2. Die Safe Harbor Entscheidung des EuGH
a) Sachverhalt
Hintergrund der Entscheidung ist die Facebook-Nutzung durch einen österreichischen Juristen Maximillian Schrems, der sich bei der irischen Datenschutzaufsicht, dem Sitzland von Facebook Europa, darüber beschwert hatte, dass Facebook Irland seine Daten an Facebook USA weiterleitet und dort speichert. Es war übrigens die 23ste Beschwerde, weshalb die irische Aufsicht diese auch als „frivoles and vexatious“ bezeichnet hat und sich nicht mehr damit befassen wollte. Ziel der Beschwerde war es, Facebook Irland die Datenübermittlung in die USA zu untersagen. Der irische Datenschutzschutzbeauftragte hatte es abgelehnt, sich damit zu beschäftigen, weil sich Facebook auf die Entscheidung der EU-Kommission zu Safe Harbor stützt und diese Entscheidung für die irische Datenschutzaufsicht bindend sei. Herr Schrems erhob daraufhin Klage von dem High Court in Irland. Dieses stellte fest, dass die NSA und das FBI massenhaft und undifferenziert Zugriff auf personenbezogene Daten nehmen und dies dem Grundsatz der Verhältnismäßigkeit und den durch die irischen Verfassung geschützten Grundrechten widerspricht. Da Herr Schrems mit seiner Klage de facto die Rechtmäßigkeit des Safe Harbor Regelung in Frage stellt, setzte der High Court das Verfahren aus und legte dem EuGH die Frage vor, ob der irische Datenschutzbeauftragte absolut an die Entscheidung zu Safe Harbor der EU-Kommission gebunden ist oder aufgrund der seit der Entscheidung bekannt gewordenen Umstände eigene Ermittlungen anstellen kann bzw. muss.
b) Entscheidung des EuGH
Das Gericht stellt fest, dass die Safe-Harbor-Entscheidung der EU-Kommission solange bindend ist für die Mitgliedsstaaten der EU und ihre Organe einschließlich der Datenschutzaufsichtsbehörden, bis die Entscheidung vom EuGH für ungültig erklärt wurde. Einem nationalen Gericht, wie dem High Court in Irland, steht diese Befugnis nicht zu. Gleichwohl hätte die irische Datenschutzaufsicht die Beschwerde von Herrn Schrems zumindest mit der gebotenen Sorgfalt prüfen müssen.
Der EuGH erklärte dann die Regelungen zu Safe Harbor für ungültig.
c) Entscheidungsgründe
Zwar hat die EU-Kommission keine Befugnis im Bezug auf die Verarbeitung von personenbezogenen Daten in einem Drittland. Jedoch stellt die Übermittlung von Daten in ein Drittland (also das „Abschicken“) noch eine Datenverarbeitung („Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung“) in einem Hoheitsgebiet eines EU-Staates dar. Anerkannt wird die Notwendigkeit von Datenübermittlung für die Entwicklung des internationalen Handels. Voraussetzung für die Zulässigkeit ist jedoch ein angemessenes Schutzniveau. Besteht kein angemessenes Schutzniveau, dann ist die Datenübermittlung in Drittstaaten zu untersagen.
Unter „angemessenem Schutzniveau“ ist nicht das identische Schutzniveau zu verstehen, sondern ein gleichwertiges. Dazu muss das nationale Recht und dessen Praxis im Zielland beurteilt werden und zwar regelmäßig, um etwaige Änderungen feststellen zu können. Der Bewertungsspielraum, den die Kommission dabei hat, ist durch die Grundrechte der EU-Grundrechtscharata eingeschränkt.
Zwar stellt der EuGH das System der Selbstzertifizierung der US-Unternehmen für Safe Harbor nicht grundsätzlich in Frage, fordert jedoch wirksame Überwachungs- und Kontrollmechanismen zur Gewährleistung des Grundrechtsschutzes sowie Sanktionsmechanismen bei Verstößen. An diesen Mechanismen fehlt es jedoch im US-Recht.
Zudem können die Datenschutzgrundsätze eingeschränkt werden, soweit es die nationale Sicherheit der USA erfordert. Die US-Gesetze zur nationalen Sicherheit haben Vorrang vor den Datenschutzgrundsätzen für Safe Harbor. Diese Regelung ermöglicht einen Eingriff in Grundrechte europäischer Bürger, deren Daten in die USA übermittelt werden. Die Safe Harbor Entscheidung der Kommission enthält keine Feststellung, wie etwaige Eingriffe begrenzt werden oder ob ein wirksamer gerichtlicher Rechtsschutz gegen derartige Eingriffe besteht. Die Kommission hat selbst festgestellt, dass US-Behörden auf die Daten der Europäer im einem Ausmaß zugreifen, das über die Bedürfnisse der nationale Sicherheit hinausgehen und noch verhältnismäßig wären. Zudem gebe es keine Rechtsbehelfe dagegen und auch keine Möglichkeit, die Berichtigung oder Löschung von Daten zu verlangen. Die US-Regelungen stellen also Grundrechtseingriffe dar, die nicht auf das absolut notwendige Maß begrenzt sind. Insbesondere verletzt die generelle Befugnis, auf Inhalte der elektronischen Kommunikation zuzugreifen, den Wesensgehalt des durch die Grundrechtscharta garantierten Rechts auf Achtung des Privatlebens.
Schließlich hat die EU-Kommission bei Erlass der Entscheidung zu Safe Harbor ihre Zuständigkeiten überschritten, indem sie den Datenschutzaufsichtsbehörden die Möglichkeit nimmt, Maßnahmen zum Datenschutz zu ergreifen. Auch dies führt zur Ungültigkeit der Entscheidung zu Safe Harbor.
d) Fortgang vor dem Irish High Court
Der Irish High Court nach dem EuGH Urteil am 20.10.2015 entschieden, dass der irische Datenschutzbeauftragte die Beschwerde von Herrn Schrems prüfen muss.
Rechtsanwalt David Seiler, externer Datenschutzbeauftragter, berät bundesweit zu Fragen des Datenschutzrechts.
Siehe Teil 1 und 3