Auswirkungen der Safe-Harbor-Entscheidung des EuGH

Die Entscheidung der EU-Kommission, in der sie die Feststellung trifft, dass in den USA ein angemessenes Schutzniveau für übermittelte personenbezogene Daten gewährleistet wird, ist laut einem Urteil des EuGH vom 6.10.2015 (C-362/14) ungültig. Die Kommission darf die Befugnisse der Datenschutzbehörden der EU-Mitgliedstaaten nicht beschränken oder beseitigen.

Die Richtlinie über die Verarbeitung personenbezogener Daten (95/46/EG) bestimmt, dass eine Datenübermittlung an einen Drittstaat grundsätzlich nur dann zulässig ist, wenn er ein angemessenes Schutzniveau gewährleistet. Die Kommission kann nach dieser Richtlinie aber auch selbst feststellen, dass ein Drittstaat ein angemessenes Schutzniveau bietet. Hierauf stützt sich das umstrittene Safe-Harbor-Abkommen der EU-Kommission mit den Vereinigten Staaten. 
Der Kläger, ein Facebook-Nutzer aus Österreich, legte bei der irischen Datenschutzbehörde Beschwerde ein. Seine Daten werden auf Facebook-Servern in den Vereinigten Staaten gespeichert und dort verarbeitet. Er ist der Ansicht, dass vor dem Hintergrund der Enthüllungen der Tätigkeit der US-amerikanischen Geheimdienste u. a. durch Edward Snowden kein ausreichender Schutz i. S. d. europäischen Vorgaben gewährleistet werden kann. Die irische Behörde hat die Beschwerde zurückgewiesen. Sie berief sich dabei auf die Entscheidung der EU-Kommission, wonach die USA im Rahmen der Safe-Harbor-Regelung ein angemessenes Schutzniveau von übermittelten personenbezogenen Daten biete. Im anschließenden Rechtsstreit legte der mit der Sache befasste irische High Court dem EuGH die Frage vor, ob die Entscheidung der Kommission eine nationale Datenschutzbehörde daran hindert, eine Beschwerde zu prüfen, mit der behauptet wird, dass in einem Drittstaat kein angemessenes Schutzniveau besteht und sie die Datenübermittlung aussetzen kann.

Der EuGH stellt in seinem Urteil fest, dass er allein dafür zuständig ist, einen Rechtsakt der Union für ungültig zu erklären. Die mit einer Beschwerde befassten Datenschutzbehörden der Mitgliedstaaten können, auch wenn es eine anderslautende Entscheidung der Kommission gibt, prüfen, ob bei der Übermittlung von personenbezogenen Daten in ein anderes Land die unionsrechtlichen Anforderungen an den Datenschutz eingehalten werden. Die Entscheidung der Kommission, in der festgestellt wird, dass in den USA ein ausreichendes Schutzniveau von übermittelten personenbezogenen Daten besteht, ist ungültig. Sie würde den nationalen Datenschutzbehörden die Befugnis entziehen, im Streitfall überprüfen zu dürfen, ob die Behauptung einer Person zutrifft, ihre Daten seien nach der Übermittlung nicht in gleicher Weise wie in der EU geschützt. Der Kommission fehlte die Kompetenz zur Einschränkung der entsprechenden Befugnisse. Das bedeutet, dass die irische Behörde nun mit aller gebotenen Sorgfalt die Beschwerde überprüfen muss. Sie hat zu entscheiden, ob nach der Richtlinie die Datenübermittlung von europäischen Nutzern in die USA auszusetzen ist, weil das Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.

Das Urteil hat natürlich nicht nur Bedeutung für die Kommunikation zwischen den Facebook-Servern auf den beiden Kontinenten. Da das Safe-Harbor-Abkommen keine rechtliche Grundlage mehr für die Datenübertragung bietet, ist auch die Datenübertragung von Unternehmen betroffen, wenn die Informationen in den Vereinigten Staaten verarbeitet oder gespeichert werden. Als Handlungsoption bietet sich zunächst das Einholen einer Einwilligungserklärung der Betroffenen an. Eine solche Zusatzvereinbarung etwa für alle Mitarbeiter gestaltet sich jedoch aufgrund hoher rechtlicher Anforderungen schwierig, zumindest aber dürfte es sich um einen langwierigen Prozess handeln. Eine andere Möglichkeit besteht darin, den datenverarbeitenden Vertragspartner zur Einhaltung eines angemessenen Schutzniveaus im Rahmen von Standardvertragsklauseln zu verpflichten. Problematisch ist in diesem Fall aber die tatsächliche Einhaltung der Regelung in Übersee. Große Konzerne können schließlich für die Übermittlung in die USA sog. Binding Corporate Rules schaffen, die intern an allen Standorten Gültigkeit entfalten und dem europäischen Niveau entsprechen.