[Generalanwalt des EuGH C 311/18 – „Schrems 2“]
Der Generalanwalt des Europäischen Gerichtshofs – EuGH hat heute sein Gutachten in der Sache Schrems 2 [C311/18] vorgelegt. In der Sache Schrems 2 klagt die irische Datenschutzaufsicht, Data Protection Commissioner – DPC, gegen den österreichischen Datenschutzaktivisten Maximilian Schrems und Facebook vor dem Irish High Court. Der wiederum legt zur Beurteilung von Vorfragen zum europäischen Datenschutzrecht die Angelegenheit dem Europäischen Gerichtshof – EuGH vor. Am 19.12.2019 hat der mit der Sache betraute Generalanwalt des EuGH sein 95 Seiten umfassendes Gutachten zu den 11 von der DPC dem EuGH zur Entscheidung vorgelegten Rechtsfragen vorgestellt.
Einmal mehr geht es um den Transfer personenbezogener Daten aus der EU in die USA. Konkreter: Die persönlichen Daten von Max Schrems von Facebook Irland zu Facebook USA. Schrems hatte von der irischen Datenschutzaufsicht begehrt, den Datenabfluss zu unterbinden, weil er rechtswidrig sei, worauf die Datenschutzaufsicht mit der Klage vor dem Irish High Court reagierte.
Da die Gesetze in den USA allein kein aus Sicht der EU-Kommission ausreichendes Datenschutzniveau haben, hängt die Rechtmäßigkeit solcher Übermittlungen davon ab, dass der Datenverarbeiter weitere Maßnahmen trifft. In der Praxis sind dies meist der Abschluss von Standard-Vertragsklauseln (Standard Contractual Clauses – SCC) mit dem betroffenen Datensubjekt oder eine Selbstverpflichtung gemäß den Regelungen des „EU-US-Privacy Shield“, durch die der Datenverarbeiter sich jeweils einem Datenschutzregime unterwirft, das strenger ist als US-amerikanisches Recht. Die SCC und das Privacy Shield sind – auf unterschiedliche Weise – Gegenstand der Klage.
- Standardvertragsklauseln – SCC
Die DPC vertritt die Rechtsauffassung, sie habe keine Befugnisse, über das Begehren von Max Schrems zu entscheiden. Die SCC selbst müssten für ungültig erklärt werden, da die US-Überwachungsgesetze die Grundrechte auf Privatsphäre, Datenschutz und Rechtsschutz nach europäischem Recht verletzen. Das zu entscheiden, sei Sache des EuGH. Max Schrems argumentiert, dass die SCCs es der irischen DPC gestatten, einzelne Datenübermittlungen, wie die von Facebook, aufsichtsbehördlich zu untersuchen und zu stoppen, wenn sie die Auffassung vertritt, die Übermittlung sei rechtswidrig. „Da es eine einfache und offensichtliche Lösung für das Problem gibt, muss die Gültigkeit der SCCs hier nicht angegriffen werden“ meint Schrems.
Einen Anlass, die SCC für unwirksam zu erklären, erkennt auch der Generalanwalt des EuGH nicht. Selbst wenn die Entscheidung der EU-Kommission 2010/87, mit der sie die Standardvertragsklauseln – SCC verabschiedete für die (Sicherheits-)Behörden des Drittlands nicht bindend sind, folge daraus nicht die Unwirksamkeit der Entscheidung 2010/87 inkl. der SCC. Die Vereinbarkeit des Beschlusses 2010/87 mit den Artikeln 7 (Schutz der Privatsphäre), 8 (Schutz personenbezogener Daten) und das in Art 47 der Charta verankerte Grundrecht auf wirksamen gerichtlichen Schutz („Charta“) hänge davon ab, ob es hinreichend solide Mechanismen gibt, die gewährleisten, dass Übermittlungen auf der Grundlage der SCC ausgesetzt oder verboten werden, wenn diese Klauseln verletzt werden oder nicht eingehalten werden können [Gutachten RN 127]. Die SCC sehen solche Mechanismen vor, wie der Generalanwalt weiter ausführt [Gutachten RN 128-160]. Der Generalanwalt will die klagende irische Datenschutzaufsicht in die Pflicht nehmen. Er legt dar, warum es Sache der DPC sei, im Einzelfall Schrems – wie von diesem begehrt – die Rechtmäßigkeit der Übermittlung seiner personenbezogenen Daten auf der Grundlage der SCC durch Facebook aus Europa in die USA zu prüfen [Gutachten RN 140-160]. Als Aufsichtsbehörde hat sie Mittel der Untersuchung und der Sanktion. Sollte die Behörde feststellen, dass Datenübertragungen in die USA im Einzelfall nicht legal sind, kann sie den Datenstrom unterbinden lassen [dazu außerdem Gutachten RN 24 f zu Art. 4 der Entscheidung 2010/87, mit der wiederum die SCC verabschiedet wurden].
Die SCC sind kein Instrument, das ausschließlich auf die USA anzuwenden wäre. Vielmehr können sie auch für die Datenübermittlung in andere Drittländer ohne angemessenes Datenschutzniveau genutzt werden. Dem Generalanwalt ist daher in der Ablehnung der Rechtsauffassung der DPC, die SCC seien allein wegen der datenschutzrechtlichen Praxis der USA ungültig, beizupflichten.
- Privacy Shield
Im Juli 2016 erließ die EU-Kommission einen Angemessenheitsbeschluss. Demnach gewährleisten US-Unternehmen einen angemessenen Datenschutzstandard, wenn sie sich freiwillig den Regelungen des zwischen den USA und der EU ausgehandelten Privacy Shield unterwerfen. Datenübermittlungen an diese Unternehmen sind daher nicht wegen des laxeren US-amerikanischen Datenschutzrechts ausgeschlossen. Facebook hatte die Legalität der grenzüberschreitenden Datenübermittlung allerdings mit den SCC begründet. Diese seien Grundlage für den Datenfluss aus der EU in die USA. Nach Ansicht des Irish Supreme Court, so der Generalanwalt, betreffe die einzige materielle Frage, die ihm von der DPC vorgelegt wurde, die Gültigkeit der Entscheidung 2010/87, mit der wiederum die SCC verabschiedet wurden. Es gehe dem High Court also um die Wirksamkeit der SCC (Frage 11 des High Court an den EuGH: Sind die SCC wegen Verstoßes gegen Artikel 7, 8 und/oder 47 der EU Charta unwirksam?), die weiteren Fragen an den EuGH dienten nur der Gesamtbewertung dieser Frage [Gutachten RN 169f]. Aus diesem Grund (und weiteren im Einzelnen ausgeführten Erwägungen [Gutachten RN 174-186]) sei nach Auffassung des Generalanwalts der EuGH nicht berufen, (zu diesem Zeitpunkt) die Gültigkeit der Privacy-Shield-Entscheidung zu überprüfen.
Das hielt den Generalanwalt aber nicht davon ab, „hilfsweise und mit gewissen Vorbehalten einige nicht erschöpfende Ausführungen zu diesem Thema zu machen“ [Gutachten RN 187], die einen Umfang von 40 Seiten einnehmen. Seine Untersuchungen zur Rechtsgültigkeit mit Blick auf Art 7 (Schutz der Privatsphäre), 8 (Schutz personenbezogener Daten) und das in Art 47 der Charta verankerte Grundrecht auf wirksamen gerichtlichen Schutz schließen mit dem Ausdruck eines Zweifels daran, dass das Privacy Shield-Abkommen Bestand haben kann [Gutachten RN 342].
Eine Entscheidung des Gerichts ist damit nicht vorweggenommen. In der Regel folgen die Richter aber den Vorschlägen des Generalanwalts. Mit einem Urteil des EuGH ist in den nächsten Wochen zu rechnen.
Bereits 2015 hatte der österreichische Datenschutzaktivist Max Schrems vor dem EuGH ein rechtshistorisches Urteil erstritten: Der EuGH brachte das sogenannte Safe Harbor-Abkommen zwischen der EU und den USA zu Fall. Das Safe Harbor-Abkommen war der Vorgänger des jetzt vom Generalanwalt juristisch bewerteten Privacy Shield und funktionierte ganz ähnlich. Es erlaubte die Übermittlung personenbezogener Daten an US-Unternehmen, sofern diese sich freiwillig verpflichteten, bestimmte Vorgaben einzuhalten. Das Privacy Shield enthält gegenüber Safe Harbor einige Verschärfungen, bleibt aber hinter den Erwartungen von Datenschützern weit zurück. Es ist konsequent, wenn der Generalanwalt des EuGH in seinem Gutachten Zweifel an der Rechtmäßigkeit des Privacy Shield äußert.
- Safe Harbor
Am 06.10.2015 hatte der Europäische Gerichtshof (EuGH) entschieden, dass personenbezogene Daten nicht mehr in Anwendung des Safe Harbor Abkommens, genauer: der „Safe Harbor“ – Entscheidung der Europäischen Kommission 2000/520 – in die USA übermittelt werden dürfen. Das vernichtende Urteil hatte herausragende Bedeutung für den Datenverkehr in die USA. Und es hat aktuell Bedeutung für die Entscheidungsfindung des EuGH in Sachen Schrems 2. Denn bereits in seiner Safe Harbor-Entscheidung hatte der EuGH einen Katalog von Anforderungen formuliert, den eine Nachfolgeregelung des Safe Harbor-Abkommens, also z.B. das Privacy Shield, erfüllen muss (dazu unten Ziffer 1).
Der EuGH hatte in seinem Urteil die Art. 1 und 3 der Entscheidung 2000/520 und wegen ihrer Untrennbarkeit von Art 1 und 3 die gesamte aus 4 Artikeln bestehende „Safe Harbor“ – Entscheidung der EU Kommission 2000/520 vom 26.07.2000 für unwirksam erklärt.
Gemäß Art 25 Abs.6 der Datenschutzrichtlinie (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr), die inzwischen durch die Datenschutzgrundverordnung (Verordnung 2016/679) abgelöst wurde, war die EU Kommission ermächtigt festzustellen, „dass ein Drittland aufgrund innerstaatlicher Rechtsvorschriften oder internationaler Verpflichtungen , …, hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau … gewährleistet“. Ist ein angemessenes Schutzniveau im Drittland – d.h. einem Land außerhalb der EU – gewährleistet, dürfen personenbezogene Daten in das Drittland übermittelt werden, Art 25 Abs. 1 der Datenschutzrichtlinie (§ 4b Abs. (2) BDSG alter Fassung). Die EU Kommission hatte mit ihrer Entscheidung 2000/520 ein angemessenes Schutzniveau in den USA festgestellt, wenn die Organisationen (also insbesondere Unternehmen, an die die Daten übermittelt werden) „die Grundsätze des ´sicheren Hafens´ zum Datenschutz für den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat in die Vereinigten Staaten übermittelt werden, … beachten…“ und einige weitere Voraussetzungen erfüllen. Mit dem Urteil des EuGH, das die „Safe Harbor“ – Entscheidung 2000/520 für ungültig erklärt hatte, war jede Übermittlung personenbezogener Daten in die USA, die sich nur auf die Safe – Harbor – Legitimation stützt, unrechtmäßig. Das schließt die Anwendung alternativer Rechtsgrundlagen für die Übermittlung personenbezogener Daten in die USA nicht aus (dazu unten Ziffer 4), entzog aber der Datenübermittlung an einige tausend US-Unternehmen, die sich gerade auf die in der Praxis oft verwendete „Safe Harbor“ – Legitimation stützten, den Boden. Zu den Betroffenen zählen namhafte US-Konzerne wie Facebook, Google, Microsoft, Apple, Yahoo und Salesforce.
1. Die Voraussetzungen für eine wirksame Regelung
Das Gericht hatte festgestellt, dass eine Regelung, die die grenzüberschreitende Datenübermittlung aus der EU in ein Drittland legitimieren soll, folgende Voraussetzungen schaffen muss:
Ein angemessenes Schutzniveau, das verlangt, dass das Drittland aufgrund seiner innerstaatlichen Vorschriften oder aufgrund internationaler Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleistet, das dem in der EU aufgrund der Datenschutzrichtlinie 95/46 im Licht der Charta der Grundrechte der Europäischen Union („Charta“) garantierten Niveau der Sache nach gleichwertig ist. Die Mittel, auf die das Drittland zurückgreift, um dieses Niveau zu gewährleisten, können sich von denen der EU unterscheiden. Dennoch müssen sich diese Mittel in der Praxis als wirksam erweisen, um einen gleichwertigen Schutz zu erreichen.
Außerdem müssen für die Übermittlung personenbezogener Daten weitere europarechtliche Anforderungen erfüllt sein, die sich aus der Charta und der Rechtsprechung des Gerichtshofes ergeben: Eine Regelung, die einen Eingriff in die durch Art 7 (Schutz der Privatsphäre) und 8 (Schutz personenbezogener Daten) der Charta garantierten Grundrechte enthält, muss nach ständiger Rechtsprechung des Gerichtshofs klare und präzise Regelungen für die Tragweite und die Anwendung einer Maßnahme vorsehen und Mindestanforderungen aufstellen, so dass die Personen, deren personenbezogene Daten betroffen sind, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen. Der Schutz der Grundrechte auf Achtung des Privatlebens verlangt vor allem, dass sich die Ausnahmen vom Schutz der personenbezogenen Daten und dessen Einschränkungen auf das absolut Notwendige beschränken. Eine Regelung, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen gestattet, (i) ohne eine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und (ii) ohne ein objektives Kriterium vorzusehen, das es ermöglicht, den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit deren Nutzung verbundenen Eingriff zu rechtfertigen vermögen, ist nicht auf das absolut Notwendige beschränkt. Eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, verletzt den Wesensgehalt des in Art 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Schutz.
2. Unwirksamkeit der „Safe Harbor“ – Entscheidung
Zur Begründung der Unwirksamkeit von Art. 1 der Entscheidung 2000/520 hatte das Gericht angeführt, dass die EU Kommission keine ausreichenden Feststellungen zur Rechtslage in den USA mit Blick auf ein ausreichendes Schutzniveau getroffen hat:
a) Die Entscheidung 2000/520 enthält nicht einmal Feststellungen zu Maßnahmen, mit denen die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen ein angemessenes Schutzniveau im Sinne des Art. 25 Abs. 6 der Datenschutzrichtlinie gewährleisten.
b) Die Entscheidung 2000/520 trifft keine Feststellungen dazu, ob es in den Vereinigten Staaten schlechthin staatliche Regelungen gibt, die dazu dienen, etwaige Eingriffe – zu denen die staatlichen Stellen dieses Landes in Verfolgung berechtigter Ziele wie der nationalen Sicherheit berechtigt wären – in die Grundrechte der Personen, deren Daten aus der EU in die Vereinigten Staaten übermittelt werden, zu begrenzen.
c) Die Entscheidung 2000/520 enthält keine Feststellung zum Bestehen eines wirksamen gerichtlichen Rechtsschutzes gegen derartige Eingriffe.
Eigene Ermittlungen zur Rechtslage in den USA, um die von der Kommission unterlassenen Feststellungen selbst zu treffen, hat der EuGH nicht vorgenommen. In seiner Entscheidung beschränkte sich der Gerichtshof aber nicht darauf festzustellen, dass die „Safe Harbor“ – Entscheidung der Kommission aus 2000 auf unvollständigen Ermittlungen beruht und daher als Legitimationsgrundlage nicht reicht. Er hat weiter argumentiert:
d) Zwar ist ein System der Selbstzertifizierung (so die „Safe Harbor“ – Grundsätze) gemessen an den Anforderungen der Datenschutzrichtlinie nicht schlechthin unzulässig. Erforderlich sind aber wirksame Überwachungs- und Kontrollmechanismen, die es erlauben, in der Praxis etwaige Verstöße gegen Regeln zur Gewährleistung des Schutzes der Grundrechte … zu ermitteln und zu ahnden. Von den amerikanischen Behörden wird die Einhaltung der genannten Grundsätze allerdings nicht verlangt [S. 15, RN 82].
e) Die Entscheidung 2000/520 räumt den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen der USA ausdrücklich und ohne jede Einschränkung Vorrang vor den Grundsätzen des „sicheren Hafens“ ein [S. 16, RN86].
Und der EuGH greift zurück auf Erkenntnisse, die die EU Kommission nach ihrer Entscheidung 2000/520 selbst gewonnen und in ihrer Mitteilung vom 27.11.2013 [Mitteilung COM(2013) 846] zusammengefasst hat:
f) „Die vorstehende Analyse der Entscheidung 2000/520 wird im Übrigen bestätigt durch die von der Kommission selbst vorgenommene Beurteilung der aus der Umsetzung dieser Entscheidung resultierenden Sachlage. Sie stellt nämlich insbesondere … fest, dass die amerikanischen Behörden auf die aus den Mitgliedstaaten in die Vereinigten Staaten übermittelten personenbezogenen Daten zugreifen und sie in einer Weise verarbeiten konnten, die namentlich mit den Zielsetzungen ihrer Übermittlung unvereinbar war und über das hinausging, was zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig war. Desgleichen stellte die Kommission fest, dass es für die Betroffenen keine administrativen oder gerichtlichen Rechtsbehelfe gab, die es ihnen erlaubten, Zugang zu den sie betreffenden Daten zu erhalten und gegebenenfalls deren Berichtigung oder Löschung zu erwirken. [S.16, RN 90]
Aus der Mitteilung COM(2013) 846, zitierte der EuGH: „Zum anderen diene das System des ´Sicheren Hafens´ als Kanal für die Übertragung personenbezogener Daten von EU-Bürgern von der EU in die USA durch Unternehmen, die zur Freigabe von Daten an US-Geheimdienste im Rahmen der Datenerhebungsprogramme dieser Dienste aufgefordert werden.“, ferner, dass „das US-amerikanische Recht die umfassende Erhebung und Verarbeitung personenbezogener Daten zu[lässt], die von Unternehmen mit Sitz in den USA gespeichert oder in anderer Weise verarbeitet werden. … Diese groß angelegten Programme können dazu führen, dass auf der Grundlage der Safe-Harbor-Regelung transferierte Daten von US-Behörden über das Maß hinaus, das für den Schutz der nationalen Sicherheit (im Sinne der Ausnahmeklausel in der [Entscheidung 2000/520]) unbedingt nötig und angemessen wäre, abgerufen und weiterverarbeitet werden.“, ferner dass „die nach US-amerikanischem Recht verfügbaren Garantien größtenteils nur US-Bürgern oder Personen mit rechtmäßigem Wohnsitz in den USA zu[stehen]. Auch gibt es weder für EU- noch für US-Bürger die Möglichkeit, Auskunft über ihre Daten, deren Berichtigung oder Löschung zu erwirken, die im Rahmen der US-Überwachungsprogramme erhoben und weiterverarbeitet werden. Administrative oder gerichtliche Rechtsbehelfe stehen gleichfalls nicht zur Verfügung.“ Die EU Kommission schloss daher selbst: „Ernsthaft in Frage zu stellen ist …, ob die Datenschutzrechte europäischer Bürger, deren Daten in die USA übermittelt werden, angesichts des umfassenden Zugriffs der Nachrichtendienste auf Daten, die von Safe-Harbor-Unternehmen in die USA übermittelt werden, kontinuierlich geschützt sind.“
Gemessen an den Anforderungen der Artikel, 7, 8 und 47 der Charta boten die USA wegen anlasslosen und massenhaften Zugriffs ihrer Dienste auf personenbezogene Daten von EU-Bürgern bei US-Unternehmen und wegen fehlenden Rechtsschutzes kein „angemessenes Schutzniveau“ im Sinne des Art 25 Abs. 6 der Datenschutzrichtlinie.
Mit den „Safe Harbor“ – Grundsätzen (also insbesondere mit den Anforderungen der Selbstzertifizierung) hatte sich das Gericht gar nicht erst befasst: „Daher ist, ohne dass es einer Prüfung des Inhalts der Grundsätze des ´sicheren Hafens´ bedarf, der Schluss zu ziehen, dass Art. 1 der Entscheidung 2000/520 gegen die in Art 24 Abs. 6 der Richtlinie 95/46 im Licht der Charta festgelegten Anforderungen verstößt und aus diesem Grund ungültig ist.“
Allerdings hatte der Gerichtshof, wie oben unter Ziffer 1 zusammengefasst, im Einzelnen klargestellt, an welchen Grundsätzen eine neue „Safe Harbor“ – Entscheidung und jede andere – bestehende und zukünftige – Regelung zu messen ist. Und dies, obwohl der Gerichtshof danach nicht gefragt war. Er wurde vom Irischen High Court durch Vorabentscheidungsersuchen nach Art 267 AEUV vielmehr angerufen um zu entscheiden, ob ein unabhängiger Amtsträgen (im konkreten Fall die irische Datenschutzbehörde, der Data Protection Commissioner, im Folgenden „Commissioner“) bei der Prüfung einer bei ihm eingelegten Beschwerde, dass „personenbezogene Daten in ein Drittland (im vorliegenden Fall die Vereinigte Staaten von Amerika) übermittelt würden, dessen Recht und Praxis keinen angemessenen Schutz der Betroffenen gewährleistet, … absolut an die in der Entscheidung 2000/520 enthaltene gegenteilige Feststellung der Union gebunden ist. Oder kann und /oder muss der Amtsträger stattdessen im Licht tatsächlicher Entwicklungen, die seit der ersten Veröffentlichung eingetreten sind, eigene Ermittlungen in dieser Sache anstellen?“ Die Antwort war schnell gegeben. Art 28 Abs.1 der Datenschutzrichtlinie verpflichtet jeden Mitgliedsstaat, mindestens eine öffentliche Stelle damit zu betrauen, in völliger Unabhängigkeit die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogene Daten zu überwachen. Jede dieser Stellen, auch der Commissioner, ist befugt zu prüfen, ob bei einer Übermittlung von personenbezogenen Daten aus ihrem Mitgliedsstatt in ein Drittland die in der Datenschutzrichtlinie aufgestellten Anforderungen eingehalten werden. Andererseits ist bereits die Kommission selbst befugt festzustellen, ob in dem Drittland ein angemessenes Datenschutzniveau herrscht, Art 25 Abs.6 der Datenschutzrichtlinie, und eine positive Entscheidung hatte sie in 2000 betreffend „Safe Harbor“ und die Datenübermittlung in die USA getroffen. Diese Entscheidung band sämtliche Organe der Mitgliedsstatten, Art. 288 Abs.4 AEUV, auch den Commissioner. Aus der Verantwortung war der Commissioner damit nicht. Der Commissioner hatte die Prüfung der Eingabe des Österreichers Max Schrem in der Sache wegen dieser Entscheidung 2000/520 verweigert. Er sei an die Entscheidung 2000/520 gebunden, Unternehmen, die sich an die „Safe Harbor“-Grundsätze halten, seien legitimiert, personenbezogene Daten aus der Union zu erhalten. Er hätte aber eine eigene Prüfung vornehmen können. Es ist „Sache der angerufenen Kontrollstelle, die Eingabe mit aller gebotenen Sorgfalt zu prüfen.“ Gelangt die nationale Kontrollstelle zu dem Ergebnis, dass die Rügen gegen die Übermittlung von personenbezogenen Daten aus der Union in die USA berechtigt seien, muss es ein Klagerecht vor den nationalen Gerichten haben, Art 28 Abs. 3, Unterabsatz 1 Datenschutzrichtlinie. Teilt die Kontrollbehörde die Rechtsauffassung der beschwerdeführenden Partei nicht und weist ihr Anliegen ab, soll die derart beschwerte Partei ein Klagerecht vor den nationalen Gerichten haben, Art 28 Abs. 3, Unterabsatz 2 Datenschutzrichtlinie. Zwar sind auch die nationalen Gerichte nicht dazu berufen, die Ungültigkeit eines Unionsrechtsakts (wie den der Entscheidung 2000/520) festzustellen. Der Europäische Gerichtshof aber ist es. Und er hat diese Befugnis seiner Ansicht nach allein: „Gleichwohl ist allein der Gerichtshof befugt, die Ungültigkeit eines Unionsrechtsakts …festzustellen, wobei die Ausschließlichkeit dieser Zuständigkeit Rechtssicherheit gewährleisten soll …“ Der Rechtsweg führt also von der nationalen Kontrollbehörde über die nationalen Gerichte durch Vorabentscheidungsersuchen nach Art 267 AEUV stets zum EuGH, wenn es um die Wirksamkeit eines Unionsrechtsaktes geht.
3. Kernaussagen des Urteils
Die „Safe Harbor“ – Entscheidung der Europäischen Kommission 2000/520 ist ungültig.
Nationale Kontrollstellen müssen in völliger Unabhängigkeit prüfen können.
Allein der EuGH ist befugt, die Ungültigkeit eines Unionsrechtsaktes festzustellen.
4. Bedeutung des Urteils mit Blick auf den Datenschutz
„Safe Harbor“ ist seither keine Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA mehr. Die Übermittlung personenbezogener Daten in die USA, die sich nicht auf eine alternative Rechtsgrundlage stützen lässt, ist rechtswidrig und kann von den nationalen Datenschutzbehörden sanktioniert werden. Betroffene Unternehmen sind seither gezwungen, alternative Legitimationen zu nutzen, Mittel der Kryptographie zu verwenden oder ihre personenbezogenen Daten innerhalb der Grenzen der Union zu verarbeiten. Alternative Rechtsgrundlagen sind die Einwilligung der betroffenen Datensubjekte, Binding Corporate Rules, die jetzt vom EuGH geprüfte Privacy Shield und insbesondere die EU Standardvertragsklauseln.
Datenschutz | grenzüberschreitender Datenverkehr