06. Okt 2015   Business Recht

EuGH kippt Safe Harbour, Firmen müssen umdenken

EuGH ©Gerichtshof der Europäischen Union
EuGH ©Gerichtshof der Europäischen Union

Straßburg. Der Europäische Gerichtshof (EuGH) bestätigt die Ansicht von Facebook-Jäger Max Schrems und erklärt die Rechtmäßigkeit der Übermittlung von Facebook-Daten in die USA auf Basis des sogenannten „Safe Harbour“-Abkommens für ungültig. Die Vereinigten Staaten von Amerika gewährleisten kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten, so der EuGH. Das hat Konsequenzen für alle Unternehmen, die Daten in die USA übermitteln, auch europäische.

Im Kern geht es um folgendes: Facebook übermittelt seine Nuterdaten in die USA, auf Basis einer Entscheidung der EU-Kommission, dass dort ein ausreichendes Schutzniveau herrscht („Safe Harbour“). Dazu ist eine Eintragung in eine entsprechende Liste der EU notwendig; rund 5.500 US-Unternehmen stehen drauf.

Max Schrems klagte in Irland (Europasitz von Facebook), weil er um den Datenschutz angesichts der Snowden-Enthüllungen fürchtete. Die irische Datenschutzbehörde wies ihn unter Verweis auf Safe Harbour ab. Daraufhin wandte sich Schrems an den irischen High Court, und von dort ging es zum EuGH (C-362/14).

Die EuGH-Entscheidung ist nun in mehrfacher Hinsicht ein Donnerwetter für Brüssel: Es wird festgestellt, dass

  • die Grundannahme des Safe Harbour-Abkommens unrichtig ist, weil die USA kein ausreichendes Datenschutzniveau bieten,
  • die EU-Kommission dieses Datenschutzniveau aber ohnehin nicht geprüft hat, was sie hätte tun müssen,
  • und drittens die Kommission überhaupt nicht das Recht hatte, ein solches Abkommen abzuschließen und damit die Befugnisse der nationalen Datenschutzbehörden einzuschränken.

Die Konsquenzen sind jetzt zunächst einmal, dass die irische Datenschutzbehörde die Klage von Max Schrems erneut prüfen muss. Das IT-Nachrichtenportal heise.de kommt aber bereits zu folgendem Schluss: „Wer Geschäftspartner in den USA hat, an die er personenbezogene Daten weiterleitet, sollte nach der Entscheidung des EuGH in Sachen Safe Harbor schnell handeln. Denn durch den Wegfall dieser Regelung ist auch die Rechtsgrundlage entfallen, die eine derartige Übermittlung von persönlichen Informationen zuließ.“

Die Entscheidung im Detail

Der EuGH stellt in seiner Entscheidung fest: Während allein er selbst dafür zuständig ist, einen Rechtsakt der Union für ungültig zu erklären, können die mit einer Beschwerde befassten nationalen Datenschutzbehörden, auch wenn es eine Entscheidung der Kommission gibt, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, prüfen und die nationalen Gerichte anrufen, die dann wiederum den EuGH anrufen können.

Der Gerichtshof prüfte sodann die Gültigkeit der Entscheidung der Kommission vom 26. Juli 2000 („Safe Harbour“). Insoweit weist er darauf hin, dass die Kommission hätte feststellen müssen, dass die Vereinigten Staaten aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleisten, das dem in der Union aufgrund der Richtlinie im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Eine solche Feststellung hat die Kommission nicht getroffen, sondern sie hat sich darauf beschränkt, die Safe-Harbor-Regelung zu prüfen, stellt der EuGH fest.

Ohne dass der Gerichtshof prüfen muss, ob diese Regelung ein Schutzniveau gewährleistet, das dem in der Union garantierten Niveau der Sache nach gleichwertig ist, ist festzustellen, dass sie nur für die amerikanischen Unternehmen gilt, die sich ihr unterwerfen, nicht aber für die Behörden der Vereinigten Staaten.

Außerdem haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten Vorrang vor der Safe-Harbor-Regelung, so dass die amerikanischen Unternehmen ohne jede Einschränkung verpflichtet sind, die in dieser Regelung vorgesehenen Schutzregeln unangewandt zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen stehen.

Eingriffe in die Grundrechte

Die amerikanische Safe-Harbor-Regelung ermöglicht daher Eingriffe der amerikanischen Behörden in die Grundrechte der Personen, wobei in der Entscheidung der Kommission weder festgestellt wird, dass es in den Vereinigten Staaten Regeln gibt, die dazu dienen, etwaige Eingriffe zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt.

Zum Vorliegen eines Schutzniveaus, das den in der Union garantierten Freiheiten und Grundrechten der Sache nach gleichwertig ist, stellt der Gerichtshof fest, dass nach dem Unionsrecht eine Regelung nicht auf das absolut Notwendige beschränkt ist, wenn sie generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne objektive Kriterien vorzusehen, die es ermöglichen, den Zugang der Behörden zu den Daten und deren spätere Nutzung zu beschränken.

Der Gerichtshof fügt hinzu, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt.

Ferner führt der Gerichtshof aus, dass eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt. Eine solche Möglichkeit ist dem Wesen eines Rechtsstaats inhärent.

Schließlich stellt der Gerichtshof fest, dass die Entscheidung der Kommission vom 26. Juli 2000 den nationalen Datenschutzbehörden Befugnisse entzieht, die ihnen für den Fall zustehen, dass eine Person die Vereinbarkeit der Entscheidung mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen in Frage stellt. Die Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu beschränken.

Aus all diesen Gründen erklärt der Gerichtshof die Entscheidung der Kommission vom 26. Juli 2000 für ungültig. „Dieses Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet“, so der EuGH.

Link: EuGH

    Weitere Meldungen:

  1. Good News und Bad News für Europacloud Gaia-X
  2. EU-Bann droht: Online-Broker sollen transparenter werden
  3. Rödl & Partner mit Joint Venture in den USA
  4. CEO-Ranking: Die Medienpräsenz und der Erfolg