Der Europäische Gerichtshof hat die "Safe Harbor"-Entscheidung der Europäischen Kommission mit Urteil vom 06.10.2015 für ungültig erklärt. Die irische Datenschutzbehörde muss nun die Beschwerde des österreichischen Juristen Max Schrems, der sich vor dem Hintergrund des NSA-Skandals gegen den Transfer seiner Facebook-Daten in die USA wehrt, inhaltlich prüfen und entscheiden, ob die Übermittlung der Daten europäischer Facebook-Nutzer in die USA auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten gewährleistet (Az.: C-362/14).
Anzeige
Schrems rügt Facebook-Datentransfer in USA
Der österreichische Jurist Max Schrems will die Übermittlung seiner Facebook-Daten durch Facebooks irische Tochter in die USA unterbinden. Er legte bei der irischen Datenschutzbehörde eine Beschwerde ein und machte vor dem Hintergrund der Snowden-Enthüllungen über die Spähprogramme des US-amerikanischen Nachrichtendienstes NSA geltend, die USA böten keinen ausreichenden Schutz seiner Daten vor Überwachung. Nach der Datenschutzrichtlinie 95/46/EG ist die Übermittlung personenbezogener Daten in ein Drittland grundsätzlich nur dann zulässig, wenn das betreffende Drittland ein angemessenes Schutzniveau dieser Daten gewährleistet. Die Kommission kann feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen ein angemessenes Schutzniveau gewährleistet.
Irische Datenschutzbehörde: "Safe Harbor"-Entscheidung der Kommission bindend
Die irische Behörde wies die Beschwerde zurück. Sie verwies zur Begründung insbesondere auf die "Safe Harbor"-Entscheidung der Kommission aus dem Jahr 2000, wonach die USA im Rahmen der sogenannten „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau der übermittelten personenbezogenen Daten gewährleisten.
Irischer High Court: Steht "Safe Harbor"-Entscheidung Prüfung durch nationale Datenschutzbehörden entgegen?
Schrems erhob gegen den Bescheid Klage beim irischen High Court, der den EuGH im Vorabentscheidungsverfahren anrief. Das Gericht wollte wissen, ob die nationalen Datenschutzbehörden an die "Safe Harbor"-Entscheidung der Kommission gebunden sind mit der Folge, dass sie nicht prüfen können, ob ein als sicher anerkanntes Drittland ein angemessenes Schutzniveau gewährleistet, und die angefochtene Datenübermittlung gegebenenfalls nicht aussetzen dürfen.
EuGH: "Safe Harbor"-Entscheidung beschränkt Prüfbefugnisse der nationalen Datenschutzbehörden nicht
Laut EuGH konnte die "Safe Harbor"-Entscheidung die den nationalen Datenschutzbehörden in der EU-Grundrechte-Charta und der Richtlinie eingeräumten Befugnisse weder beseitigen noch beschränken. Die nationalen Datenschutzbehörden müssten im Fall einer Beschwerde völlig unabhängig prüfen können, ob bei der Übermittlung der Daten einer Person in ein Drittland die in der Richtlinie aufgestellten Anforderungen gewahrt werden. Der EuGH weist aber darauf hin, dass nur er die Ungültigkeit eines EU-Rechtsakts wie einer Kommissionsentscheidung feststellen kann, sodass folglich die nationalen Gerichte anzurufen seien, damit diese die Sache dem EuGH vorlegen können.
"Safe Harbor"-Entscheidung der Kommission ungültig
Der EuGH hat die "Safe Harbor"-Entscheidung der Kommission für ungültig erklärt. Die Kommission habe lediglich die Safe-Harbor-Regelung geprüft, die nur für die amerikanischen Unternehmen gelte, die sich ihr unterwürfen, nicht aber für die US-Behörden. Außerdem hätten die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der USA Vorrang vor der Safe-Harbor-Regelung, sodass die amerikanischen Unternehmen die Schutzregeln unangewendet lassen müssen, wenn sie in Widerstreit zu solchen Erfordernissen stehen. Die amerikanische Safe-Harbor-Regelung ermögliche daher Eingriffe der amerikanischen Behörden in die Grundrechte der Personen. In der Kommissionsentscheidung werde weder festgestellt, dass es in den USA eingriffsbegrenzende Regeln noch einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt.
US-Behörden können ohne wirksamen Rechtsschutz auf Daten zugreifen
Laut EuGH wird diese Analyse der Regelung durch zwei Mitteilungen der Kommission bestätigt. Aus diesen gehe hervor, dass die amerikanischen Behörden auf die aus den EU-Staaten übermittelten personenbezogenen Daten zugreifen und sie in einer Weise verarbeiten konnten, die mit den Zielsetzungen ihrer Übermittlung unvereinbar und mit Blick auf den Schutz der nationalen Sicherheit unverhältnismäßig war. Auch habe die Kommission festgestellt, dass es für die Betroffenen keine administrativen oder gerichtlichen Rechtsbehelfe gab, um Zugang zu den sie betreffenden Daten zu erhalten und gegebenenfalls deren Berichtigung oder Löschung zu erwirken.
Zum Erfordernis eines angemessenen Schutzniveaus stellt der EuGH fest, dass das Grundrecht auf Achtung des Privatlebens eine Begrenzung der Speicherung personenbezogener Daten auf das absolut Notwendige verlangt. Daran fehle es, wenn eine Regelung generell die Speicherung aller in die USA übermittelten personenbezogenen Daten erlaube, ohne anhand des verfolgten Ziels zu differenzieren und ohne objektive Kriterien vorzusehen, die es ermöglichen, den Zugang der Behörden zu den Daten und deren spätere Nutzung zu beschränken. Laut EuGH verletzt insbesondere eine Regelung, die es den Behörden gestatte, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens. Außerdem verletze eine Regelung den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz, wenn sie für den Bürger keine Möglichkeit vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken.
Kommission hat mit "Safe Harbor"-Entscheidung ihre Kompetenzen überschritten
Schließlich stellt der EuGH fest, dass die "Safe Harbor"-Entscheidung der Kommission den nationalen Datenschutzbehörden Befugnisse entzieht, die ihnen für den Fall zustehen, dass eine Person die Vereinbarkeit der Entscheidung mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen in Frage stellt. Die Kommission habe keine Kompetenz gehabt, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu beschränken.
