Diese Seite drucken
Mittwoch, 07 Oktober 2015 00:00

EuGH erklärt Safe-Harbor-Abkommen für rechtswidrig – der Datenübermittlung in die USA wird Rechtsgrundlage entzogen

geschrieben von  RA Tim F. Schulz
Artikel bewerten
(3 Stimmen)

Der Europäische Gerichtshof (EuGH) folgt der Auffassung des Generalanwalts und erklärt Safe-Harbor für ungültig. Damit wird der Datenübermittlung vieler Internetkonzerne in die USA die bisherige Rechtsgrundlage entzogen. Betroffen ist nicht nur Facebook.

Urteil des Europäischen Gerichtshofes vom 06.10.2015, Rechtssache C-362/14 (hier geht's zum Urteil)

Worum ging es?

Nach europäischem Recht ist die Übermittlung von personenbezogenen Daten in ein Land außerhalb der EU nur zulässig, wenn in diesem Land ein „angemessenes Schutzniveau“ gewährleistet wird. Die Prüfung der Angemessenheit des Schutzniveaus wird im Einzelfall von den nationalen Aufsichtsbehörden vorgenommen. Um Rechtssicherheit zu schaffen, erklärte die Europäische Kommission im Juli 2000, dass für Datenübermittlungen an Unternehmen mit Sitz in den USA immer dann ein angemessenes Schutzniveau besteht, wenn sich die Unternehmen den sog. Safe-Harbor-Prinzipien unterwerfen. Im Rahmen dieses – vermeintlich – sicheren Hafens, verpflichteten sich amerikanische Unternehmen selbst zur Einhaltung bestimmter Datenschutzstandards. Die Unternehmen fanden damit über viele Jahre einen komfortablen Weg, die Datenübermittlung in die USA zu rechtfertigen.

Die Selbstzertifizierung unter dem Safe-Harbor-Abkommen erfreute sich größter Beliebtheit: Die Liste der ca. 5500 Unternehmen, die sich Safe-Harbor unterworfen hatten, liest sich wie das who-is-who der Internetkonzerne und wird angeführt von Facebook, Google, Microsoft, IBM, Amazon und Dropbox. Von Datenschützern wurde die Safe-Harbor-Entscheidung der Kommission schon immer kritisiert. Durch die NSA-Enthüllungen und andere bekannt gewordene Details der amerikanischen Behördenpraxis geriet diese Entscheidung zunehmend in die Kritik.

Ein Facebook-Nutzer legte Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde ein, da er der Ansicht war, dass angesichts der jüngsten Enthüllungen, in den USA kein ausreichender Schutz seiner und aller personenbezogener Daten bestünde, die von Facebook erhoben, in die USA transferiert und dort verarbeitet würden. Die Aufsichtsbehörde lehnte es aber ab, zu prüfen, ob in den USA ein „angemessenes Schutzniveau“ herrsche und verwies auf die entsprechende Entscheidung der Europäischen Kommission. Nach dieser Entscheidung sei ein angemessener Schutz anzunehmen – und an diese Entscheidung sei die Aufsichtsbehörde gebunden. Gegen diese Entscheidung wehrte sich der Kläger, rief das nationale Gericht an, welches die Angelegenheit sodann dem EuGH zur Entscheidung vorlegte.

Was hat das Gericht entschieden?

Der Europäische Gerichtshof erklärte die Entscheidung der Kommission und damit das bestehende Safe-Harbor für ungültig.

Dabei hatte das Gericht im Wesentlichen über zwei Fragen zu entscheiden: 1. Bindet die Entscheidung der Kommission die nationalen Datenschutzbehörden bei ihrer Prüfung eines angemessenen Schutzniveaus? 2. Ist die Entscheidung der Kommission inhaltlich gültig? Beides verneinte der Europäische Gerichtshof klar:

Zunächst stellte der EuGH fest, dass eine Entscheidung der Kommission, in der sie feststellt, dass in einem Drittland ein angemessenes Schutzniveau herrscht, die Befugnisse der nationalen Aufsichtsbehörden weder beschränkt noch beschränken kann. Der Gerichtshof betont, dass die Aufsichtsbehörden in völliger Unabhängigkeit prüfen können und müssen, ob bei einer Datenübermittlung in ein Drittland, die gesetzlichen Anforderungen eingehalten werden. Nur diese Auslegung komme der Bedeutung der Unabhängigkeit der nationalen Datenschutzbehörden nach.

Die Entscheidung der Kommission ist nach Ansicht des EuGH aber auch inhaltlich falsch und war daher für ungültig zu erklären. Die Kommission hätte prüfen und positiv feststellen müssen, dass die USA aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleisten, des dem in der EU garantierten Niveau gleichkommt. Diese Feststellung aber hat die Europäische Kommission nicht getroffen. Schon deshalb ist die Entscheidung ungültig.

Darüber hinaus stellt der EuGH fest, dass die Safe-Harbor-Regelung nur Unternehmen, nicht aber Behörden bindet und daher keinen angemessenen Schutz gewährleisten könne. Da die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und die Durchsetzung nationaler Gesetze in den USA Vorrang genießen würden, sind auch die US-amerikanischen Unternehmen verpflichtet, die durch Safe-Harbor vorgesehenen Schutzregeln im Zweifelsfall unangewandt zu lassen.

Außerdem könne das Schutzniveau in den USA den in der Europäischen Union garantierten Freiheiten und Grundrechten nicht gleichwertig sein, wenn generell die Speicherung aller aus der EU erhaltenen personenbezogenen Daten gestattet wird, ohne eine Differenzierung, Einschränkung oder Ausnahme vorzunehmen und ohne den Zugang der Behörden zu beschränken. Nach Ansicht des EuGH verletzt die Befugnis der US-amerikanischen Behörden, auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens. Ferner fehle in den USA aber eine – dem Rechtsstaat aber inhärente – Möglichkeit der betroffenen Bürger auf gerichtlichen Rechtsschutz. Letztlich übersteigt die Kommission auch ihre Kompetenz, wenn sie Befugnisse der nationalen Datenschutzaufsichtsbehörden beschränkt. Ein solches Recht steht ihr nicht zu.

Folgen für die Praxis

Die tatsächlichen Folgen dieser Entscheidung sind derzeit kaum abzusehen. Es sollte aber klargestellt werden, dass der EuGH nicht entschieden hat, dass eine Datenübermittlung in die USA generell unzulässig sei. Eine Datenübermittlung kann auch auf andere Rechtsgrundlagen gestützt werden.

Die Entscheidung wird jedoch zwangsläufig dazu führen, dass die nationalen Datenschutzbehörden ihre eigenen Feststellungen zu dem „angemessenen Schutzniveau“ des Datenschutzrechts in den USA treffen werden. Hierbei werden sie die Feststellungen des EuGH berücksichtigen – und vermutlich bei ihrer Beurteilung zu dem gleichen Ergebnis kommen. Es obliegt nun den Datenschutzaufsichtsbehörden, wie sie diese Entscheidung des EuGH umsetzen. Ob es bald eine Entscheidung gibt, die einem der großen Internetkonzerne verbietet, Daten aus der EU in die USA zu übermitteln, bleibt abzuwarten – ganz bestimmt wird sich ein Gericht mit dieser Frage noch einmal zu beschäftigen haben.

Was den Wegfall von Safe-Harbor betrifft, ist nun Wirklichkeit geworden, was renommierte Datenschützer in den letzten Jahren gefordert haben. Es ist nun umso wichtiger, zwischen den USA und der EU die Verhandlungen über ein neues Abkommen intensiv fortzuführen und voranzubringen. Für manche der betroffenen Konzerne kann es auch eine Chance sein, Server in Europa zu betreiben und in Europa die europäische Gesetzeslage umzusetzen. Für viele Konzerne ist es nicht notwendig, alle Nutzerdaten in die USA zu übermitteln. Durch die öffentliche Aufmerksamkeit gewinnt das Thema Datenschutz für die Nutzer zunehmend an Bedeutung.

Für viele Unternehmen besteht weiterhin die Möglichkeit durch Nutzung der europäischen Standard-Vertragsklauseln oder durch sog. Binding Corporate Rules die Übermittlung ins außereuropäische Ausland auf eine rechtlich sichere Grundlage zu stellen. Hierzu, sowie zu anderen datenschutzrechtlichen Fragestellungen beraten wir Sie gerne.

Gelesen 3488 mal Letzte Änderung am Dienstag, 15 März 2016 16:37