EuGH erklärt Safe Harbor für ungültig

In einer mit Spannung erwarteten Entscheidung, die auf ein Verfahren von Max Schrems gegen Facebook in Irland zurückgeht, erklärte der EuGH heute die Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig. Aufgrund des Vorrangs der nationalen Gesetze der USA vor den Safe-Harbor-Regeln ermögliche die Safe-Harbor-Regelung “Eingriffe der amerikanischen Behörden in die Grundrechte der Personen, wobei in der Entscheidung der Kommission weder festgestellt wird, dass es in den Vereinigten Staaten Regeln gibt, die dazu dienen, etwaige Eingriffe zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt.” [1]

Mit anderen Worten: Die Safe-Harbor-Entscheidung ist unzulässig, denn sie erlaubt pauschal die Übertragung personenbezogene Daten von EU-Bürgen an US-Unternehmen, wo diese Daten den Überwachungsbefugnissen von US-Behörden unterliegen, ohne dass sich die betroffenen US-Unternehmen und vor allem die betroffenen EU-Bürger dagegen wehren können. Zu diesen Befugnissen schreibt der EuGH, dass “eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt.” [1] Der EuGH erklärt somit die von Edward Snowden enthüllten US-Überwachungspraktiken für mit europäischen Grundrechten unvereinbar.

Darüber hinaus stellte der EuGH fest, dass eine Entscheidung der Kommission, in der für einen Drittstaat ein angemessenes Datenschutzniveau festgestetllt wird – wie die Safe-Harbor-Entscheidung -, den nationalen Datenschutzbehörden der Mitgliedstaaten aufgrund ihrer Unabhängigkeit nicht verbietet, die Übertragung personenbezogener Daten in diesen Drittstaat zu prüfen. Das bedeutet, auch unter einer möglichen Nachfolgeregelung von Safe Harbor wird der Datenaustausch in Zukunft nicht mehr pauschal zulässig sein, sondern kann angefochten und behördlich überpüft werden [4].

Die Entscheidung war in dieser Form bereits erwartet worden. Siehe dazu unseren ausführlicheren Bericht über die Schlussanträge des Generalanwalts mit zahlreichen Hintergrundinformation und Links [2].

Im Laufe des Tages wird der Volltext der Entscheidung veröffentlicht werden, der eine genauere Analyse zulässt. Auf den ersten Blick hat diese rechtlich weitreichende Konsequenzen. Es gäbe zwar andere, individuell zu beurteilende Zulässigkeitstatbestände, auf die die Übertragung personenbezogener Daten aus der EU an US-Unternehmen gestützt werden könnte, doch diese führen zu denselben Konsequenzen, dass die Daten der US-Massenüberwachung anheimfallen und erscheinen somit nun ebenfalls unzulässig. Dasselbe gälte grundsätzlich auch für den Datenaustausch zwischen EU- und US-Behörden; auch diesen gilt es im Lichte diese Entscheidung nun zu analysieren. Nicht betroffen sind Fälle, denen der Betroffene seine Daten direkt an ein US-Unternehmen übermittelt hat, in denen er (wirksam!) der Übermittlung zugestimmt hat oder in denen die Erfüllung eines Vertrages mit dem Betroffenen die Übermittlung der Daten in die USA erfordert.

Kurzfristig wird die Entscheidung in der Praxis jedoch nur beschränkte Konsequenzen haben [3], denn wie wir täglich erfahren, wird das Datenschutzrecht aufgrund geringer Strafen und laxer Behörden (insesondere in Irland) häufig ignoriert. Dies droht wohl vorerst auch dieser Entscheidung, die jedoch zeigt: Langfristig muss und wird sich etwas ändern.

Die Entscheidung im Volltext: http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=112479

[letztes Update 2015/10/06, 15:15 Uhr]

[1] Pressemitteilung: http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117de.pdf [Link nun korrekt]

[2] http://blog.ocg.at/2015/09/safe-harbor/

[3] Erste Stellungnahme von Max Schrems: http://www.europe-v-facebook.org/CJEU_IR.pdf

[4] Erste Abschätzung der Konsequenzen: https://radiobruxelleslibera.wordpress.com/2015/10/06/the-end-of-safeharbor-and-the-structural-separation-of-personal-data/

Dieser Beitrag wurde unter Datenschutz, IT in der Wirtschaft, IT und Sicherheit, Themen veröffentlicht. Setzen Sie ein Lesezeichen auf den Permalink.

Die Kommentarfunktion ist geschlossen.