zurück zur Übersicht

24.
März
2018

Vom Volkszählungsurteil bis zum Sicheren Hafen
Die Top 10 der Datenschutzentscheidungen und ihre Folgen (Teil 10)

Die Datenschutzgrundverordnung steht vor der Tür. Eine gute Gelegenheit, auf die Entwicklung des Datenschutzes zurückzublicken. Und damit Vorhang auf für meine sehr subjektive Top-10-Liste der wichtigsten Datenschutzentscheidungen.

Heute: Das Das Safe-Harbor-Urteil des Europäischen Gerichtshofs vom 6. Oktober 2015.

a) Worum ging es?

Maximilian Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, nutzt seit 2008 das soziale Netzwerk Facebook (im Folgenden: Facebook).

Alle im Unionsgebiet wohnhaften Personen, die Facebook nutzen wollen, müssen bei ihrer Anmeldung einen Vertrag mit Facebook Ireland abschließen, einer Tochtergesellschaft der in den Vereinigten Staaten ansässigen Facebook Inc.

Die personenbezogenen Daten der im Unionsgebiet wohnhaften Nutzer von Facebook wurden bislang ganz oder teilweise an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet.

Schrems legte deswegen im Juni 2013 bei der irischen Datenschutz-Aufsichtsbehörde Data Protection Commissioner eine Beschwerde gegen die Facebook Ireland Ltd. ein. Die Behörde verweigerte sich einer inhaltlichen Prüfung, weil die Übermittlung auf der Grundlage der Safe-Harbor-Entscheidung der EU-Kommission erfolgte und die EU-Kommission darin die Angemessenheit des Datenschutzniveaus festgestellt hatte.

Gegen die Entscheidung der Aufsichtsbehörde klagte Schrems vor dem irischen High Court, der dem EuGH die Fragen vorlegte, ob die irische Aufsichtsbehörde an die Safe-Harbor-Entscheidung gebunden ist oder ob sie eigene Ermittlungen anstellen kann oder muss.

Grund: Die Enthüllungen von Snowden hätten gezeigt, dass die NSA und andere Bundesbehörden „erhebliche Exzesse” begangen hätten. Der High Court fügte hinzu, die Unionsbürger hätten in diesem Zusammenhang keinen wirksamen Anspruch auf rechtliches Gehör. Die Überwachung der Handlungen der Nachrichtendienste finde ex parte und unter Geheimhaltung statt.

Sobald die personenbezogenen Daten in die Vereinigten Staaten übermittelt worden seien, könnten die NSA und andere Bundesbehörden wie das FBI darauf im Rahmen der von ihnen praktizierten massenhaften und wahllosen Überwachung und Erfassung zugreifen.

b) Wie entschied das Gericht?

Der EuGH beschränkte sich nicht darauf, die Vorlagefragen zu beantworten, sondern erklärte die Safe-Harbor-Entscheidung an sich für unwirksam. Die Ungültigkeit beruht zwar tragend nur auf formellen Fehlern der EU-Kommission. Doch einerseits betreffen diese formellen Fehler ebenso die Beschlüsse über die EU-Standardvertragsklauseln, andererseits hat der EuGH umfangreiche materielle Voraussetzungen für ein angemessenes Datenschutzniveau und die Zulässigkeit von Datenexporten in Drittstaaten aufgestellt.

Das begründet der EuGH damit, dass die DSRL im Lichte der Grundrechtscharta ausgelegt werden muss und ein hohes Schutzniveau der Grundrechte und Grundfreiheiten gewährleisten soll.

Eine grundrechtskonforme Auslegung der DSRL wiederum erfordert als „angemessenes Schutzniveau“ im Drittstaat ein dem europäischen Schutzniveau der Sache nach vergleichbares Schutzniveau. Den Drittstaat trifft insoweit eine Gewährleistungspflicht. Er hat wirksame Überwachungs- und Kontrollmechanismen zu schaffen, um Verstöße zu ermitteln und zu ahnden.

Angelehnt an das Volkszählungsurteil des BVerfG fordert der EuGH, dass Eingriffe in die Schutzbereiche der Art. 7 und 8 GRCh nur aufgrund von Regelungen erfolgen dürfen, die den Geboten der Normenklarheit, Normenbestimmtheit und Verhältnismäßigkeit genügen, um einen wirksamen Schutz der Daten vor Missbrauch, unberechtigtem Zugang und unberechtigter Nutzung zu bieten.

Dem Betroffenen ist ein Rechtsbehelf zur Verfügung zu stellen, damit dieser Zugang zu den über sich gespeicherten Daten erhält und deren Korrektur oder Löschung erreichen kann.

c) Was bedeutet das für die Praxis?

Die offensichtliche Folge des Urteils: Die Safe-Harbor-Entscheidung kann nicht mehr herangezogen werden, um Datenübermittlungen in die USA – also auch Auftragsdatenverarbeitungen wie Cloud Services oder E-Mail-Newsletter-Versand – auf der zweiten Stufe der Zulässigkeitsprüfung zu rechtfertigen.

Als Rechtsgrundlage kamen bis Ende Januar 2016 in vielen Fällen nur die Standardvertragsklauseln in Betracht, die ebenso wie Binding Corporate Rules, Einzelfallgenehmigungen, Einwilligungen und gesetzliche Erlaubnistatbestände zumindest nicht unmittelbar von der Entscheidung des EuGH erfasst sind.

Doch diese nicht direkt von dem Urteil betroffenen Erlaubnisnormen für Drittstaaten-Übermittlungen stehen auf wackligen Füßen. Gerade die Standardvertragsklausel-Beschlüsse leiden unter den gleichen formalen wie inhaltlichen Mängeln wie Safe-Harbor. Insbesondere fehlen die vom EuGH verlangten Feststellungen. Auch diesbezüglich sind die Zugriffsbefugnisse der US-Geheimdienste auf im Land gespeicherte Daten nicht beschränkt – ebenso wie die der chinesischen, russischen und vielen anderen Dienste.

Überwiegend wird deshalb die Auffassung vertreten, dass auch die Standardvertragsklauseln keine unbegrenzte Lebensdauer mehr haben.

Gefährdet sind ferner länderbezogene Angemessenheitsentscheidungen: So hat etwa die Schweiz just am Tag des EuGH-Urteils das neue Nachrichtendienstgesetz verkündet, das erheblich ausgeweitete Überwachungsbefugnisse vorsieht.

Abseits juristischer Feinheiten wie der Ausklammerung der Geheimdienste aus der EU-Kompetenz ist auch schwer nachvollziehbar, warum eine Datenverarbeitung in den USA wegen Zugriffsmöglichkeiten der US-Geheimdienste unzulässig ist – aber z.B. in Großbritannien zulässig, obwohl die Briten auch zu den „Five Eyes” gehören.

Auch der Grundrechtsschutz der europäischen Bürger ist entsprechend limitiert, denn – formal korrekt vereinbarte und inhaltlich ausreichende – Auftragsdatenverarbeitungen innerhalb des EU- und EWR-Raums sind nach der DSRL per se zulässig, ohne dass es auf die jeweiligen nationalen Geheimdienstbefugnisse ankäme.

Weiterhin zulässig und damit eine mögliche Alternative sind Einwilligungen in die Übermittlung in Drittstaaten trotz eines nicht angemessenen Schutzniveaus. Insofern sind nur die allgemeinen Anforderungen an Einwilligungen zu beachten. Dies betrifft insbesondere die Freiwilligkeit – was etwa im Bereich konzernweiter Personalverwaltung zu größten Problemen führt – und eine ausreichende Information vor Abgabe der Einwilligung.

Einwilligungstexte wie

Ich bin einverstanden, dass NSA und FBI jederzeit ungefragt in meinen Daten herumschnüffeln können, ohne dass ich davon erfahre oder mich dagegen wehren kann”,

wie sie nach dem EuGH-Urteil in den Medien als jetzt notwendige Einwilligungen genannt wurden, schießen jedenfalls weit über das Ziel hinaus – und sind nebenbei unwirksam.

Denn die Einwilligung muss sich nur auf die Übermittlung in den Drittstaat beziehen. Dass sich faktisch daraus Zugriffsmöglichkeiten der dortigen Behörden ergeben, ist keine Frage des Inhalts der Einwilligung, sondern der ausreichenden vorherigen Information über die Konsequenzen der Einwilligung, mithin der Informiertheit. Wie detailliert diese Information sein muss, ist eine Frage des Einzelfalls.

Sie muss jedenfalls die jeweils spezifischen Risiken der Datenübermittlung benennen, aber eine detaillierte Belehrung über die Rechtslage im Drittstaat ist sicherlich nicht erforderlich. Unberührt bleibt das Praxisproblem, dass Einwilligungen widerrufen werden können, sodass sich viele Verarbeitungen nicht auf eine Einwilligung gründen lassen.

Das „Safe-Harbor-Dilemma“ ist damit kaum auflösbar. Daran ändert auch das “Privacy-Shield-Abkommen” nichts, spätestens seit US-Präsident Trump im Januar 2017 eine Anordnung getroffen hat, der zufolge die Geltung des Privacy Acts für Personen, die keine US-amerikanischen Staatsangehörigen oder keine ständigen rechtmäßigen Einwohner der USA sind, ausgeschlossen ist. Seit diesem Zeitpunkt dürfte das Datenschutzniveau in den USA für EU-Bürger nicht mehr angemessen sein.

 

Fazit

Datenschutz ist und bleibt spannend. Nicht nur wegen Privacy Shield oder der Datenschutzgrundverordnung. Um die Entwicklung in Deutschland und der EU zu verstehen, ist die Kenntnis der wesentlichen Gerichtsentscheidungen nicht nur hilfreich, sondern notwendig.

Kommentar schreiben

Autor

Jens-Oliver Müller
Rechtsanwalt und Notar, Fachanwalt für Handels- und Gesellschaftsrecht, Fachanwalt für Informationstechnologierecht
Alle Artikel vom Autor