EuGH-Urteil: „Safe Harbor“-Entscheidung unwirksam

Der europäische Gerichtshof hat in einem aktuellen Urteil (EuGH Urt. v. 06.10.2015, Az. C-362/14) die sogenannte „Safe Harbor“-Entscheidung (2000/520/EG) der europäischen Kommission für unwirksam erklärt. Diese Entscheidung verstoße u.a. gegen die Grundrechte und Grundfreiheiten der Charta der europäischen Union und beschränke zu Unrecht die Befugnisse nationaler Stellen zur Überprüfung der Angemessenheit des Datenschutzes bei Übermittlungen in ein Drittland. Diese Entscheidung ist ein deutliches Zeichen zugunsten des Datenschutzes!
Bevor der EuGH um eine Vorabentscheidung gebeten wurde, ereignete sich folgender Sachverhalt: ein österreichischer Jurist namens Schrems nutzte seit dem Jahr 2008 das soziale Netzwerk Facebook. Er meldete sich bei der irischen Tochtergesellschaft an. Bei einer solchen Anmeldung wird zwar ein Vertrag mit der irischen Tochtergesellschaft geschlossen. Allerdings werden personenbezogene Daten ganz oder teilweise auf dem Server der in den USA ansässigen Facebook Inc. gespeichert. Aus diesem Grund legte Schrems bei der irischen Datenschutzkommission Beschwerde ein und verlangte, dass die Übermittlung seiner Daten in die USA untersagt wird. Sein Verlangen unterstützte er mit dem Hinweis auf die Enthüllungen von Edward Snowden. Diese hätten gezeigt, dass die NSA und andere amerikanische Bundesbehörden alle Formen von elektrischer Kommunikation überwachen und somit ein angemessener Datenschutz in den USA keinesfalls gegeben sei.
Allerdings fühlte sich die Datenschutzkommission nicht verpflichtet die von Schrems vorgetragenen Umstände auf ihren Wahrheitsgehalt zu untersuchen. Sie argumentierte damit, dass nicht bewiesen sei, dass die NSA überhaupt Zugriff auf die personenbezogenen Daten von Schrems hätte. Außerdem berief sich die Datenschutzkommission auf die „Safe Harbor“-Entscheidung (2000/520/EG), in der festgestellt wurde, dass die USA über einen angemessenen Datenschutzstandard verfügt. Aus dieser Entscheidung ließe sich ableiten, dass eine nationale Datenschutzbehörde keine Befugnis habe eigenständig darüber zu ermitteln, ob ein Drittland einen angemessenen Schutzstandard biete oder nicht, da dieser ja bereits in dieser Entscheidung festgehalten werde.
Daraufhin erhob Schrems Klage gegen diese Entscheidung vor dem irischen High Court. Der irische High Court sprach sich dafür aus, dass die Enthüllung von Edward Snowden in der Tat gezeigt hätten, dass die NSA erhebliche Exzesse bezüglich personenbezogener Daten begangen hätte. Außerdem sei die Übermittlung personenbezogener Daten in ein Drittland nach dem irischen Recht nur dann gestattet, wenn genau untersucht wurde, dass dieses Land über einen angemessenen, dem unionsrechtlichen Anforderungen entsprechenden Standard verfüge. Somit käme das Gericht, wenn die Rechtssache allein nach dem irischen Recht zu beurteilen wäre, zu dem Ergebnis, dass die Übermittlung von personenbezogenen Daten in die USA untersagt werden kann, da dort kein ausreichender Datenschutz gewährleistet wird. Somit wäre die Klage von Schrems erfolgreich und die Datenschutzkommission dürfe den Widerspruch von Schrems nicht ohne vorherige Untersuchungen zur Verlässlichkeit des Datenschutzes in den USA abweisen. Allerdings stelle sich das Problem, dass diese Rechtssache unionsrechtlich beurteilt werden müsse. Der Befugnis des High Courts in der Sache eigenständig zu entscheiden, könnte die „Safe Harbor“-Entscheidung 2000/520/EG entgegenstehen, die besagt, dass in den USA ein angemessenen Datenstandard gewährleistet wird.
Aus diesem Grund bat der irische High Court den EuGH um eine Vorabentscheidung bezüglich dieser Frage.
Der EuGH untersuchte inwiefern die „Safe Harbor“-Entscheidung mit der Europäischen Datenschutzrichtlinie (95/46/EG) und der Charta der Grundrechte der Europäischen Union im Einklang stand und inwiefern die „Safe Harbor“-Entscheidung eine nationale Kommission daran hindern kann eigenständig festzustellen, ob ein Drittland tatsächlich einen angemessen Schutzstandard aufweist.
Die Europäischen Datenschutzrichtlinie (95/46/EG) schreibt vor, dass ein Staat befugt ist, öffentliche Stellen damit zu beauftragen unabhängig und eigenständig die Einhaltung unionsrechtlicher Vorschriften über den Datenschutz zu untersuchen. Durch die Schaffung unabhängiger und selbstständiger nationaler Kontrollstellen soll eine wirksame Kontrolle der Einhaltung unionsrechtlicher Vorschriften sichergestellt werden.
Sowohl die Europäischen Datenschutzrichtlinie (95/46/EG) als auch die Charta der Grundrechte der EU sehen eine Zuständigkeit nationaler Behörden zur Überprüfung der Übermittlungen personenbezogener Daten in Drittländern vor. Die Übermittlungen dürfen nur unter Einhaltung der Rechtsvorschriften erfolgen. Außerdem sieht die Charta vor, dass betroffene Personen, deren Grundrechte (in diesem Fall Grundrecht auf Achtung des Privatlebens) verletzt wurden, das Recht haben, sich zum Schutz dieser Grundrechte an nationale Kontrollstellen zu wenden. Durch eine Anwendbarkeit der „Safe Harbor“-Entscheidung würde den betroffenen Personen das Ersuchen der nationalen Stellen zum Schutz ihrer Grundrechte verwehrt werden.
Der EuGH stellte also fest, dass die Safe Harbor Entscheidung eine nationale Stelle nicht daran hindern kann die Angemessenheit des Datenschutzes eines Drittlandes zu überprüfen. Eine gegenteilige Auffassung würde gegen die Grundrechte und die Europäischen Datenschutzrichtlinie (95/46/EG) verstoßen. Somit ist eine Datenschutzbehörde bei Einlegung eines Widerspruchs gegen die Übermittlung der personenbezogenen Daten in ein Drittland verpflichtet, zunächst die Angemessenheit des Datenschutzes dieses Landes zu überprüfen.
Zur generellen Gültigkeit der „Safe Harbor“-Entscheidung führte der EuGH aus, dass diese unwirksam sei. Die europäische Kommission habe bei dem Erlass dieser Entscheidung eindeutig ihre Kompetenzen überschritten, denn durch diese Entscheidung würde nationalen Stellen die Fähigkeit zur Kontrolle und zur Gewährung von Schutz bei Grundrechtsverletzungen entzogen werden. Außerdem würde dadurch gleichzeitig das Grundrecht auf wirksamen gerichtlichen Rechtsschutz verletzt werden. Dies folgt aus dem Umstand, dass durch die Entziehung der Befugnis nationaler Stellen eigenständige Untersuchungen bezüglich der Übermittlungen personenbezogener Daten anzustellen, betroffene Personen keinen wirksamen Schutz oder eine umfassende Überprüfung bekommen, sondern gezwungen sind sich auf die „Safe Harbor“-Entscheidung zu verlassen. Eine solche Beschränkung der nationalen Autorität und die Entziehung der Möglichkeit rechtliches Gehör zu ersuchen seien nicht mit der Charta der Grundrechte der EU vereinbar.
Diese EuGH Entscheidung führt zu einer bedeutenden Stärkung der Grundrechte innerhalb der Europäischen Union. Durch die Erklärung der „Safe Harbor“-Entscheidung als unwirksam, haben nun alle nationalen Stellen wieder die Möglichkeit unabhängig im Bereich des Datenschutzes zu ermitteln und nur dann Übermittlungen von (personenbezogenen) Daten in Drittländer zu veranlassen, bei denen nach einer gründlichen Überprüfung die Angemessenheit des Datenschutzes bejaht werden kann.