EuGH erklärt das Abkommen zur Zulässigkeit des Datentransfers zwischen der EU und den USA („Safe Harbour“) für ungültig

Erstellt von Mag Sylvia Unger |
Business Law , Wirtschaftsrecht

In seinem Urteil vom 06.10.2015 (C 362/14) erklärt der EuGH eine Entscheidung der Europäischen Kommission vom 26.7.2000 (2000/520/EC), nach der die USA im Rahmen der „Safe-Harbour-Regelung“ ein angemessenes Schutzniveau von übermittelten personenbezogenen Daten gewährleisten, für ungültig.

Sachverhalt:
Die personenbezogenen Daten der Facebook-Nutzer werden von der irischen Tochtergesellschaft von Facebook (der einzigen europäischen Niederlassung von Facebook) ganz oder teilweise an Server, die sich in den USA befinden, übermittelt und dort verarbeitet.

Ein kritischer Facebook-Nutzer legte bei der irischen Datenschutzbehörde eine Beschwerde ein, dass das Recht und die Praxis der USA, speziell im Hinblick auf die jüngsten Abhörskandale, keinen ausreichenden Schutz der in dieses Land übermittelten Daten gewährleisten würden.

Die irische Behörde wies die Beschwerde insbesondere mit der Begründung zurück, die Europäische Kommission habe in ihrer Entscheidung vom 26. Juli 2000 (2000/520/EC) festgestellt, dass die in den USA mit dem Safe-Harbour-Zertifikat ausgezeichneten Unternehmen ein angemessenes Schutzniveau der personenbezogenen Daten gewährleisten und Facebook über ein solches Zertifikat verfüge.

Vorlageantrag:
Der daraufhin mit der Rechtssache befasste irische High Court legte dem EuGH sinngemäß folgende Fragen zur Vorabentscheidung vor:
1. Ist ein unabhängiger Amtsträger bei der Prüfung einer bei ihm eingelegten Beschwerde, dass personenbezogene Daten in ein Drittland (hier USA) übermittelt werden, dessen Recht und Praxis keinen angemessenen Schutz der Betroffenen gewährleistet, absolut an die in der Entscheidung 2000/520 enthaltene gegenteilige Feststellung der Union gebunden?
2. Oder kann und/oder muss der Amtsträger eigene Ermittlungen in dieser Sache anstellen?

Entscheidung des EuGH:
Der Europäische Gerichtshof entschied, dass die Entscheidung der Europäischen Kommission zu „Safe-Harbour“ aus dem Jahr 2000 die europäischen Datenschutzbehörden in deren Prüfbefugnis nicht beschränkt, da die Europäische Kommission keine Kompetenz dazu hatte.

Darüber hinaus hat der EuGH diese Entscheidung der Europäischen Kommission an sich für ungültig erklärt. Der EuGH hatte Bedenken, da nur die zertifizierten Unternehmen an die „Safe-Harbour-Regelung“ gebunden seien, die amerikanische Behörden jedoch nicht, was einen allfälligen Grundrechtseingriff der US-Behörden ermögliche. Auch sei es den Betroffenen nicht möglich, Zugang zu den sie betreffenden Daten zu erhalten und gegebenenfalls deren Löschung zu beantragen.

Enthalten hat sich der EuGH allerdings darüber, ob das gesamte „Safe-Harbour“ Konzept an sich unangemessen sei oder das amerikanische Recht ein dem europäischem Modell entsprechendes Schutzniveau biete. Dennoch sei laut EuGH bedenklich, dass die nationale Sicherheit der USA, öffentliche Interessen der USA sowie gesetzliche Eingriffsbefugnisse der amerikanischen Behörden Vorrang vor dem „Safe-Harbour“ Konzept genießen und sich in der Entscheidung der Europäischen Kommission aus dem Jahr 2000 diesbezüglich keine Feststellungen finden. Eine Gleichwertigkeit mit dem strengen europäischen Datenschutz kann laut EuGH nicht festgestellt werden, wenn solche grundlegenden Feststellungen fehlen.

Folgen:
Das Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde des Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende entscheiden muss, ob die Übermittlung der Daten in USA unterbleiben muss, da kein ausreichender Schutz geboten ist.
Des Weiteren hat diese Entscheidung voraussichtlich auch für Unternehmer massive Auswirkungen, da sie Daten in den USA nicht mehr unter der „Safe-Harbour-Regelung“ verarbeiten dürfen.


In Zukunft wird das Urteil des EuGH voraussichtlich als eine Art Leitlinie dienen, welche Feststellungen eine Entscheidung der Europäischen Kommission beinhalten muss um eine Adäquanz des Datenschutzes zu jenen der EU in dem zur Prüfung stehendem Drittland zu gewährleisten.

Es bleibt abzuwarten, ob die Entscheidung des EuGH Auswirkungen auf den internationalen Datentransfer haben wird, etwa in Hinblick auf das Konzept der Standardvertragsklauseln. Die fehlende Entscheidungskompetenz der Europäischen Kommission könnten allenfalls auf die Entscheidung der Europäischen Kommission zu den Standardvertragsklauseln übertragen werden.