"Safe-Harbor" gewährleistet kein ausreichendes Datenschutzniveau

Mit sei­ner hier­ge­gen ge­rich­te­ten Be­schwerde bei der iri­schen Da­ten­schutz­behörde machte der Öster­rei­cher Ma­xi­mi­lian Schrems, selbst Mit­glied bei Fa­ce­book, gel­tend, dass die Da­tenüber­mitt­lung nach der Da­ten­schutz­richt­li­nie (Richt­li­nie 95/46/EG) un­zulässig sei. Er war der An­sicht, das Recht und die Pra­xis der Ver­ei­nig­ten Staa­ten böten kei­nen an­ge­mes­se­nen Schutz per­so­nen­be­zo­ge­ner Da­ten vor Über­wa­chungstätig­kei­ten des Staa­tes. Fer­ner be­rief er sich auf die von Ed­ward Snow­den im Mai 2013 be­kannt ge­mach­ten Tätig­kei­ten der ame­ri­ka­ni­schen Ge­heim­dienste, ins­be­son­dere der Na­tio­nal Se­cu­rity Agency (NSA).

Der iri­sche Da­ten­schutz­be­auf­tragte ver­folgte die Be­schwerde we­gen der sog. Safe-Har­bor-Ent­schei­dung der EU-Kom­mis­sion vom 26.7.2000 nicht wei­ter. In die­ser Ent­schei­dung hatte die Kom­mis­sion fest­ge­stellt, dass die Ver­ei­nig­ten Staa­ten im Rah­men der "Safe-Har­bor-Re­ge­lung" ein an­ge­mes­se­nes Schutz­ni­veau von per­so­nen­be­zo­ge­nen Da­ten gewähr­leis­te­ten. In­folge der Ent­schei­dung des Da­ten­schutz­be­auf­trag­ten zog der Be­schwer­deführer vor den iri­schen High Court.

Das dar­auf­hin mit der Rechts­sa­che be­fasste na­tio­nale Ge­richt setzte das Ver­fah­ren aus und legte dem EuGH die Frage zur Vor­ab­ent­schei­dung vor, ob die Ent­schei­dung der Kom­mis­sion vom 26.7.2000 eine na­tio­nale Da­ten­schutz­behörde daran hin­dert, eine Be­schwerde zu prüfen, mit der gel­tend ge­macht wird, dass ein Dritt­land kein aus­rei­chen­des Da­ten­schutz­ni­veau gewähr­leiste. Dies ver­neinte der EuGH.

Die Gründe:
Die Ent­schei­dung der Kom­mis­sion vom 26.7.2000 hin­dert die Kon­trolle der Über­mitt­lung per­so­nen­be­zo­ge­ner Da­ten in ein Dritt­land nicht. Die "Safe-Har­bor-Ent­schei­dung" ist ungültig.

Die na­tio­na­len Da­ten­schutz­behörden müssen in völli­ger Un­abhängig­keit prüfen können, ob die eu­ropäischen Da­ten­schutz­an­for­de­run­gen ein­ge­hal­ten wer­den. Die Kom­mis­sion hatte keine Kom­pe­tenz, diese Be­fug­nisse zu be­schränken.

Die von der Kom­mis­sion in ih­rer Ent­schei­dung geprüfte "Safe-Har­bor-Re­ge­lung" bie­tet kei­nen aus­rei­chen­den Schutz per­so­nen­be­zo­ge­ner Da­ten. Sie gilt al­lein für die Un­ter­neh­men, die sich ihr un­ter­wer­fen, nicht aber für die staat­li­chen Behörden. Außer­dem sind die na­tio­nale Si­cher­heit, das öff­ent­li­che In­ter­esse und die Durchführung von Ge­set­zen nach ame­ri­ka­ni­schem Recht vor­ran­gig. Ame­ri­ka­ni­sche Un­ter­neh­men können da­her ohne jede Ein­schränkung ver­pflich­tet wer­den, die Da­ten­schutz­re­geln des "Safe-Har­bor-Ab­kom­mens" un­angwen­det zu las­sen.

Eine Re­ge­lung, die es Behörden ge­stat­tet, un­ein­ge­schränkt auf den In­halt elek­tro­ni­scher Kom­mu­ni­ka­tion zu­zu­grei­fen, ver­letzt je­doch das eu­ropäische Grund­recht auf Ach­tung des Pri­vat­le­bens.

Da es Be­trof­fe­nen nicht möglich ist, mit­tels ei­nes Rechts­be­helfs Zu­gang zu den per­so­nen­be­zo­ge­nen Da­ten zu er­hal­ten oder ihre Be­rich­ti­gung oder Löschung zu er­wir­ken, ist zu­dem das Grund­recht auf wirk­sa­men ge­richt­li­chen Rechts­schutz ver­letzt.

Die Frage, ob die Ver­ei­nig­ten Staa­ten außer­halb von "Safe-Har­bor" auf­grund von in­ner­staat­li­chen Rechts­vor­schrif­ten oder in­ter­na­tio­na­len Ver­pflich­tun­gen tatsäch­lich ein Schutz­ni­veau gewähr­leis­ten, das dem eu­ropäischen Ni­veau gleich­wer­tig ist, hatte die Kom­mis­sion in ih­rer Ent­schei­dung nicht geprüft. Da­her muss die iri­sche Da­ten­schutz­behörde die Be­schwerde nun ein­ge­hend prüfen und schließlich ent­schei­den, ob die an­ge­foch­tene Da­tenüber­mitt­lung aus­zu­set­zen ist, weil die Ver­ei­nig­ten Staa­ten kein an­ge­mes­se­nes Schutz­ni­veau für per­so­nen­be­zo­gene Da­ten gewähr­leis­ten.

Link­hin­weis:

Für den auf den Web­sei­ten des EuGH veröff­ent­lich­ten Voll­text der Ent­schei­dung kli­cken Sie bitte hier.