In seiner heute ergangenen Entscheidung (C-362/14) erklärt der EuGH, die Safe Harbor-Grundsätze bei der Datenübermittlung ins EU-Ausland seien für die nationalen Bundesdatenschutzbehörden unverbindlich. Die in der Praxis weit verbreiteten und bisher als sehr rechtssicher eingestuften Safe Harbor-Regeln bieten demnach gerade keine Sicherheit hinsichtlich des legalen transatlantischen Datentransfers mehr. Der EuGH bringt viele internationale Unternehmen, die regelmäßig personenbezogene Daten (auch ihrer Arbeitnehmer) an ihre amerikanischen Muttergesellschaften weiterleiten, in große datenschutzrechtliche Bedrängnis.

Der konkrete facebook-Fall

Konkret hatte der EuGH darüber zu befinden, ob die irische Datenschutzbehörde der Beschwerde eines österreichischen Staatsbürgers nachgehen darf, der vorträgt, das irische Tochterunternehmen von facebook würde seine personenbezogenen Daten unrechtmäßig an den amerikanischen Mutterkonzern in die USA weiterleiten und dort auf einem US-Server speichern. Die irische Datenschutzbehörde hatte Bedenken, eine eigenständige Prüfung der Beschwerde vorzunehmen, da sich facebook in den USA den sog. Safe Harbor-Grundsätzen unterworfen hatte und die Datenübermittlung und –verarbeitung an den facebook-Mutterkonzern nach EU-Standards als sicher und somit legal gilt. Hierzu hatte die europäische Kommission in einer förmlichen Entscheidung am 26. Juli 2000 (2000/520/EG) festgestellt, dass stets ein nach EU-Grundsätzen angemessenes Schutzniveau für personenbezogene Daten gegeben sei, wenn sich ein US-Unternehmen den vom US-Handelsministerium erlassenen „Grundsätzen des sicheren Hafens“ (Safe Harbor-Grundsätze) unterworfen habe. Da facebook diese Voraussetzung erfüllte, wäre nach der Entscheidung der Kommission der Transfer von personenbezogenen Daten von der irischen Tochtergesellschaft an den US-Mutterkonzern bzw. auf den US-Server nicht zu beanstanden.

Begründung der Entscheidung

Bis heute. Denn der EuGH erteilt dieser bisher auf die Kommissions-Entscheidung gestützten – und vielfach genutzten – Safe Harbor-Praxis eine klare Absage. Gemäß der veröffentlichten Pressemitteilung moniert der EuGH gleich mehrere Aspekte der Kommissionsentscheidung:

1. So habe die europäische Kommission keine Befugnis, den nationalen Datenschutzbehörden durch ihre Entscheidung verbindliche Vorgaben zum Datenschutzniveau zu machen. Daher sei sie nicht berechtigt, vorzugeben, dass alle dem Safe Harbor unterliegenden Unternehmen in den USA das geforderte europäische Datenschutzniveau auch tatsächlich einhalten. Hierbei stellt der EuGH auch auf die den nationalen Datenschutzbehörden durch die EU-Grundrechtscharta (Art. 7 und 8 – Privatsphäre und Datenschutz) übertragene Aufgabe ab.
2. Neben dieser Zuständigkeitsrüge weist der EuGH inhaltlich darauf hin, dass es die Kommission – rechtsfehlerhaft – verpasst habe, neben den Safe Harbor-Grundsätzen auch anderweitig geltendes Recht in den USA zu prüfen. Denn die nationale Sicherheit, das öffentliche Interesse und die Durchführung von Gesetzen haben in den USA Vorrang vor den Safe Harbor-Regelungen. Demnach würden die Safe Harbor-Grundsätze stets zurückgestellt, sobald sie in Widerstreit zu anderweitigen Vorschriften geraten. Des Weiteren hat der EuGH bei der von der Kommission getroffenen Entscheidung große Bedenken, weil die Safe Harbor-Grundsätze nur amerikanische Unternehmen und nicht etwa amerikanische Behörde (Stichwort: NSA) adressieren. Die amerikanischen Behörden hätten mehr oder weniger unbeschränkten Zugriff auf die einmal in die USA übermittelten Daten. Einen (behördlichen oder gerichtlichen) Weg, die Löschung dieser Daten zu erwirken, gibt es nicht.

Ergebnis

Die irische Datenschutzbehörde ist nach alledem gehalten, die bei ihr eingegangene Beschwerde mit aller gebotenen Sorgfalt zu prüfen um am Ende der Prüfung – unabhängig von den Safe Harbor-Grundsätzen – zu entscheiden, ob das nach der europäischen Datenschutzrichtlinie geforderte Schutzniveau bei der Übermittlung der Daten von Irland in die USA eingehalten wird oder nicht. In letzterem Fall ist die Übermittlung von Daten europäischer Facebook-Nutzer in die USA auszusetzen. Dasselbe gilt selbstverständlich für alle Mitgliedsstaaten und damit auch für deutsche Behörden. Auch deutsche Bürger können demnach den Schutz ihrer Daten bei der Übermittlung in die USA (etwa durch Google oder Apple, etc.) überprüfen lassen.

Bereits in der Pressemitteilung gibt der EuGH einige – wenige – Anhaltspunkt preis, was er inhaltlich als für die Einhaltung des europäischen Schutzniveaus entscheidend erachtet: Jedenfalls eine generelle Speicherung aller personenbezogenen Daten und ein Zugriff der Behörden ohne jede Differenzierung, Einschränkung oder Ausnahme (nach dem verfolgten Ziel oder anderen objektiven Kriterien), entspreche nicht dem europäischen Datenschutzniveau. Außerdem sei es zwingend, dass die Rechtsordnung einen Weg für die betroffenen Personen bereit halte, der ihnen einerseits Zugang zu den Daten verschafft und mit dem andererseits die Durchsetzung der Löschung dieser Daten erreicht werden kann.

Allgemeine Standardvertragsklauseln

Eine weitere – bisher als datenschutzrechtlich sicher eingestufte – Variante des legalen Datentransfers ist die Verwendung der sog. allgemeinen Standardvertragsklauseln, die von der Kommission verabschiedet wurden und ein angemessenes Datenschutzniveau garantier(t)en. Die vom EuGH veröffentlichte Pressemitteilung zu den Safe Habor-Grundsätzen lässt jedoch vermuten, dass die allgemeinen Standardvertragsklauseln das gleiche Schicksal ereilt. Auch bei diesen handelt es sich um von der Kommission ausgehandelte Vertragswerke. Die Gefahr, dass die Kommission auch hier den unbeschränkten und vollumfänglichen Zugang der Behörden zu allen übermittelten Daten ungeprüft ließ, besteht hier in gleicher Weise. Für die allgemeinen Standardvertragsklauseln besteht allerdings noch eine Schonfrist bis eine entsprechende Entscheidung des EuGH ergeht. Denn die Richter stellten ausdrücklich klar, dass allein der europäische „Gerichtshof darüber zu befinden (hat), ob eine Entscheidung der Kommission gültig ist“.

Die heutige Entscheidung des EuGH wird eine rechtsichere Übermittlung von Daten aus der EU in die USA noch schwieriger machen. Daran wird wohl auch das sich bereits in der Verhandlung befindliche neue Abkommen zwischen Brüssel und Washington zum Datentransfer nichts ändern – zweifelt der EuGH doch ganz offensichtlich an der Zuständigkeit der Kommission, für die nationalen Datenschutzbehörden verbindliche Standards festlegen zu können.