EuGH erklärt Safe-Harbor-Entscheidung für ungültig

Mit Urteil vom 06.10.2015 entschied die große Kammer des europäischen Gerichtshofs (EuGH), dass die Safe-Harbor-Entscheidung 2000/542 der europäischen Kommission gegen die Achtung der Privatsphäre aus Artikel 7 und den Schutz personenbezogener Daten aus Artikel 8 der Charta der Grundrechte der europäischen Union verstößt und somit ungültig ist.

Worum ging es?

Der Österreicher Maximillian Schrems nutzt, wie ca. 193 Mio. Europäer, das soziale Netzwerk Facebook. Nach den Enthüllungen von Edward Snowden und dem Bekanntwerden der massenhaften Überwachung von Daten durch die NSA im Rahmen des Programms PRISM, wendete er sich am 25.06.2013 an den Leiter der Datenschutzbehörde in Irland und legte dort Beschwerde ein.

Er führte aus, dass das Schutzniveau seiner persönlichen Daten in den Vereinigten Staaten von Amerika nicht wie in Art.. 26 Abs. 6 der Richtlinie 95/46/EG gefordert, dem Europäischen entspricht.

Der Leiter der Datenschutzbehörde lehnte die Beschwerde mit der Begründung ab, dass für ihn keine Pflicht bestehe die behaupteten Verletzungen zu untersuchen. Ferner sei durch die  Safe-Habor-Entscheidung der Kommission das Schutzniveau als angemessen eingestuft wurden. Auch gebe es keine Beweise für die massenhafte Überwachung der Daten durch die NSA.

Daraufhin erhob Herr Schrems Klage beim irischen High Court. Dieser sah es als erwiesen, dass die NSA anlasslos massenhaft personenbezogene Daten speichert und auswertet und somit gegen das Verhältnismäßigkeitsprinzip sowie die Grundwerte der irischen Verfassung verstößt. Ferner fügte er hinzu, dass kein wirksamer Anspruch auf rechtliches Gehör für die betroffenen Personen bestehe. Da die Entscheidung die Ausführung und Anwendung von Unionsrecht, insbesondere der Richtlinie 95/46/EG betrifft, legte der High Court dem EuGH im Vorabentscheidungsverfahren gemäß Art. 267 IV AEUV folgende Fragen vor:

Vorlagefrage

Ist der Leiter der irischen Datenschutzbehörde, trotz tatsächlich gegenteiliger Feststellung, an die Entscheidung der Kommission 2000/542, dass die USA ein angemessenes Schutzniveau für personengebundene Daten biete, gebunden. Oder muss er eigene Ermittlungen anstellen?

Wie hat der EuGH entschieden?

Zunächst stellt der EuGH fest, dass die Übermittlung von personenbezogenen Daten aus einem Mitgliedsstaat in ein Drittland eine Verarbeitung im Sinne von Art. 2 Buchstabe b der Richtlinie 95/46 darstellt.

Somit gilt gemäß Art. 25 Richtlinie 95/46, dass die personenbezogenen Daten nur unter voller Einhaltung der europäischen Rechtsvorschriften an ein Drittland übermittelt werden dürfen.

Dabei verweist der EuGH auf seine ständige Rechtsprechung zum Grundrecht auf Achtung der Privatsphäre Art. 7 GR-Charta und dem Grundrecht auf Schutz personenbezogener Daten aus Art. 8 GR-Charta. Insbesondere auch auf das Urteil zum Recht auf Vergessen.

1. Zuständigkeiten des Datenschutzbeauftragten

Gemäß Art. 28 I RL 95/46 ist jeder Mitgliedsstaat der EU verpflichtet nationale Kontrollstellen einzuführen, die unabhängig die Einhaltung des EU-Rechts bei der Weitergabe von personengebunden Daten an Drittländer überwachen. Um diesen Schutz zu gewährleisten müssen die Kontrollstellen für einen angemessenen Ausgleich zwischen dem Recht auf Achtung der Privatsphäre und den Interessen des freien Verkehrs personenbezogener Daten sorgen.

Dabei haben sie nicht die Kompetenz Entscheidungen der Kommission, wie die Safe-Harbor-Entscheidung, anzufechten oder Gegenteiliges festzustellen. Jedoch befreit dies die Behörde nicht von ihrer Pflicht nach Art. 28 Abs.4 Unterabs. 1 RL 95/46 bei einer Beschwerde in völliger Unabhängigkeit die Einhaltung des EU-Rechts zu überprüfen. Andernfalls liefe der Schutz und das Beschwerderecht des Einzelnen leer.

Somit bestätigt der EuGH den gewählten Verfahrensweg von Herrn Schrems und fügt hinzu, dass der nationale Gesetzgeber Rechtsbehelfe schaffen muss, die es der Datenschutzbehörde ermöglichen, falls diese einen Verstoß gegen das EU-Recht feststellt, Klage bei den Nationalen Gerichten zu erheben, die sodann im Vorabentscheidungsverfahren dem EuGH vorlegen.

Prüfung der Safe-Harbor-Entscheidung

Zur Prüfung der Safe-Harbor-Entscheidung 2000/542 der Kommission legt der EuGH Art. 25 Abs. 6 RL 95/46 dahingehend aus, dass von einem Drittland zwar nicht ein dem Unionsrecht entsprechendes identisches Schutzniveau verlangt werden kann, jedoch muss in tatsächlicher Hinsicht ein Schutzniveau erreicht werden, dass dem des Unionsrechts gleichwertig ist.

Grundsätzlich kann die Kommission nach Art. 26 Abs. 6 RL 95/46 die Angemessenheit des Schutzniveaus feststellen. Ihr obliegt es jedoch in regelmäßigen Abständen die Feststellung, ob das Schutzniveau in sachlicher wie rechtlicher Hinsicht noch gewährleistet wird, zu überprüfen.

Der Safe-Harbor-Entscheidung unterliegt einem System der Selbstzertifizierung. Dabei müssen die amerikanischen Unternehmen einem Leitfaden des amerikanischen Handelsministeriums folgen. Wobei die Einhaltung des Datenschutzes bisher nur unzureichend vom amerikanischen Handelsministeriums überprüft wurde.

Hin zu tritt, dass nach Abs. 4 Anhang I Entscheidung 2000/520 das amerikanische Recht Vorrang vor den Grundsätzen der Safe-Harbor-Entscheidung genießt und damit letztendlich das Schutzniveau der personenbezogen Daten unterlaufen wird. Im konkreten Fall können die amerikanischen Behörden aus Gründen der nationalen Sicherheit auf die Daten zugreifen und sich damit über den Datenschutz, ohne substantierte Grundrechtsabwägung, hinwegsetzen.

Ferner besteht kein wirksamer Rechtsschutz des Einzelnen gegen etwaige Rechtsverletzungen in Amerika. Dies stellt die Kommission selbst in ihrer Mitteilung 2013, 846 final in den Abschnitten 7.1, 7.2 und 8 fest. Somit wird der Wesensgehalt des Grundrechts auf wirksamen Rechtsschutz aus Art. 47 GR-Charta verletzt, da dem Betroffenen kein Anspruch auf Einlegung eines Rechtsbehelfs gewährt wird.

Für einen Eingriff in die Grundrechte des Art. 7 und 8 der GR-Charta bedarf es einer klaren und Präzisen Regelung, welche die Tragweite und Anwendung der Eingriffsmaßnahme festlegt und präzisen Mindestanforderungen unterstellt. Ferner muss ein solcher Eingriff auf das absolut notwendige Beschränkt werden.

Eine generelle Speicherung aller personenbezogener Daten, ohne Differenzierung ist demnach nicht auf das absolut notwendige Beschränkt und Verletzt den Wesensgehalt des Art. 7 GR-Charta. Verwiesen wird auch auf das  Urteil zur Vorratsdatenspeicherung.

So dann bedient sich der EuGH eines Kunstgriffes und erklärt die Safe-Harbor-Entscheidung der Kommission 2000/542 für formal ungültig, da die Kommission keine tatsächlichen Feststellungen zur Gleichwertigkeit des Datenschutzniveaus in Amerika getroffen hat.

Was bedeutet dies für die Praxis?

Ob die tatsächlichen Feststellungen nachgeholt werden und eine neue Entscheidung der Kommission erfolgt, kann nahezu ausgeschlossen werden.

Die massenhafte Erfassung von Daten durch das PRISM Programm der NSA beschäftigen die Öffentlichkeit, seit den Snowden Enthüllungen, beinahe täglich. Wie die Erfahrungen, unter anderem aus dem NSA-Untersuchungsausschuss, gezeigt haben ist nicht mit einem entgegenkommen der Amerika zu tatsächlichen Feststellungen zu rechnen. Letzt endlich obliegt es jedoch der Politik Abhilfe zu schaffen.

Die Kommission steht nun vielmehr unter erheblichem Druck, die seit 2013 laufenden Verhandlungen über ein neues Datenschutzabkommen, möglichst bald abzuschließen. Dabei muss die Entscheidung des EuGH, insbesondere die Möglichkeit betroffenen Personen einen wirksamen Anspruch auf Rechtsschutz zu gewähren sowie klare und präzise Regelungen der Eingriffsmaßnahmen zu treffen, beachtet werden.

Gleichzeitig stellt sich der EuGH damit schützend vor die Europäischen Grundwerte des Datenschutzes und signalisiert den Amerikanern, dass nicht von europäischen Standards abgewichen werden wird.

Fraglich ist welche Auswirkungen die Entscheidung für die Übermittlung persönlicher Daten an Unternehmen in Amerika hat. Klar ist, dass sich die Unternehmen nun nicht mehr auf die Safe-Habor-Entscheidung der Kommission berufen können. Jedoch bestehen noch weitere Möglichkeiten die personenbezogenen Daten legal nach Amerika zu übermitteln.

Zum einen besteht die Möglichkeit der Einwillgung nach § 4a BDSG. Diese ist jedoch an enge Voraussetzungen geknüpft, so dass eine allgemeine Einwilligung in den Facebook AGB’s als nicht ausreichend anzusehen sein dürfte. Zum anderen besteht die Möglichkeit sich Binding Corporate Rules zu unterwerfen  sowie auf EU-Standardvertragsklauseln zurückzugreifen.

Letztendlich muss im konkreten Einzelfall geprüft werden, welche Ausnahmeregelungen die Übermittlung der persönlichen Daten rechtfertigen.

Ähnliche Beiträge