EuGH kippt Safe Harbor Abkommen

Die Konsequenzen des Facebook-Urteils

07.10.2015
Von    und  
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Der Europäische Gerichtshof hat am 6. Oktober 2015 das so genannte Safe Harbor Abkommen für ungültig erklärt. In der Folge muss die Rechtsgrundlage für einen Transfer personenbezogener Daten zwischen der Europäischen Union und den Vereinigten Staaten von Amerika zum Teil auf neue Füße gestellt werden.

In dem Rechtstreit zwischen dem Österreicher Max Schrems und Facebook hat der Europäische Gerichtshof (EuGH) gestern sein Urteil verkündigt. Gegenstand des Rechtsstreits war die Frage, ob die europäische Tochtergesellschaft von Facebook in Irland personenbezogene Daten rechtmäßig auf Server von Facebook in die USA übermitteln und dort verarbeiten durfte. Schrems hatte diese Übermittlung auf Grundlage der Enthüllungen von Edward Snowden über die Praxis der US-Nachrichtendienste angegriffen, weil nach seiner Ansicht das Recht und die Praxis der USA keinen ausreichenden Schutz für personenbezogene Daten vor dem Zugriff der Nachrichtendienste bietet.

Die Richter des Europäischen Gerichtshofes haben in Luxemburg ein Urteil zum Safe Harbor Abkommen getroffen.
Die Richter des Europäischen Gerichtshofes haben in Luxemburg ein Urteil zum Safe Harbor Abkommen getroffen.

Schrems hatte daraufhin bei der irischen Datenschutzbehörde, die für die datenschutzrechtliche Kontrolle der irischen Facebook-Niederlassung zuständig ist, Beschwerde eingereicht. Die Datenschutzbehörde hat sich in der Sache jedoch nicht mit seinem Vorbringen beschäftigt, sondern seine Beschwerde mit der Begründung abgelehnt, das Safe Harbor Abkommen mit den USA biete einen ausreichenden Schutz für personenbezogene Daten in den USA. An diese Entscheidung sei die irische Datenschutzbehörde gebunden und müsse daher die Beschwerde nicht weitergehend prüfen. Gegen diese Ablehnung seiner Beschwerde ist Schrems gerichtlich vorgegangen und schließlich vor dem EUGH gelandet.

Bedeutung des Safe Harbor Abkommens

Wenn beispielsweise ein Unternehmen personenbezogene Daten an eine andere Stelle außerhalb der Europäischen Union übermitteln will, bedarf dies neben den üblichen Rechtmäßigkeitsvoraussetzungen zum Beispiel einer Einwilligung oder einer gesetzlichen Erlaubnis, zusätzlicher Gewährleistungen eines angemessenen Datenschutzniveaus im Empfängerland.

Dies trägt dem Umstand Rechnung, dass die personenbezogenen Daten, wenn diese die Europäische Union verlassen haben, in einem Umfeld verarbeitet werden, das dem Datenschutz gegebenenfalls nicht in gleichem Maß Rechnung trägt. Die personenbezogenen Daten der Betroffenen wären dann also schlechter geschützt, als dies bei einer Verarbeitung innerhalb der Europäischen Union der Fall wäre.
Deshalb verlangt das europäische Datenschutzrecht, dass im Empfängerland ein angemessenes Datenschutzniveau herrscht.

Für die USA ist ein solches angemessenes Datenschutzniveau nicht festgestellt worden. Deshalb hat man das so genannte Safe Harbor Abkommen als Vehikel für den Datenschutz erstellt. Das Abkommen enthält Grundsätze zum Umgang mit personenbezogenen Daten. Diese Grundsätze werden jedoch nicht für die USA insgesamt verbindlich, sondern nur für Unternehmen die sich - freiwillig - an die Safe Harbor Grundsätze halten und entsprechend registrieren lassen. Damit werden diese Unternehmen zum "sicheren Hafen" für europäische Daten.

Prüfungskompetenz der nationalen Datenschutzbehörden

Der Rechtstreit zwischen Schrems und der irischen Datenschutzbehörde betraf in erster Linie gar nicht die Wirksamkeit des Safe Harbor Abkommens. Vielmehr sollte die Frage beantwortet werden, ob die irische Datenschutzbehörde die Beschwerde von Schrems hätte weitergehend prüfen müssen, oder ob durch die Entscheidung der Europäischen Kommission über das Safe Harbor Abkommen, in der ein angemessenes Datenschutzniveau festgestellt wurde, eine solche weitergehende Prüfung ausgeschlossen ist.

Der EuGH hat nunmehr eindeutig erklärt, dass die Datenschutzbehörden zu einer weitergehenden Prüfung verpflichtet sind. Eine derartige Entscheidung der Europäischen Kommission kann die Befugnisse der nationalen Datenschutzbehörden weder beseitigen noch auch nur beschra?nken. Auch wenn die Europäische Kommission eine solche Entscheidung erlassen habe, müssen die nationalen Datenschutzbehörden daher, wenn sie mit einer Beschwerde befasst werden, unabhängig prüfen können, ob bei der Übermittlung der Daten einer Person in ein Drittland die in der Richtlinie aufgestellten Anforderungen gewahrt werden. Jedoch sind die nationalen Datenschutzbehörden nicht befugt, eine solche Kommissionentscheidung für ungültig zu erklären. Treten also Zweifel an der Rechtmäßigkeit einer solchen Entscheidung auf, müssen die Betroffen oder die Datenschutzbehörden die Rechtmäßigkeit der Entscheidung durch die Gericht überprüfen lassen. Letztlich musste somit der EuGH urteilen, ob eine Entscheidung der Europäischen Kommission gültig ist.

Gültigkeit von Safe Harbor

Mit dieser Aussage hätte der EuGH es auf sich beruhen lassen können und die Sache an die nationalen Gerichte zurückgeben können. Der EuGH hat jedoch auch über die Wirksamkeit des Safe Harbor Abkommens geurteilt und diese Abkommen letztlich für ungültig erklärt. Als Gründe benannte das Gericht, dass sich das Abkommen nur an Unternehmen, nicht aber an Behörden in den USA richtet. Die Behörden, insbesondere die Nachrichtendienste, sind also nicht zur Einhaltung der Datenschutzgrundsätze verpflichtet. Außerdem haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der USA Vorrang vor den Grundsätzen des Safe Harbor Abkommens.

Damit sind Unternehmen, die sich den Safe Harbor Grundsätzen verschrieben haben, dennoch verpflichtet, diese angewendet zu lassen, soweit diese Grundsätze im Konflikt mit jenen höherrangigen Interessen stehen. Letztlich werden dadurch Eingriffe der US-Behörden in die Grundrechte der europäischen Bürger gestattet. Und dies ohne dass die Entscheidung der Europäischen Kommission feststellt, dass es in den USA effektive Schutzmechanismen zur Wahrung der Interessen der europäischen Bürger gibt - etwa einen wirksamen gerichtlichen Rechtsschutz oder ein Informationsrecht über Art und Weise der Datenverarbeitung. Deshalb erklärt der EuGH die Entscheidung der Europäischen Kommission für ungültig.

Konsequenzen

Die irische Datenschutzbehörde muss nunmehr prüfen, ob die Übermittlung personenbezogener Daten durch die irische Tochtergesellschaft von Facebook auf die Server in den USA ausgesetzt werden muss, weil in den USA kein angemessenes Schutzniveau vorherrscht. Neben dem (für ungültig erklärtem) Safe Harbor Abkommen besteht zum Beispiel die Möglichkeit, ein angemessenes Schutzniveau durch die so genannten Standardvertragsklauseln zu erreichen. Aber auch die Standardvertragsklauseln folgen einem ähnlichen Mechanismus, wie das Safe Harbor Abkommen. Sie verpflichten also insbesondere nicht die Behörden im Empfängerland. Daher ist es wohl nur eine Frage der Zeit, bis auch diese Entscheidungen der Europäischen Kommission in Bezug auf die Standardklauseln dem EuGH zur Prüfung vorgelegt wird.

Unternehmen sind mit dem Urteil aufgerufen, die Rechtsgrundlagen für einen etwaigen transatlantischen Datenaustausch zu überprüfen. Soweit dabei das Safe Harbor Abkommen als Rechtsgrundlage herangezogen wird, wird man kurzfristig auf eine andere Rechtsgrundlage, etwa die zuvor erwähnten Standardvertragsklauseln, abstellen müssen. Dies bedeutet einen hohen administrativen Aufwand für die jeweiligen Unternehmen, da eine Vielzahl von Verträgen geschlossen werden muss.