese Aussage den Aussagen von Microsoft diametral entgegensteht: Microsoft hatte bereits kurz nach dem Aufkommen des NSA-Skandals zugegeben, Nutzerdaten an amerikanische Geheimdienste weiterzuleiten. Insofern ist die Argumentation der CNPD fragwürdig.

US-Recht trifft auf Europarecht trifft auf Safe Harbor-Abkommen

Die Crux für die Konzerne unter US-Recht besteht darin, dass sie verpflichtet sind, Daten auf Verlangen an den Staat herauszugeben. Wenn man davon ausgeht, dass das Safe-Harbor-Abkommen ein Verbot mit Erlaubnisvorbehalt darstellt, dann stellt u.a. der Patriot Act und andere Anti-Terror-Gesetze der USA eine solche Erlaubnis dar. Hier trifft US-Recht auf europäisches Recht. Die (praktischen) Folgen für Unternehmen sind momentan noch gering. Der Streit ist aktuell eine Auseinandersetzung um die Deutungshoheit des Safe-Harbor-Abkommens, ein europaweites Verbot der Datenübermittlung in die USA ist noch unwahrscheinlich. Allerdings kommt man nicht umhin festzustellen, dass die Rechtmäßigkeit einer Übermittlung durchaus fraglich ist. Da die EU angekündigt hat das Safe-Harbor-Abkommen zu überprüfen, sollte man die Entwicklung im Auge behalten.