Am 6. Oktober 2015 hat der Europäische Gerichtshof (EuGH) in der Rechtssache C 362/14 die Safe-Harbor-Entscheidung der Europäischen Kommission aus dem Jahre 2000 für ungültig erklärt. Ich möchte Sie hier über die Einzelheiten des Urteils und die Folgen dieses Urteils kurz informieren. 

Was ist Safe-Harbor?

Die Safe-Harbor-Entscheidung der Europäischen Kommission 2000/520/EG bildete eine wesentliche Rechtsgrundlage für die Übermittlung personenbezogener Daten aus der Europäischen Union in die USA.

Die Datenschutzrichtlinie 95/46/EG verlangt, dass personenbezogene Daten von Unionsbürgern grundsätzlich nur in Staaten übermittelt werden, die ein angemessenes Datenschutzniveau gewährleisten. Eine derart umfassende Feststellung wurde für die USA von der Kommission jedoch nicht getroffen. Stattdessen erließ diese für die USA im Juli 2000 die Safe-Harbor-Entscheidung, mit der für den privaten Sektor anerkannt wurde, dass die vom US- Handelsministerium herausgegebenen sieben „Grundsätze des ,sicheren Hafens‘ zum Datenschutz“ (Informationspflicht, Wahlmöglichkeit, Weitergabe, Sicherheit, Datenintegrität, Auskunftsrecht und Durchsetzung) mit den erläuternden „Häufig gestellten Fragen“ („FAQ“) ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten in die USA gewährleisten.

Was hat der EuGH entschieden?

Der österreichische Facebook-Nutzer Maximilian Schrems legte bei der irischen Datenschutzbehörde Beschwerde ein, weil er im Hinblick auf die Enthüllungen von Edward Snowden der Ansicht war, seine von Facebook Irland an Server in den USA übermittelten Nutzerdaten seien in den Vereinigten Staaten nicht hinreichend geschützt.

Die irische Datenschutzbehörde wies die Beschwerde mit dem Hinweis auf die Safe-Harbor-Entscheidung der Kommission zurück. Der mit der Rechtssache befasste irische High Court legte dem EuGH die Frage vor, ob die Safe-Harbor-Entscheidung eine nationale Datenschutzbehörde daran hindere, eine solche Beschwerde zu prüfen und gegebenenfalls die angefochtene Datenübermittlung auszusetzen.

Der Gerichtshof kommt zu dem Ergebnis, dass die Safe-Harbor-Entscheidung der Kommission die nationalen Kontrollstellen nicht daran hindert, in völliger Unabhängigkeit zu prüfen, ob bei der Datenübermittlung die in der Datenschutz-Richtlinie 95/46/EG aufgestellten Anforderungen zum Schutz des Grundrechts auf Datenschutz aus Art. 8 der EU-Grundrechtecharta gewahrt sind.

Des Weiteren sei die Safe-Harbor-Entscheidung nichtig, weil die Kommission darin nicht hinreichend begründet festgestellt habe, dass die Vereinigten Staaten aufgrund innerstaatlicher Rechtsvorschriften oder internationaler Verpflichtungen ein Schutzniveau gewährleisten, das dem in der Rechtsordnung der Union garantierten Niveau der Sache nach gleichwertig sei.

Insbesondere verletze eine Regelung, die es Behörden gestatte, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens.

Desgleichen verletzte eine Regelung, die keinen Anspruch des Bürgers auf Auskunft, Berichtigung oder Löschung zu den ihn betreffenden personenbezogenen Daten vorsehe, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz.

Was bedeutet das EuGH-Urteil?

Die Bedeutung des EuGH-Urteils reicht weit über „Safe-Harbor“ hinaus. Datenübermittlungen aus der EU in die USA können nicht mehr auf Safe-Harbor gestützt werden.

Im Lichte des Urteils stehen alle Datenübermittlungen in Staaten außerhalb von EU und EWR auf dem Prüfstand. Das betrifft auch andere hierfür genutzte Instrumente wie Standardvertragsklauseln, die ebenfalls auf Kommissionsentscheidungen beruhen sowie von der Wirtschaft gemeinsam mit Datenschutzbehörden erarbeitete Verbindliche Unternehmensregelungen (Binding Corporate Rules – BCR). Inwieweit diese Instrumente von dem Urteil betroffen sind, ist Gegenstand intensiver Prüfung der deutschen und europäischen Datenschutzbehörden.

Deren Unabhängigkeit wurde vom EuGH nicht nur betont, sondern wiederum gestärkt. Die Datenschutzbehörden haben vom EuGH die Möglichkeit erhalten, auch Kommissionentscheidungen zu Fragen der Angemessenheit des Datenschutzniveaus in Drittstaaten in Frage zu stellen. Der EuGH mahnt an, dass Datenschutzbehörden Zweifel an derartigen Kommissionsentscheidungen auf dem Rechtsweg müssen geltend machen können. Dieser Rechtsweg existiert in Deutschland bislang nicht.

Der Irish High Court hat sich bereits am 20. Oktober 2015 mit der Rechtssache Schrems beschäftigt und der irischen Datenschutzbehörde aufgeben, die Bewertung des Datenschutzniveaus in den USA im Lichte der Feststellungen des Gerichtshofs nachzuholen und über die Beschwerde von Herrn Schrems in der Sache zu entscheiden.