EuGH-Generalanwalt : USA sind kein sicherer Hafen für europäische Nutzerdaten

, 29 Kommentare
EuGH-Generalanwalt: USA sind kein sicherer Hafen für europäische Nutzerdaten
Bild: Olga Berrios (CC BY 2.0)

Die USA sind kein sicherer Hafen für europäische Nutzerdaten, schreibt der EU-Generalanwalt Yves Bot in einem Schlussantrag für den Europäischen Gerichtshof. Sollten die Richter dieser Empfehlung folgen, kann das Urteil erhebliche Auswirkungen für amerikanische Internetriesen wie Facebook, Google und Microsoft haben.

Der Schlussantrag zählt zu dem „Europe-v-Facebook“-Verfahren, das der österreichische Datenschutzaktivist Maximilian Schrems infolge der NSA-Enthüllungen gestartet hat. Dass Firmen wie Facebook am Prism-Programm des amerikanischen Geheimdienstes teilnehmen, ist seiner Ansicht nach ein Verstoß gegen das Safe-Harbor-Abkommen. Nachdem Schrems Beschwerde von der irischen Datenschutzbehörde abgewiesen wurde, landete der Fall vor dem Europäischen Gerichtshof (EuGH).

Und in diesem Verfahren vertritt nun Generalanwalt Yves Bot die Ansicht, dass nationale Datenschutzbehörden keinesfalls absolut an Entscheidungen der EU-Kommission gebunden sind, welche Drittländer als sichere Datenhafen anzusehen sind. Die Kommission sei auch kompetenzrechtlich nicht befugt, die Kompetenzen der nationalen Datenschutzbehörden zu beseitigen oder auch nur zu verringern. Zudem ist laut Bots die Entscheidung der Kommission, dass die USA ein – in diesem Sinne – sicheres Drittland sind aufgrund der offensichtlichen Unzulänglichkeiten beim Datenschutz ungültig. Das Dokument ist im englischen Volltext auf der EuGH-Webseite abrufbar. Die Nummer der Rechtssache lautet C-362-14.

Vorgeschichte

Ausgelöst wurde das Verfahren durch die gescheiterte Beschwerde von Schrems bei der irischen Datenschutzbehörde. Irland deshalb, weil Facebook sich aufgrund einer günstigen Rechtslage entschied, seine Europatochter – die es zwingend für eine Tätigkeit in der EU benötigt – dort anzusiedeln. Schrems störte sich daran, dass seine auf Facebook eingegebenen Daten von der irischen Facebook-Tochter an Server auf US-Gebiet gesendet wurden und dort nicht effektiv vor dem Zugriff durch US-Geheimdienste wie der NSA geschützt waren.

Die irischen Behörde – im Übrigen zum damaligen Zeitpunkt personell unterbesetzt und -finanziert – wies seine Beschwerde ab. Sie berief sich dabei pauschal auf die Kommissionsentscheidung 2000/520/EG (PDF), in welcher diese auf Basis der Datenschutzrichtlinie 95/46/EG (PDF) festgestellt hatte, dass die USA ein sicherer Hafen („Safe Harbor“) für Daten von Unionsbürgern seien. Das dortige Schutzniveau sei ausreichend. Sie setzte sich nicht weiter inhaltlich mit der Beschwerde auseinander.

Die Angelegenheit wanderte aufgrund eines Rechtsmittels an den irischen High Court. Da es um die Interpretation von Unionsrecht ging, fragte dieser beim EuGH an, inwieweit eine Entscheidung der Kommission die nationalen Datenschutzbehörden absolut bindet und inwieweit diesen ein Entscheidungsspielraum zukommt.

Argument: Unabhängige Datenschutzbehörden

Vorweg ist festzuhalten, dass die wichtigste Rechtsgrundlage in diesem Fall die Datenschutzrichtlinie darstellt (95/46/EG). Diese legt unter anderem fest, dass Daten von Unionsbürgern nur in Drittländer mit entsprechendem Schutzniveau übertragen werden dürfen. Diese sieht zudem vor, dass die Kommission feststellen kann, dass ein Drittland ein sogenannter sicherer (Daten-)Hafen ist. Ab diesem Zeitpunkt dürfen persönliche Daten von EU-Bürgern auch dorthin übertragen und verarbeitet werden. Genau das ist im Falle der USA im Jahre 2000 mit der Entscheidung 2000/520/EG vorgenommen worden.

Yves Bot hat nun festgehalten, dass seiner Ansicht nach die Kommission die Kompetenzen der nationalen Datenschutzbehörden weder beseitigen oder auch nur beschneiden kann. Diese seien schon aufgrund ihrer in der Datenschutzrichtlinie festgehaltenen Unabhängigkeit nicht absolut der Kommission unterworfen. Entscheidungen der Kommission sind für sie nur allgemein verbindlich. Sobald eine Datenschutzbehörde aber zur Ansicht gelangt, dass eine Datenübermittlung datenschutzrechtlich bedenklich ist, steht es ihn ihrem Ermessen, solche Übertragungen auszusetzen. Die allgemeine Einschätzung der Kommission spielt hierbei keine Rolle.

Falls systematische datenschutzrechtliche Mängel in einem Drittland festgestellt werden, haben Mitgliedsstaaten – nach Ansicht Bots – sogar die Pflicht, erforderliche Schutzmaßnahmen zu treffen. Nur derart ließen sich die in der Europäischen Grundrechtecharta (PDF) festgelegten Grundrechte – im konkreten Fall das Recht auf Achtung von Privat-, Familienleben und Kommunikation (Artikel 7) sowie auf Schutz personenbezogener Daten (Artikel 8) – wirksam schützen.

Argument: USA sind kein sicherer Hafen

Ausgehend von den Sachverhaltsfeststellungen des irischen High Courts und der Kommission selbst erachtet der Generalanwalt, dass das Schutzniveau in den USA für die Daten von EU-Bürgern einen Eingriff in die oben genannten Grundrechte darstellt. EU-Bürger haben in den USA zudem keinen effektiven Rechtsschutz in Datenschutzbelangen und auch rechtliches Gehör bleibt ihnen versagt. Da die Entscheidung 2000/520/EG der Kommission keinerlei Garantien zum Schutz der unionsbürgerlichen Daten vor den genannten Aspekten enthalte, ist sie nach Bots Ansicht ungültig.

Außerdem vertritt Bot aufgrund der massiven und nicht zielgerichteten US-Überwachungspraxis die Ansicht, dass die USA keinesfalls ein sicheres Drittland für Daten sein können. Denn es fehle am angemessenen Schutzniveau, das die Datenschutzrichtlinie für einen solchen Status aber voraussetzt. Der Generalanwalt meint daher, dass die Kommission in Kenntnis dieser Umstände die Entscheidung 2000/520/EG aussetzen hätte müssen. Dass sie von besagten Umständen wusste, zeige sich auch darin, dass sie Nachverhandlungen mit den USA zu diesem Thema führe und sich im Klaren sei, dass die Ausgangslage aus dem Jahr 2000 nicht mehr bestehe.

Der Generalanwalt ist ferner der Ansicht, dass der Zugang der amerikanischen Nachrichtendienste zu den übermittelten Daten einen Eingriff in das Recht auf Achtung des Privatlebens und in das Recht auf den Schutz personenbezogener Daten bedeutet.

...

Der Generalanwalt sieht in diesem Eingriff in die Grundrechte einen Verstoß gegen den Grundsatz der Verhältnismäßigkeit, insbesondere weil die von den amerikanischen Nachrichtendiensten ausgeübte Überwachung massiv und nicht zielgerichtet ist.

Schlussantrag zur Rechtsache C-362-14

Ausblick

Die Entscheidung des EuGH dürfte nun in den kommenden Monaten zu erwarten sein. Sollte dieser sich dem Schlussantrag anschließen, steht die Frage der Auswirkungen auf große Social-Media-Konzerne aus den USA im Raum. Nicht nur, dass dann womöglich keine Datenbestände mehr in die USA übertragen werden dürften, auch die Verarbeitung müsste dann auf europäische Rechenzentren ausgelagert werden. Darüber hinaus können sich weitere rechtliche Komplikationen ergeben, da in den USA weitgefasste Kooperationspflichten gegenüber den Behörden bestehen. Daraus könnte dann eine Zwickmühle entstehen, wo sich ein Unternehmen aussuchen muss, wo die Strafzahlung für einen Verstoß niedriger ist, da man entweder gegen US- oder gegen Unionsrecht verstoßen würde.