EuGH erklärt Safe Harbor für ungültig – eine erste Analyse

In der Rechtssache C-362/14 (Maximillian Schrems gegen die irische Datenschutz-Aufsichtsbehörde bzgl. der Datenübermittlung in die USA innerhalb des Facebook-Konzerns) ist der Europäische Gerichtshof (EuGH) der Einschätzung des Generalanwaltes Yves Bot weitgehend gefolgt. Er „erklärt die Entscheidung der der [europäischen] Kommission, dass die Vereinigten Staten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig“. Er stellt fest, dass die europäische Kommission kein Recht hat, „die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union und der Richtlinie verfügen, [… zu …] beseitigen noch auch nur [zu] beschränken“. Dies bedeutet, dass es den nationalen Datenschutzbehörden zu beurteilen zukommt, ob in einem Land, in das personenbezogene Daten übermittelt werden sollen, ein angemessenes Datenschutzniveau herrscht.

Das Prüfungsrecht, ob in einem Land außerhalb der EU ein angemessenes Datenschutzniveaus besteht, obliegt also den nationalen Datenschutzbehörden – und nicht der Europäischen Kommission.

Der EuGH stellt nicht fest, dass eine Übermittlung personenbezogener Daten in die USA generell nicht möglich ist. Er stellt lediglich fest, dass dies von den zuständigen nationalen Behörden überprüft werden muss (weiter aus der Pressemeldung zu dem Urteil):

Aus all diesen Gründen erklärt der Gerichtshof die Entscheidung der Kommission vom 26. Juli 2000 für ungültig. Dieses Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.

Zwischen den Zeilen der Pressemeldung geht jedoch hervor, dass Seitens des EuGH zumindest erhebliche Skepsis hinsichtlich des Datenschutzniveaus in den USA vorliegt, da „die amerikanischen Unternehmen ohne jede Einschränkung verpflichtet sind, die in dieser Regelung vorgesehenen Schutzregeln [Safe-Harbour] unangewandt zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen [Erfordernisse der nationalen Sicherheit] stehen.“

Der EuGH stellt ferner fest, „dass eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt. Eine solche Möglichkeit ist dem Wesen eines Rechtsstaats inhärent.“

Für Unternehmen bedeutet dies, dass Übermittlungen von personenbezogenen Daten, die auf der Basis des Safe-Harbour-Abkommens begründet wurden, mit an Sicherheit grenzender Wahrscheinlichkeit rechtswidrig sein werden.

Doch gibt es trotzdem Möglichkeiten, US-amerikanische Cloud-Dienstleister zu nutzen oder Daten an die eigene Tochter- / Mutterfirma in die USA zu übermitteln? Lesen Sie dies im zweiten Teil des Artikels.

Markierungen: , ,

Antwort schreiben

Sie müssen angemeldet sein um einen Kommentar zu verfassen.