Unsichere Zeiten für den „sicheren Hafen“ – EuGH-Generalanwalt will Safe Harbor kippen

30.09.2015

+++ Update 06.10.2015 +++ 

Nun ist es tatsächlich passiert! Der EuGH ist seinem Generalanwalt gefolgt und hat das Safe-Harbor-Abkommen zwischen der EU und den USA für unwirksam erklärt. Mehr: EuGH kippt Safe Harbor

+++

Der EuGH drückt aufs Gas! Nachdem sich Generalanwalt Bot gerade erst zur Zulässigkeit der Übermittlung personenbezogener Daten in die USA durch Facebook geäußert hatte (Stellungnahme vom 23. September 2015), möchte das höchste europäische Gericht nun bereits am 6. Oktober 2015 sein Urteil in dieser Sache fällen. Hintergrund dieser engen zeitlichen Taktung dürfte vor allem sein, dass sich die EU-Kommission in Verhandlungen mit den USA über eine neue Fassung des sog. Safe-Harbor-Abkommens befindet und diese Gespräche durch das Urteil maßgeblich beeinflusst werden könnten.

Hintergrund

Das bisher bestehende Safe-Harbor-Abkommen ist eine Einigung der EU-Kommission mit dem US-Handelsministerium aus dem Jahr 2000, die im selben Jahr durch eine verbindliche EU-Kommissionsentscheidung in europäisches Datenschutzrecht umgesetzt wurde. Danach gelten US-Unternehmen, die sich öffentlich auf die Safe-Harbor-Prinzipien verpflichten, als sog. „sicherer Hafen“ in dem – aus Sicht des europäischen Datenschutzrechts – eigentlich unsicheren Drittstaat USA. Deshalb wird Safe Harbor von europäischen Unternehmen häufig als Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA genutzt. So stützt sich u.a. auch Facebook bisher auf Safe Harbor, wenn es personenbezogene Daten von der irischen Tochter an die US-amerikanische Mutter übermittelt. Dagegen wehrt sich der österreichische Datenschutzaktivist Maximilian Schrems und fordert von der irischen Datenschutzbehörde, Facebook diese Datenübermittlung zu untersagen. Die Behörde verweigerte sich jedoch bisher diesem Ansinnen, weil die genannte EU-Kommissionsentscheidung einen Datentransfer an Safe-Harbor-zertifizierte US-Unternehmen wie Facebook Inc. verbindlich gestatte.

Die Haltung des Generalanwalts

Geht es nach dem Generalanwalt beim EuGH ist Safe Harbor jedoch angesichts der NSA-Enthüllungen von Edward Snowden unwirksam! Dies ergibt sich aus seinen Schlussanträgen in dem Vorabentscheidungsverfahren C-362/14. Nach Ansicht des Generalanwalts verstößt die Kommissionsentscheidung im Lichte von PRISM & Co. gegen die Vorgaben des Art. 25 Abs. 6 der EG-Datenschutzrichtlinie sowie gegen die Artikel 7 und 8 der EU-Grundrechtecharta, welche das Persönlichkeitsrecht im Allgemeinen und personenbezogene Daten im Speziellen schützen.

Gemäß Art. 25 Abs. 6 der EG-Datenschutzrichtlinie könne die EU-Kommission ein Drittland (d.h. ein Land außerhalb des EWR) nur dann zu einem datenschutzrechtlich „sicheren“ Drittland erklären, wenn in diesem Land ein dem europäischen Standard vergleichbares Datenschutzniveau „gewährleistet“ wird. Dies sei in den USA angesichts der anlasslosen Massenüberwachung von Telekommunikationsverbindungen von EU-Bürgern gerade nicht der Fall. Nach Darstellung des Generalanwalts hätten insbesondere viele der Safe-Harbor-zertifizierten Unternehmen bewusst mit den US-Behörden zusammengearbeitet. Da die NSA-Maßnahmen nicht einzelfallbezogen, nicht transparent und von EU-Bürgern praktisch nicht gerichtlich abzuwehren seien, sieht der Generalanwalt einen Verstoß gegen die EU-rechtlich anerkannten Grundsätze der Erforderlichkeit und Verhältnismäßigkeit. Da die Safe-Harbor-Entscheidung der EU-Kommission aus dem Jahr 2000 keine angemessene Reaktionsmöglichkeit auf diese aktuellen Vorkommnisse vorsieht, stelle sie einen nicht gerechtfertigten Eingriff in die Artikel 7 und 8 der EU-Grundrechtecharta dar. Daher ist die Safe-Harbor-Entscheidung der EU-Kommission nach Ansicht des Generalanwalts vom EuGH für unwirksam zu erklären.

Wertung

Bemerkenswert daran ist zunächst, dass das vorlegende irische Gericht den EuGH gar nicht danach gefragt hatte, ob Safe Harbor als solches wirksam ist oder nicht. Es sollte lediglich geklärt werden, ob eine nationale Datenschutzbehörde im Einzelfall davon abweichen kann. Die Auffassung des Generalanwalts überzeugt auch inhaltlich nicht und gefährdet in großem Maße die Rechtssicherheit, auf die sich europäische Unternehmen bisher stützen können. Insbesondere übersieht der Generalanwalt, dass Safe Harbor im Kern gerade nicht auf die allgemeinen datenschutzrechtlichen Rahmenbedingungen in den USA abstellt, sondern darauf, welche Maßnahmen zum Datenschutz das konkrete US-Unternehmen ergreift. Dementsprechend können die nationalen Datenschutzbehörden nach geltender Rechtslage einen Safe-Harbor-gestützten Datentransfer nach Art. 3 Abs. 1 b) der EU- Kommissionsentscheidung im Einzelfall untersagen, wenn die (hohe) Wahrscheinlichkeit besteht, dass das betreffende US-Unternehmen gegen die Safe-Harbor-Datenschutzgrundsätze verstößt. Demnach hätte der Generalanwalt statt pauschal das Ende von Safe Harbor zu fordern, den konkreten Datentransfer von Facebook Irland an Facebook USA auf mögliche Verstöße beleuchten müssen. Indes widerholt der Generalanwalt in seinem Schlussantrag mehrmals, dass dieser Facebook-interne Datentransfer keine Anhaltspunkte für einen Verstoß gegen diese Grundsätze erkennen lasse.

Mögliche Auswirkungen

Es wird nun spannend sein, wie der EuGH am 6. Oktober 2015 entscheidet. Sollte das Gericht dem Generalanwalt folgen (was es in ca. dreiviertel aller Fälle tut), müssten europäische und US-amerikanische Unternehmen reagieren. In diesem Fall müsste wohl verstärkt auf andere anerkannte Maßnahmen zur Rechtfertigung des Datentransfers in die USA zurückgegriffen werden, etwa auf die EU-Standardvertragsklauseln oder auf (von den Datenschutzbehörden zu genehmigende) verbindliche Konzernrichtlinien, sog. Binding Corporate Rules. Zu wünschen wäre auch, dass die EU-Kommission in einem solchen Fall an dem Vorhaben festhält, eine neue Fassung des Safe-Harbor-Abkommens zu vereinbaren. Dieses „Safe Harbor Reloaded“ müsste dann aber wohl auch die Vorgaben des EuGH berücksichtigen.

 

Haben Sie Fragen? Kontaktieren Sie gerne: Konrad Żdanowiecki 
Practice Groups: IT, Outsourcing & Datenschutz 
Weitere Artikel: Datenschutzcompliance beim konzerninternen Datentransfer; EU-Datenschutz-Grundverordnung: EU-Minister erzielen Einigung auf europaweite Standards