Safe Harbour Abkommen aufgehoben

Der Europäische Gerichtshof (EuGH) hat heute das sogenannte Safe Harbour Abkommen zwischen der Europäischen Union und den USA für ungültig erklärt. Die Kompetenzen der Datenschutzbehörden wurden dadurch zu sehr beschränkt und ein angemessener Grundrechtsschutz nicht gewährleistet. Dieses Urteil wird mit Sicherheit einen wesentlichen Beitrag zur Verbesserung des transatlantischen Datenschutzes leisten.

In seiner Pressemitteilung führt der EuGH aus, dass die Existenz einer Entscheidung der EU Kommission, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für übermittelte personenbezogene Daten gewährleistet, die Befugnisse der nationalen Datenschutzbehörden weder beseitigen noch auch nur beschränken kann. Die Datenschutzbehörden verfügen über diese Befugnisse aufgrund der Charta der Grundrechte der Europäischen Union und der EU Datenschutzrichtlinie. Die EU Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu beschränken.

Auch wenn die EU Kommission eine solche Entscheidung erlassen hat, müssen die nationalen Datenschutzbehörden daher, wenn sie mit einer Beschwerde befasst werden, in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung der Daten einer Person in ein Drittland die in der Datenschutzrichtlinie aufgestellten Anforderungen gewahrt werden.

Kein ausreichendes Schutzniveau

Inhaltlich hätte die EU Kommission nach Auffassung des EuGH feststellen müssen, dass die  Vereinigten Staaten aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleisten, das dem in der EU aufgrund der Datenschutzrichtlinie und der Grundrechtecharta garantierten Niveau gleichwertig ist. Eine solche Feststellung hat die Kommission nicht getroffen.

Der EuGH stellt weiters fest, dass das Safe Harbour Abkommen nur für diejenigen Unternehmen gültig war, die sich diesem ausdrücklich unterworfen haben. Es galt jedoch nicht für die Behörden der USA. Darüber hinaus hatten die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten Vorrang vor der Safe-Harbor-Regelung. Entsprechend waren US Unternehmen ohne jede Einschränkung verpflichtet, die im Safe Harbour Abkommen vorgesehenen Schutzregeln unangewandt zu lassen, wenn sie in Konflikt zu solchen Erfordernissen standen.

Die Safe Harbor Regelung ermöglichte daher Eingriffe der amerikanischen Behörden in die Grundrechte, wobei in der Entscheidung der Kommission weder festgestellt wird, dass es in den Vereinigten Staaten Regeln gibt, die dazu dienen, etwaige Eingriffe zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt.

Diese Analyse sieht der EuGH in zwei Mittelungen der EU Kommission bestätigt, in der diese selbst feststellt, dass die amerikanischen Behörden auf die übermittelten personenbezogenen Daten zugreifen und sie in einer Art verarbeiten konnten, die mit der Zielsetzung der Übermittlung unvereinbar war und über das hinausging, was nach Ansicht der Kommission zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig gewesen wäre (Stichwort Geheimdienstüberwachung).

Der EuGH sieht damit das Grundrecht auf Achtung des Privatlebens verletzt. Ebenfalls verletzt ist gemäß der Begründung das Grundrecht auf einen wirksamen gerichtlichen Rechtsschutz, da für die Betroffenen keine Möglichkeit vorgesehen war, ihre Rechte auf Auskunft, Richtigstellung und Löschung von personenbezogenen Daten wahrzunehmen.

Aus diesen Gründen erklärte der EuGH das Safe Harbour Abkommen für ungültig. Dies hat zur Folge, dass nun die irische Datenschutzbehörde den Fall Schrems betreffend Facebook prüfen und feststellen muss, ob die Übermittlung personenbezogener Daten in die USA durch Facebook zu beenden ist.

Konsequenzen

Für Unternehmen, die personenbezogene Daten in die USA transferieren, bedeutet dies nun, dass sie ihren Datentransfer auf andere Rechtsgrundlagen stützen müssen. Dafür stehen im Wesentlichen die europäischen Standardvertragsklauseln, verbindliche interne Unternehmensregeln (sogenannte Binding Corporate Rules) sowie die ausdrückliche Zustimmung der Betroffenen zur Verfügung.

Insgesamt betrachtet ist eine Übermittlung personenbezogener Daten in die USA also weiterhin möglich. Dieser wird in Hinkunft jedoch einer stärkeren Kontrolle unterliegen und für die Betroffenen auch die Möglichkeit bieten müssen, ihre Datenschutzrechte auf Auskunft, Richtigstellung und Löschung wirksam wahrzunehmen.

Der Volltext des Urteils wird nach seiner Veröffenltichung unter diesem Link abrufbar sein.