Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 6. Oktober 2015 (Aktenzeichen C-362/14), die als „Safe Harbour“ bekannte Entscheidung der Europäischen Kommission 2000/520 für ungültig erklärt. Die „Safe Harbour“-Entscheidung verstoße gegen Artikel 7 („Achtung des Privat- und Familienlebens“) und Artikel 8 („Schutz personenbezogener Daten“) der Charta der Grundrechte der Europäischen Union. Damit kann eine Datenübermittlung an eine datenverarbeitende Stelle in den USA nicht mehr auf die „Safe Harbour“-Grundsätze gestützt werden. Auf „Safe Harbour“ gestützte Datenübermittlungen sind mit der Entscheidung des EuGH zur Zeit rechtswidrig.
Die EuGH-Entscheidung
Die rechtliche Ausgangslage
Mit Hilfe der „Safe Harbour“-Entscheidung konnten sich US-amerikanische Firmen beim US-Handelsministerium in eine entsprechende Liste eintragen lassen, wenn die Firmen sich verpflichteten, die „Safe Harbour“-Prinzipien anzuerkennen. Die Unterwerfung unter diese Prinzipien bewirkte, dass bei allen eingetragenen Firmen ein ausreichender Schutz für personenbezogene Daten bestand. Dadurch wurde beim Datenempfänger ein sicheres Datenschutzniveau geschaffen, was eine Voraussetzung für eine zulässige Übermittlung von personenbezogenen Daten in ein Land außerhalb der EU ist.
Der zu Grunde liegende Sachverhalt des Urteils
Der Österreicher Max Schrems, als Benutzer der Plattform facebook, beschwerte sich beim irischen Datenschutzbeauftragten über die Weiterleitung seiner Nutzerdaten in die USA. Der irische Datenschutzbeauftragte erklärte, die Beschwerde des facebook-Nutzers sei unbegründet, da die Datenübermittlung in die USA wegen des „Safe-Harbour“-Beschlusses rechtmäßig sei. Daraufhin klagte der Nutzer vor dem zuständigen irischen High Court. Das irische Gericht setzte das Verfahren aus und legte dem EuGH die Frage vor, ob der irische Datenschutzbeauftragte an die „Safe Harbour“-Entscheidung der Kommission gebunden sei, oder nach aktuellen Erkenntnissen eigene Ermittlungen anstellen müsse. Der EuGH beantwortete die Fragen des irischen Gerichts und stellte nun klar, dass eine Datenübermittlung in die USA nicht mehr auf die „Safe Harbour“ Grundsätze gestützt werden könne.
Die Begründung des Gerichts
Die Entscheidung stützt der EuGH dabei auf die Verletzung von Grundrechten, sowie auf formale Gründe. Der EuGH kritisiert in seiner Entscheidung unter anderem, dass die Einhaltung der „Safe Harbour“-Grundsätze sich nur an die Privatwirtschaft richte, ohne dass es dabei eine wirksame Kontrolle durch amerikanische Behörden gäbe. Zudem werde durch die „Safe Harbour“-Entscheidung nicht ausreichend festgestellt, welche innerstaatlichen Maßnahmen die USA zum Schutz personenbezogener Daten getroffen haben.
EuGH: „Daher ist, ohne dass es einer Prüfung des Inhalts der Grundsätze des „sicheren Hafens“ bedarf, der Schluss zu ziehen, dass Art. 1 der Entscheidung 2000/520 gegen die in Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Charta festgelegten Anforderungen verstößt und aus diesem Grund ungültig ist.“ (Randziffer 98)
Zudem habe die EU-Kommission mit ihrer „Safe Harbour“-Entscheidung ihre Kompetenzen überschritten. Die Kommission beschneide mit ihrer Entscheidung die Kompetenzen der nationalen Datenschutzbehörden in unzulässiger Weise dadurch, dass die nationalen Behörden nicht mehr die Zulässigkeitsvoraussetzungen einer Datenübermittlung überprüfen könnten (Ziffer 3 des Safe Harbor-Abkommens).
EuGH: „Unter diesen Umständen ist festzustellen, dass die Kommission mit dem Erlass von Art. 3 der Entscheidung 2000/520 die ihr durch Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Charta übertragene Zuständigkeit überschritten hat, so dass dieser Artikel ungültig ist.“ (Randziffer 104)
Was ist bei betroffenen Datenverarbeitungen zu tun?
Anders als es derzeit einige Medien suggerieren sind auch nach der Entscheidung des EuGH weiterhin rechtmäßige Übermittlungen personenbezogener Daten in die USA möglich. Die Unterwerfung eines U.S.-Unternehmens unter die Safe-Harbor-Prinzipien bewirkte nach europäischem Datenschutzrecht, dass beim Empfänger der Daten in den USA ein sicheres Datenschutzniveau vorherrschen sollte. Dies ist eine Voraussetzung für eine Datenübermittlung in ein Nicht-EU-Land. Die Schaffung eines sicheren Datenschutzniveaus kann aber unabhängig von Safe-Harbor auch durch den Abschluss eines europäischen Standard-Vertrages für Datenübermittlungen erreicht werden. Dies sind die sogenannten „EU standard contractual clauses for the transfer of personal data“. – Sollten Sie zur Umstellung Ihrer Verträge Fragen haben, wenden Sie sich gern an uns unter Telefon: 0911 569049-22 oder Email an info@maertin-collegen.com.