"Safe-Harbor" gewährleistet kein ausreichendes Datenschutzniveau
EuGH 6.10.2015, C 362/14Die Daten aller in der EU wohnenden Facebook-User werden über eine irische Tochtergesellschaft von Facebook ganz oder teilweise an die amerikanischen Server des Mutterkonzerns übermittelt. Dort werden die Daten der Nutzer verarbeitet.
Mit seiner hiergegen gerichteten Beschwerde bei der irischen Datenschutzbehörde machte der Österreicher Maximilian Schrems, selbst Mitglied bei Facebook, geltend, dass die Datenübermittlung nach der Datenschutzrichtlinie (Richtlinie 95/46/EG) unzulässig sei. Er war der Ansicht, das Recht und die Praxis der Vereinigten Staaten böten keinen angemessenen Schutz personenbezogener Daten vor Überwachungstätigkeiten des Staates. Ferner berief er sich auf die von Edward Snowden im Mai 2013 bekannt gemachten Tätigkeiten der amerikanischen Geheimdienste, insbesondere der National Security Agency (NSA).
Der irische Datenschutzbeauftragte verfolgte die Beschwerde wegen der sog. Safe-Harbor-Entscheidung der EU-Kommission vom 26.7.2000 nicht weiter. In dieser Entscheidung hatte die Kommission festgestellt, dass die Vereinigten Staaten im Rahmen der "Safe-Harbor-Regelung" ein angemessenes Schutzniveau von personenbezogenen Daten gewährleisteten. Infolge der Entscheidung des Datenschutzbeauftragten zog der Beschwerdeführer vor den irischen High Court.
Das daraufhin mit der Rechtssache befasste nationale Gericht setzte das Verfahren aus und legte dem EuGH die Frage zur Vorabentscheidung vor, ob die Entscheidung der Kommission vom 26.7.2000 eine nationale Datenschutzbehörde daran hindert, eine Beschwerde zu prüfen, mit der geltend gemacht wird, dass ein Drittland kein ausreichendes Datenschutzniveau gewährleiste. Dies verneinte der EuGH.
Die Gründe:
Die Entscheidung der Kommission vom 26.7.2000 hindert die Kontrolle der Übermittlung personenbezogener Daten in ein Drittland nicht. Die "Safe-Harbor-Entscheidung" ist ungültig.
Die nationalen Datenschutzbehörden müssen in völliger Unabhängigkeit prüfen können, ob die europäischen Datenschutzanforderungen eingehalten werden. Die Kommission hatte keine Kompetenz, diese Befugnisse zu beschränken.
Die von der Kommission in ihrer Entscheidung geprüfte "Safe-Harbor-Regelung" bietet keinen ausreichenden Schutz personenbezogener Daten. Sie gilt allein für die Unternehmen, die sich ihr unterwerfen, nicht aber für die staatlichen Behörden. Außerdem sind die nationale Sicherheit, das öffentliche Interesse und die Durchführung von Gesetzen nach amerikanischem Recht vorrangig. Amerikanische Unternehmen können daher ohne jede Einschränkung verpflichtet werden, die Datenschutzregeln des "Safe-Harbor-Abkommens" unangwendet zu lassen.
Eine Regelung, die es Behörden gestattet, uneingeschränkt auf den Inhalt elektronischer Kommunikation zuzugreifen, verletzt jedoch das europäische Grundrecht auf Achtung des Privatlebens.
Da es Betroffenen nicht möglich ist, mittels eines Rechtsbehelfs Zugang zu den personenbezogenen Daten zu erhalten oder ihre Berichtigung oder Löschung zu erwirken, ist zudem das Grundrecht auf wirksamen gerichtlichen Rechtsschutz verletzt.
Die Frage, ob die Vereinigten Staaten außerhalb von "Safe-Harbor" aufgrund von innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen tatsächlich ein Schutzniveau gewährleisten, das dem europäischen Niveau gleichwertig ist, hatte die Kommission in ihrer Entscheidung nicht geprüft. Daher muss die irische Datenschutzbehörde die Beschwerde nun eingehend prüfen und schließlich entscheiden, ob die angefochtene Datenübermittlung auszusetzen ist, weil die Vereinigten Staaten kein angemessenes Schutzniveau für personenbezogene Daten gewährleisten.
Linkhinweis:
Für den auf den Webseiten des EuGH veröffentlichten Volltext der Entscheidung klicken Sie bitte hier.