Aktuelles

EuGH (Generalanwalt): Nationale Behörden dürfen Datenübermittlung europäischer Facebook-Nutzer an Server, die sich in den USA befinden, trotz „Safe-Harbor“-Entscheidung der Kommission aussetzen

©pixelkorn - stock.adobe.com

Der Generalanwalt ist ferner der Auffassung, dass diese Entscheidung ungültig ist

Nach der Richtlinie über die Verarbeitung personenbezogener Daten[1] ist die Übermittlung solcher Daten in ein Drittland zulässig, wenn es ein angemessenes Schutzniveau für diese Daten gewährleistet. Ferner kann die Kommission nach der Richtlinie feststellen, dass ein Drittland ein angemessenes Schutzniveau gewährleistet. Sobald die Kommission eine Entscheidung in diesem Sinne erlassen hat, kann die Übermittlung personenbezogener Daten in das betreffende Drittland erfolgen.

Maximillian Schrems, ein österreichischer Staatsangehöriger, nutzt seit 2008 Facebook. Wie bei den übrigen Nutzern mit Wohnsitz in der Union werden die Daten, die Herr Schrems Facebook liefert, von der irischen Tochtergesellschaft von Facebook ganz oder teilweise an Server übermittelt, die sich im Hoheitsgebiet der Vereinigten Staaten befinden, und dort gespeichert. Herr Schrems legte eine Beschwerde bei der irischen Datenschutzbehörde ein, da seiner Ansicht nach das Recht und die Praxis in den Vereinigten Staaten in Anbetracht der von Edward Snowden im Jahr 2013 enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten (insbesondere der National Security Agency, NSA) keinen wirklichen Schutz dagegen bieten, dass der amerikanische Staat die in dieses Land übermittelten Daten überwacht. Die irische Behörde wies die Beschwerde u. a. mit der Begründung zurück, dass die Kommission in einer Entscheidung vom 26. Juli 2000[2] das von den Vereinigten Staaten im Rahmen der als „sicherer Hafen“[3] bezeichneten Regelung gewährleistete Schutzniveau der übermittelten personenbezogenen Daten als angemessen eingestuft habe.

Der mit der Rechtssache befasste irische High Court möchte wissen, ob diese Entscheidung der Kommission eine nationale Kontrollstelle daran hindert, eine Beschwerde zu untersuchen, mit der geltend gemacht wird, dass ein Drittland kein angemessenes Schutzniveau gewährleiste, und die beanstandete Übermittlung von Daten gegebenenfalls auszusetzen.

In seinen heutigen Schlussanträgen vertritt Generalanwalt Bot die Auffassung, dass die Existenz einer Entscheidung der Kommission, mit der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet, die Befugnisse der nationalen Kontrollstellen nach der Richtlinie über die Verarbeitungpersonenbezogener Daten weder beseitigen noch auch nur verringern kann. Er ist außerdem der Ansicht, dass die Entscheidung der Kommission ungültig ist.

Der Generalanwalt führt zunächst aus, dass die Eingriffsbefugnisse der nationalen Kontrollstellen angesichts der Bedeutung ihrer Rolle im Bereich des Datenschutzes unangetastet bleiben müssen. Wären die nationalen Kontrollstellen absolut an die Entscheidungen der Kommission gebunden, würde dies unweigerlich die ihnen nach der Richtlinie zustehende völlige Unabhängigkeit einschränken. Der Generalanwalt schließt daraus, dass eine nationale Kontrollbehörde, wenn sie der Ansicht ist, dass eine Datenübermittlung den Schutz der Unionsbürger in Bezug auf die Verarbeitung ihrer Daten beeinträchtigt, zur Aussetzung dieser Übermittlung befugt ist, unabhängig von der allgemeinen Bewertung durch die Kommission in ihrer Entscheidung. Die der Kommission durch die Richtlinie übertragene Befugnis berührt nämlich nicht die den nationalen Kontrollstellen darin verliehenen Befugnisse. Mit anderen Worten ist die Kommission nicht ermächtigt, die Befugnisse der nationalen Kontrollbehörden zu beschränken.

Der Generalanwalt räumt zwar ein, dass die nationalen Kontrollstellen rechtlich an die Entscheidung der Kommission gebunden sind, doch gebietet es eine solche Bindungswirkung seines Erachtens nicht, Beschwerden summarisch, d. h. sofort und ohne jede Prüfung ihrer Begründetheit, zurückzuweisen; dies gilt umso mehr, als die Feststellung des angemessenen Schutzniveaus eine zwischen den Mitgliedstaaten und der Kommission geteilte Zuständigkeit ist. Eine Entscheidung der Kommission spielt gewiss eine wichtige Rolle für die Vereinheitlichung der Übermittlungsvoraussetzungen in den Mitgliedstaaten, aber die Vereinheitlichung kann nur Bestand haben, solange die genannte Feststellung nicht in Frage gestellt wird, insbesondere im Rahmen einer von den nationalen Behörden im Einklang mit den ihnen durch die Richtlinie zuerkannten Untersuchungs- und Einwirkungsbefugnissen zu behandelnden Beschwerde.

Überdies ist der Generalanwalt der Ansicht, dass die Mitgliedstaaten, falls in dem Drittland, in das personenbezogene Daten übermittelt werden, systemische Mängel festgestellt werden, die erforderlichen Maßnahmen ergreifen können müssen, um die Grundrechte, die von der Charta der Grundrechte der Europäischen Union geschützt werden, zu wahren, wie das Recht auf Achtung des Privat- und Familienlebens und das Recht auf den Schutz personenbezogener Daten.

In Anbetracht der im Lauf des Verfahrens geäußerten Zweifel an der Gültigkeit der Entscheidung 2000/520 vertritt der Generalanwalt die Auffassung, dass der Gerichtshof diesen Aspekt prüfen sollte, und kommt zu dem Ergebnis, dass die Entscheidung ungültig ist. Aus den sowohl vom irischen High Court als auch von der Kommission selbst getroffenen Feststellungen ergibt sich nämlich, dass das Recht und die Praxis der Vereinigten Staaten es gestatten, die übermittelten personenbezogenen Daten von Unionsbürgern in großem Umfang zu sammeln, ohne dass sie über einen wirksamen gerichtlichen Rechtsschutz verfügen. Diese Tatsachenfeststellungen belegen, dass die Entscheidung der Kommission keine ausreichenden Garantien enthält. Aufgrund dieses Fehlens von Garantien wurde sie in einer Weise umgesetzt, die nicht den Anforderungen der Richtlinie und der Charta entspricht.

Der Generalanwalt ist ferner der Ansicht, dass der Zugang der amerikanischen Nachrichtendienste zu den übermittelten Daten einen Eingriff in das Recht auf Achtung des Privatlebens und in das Recht auf den Schutz personenbezogener Daten bedeutet. Desgleichen bedeute der Umstand, dass die Unionsbürger keine Möglichkeit haben, zur Frage des Abfangens und der Überwachung ihrer Daten in den Vereinigten Staaten gehört zu werden, einen Eingriff in das von der Charta geschützte Recht der Unionsbürger auf einen wirksamen Rechtsbehelf.

Der Generalanwalt sieht in diesem Eingriff in die Grundrechte einen Verstoß gegen den Grundsatz der Verhältnismäßigkeit, insbesondere weil die von den amerikanischen Nachrichtendiensten ausgeübte Überwachung massiv und nicht zielgerichtet ist. Der Zugang zu personenbezogenen Daten, über den die amerikanischen Nachrichtendienste verfügen, erfasst nämlich in generalisierter Weise alle Personen und alle elektronischen Kommunikationsmittel sowie sämtliche übertragenen Daten (einschließlich des Inhalts der Kommunikationen), ohne jede Differenzierung, Einschränkung oder Ausnahme anhand des im Allgemeininteresse liegenden Ziels, das verfolgt wird. Unter diesen Umständen kann nach Ansicht des Generalanwalts nicht davon ausgegangen werden, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, zumal die Regelung über den sicheren Hafen in der Entscheidung der Kommission keine Garantien enthält, die geeignet sind, einen massiven und generalisierten Zugang zu den übermittelten Daten zu verhindern. Denn keine unabhängige Behörde ist in der Lage, in den Vereinigten Staaten zu kontrollieren, ob staatliche Akteure wie die amerikanischen Sicherheitsdienste gegenüber Unionsbürgern gegen die Grundsätze des Schutzes personenbezogener Daten verstoßen.

Angesichts eines solchen Befunds der Verletzung von Grundrechten der Unionsbürger hätte die Kommission nach Auffassung des Generalanwalts die Anwendung der Entscheidung aussetzen müssen, auch wenn sie derzeit mit den Vereinigten Staaten Verhandlungen führt, um die festgestellten Verstöße abzustellen. Der Generalanwalt weist im Übrigen darauf hin, dass die Kommission gerade deshalb beschlossen hat, Verhandlungen mit den Vereinigten Staaten aufzunehmen, weil sie zuvor zu der Erkenntnis gelangt war, dass das von diesem Drittland im Rahmen der Regelung über den sicheren Hafen gewährleistete Schutzniveau nicht mehr angemessen ist und dass die Entscheidung aus dem Jahr 2000 nicht mehr der tatsächlichen Lage entspricht.

EuGH, Pressemitteilung v. 23.09.2015 zu den Schlussanträgen des Generalanwalts in der Rechtssache C-362/14 (Maximillian Schrems / Data Protection Commissioner) v. 23.09.2015

Redaktionelle Hinweise

Zumeist folgt der EuGH den Schlussanträgen der Generalanwälte. Die Entscheidung des EuGH zur Richtlinie über die Vorratsdatenspeicherung deutet darauf hin, dass er dies auch in diesem Falle tun könnte: Das Gericht hielt die Pflicht zur umfassenden Verkehrsdatenspeicherung nur für zulässig, falls die Daten in der EU gespeichert würden. Dies mache, so die Konferenz der Datenschutzbeauftragten von Bund und Ländern, eine Neubewertung auch des Safe-Harbor-Abkommens erforderlich.

Die Überschrift der Pressemitteilung wurde redaktionell angepasst. Die Original-Überschrift lautet: „Nach Ansicht von Generalanwalt Bot hindert die Entscheidung der Kommission, mit der die Angemessenheit des Schutzes personenbezogener Daten in den Vereinigten Staaten festgestellt wird, die nationalen Behörden nicht daran, die Übermittlung der Daten europäischer Nutzer von Facebook an Server, die sich in den Vereinigten Staaten befinden, auszusetzen“.

————————————

[1] Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31).

[2] Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (ABl. 2000, L 215, S. 7).

[3] Die Regelung über den sicheren Hafen einhält eine Reihe von Grundsätzen über den Schutz personenbezogener Daten, denen sich die amerikanischen Unternehmen freiwillig unterwerfen können.