Safe Harbour Entscheidung der Kommission am Prüfstand
Die Richtlinie über die Verarbeitung personenbezogener Daten (95/46/EG) bestimmt, dass die Datenübermittlung in ein Drittland nur dann zulässig ist, wenn das Drittland ein angemessenes Schutzniveau dieser Daten gewährleistet. Der Österreicher Max Schrems wendete sich an die Datenschutzbehörde in Irland. Er argumentierte als Nutzer von Facebook, dass das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor Überwachungstätigkeiten der dortigen Behörden böten. Die irische Behörde wies die Beschwerde zurück. Sie argumentierte, die Kommission habe in der Safe-Harbour-Regelung vom 26. Juli 20002 (2000/520/EG) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau der übermittelten personenbezogenen Daten gewährleisten.
EuGH prüft Übertragung von Daten von Facebook-Nutzern über Irland in die USA
Der EuGH stellte in der Sache zunächst fest, dass eine Kommissionsentscheidung die Befugnisse einer nationalen Datenschutzbehörden nicht beschränken kann. Die nationalen Datenschutzbehörden müssen in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung der Daten einer Person in ein Drittland die in der Richtlinie aufgestellten Anforderungen gewahrt werden. Zudem habe letztlich somit der EuGH darüber zu befinden, ob eine Entscheidung der Kommission gültig ist.
Schutzniveau der in der EU garantierten Freiheiten und Grundrechte als Maßstab
Der Gerichtshof prüfte nachfolgend das Schutzniveaus auf Gleichwertigkeit mit den in der EU garantierten Freiheiten und Grundrechten. Danach ist eine Regelung nicht auf das absolut Notwendige beschränkt ist, wenn sie generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne objektive Kriterien vorzusehen, die es ermöglichen, den Zugang der Behörden zu den Daten und deren spätere Nutzung zu beschränken.
Grundrechte auf Achtung des Privatlebens und wirksamen gerichtlichen Rechtsschutz verletzt
Eine Regelung, die
- es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, verletzt den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt.
- keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, verletzt den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutzverletzt. Eine solche Möglichkeit ist dem Wesen eines Rechtsstaats inhärent.
Die Safe-Harbour-Entscheidung der Kommission entzieht den nationalen Datenschutzbehörden Befugnisse, die ihnen für den Fall zustehen, dass eine Person die Vereinbarkeit der Entscheidung mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen in Frage stellt. Die Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu beschränken.
Aus all diesen Gründen erklärte der Gerichtshof die Safe-Harbour-Entscheidung der Kommission für ungültig.
Irische Behörde nach EuGH-Entscheidung am Zug
In der Folge hat damit die irische Datenschutzbehörde die Beschwerde von Max Schrems zu prüfen und am Ende ihrer Untersuchung zu entscheiden, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.
Bewertung Facebook Entscheidung EuGH - Max Schrems
Der EuGH macht klar, dass nationale Datenschutzbehörden die Möglichkeit haben (müssen), Datentransfer vom Inland ins (Nicht-EU-)Ausland individuell zu prüfen. Die Entscheidung stärkt europäisches Datenschutzrecht. Folgt die irische Datenschutzbehörde dem EuGH, wovon auszugehen ist, ist der Datentransfer der Facebook-Nutzerdaten europäischer Nutzer über Irland in die USA unzulässig.
Die Entscheidung hat zudem auch für alle Unternehmen Bedeutung, die in der Safe-Harbour-Entscheidung der Kommission einen sicheren Hafen sahen und Nutzerdaten speichern und in die USA transferieren. Sie werden sich wohl künftig nicht nur damit konfrontiert sehen, keine Daten mehr in die USA zu transferieren sondern auch über Anfrage bekannt zu geben, ob und wenn ja welche Daten schon bislang in die USA übertragen wurden.
Foto © fotolia.de, #72633742 | Urheber: chege