Max Schrems konnte in seinen Anstrengungen für eine bessere Durchsetzung des Datenschutzes wieder einen wichtigen Teilerfolg erringen: In den am Mittwoch veröffentlichten Schlussanträgen [1] im Verfahren von Max Schrems gegen die irische Datenschutzbehörde erklärt EuGH-Generalanwalt Yves Bot, er halte die Safe-Harbor-Regelung für ungültig.
Max Schrems bei der OCG Jahrestagung 2015
„Safe Harbor“ ist die bedeutendste Rechtsgrundlage für die Übertragung von personenbezogenen Daten von europäischen Unternehmen zu ihren US-Mutter- bzw. US-Tochtergesellschaften oder zu US-Dienstleistern („in die Cloud“). Die Übertragung personenbezogener Daten an Unternehmen außerhalb der EU ist grundsätzlich nur zulässig, wenn im „Zielland“ ein angemessenes Datenschutzniveau herrscht. In den USA ist dies nicht der Fall. Für den Datenverkehr EU-USA besteht daher aufgrund einer Entscheidung der Europäischen Kommission seit ca. 15 Jahren eine „Safe Harbor“ genannte Sonderregelung: Erklärt ein US-Unternehmen, für ein adäquates Datenschutzniveau zu sorgen, ist – vereinfacht gesprochen – die Übertragung von personenbezogenen Daten aus Europa an dieses Unternehmen zulässig.
Diese mangels ausreichender Compliance in der Durchführung problematische Regelung ist spätestens seit der von Edward Snowden enthüllten Massenüberwachung durch US-amerikanische Sicherheitsbehörden und Geheimdienste (siehe dazu [2]) grundrechtlich nicht mehr zu rechtfertigen. US-Unternehmen sind nicht in der Lage, ein Datenschutzniveau zu gewährleisten, das dem europäischen Niveau entspricht, denn sie unterliegen diesen Überwachungspraktiken und sind zur Kooperation mit den US-Überwachungsbehörden verpflichtet. Ein Rechtsschutz besteht für EU-Bürger nicht. Dieser Rechtsmeinung (siehe dazu ausführlich [3]) hat sich der Generalanwalt nun angeschlossen.
Max Schrems führt derzeit mehrere Verfahren gegen Facebook. Dieses Verfahren vor dem EuGH begann mit einer Beschwerde, die Max Schrems nach zahlreichen früheren Beschwerden als Folge der Snowden-Enthüllungen bei der zuständigen irischen Datenschutzbehörde einbrachte. Diese hat diese Beschwerde als “frivolous or vexatious” abgelehnt. Der Irische High Court hat dies anders gesehen und beim EuGH ein Vorabentscheidungsverfahren eingeleitet, um zu prüfen, ob die Safe-Habor-Entscheidung der Europäischen Kommission nationale Datenschutzbehörden an der Überprüfung von solchen Beschwerden hindere. Der EuGH muss in den nächsten Monaten wird bereits am 6. Oktober [Update vom 1.10.2015, siehe [8]] eine Entscheidung treffen, wobei er an die nun veröffentlichten Schlussanträge des Generalanwalts nicht gebunden ist. Meist, aber nicht immer, folgt der EuGH jedoch den Schlussanträgen.
Wie oben dargestellt, geht die Bedeutung dieser Entscheidung weit über den Anlassfall – die Datenschutzverletzungen von Facebook – hinaus. Die Safe-Harbor-Entscheidung an sich verstößt laut Generalanwalt Bot gegen europäische Grundrechte. Ein Wegfall von Safe Harbor beträfe einen großen Teil der europäischen IT-Branche und tausende US-Unternehmen, die sich darauf stützen.
Nicht zuletzt aus diesem Grund verhandelt die EU-Kommission mit den USA seit mehreren Jahren über die Verbesserung der derzeitigen Situation und möchte eine Nachfolgeregelung für Safe Harbor erzielen (siehe dazu [4]). Nachdem in diesen Verhandlungen schon zuletzt Bewegung auf US-Seite zu erkennen war [5] erhöhen die nun veröffentlichten Schlussanträge den Druck weiter, in diesen Verhandlungen zu einem aus europäischer Sicht positiven Ergebnis zu gelangen.
Ein ausführlicher Artikel zum Thema ist unter [6] zu finden und die Stellungnahme von Max Schrems unter [7].
Walter Hötzendorfer, Erich Schweighofer
[1] Die zugehörige Pressemitteilung: http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-09/cp150106de.pdf
Die Schlussanträge im Wortlaut: http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30dd7291e042a8b842808f28f46754258709.e34KaxiLc3qMb40Rch0SaxuRaN90?text=&docid=168421&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=343430
[2] OCG Forum Privacy: Überwachung braucht Transparenz und demokratische Kontrolle: http://blog.ocg.at/2013/08/ueberwachung-braucht-transparenz/
[3] Hötzendorfer, W., Schweighofer, E., Safe Harbor in der „Post-Snowden-Ära“. In: Lück-Schneider, D., Gordon, T., Kaiser, S., von Lucke, J., Schweighofer, E., Wimmer, M. A., Löhe, M. G. (Hrsg.): Gemeinsam Electronic Government ziel(gruppen)gerecht gestalten und organisieren. Gemeinsame Fachtagung Verwaltungsinformatik (FTVI) und Fachtagung Rechtsinformatik (FTRI) 2014, GI-Edition Lecture Notes in Informatics, GI, Bonn, 2014, 123-134: http://subs.emis.de/LNI/Proceedings/Proceedings229/125.pdf
[6] http://fm4.orf.at/stories/1763182/
[7] http://www.europe-v-facebook.org/GA_en.pdf
[8] http://www.wienerzeitung.at/dossiers/netzpolitik/777374_EU-Gerichtshof-urteilt-bald-ueber-Facebook-Streit.html sowie http://www.theregister.co.uk/2015/09/30/safe_harbour_ruing_europe_legal_advisor_wrong_on_surveillance
EDU/days 2024
