Safe har­bor – oder: wohin mit unse­ren Daten?

Der Gerichts­hof der Euro­päi­schen Uni­on hat die Ent­schei­dung der EU-Kom­mis­si­on, in der fest­ge­stellt wird, dass die Ver­ei­nig­ten Staa­ten von Ame­ri­ka ein ange­mes­se­nes Schutz­ni­veau über­mit­tel­ter per­so­nen­be­zo­ge­ner Daten gewähr­leis­ten ("safe har­bor"), für ungül­tig erklärt.

Safe har­bor – oder: wohin mit unse­ren Daten?

Gleich­zei­tig rüg­te der Uni­ons­ge­richts­hof die natio­na­le (hier: iri­sche) Daten­schutz­be­hör­de, die unter Hin­weis auf die "Safe harbor"-Entscheidung der EU-Kom­mis­si­on ein Tätig­wer­den gegen Face­book abge­lehnt hat­te. Denn wäh­rend allein der Uni­onse­richts­hof dafür zustän­dig ist, einen Rechts­akt der Euro­päi­schen Uni­on für ungül­tig zu erklä­ren, kön­nen die mit einer Beschwer­de befass­ten natio­na­len Daten­schutz­be­hör­den, wie der Gerichts­hof der Euro­päi­schen Uni­on aus­drück­lich fest­stell­te, auch wenn es eine Ent­schei­dung der EU-Kom­mis­si­on gibt, in der fest­ge­stellt wird, dass ein Dritt­land ein ange­mes­se­nes Schutz­ni­veau für per­so­nen­be­zo­ge­ne Daten gewähr­leis­tet, prü­fen, ob bei der Über­mitt­lung der Daten einer Per­son in die­ses Land die Anfor­de­run­gen des Uni­ons­rechts an den Schutz die­ser Daten ein­ge­hal­ten wer­den, und sie kön­nen, eben­so wie die betrof­fe­ne Per­son, die natio­na­len Gerich­te anru­fen, damit die­se ein Ersu­chen um Vor­ab­ent­schei­dung zur Prü­fung der Gül­tig­keit der genann­ten Ent­schei­dung stel­len.

Die "Richt­li­nie 95/​46/​EG des Euro­päi­schen Par­la­ments und des Rates vom 24. Okto­ber 1995 zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Daten­ver­kehr" [1] bestimmt, dass die Über­mitt­lung sol­cher Daten in ein Dritt­land grund­sätz­lich nur dann zuläs­sig ist, wenn das betref­fen­de Dritt­land ein ange­mes­se­nes Schutz­ni­veau die­ser Daten gewähr­leis­tet. Fer­ner kann nach der Richt­li­nie die Kom­mis­si­on fest­stel­len, dass ein Dritt­land auf­grund sei­ner inner­staat­li­chen Rechts­vor­schrif­ten oder inter­na­tio­na­ler Ver­pflich­tun­gen ein ange­mes­se­nes Schutz­ni­veau gewähr­leis­tet. Schließ­lich sieht die Richt­li­nie vor, dass jeder Mit­glied­staat eine oder meh­re­re öffent­li­che Stel­len benennt, die in sei­nem Hoheits­ge­biet mit der Über­wa­chung der Anwen­dung der zur Umset­zung der Richt­li­nie erlas­se­nen natio­na­len Vor­schrif­ten beauf­tragt sind („Daten­schutz­be­hör­den“).

Der aktu­el­len Ent­schei­dung des Uni­ons­ge­richts­hofs lag die Beschwer­de eines öster­rei­chi­schen Staats­an­ge­hö­ri­gen, Maxi­mil­li­an Schrems, gegen Face­book zugrun­de. Er nutzt seit 2008 Face­book. Wie bei allen ande­ren in der Uni­on wohn­haf­ten Nut­zern von Face­book wer­den die Daten, die Herr Schrems Face­book lie­fert, von der iri­schen Toch­ter­ge­sell­schaft von Face­book ganz oder teil­wei­se an Ser­ver, die sich in den Ver­ei­nig­ten Staa­ten befin­den, über­mit­telt und dort ver­ar­bei­tet. Herr Schrems leg­te bei der iri­schen Daten­schutz­be­hör­de eine Beschwer­de ein, weil er im Hin­blick auf die von Herrn Edward Snow­den ent­hüll­ten Tätig­kei­ten der Nach­rich­ten­diens­te der Ver­ei­nig­ten Staa­ten, ins­be­son­de­re der Natio­nal Secu­ri­ty Agen­cy (NSA), der Ansicht war, dass das Recht und die Pra­xis der Ver­ei­nig­ten Staa­ten kei­nen aus­rei­chen­den Schutz der in die­ses Land über­mit­tel­ten Daten vor Über­wa­chungs­tä­tig­kei­ten der dor­ti­gen Behör­den böten. Die iri­sche Behör­de wies die Beschwer­de ins­be­son­de­re mit der Begrün­dung zurück, die EU-Kom­mis­si­on habe in ihrer Ent­schei­dung 2000/​520/​EG vom 26. Juli 2000 [2] fest­ge­stellt, dass die Ver­ei­nig­ten Staa­ten im Rah­men der soge­nann­ten „Safe-Har­bor-Rege­lung“ ein ange­mes­se­nes Schutz­ni­veau der über­mit­tel­ten per­so­nen­be­zo­ge­nen Daten gewähr­leis­te­ten. Die­se Safe-Har­bor-Rege­lung ent­hält eine Rei­he von Grund­sät­zen über den Schutz per­so­nen­be­zo­ge­ner Daten, denen sich ame­ri­ka­ni­sche Unter­neh­men frei­wil­lig unter­wer­fen kön­nen.

Gegen die­se Ver­wei­ge­rung durch den iri­schen Data Pro­tec­tion Com­mis­sio­ner rief Schrems die iri­schen Gerich­te an. Der schlu­ßend­lich mit der Rechts­sa­che befass­te iri­sche High Court rich­te­te dar­auf­hin ein Vor­ab­ent­schei­dungs­er­su­chen an den Gerichts­hofs der Euro­päi­schen Uni­on mit der Fra­ge, ob die­se "Safe harbor"-Entscheidung der EU-Kom­mis­si­on eine natio­na­le Daten­schutz­be­hör­de dar­an hin­dert, eine Beschwer­de zu prü­fen, mit der gel­tend gemacht wird, dass ein Dritt­land kein ange­mes­se­nes Schutz­ni­veau gewähr­leis­te, und gege­be­nen­falls die ange­foch­te­ne Daten­über­mitt­lung aus­zu­set­zen.

Im Wege eines sol­chen Vor­ab­ent­schei­dungs­er­su­chens kön­nen die Gerich­te der EU-Mit­glied­staa­ten in einem bei ihnen anhän­gi­gen Rechts­streit dem Gerichts­hof der Euro­päi­schen Uni­on Fra­gen nach der Aus­le­gung des euro­päi­schen Uni­ons­rechts oder nach der Gül­tig­keit einer Hand­lung der Euro­päi­schen Uni­on vor­le­gen. Der Uni­ons­ge­richts­hof ent­schei­det dabei nur über die vom natio­na­len Gericht vor­ge­leg­te Rechts­fra­ge, nicht dage­gen auch über den natio­na­len Rechts­streit. Es ist und bleibt viel­mehr Sache des natio­na­len Gerichts, anschlie­ßend über die Rechts­sa­che im Ein­klang mit der Ent­schei­dung des Uni­ons­ge­richts­hofs zu ent­schei­den. Die­se Ent­schei­dung des Gerichts­hofs der Euro­päi­schen Uni­on bin­det in glei­cher Wei­se auch ande­re natio­na­le Gerich­te, die mit einem ähn­li­chen Pro­blem befasst wer­den.

In sei­nem jetzt ver­kün­de­ten Urteil führt der Uni­ons­ge­richts­hof aus, dass die Exis­tenz einer Ent­schei­dung der Kom­mis­si­on, in der fest­ge­stellt wird, dass ein Dritt­land ein ange­mes­se­nes Schutz­ni­veau für über­mit­tel­te per­so­nen­be­zo­ge­ne Daten gewähr­leis­tet, die Befug­nis­se, über die die natio­na­len Daten­schutz­be­hör­den auf­grund der Char­ta der Grund­rech­te der Euro­päi­schen Uni­on und der Richt­li­nie ver­fü­gen, weder besei­ti­gen noch auch nur beschrän­ken kann. Der Gerichts­hof hebt inso­weit das durch die Char­ta garan­tier­te Recht auf den Schutz per­so­nen­be­zo­ge­ner Daten sowie die den natio­na­len Daten­schutz­be­hör­den durch die Char­ta über­tra­ge­ne Auf­ga­be her­vor.

Der Gerichts­hof der Euro­päi­schen Uni­on stellt zunächst fest, dass kei­ne Bestim­mung der Richt­li­nie die natio­na­len Daten­schutz­be­hör­den an der Kon­trol­le der Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in Dritt­län­der hin­dert, die Gegen­stand einer Ent­schei­dung der EU-Kom­mis­si­on waren. Auch wenn die Kom­mis­si­on eine sol­che Ent­schei­dung erlas­sen hat, müs­sen die natio­na­len Daten­schutz­be­hör­den daher, wenn sie mit einer Beschwer­de befasst wer­den, in völ­li­ger Unab­hän­gig­keit prü­fen kön­nen, ob bei der Über­mitt­lung der Daten einer Per­son in ein Dritt­land die in der Richt­li­nie auf­ge­stell­ten Anfor­de­run­gen gewahrt wer­den. Der Uni­ons­ge­richts­hof weist aller­dings dar­auf hin, dass er allein befugt ist, die Ungül­tig­keit eines Uni­ons­rechts­akts wie einer Ent­schei­dung der Kom­mis­si­on fest­zu­stel­len. Ist eine natio­na­le Behör­de oder die Per­son, die sie ange­ru­fen hat, der Auf­fas­sung, dass eine Ent­schei­dung der Kom­mis­si­on ungül­tig ist, muss die­se Behör­de oder die­se Per­son folg­lich die natio­na­len Gerich­te anru­fen kön­nen, damit die­se, falls sie eben­falls Zwei­fel an der Gül­tig­keit der Ent­schei­dung der EU-Kom­mis­si­on haben, die Sache dem Uni­ons­ge­richts­hof vor­le­gen kön­nen. Letzt­lich hat somit der Uni­ons­ge­richts­hof dar­über zu befin­den, ob eine Ent­schei­dung der EU-Kom­mis­si­on gül­tig ist.

Der Uni­ons­ge­richts­hof prüft sodann die Gül­tig­keit der "Safe harbor"-Entscheidung der Kom­mis­si­on vom 26. Juli 2000. Inso­weit weist er dar­auf hin, dass die Kom­mis­si­on hät­te fest­stel­len müs­sen, dass die Ver­ei­nig­ten Staa­ten auf­grund ihrer inner­staat­li­chen Rechts­vor­schrif­ten oder inter­na­tio­na­ler Ver­pflich­tun­gen tat­säch­lich ein Schutz­ni­veau der Grund­rech­te gewähr­leis­ten, das dem in der Euro­päi­schen Uni­on auf­grund der Richt­li­nie im Licht der Char­ta garan­tier­ten Niveau der Sache nach gleich­wer­tig ist. Eine sol­che Fest­stel­lung hat die EU-Kom­mis­si­on nicht getrof­fen, son­dern sie hat sich dar­auf beschränkt, die Safe-Har­bor-Rege­lung zu prü­fen.

Ohne dass der Gerichts­hof der Euro­päi­schen Uni­on hier prü­fen muss, ob die­se Rege­lung ein Schutz­ni­veau gewähr­leis­tet, das dem in der Euro­päi­schen Uni­on garan­tier­ten Niveau der Sache nach gleich­wer­tig ist, ist fest­zu­stel­len, dass sie nur für die ame­ri­ka­ni­schen Unter­neh­men gilt, die sich ihr unter­wer­fen, nicht aber für die Behör­den der Ver­ei­nig­ten Staa­ten. Außer­dem haben die Erfor­der­nis­se der natio­na­len Sicher­heit, des öffent­li­chen Inter­es­ses und der Durch­füh­rung von Geset­zen der Ver­ei­nig­ten Staa­ten Vor­rang vor der Safe-Har­bor-Rege­lung, so dass die ame­ri­ka­ni­schen Unter­neh­men ohne jede Ein­schrän­kung ver­pflich­tet sind, die in die­ser Rege­lung vor­ge­se­he­nen Schutz­re­geln unan­ge­wandt zu las­sen, wenn sie in Wider­streit zu sol­chen Erfor­der­nis­sen ste­hen. Die ame­ri­ka­ni­sche Safe-Har­bor-Rege­lung ermög­licht daher Ein­grif­fe der ame­ri­ka­ni­schen Behör­den in die Grund­rech­te der Per­so­nen, wobei in der Ent­schei­dung der EU-Kom­mis­si­on weder fest­ge­stellt wird, dass es in den Ver­ei­nig­ten Staa­ten Regeln gibt, die dazu die­nen, etwai­ge Ein­grif­fe zu begren­zen, noch, dass es einen wirk­sa­men gericht­li­chen Rechts­schutz gegen sol­che Ein­grif­fe gibt.

Die­se vom Gerichts­hof der Euro­päi­schen Uni­on vor­ge­nom­me­ne Ana­ly­se der Rege­lung wird durch zwei Mit­tei­lun­gen der EU-Kom­mis­si­on aus dem Novem­ber 2013 [3] bestä­tigt, aus denen u. a. her­vor­geht, dass die ame­ri­ka­ni­schen Behör­den auf die aus den Mit­glied­staa­ten in die Ver­ei­nig­ten Staa­ten über­mit­tel­ten per­so­nen­be­zo­ge­nen Daten zugrei­fen und sie in einer Wei­se ver­ar­bei­ten konn­ten, die nament­lich mit den Ziel­set­zun­gen ihrer Über­mitt­lung unver­ein­bar war und über das hin­aus­ging, was nach Ansicht der Kom­mis­si­on zum Schutz der natio­na­len Sicher­heit abso­lut not­wen­dig und ver­hält­nis­mä­ßig gewe­sen wäre. Des­glei­chen stell­te die EU-Kom­mis­si­on fest, dass es für die Betrof­fe­nen kei­ne admi­nis­tra­ti­ven oder gericht­li­chen Rechts­be­hel­fe gab, die es ihnen erlaub­ten, Zugang zu den sie betref­fen­den Daten zu erhal­ten und gege­be­nen­falls deren Berich­ti­gung oder Löschung zu erwir­ken.

Zum Vor­lie­gen eines Schutz­ni­veaus, das den in der Uni­on garan­tier­ten Frei­hei­ten und Grund­rech­ten der Sache nach gleich­wer­tig ist, stellt der Uni­ons­ge­richts­hof fest, dass nach dem euro­päi­schen Uni­ons­recht eine Rege­lung nicht auf das abso­lut Not­wen­di­ge beschränkt ist, wenn sie gene­rell die Spei­che­rung aller per­so­nen­be­zo­ge­nen Daten sämt­li­cher Per­so­nen, deren Daten aus der Uni­on in die Ver­ei­nig­ten Staa­ten über­mit­telt wer­den, gestat­tet, ohne irgend­ei­ne Dif­fe­ren­zie­rung, Ein­schrän­kung oder Aus­nah­me anhand des ver­folg­ten Ziels vor­zu­neh­men und ohne objek­ti­ve Kri­te­ri­en vor­zu­se­hen, die es ermög­li­chen, den Zugang der Behör­den zu den Daten und deren spä­te­re Nut­zung zu beschrän­ken. Der Uni­ons­ge­richts­hof fügt hin­zu, dass eine Rege­lung, die es den Behör­den gestat­tet, gene­rell auf den Inhalt elek­tro­ni­scher Kom­mu­ni­ka­ti­on zuzu­grei­fen, den Wesens­ge­halt des Grund­rechts auf Ach­tung des Pri­vat­le­bens ver­letzt.

Fer­ner führt der Gerichts­hof der Euro­päi­schen Uni­on aus, dass eine Rege­lung, die kei­ne Mög­lich­keit für den Bür­ger vor­sieht, mit­tels eines Rechts­be­helfs Zugang zu den ihn betref­fen­den per­so­nen­be­zo­ge­nen Daten zu erlan­gen oder ihre Berich­ti­gung oder Löschung zu erwir­ken, den Wesens­ge­halt des Grund­rechts auf wirk­sa­men gericht­li­chen Rechts­schutz ver­letzt. Eine sol­che Mög­lich­keit ist dem Wesen eines Rechts­staats inhä­rent.

Schließ­lich stellt der Gerichts­hof der Euro­päi­schen Uni­on fest, dass die "safe harbor"-Entscheidung der EU-Kom­mis­si­on vom 26. Juli 2000 den natio­na­len Daten­schutz­be­hör­den Befug­nis­se ent­zieht, die ihnen für den Fall zuste­hen, dass eine Per­son die Ver­ein­bar­keit der Ent­schei­dung mit dem Schutz der Pri­vat­sphä­re sowie der Frei­hei­ten und Grund­rech­te von Per­so­nen in Fra­ge stellt. Die EU-Kom­mis­si­on hat­te kei­ne Kom­pe­tenz, die Befug­nis­se der natio­na­len Daten­schutz­be­hör­den in die­ser Wei­se zu beschrän­ken.

Aus all die­sen Grün­den hat jetzt der Gerichts­hof der Euro­päi­schen Uni­on die "safe harbor"-Entscheidung der EU-Kom­mis­si­on vom 26. Juli 2000 für ungül­tig erklärt.

Die­ses Urteil hat zur Fol­ge, dass die iri­sche Daten­schutz­be­hör­de die Beschwer­de von Herrn Schrems mit aller gebo­te­nen Sorg­falt prü­fen und am Ende ihrer Unter­su­chung ent­schei­den muss, ob nach der Richt­li­nie die Über­mitt­lung der Daten der euro­päi­schen Nut­zer von Face­book in die Ver­ei­nig­ten Staa­ten aus­zu­set­zen ist, weil die­ses Land kein ange­mes­se­nes Schutz­ni­veau für per­so­nen­be­zo­ge­ne Daten bie­tet.

Gerichts­hof der Euro­päi­schen Uni­on, Urteil vom 6. Okto­ber 2015 – C ‑362/​14

  1. ABl. L 281, S. 31[]
  2. Ent­schei­dung 2000/​520/​EG der Kom­mis­si­on vom 26. Juli 2000 gemäß der Richt­li­nie 95/​46/​EG des Euro­päi­schen Par­la­ments und des Rates über die Ange­mes­sen­heit des von den Grund­sät­zen des „siche­ren Hafens“ und der dies­be­züg­li­chen „Häu­fig gestell­ten Fra­gen“ (FAQ) gewähr­leis­te­ten Schut­zes, vor­ge­legt vom Han­dels­mi­nis­te­ri­um der USA, ABl. L 215, S. 7[]
  3. Mit­tei­lung der Kom­mis­si­on an das Euro­päi­sche Par­la­ment und den Rat mit dem Titel „Wie­der­her­stel­lung des Ver­trau­ens beim Daten­aus­tausch zwi­schen der EU und den USA“ – COM[2013] 846 final, 27. Novem­ber 2013; und Mit­tei­lung der Kom­mis­si­on an das Euro­päi­sche Par­la­ment und den Rat über die Funk­ti­ons­wei­se der Safe-Har­bor-Rege­lung aus Sicht der EU-Bür­ger und der in der EU nie­der­ge­las­se­nen Unter­neh­men – COM[2013] 847 final, 27. Novem­ber 2013[]