Datenschutz
EuGH schließt den Hafen und bringt die Kommission ins Schwimmen
(Julia Maria Eichler)
Am 06. Oktober 2015 hat der Gerichtshof der Europäischen Union (EuGH) die sog. Safe Harbor- Entscheidung (2000/520/EG) der Europäischen Kommission für ungültig erklärt. Der EuGH profiliert sich mit diesem Urteil weiter als Hüter der Grundrechte seiner Unionsbürger und stellt die Kommission vor gewaltige Herausforderungen.
Ausgelöst wurde die vielschichtige Entscheidung durch die Klage des österreichischen Jura-Studenten Maximillian Schrems. Dieser legte bei der irischen Datenschutzbehörde gegen die Übermittlung seiner durch die Nutzung von Facebook generierten Daten von der irischen Tochterfirma an den Sever von Facebook in den USA Beschwerde ein. Er argumentierte, dass die Erkenntnisse, die man aus den Enthüllungen von Edward Snowden über die Tätigkeiten der US-amerikanischen Nachrichtendienste gewonnen habe, zeigen würden, dass in den USA kein ausreichender Schutz der dorthin übermittelten Daten vor Überwachungstätigkeit der Behörden bestünde. Die irische Datenschutzbehörde wies die Beschwerde zurück, da die Europäische Kommission in der sog „Safe-Harbor“-Entscheidung festgestellt habe, dass die USA ein angemessenes Schutzniveau für übermittelte personenbezogene Daten gewährleisten würden. Der in der nächsten Instanz zuständige irische High Court fragte den EuGH, ob die nationalen Datenschutzbehörden durch eine solche Entscheidung der Kommission gebunden seien oder von ihren Kompetenzen umfassend Gebrauch machen müssten.
Der Generalanwalt des EuGH, Yves Bot, hatte in seinen Schlussanträgen vom 23. September 2015 den EuGH bereits aufgefordert, die „Safe-Harbor“- Entscheidung für ungültig zu erklären. Dass der Gerichtshof nicht einmal zwei Wochen später zur Urteilsverkündung schritt, war ein sicheres Zeichen, dass ein Paukenschlag folgen würde.
Der EuGH stellte zunächst fest, dass die Existenz einer Entscheidung der Kommission, die ein angemessenes Schutzniveau für übermittelte personenbezogenen Daten in einem Drittstaat feststellt, die Befugnisse der nationalen Datenschutzbehörden weder beseitige noch beschränke. Die Datenschutzbehörden müssten unabhängig von einer solchen Entscheidung prüfen können, ob bei der Übermittlung der Daten einer Person in ein Drittland die in der Richtlinie über die Verarbeitung personenbezogener Daten (95/46/EG; Datenschutzrichtlinie) gewährleisteten Anforderungen erfüllt würden.
Die Mitgliedsstaaten und deren Organe, z.B. die Datenschutzbehörden, könnten allerdings keine Maßnahmen erlassen, die einer nicht für ungültig erklärten Entscheidung der Kommission widersprechen würden. Für Rechtsakte von Unionsorganen gelte die Vermutung der Rechtmäßigkeit, solange sie nicht für ungültig erklärt worden seien. Die Kompetenz, die Ungültigkeit eines Unionsrechtsakts festzustellen, stünde allerdings ausschließlich dem EuGH zu. Es bedürfe daher im nationalen Recht der Möglichkeit für die nationalen Datenschutzbehörden oder für einzelne Personen, die nationalen Gerichte bezüglich der Ungültigkeit einer Entscheidung der Kommission anrufen zu können. Das angerufene Gericht müsste dann das Verfahren aussetzen und dem Gerichtshof die Frage vorlegen.
Die Frage des High Courts war damit eigentlich beantwortet. Doch der Gerichtshof ging noch einen Schritt weiter. Da die von Maximillian Schrems vorgebrachte Beschwerde, „der Sache nach die Vereinbarkeit“ der „Safe-Harbor“-Entscheidung der Kommission „mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen betrifft“, überprüfte der Gerichtshof auch die Gültigkeit der Safe-Harbor Entscheidung.
Maßstab war hierfür erneut die Datenschutzrichtlinie, die festlegt, dass eine Übermittlung von Daten in Drittstaaten nur zulässig ist, wenn in dem Drittstaat ein angemessenes Datenschutzniveau besteht. Das Datenschutzniveau wird primärrechtlich in erster Linie durch Artikel 7 „Schutz des Privatlebens“ und Artikel 8 „Schutz von personenbezogener Daten“ der Charta der Grundrechte der EU bestimmt und ist sekundärrechtlich durch die Datenschutzrichtlinie ausgestaltet.
Die Datenschutzrichtlinie sieht in Art. 25 Abs. 6 vor, dass die Kommission feststellen kann, „dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen (...) hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau (…) gewährleistet.“ Die Kommission hätte daher feststellen müssen, dass die USA tatsächlich ein Schutzniveau der Grundrunde gewährleisten, dass dem in der Union garantierten Niveau gleichwertig ist. Dies hatte die Europäische Kommission in ihrer Safe-Harbor- Entscheidung aber gerade nicht getan. Sie legte vielmehr fest, unter welchen Bedingungen Unternehmen Daten aus Europa in die USA transferieren durften. Das US-Handelsministerium hatte im Jahr 2000 sieben Prinzipien zum Datenschutz sowie Hinweise in Form von Antworten auf 15 häufig gestellte Fragen veröffentlicht. Die Prinzipien enthalten etwa die Verpflichtung zur Datenintegrität und zum Beitritt zu einem Streitschlichtungsmechanismus, damit Personen Beschwerden untersuchen lassen und gegebenenfalls Schadensersatz gelten machen können. Amerikanische Unternehmen konnten diesen Regelungen, die „Safe Harbor“ (Sicherer Hafen) genannt wurden, beitreten und sich zu deren Einhaltung gegenüber der amerikanischen Federal Trade Commission verpflichten. Im Gegenzug galten die Daten europäischer Nutzer als angemessen geschützt und die Weiterverarbeitung in den USA wurde erlaubt.
In ihrer Entscheidung aus dem Jahr 2000 stellte die Kommission demnach „nur die Angemessenheit des Schutzes, der in den Vereinigten Staaten nach den (…) umgesetzten Grundsätzen“ des sicheren Hafens besteht, fest, „ um die Anforderungen des Artikels 25 (…) zu erfüllen“. Feststellungen zu dem angemessenen Schutzniveau aufgrund innerstaatlicher Rechtsvorschriften oder internationaler Verpflichtungen fehlten in der Entscheidung. Der Gerichtshof hielt sich auch gar nicht erst mit der Prüfung des im „Sicheren Hafen“ garantierten Schutzniveaus auf. Denn unabhängig vom Schutzniveau seien nur die amerikanischen Unternehmen erfasst, nicht aber die öffentlichen Behörden der USA. Die Safe Harbor-Entscheidung selber räumt den Belangen der nationalen Sicherheit, dem öffentlichen Interesse und der Durchführung von Gesetzen Vorrang vor den Bestimmungen des „Sicheren Hafens“ ein. Zum Schutz gegen etwaige Eingriffe von Seiten amerikanischer Behörden fänden sich keinerlei Feststellungen.
Im Gegenteil: Der EuGH führte weiter aus, dass die Kommission selbst in verschiedenen Mitteilunge festgestellt habe, dass die „amerikanischen Behörden auf die übermittelten personenbezogenen Daten zugreifen und sie in einer Weise verarbeiten konnten, die (…) mit der Zielsetzung ihrer Übermittlung unvereinbar war und über das hinausging, was zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig gewesen war“. Weder stünde den Betroffenen ein administrativer noch ein gerichtlicher Rechtsbehelf zur Verfügung, „der es ihnen erlauben würde, Zugang zu den sie betreffenden Daten zu erhalten und gegebenenfalls deren Berichtung oder Löschung zu erwirken“.
Es bedürfe zwar nicht eines identischen Schutzniveaus, aber eines gleichwertigen, so die Richter.
Das europäische Schutzniveau sehe „nach ständiger Rechtsprechung des Gerichtshofs klare und präzise Regeln für die Tragweite und die Anwendung einer Maßnahme vor“, die in Art. 7 und 8 der Grundrechtecharta eingreifen. Es bedürfe „ausreichender Garantien (…), die einen wirksamen Schutz (…) vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen“. Darüber hinaus verlange „der Schutz des Grundrechts auf Achtung des Privatlebens auf Unionsebene vor allem, dass sich die Ausnahmen vom Schutz personenbezogener Daten und dessen Einschränkungen auf das absolut Notwendige“ beschränke, so der EuGH. Auch im Folgenden finden die Richter deutliche Worte. Eine Regelung, „die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen“, verletze den Wesensgehalt des Grundrechts auf Achtung des Privatlebens (Art.7). Ebenso wie eine Regelung, „die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt“ des Grundrechts auf wirksamen gerichtlichen Rechtsschutz (Art. 47) verletze.
Der Gerichtshof merkt außerdem an, dass die Kommission verpflichtet gewesen wäre, die einmal getroffene Entscheidung auch regelmäßig überprüfen zu müssen. Darüber hinaus sei die Entscheidung auch ungültig, weil sie den nationalen Datenschutzbehörden die Befugnis entziehe, „Maßnahmen zu ergreifen, die die Einhaltung von Art. 25 der Richtlinie gewährleisten sollen“. Dafür stünde der Kommission jedoch keinerlei Kompetenz zu.
Nicht nur das Urteil dürfte in seiner Schärfe die Kommission überrascht haben, auch dass das Gericht keine Frist festsetzte, um eine Übergangslösung zu finden, setzt die Kommission gewaltig unter Druck. Die Kommission stellte bereits 2013 13 Empfehlungen im Nachgang zu den Snowden-Enthüllungen auf, um das „Safe Harbor“-System am Leben zu halten. Die Verhandlungen mit den USA hierüber laufen bereits seit 2014.
Am 06. November 2015 veröffentlichte sie nun zudem eine Mitteilung über alternative Rechtsgrundlagen zur Datenübermittlung in die USA. Standardvertragsklauseln und bindende unternehmensinterne Vorschriften sollen, bis ein neues System existiert, den rechtmäßigen Datenfluss gewährleisten. Auch Art. 26 der Datenschutzrichtlinie gibt die Möglichkeit zur Datenübermittlung etwa, wenn diese zur Erfüllung eines Vertrages notwendig ist.
Das Urteil des Gerichtshofs der Europäischen Union finden Sie unter: http://ekd.be/EuGH-Safe-Harbor