Kanzlei Usadel Aachen / Anwalt Urheberrecht / Internet-Recht – IT Recht – Markenrecht – Wettbewerbsrecht – Presserecht – Medienrecht – Aachen

Internetrecht

EuGH spricht wegweisendes Urteil zum Datenschutz

Der EuGH hat gestern ein wegweisendes Urteil (Az. C-362/14) zum Datenschutz gesprochen. Geklagt hatte der österreichische Jurastudent Maximilian Schrems gegen die Weigerung des irischen Datenschutzbeauftragten, die von Schrems eingelegte Beschwerde zu prüfen, mit der dieser die Übermittlung personenbezogener Daten durch Facebook Ireland Ltd. in die USA und die Speicherung auf dort befindlichen Servern rügte. Schrems hatte den irischen Datenschutzbeauftragten aufgefordert, es Facebook Ireland Ltd. zu untersagen, seine als Nutzer von Facebook erhobenen personenbezogenen Daten in die USA zu übermitteln. Die Unzulässigkeit der Übermittlung begründete er damit, dass in den USA de facto kein ausreichender Schutz der dort gespeicherten personenbezogenen Daten vor der Überwachung durch US-amerikanische Behörden gewährleistet sei. Dies sei spätestens durch die Enthüllungen von Edward Snowden bekannt geworden. Die Beschwerde wurde als unbegründet zurückgewiesen mit dem Argument, dass es keine Beweise für entsprechende Zugriffe durch US-amerikanischen Behörden auf personenbezogene Daten von Schrems gebe. Dabei berief sich der Datenschutzbeauftragte auf die Entscheidung 2000/520 der europäischen Kommission, die festgestellt habe, dass die USA ein angemessenes Niveau zum Schutz personenbezogener Daten gewährleisteten. Diese Entscheidung der europäischen Kommission etablierte das Prinzip des so genannten „sicheren Hafens“ (Safe Harbour) für personenbezogene Daten. Die Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union ist grundsätzlich unzulässig. Nur wenn in dem Drittland ein  „angemessenes Schutzniveau gewährleistet“ ist, soll die Übermittlung und Speicherung personenbezogener Daten zulässig sein. Entsprechende Erklärungen hatten die USA abgegeben. Der dann mit der Klage gegen diese Entscheidung befasste irische High Court äußerte erhebliche Zweifel daran, dass die USA ein angemessenes Schutzniveau der personenbezogenen Daten gewährleisteten und erklärte, dass, jedenfalls nach irischem Recht, die Beschwerde von Schrems begründet sei. Da aber Unionsrecht betroffen sei, setzte der High Court das Verfahren aus und legte dem EuGH zwei Fragen vor.

Der High Court wollte wissen, ob ein Datenschutzbeauftragter im Rahmen der Prüfung einer Beschwerde betreffend die Übermittlung personenbezogener Daten in ein Drittland, das keinen angemessenen Schutz gewährleiste, unter Berücksichtigung insbesondere von Art. 7 (Schutz der Privatsphäre) und Art. 8 (Schutz personenbezogener Daten) der europäischen Grundrechte Charta an die Entscheidung 2000/520 der europäischen Kommission gebunden sei. Ferner wollte das Gericht wissen, ob ein Datenschutzbeauftragter unter Einbeziehung zwischenzeitliche Entwicklungen (insbesondere die Enthüllungen Edward Snowdens) eigene Ermittlungen anstellen dürfe.

Der EuGH stellte als Antwort auf diese Fragen klar,  „dass Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Art. 7, 8 und 47 der Charta dahin auszulegen ist, dass eine aufgrund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000/520, in der die Kommission feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, eine Kontrollstelle eines Mitgliedstaats im Sinne von Art. 28 der Richtlinie nicht daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten, die aus einem Mitgliedstaat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten.

Darüber hinaus erklärte der EuGH die Entscheidung 2000/520 der europäischen Kommission für ungültig, weil kein angemessenes Schutzniveau für personenbezogene Daten im Sinne von Art. 25 der Richtlinie 95/46 durch die USA gewährleistet sei. Die europäische Kommission habe bei der Prüfung, ob ein Drittland ein angemessenes Schutzniveau gewährleiste, „den Inhalt der in diesem Land geltenden, aus seiner innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen resultierenden Regeln sowie die zur Gewährleistung der Einhaltung dieser Regeln dienende Praxis zu beurteilen wobei nach Art. 5 Abs. 2 der Richtlinie 95/46 alle Umstände zu berücksichtigen hat, die bei einer Übermittlung personenbezogener Daten in ein Drittland eine Rolle spielen.“  Außerdem müsse die europäische Kommission bei der Feststellung des angemessenen Schutzniveaus berücksichtigen, dass sich das Schutzniveau im Laufe der Zeit verändern könne und habe daher nach Erlass einer Entscheidung im Sinne des Art. 25 Abs. 6 der Richtlinie 95/46 „in regelmäßigen Abständen zu prüfen, ob die Feststellung zur Angemessenheit des vom fraglichen Drittland gewährleisteten Schutzniveaus in sachlicher und rechtlicher Hinsicht nach wie vor gerechtfertigt ist. Eine solche Prüfung ist jedenfalls dann geboten, wenn Anhaltspunkte vorliegen, die Zweifel daran wecken.”  Damit bezieht sich das Gericht auf die Enthüllungen Edward Snowdens. Ferner kritisierte der EuGH, dass das im Rahmen des „sicheren Hafens“ angewandte Prinzip der Selbstzertifizierung der mit der Übermittlung und Speicherung personenbezogener Daten befassten Unternehmen keine wirksamen Überwachungs- und Kontrollmechanismen erlaube. Schließlich wies der Gerichtshof darauf hin, dass sich aus der von den USA im Zusammenhang mit der Entscheidung 2000/520 abgegebenen Erklärung ergebe, dass unter bestimmten Voraussetzungen, namentlich den Erfordernissen der nationalen Sicherheit des öffentlichen Interesses oder der Durchführung von Gesetzen, diese Prinzipien Vorrang vor den Grundsätzen des „sicheren Hafens“ hätten. Nach europäischem Recht müssten angesichts der Bedeutung des Grundrechts auf Achtung des Privatlebens „die Ausnahmen vom Schutz personenbezogener Daten und dessen Einschränkungen auf das absolut notwendige beschränken.“  Eine solche Beschränkung enthalte das US-amerikanische Recht nicht. Vielmehr komme es massenhaft zu pauschalen Zugriffen auf personenbezogene Daten durch US-Behörden. Im übrigen hätten die betroffenen Personen auch keine Möglichkeit durch Rechtsbehelfe Zugang zu den sie betreffenden personenbezogenen Daten zu erhalten oder deren Berichtigung oder Löschung zu erreichen, was eine Verletzung des Grundrechts auf wirksamen gerichtlichen Rechtsschutz (Art. 47 der europäischen Grundrechte Charta) darstellt. Der EuGH kommt dann zu dem Schluss, dass die europäische Konvention in der Entscheidung 2000/520 nicht festgestellt hat, „dass die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau „gewährleisten“. Daher ist, ohne dass es einer Prüfung des Inhalts der Grundsätze des „sicheren Hafens“ bedarf, der Schluss zu ziehen, dass Art. 1 der Entscheidung 2000/520 gegen die in Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Charta festgelegten Anforderungen verstößt und aus diesem Grund ungültig ist.”

Das Urteil des EuGH kann als Meilenstein bezeichnet werden. Es steht in einer Reihe mit der Entscheidung gegen die Vorratsdatenspeicherung und dem Recht auf Vergessenwerden. Der Gerichtshof unterstreicht eindrucksvoll die Bedeutung der europäischen Grundrechte im digitalen Zeitalter, insbesondere der Rechte auf Achtung des Privatlebens und zum Schutz personenbezogener Daten. Die Auswirkungen des Urteils auf die (digitale) Wirtschaft und die Übermittlung personenbezogener Daten in die USA sind noch nicht absehbar. An sich wird man wohl davon ausgehen müssen, dass die Übermittlung sogar völlig unzulässig ist. In jedem Fall stellen sich Unternehmen, die personenbezogene Daten in die USA übermitteln, jetzt schwierige Fragen, die jetzt noch gar nicht beantwortet werden können. Ob die Datenübermittlung allein durch eine wirksame Einwilligung des jeweiligen Nutzers oder durch so genannte Binding Corporate Rules, also Selbstverpflichtungen der Unternehmen, legitimiert werden kann, ist sehr fraglich. Heribert Prantl hat das Urteil in der heutigen Ausgabe der Süddeutschen Zeitung als „grundstürzend” bezeichnet. Das kann man wohl sagen.

Stand 7. Oktober 2015

Rechtsanwalt Dr. Philipp Usadel LL.M.

Die Kanzlei Usadel ist aufgrund einer beruflichen Neuausrichtung von Rechtsanwalt Dr. Philipp Usadel LL.M. ab dem 01.08.2017 geschlossen. Bitte wenden Sie sich mit Ihrem Anliegen an eine spezialisierte Kollegin oder einen spezialisierten Kollegen. Danke für Ihr Verständnis.