deen
Nexia Ebner Stolz

"Safe-Harbor" gewährleistet kein ausreichendes Datenschutzniveau

EuGH 6.10.2015, C 362/14

Der EuGH hat die "Safe-Harbor-Entscheidung" der EU-Kommission vom 26.7.2000 zum Datenaustausch zwischen den USA und der EU für ungültig erklärt. Die "Safe-Harbor-Regelung" allein garantiert kein angemessenes Schutzniveau personenbezogener Daten. Die Entscheidung schränkt außerdem die Befugnisse nationaler Datenschutzbehörden in unzulässiger Weise ein.

Der Sach­ver­halt:
Die Daten aller in der EU woh­nen­den Face­book-User wer­den über eine iri­sche Toch­ter­ge­sell­schaft von Face­book ganz oder teil­weise an die ame­ri­ka­ni­schen Ser­ver des Mut­ter­kon­zerns über­mit­telt. Dort wer­den die Daten der Nut­zer ver­ar­bei­tet.

Mit sei­ner hier­ge­gen gerich­te­ten Beschwerde bei der iri­schen Daten­schutz­be­hörde machte der Öst­er­rei­cher Maxi­mi­lian Sch­rems, selbst Mit­g­lied bei Face­book, gel­tend, dass die Daten­über­mitt­lung nach der Daten­schutz­richt­li­nie (Richt­li­nie 95/46/EG) unzu­läs­sig sei. Er war der Ansicht, das Recht und die Pra­xis der Ver­ei­nig­ten Staa­ten böten kei­nen ange­mes­se­nen Schutz per­so­nen­be­zo­ge­ner Daten vor Über­wa­chung­s­tä­tig­kei­ten des Staa­tes. Fer­ner berief er sich auf die von Edward Snow­den im Mai 2013 bekannt gemach­ten Tätig­kei­ten der ame­ri­ka­ni­schen Geheim­di­enste, ins­be­son­dere der Natio­nal Secu­rity Agency (NSA).

Der iri­sche Daten­schutz­be­auf­tragte ver­folgte die Beschwerde wegen der sog. Safe-Har­bor-Ent­schei­dung der EU-Kom­mis­sion vom 26.7.2000 nicht wei­ter. In die­ser Ent­schei­dung hatte die Kom­mis­sion fest­ge­s­tellt, dass die Ver­ei­nig­ten Staa­ten im Rah­men der "Safe-Har­bor-Rege­lung" ein ange­mes­se­nes Schutz­ni­veau von per­so­nen­be­zo­ge­nen Daten gewähr­leis­te­ten. Infolge der Ent­schei­dung des Daten­schutz­be­auf­trag­ten zog der Beschwer­de­füh­rer vor den iri­schen High Court.

Das dar­auf­hin mit der Rechts­sa­che befasste natio­nale Gericht setzte das Ver­fah­ren aus und legte dem EuGH die Frage zur Vor­a­b­ent­schei­dung vor, ob die Ent­schei­dung der Kom­mis­sion vom 26.7.2000 eine natio­nale Daten­schutz­be­hörde daran hin­dert, eine Beschwerde zu prü­fen, mit der gel­tend gemacht wird, dass ein Dritt­land kein aus­rei­chen­des Daten­schutz­ni­veau gewähr­leiste. Dies vern­einte der EuGH.

Die Gründe:
Die Ent­schei­dung der Kom­mis­sion vom 26.7.2000 hin­dert die Kon­trolle der Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in ein Dritt­land nicht. Die "Safe-Har­bor-Ent­schei­dung" ist ungül­tig.

Die natio­na­len Daten­schutz­be­hör­den müs­sen in völ­li­ger Unab­hän­gig­keit prü­fen kön­nen, ob die euro­päi­schen Daten­schutz­an­for­de­run­gen ein­ge­hal­ten wer­den. Die Kom­mis­sion hatte keine Kom­pe­tenz, diese Befug­nisse zu beschrän­ken.

Die von der Kom­mis­sion in ihrer Ent­schei­dung geprüfte "Safe-Har­bor-Rege­lung" bie­tet kei­nen aus­rei­chen­den Schutz per­so­nen­be­zo­ge­ner Daten. Sie gilt allein für die Unter­neh­men, die sich ihr unter­wer­fen, nicht aber für die staat­li­chen Behör­den. Außer­dem sind die natio­nale Sicher­heit, das öff­ent­li­che Inter­esse und die Durch­füh­rung von Geset­zen nach ame­ri­ka­ni­schem Recht vor­ran­gig. Ame­ri­ka­ni­sche Unter­neh­men kön­nen daher ohne jede Ein­schrän­kung verpf­lich­tet wer­den, die Daten­schutz­re­geln des "Safe-Har­bor-Abkom­mens" unang­wen­det zu las­sen.

Eine Rege­lung, die es Behör­den gestat­tet, unein­ge­schränkt auf den Inhalt elek­tro­ni­scher Kom­mu­ni­ka­tion zuzu­g­rei­fen, ver­letzt jedoch das euro­päi­sche Grund­recht auf Ach­tung des Pri­vat­le­bens.

Da es Betrof­fe­nen nicht mög­lich ist, mit­tels eines Rechts­be­helfs Zugang zu den per­so­nen­be­zo­ge­nen Daten zu erhal­ten oder ihre Berich­ti­gung oder Löschung zu erwir­ken, ist zudem das Grund­recht auf wirk­sa­men gericht­li­chen Rechts­schutz ver­letzt.

Die Frage, ob die Ver­ei­nig­ten Staa­ten außer­halb von "Safe-Har­bor" auf­grund von inner­staat­li­chen Rechts­vor­schrif­ten oder inter­na­tio­na­len Verpf­lich­tun­gen tat­säch­lich ein Schutz­ni­veau gewähr­leis­ten, das dem euro­päi­schen Niveau gleich­wer­tig ist, hatte die Kom­mis­sion in ihrer Ent­schei­dung nicht geprüft. Daher muss die iri­sche Daten­schutz­be­hörde die Beschwerde nun ein­ge­hend prü­fen und sch­ließ­lich ent­schei­den, ob die ange­foch­tene Daten­über­mitt­lung aus­zu­set­zen ist, weil die Ver­ei­nig­ten Staa­ten kein ange­mes­se­nes Schutz­ni­veau für per­so­nen­be­zo­gene Daten gewähr­leis­ten.

Link­hin­weis:

Für den auf den Web­sei­ten des EuGH ver­öf­f­ent­lich­ten Voll­text der Ent­schei­dung kli­cken Sie bitte hier.

nach oben