Der EuGH glaubt nicht, dass das geplante Fluggastdaten-Abkommen mit Kanada einen angemessenen Datenschutz für Reisende aus der EU gewährleistet. Das Gutachten des Gerichtshofs schafft damit Rechtsunsicherheit, erläutert Ulrich Wuermeling.
Der Europäische Gerichtshof (EuGH) misstraut Behörden innerhalb und außerhalb der EU, wenn es um die Verarbeitung personenbezogener Daten geht. Die Richtlinie zur Vorratsdatenspeicherung (C-293/12 und C-594/12) hat er deshalb ebenso wie das Safe-Harbor-Abkommen (C-362/14) für ungütig erklärt. In seinem aktuellen Gutachten zum Fluggastdaten-Abkommen mit Kanada (Opinion 1/15) zeigt sich wieder, das einfache und pragmatische Lösungen den Ansprüchen des Gerichts an den Datenschutz nicht genügen.
Der Zugang der Einreisebehörden zu Daten und deren spätere Nutzung sind nach Ansicht des Gerichtshofs klar und strikt zu beschränken. Das geplante Fluggastdaten-Abkommen mit Kanada erfülle diese Anforderungen dabei nicht, weil die zusammen betrachteten Daten aus dem Speicherungszeitraum von fünf Jahren beispielsweise Rückschlüsse auf einen gesamten Reiseverlauf, Reisegewohnheiten oder auch Beziehungen zwischen zwei oder mehreren Personen oder die finanzielle Situation der Fluggäste und ähnlich sensible Informationen zuließen.
Das Europaparlament sollte eigentlich schon im Jahr 2014 dem neuen Abkommen mit Kanada zustimmen. Nach dem negativ ausgefallenen Urteil des EuGH zur Vorratsdatenspeicherung hatte das Parlament jedoch Bedenken, ob das Abkommen den allgemeinen Anforderungen des Gerichts genügen würde. Deshalb hat es die Luxemburger um ein Gutachten über das geplante Abkommen angerufen - ein Novum in der Geschichte des EuGH.
Zurück an den Verhandlungstisch
Nach Auffassung des EuGH stellt das Abkommen in seiner aktuellen Form einen Eingriff unter anderem in das Grundrecht auf Achtung des Privatlebens und auf Schutz personenbezogener Daten dar. Diese Eingriffe könnten auch nicht gerechtfertigt werden: Zwar diene das Abkommen dazu, terroristische Straftaten und schwere grenzüberschreitende Kriminalität zu verhindern beziehungsweise zu bekämpfen. Allerdings beschränken sich nach Auffassung der Luxemburger Richter die vorgesehenen Maßnahmen nicht auf das absolut Notwendige. Ebenso enthielten manche Bestimmungen keine klaren und präzisen Begriffe oder Regeln.
Angesichts des nun vorliegenden Gutachtens wird das Europaparlament dem ausgehandelten und bereits unterzeichneten Abkommen nicht mehr zustimmen können. Kanada und die Europäische Union werden an den Verhandlungstisch zurückkehren müssen. Zwischenzeitlich gilt ein altes Abkommen aus dem Jahr 2006 weiter, wobei es einer Prüfung durch den EuGH vermutlich ebenfalls nicht standhalten würde. Selbiges gilt für die bestehenden Abkommen zum Fluggastdatenaustausch mit den USA und Australien. Die Abkommen bleiben weiter gültig, aber das vorliegende Gutachten zu Kanada begründet Handlungsbedarf.
Wenn das Abkommen scheitert, leiden die Reisenden
Die Richter halten den Fluggastdatenaustausch dabei nicht per se für einen Verstoß gegen die Charta der Europäischen Union. Sie machen allerdings Vorgaben, die für Abkommen zu solchen Datenaustäuschen zu einem unüberwindbaren Hindernis werden könnten. Insbesondere soll der Zugriff auf die Daten - mit Ausnahme von begründeten Eilfällen - einer richterlichen Verfügung bedürfen. Und wenn bei einer Abreise aus Kanada keine objektiven Anhaltspunkte vorliegen, dass eine Gefahr vom Reisenden ausgeht, sollen die Daten unmittelbar gelöscht werden.
Ob solche Vorgaben für Kanada oder andere Länder akzeptabel sind, wird sich zeigen. Die Alternative ist einfach: Es wird kein Abkommen geschlossen und die Daten werden bei der Einreise in Kanada erhoben. Dort unterliegt die Erhebung nicht europäischem Recht. Für den Reisenden ist dies mit einer längeren Einreiseprozedur verbunden und das Reiseland kann selbst entscheiden, wie es mit den Daten umgeht. Wenn es also kein Abkommen gibt, weil der EuGH seine Anforderungen überzogen hat, dann ist dies für die Reisenden nur mit Nachteilen verbunden, nämlich mit längeren Wartezeiten bei der Einreise und keinem Schutz ihrer Daten durch ein Abkommen mit der Europäischen Union.
2/2: Auswirkungen auf andere Rechtsgrundlagen zum Datentransfer
Das Gutachten des EuGH geht in seiner Bedeutung über den Austausch von Fluggastdaten hinaus, denn die Anforderungen an detaillierte Regelungen zum Zugriff durch Behörden auf Daten sind auch bei anderen Instrumenten des internationalen Datentransfers von Bedeutung. Als der Gerichtshof im Oktober 2015 das Safe-Harbor-Abkommen für Datenübermittlungen in die USA für ungültig erklärte, hat er noch relative generische Anforderungen gestellt.
Nun wird deutlicher, wie sich der EuGH einen wirksamen Schutz von personenbezogenen Daten im Empfängerland vorstellt. Ob das EU/US Privacy Shield oder die Standardvertragsklauseln, die Datenübermittlungen in Drittländer ermöglichen, diesen Anforderungen genügen, wird damit immer fraglicher. Dies gilt gleichermaßen für Entscheidungen der Europäischen Kommission über die Angemessenheit des Datenschutzniveaus in Drittländern wie beispielsweise Israel. Die damit verbundenen Unsicherheiten belasten schon heute den internationalen Wirtschaftsverkehr.
Rechtliche Risiken entstehen nicht von jetzt auf gleich
Zu besorgt sollten Unternehmen jedoch nicht sein, denn in der Safe-Harbor-Entscheidung wurde klargestellt, dass nur der EuGH Entscheidungen der Europäischen Kommission zur Angemessenheit von Datenschutzinstrumenten für unwirksam erklären kann. Derzeit ist nur ein solches Verfahren in Bezug auf das EU/US Privacy Shield anhängig (T-670/16). Es ist zu erwarten, dass die Luxemburger Richter die Klage für unzulässig erklären, weil eine nicht direkt betroffene Organisation, Digital Rights Ireland, gegen die Europäische Kommission geklagt hat. Weitere Verfahren kann es freilich geben.
In Deutschland haben die Datenschutzaufsichtsbehörden ein neues Klagerecht vor dem Bundesverwaltungsgericht erhalten, um Entscheidungen der Europäischen Kommission angreifen zu können. Auch dies könnte zu einer Vorlage führen.
Wenn die Klage von Digital Rights Ireland unzulässig ist, wird der EuGH entsprechend der üblichen Verfahrenslaufzeiten voraussichtlich nicht vor 2019 über die übrigen internationalen Instrumente und Bestimmungen zum Datenschutz und –transfer richten. Bis dahin werden das EU/US Privacy Shield, die Standardvertragsklauseln und die Angemessenheitsentscheidungen zu Drittländern wohl fortgelten. Danach bestehen rechtliche Risiken, die sich auf langfristige IT-Infrastrukturentscheidungen von Unternehmen auswirken können. Der Trend geht deshalb klar in die Richtung, Daten direkt innerhalb der Europäischen Union bereits vor der Übermittlung zu verarbeiten, soweit dies praktisch möglich ist.
Prof. Dr. Ulrich Wuermeling ist Rechtsanwalt und Counsel bei Latham & Watkins LLP und auf datenschutzrechtliche Beratung und Prozessführung spezialisiert.
Prof. Dr. Ulrich Wuermeling, EuGH kritisiert Fluggastdaten-Abkommen mit Kanada: Keine ausreichenden Garantien für die Privatsphäre . In: Legal Tribune Online, 26.07.2017 , https://www.lto.de/persistent/a_id/23645/ (abgerufen am: 29.03.2024 )
Infos zum Zitiervorschlag