Der Generalanwalt zum Datentransfer in die USA: Nicht Face­book ver­letzt Grund­rechte, son­dern die EU-Kom­mis­sion

2/2: Nicht Facebook verletzt Safe Harbor und damit etwa Grundrechte

Bots stellt klar, dass nicht Facebook gegen die Vorgaben von Safe Harbor verstößt (Rz. 168). Denn eine Weiterleitung der Daten auf der Grundlage nationaler Gesetze in den USA ist in der Safe Harbor-Entscheidung ja gerade vorgesehen und erlaubt.

Vielmehr verstoßen  nach Ansicht von Yves Bot die Safe Harbor-Entscheidung selbst, die in ihr aufgestellten Prinzipien und auch die Ausnahmen von diesen, gegen europäisches Recht. Mit ihrer Annahme, aber auch mit ihrer Aufrechterhaltung habe die Kommission gegen den Verhältnismäßigkeitsgrundsatz verstoßen und Grundrechte aus Art. 7 und 8 der Charta sowie Art. 52 Abs. 1 der Charta verletzt. Aus diesem Grund sei ihre Entscheidung für ungültig zu erklären (Rz. 215 f.).
Erschwerend komme hinzu, dass die Kommission, in Kenntnis der Schwächen der Entscheidung, Safe Harbor auch noch während der laufenden Verhandlungen über eine neue Version weiterhin in Kraft belassen habe (Rz. 233 und 236).

Die Datenströme fließen weiter – so oder so

Auch wenn der EuGH in keiner Weise an die Schlussanträge des Generalanwalts gebunden ist, kann man in Anbetracht der jüngsten, grundrechtsfreundlichen  Urteile zu den Rechten aus Art. 7 und 8 Charta von einer Tendenz ausgehen. Doch was würde es bedeuten, wenn Safe Harbor von einem auf den anderen Tag für ungültig erklärt werden würde?

Man darf bezweifeln, dass  ein großer Gewinn für den transatlantischen Datenschutz erzielt würde, wenn Safe Harbor ohne existierende Nachfolgeregelungen für ungültig erklärt wird. Natürlich dürften personenbezogene Daten aus Europa auch weiterhin in die USA übermittelt werden. Hierfür wäre dann eine andere Grundlage erforderlich, aber auch machbar (vgl. Art. 26 Abs. 1 DS-RL). Eine Übermittlung kann auf Grundlage einer Einwilligung, von Standardvertragsklauseln oder von individuellen Verträgen mit den Betroffenen erfolgen.

Dass die Datenströme einfach aufhören zu fließen, daran kann niemand wirklich glauben - und eigentlich auch niemand ein Interesse haben. Im Extremfall wird einfach eine tausendfache tägliche Rechtsverletzung entstehen, zumindest solange, bis Unternehmen ihre Prozesse angepasst haben.

Auch wenn Safe Harbor fällt, werden Sicherheitsbehörden (im Übrigen nicht nur in Drittstaaten) auf Daten bei Unternehmen zugreifen. Denn die Erlaubnisvorschriften, etwa für Geheimdienste, werden durch eine Entscheidung über Safe Harbor nicht angetastet.

Gar keine  Aufsicht mehr, und die Leidtragenden sind die Unternehmen

Eine effektive Verfolgung durch europäische Behörden, etwa in Deutschland, ist nicht unbedingt gesichert. Erst kürzlich monierte etwa Hamburgs Datenschutzbeauftragter, dass er mit 16  Mitarbeitern und damit mit weniger Personal als im Jahre 2000 zurecht kommen müsse.

Die amerikanische Federal Trade Commission war durchaus aktiv, was die Überwachung der Vorgaben von Safe Harbor anbelangt. Ohne Safe Harbor wird es aber natürlich auch keine Aufsicht über die Einhaltung von Safe Harbor mehr geben.

Betroffene Unternehmen sitzen dann zwischen zwei Stühlen. Genauer gesagt zwischen zwei auf sie anwendbaren Rechtsordnungen, die im schlimmsten Fall jeweils eine Handlung verlangen, die eine Verletzung der jeweils anderen Rechtsordnung zur Folge hat. Rechtsunsicherheit ist in einem solchen Fall vorprogrammiert.

In diesem Zusammenhang müssen sich zuständige Politiker und Entscheidungsträger auch die Frage gefallen lassen, wie denn die Anforderungen an den Rechtsschutz und an eine unabhängige und effektive Überwachung von Datenverarbeitungen durch Sicherheitsbehörden und Geheimdienste, die der Generalanwalt nun für Übermittlungen in die USA fordert, bei uns in Europa ausgestaltet sind.

Der Autor Dr. Carlo Piltz ist Anwalt mit Schwerpunkten im IT-, Medien-, und Internetrecht bei JBB Rechtsanwälte in Berlin. Er schreibt zu datenschutzrechtlichen Fragen unter anderem auf Delegedata sowie auf Twitter.