< Vorheriger Artikel

Safe-Harbor laut EuGH nicht sicher


Am 6.10.2015 hat der EuGH im Prozess über die Datenübermittlung von der EU in die USA durch Unternehmen wie Facebook sein Urteil gesprochen. Er hatte sich in dieser Rechtssache mit der Frage zu beschäftigen, ob die von der EU-Kommission in Absprache mit den USA getroffene so genannte Safe-Harbor-Regelung aus dem Jahr 2000 ein ausreichendes Schutzniveau für die Daten von EU-Bürgern bot, wenn diese Daten in die USA übermittelt und auf den dortigen Servern gespeichert werden.

I. Zum Hintergrund des Verfahrens


Daten, die europäische Nutzer des sozialen Netzwerkes Facebook an dieses liefern, werden von der irischen Facebook-Tochtergesellschaft in die USA zu dort befindlichen Servern übermittelt, um dort verarbeitet und gespeichert zu werden. Der Österreicher Maximilian Schrems, der wie viele andere seit Jahren Facebook nutzte, legte vor dem Hintergrund des NSA-Skandals eine Beschwerde bei der irischen Datenschutzbehörde ein, weil er der Meinung war, dass seine Daten in den USA nicht ausreichend vor der Überwachung durch die dortigen Behörden geschützt seien. Anlass für seine Bedenken waren die Enthüllungen des Whistleblowers Edward Snowden.

Die Beschwerde des Herrn Schrems wurde zunächst von der irischen Datenschutzbehörde zurückgewiesen. Die Zurückweisung wurde insbesondere damit begründet, dass die Europäische Kommission in ihrer Entscheidung vom 26. Juli 2000 festgestellt habe, dass die USA mit der so genannten Safe-Harbor-Regelung für ein ausreichendes Schutzniveau der personenbezogenen Daten gesorgt hätten.

Der aufgrund des eingelegten Rechtsmittels damit befasste irische High Court legte die Rechtssache zur Vorabentscheidung dem Europäischen Gerichtshof mit der Frage vor, ob die Safe-Harbor-Regelung die nationalen Datenschutzbehörden an der Prüfung einer solchen Beschwerde hindere.

II. Die Entscheidung


In dem aktuellen Urteil spricht der Gerichtshof aus, dass eine solche Entscheidung der Kommission, die feststellt, dass in einem Drittstaat ein angemessenes Datenschutzniveau gewährleistet sei, die Kompetenzen der Datenschutzbehörden der Mitgliedstaaten, die diesen gemäß der Grundrechtecharta und der Datenschutzrichtlinie zukommen, weder aufheben noch beschränken kann.

Das bedeutet, dass die Datenschutzbehörden eine Beschwerde wie die des Herrn Maximilian Schrems auch bei Vorliegen einer solchen Kommissions-Entscheidung behandeln dürfen und auch müssen. Sie müssen nämlich völlig unabhängig überprüfen können, ob die Rechte einer Person, deren Daten in ein Drittland übermittelt werden, in ausreichendem Maße gewahrt sind. Allerdings kann nur der EuGH allein einen Rechtsakt der Kommission für ungültig erklären.

Das eigentliche Problem war weiters, dass die Regelung nur für Unternehmen gilt, die sich ihr unterwerfen. Zudem kann sie von den US-Behörden umgangen werden, da nach amerikanischem Recht Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten Vorrang vor der Safe-Harbor-Regelung genießen.

Aus zwei Mitteilungen der Kommission geht laut dem Gerichtshof außerdem hervor, dass es keine Regeln gibt, die dieses Eingriffsrecht begrenzen würden, und dass es für die Betroffenen zudem auch keinen angemessenen Rechtsschutz gegen solche Grundrechtseingriffe gibt.

Der EuGH sah daher durch diese Rechtslage sowohl das Grundrecht auf Achtung der Privatsphäre als auch das Grundrecht auf wirksamen gerichtlichen Rechtsschutz in ihrem jeweiligen Wesensgehalt als verletzt an. Außerdem stellte der Gerichtshof fest, dass die Kommission keine Kompetenz hatte, die Befugnisse der nationalen Datenschutzbehörden zu beschränken.

Aus diesen Gründen erklärte der Gerichtshof die Entscheidung der Kommission betreffend die Safe-Harbor-Regelung für ungültig. Dies führt dazu, dass die irische Datenschutzbehörde die Beschwerde des Herrn Schrems zu prüfen und darüber zu entscheiden hat, ob die Übermittlung personenbezogener Daten in die USA auszusetzen ist.

III. Das Safe-Harbor-Abkommen

Beim Safe-Harbor-Abkommen handelte es sich um eine Entscheidung der EU-Kommission aus dem Jahr 2000, die einen Transfer personenbezogener Daten aus der EU in die USA unter Einhaltung der Datenschutzregelungen der EU ermöglichen sollte. Als Abkommen wird die Entscheidung deshalb bezeichnet, weil sie in Absprache mit den USA getroffen wurde. Problematisch daran ist, dass sie in den USA nur für Unternehmen gilt, die sich ihr freiwillig unterworfen haben, sowie dass, wie oben erläutert, das amerikanische Recht Vorrang vor dem Safe-Harbor-Abkommen hat, sowie dieses bei Vorliegen von Erfordernissen der nationalen Sicherheit oder des öffentlichen Interesses unangewendet zu bleiben hat.

IV. Ausblick

Die am 6. Oktober 2015 gefallene Entscheidung des EuGH hat insbesondere zur Folge, dass Beschwerden von EU-Angehörigen durch die nationalen Datenschutzbehörden der Mitgliedstaaten der EU in voller Unabhängigkeit geprüft und entschieden werden müssen. Dies hat zur Folge, dass sich EU-Bürger wieder mit Aussicht auf Erfolg bzw. zumindest auf eingehende Prüfung ihres Falles an die nationalen Datenschutzbehörden wenden können, wenn sie sich durch die Übermittlung ihrer Daten in die Vereinigten Staaten in ihren Rechten verletzt fühlen.