EuGH – Ungültigkeit des „Safe-Harbor“-Abkommens zum Datenschutz zwischen der EU und den USA

Nach einer Entscheidung des Gerichtshofs der Europäischen Union (EuGH) ist die von der Kommission auf Grundlage der „Safe-Harbor“-Regelungen getroffenen Feststellung, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelten personenbezogenen Daten gewährleisten, ungültig (Urt. v. 06.10.2015 – C-362/14 – Schrems/Data Protection Commissioner).

Sachverhalt

Der österreichische Staatsbürger Schrems nutzt seit 2008 das soziale Netzwerk Facebook. Bei der erstmaligen Anmeldung schließen Nutzer aus der EU einen Vertrag mit Facebook Ireland Ltd., einer Tochtergesellschaft der in den USA ansässigen Gesellschaft Facebook Inc. Die personenbezogenen Daten werden ganz oder teilweise an deren Server, die sich in den USA befinden, übermittelt und dort verarbeitet.

Im Juni 2013 legte Schrems bei der irischen Datenschutzbehörde eine Beschwerde mit der Aufforderung ein, Facebook Ireland Ltd. die Übermittlung seiner personenbezogenen Daten in die USA zu untersagen. Er begründete dies damit, dass Recht und Praxis der USA keinen ausreichenden Schutz der in diesem Land gespeicherten personenbezogenen Daten vor Überwachungstätigkeiten der dortigen Behörden gewährleisteten. Er verwies dabei auf die von Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste, insbesondere der National Security Agency (NSA).

Die irische Datenschutzbehörde wies die Beschwerde zurück. Es gäbe keine Beweise für einen Zugriff der Nachrichtendienste auf die personenbezogenen Daten von Schrems. Weiterhin habe die Kommission in der Entscheidung 2000/520/EG festgestellt, dass die USA im Rahmen der sog. „Safe-Harbor“-Regelung ein angemessenes Schutzniveau der übermittelten personenbezogenen Daten gewährleisteten.

Schrems erhob gegen die Ablehnung Klage beim irischen High Court. Dieser stellte fest, dass nach dem irischen Recht, das auf Art. 25 Abs. 1 und 2 Richtlinie 95/46/EG (Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Richtlinie)) beruhe, eine Übermittlung von Daten in ein Land außerhalb der EU nur dann zulässig sei, wenn das betreffende Land ein angemessenes Schutzniveau der Privatsphäre sowie der Grundrechte und Grundfreiheiten gewährleiste. Die Kommission könne dabei nach Art. 25 Abs. 6 Datenschutz-Richtlinie feststellen, dass ein bestimmtes Land die Anforderungen erfülle. Der High Court setzte das Verfahren aus und ersuchte den EuGH um Entscheidung darüber, ob eine nationale Datenschutzbehörde an die Entscheidung der Kommission gebunden sei oder aber eigene Ermittlungen angestellt werden müssten.

Entscheidung des Gerichts

Der EuGH hat zunächst entschieden, dass die Existenz einer Feststellung der Kommission, dass ein Drittland ein angemessenes Schutzniveau für die dorthin übermittelten personenbezogenen Daten gewährleiste, eine nationale Datenschutzbehörde nicht daran hindere, die Erfüllung der Anforderungen selbst zu überprüfen.

Nach Art. 28 Abs. 1 Datenschutz-Richtlinie müssten die Mitgliedstaaten Kontrollstellen für den Schutz natürlicher Personen bei der Verarbeitung personenbezogene Daten einrichten, die die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahrnähmen. Dafür verfügten die Kontrollstellen über eine große Bandbreite von Befugnissen, die in Art. 28 Abs. 3 Datenschutz-Richtlinie in nicht abschließender Weise aufgezählt würden. Eine Entscheidung der Kommission nach Art. 25 Abs. 6 Datenschutz-Richtlinie ist zwar für die Mitgliedsstaaten und deren Organe nach Art. 288 Abs. 4 AEUV verbindlich, sodass keine dieser Entscheidung zuwiderlaufenden Rechtsakte getroffen werden dürfen, solange sie nicht für ungültig erklärt wurde. Dennoch seien die nationalen Kontrollstellen nicht daran gehindert, ihre Befugnisse auszuüben und müssten daher in den Fällen, in denen sich eine Person mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung ihrer personenbezogenen Daten wende, prüfen, ob bei der Übermittlung dieser Daten die in der Richtlinie aufgestellten Anforderungen gewahrt würden. Ansonsten wäre das Recht auf Schutz der personenbezogenen Daten aus Art. 8 der Charta der Grundrechte der Europäischen Union (Grundrechte-Charta) verletzt.

Der EuGH wies darauf hin, dass er allein befugt sei, die Ungültigkeit eines Unionsrechtsakts festzustellen und erklärte im Anschluss die Entscheidung 2000/520/EG der Kommission für ungültig.

Zunächst stellte er klar, dass ein angemessenes Schutzniveau i.S.d. Art. 25 Abs. 1 Datenschutz-Richtlinie zwar nicht erfordere, dass es mit dem in der EU identisch sei, der gewährte Schutz müsse jedoch gleichwertig sein.

Die Kommission sei bei der Prüfung des von einem Drittland gebotenen Schutzniveau verpflichtet, den Inhalt der in diesem Land geltenden, aus seinen innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen resultierenden Regeln sowie die zur Gewährleistung der Einhaltung dieser Regeln dienende Praxis zu beurteilen, wobei nach Art. 25 Abs. 2 Datenschutz-Richtlinie alle Umstände des Einzelfalls zu berücksichtigen seien.

Eine solche Feststellung sei von der Kommission nicht erfolgt, diese habe sich vielmehr darauf beschränkt, die „Safe-Harbor“-Regelungen zu überprüfen.

Weiterhin werde den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Vorrang vor den „Safe-Harbor“-Grundsätzen eingeräumt, sodass die Unternehmen verpflichtet seien, die Grundätze unangewandt zu lassen, wenn sie in Widerstreit zu den genannten Erfordernissen stünden.

Hinzu komme, dass die Entscheidung der Kommission keine Feststellung zum Bestehen von Regeln zur Begrenzung von Eingriffen oder eines wirksamen gerichtlichen Rechtschutzes gegen diese enthalte.

Die Kommission selbst habe zudem im November 2013 in den Abschnitten 2 und 3.2 der Mitteilung COM(2013) 846 final sowie in den Abschnitten 7.1, 7.2 und 8 der Mitteilung Com(2013) 847 final festgestellt, dass die US-amerikanischen Behörden auf die aus der EU übermittelten Daten zugreifen und sie in einer Weise verarbeiten könnten, die namentlich mit den Zielsetzungen ihrer Übermittlung unvereinbar wären und über das hinausgingen, was zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig wäre. Weiterhin führe die Kommission aus, dass es für den Betroffenen keine administrativen oder gerichtlichen Rechtsbehelfe gebe, die es ihnen erlaubten, Zugang zu den betreffenden Daten zu erhalten und gegebenenfalls deren Berichtigung oder Löschung zu erwirken.

Der Schutz des Grundrechts auf Achtung des Privatlebens aus Art. 7 Grundrechte-Charta verlange, dass sich die Ausnahmen zum Schutz personenbezogener Daten und dessen Einschränkungen auf das absolut Notwendige beschränkten. Eine Regelung, die es den Behörden gestatte, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, verletzte den Wesensgehalt dieses Grundrechts. Weiterhin verletze eine Regelung, die keine Möglichkeit für den Bürger vorsehe, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erreichen, den Wesensgehalt des Grundrechts auf wirksamen Rechtsschutz aus Art. 47 Grundrechte-Charta.

Schließlich entziehe die Entscheidung der Kommission den nationalen Datenschutzbehörden Befugnisse, die ihnen nach Art. 28 Datenschutz-Richtlinie zuständen.

Bewertung

Der EuGH hatte bereits mit seiner ebenfalls die Datenschutz-Richtlinie betreffenden Entscheidung zum „Recht auf Vergessenwerden“ (Urt. v. 13.05.2014 – C-131/12 – Google Spain u.a./AEPD u.a.) die Betreiber von Internet-Suchmaschinen zu einer Änderung ihres Umgangs mit der Löschung von Suchergebnissen gezwungen (siehe dazu unseren Kommentar). Die aktuelle Entscheidung des EuGH wird noch weitreichendere Auswirkungen haben. Sie betrifft nicht nur Facebook als den Auslöser des Verfahrens und auch nicht nur Internetunternehmen, sondern alle Unternehmen, die Daten aus der EU in die USA übermitteln, unabhängig davon, ob es sich um Daten von Kunden oder Arbeitnehmern handelt.

Durch die vom EuGH ausgesprochene Ungültigkeit der Feststellung der Kommission zum „Safe-Harbor“-Abkommen müssen nun die nationalen Datenschutzbehörden prüfen, ob die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleistet, wobei die vom EuGH aufgestellten Grundsätze zu beachten sind.

Als Alternative zum „Safe-Harbor“-Abkommen wird häufig die Einholung der Einwilligung beim Betroffenen sowie die Verwendung von EU-Standardvertragsklauseln oder sog. Binding Corporate Rules genannt. Aufgrund der vom EuGH aufgestellten strengen Anforderungen in Bezug auf die Erforderlichkeit von Beschränkungen beim Zugriff durch Sicherheitsbehörden und das Bestehen von Rechtschutzmöglichkeiten ist jedoch fraglich, ob diese Möglichkeiten auch weiterhin Bestand haben können.