Nationale Behörden dürfen Übermittlung der Daten europäischer Facebook-Nutzer in USA aussetzen

Trotz der Feststellung der Europäischen Kommission, dass personenbezogene Daten in den USA angemessen geschützt sind, dürfen nationale Behörden die Übermittlung der Daten europäischer Nutzer von Facebook an Server, die sich in den Vereinigten Staaten befinden, aussetzen. Dies hat der Generanwalt am Gerichtshof der Europäischen Union Yves Bot mit Schlussanträgen vom 23.09.2015 entschieden. Er ist der Meinung, die Entscheidung der Kommission sei ungültig (Az.: C-362/14).

Österreichischer Facebook-Nutzer geht gegen Übermittlung seiner Daten in die USA vor

Der Kläger des Ausgangsverfahrens, ein österreichischer Staatsangehöriger, nutzt seit 2008 Facebook. Wie bei den übrigen Nutzern mit Wohnsitz in der EU werden die Daten, die er Facebook liefert, von der irischen Tochtergesellschaft von Facebook ganz oder teilweise an Server übermittelt, die sich im Hoheitsgebiet der Vereinigten Staaten befinden, und dort gespeichert. Der Kläger legte eine Beschwerde bei der irischen Datenschutzbehörde ein, da seiner Ansicht nach das Recht und die Praxis in den Vereinigten Staaten in Anbetracht der von Edward Snowden im Jahr 2013 enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten (insbesondere der National Security Agency – NSA) keinen wirklichen Schutz dagegen bieten, dass der amerikanische Staat die in dieses Land übermittelten Daten überwacht.

Kommission geht von angemessenem Schutzniveau der USA für personenbezogene Daten aus

Die irische Behörde wies die Beschwerde mit der Begründung zurück, dass die Kommission in einer Entscheidung vom 26.07.2000 das von den USA im Rahmen der als "sicherer Hafen" bezeichneten Regelung gewährleistete Schutzniveau der übermittelten personenbezogenen Daten als angemessen eingestuft habe. Der mit der Rechtssache befasste irische High Court möchte wissen, ob diese Entscheidung der Kommission eine nationale Kontrollstelle daran hindert, eine Beschwerde zu untersuchen, mit der geltend gemacht wird, dass ein Drittland kein angemessenes Schutzniveau gewährleiste, und die beanstandete Übermittlung von Daten gegebenenfalls auszusetzen.

Eingriffsbefugnisse nationaler Kontrollstellen müssen unangetastet bleiben

In seinen Schlussanträgen vertritt Bot die Auffassung, dass die Existenz einer Entscheidung der Kommission, mit der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet, die Befugnisse der nationalen Kontrollstellen nach der Richtlinie über die Verarbeitung personenbezogener Daten weder beseitigen noch auch nur verringern kann. Er ist außerdem der Ansicht, dass die Entscheidung der Kommission ungültig ist. Die Eingriffsbefugnisse der nationalen Kontrollstellen müssten angesichts der Bedeutung ihrer Rolle im Bereich des Datenschutzes unangetastet bleiben.

Kommission darf Befugnisse der Kontrollbehörden nicht beschränken

Der Generalanwalt führt zunächst aus, dass die Eingriffsbefugnisse der nationalen Kontrollstellen angesichts der Bedeutung ihrer Rolle im Bereich des Datenschutzes unangetastet bleiben müssen. Wären die nationalen Kontrollstellen absolut an die Entscheidungen der Kommission gebunden, würde dies unweigerlich die ihnen nach der Richtlinie zustehende völlige Unabhängigkeit einschränken. Der Generalanwalt schließt daraus, dass eine nationale Kontrollbehörde, wenn sie der Ansicht ist, dass eine Datenübermittlung den Schutz der Unionsbürger in Bezug auf die Verarbeitung ihrer Daten beeinträchtigt, zur Aussetzung dieser Übermittlung befugt ist, unabhängig von der allgemeinen Bewertung durch die Kommission in ihrer Entscheidung. Die der Kommission durch die Richtlinie übertragene Befugnis berühre nämlich nicht die den nationalen Kontrollstellen darin verliehenen Befugnisse. Mit anderen Worten sei die Kommission nicht ermächtigt, die Befugnisse der nationalen Kontrollbehörden zu beschränken.

Zuständigkeit bei Festellung angemessenen Schutzniveaus geteilt

Der Generalanwalt räumt zwar ein, dass die nationalen Kontrollstellen rechtlich an die Entscheidung der Kommission gebunden sind. Doch gebietet es eine solche Bindungswirkung seines Erachtens nicht, Beschwerden summarisch, das heißt sofort und ohne jede Prüfung ihrer Begründetheit, zurückzuweisen. Dies gelte umso mehr, als die Feststellung des angemessenen Schutzniveaus eine zwischen den Mitgliedstaaten und der Kommission geteilte Zuständigkeit sei. Eine Entscheidung der Kommission spiele gewiss eine wichtige Rolle für die Vereinheitlichung der Übermittlungsvoraussetzungen in den Mitgliedstaaten. Die Vereinheitlichung könne aber nur Bestand haben, solange die genannte Feststellung nicht in Frage gestellt wird, insbesondere im Rahmen einer von den nationalen Behörden im Einklang mit den ihnen durch die Richtlinie zuerkannten Untersuchungs- und Einwirkungsbefugnissen zu behandelnden Beschwerde.

Generalanwalt hält Kommissionsentscheidung für unwirksam

Zudem hätten die Mitgliedstaaten, falls in dem Drittland, in das personenbezogene Daten übermittelt werden, systemische Mängel festgestellt werden, die erforderlichen Maßnahmen ergreifen können müssen, um die Grundrechte, die von der Charta der Grundrechte der Europäischen Union geschützt werden, zu wahren, wie das Recht auf Achtung des Privat- und Familienlebens und das Recht auf den Schutz personenbezogener Daten. In Anbetracht der im Lauf des Verfahrens geäußerten Zweifel an der Gültigkeit der Entscheidung 2000/520 vertritt der Generalanwalt die Auffassung, dass der Gerichtshof diesen Aspekt prüfen sollte, und kommt zu dem Ergebnis, dass die Entscheidung ungültig sei. Aus den sowohl vom irischen High Court als auch von der Kommission selbst getroffenen Feststellungen ergebe sich, dass das Recht und die Praxis der Vereinigten Staaten es gestatteten, die übermittelten personenbezogenen Daten von Unionsbürgern in großem Umfang zu sammeln, ohne dass sie über einen wirksamen gerichtlichen Rechtsschutz verfügten.

Datenzugriff in USA verstößt gegen EU-Grundrechte-Charta

Diese Tatsachenfeststellungen belegten, dass die Entscheidung der Kommission keine ausreichenden Garantien enthält. Aufgrund dieses Fehlens von Garantien sei sie in einer Weise umgesetzt, die nicht den Anforderungen der Richtlinie und der Charta entspreche. Außerdem bedeute der Zugang der amerikanischen Nachrichtendienste zu den übermittelten Daten einen Eingriff in das Recht auf Achtung des Privatlebens und in das Recht auf den Schutz personenbezogener Daten. Der Umstand, dass die Unionsbürger keine Möglichkeit hätten, zur Frage des Abfangens und der Überwachung ihrer Daten in den Vereinigten Staaten gehört zu werden, stelle zudem einen Eingriff in das von der Charta geschützte Recht der EU-Bürger auf einen wirksamen Rechtsbehelf dar. Der Generalanwalt sieht in diesem Eingriff in die Grundrechte einen Verstoß gegen den Grundsatz der Verhältnismäßigkeit, insbesondere weil die von den amerikanischen Nachrichtendiensten ausgeübte Überwachung massiv und nicht zielgerichtet sei.

Massiver und generalisierter Zugang zu übermittelten Daten zu befürchten

Der Zugang zu personenbezogenen Daten, über den die amerikanischen Nachrichtendienste verfügten, erfasse in generalisierter Weise alle Personen und alle elektronischen Kommunikationsmittel sowie sämtliche übertragenen Daten (einschließlich des Inhalts der Kommunikationen), ohne jede Differenzierung, Einschränkung oder Ausnahme anhand des im Allgemeininteresse liegenden Ziels, das verfolgt wird. Unter diesen Umständen könne nicht davon ausgegangen werden, dass ein Drittland ein angemessenes Schutzniveau gewährleiste, zumal die Regelung über den sicheren Hafen in der Entscheidung der Kommission keine Garantien enthalte, die geeignet seien, einen massiven und generalisierten Zugang zu den übermittelten Daten zu verhindern.

Kommission hätte Anwendung ihrer Entscheidung aussetzen müssen

Keine unabhängige Behörde sei in der Lage, in den Vereinigten Staaten zu kontrollieren, ob staatliche Akteure wie die amerikanischen Sicherheitsdienste gegenüber Unionsbürgern gegen die Grundsätze des Schutzes personenbezogener Daten verstoßen. Angesichts eines solchen Befunds der Verletzung von Grundrechten der EU-Bürger hätte die Kommission nach Auffassung des Generalanwalts die Anwendung der Entscheidung aussetzen müssen. Dies gelte trotz des Umstands, dass sie derzeit mit den USA darüber verhandle, die festgestellten Verstöße abzustellen. Die Kommission habe gerade deshalb beschlossen, Verhandlungen mit den Vereinigten Staaten aufzunehmen, weil sie zuvor zu der Erkenntnis gelangt sei, dass das von diesem Drittland im Rahmen der Regelung über den sicheren Hafen gewährleistete Schutzniveau nicht mehr angemessen sei und dass die Entscheidung von 2000 nicht mehr der tatsächlichen Lage entspreche.