Die irische Datenschutzbehörde darf die Übermittlung von Facebook-Nutzerdaten in die USA untersagen. Die entgegenstehende "Safe-Harbour"-Entscheidung der EU-Kommission, auf welche die Iren sich beriefen, hält Generalanwalt Yves Bot für ungültig.
Es ist kein kleiner Etappensieg für Max Schrems, der den Umgang von Facebook mit Nutzerdaten seit Jahren öffentlich kritisert und vor die Gerichte bringt. Yves Bot, Generalanwalt am Europäischen Gerichtshof (EuGH) folgt in seinen heute veröffentlichten Schlussanträgen Schrems' Ansicht, dass die sogenannte Safe-Harbor-Entscheidung der EU-Kommission die irische Datenschutzbehörde nicht daran hindert, die Übermittlung der Daten europäischer Nutzer von Facebook an Server in den Vereinigten Staaten auszusetzen (Schlussanträge vom 23.09.2015, Az. C-362/14).
Die Daten von europäischen Facebook-Nutzern werden von der irischen Tochtergesellschaft des sozialen Netzwerks auf Server in den USA übermittelt. Gegen diese Praxis legte Schrems bei der irischen Datenschutzbehörde Beschwerde ein. Das Recht und die Praxis in den USA böten in Anbetracht der von Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste keinen tragfähigen Schutz gegen den Zugriff etwa durch dortige Geheimdienste; europäische Nutzerdaten dürften daher gar nicht erst auf die amerikanischen Facebook-Server übertragen werden. Die irische Behörde wies die Beschwerde unter anderem mit der Begründung zurück, dass die EU-Kommission im Jahr 2000 das Datenschutz-Niveau der Vereinigten Staaten als angemessen ("sicherer Hafen") eingestuft habe. Schließlich legte der irische High Court dem Europäischen Gerichtshof die Frage vor, ob diese Entscheidung die nationale Behörde binde.
Kommissionsentscheidung beseitigt nationale Befugnisse nicht
Die Entscheidung der Kommission beruht auf der Richtlinie über die Verarbeitung personenbezogener Daten (Rl. 95/46/EG). Sie erlaubt deren Übermittlung in ein Drittland nur dann, wenn dieses ein angemessenes Schutzniveau gewährleistet. Dass das der Fall ist, kann die Kommission nach der Richtlinie feststellen.
Für die USA tat sie das im Jahr 2000 (2000/520/EG). Europäische Unternehmen, die Daten in die Vereinigten Staaten übermitteln wollen, können dies seitdem tun, indem sie zuvor eine Selbstverpflichtung zur Einhaltung der Safe-Harbor-Grundsätze abgeben. Facebook Inc., die ihren Sitz in den USA hat, ist seit dem 5. Oktober 2007 auf der offiziellen Safe-Harbor-Liste der USA zu finden.
Generalanwalt Yves Bot hält die safe-harbor-Entscheidung der Komission jedoch für nicht bindend und sogar für ungültig. Sie könne die Befugnisse der nationalen Kontrollstellen nach der Richtlinie über die Verarbeitung personenbezogener Daten weder beseitigen noch verringern, so Bot am Dienstag in Luxemburg. Die irische Datenschutzbehörde könne also unabhängig von der Teilhabe Facebooks am safe-harbor-Status Maßnahmen ergreifen.
Die Eingriffsbefugnisse der nationalen Kontrollstellen müssten angesichts der Bedeutung ihrer Rolle im Bereich des Datenschutzes unangetastet bleiben, findet der Generalanwalt. Wären die nationalen Kontrollstellen durch die Entscheidungen der Kommission vollends gebunden, würde dies unweigerlich die ihnen nach der Richtlinie zustehende völlige Unabhängigkeit einschränken. Ist eine nationale Kontrollbehörde der Ansicht, dass eine Datenübermittlung den Schutz der Unionsbürger in Bezug auf die Verarbeitung ihrer Daten beeinträchtigt, darf sie die Datenübermittlung aussetzen, und zwar unabhängig von der allgemeinen Bewertung durch die Kommission.
2/2: USA kein sicherer Hafen für Daten
Zwar seien die nationalen Kontrollstellen rechtlich an die Entscheidung der Kommission gebunden, doch folge daraus nicht, dass Beschwerden sofort und ohne jede Prüfung ihrer Begründetheit zurückzuweisen seien.
Falls in einem Drittland, in das personenbezogene Daten übermittelt werden, systemische Mängel festgestellt werden, müsse ein Mitgliedstaat Maßnahmen ergreifen können, um die von der Charta der Grundrechte der Europäischen Union geschützten Grundrechte seiner Bürger zu wahren, so Yves Bot.
Die Entscheidung der Kommission, die USA als sicheren hafen anzuerkennen, hält er für nicht mehr tragfähig. Das Recht und die Praxis der USA gestatteten es, die übermittelten personenbezogenen Daten von Unionsbürgern in großem Umfang zu sammeln, ohne dass sie über einen wirksamen gerichtlichen Rechtsschutz verfügen.
Bot: Safe Harbor hätte ausgesetzt werden müssen
In Anbetracht der derzeitigen Lage und der potentiellen Grundrechtsverletzungen bei der Datenübermittlung hätte die Kommission nach Auffassung des Generalanwalts die Anwendung der Entscheidung aussetzen müssen. Das war insbesondere nach PRISM verschiedentlich und unter anderem auch vom EU-Parlament gefordert, bislang aber nicht umgesetzt worden.
Yves Bot ging in seinem deutlichen Plädoyer auch auf die laufenden Verhandlungen zwischen der EU und den USA über neue Standards zum transatlantischen Datenaustausch ein: Die Kommission habe schließlich gerade deshalb beschlossen, Verhandlungen mit den USA aufzunehmen, weil sie zuvor zu der Erkenntnis gelangt war, dass das im Rahmen der Safe-Harbour-Regelung gewährleistete Schutzniveau nicht mehr angemessen ist, und dass die Entscheidung aus dem Jahr 2000 der tatsächlichen Lage nicht mehr gerecht wird.
Die nicht-öffentlichen Verhandlungen sollen kurz vor dem Abschluss stehen und unter anderem auch Safe Harbor betreffen. Erst vor wenigen Tagen erklärte die Bundesdatenschutzbeauftragte Andrea Voßhoff, dass sie hoffe, "dass die bereits mehrere Jahre andauernden Verhandlungen zwischen der EU und den USA zum Thema Safe Harbor ebenfalls zeitnah zu einem erfolgreichen Abschluss gebracht werden". Durch die Schlussanträge des Generalanwalts, an welche der EuGH nicht gebunden ist, dürfte das nicht einfacher geworden sein.
acr/LTO-Redaktion
Facebook-Streit: Kritische Schlussanträge des Generalanwalts: USA sind kein "sicherer Hafen" für Daten . In: Legal Tribune Online, 23.09.2015 , https://www.lto.de/persistent/a_id/16980/ (abgerufen am: 29.09.2023 )
Infos zum Zitiervorschlag
