Face­book und der "safe har­bour"

Die Ent­schei­dung der EU-Kom­mis­si­on, mit der die Ange­mes­sen­heit des Schut­zes per­so­nen­be­zo­ge­ner Daten in den Ver­ei­nig­ten Staa­ten fest­ge­stellt wird, hin­dert die natio­na­len Behör­den nach Ansicht des Gene­ral­an­walts beim Gerichts­hof der Euro­päi­schen Uni­on nicht dar­an, die Über­mitt­lung der Daten euro­päi­scher Nut­zer von Face­book an Ser­ver, die sich in den Ver­ei­nig­ten Staa­ten befin­den, aus­zu­set­zen.

Face­book und der

Dar­über hin­aus ver­tritt der Gene­ral­an­walt des EuGH expli­zit die Ansicht, dass die­se "safe harbour"-Entscheidung der EU-Kom­mis­si­on ungül­tig ist.

Nach der Richt­li­nie 95/​46/​EG des Euro­päi­schen Par­la­ments und des Rates vom 24. Okto­ber 1995 zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Daten­ver­kehr [1] ist die Über­mitt­lung sol­cher Daten in ein Dritt­land zuläs­sig, wenn es ein ange­mes­se­nes Schutz­ni­veau für die­se Daten gewähr­leis­tet. Fer­ner kann die Kom­mis­si­on nach der Richt­li­nie fest­stel­len, dass ein Dritt­land ein ange­mes­se­nes Schutz­ni­veau gewähr­leis­tet. Sobald die Kom­mis­si­on eine Ent­schei­dung in die­sem Sin­ne erlas­sen hat, kann die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in das betref­fen­de Dritt­land erfol­gen.

Auf den Prüf­stand des Uni­ons­ge­richts­hofs kam dies nun durch einen Streit um den Daten­schutz bei Face­book: Maxi­mil­li­an Schrems, ein öster­rei­chi­scher Staats­an­ge­hö­ri­ger, nutzt seit 2008 Face­book. Wie bei den übri­gen Nut­zern mit Wohn­sitz in der Uni­on wer­den die Daten, die Herr Schrems Face­book lie­fert, von der iri­schen Toch­ter­ge­sell­schaft von Face­book ganz oder teil­wei­se an Ser­ver über­mit­telt, die sich im Hoheits­ge­biet der Ver­ei­nig­ten Staa­ten befin­den, und dort gespei­chert. Herr Schrems leg­te eine Beschwer­de bei der iri­schen Daten­schutz­be­hör­de ein, da sei­ner Ansicht nach das Recht und die Pra­xis in den Ver­ei­nig­ten Staa­ten in Anbe­tracht der von Edward Snow­den im Jahr 2013 ent­hüll­ten Tätig­kei­ten der Nach­rich­ten­diens­te der Ver­ei­nig­ten Staa­ten (ins­be­son­de­re der Natio­nal Secu­ri­ty Agen­cy, NSA) kei­nen wirk­li­chen Schutz dage­gen bie­ten, dass der ame­ri­ka­ni­sche Staat die in die­ses Land über­mit­tel­ten Daten über­wacht. Die iri­sche Behör­de wies die Beschwer­de u. a. mit der Begrün­dung zurück, dass die EU-Kom­mis­si­on in ihrer Ent­schei­dung 2000/​520/​EG vom 26. Juli 2000 [2], das von den Ver­ei­nig­ten Staa­ten im Rah­men der als „siche­rer Hafen“ bezeich­ne­ten Rege­lung gewähr­leis­te­te Schutz­ni­veau der über­mit­tel­ten per­so­nen­be­zo­ge­nen Daten als ange­mes­sen ein­ge­stuft habe. Die­se Rege­lung über den siche­ren Hafen ein­hält eine Rei­he von Grund­sät­zen über den Schutz per­so­nen­be­zo­ge­ner Daten, denen sich die ame­ri­ka­ni­schen Unter­neh­men frei­wil­lig unter­wer­fen kön­nen.

Der mit der Rechts­sa­che befass­te iri­sche High Court rich­te­te dar­auf­hin ein Vor­ab­ent­schei­dungs­er­su­chen an den Gerichts­hof der Euro­päi­schen Uni­on und möch­te vom Uni­ons­ge­richts­hof die Rechts­fra­ge geklärt wis­sen, ob die­se Ent­schei­dung der Kom­mis­si­on eine natio­na­le Kon­troll­stel­le dar­an hin­dert, eine Beschwer­de zu unter­su­chen, mit der gel­tend gemacht wird, dass ein Dritt­land kein ange­mes­se­nes Schutz­ni­veau gewähr­leis­te, und die bean­stan­de­te Über­mitt­lung von Daten gege­be­nen­falls aus­zu­set­zen.

Im Wege eines sol­chen Vor­ab­ent­schei­dungs­er­su­chens kön­nen die Gerich­te der Mit­glied­staa­ten in einem bei ihnen anhän­gi­gen Rechts­streit dem Uni­ons­ge­richts­hof Fra­gen nach der Aus­le­gung des euro­päi­schen Uni­ons­rechts oder nach der Gül­tig­keit einer Hand­lung der Euro­päi­schen Uni­on vor­le­gen. Der Gerichts­hof der Euro­päi­schen Uni­on ent­schei­det dabei aus­schließ­lich über die vor­ge­leg­te Rechts­fra­ge, nicht über den natio­na­len Rechts­streit. Es ist und bleibt Sache des natio­na­len Gerichts, sodann über die Rechts­sa­che im Ein­klang mit der Ent­schei­dung des Uni­ons­ge­richts­hofs zu ent­schei­den. Die­se Ent­schei­dung des Uni­ons­ge­richts­hofs bin­det in glei­cher Wei­se auch ande­re natio­na­le Gerich­te, die mit einem ähn­li­chen Pro­blem befasst wer­den.

In die­sem Ver­fah­ren über das Vor­ab­ent­schei­dungs­er­su­chen des iri­schen High Court hat jetzt der Gene­ral­an­walt des Gerichts­hofs der Euro­päi­schen Uni­on sei­ne Schluss­an­trä­ge vor­ge­legt. Dar­in ver­tritt der Gene­ral­an­walt die Auf­fas­sung, dass die Exis­tenz einer Ent­schei­dung der Kom­mis­si­on, mit der fest­ge­stellt wird, dass ein Dritt­land ein ange­mes­se­nes Schutz­ni­veau für die über­mit­tel­ten per­so­nen­be­zo­ge­nen Daten gewähr­leis­tet, die Befug­nis­se der natio­na­len Kon­troll­stel­len nach der Richt­li­nie über die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten weder besei­ti­gen noch auch nur ver­rin­gern kann. Er ist außer­dem der Ansicht, dass die Ent­schei­dung der Kom­mis­si­on ungül­tig ist.

Der Gene­ral­an­walt führt zunächst aus, dass die Ein­griffs­be­fug­nis­se der natio­na­len Kon­troll­stel­len ange­sichts der Bedeu­tung ihrer Rol­le im Bereich des Daten­schut­zes unan­ge­tas­tet blei­ben müs­sen. Wären die natio­na­len Kon­troll­stel­len abso­lut an die Ent­schei­dun­gen der Kom­mis­si­on gebun­den, wür­de dies unwei­ger­lich die ihnen nach der Richt­li­nie zuste­hen­de völ­li­ge Unab­hän­gig­keit ein­schrän­ken. Der Gene­ral­an­walt schließt dar­aus, dass eine natio­na­le Kon­troll­be­hör­de, wenn sie der Ansicht ist, dass eine Daten­über­mitt­lung den Schutz der Uni­ons­bür­ger in Bezug auf die Ver­ar­bei­tung ihrer Daten beein­träch­tigt, zur Aus­set­zung die­ser Über­mitt­lung befugt ist, unab­hän­gig von der all­ge­mei­nen Bewer­tung durch die Kom­mis­si­on in ihrer Ent­schei­dung. Die der Kom­mis­si­on durch die Richt­li­nie über­tra­ge­ne Befug­nis berührt näm­lich nicht die den natio­na­len Kon­troll­stel­len dar­in ver­lie­he­nen Befug­nis­se. Mit ande­ren Wor­ten ist die Kom­mis­si­on nicht ermäch­tigt, die Befug­nis­se der natio­na­len Kon­troll­be­hör­den zu beschrän­ken.

Der Gene­ral­an­walt räumt zwar ein, dass die natio­na­len Kon­troll­stel­len recht­lich an die Ent­schei­dung der Kom­mis­si­on gebun­den sind, doch gebie­tet es eine sol­che Bin­dungs­wir­kung sei­nes Erach­tens nicht, Beschwer­den sum­ma­risch, d. h. sofort und ohne jede Prü­fung ihrer Begründ­etheit, zurück­zu­wei­sen; dies gilt umso mehr, als die Fest­stel­lung des ange­mes­se­nen Schutz­ni­veaus eine zwi­schen den Mit­glied­staa­ten und der Kom­mis­si­on geteil­te Zustän­dig­keit ist. Eine Ent­schei­dung der Kom­mis­si­on spielt gewiss eine wich­ti­ge Rol­le für die Ver­ein­heit­li­chung der Über­mitt­lungs­vor­aus­set­zun­gen in den Mit­glied­staa­ten, aber die Ver­ein­heit­li­chung kann nur Bestand haben, solan­ge die genann­te Fest­stel­lung nicht in Fra­ge gestellt wird, ins­be­son­de­re im Rah­men einer von den natio­na­len Behör­den im Ein­klang mit den ihnen durch die Richt­li­nie zuer­kann­ten Unter­su­chungs- und Ein­wir­kungs­be­fug­nis­sen zu behan­deln­den Beschwer­de.

Über­dies ist der Gene­ral­an­walt der Ansicht, dass die Mit­glied­staa­ten, falls in dem Dritt­land, in das per­so­nen­be­zo­ge­ne Daten über­mit­telt wer­den, sys­te­mi­sche Män­gel fest­ge­stellt wer­den, die erfor­der­li­chen Maß­nah­men ergrei­fen kön­nen müs­sen, um die Grund­rech­te, die von der Char­ta der Grund­rech­te der Euro­päi­schen Uni­on geschützt wer­den, zu wah­ren, wie das Recht auf Ach­tung des Pri­vat- und Fami­li­en­le­bens und das Recht auf den Schutz per­so­nen­be­zo­ge­ner Daten.

In Anbe­tracht der im Lauf des Ver­fah­rens geäu­ßer­ten Zwei­fel an der Gül­tig­keit der Ent­schei­dung 2000/​520 ver­tritt der Gene­ral­an­walt die Auf­fas­sung, dass der Uni­ons­ge­richts­hof die­sen Aspekt prü­fen soll­te, und kommt zu dem Ergeb­nis, dass die Ent­schei­dung ungül­tig ist. Aus den sowohl vom iri­schen High Court als auch von der Kom­mis­si­on selbst getrof­fe­nen Fest­stel­lun­gen ergibt sich näm­lich, dass das Recht und die Pra­xis der Ver­ei­nig­ten Staa­ten es gestat­ten, die über­mit­tel­ten per­so­nen­be­zo­ge­nen Daten von Uni­ons­bür­gern in gro­ßem Umfang zu sam­meln, ohne dass sie über einen wirk­sa­men gericht­li­chen Rechts­schutz ver­fü­gen. Die­se Tat­sa­chen­fest­stel­lun­gen bele­gen, dass die Ent­schei­dung der Kom­mis­si­on kei­ne aus­rei­chen­den Garan­tien ent­hält. Auf­grund die­ses Feh­lens von Garan­tien wur­de sie in einer Wei­se umge­setzt, die nicht den Anfor­de­run­gen der Richt­li­nie und der Char­ta ent­spricht.

Der Gene­ral­an­walt ist fer­ner der Ansicht, dass der Zugang der ame­ri­ka­ni­schen Nach­rich­ten­diens­te zu den über­mit­tel­ten Daten einen Ein­griff in das Recht auf Ach­tung des Pri­vat­le­bens und in das Recht auf den Schutz per­so­nen­be­zo­ge­ner Daten bedeu­tet. Des­glei­chen bedeu­te der Umstand, dass die Uni­ons­bür­ger kei­ne Mög­lich­keit haben, zur Fra­ge des Abfan­gens und der Über­wa­chung ihrer Daten in den Ver­ei­nig­ten Staa­ten gehört zu wer­den, einen Ein­griff in das von der Char­ta geschütz­te Recht der Uni­ons­bür­ger auf einen wirk­sa­men Rechts­be­helf.

Der Gene­ral­an­walt sieht in die­sem Ein­griff in die Grund­rech­te einen Ver­stoß gegen den Grund­satz der Ver­hält­nis­mä­ßig­keit, ins­be­son­de­re weil die von den ame­ri­ka­ni­schen Nach­rich­ten­diens­ten aus­ge­üb­te Über­wa­chung mas­siv und nicht ziel­ge­rich­tet ist. Der Zugang zu per­so­nen­be­zo­ge­nen Daten, über den die ame­ri­ka­ni­schen Nach­rich­ten­diens­te ver­fü­gen, erfasst näm­lich in gene­ra­li­sier­ter Wei­se alle Per­so­nen und alle elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­mit­tel sowie sämt­li­che über­tra­ge­nen Daten (ein­schließ­lich des Inhalts der Kom­mu­ni­ka­tio­nen), ohne jede Dif­fe­ren­zie­rung, Ein­schrän­kung oder Aus­nah­me anhand des im All­ge­mein­in­ter­es­se lie­gen­den Ziels, das ver­folgt wird. Unter die­sen Umstän­den kann nach Ansicht des Gene­ral­an­walts nicht davon aus­ge­gan­gen wer­den, dass ein Dritt­land ein ange­mes­se­nes Schutz­ni­veau gewähr­leis­tet, zumal die Rege­lung über den siche­ren Hafen in der Ent­schei­dung der Kom­mis­si­on kei­ne Garan­tien ent­hält, die geeig­net sind, einen mas­si­ven und gene­ra­li­sier­ten Zugang zu den über­mit­tel­ten Daten zu ver­hin­dern. Denn kei­ne unab­hän­gi­ge Behör­de ist in der Lage, in den Ver­ei­nig­ten Staa­ten zu kon­trol­lie­ren, ob staat­li­che Akteu­re wie die ame­ri­ka­ni­schen Sicher­heits­diens­te gegen­über Uni­ons­bür­gern gegen die Grund­sät­ze des Schut­zes per­so­nen­be­zo­ge­ner Daten ver­sto­ßen.

Ange­sichts eines sol­chen Befunds der Ver­let­zung von Grund­rech­ten der Uni­ons­bür­ger hät­te die Kom­mis­si­on nach Auf­fas­sung des Gene­ral­an­walts die Anwen­dung der Ent­schei­dung aus­set­zen müs­sen, auch wenn sie der­zeit mit den Ver­ei­nig­ten Staa­ten Ver­hand­lun­gen führt, um die fest­ge­stell­ten Ver­stö­ße abzu­stel­len. Der Gene­ral­an­walt weist im Übri­gen dar­auf hin, dass die Kom­mis­si­on gera­de des­halb beschlos­sen hat, Ver­hand­lun­gen mit den Ver­ei­nig­ten Staa­ten auf­zu­neh­men, weil sie zuvor zu der Erkennt­nis gelangt war, dass das von die­sem Dritt­land im Rah­men der Rege­lung über den siche­ren Hafen gewähr­leis­te­te Schutz­ni­veau nicht mehr ange­mes­sen ist und dass die Ent­schei­dung aus dem Jahr 2000 nicht mehr der tat­säch­li­chen Lage ent­spricht.

Die­se Schluss­an­trä­ge sei­nes Gene­ral­an­walts sind für den Gerichts­hof der Euro­päi­schen Uni­on nicht bin­dend. Auf­ga­be des Gene­ral­an­walts ist es, dem Uni­ons­ge­richts­hof in völ­li­ger Unab­hän­gig­keit einen Ent­schei­dungs­vor­schlag für die betref­fen­de Rechts­sa­che zu unter­brei­ten. Die Rich­ter des EuGH tre­ten nun­mehr in die Bera­tung ein. Das Urteil wird zu einem spä­te­ren Zeit­punkt ver­kün­det.

Gerichts­hof der Euro­päi­schen Uni­on – Schluss­an­trä­ge des Gene­ral­an­walts vom 23. Sep­tem­ber 2015 – C ‑362/​14

  1. ABl. L 281, S. 31[]
  2. Ent­schei­dung 2000/​520/​EG der Kom­mis­si­on vom 26. Juli 2000 gemäß der Richt­li­nie 95/​46/​EG des Euro­päi­schen Par­la­ments und des Rates über die Ange­mes­sen­heit des von den Grund­sät­zen des „siche­ren Hafens“ und der dies­be­züg­li­chen „Häu­fig gestell­ten Fra­gen“ (FAQ) gewähr­leis­te­ten Schut­zes, vor­ge­legt vom Han­dels­mi­nis­te­ri­um der USA, ABl. 2000, L 215, S. 7[]