Menu
Rechtsberatung Insolvenzverwaltung Restrukturierung und Sanierung

Der EuGH kippt das Safe-Harbor-Abkommen

30. November 2015

„David v. Goliath“ oder „Die Vereinigten Staaten als Safe Harbor?“ – Der EuGH kippt das Safe-Harbor-Abkommen (EuGH, Urteil vom 06.10.2015 in der Rechtssache C-362/14, Maximillian Schrems / Data Protection Commissioner)

Der Europäische Gerichtshof (EuGH, Urteil vom 06.10.2015 in der Rechtssache C-362/14, Maximillian Schrems / Data Protection Commissioner) hatte am 06.10.2015 eine (wie so oft) nicht ganz einfache Entscheidung zu treffen. Hintergrund war eine Beschwerde des österreichischen Juristen Maximialian Schrems, der Nutzer des sozialen Netzwerks facebook ist. Die bei facebook hinterlegten Daten werden von der irischen Tochtergesellschaft ganz oder teilweise an in den Vereinigten Staaten befindlichen Server übermittelt und dort verarbeitet. Hiergegen wandte sich Herr Schrems mit einer Beschwerde an die irische Datenschutzbehörde, da die Tochtergesellschaft von facebook ihren europäischen Sitz in Irland hat. Ausschlaggebend für die Beschwerde waren die Enthüllungen des „whistleblowers“ Edward Snowden über die Überwachungsmethoden der amerikanischen Nachrichtendienste, insbesondere der NSA (National Security Agency). Herr Schrems war der Ansicht, dass die übermittelten Daten aufgrund der vorherrschende Praxis sowie den aktuellen rechtlichen Regelungen in den Vereinigten Staaten nicht ausreichend geschützt sind, insbesondere im Hinblick auf die Überwachungstätigkeiten der dortigen Dienste und Behörden. Die Beschwerde des Herrn Schrems wurde von den irischen Behörden unter Verweis auf die Entscheidung der Kommission vom 26.07.2000 (Entscheidung 2000/520/EG der Kommission vom 26.07.2000 gemäß der Richltinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes) zurückgewiesen, da den Vereinigten Staaten im Rahmen der „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten zugesprochen wurde.

Zur Erläuterung der Safe-Harbor-Regelung: Die Zulässigkeit der Übermittlung personenbezogener Daten in ein Drittland ist grundsätzlich nur zulässig, sofern das Drittland ein angemessenes Schutzniveau der übermittelten Daten gewährleistet (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31)). Die Safe-Harbor-Regelung enthält Grundsätze über den Schutz personenbezogener Daten, deren Annahme und Anwendung für amerikanische Unternehmen freiwillig ist.

Der irische High Court hatte den Europäischen Gerichtshof angerufen, um zu klären, ob eine nationale Datenschutzbehörde durch die bestehende Entscheidung der Kommission (Safe-Harbor-Regelung) an der Prüfung einer Beschwerde gehindert wird, mit der der Beschwerdeführer geltend macht, dass das geforderte angemessene Schutzniveau eines Drittlandes nicht gegeben ist und dass eine gegebenenfalls angefochtene Datenübermittlung ausgesetzt werden muss.

Der Gerichtshof stellt in seiner Entscheidung vom 06.10.2015 fest, dass die Befugnisse der nationalen Datenschutzbehörden, über die die nationalen Behörden aufgrund der Charta der Grundrechte der Europäischen Union und der Richtlinie verfügen, durch die existierende Entscheidung der Kommission weder beseitigt noch eingeschränkt werden können. Dies gilt auch dann, wenn aufgrund der getroffenen Entscheidung einem Drittland ein angemessenes Schutzniveau für übermittelte personenbezogene Daten zugesprochen wird. Insoweit verweist das Gericht auf die durch die Charta garantierten Rechte und die den nationalen Datenschutzbehörden durch die Charta übertragenen Aufgaben.

Zwar liegt die grundsätzliche Befugnis, über die Ungültigkeit eines Unionsrechtsakts wie die Entscheidung einer Kommission zu entscheiden, allein beim Europäischen Gerichtshof. Allerdings sind die nationalen Behörden an der Kontrolle der Übermittlung personenbezogener Daten nach Auffassung des EuGH nicht gehindert. Irrelevant ist, ob die Bestimmungen der Richtlinie bereits Gegenstand einer Entscheidung der Kommission waren. Es obliegt den nationalen Datenschutzbehörden, unabhängig von einer etwaigen Entscheidung der Kommission, die Wahrung der in der Richtlinie festgeschriebenen Anforderungen bei der Datenübermittlung zu prüfen. Hierzu ergab die Prüfung der Entscheidung der Kommission vom 26.07.2000 durch den Europäischen Gerichtshof, dass die Feststellung der Kommission, dass die Vereinigten Staaten aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleisten, nicht getroffen wurde.

Problematisch an der Regelung des Safe-Harbor-Abkommens ist, dass sie nur für amerikanische Unternehmen gilt, die sich dem Abkommen freiwillig unterwerfen, nicht aber für behördliche Institutionen. Die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten hat stets Vorrang vor den Regelungen des Safe-Harbor-Abkommens. Daher sind amerikanische Unternehmen verpflichtet und gezwungen, die Regelungen des Safe-Harbor-Abkommens zurückzustellen und nicht anzuwenden, wenn die oben benannten Erfordernisse im Widerstreit zu dem Abkommen stehen. Insofern werden Eingriffe der Behörden in die Grundrechte der Personen durch die Safe-Harbor-Regelungen ermöglicht. Allerdings stellte der Gerichtshof in seinem Urteil klar, dass in der Entscheidung der Kommission keine Feststellungen getroffen wurden, dass Regelungen in den Vereinigten Staaten existieren, die eventuelle Eingriffe begrenzen noch, dass gegen solche Eingriffe Möglichkeiten eines wirksamen gerichtlichen Rechtsschutzes bestehen. In zwei Mitteilungen der Kommission fiel das Ergebnis der Analysen entsprechend aus (COM[2013] 846 final, 27. November 2013 und COM[2013] 847 final, 27. November 2013). Die Kommission stellte in beiden Mitteilungen fest, dass amerikanische Behörden auf die aus den Mitgliedstaaten in die Vereinigten Staaten übermittelten personenbezogenen Daten zugreifen und sie entgegen ihrer eigentlichen Zweckbestimmung verarbeiten konnten. Weder war die Verarbeitung der Daten zum Schutz der nationalen Sicherheit absolut notwendig noch verhältnismäßig, so die Kommission. Auch gab es den Feststellungen der Kommission zufolge für die Betroffenen keine administrativen oder gerichtlichen Rechtsbehelfe, die den Zugang zu den betreffenden Daten und deren Berichtigung oder Löschung ermöglichten.

Aufgrund der vorstehenden Ausführungen stellt der Gerichtshof zum Vorliegen eines Schutzniveaus entsprechend der in der Union garantierten Freiheiten und Grundrechte zu Recht fest, dass eine Regelung, die Behörden berechtigt, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt. Nach geltendem Unionsrecht ist eine Regelung dann nicht auf das absolut Notwendige beschränkt, wenn eine generelle Speicherung und Übermittlung aller personenbezogenen Daten sämtlicher Personen ohne jegliche Einschränkungen, Differenzierungen oder Ausnahmen gestattet ist. Zudem verletzt eine solche Regelung das Grundrecht auf wirksamen gerichtlichen Rechtsschutz, wenn sie für Betroffene keine Möglichkeit beinhaltet, mittels eines Rechtsbehelfs Zugang zu den übermittelten Daten zu erlangen, geschweige denn ihre Berichtigung oder Löschung durchzusetzen. Durch die Entscheidung der Kommission vom 26.07.2000 den nationalen Datenschutzbehörden Befugnisse entzogen werden, sofern eine Person die Vereinbarkeit der Entscheidung mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen in Frage stellt, so die Feststellung des Europäischen Gerichtshof. Eine Beschränkung der Befugnisse nationaler Datenschutzbehörden lag jedoch außerhalb der Kompetenz der Kommission.

Aus diesen Gründen erklärte der Europäische Gerichtshof die Entscheidung der Kommission vom 26.07.2000 für ungültig. Die Vereinigten Staaten gewährleisten aufgrund der getroffenen Feststellungen kein angemessenes Schutzniveau für personenbezogene Daten. Nunmehr obliegt die Prüfung und Entscheidung über die Aussetzung der Datenübermittlung eines europäischen Nutzers an die Vereinigten Staaten der nationalen Datenschutzbehörde. Die Entscheidung des zuständigen irischen Datenschutzbeauftragten bleibt abzuwarten.