header icetemplate

[UPDATE 03.02.2016] - Safe Harbor Abkommen mit den USA - So gut wie tot?

grosser tisch im konferenzraum robert kneschke fotolia.comAm 23.9. 2015 wurden die Schlussanträge des Generalanwalts in der Rechtssache C-362/14 Maximilian Schrems/Data Protection Commissioner veröffentlicht.

Der Generalanwalt ist der Ansicht, dass die nationalen Datenschutzbehörden trotz des bestehenden Safe Harbor Abkommens mit den USA befugt sind, die Datenübermittlung in die USA zu untersagen. Die entgegenstehende Entscheidung der EU-Kommission, die den nationalen Datenschutzbehörden - unter berufung auf das Safe Harbor Abkommen - das Recht absprach, entsprechende Untersagungsverfügungen zu erlassen, hält der Generalanwalt für ungültig.

Wenn der EuGH der Ansicht des Generalanwalts folgt, ist dies das Ende des Safe Harbor Abkommens.

Presse und Information Gerichtshof der Europäischen Union

PRESSEMITTEILUNG Nr. 106/15

Luxemburg, den 23. September 2015

Schlussanträge des Generalanwalts in der Rechtssache C-362/14

Maximillian Schrems / Data Protection Commissioner

Nach Ansicht von Generalanwalt Bot hindert die Entscheidung der Kommission , mit der die Angemessenheit des Schutzes personenbezogener Daten in den Vereinigten Staaten festgestellt wird, die nationalen Behörden nicht daran , die Übermittlung der Daten euro päischer Nutzer von Facebook an Server, die sich in den Vereinigten Staaten befinden, auszusetzen Der Generalanwalt ist ferner der Auffassung, dass diese Entscheidung ungültig ist Nach der Richtlinie über die Verarbeitung personenbezogener Daten 1 ist die Übermittlung solcher Daten in ein Drittland zul ässig , wenn es ein angemessenes Schutzniveau für diese Daten gewährleistet.

Ferner kann die Kommission nach der Richtlinie feststellen, dass ein Drittland ein angemessenes Schutzniveau gewährleistet. Sobald die Kommission eine En tscheidung in diesem Sinne erlassen hat, kann die Übermittlung personenbezogener Daten in das betreffende Drittland erfolgen. Maximillian Schrems, ein österreichischer Staatsangehöriger, nutzt seit 2008 Facebook . Wie bei den übrigen Nutzer n mit Wohnsitz in der Union werden die Daten, die Herr Schrems Facebook liefert, von der irischen Tochtergesellschaft von Facebook ganz oder teilweise an Server übermittelt, die sich im Hoheitsgebiet der Vereinigten Staaten befinden, und dort gespeichert.

Herr Schrems legte eine Beschwerde bei der irischen Datenschutzbehörde ein, da seiner Ansicht nach das Recht und die Praxis in den Vereinigten Staaten in Anbetracht der von Edward Snowden im Jahr 2013 enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten (insbesondere der National Security Agency, NSA) keinen wirklichen Schutz dagegen bieten, dass der amerikanische Staat die in dieses Land übermittelten Daten überwacht.

Die irische Behörde wies die Beschwerde u. a. mit der Begründung zurück, dass die Kommission in einer Entscheidung vom 26. Juli 2002 das von den Vereinigten Staaten im Rahmen der als „ sicherer Hafen “ 3 bezeichneten Regelung gewährleistete Schutzniveau der übermittelten personenbezogenen Daten als angemessen eingestuft habe.

Der mit der Rechtssache befasste irische High Court möchte wissen, ob diese Entscheidung der Kommission eine nationale Kontrollstelle daran hindert, eine Beschwerde zu untersuchen, mit der geltend gemacht wird, dass ein Drittland kein angemessenes Schutzniveau gewährleiste, und die beanstandete Übermittlung von Daten gegebenenfalls auszusetzen. In seinen heutigen Schlussanträgen vertritt Generalanwalt Bot die Auffassung, dass die Existenz einer Entscheidung der Kommission , mit der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet, die Befugnisse der nationalen Kontrollstellen nach der Richtlinie über die Verarbeitung

1. Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31).

2. Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „ sicheren Hafens “ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (ABl. 2000, L 215, S. 7).

3. Die Regelung über den sicheren Hafen einhält eine Reihe von Grundsätzen über den Schutz personenbezogener Daten , denen sich die amerikanischen Unternehmen freiwillig unterwerfen können.

personenbezogener Daten weder beseitigen noch auch nur verringern kann.

Er ist außer dem der Ansicht, dass die Entscheidung der Kommission ungültig ist.

Der Generalanwalt führt zunächst aus , dass die Eingriffsbefugnisse der nationalen Kontrollstellen angesichts der Bedeutung ihrer Rolle im Bereich des Datenschutzes unangetastet bleiben müssen.

Wären die nationalen Kontrollstellen absolut an die Entscheidungen der Kommission gebunden, würde dies unweigerlich die ihnen nach der Richtlinie zustehen de völlige Unabhängigkeit einschränken. Der Generalanwalt schließt daraus, dass eine nationale Kontrollbehörde, wenn sie der Ansicht ist, dass eine Datenübermittlung den Schutz der Unionsbürger in Bezug auf die Verarbeitung ihrer Daten beeinträchtigt , zur Aussetzung dieser Übermittlung befugt ist , unabhängig von der allgemeinen Bewertung durch die Kommission in ihrer Entscheidung.

Die der Kommission durch die Richtlinie übertragene Befugnis berührt nämlich nicht die den nationalen Kontrollstellen darin verliehenen Befugnisse. Mit anderen Worten ist die Kommission nicht ermächtigt , die Befugnisse der nationalen Kontrollbehörden zu beschränken . Der Generalanwalt räumt zwar ein, dass die nationalen Kontrollstellen rechtlich an die Entscheidung der Kommission gebunden sind, doch gebietet es eine solche Bindungswirkung seines Erachtens nicht, Beschwerden summarisch, d. h. sofort und ohne jede Prüfung ihrer Begründetheit , zurückzuweisen ; dies gilt umso mehr, als die Feststellung des angemessenen Schutzniveaus eine zwischen den Mitgliedstaaten und der Kommission geteilte Zuständigkeit ist. Eine Entscheidung der Kommission spielt gewiss eine wichtige Rolle für die Vereinheitlichung der Übermittlungsvoraussetzungen in den Mitgliedstaaten, aber die Vereinheitlichung kann nur Bestandhaben , solange die genannte Feststellung nicht in Frage gestellt wird, insbesondere im Rahmen einer von den nationalen Behörden im Einklang mit den ihnen durch die Richtlinie zuerkannten Untersuchungs - und Einwirkungsbefugnissen zu behandeln den Beschwerde.

Überdie s ist der Generalanwalt der Ansicht, dass die Mitgliedstaaten , falls in dem Drittland, in das personenbezogene Daten übermittelt werden, systemische Mängel festgestellt werden, die erforderlichen Maßnahmen ergreifen können müssen, um die Grundrechte , die von der Charta der Grundrechte der Europäischen Union geschützt werden , zu wahren, wie da s Recht auf Achtung des Privat - und Familienlebens und das Recht auf den Schutz personenbezogener Daten.

In Anbetracht der im Lauf de s Verfahrens geäußerten Zweifel an der Gültigkeit der Entscheidung 2000/520 vertritt der Generalanwalt die Auffassung, dass der Gerichtshof diesen Aspekt prüfen sollte, und kommt zu dem Ergebnis , dass die Entscheidung ungültig ist.

Aus den sowohl vom irischen High Court als auch von der Kommission selbst getroffenen Feststellungen ergibt sich nämlich, dass das Recht und die Praxis der Vereinigten Staaten es gestatten, die übermittelten personenbezogenen Daten von Unionsbürgern in großem Umfang zu sammeln , ohne dass s ie über einen wirksamen gerichtlichen Rechtsschutz verfügen.

Diese Tatsachenfeststellungen belegen, dass die Entscheidung der Kommission keine ausreichenden Garantien enthält. Aufgrund dieses Fehlens von Garantien wurde sie in einer Weise umgesetzt, die nicht den Anforderungen der Richtlinie und der Charta entspricht . Der Generalanwalt ist ferner der Ansicht, dass der Zugang der amerikanischen Nachrichtendienste zu den übermittelten Daten einen Eingriff in das Recht auf Achtung des Privatlebens und in das Recht auf den Schutz personen bezogener Daten bedeutet.

Desgleichen bedeute der Umstand, dass die Unionsbürger keine Möglichkeit haben, zur Frage des Abfangens und der Überwachung ihrer Daten in den Vereinigten Staaten gehört zu werden, einen Eingriff in das von der Charta geschützte Recht der Unionsbürger auf einen wirksamen Rechtsbehelf.

Der Generalanwal t sieht in diesem Eingriff in die Grundrecht e einen Verstoß gegen den Grundsatz der Verhältnismäßigkeit, insbesondere weil die von den amerikanischen Nachrichtendiensten ausgeübte Überwachung massiv und nicht zielgerichtet ist.

Der Zugang zu personenbezogenen Daten, über den die amerikanischen Nachrichtendienste verfügen, erfasst nämlich in generalisierter Weise alle Personen und alle elektronischen Kommunikation smittel sowie sämtliche übertragenen Daten (einschließlich des Inhalts der Kommunikationen) , ohne jede Differenzierung, Einschränkung oder Ausnahme anhand des im Allgemeininteresse liegenden Ziels, das verfolgt wird.

Unter diesen Umständen kann nach Ansicht des Generalanwalts nicht davon ausgegangen werden, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, zumal die Regelung über den sicheren Hafen in der Entscheidung der Kommission keine Garantien enthält, die geeignet sind, einen massiven und generalisierten Zugang zu den übermittelten Daten zu verhindern.

Denn keine unabhängige Behörde ist in der Lage, in den Vereinigten Staaten zu kontrollieren, ob staatliche Akteure wie die amerikanischen Sicherheitsdienste gegenüber Unionsbürgern gegen die Grundsätze des Schutzes personenbezogener Daten verstoßen.

Angesichts eines solchen Befunds der Verletzung von Grundrechten der Unionsbürger hätte die Kommission nach Auffassung des Generalanwalt s die Anwendung der Entscheidung aussetzen müssen, auch wenn sie derzeit mit den Vereinigten Staaten Verhandlungen führt, um die festgestellten Verstöße abzustellen.

Der Generalanwalt weis t im Übrigen darauf hin, dass die Kommission gerade deshalb beschlossen hat, Verhandlungen mit den Vereinigten Staaten aufzunehmen, weil sie zuvor zu der Erkenntnis gelangt war, dass das von diesem Drittland im Rahmen der Regelung über den sicheren Hafen gewährleistete Schutzniveau nicht mehr angemessen ist und dass die Entscheidung aus dem Jahr 2000 nicht mehr der tatsäch lichen Lage entspricht.

HINWEIS: Die Schlussanträge des Generalanwalts sind für den Gerichtshof nicht bindend. Aufgabe des Generalanwalts ist es, dem Gerichtshof in völliger Unabhängigkeit einen Entscheidungsvorschlag für die betreffende Rechtssache zu unterbreiten. Die Richter des Gerichtshofs treten nunmehr in die Beratung ein. Das Urteil wird zu einem s päteren Zeitpunkt verkündet.

HINWEIS: Im Wege eines Vorabentscheidungsersuchens können die Gerichte der Mitgliedstaaten in einem bei ihnen anhängigen Rechtsstreit dem Gerichtshof Fragen nach der Auslegung des Unionsrechts oder nach der Gültigkeit einer Handlung der Union vorlegen. Der Gerichtshof entscheidet nicht über den nationalen Rechtsstreit. Es ist Sache des nationalen Gerichts, über die Rechtssache im Einklang mit der Entscheidung des Gerichtshofs zu entscheiden.

Diese Entscheidung des Gerichtshofs bindet in gleicher Weise andere nationale Gerichte, die mit einem ähnlichen Problem befasst werden. Zur Verwendung durch die Medien bestimmtes nichtamtliches Dokument, das den Gerichtshof nicht bindet.

Der Volltext der Schlussanträge wird am Tag der Verlesung auf der Curia-Website veröffentlicht.

Pressekontakt: Hartmut Ost (+352) 4303 3255

Den kompletten 45-seitigen Schlussantrag des Generalanwalts vom 23.09.2015 werden wir hier verlinken, sobald er veröffentlicht wurde.

[UPDATE 03.02.2016: - Mit einem Tag Verspätung hat die EU-Kommission nun doch noch ein Nachfolgeabkommen mit den USA, das sog. EU-USA Privacy Shield-Abkommen "aus dem Hut gezaubert". Es bleibt abzuwarten, ob die EU-Staaten diesem Abkommen zustimmen werden und ob nicht auch dieses Abkommen letztlich von dem EuGH kassiert werden wird. Lesen Sie hier mehr.

Bildquelle: grosser tisch im konferenzraum robert kneschke fotolia.com

Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Autor: Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Kanzleiinhaber, Fachanwalt für IT-Recht
Über den Autor:
Rechtsanwalt Marcus Dury LL.M., Fachanwalt für IT-Recht, hat sich auf die rechtliche Beratung in Fragen des IT-Rechts und den damit verbundenen Rechtsgebieten (Urheberrecht, Markenrecht und Wettbewerbsrecht) spezialisiert. Er ist Inhaber von DURY Rechtsanwälte.

*Wichtiger Hinweis:

Alle Leistungen, außer der Bearbeitung von Filesharing-Fällen für Verbraucher i.S.d. § 13 BGB, richten sich ausschließlich an Unternehmer i.S.d. § 14 BGB, nicht an Verbraucher i.S.d. § 13 BGB! Alle Preisangaben außerhalb des Bereichs der Abwehr von urheberrechtlichen Abmahnung wegen Filesharings erfolgen daher als Netto-Preise.

© 2018 DURY Rechtsanwälte