Seitenanfang

Max Schrems gegen Facebook und die Folgen für den Datenschutz 07.10.2015 / Branchennews / Prof. Dr. Raimund Wildner

Der Österreicher Max Schrems hat vor dem Europäischen Gerichtshof ein Urteil gegen Facebook erstritten, das auch für die Marktforschungsbranche wichtig ist.

Worum geht es? Personenbezogene Daten (also Daten, die einer Person zugeordnet werden können) dürfen nach §4b des Bundesdatenschutzgesetzes nur dann an Stellen in anderen Staaten weitergegeben werden, wenn dort das gleiche Datenschutzniveau herrscht wie in Deutschland. Das ist sinnvoll, weil sonst durch einfache Weitergabe die strengen Regeln des deutschen Datenschutzgesetzes umgangen werden könnten.

Es gibt nun Staaten, für die generell angenommen wird, dass dort der Datenschutz auf vergleichbarem Niveau ist. Das gilt z.B. für alle EU-Länder. Für die USA gibt es eine Sonderregelung: Hier konnten seit dem Jahr 2000 Firmen dem so genannten Safe-Harbor-Abkommen beitreten. Sie erklärten damit gegenüber dem US-Handelsministerium, dass sie ein angemessenes Datenschutzniveau realisieren und wurden dann in eine entsprechende Liste eingetragen. Viele US-Firmen haben das getan, z.B. Microsoft, Facebook und Google oder auch Marktforscher wie TNS oder Nielsen.

Am 6. Oktober hat nun der Europäische Gerichtshof entschieden, dass das Safe-Harbor-Abkommen nicht mehr ausreichend ist. Begründung ist, dass nationale Sicherheitsbehörden in den USA generellen Zugang zu Datenbeständen erzwingen können, ohne dass der Inhaber dieser Daten davon erfährt. Damit sind die Zweckbindung der Daten und ein angemessener Rechtsschutz nicht mehr gegeben.

Was heißt das? Zunächst dürfen grundsätzlich keine personenbezogenen Daten mehr an die USA weitergeleitet werden. Damit dürfen solche Daten auf Servern, die in den USA stehen, nicht verarbeitet werden, weil sie ja dafür zunächst dort hin transferiert werden müssen. Bei Verarbeitung in der Cloud muss folglich sichergestellt sein, dass die Rechner in der EU stehen. Weiter heißt das, dass Befragungen, die in der EU stattfinden, auch in der EU gehostet werden müssen.

Gibt es einen Ausweg? Grundsätzlich kann eine US-Firma ein angemessenes Datenschutzniveau dadurch nachweisen, dass sie sich zu entsprechenden Regeln verpflichtet und diese als ausreichend zertifiziert sind. Das ist jedoch umständlich. Und ob das hier hilft, das darf bezweifelt werden. Denn zumindest so lange wie US-Behörden generellen Datenzugang einfordern können, dürften auch solche Einzelvereinbarungen ins Leere laufen.

Sind die Daten jedoch erst einmal anonymisiert, d.h. der Personenbezug wurde entfernt, so dürfen sie selbstverständlich weitergegeben werden, wohin auch immer, auch in die USA.

Zurück