Montag, 12. Oktober 2015

EuGH: Datenschutz, Facebook und die Übermittlung von Daten in Drittstaaten

Die Entscheidung des Gerichtshofes der Europäischen Union in der Rechtssache C-362/14, Maximillian Schrems / Data Protection Commissioner, ist zwar äußerst interessant, ob sie Folgen haben wird, muss sich erst zeigen. Sie wird jedenfalls keinesfalls die Übertragung von "Big Data" in die USA - ob über Facebook oder andere Plafformen - einschränken. Die Resonanz in den USA scheint verhalten bis ablehnend zu sein. 


Für Deutschland bestimmt § 4 b Abs.2 BDSG dass bei einer Übertragung von Daten in Drittstaaten (außerhalb des Anwendungsbereiches des Rechts der Europaischen Union) eine Übertragung - vereinfacht ausgedrückt - nur in Betracht kommt, wenn  ein angemessenes Datenschutzniveau im Drittsstaat existiert, soweit nicht Ausnahmen nach § 4 c BDSG eingreifen. Diese Regelungen knüpfen unmittelbar an die Art. 25 und 26 der EU - Datenschutzrichtlinie an. Die deutschen Regelungen sind gegenüber den EU - Vorgaben gelockert (Simitis, BDSG, 8. Aufl., 2014, § 4 b, Rn. 3). Die Frage ob sich die Anwendung des Datenschutzrechts bei einem Unternehmenssitz in Irland stets nur nach irischem Recht beurteilen lässt, mag hier offen bleiben, zumal die irischen Regelungen sich strikter an die Richtlinie halten. Für den Ausgangsfall sind grds. die §§ 12 und 13 des österreischen Dastenschutzgesetzes maßgeblich. Sämtliche Regelungen beruhen auf der EU - Datenschutzrichtlinie, über deren Auslegung der EuGH zu befinden hat.  


Keineswegs verwirft der EuGH das Safe - Harbour - Abkommen. Der Gerichtshof erklärt vielmehr die Entscheidung der Kommission, in der festgestellt wird, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig. Der EuGH erklärt das sehr plastisch: 

"Während allein der Gerichtshof dafür zuständig ist, einen Rechtsakt der Union für ungültig zu erklären, können die mit einer Beschwerde befassten nationalen Datenschutzbehörden, auch wenn es eine Entscheidung der Kommission gibt, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, prüfen, ob bei der Übermittlung der Daten einer Person in dieses Land die Anforderungen des Unionsrechts an den Schutz dieser Daten eingehalten werden, und sie können, ebenso wie die betroffene Person, die nationalen Gerichte anrufen, damit diese ein Ersuchen um Vorabentscheidung zur Prüfung der Gültigkeit der genannten Entscheidung stellen". 

 
Allerdings äußert sich der EuGH eingehend zu den einschlägigen Normen der Richtlinie über die Verarbeitung personenbezogener Daten, die insoweit bestimmt, dass die Übermittlung solcher Daten in ein Drittland grundsätzlich nur dann zulässig ist, wenn das betreffende Drittland ein angemessenes Schutzniveau dieser Daten gewährleistet. Ferner kann nach der Richtlinie die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen ein angemessenes Schutzniveau gewährleistet. Schließlich sieht die Richtlinie weiter vor, dass jeder Mitgliedstaat eine oder mehrere öffentliche Stellen benennt, die in seinem Hoheitsgebiet mit der Überwachung der Anwendung der zur Umsetzung der Richtlinie erlassenen nationalen Vorschriften beauftragt sind („Datenschutzbehörden“).


Im Ausgangsfall hat ein österreichischer Staatsangehöriger, der seit 2008 Facebook nutzt, in Irland vor dem High Court auf Auskunft geklagt. Wie es bei der Nutzung von Facebook üblich ist, werden die Daten, die jeder Nutzer in Europa Facebook liefert, von der irischen Tochtergesellschaft von Facebook ganz oder teilweise an Server, die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet, letztlich auch ausgewertet. Facebook weiss sehr genau, was seiner Nutzer dort treiben. Einzelne Nachfragen zur Optimierung der Nutzung zeigen dies sehr deutlich.  


Der Kläger legte bei der irischen Datenschutzbehörde eine Beschwerde ein, weil er im Hinblick auf die von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten, insbesondere der National Security Agency (NSA), der Ansicht war, dass das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor Überwachungstätigkeiten der dortigen Behörden böten. Die irische Behörde wies die Beschwerde insbesondere mit der Begründung zurück, die Kommission habe in ihrer Entscheidung vom 26. Juli 2002 festgestellt, dass die Vereinigten Staaten im Rahmen der sogenannten „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau der übermittelten personenbezogenen Daten gewährleisteten. Daraufhiun erhob der Kläger in Irland Klage zum High Court. 



Der mit der Rechtssache befasste irische High Court möchte wissen, ob diese Entscheidung der Kommission eine nationale Datenschutzbehörde daran hindert, eine Beschwerde zu prüfen, mit der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31). Gegenstand des Urteils ist daher nur diese Entscheidung der Europäischen Kommission, die der EuGH erfreulicherweise für falsch hält. Die Safe-Harbor-Regelung enthält eine Reihe von Grundsätzen über den Schutz personenbezogener Daten, denen sich amerikanische Unternehmen freiwillig unterwerfen können, die also nicht einmal von Gesetzes wegen in den USA gelten.



In dem im Kern zu begrüßenden Urteil des EuGH führt der Gerichtshof aus, dass die Existenz einer Entscheidung der Kommission, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für
übermittelte personenbezogene Daten gewährleistet, die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union und der Richtlinie verfügen, weder beseitigen noch auch nur beschränken kann. Es kann die nationalen Datenschutzbehörden daher auch nicht rechtlich binden. Diese Datenschutzbehörden bleiben vielmehr zuständig, weil keine Bestimmung der Richtlinie die nationalen Datenschutzbehörden an der Kontrolle der Übermittlungen personenbezogener Daten in Drittländer hindert, die Gegenstand einer Entscheidung der Kommission waren. Die national zuständigen Datenschutzbehörden müssen Beschwerden in völliger Unabhängigkeit prüfen können. Dazu gehört auch die Feststellung, ob ein angemessenes Schutzniveau in dem betreffenden Drittstaat vorhanden ist oder nicht. Letztlich läuft das auf eine Rechtsvergleichung im Datenschutzrecht hinaus. Der EuGH wird sehr deutlich:


"Ist eine nationale Behörde oder die Person, die sie angerufen hat, der Auffassung, dass eine Entscheidung der Kommission ungültig ist, muss diese Behörde oder diese Person folglich die nationalen Gerichte anrufen können, damit diese, falls sie ebenfalls Zweifel an der Gültigkeit der Entscheidung der Kommission haben, die Sache dem Gerichtshof vorlegen können". 


Der Gerichtshof kommt hinsichtlich der Entscheidung der Kommission zu dem Schluss, dass die Kommission hätte feststellen müssen, dass die Vereinigten Staaten aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleisten, das dem in der Union aufgrund der Richtlinie im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Eine solche Feststellung hat die Kommission nicht getroffen, sondern sie hat sich darauf beschränkt, die SafeHarbor-Regelung zu prüfen. Folglich hat der EuGH keineswegs festgestellt, dass die US - Regelungen kein angemessenes Schutzniveau enthalten. 



Die Regelungen des Safe - Harbour - Abkommens binden nach der völlig überzeugenden Auffassung des EuGH nur jene amerikanischen Unternehmen, die sich ihr freiwillig unterwerfen, nicht aber für die Behörden der Vereinigten Staaten. Außerdem haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten Vorrang vor der Safe-Harbor-Regelung, so dass die amerikanischen Unternehmen ohne jede Einschränkung verpflichtet sind, die in dieser Regelung vorgesehenen Schutzregeln unangewandt zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen stehen. 

Die amerikanische SafeHarbor-Regelung ermöglicht daher Eingriffe der amerikanischen Behörden in die Grundrechte von Personen, die US - Recht nicht unterliegen. Es ist vielmehr so, dass die amerikanischen Behörden auf die aus den Mitgliedstaaten in die Vereinigten Staaten übermittelten personenbezogenen Daten zugreifen dürfen und sie in einer Weise verarbeiten konnten, die namentlich mit den Zielsetzungen ihrer Übermittlung unvereinbar war und über das hinausging, was nach Ansicht der Kommission zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig gewesen wäre. Es gibt nach US - Recht für die Betroffenen keine administrativen oder gerichtlichen Rechtsbehelfe, die es ihnen erlauben, Zugang zu den sie betreffenden Daten zu erhalten und gegebenenfalls deren Berichtigung oder Löschung zu erwirken. Ob es derart effektive Rechte nach deutschen Recht oder einer anderen Rechtsordnung in bestimmten Bereichen gibt, sei hier dahingestellt


Der Gerichtshof wird aber sehr deutlich, indem er ausführt, dass eine Regelung, die es Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt. Das ist eine sehr weitreichende Formel, bei der man in der Zukunft beobachten muss, wie sie angewendet werden wird. Der EuGH vertieft dies weiter dahingehend, dass es für Betroffene eine Möglichkeit effektiven Rechtsschutzes geben muss, weil eine solche Möglichkeit dem
dem Wesen eines Rechtsstaats inhärent ist.


Der EuGH stellt klar, dass die Entscheidung der Kommission vom 26. Juli 2000 den nationalen Datenschutzbehörden Befugnisse entzieht, die ihnen für den Fall zustehen, dass eine Person die Vereinbarkeit der Entscheidung mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen in Frage stellt. Die Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu beschränken. Die Entscheidung der Kommission vom 26. Juli 2000 wird für ungültig erklärt. Letztlich wird eine Entscheidung der Europäischen Kommission verworfen, zu der sie gar nicht befugt war. 


Infolgedessen muss die irische Datenschutzbehörde die Beschwerde des Klägers mit aller gebotenen Sorgfalt prüfen und ihn neu dahingehend bescheiden,  ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet. Diese Entscheidung wird abzuwarten sein. Derzeitige Änderungen für die Praxis: keine.  

Die Entscheidung hat daher beispielsweise auf die einschlägige Klauselpraxis in AGB und in Verträgen derzeit nach hiesiger Einschätzung noch keine Auswirkungen. 



Quelle: PRESSEMITTEILUNG Nr. 117/15
Luxemburg, den 6. Oktober 2015