Datenschutz kompakt – Safe-Harbor

Datenschutz kompakt
28. Oktober 2015
diesmal: Safe-Harbor-Urteil
Die Entscheidung des EuGH zu Safe Harbor
Am 6. Oktober 2015 hat der Europäische Gerichtshof (EuGH) in der Rechtssache C 362/14
die Safe-Harbor-Entscheidung der Europäischen Kommission aus dem Jahre 2000 für
ungültig erklärt.
Was ist Safe-Harbor?
Die Safe-Harbor-Entscheidung der Europäischen Kommission 2000/520/EG bildete eine
wesentliche Rechtsgrundlage für die Übermittlung personenbezogener Daten aus der
Europäischen Union in die USA.
Die Datenschutzrichtlinie 95/46/EG verlangt, dass personenbezogene Daten von
Unionsbürgern grundsätzlich nur in Staaten übermittelt werden, die ein angemessenes
Datenschutzniveau gewährleisten. Eine derart umfassende Feststellung wurde für die USA
von der Kommission jedoch nicht getroffen. Stattdessen erließ diese für die USA im Juli 2000
die Safe-Harbor-Entscheidung, mit der für den privaten Sektor anerkannt wurde, dass die
vom US- Handelsministerium herausgegebenen sieben „Grundsätze des ,sicheren
Hafens‘ zum Datenschutz“ (Informationspflicht, Wahlmöglichkeit, Weitergabe, Sicherheit,
Datenintegrität, Auskunftsrecht und Durchsetzung) mit den erläuternden „Häufig gestellten
Fragen“ („FAQ“) ein angemessenes Schutzniveau für die Übermittlung personenbezogener
Daten in die USA gewährleisten.
Was hat der EuGH entschieden?
Der österreichische Facebook-Nutzer Maximilian Schrems legte bei der irischen
Datenschutzbehörde Beschwerde ein, weil er im Hinblick auf die Enthüllungen von Edward
Snowden der Ansicht war, seine von Facebook Irland an Server in den USA übermittelten
Nutzerdaten seien in den Vereinigten Staaten nicht hinreichend geschützt.
Die irische Datenschutzbehörde wies die Beschwerde mit dem Hinweis auf die Safe-HarborEntscheidung der Kommission zurück. Der mit der Rechtssache befasste irische High Court
legte dem EuGH die Frage vor, ob die Safe-Harbor-Entscheidung eine nationale
Datenschutzbehörde daran hindere, eine solche Beschwerde zu prüfen und gegebenenfalls
die angefochtene Datenübermittlung auszusetzen.
Der Gerichtshof kommt zu dem Ergebnis, dass die Safe-Harbor-Entscheidung der
Kommission die nationalen Kontrollstellen nicht daran hindert, in völliger
Unabhängigkeit zu prüfen, ob bei der Datenübermittlung die in der Datenschutz-Richtlinie
95/46/EG aufgestellten Anforderungen zum Schutz des Grundrechts auf Datenschutz aus
Art. 8 der EU-Grundrechtecharta gewahrt sind.
Seite 1
Des Weiteren sei die Safe-Harbor-Entscheidung nichtig, weil die Kommission darin
nicht hinreichend begründet festgestellt habe, dass die Vereinigten Staaten aufgrund
innerstaatlicher Rechtsvorschriften oder internationaler Verpflichtungen ein
Schutzniveau gewährleisten, das dem in der Rechtsordnung der Union garantierten Niveau
der Sache nach gleichwertig sei.
Insbesondere verletze eine Regelung, die es Behörden gestatte, generell auf den Inhalt
elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der
Charta garantierten Grundrechts auf Achtung des Privatlebens.
Desgleichen verletzte eine Regelung, die keinen Anspruch des Bürgers auf Auskunft,
Berichtigung oder Löschung zu den ihn betreffenden personenbezogenen Daten vorsehe,
den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen
gerichtlichen Rechtsschutz.
Was bedeutet das EuGH-Urteil?
Die Bedeutung des EuGH-Urteils reicht weit über „Safe-Harbor“ hinaus.
Datenübermittlungen aus der EU in die USA können nicht mehr auf Safe-Harbor gestützt
werden.
Im Lichte des Urteils stehen alle Datenübermittlungen in Staaten außerhalb von EU und
EWR auf dem Prüfstand. Das betrifft auch andere hierfür genutzte Instrumente wie
Standardvertragsklauseln, die ebenfalls auf Kommissionsentscheidungen beruhen sowie
von der Wirtschaft gemeinsam mit Datenschutzbehörden erarbeitete Verbindliche
Unternehmensregelungen (Binding Corporate Rules – BCR). Inwieweit diese Instrumente
von dem Urteil betroffen sind, ist Gegenstand intensiver Prüfung der deutschen und
europäischen Datenschutzbehörden.
Deren Unabhängigkeit wurde vom EuGH nicht nur betont, sondern wiederum gestärkt. Die
Datenschutzbehörden
haben
vom
EuGH
die
Möglichkeit
erhalten,
auch
Kommissionentscheidungen zu Fragen der Angemessenheit des Datenschutzniveaus in
Drittstaaten in Frage zu stellen. Der EuGH mahnt an, dass Datenschutzbehörden Zweifel an
derartigen Kommissionsentscheidungen auf dem Rechtsweg müssen geltend machen
können. Dieser Rechtsweg existiert in Deutschland bislang nicht.
Der Irish High Court hat sich bereits am 20. Oktober 2015 mit der Rechtssache Schrems
beschäftigt und der irischen Datenschutzbehörde aufgeben, die Bewertung des
Datenschutzniveaus in den USA im Lichte der Feststellungen des Gerichtshofs nachzuholen
und über die Beschwerde von Herrn Schrems in der Sache zu entscheiden.
Die Artikel 29 Gruppe und die Datenschutzkonferenz der Datenschutzbeauftragten des
Bundes und der Länder haben sich zu den Konsequenzen aus dem EuGH-Urteil geäußert:
http://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2015/22_SafeHarborIstGekippt_Wa
sNun.html?nn=5217040
© Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Husarenstraße 30 • 53117 Bonn
Tel: +49 (0)228 997799-0 • Fax: +49 (0)228 997799-550
E-Mail: [email protected] • Internet: www.datenschutz.bund.de
Seite 2