Facebook und der “safe harbour”

Die Entschei­dung der EU-Kom­mis­sion, mit der die Angemessen­heit des Schutzes per­so­n­en­be­zo­gen­er Dat­en in den Vere­inigten Staat­en fest­gestellt wird, hin­dert die nationalen Behör­den nach Ansicht des Gen­er­alan­walts beim Gericht­shof der Europäis­chen Union nicht daran, die Über­mit­tlung der Dat­en europäis­ch­er Nutzer von Face­book an Serv­er, die sich in den Vere­inigten Staat­en befind­en, auszuset­zen.

Facebook und der “safe harbour”

Darüber hin­aus ver­tritt der Gen­er­alan­walt des EuGH expliz­it die Ansicht, dass diese “safe harbour”-Entscheidung der EU-Kom­mis­sion ungültig ist.

Nach der Richtlin­ie 95/46/EG des Europäis­chen Par­la­ments und des Rates vom 24. Okto­ber 1995 zum Schutz natür­lich­er Per­so­n­en bei der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en und zum freien Daten­verkehr ist die Über­mit­tlung solch­er Dat­en in ein Drit­t­land zuläs­sig, wenn es ein angemessenes Schutzniveau für diese Dat­en gewährleis­tet. Fern­er kann die Kom­mis­sion nach der Richtlin­ie fest­stellen, dass ein Drit­t­land ein angemessenes Schutzniveau gewährleis­tet. Sobald die Kom­mis­sion eine Entschei­dung in diesem Sinne erlassen hat, kann die Über­mit­tlung per­so­n­en­be­zo­gen­er Dat­en in das betr­e­f­fende Drit­t­land erfol­gen.

Auf den Prüf­s­tand des Union­s­gericht­shofs kam dies nun durch einen Stre­it um den Daten­schutz bei Face­book: Max­imil­lian Schrems, ein öster­re­ichis­ch­er Staat­sange­höriger, nutzt seit 2008 Face­book. Wie bei den übri­gen Nutzern mit Wohn­sitz in der Union wer­den die Dat­en, die Herr Schrems Face­book liefert, von der irischen Tochterge­sellschaft von Face­book ganz oder teil­weise an Serv­er über­mit­telt, die sich im Hoheits­ge­bi­et der Vere­inigten Staat­en befind­en, und dort gespe­ichert. Herr Schrems legte eine Beschw­erde bei der irischen Daten­schutzbe­hörde ein, da sein­er Ansicht nach das Recht und die Prax­is in den Vere­inigten Staat­en in Anbe­tra­cht der von Edward Snow­den im Jahr 2013 enthüll­ten Tätigkeit­en der Nachrich­t­en­di­en­ste der Vere­inigten Staat­en (ins­beson­dere der Nation­al Secu­ri­ty Agency, NSA) keinen wirk­lichen Schutz dage­gen bieten, dass der amerikanis­che Staat die in dieses Land über­mit­tel­ten Dat­en überwacht. Die irische Behörde wies die Beschw­erde u. a. mit der Begrün­dung zurück, dass die EU-Kom­mis­sion in ihrer Entschei­dung 2000/520/EG vom 26. Juli 2000, das von den Vere­inigten Staat­en im Rah­men der als „sicher­er Hafen“ beze­ich­neten Regelung gewährleis­tete Schutzniveau der über­mit­tel­ten per­so­n­en­be­zo­ge­nen Dat­en als angemessen eingestuft habe. Diese Regelung über den sicheren Hafen ein­hält eine Rei­he von Grund­sätzen über den Schutz per­so­n­en­be­zo­gen­er Dat­en, denen sich die amerikanis­chen Unternehmen frei­willig unter­w­er­fen kön­nen.

Der mit der Rechtssache befasste irische High Court richtete daraufhin ein Vor­abentschei­dungser­suchen an den Gericht­shof der Europäis­chen Union und möchte vom Union­s­gericht­shof die Rechts­frage gek­lärt wis­sen, ob diese Entschei­dung der Kom­mis­sion eine nationale Kon­troll­stelle daran hin­dert, eine Beschw­erde zu unter­suchen, mit der gel­tend gemacht wird, dass ein Drit­t­land kein angemessenes Schutzniveau gewährleiste, und die bean­standete Über­mit­tlung von Dat­en gegebe­nen­falls auszuset­zen.

Im Wege eines solchen Vor­abentschei­dungser­suchens kön­nen die Gerichte der Mit­glied­staat­en in einem bei ihnen anhängi­gen Rechtsstre­it dem Union­s­gericht­shof Fra­gen nach der Ausle­gung des europäis­chen Union­srechts oder nach der Gültigkeit ein­er Hand­lung der Europäis­chen Union vor­legen. Der Gericht­shof der Europäis­chen Union entschei­det dabei auss­chließlich über die vorgelegte Rechts­frage, nicht über den nationalen Rechtsstre­it. Es ist und bleibt Sache des nationalen Gerichts, sodann über die Rechtssache im Ein­klang mit der Entschei­dung des Union­s­gericht­shofs zu entschei­den. Diese Entschei­dung des Union­s­gericht­shofs bindet in gle­ich­er Weise auch andere nationale Gerichte, die mit einem ähn­lichen Prob­lem befasst wer­den.

In diesem Ver­fahren über das Vor­abentschei­dungser­suchen des irischen High Court hat jet­zt der Gen­er­alan­walt des Gericht­shofs der Europäis­chen Union seine Schlus­santräge vorgelegt. Darin ver­tritt der Gen­er­alan­walt die Auf­fas­sung, dass die Exis­tenz ein­er Entschei­dung der Kom­mis­sion, mit der fest­gestellt wird, dass ein Drit­t­land ein angemessenes Schutzniveau für die über­mit­tel­ten per­so­n­en­be­zo­ge­nen Dat­en gewährleis­tet, die Befug­nisse der nationalen Kon­troll­stellen nach der Richtlin­ie über die Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en wed­er beseit­i­gen noch auch nur ver­ringern kann. Er ist außer­dem der Ansicht, dass die Entschei­dung der Kom­mis­sion ungültig ist.

Der Gen­er­alan­walt führt zunächst aus, dass die Ein­griffs­befug­nisse der nationalen Kon­troll­stellen angesichts der Bedeu­tung ihrer Rolle im Bere­ich des Daten­schutzes unange­tastet bleiben müssen. Wären die nationalen Kon­troll­stellen abso­lut an die Entschei­dun­gen der Kom­mis­sion gebun­den, würde dies unweiger­lich die ihnen nach der Richtlin­ie zuste­hende völ­lige Unab­hängigkeit ein­schränken. Der Gen­er­alan­walt schließt daraus, dass eine nationale Kon­troll­be­hörde, wenn sie der Ansicht ist, dass eine Datenüber­mit­tlung den Schutz der Unions­bürg­er in Bezug auf die Ver­ar­beitung ihrer Dat­en beein­trächtigt, zur Aus­set­zung dieser Über­mit­tlung befugt ist, unab­hängig von der all­ge­meinen Bew­er­tung durch die Kom­mis­sion in ihrer Entschei­dung. Die der Kom­mis­sion durch die Richtlin­ie über­tra­gene Befug­nis berührt näm­lich nicht die den nationalen Kon­troll­stellen darin ver­liehenen Befug­nisse. Mit anderen Worten ist die Kom­mis­sion nicht ermächtigt, die Befug­nisse der nationalen Kon­troll­be­hör­den zu beschränken.

Der Gen­er­alan­walt räumt zwar ein, dass die nationalen Kon­troll­stellen rechtlich an die Entschei­dung der Kom­mis­sion gebun­den sind, doch gebi­etet es eine solche Bindungswirkung seines Eracht­ens nicht, Beschw­er­den sum­marisch, d. h. sofort und ohne jede Prü­fung ihrer Begrün­de­theit, zurück­zuweisen; dies gilt umso mehr, als die Fest­stel­lung des angemesse­nen Schutzniveaus eine zwis­chen den Mit­glied­staat­en und der Kom­mis­sion geteilte Zuständigkeit ist. Eine Entschei­dung der Kom­mis­sion spielt gewiss eine wichtige Rolle für die Vere­in­heitlichung der Über­mit­tlungsvo­raus­set­zun­gen in den Mit­glied­staat­en, aber die Vere­in­heitlichung kann nur Bestand haben, solange die genan­nte Fest­stel­lung nicht in Frage gestellt wird, ins­beson­dere im Rah­men ein­er von den nationalen Behör­den im Ein­klang mit den ihnen durch die Richtlin­ie zuerkan­nten Unter­suchungs- und Ein­wirkungs­befug­nis­sen zu behan­del­nden Beschw­erde.

Überdies ist der Gen­er­alan­walt der Ansicht, dass die Mit­glied­staat­en, falls in dem Drit­t­land, in das per­so­n­en­be­zo­gene Dat­en über­mit­telt wer­den, sys­temis­che Män­gel fest­gestellt wer­den, die erforder­lichen Maß­nah­men ergreifen kön­nen müssen, um die Grun­drechte, die von der Char­ta der Grun­drechte der Europäis­chen Union geschützt wer­den, zu wahren, wie das Recht auf Achtung des Pri­vat- und Fam­i­lien­lebens und das Recht auf den Schutz per­so­n­en­be­zo­gen­er Dat­en.

In Anbe­tra­cht der im Lauf des Ver­fahrens geäußerten Zweifel an der Gültigkeit der Entschei­dung 2000/520 ver­tritt der Gen­er­alan­walt die Auf­fas­sung, dass der Union­s­gericht­shof diesen Aspekt prüfen sollte, und kommt zu dem Ergeb­nis, dass die Entschei­dung ungültig ist. Aus den sowohl vom irischen High Court als auch von der Kom­mis­sion selb­st getrof­fe­nen Fest­stel­lun­gen ergibt sich näm­lich, dass das Recht und die Prax­is der Vere­inigten Staat­en es ges­tat­ten, die über­mit­tel­ten per­so­n­en­be­zo­ge­nen Dat­en von Unions­bürg­ern in großem Umfang zu sam­meln, ohne dass sie über einen wirk­samen gerichtlichen Rechtss­chutz ver­fü­gen. Diese Tat­sachen­fest­stel­lun­gen bele­gen, dass die Entschei­dung der Kom­mis­sion keine aus­re­ichen­den Garantien enthält. Auf­grund dieses Fehlens von Garantien wurde sie in ein­er Weise umge­set­zt, die nicht den Anforderun­gen der Richtlin­ie und der Char­ta entspricht.

Der Gen­er­alan­walt ist fern­er der Ansicht, dass der Zugang der amerikanis­chen Nachrich­t­en­di­en­ste zu den über­mit­tel­ten Dat­en einen Ein­griff in das Recht auf Achtung des Pri­vatlebens und in das Recht auf den Schutz per­so­n­en­be­zo­gen­er Dat­en bedeutet. Des­gle­ichen bedeute der Umstand, dass die Unions­bürg­er keine Möglichkeit haben, zur Frage des Abfan­gens und der Überwachung ihrer Dat­en in den Vere­inigten Staat­en gehört zu wer­den, einen Ein­griff in das von der Char­ta geschützte Recht der Unions­bürg­er auf einen wirk­samen Rechts­be­helf.

Der Gen­er­alan­walt sieht in diesem Ein­griff in die Grun­drechte einen Ver­stoß gegen den Grund­satz der Ver­hält­nis­mäßigkeit, ins­beson­dere weil die von den amerikanis­chen Nachrich­t­en­di­en­sten aus­geübte Überwachung mas­siv und nicht ziel­gerichtet ist. Der Zugang zu per­so­n­en­be­zo­ge­nen Dat­en, über den die amerikanis­chen Nachrich­t­en­di­en­ste ver­fü­gen, erfasst näm­lich in gen­er­al­isiert­er Weise alle Per­so­n­en und alle elek­tro­n­is­chen Kom­mu­nika­tion­s­mit­tel sowie sämtliche über­tra­ge­nen Dat­en (ein­schließlich des Inhalts der Kom­mu­nika­tio­nen), ohne jede Dif­feren­zierung, Ein­schränkung oder Aus­nahme anhand des im All­ge­mein­in­ter­esse liegen­den Ziels, das ver­fol­gt wird. Unter diesen Umstän­den kann nach Ansicht des Gen­er­alan­walts nicht davon aus­ge­gan­gen wer­den, dass ein Drit­t­land ein angemessenes Schutzniveau gewährleis­tet, zumal die Regelung über den sicheren Hafen in der Entschei­dung der Kom­mis­sion keine Garantien enthält, die geeignet sind, einen mas­siv­en und gen­er­al­isierten Zugang zu den über­mit­tel­ten Dat­en zu ver­hin­dern. Denn keine unab­hängige Behörde ist in der Lage, in den Vere­inigten Staat­en zu kon­trol­lieren, ob staatliche Akteure wie die amerikanis­chen Sicher­heits­di­en­ste gegenüber Unions­bürg­ern gegen die Grund­sätze des Schutzes per­so­n­en­be­zo­gen­er Dat­en ver­stoßen.

Angesichts eines solchen Befunds der Ver­let­zung von Grun­drecht­en der Unions­bürg­er hätte die Kom­mis­sion nach Auf­fas­sung des Gen­er­alan­walts die Anwen­dung der Entschei­dung aus­set­zen müssen, auch wenn sie derzeit mit den Vere­inigten Staat­en Ver­hand­lun­gen führt, um die fest­gestell­ten Ver­stöße abzustellen. Der Gen­er­alan­walt weist im Übri­gen darauf hin, dass die Kom­mis­sion ger­ade deshalb beschlossen hat, Ver­hand­lun­gen mit den Vere­inigten Staat­en aufzunehmen, weil sie zuvor zu der Erken­nt­nis gelangt war, dass das von diesem Drit­t­land im Rah­men der Regelung über den sicheren Hafen gewährleis­tete Schutzniveau nicht mehr angemessen ist und dass die Entschei­dung aus dem Jahr 2000 nicht mehr der tat­säch­lichen Lage entspricht.

Diese Schlus­santräge seines Gen­er­alan­walts sind für den Gericht­shof der Europäis­chen Union nicht bindend. Auf­gabe des Gen­er­alan­walts ist es, dem Union­s­gericht­shof in völ­liger Unab­hängigkeit einen Entschei­dungsvorschlag für die betr­e­f­fende Rechtssache zu unter­bre­it­en. Die Richter des EuGH treten nun­mehr in die Beratung ein. Das Urteil wird zu einem späteren Zeit­punkt verkün­det.

Gericht­shof der Europäis­chen Union – Schlus­santräge des Gen­er­alan­walts vom 23. Sep­tem­ber 2015 – C ‑362/14

Facebook und der “safe harbour”