Die Große Kammer des Europäischen Gerichtshofs (EuGH) hat in seinem Urteil vom 6. Oktober 2015 in der Rechtssache Maximilian Schrems gegen den Kommissar für Datenschutz die Erklärung der Kommission zum Safe Harbor-Abkommen vom 26. 07. 2000 (Anmerkung: im Folgenden: SH) für ungültig erklärt. Der EuGH ist der Ansicht, dass durch Safe Harbour kein angemessenes Datenschutzniveau in Bezug auf die Übermittlung von personenbezogenen Daten von Europa in die USA gewährleistet wird.
Konsequenzen aus dem Urteil
Ein Datentransfer in die USA auf der Grundlage von SH ist mangels eines angemessenen Datenschutzniveaus unzulässig. Dieses Ergebnis hinterlässt ein unbefriedigendes Vakuum vor dem Hintergrund von über 4.000 Unternehmen, die personenbezogene Daten in die USA übermitteln und Millionen von Facebook-Nutzern. Gibt es eine Alternative, die anders als SH eine rechtmäßige transatlantische Datenübermittlung gewährleistet? In der Praxis und Fachöffentlichkeit werden die EU-Standardvertragsklauseln und die sogenannten Corporate Binding Rules diskutiert. Indessen binden diese Regelungen nur die jeweiligen Vertragsparteien. Hingegen haben die amerikanischen Behörden auf Grund der Rechtslage in den USA weiterhin ungehinderten Zugriff auf die Daten. Die EU-Standardvertragsklauseln und die Corporate Binding Rules stellen daher keine taugliche Alternative dar. Das Vakuum lässt sich auch nicht durch ein reformiertes SH-Regelwerk füllen, da in der Normenhierarchie die amerikanischen Rechtsnomen Vorrang gegenüber SH genießen. Vielmehr dürfte endgültig der Zeitpunkt gekommen sein, möglichst zeitnah ein internationales Abkommen zum transatlantischen Datenverkehr zu schaffen, das die im aktuellen Urteil des EuGH aufgestellten Anforderungen berücksichtigt, um die bestehende Rechtunsicherheit in der Praxis zu beseitigen. Für Kompromisse mit den USA ist der Spielraum begrenzt, da die EU beim Abschluss eines völkerrechtlichen Abkommens an die die in der EU-Grundrechtecharta verankerten Grundsätze, insbesondere Art. 8 (Schutz personenbezogener Daten), verbunden ist.
Zu den Entscheidungsgründen
Im Folgenden werden die Entscheidungsgründe – soweit bekannt – des für den Datentransfer aus Europa in die USA wegweisenden Grundsatzurteils dargestellt.
Entscheidungsbefugnis des EuGH
Wie kommt der EuGH dazu, SH zu kippen? Damit verhält es sich wie folgt: Vertritt eine nationale Datenschutzbehörde oder ein betroffener EU-Bürger die Ansicht, dass ein Rechtsakt der Europäischen Kommission wie etwa SH gegen die europäische Datenschutzrichtlinie im Lichte der EU-Grundrechtecharta verstößt, können sie die nationalen Gerichte anrufen. Schließt sich nun das angerufene nationale Gericht der Auffassung der Datenschutzbehörde bzw. des EU-Bürgers an, muss das nationale Gericht den Fall dem EuGH zur Vorabentscheidung vorlegen. Der EuGH entscheidet sodann abschließend über den Rechtsakt der Kommission.
Prüfungsmaßstab der Kommission und Prüfungsmaßstab des EuGH
Im Falle eines Datentransfers von Europa in einen Drittstaat muss gemäß Art. 25 der europäischen Datenschutz-Richtlinie in dem Drittstaat ein angemessenes Datenschutzniveau sichergestellt sein. Nach Auffassung der Kommission ist das Datenschutzniveau hinsichtlich der USA angemessen, soweit die Grundsätze der Entscheidung der Kommission vom 26.07.2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ (Safe Harbor) und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, eingehalten werden.
Dem SH als Prüfungsmaßstab für die Ermittlung des angemessenen Datenschutzniveaus erteilt der EuGH eine klare Absage. Anders als der von der Kommission gewählte Ansatz ist nach Auffassung des EuGH zu klären, ob die USA aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleisten, das dem in der EU aufgrund der Richtlinie im Lichte der EU-Grundrechtecharta garantierten Niveau der Sache nach gleichwertig ist. Demzufolge ergibt sich daraus ein dreistufiges Prüfungsprogramm:
- Bestimmung des Schutzniveaus der Grundrechte in der EU, das sich aus der Interpretation der Richtlinie im Lichte der EU-Grundrechtecharta ergibt.
- Bestimmung des Schutzniveaus der Grundrechte in den USA auf der Grundlage der innerstaatlichen Rechtsvorschriften und internationalen Verpflichtungen.
- Prüfung der Gleichwertigkeit des US-amerikanischen Regimes zum Datenschutz im Vergleich zum europäischen Datenschutz.
Keine Gewährleistung eines angemessenen Datenschutzniveaus durch das Safe Harbour-Abkommen
Der EuGH prüft – ohne dass dafür seiner Ansicht nach eine rechtliche Notwendigkeit gegeben sein muss – zunächst das Datenschutzniveau von SH. Dieses verwirft der EuGH als völlig unzureichendes Instrument zur Gewährleistung eines angemessenen Datenschutzniveaus. Es begründet dies wie folgt:
- SH gilt nur für private Unternehmen, die sich den Regelungen auch ausdrücklich unterwerfen (Selbstverpflichtung). Andere private Unternehmen sowie staatliche Behörden sind an die Regelungen des SH nicht gebunden.
- SH muss höherem (us-amerikanischem) Recht weichen. Rechtsgüter wie die nationale Sicherheit, des öffentlichen Interesses, der Durchführung von Gesetzen haben gegenüber SH Vorrang. SH gewährleistet keinen Grundrechtsschutz gegenüber Eingriffen in den Datenschutz. Der Staat habe letztlich einen unbegrenzten Zugriff auf die übermittelten Daten. Hinzu kommt, dass es in den USA keinen effektiven gesetzlichen Rechtsschutz gegen solche Eingriffe gibt.
In einem weiteren Schritt prüft der EuGH, ob die Rechtsordnung der USA ein hinreichendes Schutzniveau gewährleistet, das den in der Union garantierten Freiheiten und Grundrechten der Sache nach gleichwertig ist. Dem erteilt der EuGH eine klare Absage und zwar unter Verweis darauf, dass in den USA die Speicherung sämtlicher aus der EU übermittelten Daten durch staatliche Stellen ohne Einschränkungen zulässig ist. Die undifferenzierte und schrankenlose Verarbeitung und Nutzung der personenbezogenen Daten aus Europa, wird insbesondere nicht durch den Zweck der Datenverarbeitung beschränkt.
Der EuGH gelangt zu dem für den Datenschutz in den USA fatalen Ergebnis: Das Grundrecht auf Achtung der Privatsphäre ist in seinem Wesensgehalt verletzt. Der Wesensgehalt macht den Kern des Grundrechts aus, der für staatliche Eingriffe Tabu sein muss. Eine staatliche Intervention in den Wesensgehalt des Grundrechts lässt sich nicht durch den Vorrang anderer verfassungsrechtlich geschützter Rechtsgüter, z.B. öffentliches Interesse oder Sicherheit, rechtfertigen.
Die USA verletzen nach Auffassung des EuGH zudem das Grundrecht auf wirksamen rechtlichen Rechtsschutz. Eine Rechtsordnung, die keine Möglichkeit vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden Daten zu erlangen oder Berichtigung oder Löschung zu bewirken, unterminiert – so der EuGH – das Wesen des Rechtsstaats.