Open menu
x

Bequem up to date mit dem Newsletter von Extrajournal.Net!

Jetzt anmelden, regelmäßig die Liste der neuen Meldungen per E-Mail erhalten.

Weitere Informationen finden Sie auf unserer Newsletter-Seite sowie in unserer Datenschutzerklärung.

Business, Recht

EuGH kippt Safe Harbour, Firmen müssen umdenken

EuGH ©Gerichtshof der Europäischen Union
EuGH ©Gerichtshof der Europäischen Union

Straßburg. Der Europäische Gerichtshof (EuGH) bestätigt die Ansicht von Facebook-Jäger Max Schrems und erklärt die Rechtmäßigkeit der Übermittlung von Facebook-Daten in die USA auf Basis des sogenannten „Safe Harbour“-Abkommens für ungültig. Die Vereinigten Staaten von Amerika gewährleisten kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten, so der EuGH. Das hat Konsequenzen für alle Unternehmen, die Daten in die USA übermitteln, auch europäische.

Im Kern geht es um folgendes: Facebook übermittelt seine Nuterdaten in die USA, auf Basis einer Entscheidung der EU-Kommission, dass dort ein ausreichendes Schutzniveau herrscht („Safe Harbour“). Dazu ist eine Eintragung in eine entsprechende Liste der EU notwendig; rund 5.500 US-Unternehmen stehen drauf.

Max Schrems klagte in Irland (Europasitz von Facebook), weil er um den Datenschutz angesichts der Snowden-Enthüllungen fürchtete. Die irische Datenschutzbehörde wies ihn unter Verweis auf Safe Harbour ab. Daraufhin wandte sich Schrems an den irischen High Court, und von dort ging es zum EuGH (C-362/14).

Die EuGH-Entscheidung ist nun in mehrfacher Hinsicht ein Donnerwetter für Brüssel: Es wird festgestellt, dass

  • die Grundannahme des Safe Harbour-Abkommens unrichtig ist, weil die USA kein ausreichendes Datenschutzniveau bieten,
  • die EU-Kommission dieses Datenschutzniveau aber ohnehin nicht geprüft hat, was sie hätte tun müssen,
  • und drittens die Kommission überhaupt nicht das Recht hatte, ein solches Abkommen abzuschließen und damit die Befugnisse der nationalen Datenschutzbehörden einzuschränken.

Die Konsquenzen sind jetzt zunächst einmal, dass die irische Datenschutzbehörde die Klage von Max Schrems erneut prüfen muss. Das IT-Nachrichtenportal heise.de kommt aber bereits zu folgendem Schluss: „Wer Geschäftspartner in den USA hat, an die er personenbezogene Daten weiterleitet, sollte nach der Entscheidung des EuGH in Sachen Safe Harbor schnell handeln. Denn durch den Wegfall dieser Regelung ist auch die Rechtsgrundlage entfallen, die eine derartige Übermittlung von persönlichen Informationen zuließ.“

Die Entscheidung im Detail

Der EuGH stellt in seiner Entscheidung fest: Während allein er selbst dafür zuständig ist, einen Rechtsakt der Union für ungültig zu erklären, können die mit einer Beschwerde befassten nationalen Datenschutzbehörden, auch wenn es eine Entscheidung der Kommission gibt, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, prüfen und die nationalen Gerichte anrufen, die dann wiederum den EuGH anrufen können.

Der Gerichtshof prüfte sodann die Gültigkeit der Entscheidung der Kommission vom 26. Juli 2000 („Safe Harbour“). Insoweit weist er darauf hin, dass die Kommission hätte feststellen müssen, dass die Vereinigten Staaten aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleisten, das dem in der Union aufgrund der Richtlinie im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Eine solche Feststellung hat die Kommission nicht getroffen, sondern sie hat sich darauf beschränkt, die Safe-Harbor-Regelung zu prüfen, stellt der EuGH fest.

Ohne dass der Gerichtshof prüfen muss, ob diese Regelung ein Schutzniveau gewährleistet, das dem in der Union garantierten Niveau der Sache nach gleichwertig ist, ist festzustellen, dass sie nur für die amerikanischen Unternehmen gilt, die sich ihr unterwerfen, nicht aber für die Behörden der Vereinigten Staaten.

Außerdem haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten Vorrang vor der Safe-Harbor-Regelung, so dass die amerikanischen Unternehmen ohne jede Einschränkung verpflichtet sind, die in dieser Regelung vorgesehenen Schutzregeln unangewandt zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen stehen.

Eingriffe in die Grundrechte

Die amerikanische Safe-Harbor-Regelung ermöglicht daher Eingriffe der amerikanischen Behörden in die Grundrechte der Personen, wobei in der Entscheidung der Kommission weder festgestellt wird, dass es in den Vereinigten Staaten Regeln gibt, die dazu dienen, etwaige Eingriffe zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt.

Zum Vorliegen eines Schutzniveaus, das den in der Union garantierten Freiheiten und Grundrechten der Sache nach gleichwertig ist, stellt der Gerichtshof fest, dass nach dem Unionsrecht eine Regelung nicht auf das absolut Notwendige beschränkt ist, wenn sie generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne objektive Kriterien vorzusehen, die es ermöglichen, den Zugang der Behörden zu den Daten und deren spätere Nutzung zu beschränken.

Der Gerichtshof fügt hinzu, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt.

Ferner führt der Gerichtshof aus, dass eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt. Eine solche Möglichkeit ist dem Wesen eines Rechtsstaats inhärent.

Schließlich stellt der Gerichtshof fest, dass die Entscheidung der Kommission vom 26. Juli 2000 den nationalen Datenschutzbehörden Befugnisse entzieht, die ihnen für den Fall zustehen, dass eine Person die Vereinbarkeit der Entscheidung mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen in Frage stellt. Die Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu beschränken.

Aus all diesen Gründen erklärt der Gerichtshof die Entscheidung der Kommission vom 26. Juli 2000 für ungültig. „Dieses Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet“, so der EuGH.

Link: EuGH

Weitere Meldungen:

  1. Andreas Lichtenberger ist Datenschutz-Anwalt bei CMS
  2. Proemion übernimmt Trendminer mit White & Case
  3. Ergo Versicherung: „Digital Transformation Days“ zeigen IT-Trends
  4. RWE bringt erste grüne Anleihe in USA mit Clifford Chance

Neu in Business:

NPO-Forum: Neuer Nonprofit-Kongress unter EY-Flagge an der WU Wien

Warenzusteller: Deutliches Plus bei E-Transportfahrrädern

EY-Studie: US-Konzerne dominieren bei Forschungsausgaben

Neue Chief People Officerin bei Portal karriere.at

Bristol Myers Squibb : Carmen Lilla ist neue Direktorin

Neu in Finanz:

Rückkauf der Lebensversicherung: Ein Drittel der Beschwerden erfolgreich

Ergo Versicherung: „Digital Transformation Days“ zeigen IT-Trends

Wiener Städtische: Sonja Raus und Gerald Weber neu im Vorstand

Wohnbaukredite wachsen wieder, Firmenkredite bleiben flau

Allianz: Jörg Hipp folgt als Vorstand auf Christoph Marek

Neu in Recht:

Steyr Arms geht an tschechische RSBC mit Kanzlei Dorda

Fabian Reinisch wird General Counsel bei Bitpanda

Geldhaus Trill Impact schließt Pakt mit TT Medic: Die Berater

DLA Piper: Ekaterina Larens wird Partnerin im Corporate-Team

Neues Fachbuch: Compliance in der Lieferkette

Neu in Steuer:

Der Fiskus feiert seine ersten Bachelor Professional-Studenten

SteuerExpress: Interessante neue Entscheidungen zu Vertragserrichtungskosten, GrEST, Haftung und mehr

Steuerberater fordern steuerbegünstigte grüne Anlagedepots

Event: Globale Mindestbesteuerung und ihre Umsetzung in der Praxis

SteuerExpress: Die Übertragung von Liegenschaften nach Auflösung der Lebensgemeinschaft, die fiktiven Anschaffungskosten von Gebäuden und mehr

Neu in Bildung/Uni:

Facultas Dom Buchhandels GmbH übergibt drei Filialen an Kral

FWF: Eva Kernbauer und Christoph Binder neu im Präsidium

Sylvia Gohl leitet die Finanzabteilung der MedUni Wien

Sonja Berger ist neue Geschäftsführerin der Volksbank Akademie

Nach 30 Jahren plötzlich wieder Kalter Krieg: Zeitgeschichtetag in Graz

Neu in Personalia:

Fabian Reinisch wird General Counsel bei Bitpanda

DLA Piper: Ekaterina Larens wird Partnerin im Corporate-Team

Andreas Lichtenberger ist Datenschutz-Anwalt bei CMS

Drei neue Partner und drei neue Counsel bei Dorda

Neue Chief People Officerin bei Portal karriere.at

Neu in Motor:

Zwei neue Cabrios von BMW: Oben ohne in den Frühling

Update für das SUV-Schlachtschiff: Was der neue Audi Q7 kann

Krieg der Studien bei E-Autos: Wachstum „nur leicht schwächer“

Pech für Raser: Ab welchem Tempo 2024 das Auto beschlagnahmt wird

Mercedes startet Online-Abschluss von Leasingverträgen

Neu in Nova:

Österreichs Revolution von 1848: Bedeutsam und doch vergessen

5.000 Jahre alter Wein der ersten ägyptischen Pharaonin gefunden

Österreichs älteste Handys dringend gesucht

Ödön von Horváths Stücke erstmals für alle online

Was zum Henker …? Alte Rechtspraktiken in heutiger Sprache

Neu in Tools:

NPO-Forum: Neuer Nonprofit-Kongress unter EY-Flagge an der WU Wien

Fabian Reinisch wird General Counsel bei Bitpanda

Rückkauf der Lebensversicherung: Ein Drittel der Beschwerden erfolgreich

Neues Fachbuch: Compliance in der Lieferkette

Hogan Lovells-Firma Eltemate schließt Pakt mit Daato