News

EuGH: Datenschutz bei Datenübermittlung in Drittland

Bearbeiter: Sabine Kriwanek

Irischer Fall. Die EU-Kommission darf die nationalen Datenschutzbehörden nicht an der Prüfung hindern, ob ein Drittlang (hier: USA) ein angemessenes Schutzniveau für personenbezogene Daten bietet.

GRC: Art 7, Art 8, Art 47

RL 95/46/EG idF VO (EG) 1882/2003: Art 25

Eine Entscheidung der Kommission, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für übermittelte personenbezogene Daten gewährleistet, kann die Befugnisse der nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union und der RL 95/46/EG idF VO (EG) 1882/2003 (RL über die Verarbeitung personenbezogener Daten) nicht beseitigen und auch nicht beschränken. Auch wenn die Kommission eine solche Entscheidung erlassen hat, müssen die nationalen Datenschutzbehörden daher anlässlich einer Beschwerde in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung der Daten einer Person in ein Drittland die Anforderungen der RL gewahrt werden.

Die Ungültigkeit einer solchen Entscheidung der Kommission darf jedoch allein der EuGH feststellen. Ist eine nationale Datenschutzbehörde oder die Person, die sie angerufen hat, der Auffassung, dass eine Entscheidung der Kommission ungültig ist, muss diese Behörde oder diese Person folglich die nationalen Gerichte anrufen können, damit diese, falls sie ebenfalls Zweifel an der Gültigkeit der Entscheidung der Kommission haben, die Sache dem EuGH vorlegen können (hier: Ungültigererklärung der Entscheidung 2000/520 der Kommission, in der festgestellt wird, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, „Safe-Harbor-Regelung“).

EuGH 6. 10. 2015, C-362/14, Schrems

Sachverhalt

Zu einem irischen Vorabentscheidungsersuchen.

Alle im Unionsgebiet wohnhaften Personen, die Facebook nutzen wollen, müssen bei ihrer Anmeldung einen Vertrag mit Facebook Ireland abschließen, einer Tochtergesellschaft der in den USA ansässigen Facebook Inc. Die personenbezogenen Daten der Nutzer werden ganz oder teilweise an Server der Facebook Inc. in den Vereinigten Staaten übermittelt und dort verarbeitet.

Herr Schrems, ein österreichischer Staatsangehöriger, nutzt seit 2008 Facebook. Er legte bei der irischen Datenschutzbehörde eine Beschwerde ein, weil er im Hinblick auf die von Enthüllungen von Edward Snowden über die Tätigkeiten der Nachrichtendienste der USA, insb der National Security Agency (NSA), der Ansicht war, dass das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor Überwachungstätigkeiten der dortigen Behörden bieten.

Die irische Behörde wies die Beschwerde insb mit der Begründung als unbegründet zurück, die Kommission habe in ihrer Entscheidung 2000/520 vom 26. 7. 20002 festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau der übermittelten personenbezogenen Daten gewährleisteten („Safe-Harbor-Regelung“).

Der mit der Rechtssache befasste irische High Court wollte in der Folge vom EuGH wissen, ob diese Entscheidung der Kommission eine nationale Datenschutzbehörde daran hindert, eine Beschwerde zu prüfen, mit der geltend gemacht wird, dass ein Drittland kein angemessenes Schutzniveau gewährleiste, und gegebenenfalls eigene Ermittlungen anstellen kann bzw muss.

Entscheidung

Die Frage des irischen High Court wurde wie im Leitsatz ersichtlich vom EuGH beantwortet. Zudem erklärt der EuGH die Entscheidung 2000/520 für ungültig, nachdem er sich ausführlich mit dieser Entscheidung und den Anforderungen des Art 25 RL 95/46/EG betreffend die Übermittlung von personenbezogenen Daten in Drittländer auseinandergesetzt hat (Rn 67 ff).

Angemessenes Schutzniveau iSd Art 25 RL 95/46/EG

Zu den Anforderungen an eine Entscheidung der Kommission gem Art 25 Abs 6 RL 95/46/EG („dass ein Drittland ... ein angemessenes Schutzniveau ... gewährleistet“) hält der EuGH in seinen Entscheidungsgründen ua fest, dass nicht verlangt werden kann, dass ein Drittland ein identisches Schutzniveau gewährleistet, wie es in der Unionsrechtsordnung garantiert ist. Es müsse jedoch verlangt werden, dass das Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleistet, das dem in der Union aufgrund der Datenschutz-RL im Licht der Grundrechte-Charta garantierten Niveau der Sache nach gleichwertig ist.

Die Kommission müsse daher bei der Prüfung des angemessenen Schutzniveaus in einem Drittland nicht nur alle Umstände berücksichtigen, die bei einer Übermittlung personenbezogener Daten in das Drittland eine Rolle spielen, sondern sie müsse auch in regelmäßigen Abständen prüfen, ob die Feststellung zur Angemessenheit des Schutzniveaus in sachlicher und rechtlicher Hinsicht nach wie vor gerechtfertigt ist. Eine solche Prüfung ist - so der EuGH - jedenfalls dann geboten, wenn Anhaltspunkte vorliegen, die Zweifel daran wecken. Angesichts der besonderen Bedeutung des Schutzes personenbezogener Daten für das Grundrecht auf Achtung der Privatsphäre und der großen Zahl von Personen, deren Grundrechte verletzt werden könnten, sei der Wertungsspielraum der Kommission hinsichtlich der Angemessenheit des Schutzniveaus im Drittland daher eingeschränkt und eine strikte Kontrolle der Anforderungen vorzunehmen ist, die sich aus Art 25 der RL 95/46/EG im Licht der GRC ergeben.

Ungültigkeit der Entscheidung 2000/520

Der Rückgriff eines Drittlandes - wie hier - auf ein System der Selbstzertifizierung für den Beitritt einer Organisation zu den Grundsätzen des „sicheren Hafens“ verstößt nach Ansicht des EuGH zwar als solcher nicht gegen die Erfordernisse des Art 25 Abs 6 RL 95/46/EG hinsichtlich der Angemessenheit des Schutzniveaus, die Zuverlässigkeit eines solchen Systems beruhe aber wesentlich auf der Schaffung wirksamer Überwachungs- und Kontrollmechanismen.

Die Kommission hat einstweilen selbst in zwei Mitteilungen festgestellt, dass die amerikanischen Behörden auf die übermittelten personenbezogenen Daten zugreifen und sie in einer Weise verarbeiten konnten, die mit den Zielsetzungen ihrer Übermittlung unvereinbar war und über das hinausging, was zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig war; weiters hat die Kommission fest gestellt, dass es für die Betroffenen keine administrativen oder gerichtlichen Rechtsbehelfe gab, um Zugang zu ihren Daten zu erhalten und gegebenenfalls deren Berichtigung oder Löschung zu erwirken (Mitteilung COM(2013) 846 final und Mitteilung COM(2013) 847 final).

Im Ergebnis kommt der EuGH zur Ansicht, dass die Kommission nach Ansicht des EuGH in der Entscheidung 2000/520 nicht festgestellt hat, dass die USA daher insgesamt tatsächlich ein angemessenes Schutzniveau „gewährleisten“.

Außerdem stellt der EuGH fest, dass die Kommission ihre Zuständigkeit überschritten hat, indem sie für die nationalen Kontrollstellen in Art 3 der Entscheidung eine erhöhte Eingriffsschwelle geschaffen und ihnen die Möglichkeit genommen hat, Maßnahmen zu ergreifen, die die Einhaltung von Art 25 RL 95/46/EG gewährleisten sollen.

In seiner Pressemitteilung weist der EuGH daher darauf hin, dass nun „die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der RL die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet“.

Der EuGH hat für Recht erkannt:

1.Art 25 Abs 6 der RL 95/46/EG des Europäischen Parlaments und des Rates vom 24. 10. 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in der durch die VO (EG) 1882/2003 des Europäischen Parlaments und des Rates vom 29. 9. 2003 geänderten Fassung ist im Licht der Art 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine aufgrund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000/520/EG der Kommission vom 26. 7. 2000 gem der RL 95/46 über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, in der die Europäische Kommission feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, eine Kontrollstelle eines Mitgliedstaats iSv Art 28 der RL in geänderter Fassung nicht daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten, die aus einem Mitgliedstaat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten.
2.Die Entscheidung 2000/520 ist ungültig.
Artikel-Nr.
Rechtsnews Nr. 20348 vom 07.10.2015