EuGH erklärt Safe Harbor-Regelung mit USA für ungültig

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 6. Oktober 2015 (Urteil C-362/14) eine Entscheidung der Europäischen Kommission (Entscheidung 2000/520) betreffend Safe Harbor-Regelung mit den USA und damit auch die Safe Harbor-Regelung selbst für ungültig erklärt. Die Safe Harbor-Regelung stellt Pflichten zur Bearbeitung von Personendaten auf und erlaubte den erleichterten Transfer von Personendaten aus Mitgliedstaaten der Europäischen Union an Unternehmen in den USA.

Personendaten dürfen aus Mitgliedstaaten der Europäischen Union nur in Drittstaaten transferiert werden, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist. Die Schweiz besitzt mit Art. 6 Abs. 1 des schweizerischen Datenschutzgesetzes (DSG) eine identische Regelung. Sofern ein Drittstaat kein angemessenes Datenschutzniveau gewährleisten kann, sind zusätzliche Datenschutzmassnahmen zu treffen (für die Schweiz ist dies in Art. 6 Abs. 2 DSG geregelt). 2000 hat die Europäische Kommission die Safe Harbor-Regelung geprüft und festgehalten, dass dadurch ein angemessenes Datenschutzniveau gewährleistet wird (Entscheid 2000/520 der Europäischen Kommission). Die Safe Harbor-Regelung erlaubte damit den erleichterten Transfer von Personendaten an Safe Harbor zertifizierte Unternehmen in den USA. Folgerichtig liessen sich denn auch viele US-amerikanische Unternehmen zertifizieren, um z.B. die Datenspeicherung und – bearbeitung auf Servern in den USA zu zentralisieren.

Kein Fall Facebook – Schrems vs. Irischer Data Protection Commissioner

Auch wenn es im Entscheid des EuGH vom 6. Oktober 2015 vordergründig um Personendaten geht, welche von Facebook erhoben und in den USA gespeichert wurden, hat Mark Zuckerberg, CEO von Facebook, recht, wenn er festhält, dass „this case is not about Facebook. (…). The Advocate General himself said that Facebook has done nothing wrong.“

Das vorliegende Verfahren wurde vielmehr durch eine Klage des österreichischen Facebook-Nutzers Maximilan Schrems gegen den Irischen Data Protection Commissioner beim Irischen High Court ausgelöst. Schrems war der Meinung, dass seine Daten bei Facebook nicht mehr sicher seien. Er stützte sich dabei hauptsächlich auf die Enthüllungen von Edward Snowden zur globalen Massenüberwachung durch amerikanische Behörden. Schrems reichte daher am 25. Juni 2013 beim irischen Data Protection Commissioner eine Beschwerde ein mit der Aufforderung, Facebook Irland den Transfer seiner Personendaten in die USA zu untersagen. Der Data Protection Commissioner wies die Beschwerde als unbegründet ab. Er verwies hierbei auf den Entscheid 2000/520 der Europäischen Kommission, in welchem festgestellt wurde, dass die USA dank der Safe Harbor-Regelung ein angemessenes Datenschutzniveau gewährleisten könne.

Schrems zog den Fall an den irischen High Court weiter. Der High Court wandte sich mit unionsrechtlichen Fragen an den EuGH. Der High Court stellte dem EuGH die Frage, ob eine mitgliedstaatliche Behörde (in casu der irische Data Protection Commissioner) an den Entscheid 2000/520 der Europäischen Kommission betreffend Safe Harbor-Regelung gebunden sei und ob diese nationale Behörde wegen neuer tatsächlicher zwischenzeitlicher Entwicklungen seit der Entscheidung der Europäischen Kommission (in casu die Enthüllungen von Edward Snowden) eigene Ermittlungen anstellen muss.

Im Mittelpunkt stehen Überwachungsmassnahmen von US-Behörden

Der EuGH hielt in seinem Urteil vom 6. Oktober 2015 fest, dass Entscheidungen der Europäischen Kommission Personen, deren personenbezogene Daten in ein Drittland übermittelt werden, nicht daran hindern, die nationalen Datenschutzbehörden zum Schutz ihrer Rechte zu befassen. Die nationalen Gerichte seien jedoch nicht befugt, selbst die Ungültigkeit eines solchen Rechtsaktes festzustellen.

Der EuGH befasste sich daher im Folgenden mit der Gültigkeit der Entscheidung 2000/520 der Europäischen Kommission und fokussierte dabei vor allem auf die neuesten Erkenntnisse zu Überwachungsmassnahmen durch US-Behörden.

Dieser Fokus wurde im Vorfeld der Verhandlung vor dem EuGH von der US-Vertretung bei der Europäischen Union harsch kritisiert. Die US-Vertretung warf dem EuGH-Generalanwalt vor, seine Stellungnahme an den EuGH basiere auf falschen Annahmen betreffend die Überwachungstätigkeit der US-Behörden.

Selbstzertifizierungssystem der Safe Harbor-Regelung nicht ausreichend

Der EuGH sprach sich in seinem Urteil vom 6. Oktober 2015 nicht generell gegen ein Selbstzertifizierungssystem, wie dies die Safe Harbor-Regelung vorsieht, aus. Gemäss EuGH „beruht die Zuverlässigkeit eines solchen Systems im Hinblick auf dieses Erfordernis [des angemessenen Datenschutzniveaus] wesentlich auf der Schaffung wirksamer Überwachungs- und Kontrollmechanismen, die es erlauben, in der Praxis etwaige Verstösse gegen Regeln zur Gewährleistung des Schutzes der Grundrechte, insbesondere des Rechts auf Achtung der Privatsphäre sowie des Rechts auf den Schutz personenbezogener Daten, zu ermitteln und zu ahnden.“

Der EuGH kam in seinem Urteil zum Schluss, das keine solchen wirksamen Überwachungs- und Kontrollmechanismen bestünden. Die US-amerikanischen Behörden würden die Einhaltung der Safe Harbor-Regeln durch die zertifizierten Unternehmen weder verlangen, noch prüfen.

Darüber hinaus schwerwiegende Grundrechtseingriffe

Des Weiteren habe die Europäische Kommission in ihrer Entscheidung 2000/520 den „Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen“ Vorrang vor der Safe Harbor-Regelung eingeräumt. Die Europäische Kommission habe jedoch nicht geprüft, ob es in den USA Regeln gäbe, welche Eingriffe in die Grundrechte von Personen, deren Daten aus der EU in die USA transferiert werden, begrenzen. Die Entscheidung würde auch keine Feststellungen zur Frage enthalten, ob für Personen aus der Union ein wirksamer gerichtlicher Rechtsschutz gegen solche Eingriffe in die Grundrechte durch US-Behörden bestünde.

Der EuGH kam zum Schluss, dass eine Regelung [in casu gewisse Überwachungsmassnahmen von US-Behörden], die „generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne ein objektives Kriterium vorzusehen, das es ermöglicht, den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit deren Nutzung verbundenen Eingriff zu rechtfertigen vermögen,“ dem Erfordernis des angemessenen Datenschutzniveaus nicht genügen würde.

Der EuGH hält darüber hinaus fest, dass eine Regelung, welche für die Betroffenen keine Rechtsbehelfe vorsieht, die es ihnen erlauben, Zugang zu den sie betreffenden Daten zu erhalten und deren Berichtigung oder Löschung zu erwirken, den Kerngehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt.

Aus den erwähnten Gründen erklärt der Gerichtshof die Entscheidung 2000/520 der Europäischen Kommission für ungültig und die Safe Harbor-Regelung damit als nicht ausreichend, um ein angemessenes Datenschutzniveau zu gewährleisten.

Die irische Datenschutzbehörde muss nun die Beschwerde von Schrems nochmals prüfen und entscheiden, ob die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten einzustellen ist, weil kein angemessenes Datenschutzniveau gewährleistet ist. Faktisch hat der EuGH diese Frage jedoch bereits vorweggenommen.

Sind Datentransfers in die USA gestützt auf andere Mechanismen weiterhin möglich?

Viel diskutiert wird im Nachgang des EuGH-Urteils die Frage, ob Datentransfers in die USA gestützt auf andere Datenschutzmassnahmen – im Vordergrund stehen hierbei die EU Standardklauseln – durch das Urteil tangiert werden. Facebook hat denn auch in seiner Mitteilung zum Urteil festgehalten, dass „it doesn’t rely on Safe Harbor to legitimize its data transfers“. Andere Unternehmen werden ebenfalls zusätzliche Massnahmen getroffen haben oder dies noch tun.

Nimmt man die Argumente des EuGH zum Massstab – der Hauptfokus lag auf den Überwachungsmassnahmen durch US-Behörden –, stellt sich jedoch die Frage, ob solche anderen Datenschutzmassnahmen geeignet sind, ein angemessenes Datenschutzniveau im Sinne des EuGH-Urteils zu gewährleisten. Der EuGH hielt ja nicht die datenschutzrechtlichen Pflichten der Safe Harbor-Regelung für ungenügend. Er hat sich mit diesen Pflichten gar nicht auseinandergesetzt. Das nur summarisch angesprochene Problem mit den fehlenden Kontroll- und Sanktionsmöglichkeiten beim Selbstzertifizierungssystem der Safe Harbor-Regelung wäre durchaus lösbar. Dasselbe Problem stellt sich darüber hinaus auch bei den rein vertragsrechtlichen Massnahmen wie die EU Standardklauseln. Die rein vertragsrechtlichen Lösungen ändern letztlich nichts daran, dass die staatlichen Überwachungsmassnahmen Vorrang haben und sich die vertraglich verpflichteten US-Unternehmen an entsprechende behördliche Anordnungen halten müssen.

Bereits 2013 hat die deutsche Datenschutzkonferenz, welche sich aus den Datenschutzbehörden des Bundes und der Länder zusammensetzt, nicht nur Datentransfers in die USA gestützt auf die Safe Harbor-Regelung, sondern auch solche gestützt auf die EU-Standardklauseln kritisiert. Die Datenschutzkonferenz verlangte, dass auch Datentransfers gestützt auf die EU Standardklauseln vorläufig ausgesetzt werden sollen. In den EU Standardvertragsklauseln muss der Datenimporteur zusichern, dass seines Wissens in seinem Land keine Rechtsvorschriften bestehen, die die Garantien aus den Klauseln in gravierender Weise beeinträchtigen. Gemäss Datenschutzkonferenz lag wegen der Überwachungsmassnahmen in den USA eine solche Beeinträchtigung vor.

Die Europäische Kommission sieht dies anders und hielt in Pressemitteilungen zum EuGH-Urteil fest, dass transatlantische Datenflüsse gestützt auf die anderen verfügbaren Mechanismen (z.B. den Abschluss von EU Standardsvertragsklauseln) ungehindert weitergehen könnten. Diese Auffassung wurde jedoch von gewissen Rechtsexperten umgehend angezweifelt.

Die Schwierigkeit des EuGH-Urteils für die Praxis liegt in seinen rechtspolitischen Auswirkungen. Der EuGH kippt die Safe Harbor-Regelung mit Argumenten, welche sich nicht unmittelbar auf die Datenschutzgesetzgebung beziehen. Der EuGH nimmt die datenschutzrechtlichen Anforderungen an Datentransfers ins Ausland vielmehr zum Anlass, um mittelbar das Grundrechtsverständnis in der EU extraterritorial auf ein Drittland wie die USA anzuwenden. Der EuGH prüft mit seinen Argumenten implizit, ob ein Drittland bei der Implementation von staatlichen Überwachungsmassnahmen, welche nach Ansicht des Drittlandes im öffentlichen Interesse sind, EU-Massstäbe für den Schutz der Privatsphäre der Bürger anwendet.

Ob diese mittelbare Prüfung von staatlichen Massnahmen eines Drittstaates durch den EuGH gut oder schlecht ist, kann offen gelassen werden. Aus rechtspolitischer Sicht wirft das Urteil jedoch schwierige Fragen auf. Dies, zumal es Mitgliedstaaten der EU und deren Behörden mit dem Schutz der Privatsphäre ihrer Bürger selbst auch nicht immer ernst nehmen. Viele Nachrichtendienste von Mitgliedstaaten der EU sammeln und bearbeiten Daten von Bürgern in derselben Weise. Einzelne dieser Dienste kooperieren sehr stark mit den durch das Urteil des EuGH indirekt angegriffenen US-Behörden und tauschen mit diesen freiwillig Daten aus. Zuletzt sei auch darauf hingewiesen, dass die EU-Staaten – aus Sicht des Grundrechtsschutzes fragwürdig – beim automatischen, verdachtsunabhängigen Informationsaustausch betreffend Steuerdaten den Schutz der Privatsphäre der betreffenden Unionsbürger nicht in den Mittelpunkt stellen. Weshalb der Unionsbürger als Facebook-Nutzer einen sehr starken Schutz seiner Privatsphäre erhält, während derselbe Bürger als Inhaber eines Bankkontos mit stärkeren Eingriffen leben muss, lässt sich nur mit einer anderen Gewichtung des öffentlichen Interesses erklären.

Implikationen des EuGH-Urteils aus schweizerischer Sicht

Die Schweiz und hier insbesondere der Eidgenössische Datenschutzbeauftragte sind nicht an das Urteil des EuGH gebunden. Dies, auch wenn die Safe Harbor-Regelung zwischen der Schweiz und den USA mit der Safe Harbor-Regelung der EU und den USA mehrheitlich übereinstimmt. Bis anhin waren die Medienmitteilungen des Eidgenössischen Datenschutzbeauftragten eher zurückhaltend und abwartend.

Für die Praxis von Schweizer Unternehmen, die Daten in die USA transferieren möchten, könnten sich aus dem Urteil des EuGH Probleme ergeben, wenn die Schweizer Behörden der Hauptargumentationslinie des EuGH folgen sollten. Schweizer Unternehmen, welche Daten von Unionsbürgern bearbeiten und transferieren, müssen das EuGH-Urteil ohnehin berücksichtigen.

Sicher gehen Unternehmen, welche ihre Daten auf Servern speichern, die in einem Mitgliedstaat der EU oder in der Schweiz selbst lokalisiert sind. Die grösseren US-amerikanischen Unternehmen, welche Datenspeicherungsdienstleistungen, insbesondere Cloud Computing, anbieten, dürften entsprechende Lösungen bereits in Vorbereitung haben. Unproblematisch sind Transfers auch dann, wenn sie mit der expliziten und informierten Zustimmung der betroffenen Datensubjekte erfolgen. Als Massnahme bei zukünftigen Datentransfers in die USA dürfte jedoch das Einholen einer informierten und expliziten Zustimmung jeder einzelnen betroffenen Person in den meisten Fällen nicht praktikabel sein.

Aus praktischer Sicht ist es wichtig, dass die gegenwärtige Phase der Rechtsunsicherheit relativ schnell beendet wird. Facebook weist in seiner Medienmitteilung denn auch darauf hin, dass die USA und die EU im Bereich Datenschutz zusammenarbeiten müssen, um tragfähige Lösungen für Datentransfers zu finden. Ein neues Datenschutzabkommen zwischen der EU und der USA ist in Beratung und es ist davon auszugehen, dass die Erwägungen des EuGH bei diesen Beratungen hineinfließen werden. Sowohl die EU als auch die USA werden diesbezüglich Zugeständnisse machen müssen. Es wäre von der EU naiv zu glauben, dass sich die USA in Sachen öffentlicher Sicherheit von der EU Grundregeln diktieren lassen wird. Allerdings darf von den USA erwartet werden, dass im Umgang mit Personendaten das Schutzniveau substantiell erhöht wird, dass entsprechende Regelungen gesetzlich verankert und Verstösse gegen diese Regelungen staatlich kontrolliert und geahndet werden.

UPDATE: Stellungnahme des EDÖB vom 22. Oktober 2015 zum Safe Harbor Urteil: Safe Harbor auch in der Schweiz nicht mehr ausreichend

Der Eidgenössische Datenschutzbeauftragte (EDÖB) hat mit Mitteilung vom 22. Oktober 2015 festgehalten, dass auch das CH-USA Safe Harbor-Regelwerk für den Datenaustausch mit US-Unternehmen nicht mehr ausreichend ist. Lesen Sie hier unseren Blog Beitrag – „UPDATE: Safe Harbor ist auch in der Schweiz nicht mehr ausreichend – zusätzliche Massnahmen notwendig“ vom 26. Oktober 2015.

 

Weitere Informationen

Ansprechpartner: Dr. Michael Reinle und Lukas Bühlmann