Der EuGH hat sich erneut als Hüter des Datenschutzes erwiesen. In einem aufsehenerregenden Urteil hat er die Safe-Harbor-Entscheidung der EU-Kommission für nichtig erklärt. Max Schrems, der das Verfahren mit einer Beschwerde gegen Facebook angestoßen hatte, geht damit endgültig in die Rechtsgeschichte ein. Doch was bedeutet das Urteil für Datentransfers in die USA?

Hintergrund

Max Schrems hatte sich 2013 an den irischen Datenschutzbeauftragten gewandt und gefordert, Facebook die Weitergabe seiner persönlichen Nutzerdaten in die USA zu untersagen. Zur Begründung hatte er insbesondere auf den massiven Zugriff durch USA-Geheimdienste verwiesen (Snowden-Affäre). Die irische Aufsichtsbehörde, die sich selbst unter ihren europäischen Kollegen einen Ruf als notorischer Freund von Datenkraken erarbeitet hat, wies diese Beschwerde zurück. Eine Prüfung der Vorwürfe sei schon deshalb nicht möglich, weil die EU-Kommission in der Safe-Harbor-Entscheidung den nach Safe-Harbor zertifizierten US-Unternehmen ein angemessenes Datenschutzniveau bescheinigt und den Aufsichtsbehörden eine nähere Prüfung dieser Frage untersagt habe. Hiergegen klagte Max Schrems. Der irische High Court setzte das Verfahren aus und legte dem EuGH die folgende Frage vor:

Wenn die Kommission einem Nicht-EU-Staat ein angemessenes Datenschutzniveau bescheinigt, dürfen die Datenschutz-Aufsichtsbehörden dann Beschwerden über das dortige Datenschutzniveau überhaupt noch prüfen?

Das Urteil

Kompetenzen der EU-Kommission nach Art. 25 der Datenschutzrichtlinie

Zunächst legt der EuGH dar, dass die EU-Kommission gemäß Art. 25 Abs. 6 Datenschutzrichtlinie (DSRL) feststellen kann, dass ein bestimmter Drittstaat ein angemessenes Datenschutzniveau gewährleistet. Eine solche Entscheidung genießt – wie alle Rechtsakte der EU-Organe – die Vermutung der Richtigkeit. Sie kann nur durch den EuGH für nichtig erklärt werden. Zudem ist die Entscheidung für die Mitgliedstaaten bindend. Sie dürfen daher keine der Kommissionsentscheidung widersprechenden Maßnahmen treffen. Bis hierhin dürfte sich der irische Datenschutzbeauftragte noch gefreut haben.

Prüfrecht- und Prüfpflicht der Aufsichtsbehörden bleiben unberührt

Jedoch kann eine Angemessenheits-Entscheidung nach Art. 25 Abs. 6 DSRL nach Ansicht des EuGH nicht die Befugnisse einschränken, die den Datenschutz-Aufsichtsbehörden von der Richtlinie verliehen werden. Die Betroffenen können sich daher weiterhin an die Behörden wenden. Diese sind befugt “in völliger Unabhängigkeit” konkrete Einwände gegen das angemessene Datenschutzniveau eines Drittstaates zu prüfen. Der Hinweis des irischen Datenschutzbeauftragten an Schrems, er könne leider nicht prüfen, weil ihm die Hände gebunden sein, war daher falsch. Ganz im Gegenteil: Aufgrund des fundamentalen Rechtstaatsprinzips, so der EuGH, seien entsprechende Eingaben von den Behörden sogar “mit aller gebotenen Sorgfalt zu prüfen”.

Der EuGH zeigt auch auf, wie ein solches Prüfverfahren weitergeht: in jedem Fall steht der Weg zu den Gerichten offen. Lehnt die Behörde die Beschwerde als unbegründet ab, muss – wie im Fall von Schrems – der Betroffene die Möglichkeit zur Klage haben. Hält die Behörde hingegen die Beschwerde für begründet und erachtet sie damit die für sie bindende Kommissionsentscheidung für falsch, so muss ihrerseits der Behörde der Weg zur Klage (gegen die Kommissionsentscheidung) offen stehen.

Safe-Harbor Entscheidung ist nichtig

Mit den vorstehenden Ausführungen hat der EuGH die Vorlagefrage bereits beantwortet. Doch um des Datenschutzes willen gehen die Richter noch weiter: Ohne dass dies erforderlich gewesen wäre, prüfen sie – “um dem vorlegenden Gericht eine vollständige Antwort zu geben” – die Rechtmäßigkeit der Safe-Harbor-Entscheidung gleich selbst. Im Ergebnis erklären sie diese für nichtig. Grundlage der Safe-Harbor-Entscheidung ist die Kompetenz der Kommission nach Art. 25 Abs. 6 DSRL,

festzustellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen … hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 [dieses Artikels] gewährleistet.

Ganz wichtig ist dabei die Aussage des EuGH, dass die Kommission angesichts der Bedeutung des Datenschutzes bei Entscheidungen nach Art. 25 Abs. 6 DSLR nur einen eingeschränkten Wertungsspielraum habe. Vielmehr müssten die Anforderungen der Richtlinie streng geprüft werden. Dies ist wichtig, weil in der Praxis lange bekannt war, dass Safe-Harbor diesen Anforderungen nicht genügt und nur ein “Feigenblatt” aus ökonomisch-politischen Erwägungen darstellt. Nun ist klar, dass die Kommission die Grundrechte der Unionsbürger in puncte Datenschutz nicht aufgrund eines solchen Kalküls opfern darf.

Nach Ansicht des EuGH sei zwar nicht prinzipiell ausgeschlossen, dass ein angemessenes Datenschutzniveau auch mithilfe eines nicht-gesetzlichen Systems wie den Safe-Harbor-Prinzipien erfüllt werden könnte. Um ein gleichwertigen Schutz zu gewährleisten müsste die Kommission dann aber prüfen, ob sich diese Regeln auch in der Praxis als wirksam erwiesen. Außerdem müsse die Entscheidung der Kommission – Auftraggebern nach § 11 BDSG wird das bekannt vorkommen – in regelmäßigen Abständen überprüft werden, wobei auch zwischenzeitlich neue Erkenntnisse zu berücksichtigen seien.

Dem wird die Safe-Harbor-Entscheidung nicht gerecht:

  • Die Kommission hat nicht – wie erforderlich – festgestellt, dass die USA ein angemessenes Schutzniveau “gewährleisten”. Positive Aussagen zur Überwachung und Einhaltung von Safe-Harbor enthält die Kommissionsentscheidung nämlich nicht.
  • Im Gegenteil hat die Kommission bei späteren Überprüfungen sogar festgestellt, dass die US-Behörden insbesondere aus Erwägungen der nationalen Sicherheit einen Zugriff auf die personenbezogene Daten hätten, der deutlich über das erforderliche Maß hinausgeht. Ein solcher Zugriff ist nach den Ausführungen des EuGH unvereinbar mit den datenschutzrechtlichen Garantien des EU-Rechts.
  • Schließlich ist auch Art. 3 der Safe-Harbor-Entscheidung, der den Aufsichtsbehörden eine weitergehende Prüfung untersagt, mit dem EU-Recht unvereinbar (s.o.)

Schlussfolgerungen – Datentransfers in die USA insgesamt auf dem Prüfstand

Mit dem Urteil erweist sich der EuGH ein weiteres Mal als Hüter des Datenschutzrechts in der EU. Dies insbesondere, weil er über die Beantwortung der Vorlagefrage hinaus die Safe-Harbor-Entscheidung insgesamt verwirft. Das Urteil wird erst einmal zu verarbeiten sein. Es stellt sich auf mehreren Ebenen die Frage, wie es weitergeht.

  • Zum einen kommt das Urteil noch rechtzeitig, um im Trilog zwischen Rat, Parlament und Kommission über die neue EU-Datenschutzgrundverordnung berücksichtigt zu werden. Der Entwurf, insbesondere die Vorschriften zu Drittstaaten sowie die vorgesehene Rolle der Kommission und der Aufsichtsbehörden wird mit den Grundsätzen des Urteils abzugleichen sein.
  • Zum anderen schafft das Urteil eine ganz neue Ausgangslage für die Verhandlungen mit den USA über eine neues Abkommen in der Nachfolge von Safe-Harbor. Der Gerichtshof fordert hier indirekt eine unnachgiebige Haltung gegenüber US-amerikanischen Forderungen, den Datenschutz zugunsten anderer Interessen aufzuweichen.
  • Schließlich stellt sich ganz konkret die Frage, wie Übermittlungen in die USA künftig zu beurteilen sind. Safe-Harbor scheidet als Rechtfertigung nun endgültig aus. Fraglich ist aber, ob auch die Standardvertragsklauseln angesichts des Urteils noch als “ausreichende Garantien” für eine angemessenes Datenschutzniveau beim Empfänger angesehen werden können. Zwar stellt der EuGH in seinem nicht explizit fest, dass das Datenschutzniveau in den USA unzureichend ist. Viel fehlt dazu aber nicht. Der EuGH kritisiert insbesondere scharf, dass die Safe-Harbor-Regeln nicht die US-Behörden binden und unter dem Vorbehalt der nationalen Sicherheit, öffentlicher Interessen etc. stehen, was mit EU-Recht unvereinbar sei. An dieser Lage lässt sich aber auch durch die Vereinbarung der EU-Standardvertragsklauseln mit dem empfangenden US-Unternehmen nichts ändern. Update: Die hamburgische Aufsichtsbehörde hat bereits angekündigt, auch Transfers auf Basis der Standardvertragsklauseln und von Binding Corporate Rules neu zu hinterfragen.

Somit bleibt derzeit offen, ob und wie Übermittlungen in die USA derzeit überhaupt noch rechtssicher durchgeführt werden können. Für die Praxis bleibt abzuwarten, wie sich die Aufsichtsbehörden hierzu positionieren. Update: Die Aufsichtsbehörden wollen sich dazu noch in dieser Woche bundesweit und auf europäischer Ebene koordinieren.