Die Richter des Europäischen Gerichtshofs haben heute das sogenannte „Safe-Harbour“-Abkommen für ungültig erklärt (die deutsche Pressemitteilung ist hier zu finden). Dieses Abkommen regelte den Datenverkehr zwischen den USA und EU-Ländern auf Grund einer Entscheidung der Europäischen Kommission aus dem Jahr 2000. Unternehmen sollte es damit ermöglicht werden, personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA zu übermitteln (siehe auch Wikipedia). Nach der Richtlinie über die Verarbeitung personenbezogener Daten ist die Übermittlung solcher Daten nur dann zulässig, wenn das betreffende Drittland ein angemessenes Schutzniveau dieser Daten gewährleistet. Das Abkommen gewährleistet dies nach Ansicht des EuGH nicht. Der EuGH gibt in seiner Pressemeldung wieder: „Die amerikanische Safe-Harbor-Regelung ermöglicht daher Eingriffe der amerikanischen Behörden in die Grundrechte der Personen, wobei in der Entscheidung der Kommission weder festgestellt wird, dass es in den Vereinigten Staaten Regeln gibt, die dazu dienen, etwaige Eingriffe zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt„. Insofern habe die EU-Kommission keine Kompetenz gehabt, die Befugnisse der nationalen Datenschutzbehörden, nämlich zu überprüfen, ob US-Unternehmen europäische Datenschutzregeln einhalten, durch das Abkommen zu beschränken.
Bedeutung für US-Unternehmen
US-Unternehmen dürften wohl momentan personenbezogene Daten nicht mehr so ohne weiteres auf Grundlage des Abkommens in die USA weiterleiten, sie müssen jetzt reagieren, wenn Sie weiterhin Daten in die USA transferieren und dort speichern wollen. Wie das funktionieren soll oder wird, kann derzeit noch nicht abschließend gesagt werden. Es gibt zwar in der Praxis auch Alternativen zur Safe-Harbour-regelung, wie die Verwendung von EU-Standardvertragsklauseln (EU Model Clauses) oder auch sog. Binding Corporate Rules (BCR), doch auch hier muss nach intensiver Bewertung der vollständigen Entscheidungsgründe sorgfältig geprüft werden, ob diese Alternativen zukünftig eine tragfähige Grundlage darstellen können, solange den US-Geheimdiensten derart umfangreiche Zugriffsmöglichkeiten auf personenbezogene Daten ohne Anlass zustehen.
Was bedeutet diese Entscheidung für meine Fotos auf Facebook, iCloud, OneDrive etc.?
Facebook-Daten europäischer Nutzer liegen in Irland und wurden bisher von dort aus in die USA weitergeleitet. Momentan hat Facebook dies zu unterlassen. Für den europäischen Nutzer sollte sich nun aber (zumindest kurzfristig) nichts ändern, denn solange die Daten innerhalb der EU gelagert sind, sollten die europäischen Datenschutzregelungen eingehalten sein.
Ähnlich sollte es für diverse Cloud-Dienste ausschauen, zumindest dann, wenn die Dateien auf Servern gespeichert sind, die innerhalb der EU stationiert sind. Microsoft behauptet, dass die OneDrive-Daten auf Server-Farmen innerhalb EU gespeichert werden. Die Standorte der iCloud-Server liegen in den USA, Standorte innerhalb der EU sind mir momentan nicht bekannt. Das ist natürlich eine brisantere Situation und bedeutet, dass Apple ab sofort – wohl nun unstreitig – mit iCloud in dieser Hinsicht gegen Datenschutzrecht verstößt.
Auch wenn natürlich kein Grund zur Panik besteht, sollte man sich bzgl. der in den Datenwolken befindlichen Fotos nicht vollends in die Hände der Anbieter begeben. Daten werden bestimmt nicht ohne weiteres verloren gehen, trotzdem ist Vorsicht geboten. Denn die Wahrscheinlichkeit ist hoch, dass die Datenschutzbehörden einzelne Dienste überprüfen werden und ggf. für rechtswidrig erachten werden. Bis spätestens dahin sollte man daher eine Sicherungskopie auf einem lokalen Datenträger vornehmen (eine solche ist im Übrigen immer anzuraten!), es gibt dafür heutzutage gute und praktikable Systeme (NAS).