Die irische Datenschutzbehörde darf die Übermittlung von Facebook-Nutzerdaten in die USA untersagen. Die entgegenstehende "Safe-Harbour"-Entscheidung der EU-Kommission, auf welche die Iren sich beriefen, hält Generalanwalt Yves Bot für ungültig.
Es ist kein kleiner Etappensieg für Max Schrems, der den Umgang von Facebook mit Nutzerdaten seit Jahren öffentlich kritisert und vor die Gerichte bringt. Yves Bot, Generalanwalt am Europäischen Gerichtshof (EuGH) folgt in seinen heute veröffentlichten Schlussanträgen Schrems' Ansicht, dass die sogenannte Safe-Harbor-Entscheidung der EU-Kommission die irische Datenschutzbehörde nicht daran hindert, die Übermittlung der Daten europäischer Nutzer von Facebook an Server in den Vereinigten Staaten auszusetzen (Schlussanträge vom 23.09.2015, Az. C-362/14).
Die Daten von europäischen Facebook-Nutzern werden von der irischen Tochtergesellschaft des sozialen Netzwerks auf Server in den USA übermittelt. Gegen diese Praxis legte Schrems bei der irischen Datenschutzbehörde Beschwerde ein. Das Recht und die Praxis in den USA böten in Anbetracht der von Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste keinen tragfähigen Schutz gegen den Zugriff etwa durch dortige Geheimdienste; europäische Nutzerdaten dürften daher gar nicht erst auf die amerikanischen Facebook-Server übertragen werden. Die irische Behörde wies die Beschwerde unter anderem mit der Begründung zurück, dass die EU-Kommission im Jahr 2000 das Datenschutz-Niveau der Vereinigten Staaten als angemessen ("sicherer Hafen") eingestuft habe. Schließlich legte der irische High Court dem Europäischen Gerichtshof die Frage vor, ob diese Entscheidung die nationale Behörde binde.
Kommissionsentscheidung beseitigt nationale Befugnisse nicht
Die Entscheidung der Kommission beruht auf der Richtlinie über die Verarbeitung personenbezogener Daten (Rl. 95/46/EG). Sie erlaubt deren Übermittlung in ein Drittland nur dann, wenn dieses ein angemessenes Schutzniveau gewährleistet. Dass das der Fall ist, kann die Kommission nach der Richtlinie feststellen.
Für die USA tat sie das im Jahr 2000 (2000/520/EG). Europäische Unternehmen, die Daten in die Vereinigten Staaten übermitteln wollen, können dies seitdem tun, indem sie zuvor eine Selbstverpflichtung zur Einhaltung der Safe-Harbor-Grundsätze abgeben. Facebook Inc., die ihren Sitz in den USA hat, ist seit dem 5. Oktober 2007 auf der offiziellen Safe-Harbor-Liste der USA zu finden.
Generalanwalt Yves Bot hält die safe-harbor-Entscheidung der Komission jedoch für nicht bindend und sogar für ungültig. Sie könne die Befugnisse der nationalen Kontrollstellen nach der Richtlinie über die Verarbeitung personenbezogener Daten weder beseitigen noch verringern, so Bot am Dienstag in Luxemburg. Die irische Datenschutzbehörde könne also unabhängig von der Teilhabe Facebooks am safe-harbor-Status Maßnahmen ergreifen.
Die Eingriffsbefugnisse der nationalen Kontrollstellen müssten angesichts der Bedeutung ihrer Rolle im Bereich des Datenschutzes unangetastet bleiben, findet der Generalanwalt. Wären die nationalen Kontrollstellen durch die Entscheidungen der Kommission vollends gebunden, würde dies unweigerlich die ihnen nach der Richtlinie zustehende völlige Unabhängigkeit einschränken. Ist eine nationale Kontrollbehörde der Ansicht, dass eine Datenübermittlung den Schutz der Unionsbürger in Bezug auf die Verarbeitung ihrer Daten beeinträchtigt, darf sie die Datenübermittlung aussetzen, und zwar unabhängig von der allgemeinen Bewertung durch die Kommission.
Facebook-Streit: Kritische Schlussanträge des Generalanwalts: . In: Legal Tribune Online, 23.09.2015 , https://www.lto.de/persistent/a_id/16980 (abgerufen am: 05.12.2024 )
Infos zum Zitiervorschlag