Die Feststellung des Europäischen Gerichtshofes (EuGH), dass die USA kein angemessenes Datenschutzniveau für personenbezogene Daten bieten, war ein Paukenschlag. Sie stärkt vor allem deutsche und europäische Anbieter hochsicherer Cloud-Services.
Urteil: Das USA-Datenschutzniveau ist mangelhaft
In seinem Urteil hatte der EuGH eine Entscheidung der EU-Kommission aus dem Jahr 2000 für ungültig erklärt, die behauptete, die USA gewährleisteten im Rahmen der sogenannten »Safe Harbor Regelung« ein angemessenes Schutzniveau für personenbezogene Daten. Seit der Entscheidung der Kommission konnten legal aus der EU Daten an US-Unternehmen gesendet werden, wenn diese die Einhaltung der »Safe Harbor Regelung« erklärten und sich beim US-Handelsministerium registrieren ließen. Dies waren zuletzt über 5.000 Firmen, inklusive Amazon, Apple, Dell, Dropbox, Facebook, HP, IBM, Microsoft und Xerox.
Der österreichische Facebook-Nutzer Schrems hatte nach den Enthüllungen von Edward Snowden Beschwerde bei der irischen Datenschutzbehörde eingelegt, da seine Daten von Irland aus auf Facebook-Server in die USA gesendet und nicht ausreichend geschützt würden. Irische Behörden sind zuständig, weil Irland Sitz der Facebook-Tochter ist, mit der alle Facebook-Nutzer außerhalb der USA und Kanada in vertragliche Beziehung treten. Schrems Beschwerde wies die irische Behörde mit Verweis auf die EU-Kommission zurück, die im Jahr 2000 entschied, die USA gewährleisteten ein angemessenes Datenschutzniveau.
Der EuGH erklärte nun diese Entscheidung der EU-Kommission für ungültig und das Datenschutzniveau der USA bei personenbezogenen Daten für nicht ausreichend. Ferner verpflichtete er die irische Datenschutzbehörde vor diesem Hintergrund zu prüfen, ob eine Datenweitergabe in die USA überhaupt rechtlich zulässig sei.