EuGH: Kein angemessenes Datenschutzniveau in den USA und Pflicht zur Aussetzung von 'Safe Harbour' nach Generalanwalt Bot

Zur Datenübermittlung in Drittländer gem. § 4b Abs. 2 und 3 BDSG und insbesondere zu den Safe-Harbor-Prinzipien und bilateralen Sonderregelungen ausführlich: von dem Bussche, in: Plath, BDSG Kommentar, § 4b BDSG Rz. 30 - 34
Zusammenfassender Überblick über die wesentlichen Regelungen der "Safe Harbor Principles": Wisskirchen, CR 2004, 862 (864f.)

Maximillian Schrems, ein österreichischer Staatsangehöriger, nutzt seit 2008 Facebook. Wie bei den übrigen Nutzern mit Wohnsitz in der Europäischen Union werden die Daten, die Herr Schrems an Facebook liefert, von der irischen Tochtergesellschaft von Facebook ganz oder teilweise an Server übermittelt, die sich im Hoheitsgebiet der USA befinden, und dort gespeichert. Herr Schrems legte eine Beschwerde bei der irischen Datenschutzbehörde ein, da seiner Ansicht nach das Recht und die Praxis in den USA in Anbetracht der von Edward Snowden im Jahr 2013 enthüllten Tätigkeiten der Nachrichtendienste der USA (insbesondere der National Security Agency, NSA) keinen wirklichen Schutz dagegen bieten, dass der amerikanische Staat die in dieses Land übermittelten Daten überwacht. Die irische Behörde wies die Beschwerde u. a. mit der Begründung zurück, dass die EU-Kommission in einer Entscheidung vom 26. Juli 20002 das von den USA im Rahmen der als "sicherer Hafen" bezeichneten Regelung gewährleistete Schutzniveau der übermittelten personenbezogenen Daten als angemessen eingestuft habe.

Der mit der Rechtssache befasste irische High Court möchte wissen, ob diese Entscheidung der EU-Kommission eine nationale Kontrollstelle daran hindert, eine Beschwerde zu untersuchen, mit der geltend gemacht wird, dass ein Drittland kein angemessenes Schutzniveau gewährleiste, und die beanstandete Übermittlung von Daten gegebenenfalls auszusetzen.

In seinen Schlussanträgen vertritt Generalanwalt Bot die Auffassung, dass die Existenz einer Entscheidung der EU-Kommission, mit der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet, die Befugnisse der nationalen Kontrollstellen nach der Richtlinie über die Verarbeitung personenbezogener Daten weder beseitigen noch auch nur verringern kann. Er ist außerdem der Ansicht, dass die Entscheidung der EU-Kommission ungültig ist.

• Keine Ermächtigung der EU-Kommission zur Beschränkung der Befugnisse nationaler Kontrollbehörden

Der Generalanwalt führt zunächst aus, dass die Eingriffsbefugnisse der nationalen Kontrollstellen angesichts der Bedeutung ihrer Rolle im Bereich des Datenschutzes unangetastet bleiben müssen. Wären die nationalen Kontrollstellen absolut an die Entscheidungen der EU-Kommission gebunden, würde dies unweigerlich die ihnen nach der Richtlinie zustehende völlige Unabhängigkeit einschränken. Der Generalanwalt schließt daraus, dass eine nationale Kontrollbehörde, wenn sie der Ansicht ist, dass eine Datenübermittlung den Schutz der Unionsbürger in Bezug auf die Verarbeitung ihrer Daten beeinträchtigt, zur Aussetzung dieser Übermittlung befugt ist, unabhängig von der allgemeinen Bewertung durch die EU-Kommission in ihrer Entscheidung. Die der EU-Kommission durch die Richtlinie übertragene Befugnis berührt nämlich nicht die den nationalen Kontrollstellen darin verliehenen Befugnisse. Mit anderen Worten: Die EU-Kommission ist nicht ermächtigt, die Befugnisse der nationalen Kontrollbehörden zu beschränken.

• Reichweite der Bindungswirkung von Entscheidungen der EU-Kommission

  Der Generalanwalt räumt zwar ein, dass die nationalen Kontrollstellen rechtlich an die Entscheidung der EU-Kommission gebunden sind, doch gebietet es eine solche Bindungswirkung seines Erachtens nicht, Beschwerden summarisch, d. h. sofort und ohne jede Prüfung ihrer Begründetheit, zurückzuweisen; dies gilt umso mehr, als die Feststellung des angemessenen Schutzniveaus eine zwischen den Mitgliedstaaten und der EU-Kommission geteilte Zuständigkeit ist. Eine Entscheidung der EU-Kommission spielt gewiss eine wichtige Rolle für die Vereinheitlichung der Übermittlungsvoraussetzungen in den Mitgliedstaaten, aber die Vereinheitlichung kann nur Bestand haben, solange die genannte Feststellung nicht in Frage gestellt wird, insbesondere im Rahmen einer von den nationalen Behörden im Einklang mit den ihnen durch die Richtlinie zuerkannten Untersuchungs- und Einwirkungsbefugnissen zu behandelnden Beschwerde.

• Pflicht nationaler Kontrollbehörden zum Grundrechtsschutz

Überdies ist der Generalanwalt der Ansicht, dass die Mitgliedstaaten, falls in dem Drittland, in das personenbezogene Daten übermittelt werden, systemische Mängel festgestellt werden, die erforderlichen Maßnahmen ergreifen können müssen, um die Grundrechte, die von der Charta der Grundrechte der Europäischen Union geschützt werden, zu wahren, wie das Recht auf Achtung des Privat- und Familienlebens und das Recht auf den Schutz personenbezogener Daten.

• Schlussfolgerung: Ungültigkeit der Entscheidung der EU-Kommission

  In Anbetracht der im Lauf des Verfahrens geäußerten Zweifel an der Gültigkeit der Entscheidung 2000/520 vertritt der Generalanwalt die Auffassung, dass der EuGH diesen Aspekt prüfen sollte, und kommt zu dem Ergebnis, dass die Entscheidung ungültig ist. Aus den sowohl vom irischen High Court als auch von der EU-Kommission selbst getroffenen Feststellungen ergibt sich nämlich, dass das Recht und die Praxis der USA es gestatten, die übermittelten personenbezogenen Daten von Unionsbürgern in großem Umfang zu sammeln, ohne dass sie über einen wirksamen gerichtlichen Rechtsschutz verfügen. Diese Tatsachenfeststellungen belegen, dass die Entscheidung der EU-Kommission keine ausreichenden Garantien enthält. Aufgrund dieses Fehlens von Garantien wurde sie in einer Weise umgesetzt, die nicht den Anforderungen der Richtlinie und der Charta entspricht.

• Grundrechtsverletzungen durch US-Nachrichtendienste

  Der Generalanwalt ist ferner der Ansicht, dass der Zugang der amerikanischen Nachrichtendienste zu den übermittelten Daten einen Eingriff in das Recht auf Achtung des Privatlebens und in das Recht auf den Schutz personenbezogener Daten bedeutet. Desgleichen bedeute der Umstand, dass die Unionsbürger keine Möglichkeit haben, zur Frage des Abfangens und der Überwachung ihrer Daten in den USA gehört zu werden, einen Eingriff in das von der Charta geschützte Recht der Unionsbürger auf einen wirksamen Rechtsbehelf.

Der Generalanwalt sieht in diesem Eingriff in die Grundrechte einen Verstoß gegen den Grundsatz der Verhältnismäßigkeit, insbesondere weil die von den amerikanischen Nachrichtendiensten ausgeübte Überwachung massiv und nicht zielgerichtet ist. Der Zugang zu personenbezogenen Daten, über den die amerikanischen Nachrichtendienste verfügen, erfasst nämlich in generalisierter Weise alle Personen und alle elektronischen Kommunikationsmittel sowie sämtliche übertragenen Daten (einschließlich des Inhalts der Kommunikationen), ohne jede Differenzierung, Einschränkung oder Ausnahme anhand des im Allgemeininteresse liegenden Ziels, das verfolgt wird.

Unter diesen Umständen kann nach Ansicht des Generalanwalts nicht davon ausgegangen werden, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, zumal die Regelung über den sicheren Hafen in der Entscheidung der EU-Kommission keine Garantien enthält, die geeignet sind, einen massiven und generalisierten Zugang zu den übermittelten Daten zu verhindern. Denn keine unabhängige Behörde ist in der Lage, in den USA zu kontrollieren, ob staatliche Akteure wie die amerikanischen Sicherheitsdienste gegenüber Unionsbürgern gegen die Grundsätze des Schutzes personenbezogener Daten verstoßen.

Angesichts eines solchen Befunds der Verletzung von Grundrechten der Unionsbürger hätte die EU-Kommission nach Auffassung des Generalanwalts die Anwendung der Entscheidung aussetzen müssen, auch wenn sie derzeit mit den USA Verhandlungen führt, um die festgestellten Verstöße abzustellen.

Der Generalanwalt weist im Übrigen darauf hin, dass die EU-Kommission gerade deshalb beschlossen hat, Verhandlungen mit den USA aufzunehmen, weil sie zuvor zu der Erkenntnis gelangt war, dass das von diesem Drittland im Rahmen der Regelung über den sicheren Hafen gewährleistete Schutzniveau nicht mehr angemessen ist und dass die Entscheidung aus dem Jahr 2000 nicht mehr der tatsächlichen Lage entspricht.

(ga)

Schlussanträge des Generalanwalts Bot in der Rechtssache C-362/14 Maximillian Schrems / Data Protection Commissioner v. 23.9.2015

Gerichtshof der Europäischen Union (EuGH), Pressemitteilung Nr. 106/15 v. 23.9.2015

Zur Datenübermittlung in Drittländer gem. § 4b Abs. 2 und 3 BDSG und insbesondere zu den Safe-Harbor-Prinzipien und bilateralen Sonderregelungen ausführlich: von dem Bussche, in: Plath, BDSG Kommentar, § 4b BDSG Rz. 30 - 34

Zusammenfassender Überblick über die wesentlichen Regelungen der "Safe Harbor Principles": Wisskirchen, CR 2004, 862 (864f.)