Für Yves Bot sind unter Safe Harbor zertifizierte US-Unternehmen kein sicherer Hafen für Daten. Eine Entscheidung im Sinne von Kläger Max Schrems. Aber nicht Facebook verletzt Rechte, erklärt Carlo Piltz. Und fragt sich: Was wäre ohne Safe Harbor?
Am Mittwoch hat Yves Bot, Generalanwalt am Gerichtshof der Europäischen Union (EuGH), seine Schlussanträge im Verfahren von Max Schrems gegen die irische Datenschutzbehörde (C-362/14) vorgelegt.
Der Kläger Max Schrems wehrt sich gegen eine unterbliebene Ermittlung der irischen Datenschützer in Bezug auf seine Beschwerde. Der Aktivist monierte, dass Übermittlungen personenbezogener Daten von der irischen Facebook Ireland Ltd. an die amerikanische Muttergesellschaft auf der Grundlage der sog. Safe Harbor-Entscheidung der Europäischen Kommission (2000/520/EG) erfolgten und ein angemessenes Schutzniveau für personenbezogene Daten in den USA nicht besteht.
Die irische Behörde meinte, dass sie keine eigene Prüfung des Sachverhalts oder rechtliche Bewertung vornehmen und möglicherweise Datentransfers untersagen könne, weil sie durch die Safe Harbor-Entscheidung der Kommission gebunden sei.
Nachfolgend sollen einige grundlegende Feststellungen des Generalanwalts zusammengefasst und auf einige Besonderheiten und besonders relevante Aussagen des Generalanwalts hingewiesen werden.
Starke Stellung der Datenschutzbehörden
Wenig überraschend vertritt der Generalanwalt die Auffassung, dass nationale Datenschutzbehörden durch einen Angemessenheitsbeschluss der Kommission auf der Grundlage von Art. 25 Abs. 6 der geltenden Datenschutz-Richtlinie (DS-RL) nicht absolut gebunden sind. Safe Harbor hindert sie also nicht daran, weiterhin die ihnen sowohl durch die Charta der Grundrechte der Europäischen Union (Charta) als auch die DS-RL übertragenen Befugnisse auszuüben.
Wenn es um den Schutz von Grundrechten (im vorliegenden Fall von Art. 7 und 8 Charta) geht, dürfen und müssen nationale Behörden eigene Untersuchungen vornehmen und erforderlichenfalls auch Datentransfers in Drittstaaten untersagen, selbst wenn ein Angemessenheitsbeschluss der Kommission existiert.
Bot leitet dies zum einen aus den Vorgaben von Art. 8 Abs. 3 Charta ab (Rz. 79 der Schlussanträge). Zum anderen verweist er auf die Systematik von Art. 25 DS-RL, nach der sowohl die Europäische Kommission als auch die Mitgliedstaaten die Kompetenz haben, einem Drittstaat außerhalb der Europäischen Union bzw. des EWR ein angemessenes Datenschutzniveau zu attestieren (Rz. 86).
Nur wenn nationale Aufsichtsbehörden unabhängig vom Einfluss anderer staatlicher Stellen die Einhaltung datenschutzrechtlicher Vorgaben prüfen und erforderlichenfalls auch durchsetzen können, ist ein angemessener Schutz der betroffenen Grundrechte aus Art. 7 und 8 Charta möglich (Rz. 117).
Was ist ein "angemessenes Schutzniveau"?
Wenn personenbezogene Daten aus der Europäischen Union bzw. dem EWR heraus, auf der Grundlage einer Angemessenheitsentscheidung, in Drittstaaten übertragen werden können sollen, dann muss in diesem Drittstaat dem Grunde nach dasselbe Schutzniveau gelten, wie es durch die Vorgaben der Charta und der DS-RL auch innerhalb der EU existiert, so der Generalanwalt (Rz. 144).
Das "angemessene Schutzniveau" im Sinne der DS-RL umfasst seiner Ansicht nach zwei grundlegende Elemente: den Inhalt und die Vorgaben der jeweils anwendbaren Gesetze sowie die Mittel, um diese Vorgaben durchzusetzen.
Bots Erwägungen dazu fußen auf zwei Feststellungen des vorlegenden irischen Gerichts. Zum einen können einmal in die USA transferierte Daten durch Sicherheitsbehörden und Geheimdienste in großem Umfang und willkürlich abgerufen oder eingesehen werden. Zum anderen haben, wenn ein solcher Zugriff erfolgt, die Unionsbürger keine effektiven Mittel, um dort Rechtsschutz zu erlangen (Rz. 155).
Nationale Sicherheit: unklare Ausnahmen ermöglichen extensive Zugriffe durch US-Behörden
Auf der Grundlage dieser Informationen kritisiert der Generalanwalt die in der Safe Harbor-Entscheidung vorgesehenen Möglichkeiten, von den vorgegebenen Prinzipien zum Schutz personenbezogener Daten abzuweichen, unter anderem aus Gründen der nationalen Sicherheit (Anhang I Absatz 4 der Safe Harbor-Entscheidung). Auch gebe es keine wirksamen Schutzmechanismen für Betroffene (Rz. 159).
Der Wortlaut der Ausnahmevorschriften der Safe Harbor-Entscheidung sei viel zu allgemein gehalten. Die Sicherheitsbehörden in den USA legten ihn daher weit aus und nutzten ihn, um auf personenbezogene Daten zuzugreifen (Rz. 164). Es sei nicht gewährleistet, dass sie nur dann auf personenbezogene Daten zugriffen, wenn das absolut notwendig sei. Es existierten keine ausreichenden und genau definierten Schutzmechanismen, um eine Massenüberwachung durch ausländische Sicherheitsbehörden zu unterbinden (Rz. 202).
Soweit zum Beispiel Teil B. im Anhang IV der Safe Harbor-Entscheidung auf die „Erforderlichkeit“ eines Zugriffs auf Daten abstelle, sieht Bot keine Möglichkeit für ein betroffenes Unternehmen in den USA, gegenüber den Sicherheitsbehörden zu argumentieren, dass ein Zugriff auf Daten nicht erforderlich ist (Rz. 182).
Eine Überwachung der Vorgaben von Safe Harbor durch die amerikanische Federal Trade Commission oder privatwirtschaftliche Schlichtungsstellen erklärt Bot ausdrücklich für nicht ausreichend, da diese Stellen keine Kompetenz im Bereich der Datenverarbeitung durch Sicherheitsbehörden besitzen (Rz. 204).
Der Generalanwalt kritisiert auch, dass EU-Bürger keine Möglichkeit hätten, Rechtsschutz gegen Datenverarbeitungen zu erlangen, die über jene Zwecke hinausgehen, für welche die Daten ursprünglich in die USA übermittelt wurden (Rz. 165). Die existierenden Ausnahmeregelungen hätten vielmehr von effektiven Rechtsschutz- und Aufsichtsmechanismen flankiert werden müssen, so der Generalanwalt.
Dr. Carlo Piltz, Der Generalanwalt zum Datentransfer in die USA: Nicht Facebook verletzt Grundrechte, sondern die EU-Kommission . In: Legal Tribune Online, 24.09.2015 , https://www.lto.de/persistent/a_id/17003/ (abgerufen am: 19.04.2024 )
Infos zum Zitiervorschlag
