Für Yves Bot sind unter Safe Harbor zertifizierte US-Unternehmen kein sicherer Hafen für Daten. Eine Entscheidung im Sinne von Kläger Max Schrems. Aber nicht Facebook verletzt Rechte, erklärt Carlo Piltz. Und fragt sich: Was wäre ohne Safe Harbor?
Am Mittwoch hat Yves Bot, Generalanwalt am Gerichtshof der Europäischen Union (EuGH), seine Schlussanträge im Verfahren von Max Schrems gegen die irische Datenschutzbehörde (C-362/14) vorgelegt.
Der Kläger Max Schrems wehrt sich gegen eine unterbliebene Ermittlung der irischen Datenschützer in Bezug auf seine Beschwerde. Der Aktivist monierte, dass Übermittlungen personenbezogener Daten von der irischen Facebook Ireland Ltd. an die amerikanische Muttergesellschaft auf der Grundlage der sog. Safe Harbor-Entscheidung der Europäischen Kommission (2000/520/EG) erfolgten und ein angemessenes Schutzniveau für personenbezogene Daten in den USA nicht besteht.
Die irische Behörde meinte, dass sie keine eigene Prüfung des Sachverhalts oder rechtliche Bewertung vornehmen und möglicherweise Datentransfers untersagen könne, weil sie durch die Safe Harbor-Entscheidung der Kommission gebunden sei.
Nachfolgend sollen einige grundlegende Feststellungen des Generalanwalts zusammengefasst und auf einige Besonderheiten und besonders relevante Aussagen des Generalanwalts hingewiesen werden.
Starke Stellung der Datenschutzbehörden
Wenig überraschend vertritt der Generalanwalt die Auffassung, dass nationale Datenschutzbehörden durch einen Angemessenheitsbeschluss der Kommission auf der Grundlage von Art. 25 Abs. 6 der geltenden Datenschutz-Richtlinie (DS-RL) nicht absolut gebunden sind. Safe Harbor hindert sie also nicht daran, weiterhin die ihnen sowohl durch die Charta der Grundrechte der Europäischen Union (Charta) als auch die DS-RL übertragenen Befugnisse auszuüben.
Wenn es um den Schutz von Grundrechten (im vorliegenden Fall von Art. 7 und 8 Charta) geht, dürfen und müssen nationale Behörden eigene Untersuchungen vornehmen und erforderlichenfalls auch Datentransfers in Drittstaaten untersagen, selbst wenn ein Angemessenheitsbeschluss der Kommission existiert.
Bot leitet dies zum einen aus den Vorgaben von Art. 8 Abs. 3 Charta ab (Rz. 79 der Schlussanträge). Zum anderen verweist er auf die Systematik von Art. 25 DS-RL, nach der sowohl die Europäische Kommission als auch die Mitgliedstaaten die Kompetenz haben, einem Drittstaat außerhalb der Europäischen Union bzw. des EWR ein angemessenes Datenschutzniveau zu attestieren (Rz. 86).
Nur wenn nationale Aufsichtsbehörden unabhängig vom Einfluss anderer staatlicher Stellen die Einhaltung datenschutzrechtlicher Vorgaben prüfen und erforderlichenfalls auch durchsetzen können, ist ein angemessener Schutz der betroffenen Grundrechte aus Art. 7 und 8 Charta möglich (Rz. 117).
Was ist ein "angemessenes Schutzniveau"?
Wenn personenbezogene Daten aus der Europäischen Union bzw. dem EWR heraus, auf der Grundlage einer Angemessenheitsentscheidung, in Drittstaaten übertragen werden können sollen, dann muss in diesem Drittstaat dem Grunde nach dasselbe Schutzniveau gelten, wie es durch die Vorgaben der Charta und der DS-RL auch innerhalb der EU existiert, so der Generalanwalt (Rz. 144).
Das "angemessene Schutzniveau" im Sinne der DS-RL umfasst seiner Ansicht nach zwei grundlegende Elemente: den Inhalt und die Vorgaben der jeweils anwendbaren Gesetze sowie die Mittel, um diese Vorgaben durchzusetzen.
Bots Erwägungen dazu fußen auf zwei Feststellungen des vorlegenden irischen Gerichts. Zum einen können einmal in die USA transferierte Daten durch Sicherheitsbehörden und Geheimdienste in großem Umfang und willkürlich abgerufen oder eingesehen werden. Zum anderen haben, wenn ein solcher Zugriff erfolgt, die Unionsbürger keine effektiven Mittel, um dort Rechtsschutz zu erlangen (Rz. 155).
Nationale Sicherheit: unklare Ausnahmen ermöglichen extensive Zugriffe durch US-Behörden
Auf der Grundlage dieser Informationen kritisiert der Generalanwalt die in der Safe Harbor-Entscheidung vorgesehenen Möglichkeiten, von den vorgegebenen Prinzipien zum Schutz personenbezogener Daten abzuweichen, unter anderem aus Gründen der nationalen Sicherheit (Anhang I Absatz 4 der Safe Harbor-Entscheidung). Auch gebe es keine wirksamen Schutzmechanismen für Betroffene (Rz. 159).
Der Wortlaut der Ausnahmevorschriften der Safe Harbor-Entscheidung sei viel zu allgemein gehalten. Die Sicherheitsbehörden in den USA legten ihn daher weit aus und nutzten ihn, um auf personenbezogene Daten zuzugreifen (Rz. 164). Es sei nicht gewährleistet, dass sie nur dann auf personenbezogene Daten zugriffen, wenn das absolut notwendig sei. Es existierten keine ausreichenden und genau definierten Schutzmechanismen, um eine Massenüberwachung durch ausländische Sicherheitsbehörden zu unterbinden (Rz. 202).
Soweit zum Beispiel Teil B. im Anhang IV der Safe Harbor-Entscheidung auf die „Erforderlichkeit“ eines Zugriffs auf Daten abstelle, sieht Bot keine Möglichkeit für ein betroffenes Unternehmen in den USA, gegenüber den Sicherheitsbehörden zu argumentieren, dass ein Zugriff auf Daten nicht erforderlich ist (Rz. 182).
Eine Überwachung der Vorgaben von Safe Harbor durch die amerikanische Federal Trade Commission oder privatwirtschaftliche Schlichtungsstellen erklärt Bot ausdrücklich für nicht ausreichend, da diese Stellen keine Kompetenz im Bereich der Datenverarbeitung durch Sicherheitsbehörden besitzen (Rz. 204).
Der Generalanwalt kritisiert auch, dass EU-Bürger keine Möglichkeit hätten, Rechtsschutz gegen Datenverarbeitungen zu erlangen, die über jene Zwecke hinausgehen, für welche die Daten ursprünglich in die USA übermittelt wurden (Rz. 165). Die existierenden Ausnahmeregelungen hätten vielmehr von effektiven Rechtsschutz- und Aufsichtsmechanismen flankiert werden müssen, so der Generalanwalt.
2/2: Nicht Facebook verletzt Safe Harbor und damit etwa Grundrechte
Bots stellt klar, dass nicht Facebook gegen die Vorgaben von Safe Harbor verstößt (Rz. 168). Denn eine Weiterleitung der Daten auf der Grundlage nationaler Gesetze in den USA ist in der Safe Harbor-Entscheidung ja gerade vorgesehen und erlaubt.
Vielmehr verstoßen nach Ansicht von Yves Bot die Safe Harbor-Entscheidung selbst, die in ihr aufgestellten Prinzipien und auch die Ausnahmen von diesen, gegen europäisches Recht. Mit ihrer Annahme, aber auch mit ihrer Aufrechterhaltung habe die Kommission gegen den Verhältnismäßigkeitsgrundsatz verstoßen und Grundrechte aus Art. 7 und 8 der Charta sowie Art. 52 Abs. 1 der Charta verletzt. Aus diesem Grund sei ihre Entscheidung für ungültig zu erklären (Rz. 215 f.).
Erschwerend komme hinzu, dass die Kommission, in Kenntnis der Schwächen der Entscheidung, Safe Harbor auch noch während der laufenden Verhandlungen über eine neue Version weiterhin in Kraft belassen habe (Rz. 233 und 236).
Die Datenströme fließen weiter – so oder so
Auch wenn der EuGH in keiner Weise an die Schlussanträge des Generalanwalts gebunden ist, kann man in Anbetracht der jüngsten, grundrechtsfreundlichen Urteile zu den Rechten aus Art. 7 und 8 Charta von einer Tendenz ausgehen. Doch was würde es bedeuten, wenn Safe Harbor von einem auf den anderen Tag für ungültig erklärt werden würde?
Man darf bezweifeln, dass ein großer Gewinn für den transatlantischen Datenschutz erzielt würde, wenn Safe Harbor ohne existierende Nachfolgeregelungen für ungültig erklärt wird. Natürlich dürften personenbezogene Daten aus Europa auch weiterhin in die USA übermittelt werden. Hierfür wäre dann eine andere Grundlage erforderlich, aber auch machbar (vgl. Art. 26 Abs. 1 DS-RL). Eine Übermittlung kann auf Grundlage einer Einwilligung, von Standardvertragsklauseln oder von individuellen Verträgen mit den Betroffenen erfolgen.
Dass die Datenströme einfach aufhören zu fließen, daran kann niemand wirklich glauben - und eigentlich auch niemand ein Interesse haben. Im Extremfall wird einfach eine tausendfache tägliche Rechtsverletzung entstehen, zumindest solange, bis Unternehmen ihre Prozesse angepasst haben.
Auch wenn Safe Harbor fällt, werden Sicherheitsbehörden (im Übrigen nicht nur in Drittstaaten) auf Daten bei Unternehmen zugreifen. Denn die Erlaubnisvorschriften, etwa für Geheimdienste, werden durch eine Entscheidung über Safe Harbor nicht angetastet.
Gar keine Aufsicht mehr, und die Leidtragenden sind die Unternehmen
Eine effektive Verfolgung durch europäische Behörden, etwa in Deutschland, ist nicht unbedingt gesichert. Erst kürzlich monierte etwa Hamburgs Datenschutzbeauftragter, dass er mit 16 Mitarbeitern und damit mit weniger Personal als im Jahre 2000 zurecht kommen müsse.
Die amerikanische Federal Trade Commission war durchaus aktiv, was die Überwachung der Vorgaben von Safe Harbor anbelangt. Ohne Safe Harbor wird es aber natürlich auch keine Aufsicht über die Einhaltung von Safe Harbor mehr geben.
Betroffene Unternehmen sitzen dann zwischen zwei Stühlen. Genauer gesagt zwischen zwei auf sie anwendbaren Rechtsordnungen, die im schlimmsten Fall jeweils eine Handlung verlangen, die eine Verletzung der jeweils anderen Rechtsordnung zur Folge hat. Rechtsunsicherheit ist in einem solchen Fall vorprogrammiert.
In diesem Zusammenhang müssen sich zuständige Politiker und Entscheidungsträger auch die Frage gefallen lassen, wie denn die Anforderungen an den Rechtsschutz und an eine unabhängige und effektive Überwachung von Datenverarbeitungen durch Sicherheitsbehörden und Geheimdienste, die der Generalanwalt nun für Übermittlungen in die USA fordert, bei uns in Europa ausgestaltet sind.
Der Autor Dr. Carlo Piltz ist Anwalt mit Schwerpunkten im IT-, Medien-, und Internetrecht bei JBB Rechtsanwälte in Berlin. Er schreibt zu datenschutzrechtlichen Fragen unter anderem auf Delegedata sowie auf Twitter.
Dr. Carlo Piltz, Der Generalanwalt zum Datentransfer in die USA: Nicht Facebook verletzt Grundrechte, sondern die EU-Kommission . In: Legal Tribune Online, 24.09.2015 , https://www.lto.de/persistent/a_id/17003/ (abgerufen am: 29.05.2023 )
Infos zum Zitiervorschlag
