Generalanwalt: Safe Harbor ungültig

Der Generalanwalt am Europäischen Gerichtshof (EuGH) Yves Bot kommt in seinem Schlussantrag zu dem Ergebnis, dass das Safe Harbor-Abkommen, zwischen der USA und der EU, ungültig sei. Amerikanische Server bieten keinen ausreichenden Schutz für die Daten von EU-Bürgern.

Schlussantrag mit weitreichenden Ergebnissen

Hintergrund ist eine Klage des Datenschutzaktivisten Max Schrems gegen den irischen Datenschutzbeauftragten vor dem irischen High Court. Schrems verlangte ein Aktivwerden der Behörde gegen Facebook, da seine Daten auf den amerikanischen Servern des Konzerns nicht sicher seien. Der irische Datenschutzbeauftragte hielt ein Aktivwerden für nicht möglich und berief sich auf das Safe Harbor-Abkommen zwischen der EU und den USA. Dieses erklärt alle zertifizierten US-Unternehmen für sicher. Aufgrund dessen müsse er auch nicht individuell prüfen, ob eine entsprechende Sicherheit auch tatsächlich gegeben sei.

Der High Court legte dem EuGH daraufhin die Frage zur Vorabentscheidung vor. Somit muss der EuGH entscheiden, ob das Safe Harbor-Abkommen ausreichenden Schutz gewährleistet und ob die nationalen Datenschutzbehörden darüber hinaus befugt sind, das Datenschutzniveau zu überprüfen (Az. – 362/14) . In dieser Sache stellte der Generalanwalt nur seinen Schlussantrag.

Zu welchen Ergebnissen kommt der Generalanwalt?

Kommission kann Befugnisse der Datenschutzbehörden nicht beschränken

Der Generalanwalt stützt die Ansicht von Schrems und kommt zu dem Ergebnis, dass das Safe Harbor-Abkommen die Befugnisse der nationalen Datenschutzbehörden nach der Richtlinie über die Verarbeitung personenbezogener Daten weder beseitigen noch verringern kann. Dementsprechend seien die nationalen Kontrollstellen befugt, eine Datenübermittlung in die USA, trotz Abkommens, zu unterbinden. Um ihre Aufgabe ordnungsgemäß wahrnehmen zu können, kann eine Entscheidung der Kommission – in diesem Fall Safe Harbor – die nationalen Kontrollstellen nicht binden, da andernfalls die in der Richtlinie festgeschriebene, völlige Unabhängigkeit der Kontrollstellen leerlaufen würde.

Zwar seien die nationalen Kontrollstellen an die Entscheidungen der Kommission rechtlich gebunden. Dies erlaube es aber nicht, Beschwerden ohne Prüfung und mit Verweise auf das Safe Harbor-Abkommen abzuweisen. Mehr noch: stellen nationale Kontrollstellen systemische Mängel in einem Drittland wie den USA fest, müssen sie zum Schutz der Grundrechte der betroffenen Unionsbürger tätig werden.

Safe Harbor ungültig

Ferner hält der Generalanwalt die Entscheidung der Kommission, die den USA ein angemessenes Datenschutzniveau bescheinigt, für ungültig. Grund dafür vom High Court und der Kommission selbst getroffene Feststellungen, „dass das Recht und die Praxis der Vereinigten Staaten es gestatten, die übermittelten personenbezogenen Daten von Unionsbürgern in großem Umfang zu sammeln, ohne dass sie über einen wirksamen gerichtlichen Rechtsschutz verfügen“.

Der Generalanwalt sieht im Zugang zu den personenbezogenen Daten durch amerikanische Geheimdienste eine Verletzung des Rechts auf Achtung des Privatlebens und den Schutz personenbezogener Daten. Zudem sei der fehlende Rechtsschutz von Unionsbürgern ein Eingriff in das Recht auf wirksamen Rechtsbehelf.

Letztlich sei die Verletzung dieser Grundrechte auch nicht verhältnismäßig, „insbesondere weil die von den amerikanischen Nachrichtendiensten ausgeübte Überwachung massiv und nicht zielgerichtet ist“.

Aus diesen Gründen hätte die Kommission das Safe Harbor-Abkommen, ungeachtet laufender Reformverhandlungen, aussetzen müssen. Einen entsprechenden Schritt hatte auch das EU-Parlament im letzten Jahr gefordert.

Wie geht es weiter?

Der Schlussantrag des Generalanwalts ist für den EuGH nicht bindend. Überwiegend folgt das Gericht aber den Ansichten der Generalanwälte.

Unternehmen sollten sich daher auf eine Ungültigkeit der Datenübermittlung in die USA auf Grundlage des Safe Harbor-Abkommens einstellen. Eine Datenübermittlung ist aber unter anderen Voraussetzungen weiterhin möglich, so z.B. beim Vorliegen einer rechtswirksamen Einwilligung des Betroffenen oder dem Abschluss von Binding Corporate Rules (BCR) bzw. EU Standard Contract Clauses.