Das Urteil des Europ\u00e4ischen Gerichtshofs in der Sache Schrems gegen den Irischen Datenschutzbeauftragten wirkt weit \u00fcber den eigentlichen Streitgegenstand hinaus. Der Irische Datenschutzbeauftragte muss der Frage nachgehen, ob Facebook Ireland die personenbezogenen Daten seiner Nutzer in die Vereinigten Staaten weitergeben darf. Er kann sich einer solchen \u00dcberpr\u00fcfung nicht mit dem Hinweis darauf entziehen, dass die EU-Kommission in ihrer „Safe Harbor“-Entscheidung im Jahr 2000 den Vereinigten Staaten ein angemessenes Datenschutzniveau bescheinigt hat, soweit sich die Datenempf\u00e4nger zu den „Grunds\u00e4tzen eines sichern Hafens“ bekennen, wie dies seitdem mehr al 3000 US-Unternehmen getan haben.<\/p>\n
Das h\u00f6chste EU-Gericht hat festgestellt, dass die Safe-Harbor-Vereinbarung nicht den Anforderungen von Art. 7 und 8 der EU-Grundrechtecharta gen\u00fcgt, die die Grundrechte auf Datenschutz und Privatsph\u00e4re garantieren. Letztlich unbegrenzte Zugriffsm\u00f6glichkeiten von Geheimdiensten auf Daten europ\u00e4ischer Herkunft verletzten den Kernbereich der Grundrechte. Die sehr weit gehenden Befugnisse widerspr\u00e4chen zudem den grundlegenden Anforderungen an ein rechtsstaatliches Verfahren, denn Betroffene EU-B\u00fcrger h\u00e4tten keinen Anspruch darauf, Auskunft \u00fcber die Datenverarbeitung zu erlangen und die entsprechenden Zugriffe und die anschlie\u00dfende Datenverarbeitung gerichtlich \u00fcberpr\u00fcfen zu lassen. Das Safe Harbor Abkommen sei deshalb ung\u00fcltig.<\/p>\n
F\u00fcr Facebook und die \u00fcbrigen Unternehmen, die sich in den vermeintlich sicheren Hafen gefl\u00fcchtet haben, bedeutet das Urteil zun\u00e4chst, dass die Verarbeitung personenbezogener Daten, die aus der EU \u00fcbermittelt wurden, nicht mehr der Vermutung unterliegen, sie w\u00fcrden in \u00dcbereinstimmung mit dem EU-Datenschutzrecht verarbeitet. Sie ben\u00f6tigen f\u00fcr den Datentransfers grunds\u00e4tzlich die Genehmigung durch die zust\u00e4ndigen Datenschutzaufsichtsbeh\u00f6rden der EU-Mitgliedstaaten. Die Datenschutzbeh\u00f6rden d\u00fcrfen diese Genehmigung nur erteilen, wenn der Datenempf\u00e4nger -bezogen auf die jeweiligen Daten – ein angemessenes Datenschutzniveau gew\u00e4hrleistet. Dieser Nachweis d\u00fcrfte insbesondere denjenigen Unternehmen schwer fallen, die an der Massen\u00fcberwachung durch US-Geheimdienste mitgewirkt haben.<\/p>\n
Schwer vorstellbar ist, dass Facebook, Microsoft, Google & Co. einfach auf ein anderes Instrument „umschalten“ k\u00f6nnen, das die Angemessenheit des Datenschutzes garantieren soll, etwa auf die sog. „Standardvertragsklauseln“, die ebensowenig wie der „sichere Hafen“ vor staatlicher \u00dcberwachung sch\u00fctzen. Die vom EuGH formulierten Anforderungen sind auch auf sie anwendbar.<\/p>\n
Auch die \u00c4nderung der Vertragsbestimmungen mit den Nutzern in der Weise, dass diese in die m\u00f6gliche \u00dcberwachung durch die NSA und andere Beh\u00f6rden einwilligen, w\u00e4re keine L\u00f6sung. Zwar haben Betroffene grunds\u00e4tzlich die M\u00f6glichkeit, in das Eingehen besonderer Risiken einzuwilligen,auch soweit diese den Umgang mit ihren Daten betreffen. Eine pauschale Einwilligung in staatliche \u00dcberwachung durch einen Drittstaat, verbunden mit dem Verzicht auf Rechtsschutz und auf das nach EU-Recht unabdingbare Auskunftsrecht bez\u00fcglich der eigenen Daten w\u00e4re jedoch unwirksam.<\/p>\n
Wie k\u00f6nnte also eine L\u00f6sung aussehen?<\/p>\n
Kurzfristig m\u00fcssen die betroffenen Unternehmen – sowohl die Absender als auch die Empf\u00e4nger personenbezogener Daten – daf\u00fcr sorgen, dass die ihnen anvertrauten Daten nicht weiter Gegenstand der Massen\u00fcberwachung sind: Durch Kryptographie, Standortenscheidungen f\u00fcr Server und andere Netzkomponenten und ggf. durch Wechsel von Gesch\u00e4ftspartnern, etwa bei der Auftragsdatenverarbeitung oder bei der Erbringung sonstiger IT-Dienstleistungen.<\/p>\n
L\u00e4ngerfristig besteht der einzige Weg darin, den in Art. 12 der UN-Menschenrechtserkl\u00e4rung, in der EU-Grundrechtecharta und in vielen Verfassungen demokratischer Staaten garantierten Grund- und Menschenrechte auf Privatsph\u00e4re und Datenschutz endlich global durchzusetzen. Die notwendigen \u00c4nderungen beschr\u00e4nken sich dabei nicht auf die Vereinigten Staaten, sie betreffen auch Europa, wo Geheimdienste auch der absurden Vorstellung folgen, m\u00f6glichst alles zu wissen und deshalb alles und jeden zu \u00fcberwachen, um damit vermeintlich mehr Sicherheit zu schaffen (was bekanntlich nicht einmal in autorit\u00e4ren Regimes jemals geklappt hat).<\/p>\n
Nicht ein angeblich „\u00fcberzogener“ Datenschutz gef\u00e4hrdet den Welthandel und die Informationsgesellschaft, sondern \u00fcberbordende Massen\u00fcberwachung!<\/p>\n
Mit freundlichen Gr\u00fc\u00dfen, Peter Schaar<\/p>\n","protected":false},"excerpt":{"rendered":"
Das Urteil des Europäischen Gerichtshofs in der Sache Schrems gegen den Irischen Datenschutzbeauftragten wirkt weit über den eigentlichen Streitgegenstand hinaus. Der Irische Datenschutzbeauftragte muss der Frage nachgehen, ob Facebook Ireland die personenbezogenen Daten seiner Nutzer in die Vereinigten Staaten weitergeben darf. Er kann sich einer solchen Überprüfung nicht mit dem<\/p>\n","protected":false},"author":17,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,310,756,787,198,372,146,788,6,3,7,68,789,4,69,12,17,193,790,15,203,791,792,16,14,8],"tags":[],"class_list":["post-782","post","type-post","status-publish","format-standard","hentry","category-bsi","category-datenschutz","category-datenschutzniveau","category-datenuebermittlung","category-eu-grundrechtecharta","category-eugh","category-facebook","category-grundrecht-auf-datenschutz","category-isms","category-isms-bsi-iso-27001","category-iso27001","category-kryptographie","category-menschenrechte","category-notfallmanagement","category-nsa","category-penetrationstest","category-penetrationstests","category-peter-schaar-der-blog","category-privatsphaere","category-risikomanagement","category-safe-harbor","category-schrems","category-standardvertragsklauseln","category-unternehmen","category-veranstaltungen","category-zertifizierung-audit"],"_links":{"self":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/782","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/users\/17"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=782"}],"version-history":[{"count":4,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/782\/revisions"}],"predecessor-version":[{"id":845,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/782\/revisions\/845"}],"wp:attachment":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=782"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=782"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=782"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}