1. Ein denkwürdiger Tag
Der 06. Oktober 2015. Ein denkwürdiger Tag. Der EuGH hat mit seinem Urteil die sog. Safe-Harbor Entscheidung der EU-Kommission für unwirksam erklärt. Viele Medien feiern dieses Urteil als Sieg für die Menschlichkeit und als Sieg für das Internet.
Vielfach wird behauptet, dass der EuGH darin geurteilt haben soll, dass die Datenverarbeitungspraxis von Facebook, Google und Co. unrechtmäßig sei. Dabei soll der EuGH sich auch kritisch mit der aus dem NSA-Skandal bekanntgewordenen Überwachungspraxis amerikanischer Geheimdienste auseinandergesetzt und diese streng gerügt haben. Ferner soll er geurteilt haben, dass es in den USA keine »angemessene« Datenverarbeitung geben kann.
Doch sind diese in unterschiedlichsten Medien verbreiteten Behauptungen korrekt? Ist die vielfach in den Medien verbreitete Euphorie für dieses Urteil wirklich so berechtigt? Ist das Urteil des EuGH wirklich so bahnbrechend, wie es gerne dargestellt wird? Hat der EuGH in diesem Urteil wirklich festgestellt, dass Facebook, Google und Co. rechtswidrig Daten verarbeiten?
Der folgende Kommentar wird sich u.a. mit diesen Fragen kritisch auseinandersetzen. Um das Urteil des EuGH nachvollziehen zu können, sollten wir uns jedoch zuvor kurz mit dem (vereinfacht dargestellten) Sachverhalt, der dem Urteil des EuGH zugrunde lag, auseinandersetzen.
Gastbeitrag von Gerald Spyra
Gerald Spyra ist Rechtsanwalt mit Spezialisierung auf den Informations- bzw. Datenschutz. Er ist externer betrieblicher Datenschutzbeauftragter und hat eine hohe Affinität für Themen aus dem Bereich der IT-Sicherheit.
Spenden für seine Arbeit möchte er direkt dem Kuketz-Blog zukommen lassen. Ihr könnt also direkt an den Kuketz-Blog spenden.
2. Der (komprimierte) Sachverhalt
Der Österreicher Max Schrems lag schon lange im Clinch mit Facebook. Er wollte insbesondere den für die Aufsicht von Facebook in Europa zuständigen irischen Datenschutzbeauftragten dazu bringen, gegen Facebook zu ermitteln und (im Optimalfall) die Datenverarbeitungs- bzw. Übermittlungspraxis von Facebook zu untersagen.
Der irische Datenschutzbeauftragte blieb jedoch untätig weil er die Auffassung vertrat, dass er aufgrund der sog. »Safe-Harbor«-Regelung (Entscheidung 2000/520), die die EU-Kommission mit Amerika abgeschlossen hat, gar nicht für die Datenschutzaufsicht von Facebook zuständig sei. Aufgrund der Safe-Harbor Ermittlung war er auch der Meinung, dass er gar nicht ermitteln und etwaige Verstöße sanktionieren dürfe.
Gegen diese (verwaltungsrechtliche) Entscheidung des irischen Datenschutzbeauftragten zog Max Schrems vor das zuständige irische Gericht. Weil sich das Gericht bzgl. der Vereinbarkeit der einschlägigen Safe-Harbor-Regelungen mit europäischem Datenschutzrecht unsicher war, setzte das Gericht das Verfahren aus und legte dem EuGH die nachfolgenden Fragestellungen vor:
1. Ist ein unabhängiger Amtsträger, der von Rechts wegen mit der Handhabung und der Durchsetzung von Rechtsvorschriften über den Datenschutz betraut ist, bei der Prüfung einer bei ihm eingelegten Beschwerde, dass personenbezogene Daten in ein Drittland (im vorliegenden Fall in die Vereinigten Staaten von Amerika) übermittelt würden, dessen Recht und Praxis keinen angemessenen Schutz der Betroffenen gewährleisteten, im Hinblick auf die Art. 7, 8 und 47 der Charta, unbeschadet der Bestimmungen von Art. 25 Abs. 6 der Richtlinie 95/46, absolut an die in der Entscheidung 2000/520 enthaltene gegenteilige Feststellung der Union gebunden?
und
2. Oder kann und/oder muss der Amtsträger stattdessen im Licht tatsächlicher Entwicklungen, die seit der erstmaligen Veröffentlichung der Entscheidung der Kommission eingetreten sind, eigene Ermittlungen in dieser Sache anstellen?
Eines deshalb schon vorweg. Es ging dem irischen Gericht nur darum vom EuGH zu erfahren, ob der irische Datenschutzbeauftragte an eine Kommissionsentscheidung wie Safe-Harbor gebunden ist, oder als unabhängiges Organ diese nicht beachten und selber Prüfungen vornehmen darf. Und dazu hat sich der EuGH in seinem Urteil geäußert …
3. Was hat der EuGH eigentlich entschieden?
Ausgehend von den beiden vorstehend dargestellten Vorlagefragen baut der EuGH seine Entscheidung klar strukturiert auf. Aus diesem Grund beschäftigt er sich zunächst erst einmal mit der Frage, in wie fern ein unabhängiger, europäischer Datenschutzbeauftragter berechtigt ist, trotz einer EU-Kommissionsentscheidung einen Sachverhalt, in dem Daten von Europa in ein datenschutzrechtliches »Drittland« – wie die Vereinigten Staaten von Amerika – übermittelt werden, zu prüfen. Diesbezüglich sagt der EuGH ganz klar, dass der zuständige (unabhängige) Datenschutzbeauftragte selbstverständlich einen Sachverhalt der Datenübermittlung in ein solches »Drittland« prüfen darf bzw. muss und bei Verstößen auch etwaige Sanktionen verhängen darf.
Jedoch ist der Datenschutzbeauftragte nicht befugt eine Kommissionsentscheidung, wie z. B. auch die Entscheidung, dass ein Land unter gewissen Voraussetzungen über ein angemessenes Datenschutzniveau verfügt, als unwirksam zu betrachten bzw. diese für unwirksam erklären. Über diese Befugnis verfügt nur der EuGH.
Danach geht der EuGH der Frage nach, in wie weit die Entscheidung der Kommission (Safe-Harbor) eigentlich wirksam ist. Dabei rügt der EuGH jedoch nicht die eigentliche Datenverarbeitungspraxis amerikanischer Unternehmen, weil diese auch nicht die Vorlagefragen betraf. Vielmehr beschäftigt er sich mit »Verfahrensfehlern« der Europäischen Kommission bei der Safe-Harbor-Entscheidung. Zusammenfassend lässt sich diesbezüglich feststellen, dass der EuGH die Safe Harbor-Entscheidung für unwirksam hält, weil die EU-Kommission bei dieser einige, für EU-Bürger datenschutzrelevante Aspekte nicht geprüft bzw. diesen nicht ausreichend Rechnung getragen hat.
So habe die EU-Kommission bspw. nicht ausreichend beachtet, dass die Safe Harbor-Entscheidung einen Passus enthält, der die US amerikanischen Unternehmen dazu verpflichtet von den in Safe-Harbor festgelegten Datenschutzprinzipien Ausnahmen zu machen, wenn »Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Rechnung getragen werden muss«. Dieser Passus habe dem EuGH nach zur Folge, dass US-Unternehmen bei sich widersprechenden Verpflichtungen stets dem amerikanischen Recht bzw. etwaigen Anweisungen von amerikanischen Behörden Folge leisten müssen und damit den in Safe Harbor vereinbarten Standard zum Schutz der europäischen Betroffenendaten durchbrechen können.
Ferner rügt der EuGH in seinem Urteil, dass die EU-Kommission in ihrer Entscheidung zu wenig die Thematik gewürdigt hat, dass europäischen Betroffenen ein effektiver Rechtsschutz gegen Maßnahmen von US Behörden verwehrt ist. Aus diesem Grund hätte sich die EU-Kommission zwingend intensiver mit dem US- amerikanischen Recht auseinandersetzen und in der Safe-Harbor Entscheidung berücksichtigen müssen.
Bezugnehmend auf die vorstehend angesprochene Thematik hinsichtlich der Prüfungsbefugnis eines unabhängigen europäischen Datenschutzbeauftragten hält der EuGH die Safe Harbor-Entscheidung ebenfalls für unwirksam. Denn aus dem entsprechenden Artikel der Safe-Harbor Entscheidung (Art. 3) ergebe sich zwangsläufig, dass die nationalen europäischen Datenschutzbehörden nicht befugt sind eine Datenübermittlung zu überprüfen bzw. auszusetzen, wenn sie eine Verletzung der nationalen Gesetze feststellen. Daraus folge letztendlich, dass die nationalen Datenschutzaufsichtsbehörden bei Safe-Harbor zertifizierten amerikanischen Unternehmen keine Überprüfung vornehmen dürfen, was wiederum gegen europäisches Recht verstoße. Dieses insbesondere deshalb, weil durch diesen »Kunstgriff« bzw. Passus in der Safe-Harbor Entscheidung, unzulässigerweise in die Rechte bzw. in die Unabhängigkeit der europäischen Datenschutzbehörden eingegriffen werde, wozu die EU-Kommission nicht berechtigt sei.
Alles in allem lässt sich deshalb festhalten, dass der EuGH sich in seinem Urteil primär mit Verfahrensfehlern der EU-Kommission beschäftigt hat. Er hat sich jedoch nicht – und das brauchte er aufgrund der Vorlagefrage des irischen Gerichts auch nicht -, zu der gängigen Datenverarbeitungspraxis amerikanischer Unternehmen geäußert. Man kann deshalb sagen, dass dieses Urteil politisch ziemlich »geschickt« war…
4. Was hat der EuGH in seinem Urteil nicht entschieden?
Anders als es in vielen Medien dargestellt wird, hat sich der EuGH deshalb in keinster Weise dazu geäußert, ob die Datenverarbeitung von Facebook und Co. rechtswidrig ist.
Der EuGH hat in seinem Urteil auch nicht dazu Stellung bezogen, ob und wie eine »rechtswirksame« Übermittlung von Daten europäischer Betroffener in die USA möglich ist. Er hat deshalb auch nicht entschieden, dass die USA generell ein »unsicherer Hafen« für die Daten europäischer Bürger sind. Er hat sich ferner auch nicht explizit dazu geäußert, dass Geheimdienste wie NSA etc. rechtswidrig durch PRISM und Co. in die Rechte von Europäern eingegriffen haben bzw. eingreifen. Der EuGH bezieht deshalb – anders als das Plädoyer des Generalanwalts – auch nicht die Enthüllungen von Edward Snowden in sein Urteil mit ein.
5. Was folgt daraus?
Zunächst einmal folgt aus dem Urteil des EuGH, dass die Irische Datenschutzbehörde nunmehr, wenn das irische Gericht entsprechend urteilt, berechtigt aber auch verpflichtet ist, intensiv zu prüfen, ob die Datenverarbeitung von Facebook tatsächlich gegen europäisches Datenschutzrecht verstößt. Aufgrund der Komplexität dieses Sachverhaltes und der geringen personellen und finanziellen Ausstattung der irischen Datenschutzbehörde, die übrigens auch für weitere Großkonzerne wie Google und Co. zuständig ist, wird deshalb noch einige Zeit ins Land ziehen bis wir wissen, ob die Datenverarbeitung von Facebook tatsächlich rechtswidrig ist. Ferner gilt zu beachten, dass selbst wenn der irische Datenschutzbeauftragte Verstöße von Facebook und Co. feststellt, Facebook usw. immer noch die Möglichkeit haben, gegen diese Entscheidung vor das zuständige Gericht zu ziehen und dieses auszuprozessieren. Auch dieses wird, weil der Rechtstreit wieder bis zum EuGH gehen kann, Jahre dauern …
Ob die u.a. von Safe-Harbor legitimierte Datenverarbeitungspraxis von Facebook und Co. nach europäischem Recht nicht doch legitimiert ist, bleibt abzuwarten. Dieses insbesondere deshalb, weil zu erwarten ist, dass sich Weltkonzerne wie Facebook, Google und Co. nicht nur auf »Safe Harbor« verlassen haben. Vielmehr ist zu erwarten, dass sie zusätzlich, weitere Möglichkeiten der Legitimation ausgeschöpft haben wie z. B. das Treffen von sog. »Binding Corporate Rules« oder die Verwendung sog. Standardvertragsklauseln der EU.
Auch wenn es verwundern mag. Das Urteil wird meiner Ansicht nach, auch wenn manche es als Meilenstein für den Datenschutz ansehen, gar nicht so viel an der etablierten Datenverarbeitungspraxis ändern. Mithin ist die Übermittlung personenbezogener Daten aus Europa in die USA auch in Zukunft nicht generell verboten. Sie unterliegt jedoch strengeren Anforderungen, als mit Safe-Harbor. Das Safe-Harbor kassierende Urteil des EuGH hat deshalb zum Effekt, dass nunmehr alle europäischen und amerikanischen Unternehmen, die Daten in die USA übermitteln und sich bisher (ausschließlich) auf Safe Harbor verlassen konnten, nunmehr prüfen müssen, ob und inwieweit Änderungs- und Anpassungsbedarf besteht.
Durch sein politisch geschicktes Urteil hat der EuGH der EU-Kommission darüber hinaus auch nicht die Möglichkeit versperrt ein neues Safe-Harbor Abkommen mit Amerika zu schließen. Diesbezüglich sind die Verhandlungen auch wieder in vollem Gange. Allerdings, und das wird durch das Urteil des EuGH sehr deutlich, muss die EU-Kommission in diesem neuen Abkommen (und vielleicht sogar in weiteren Abkommen wie TTIP) viel stärker die Rechte europäischer Betroffener berücksichtigen. Die EU-Kommission darf deshalb, und das zeigt das Urteil sehr deutlich, amerikanischen Unternehmen und Geheimdiensten bzw. anderen amerikanischen Sicherheitsbehörden keinen »Freibrief« für den Zugriff auf Daten europäischer Bürger erteilen.
Alles im allen besteht aber meiner Einschätzung nach, auch wenn es gerne anders gesehen wird, wenig Hoffnung, dass sich über kurz oder lang großartig an der Datenverarbeitungspraxis etwas ändern wird. Vielmehr ist zu erwarten, dass durch neue Trends wie dem »Internet der Dinge« oder »BigData« die Intransparenz und Komplexität der Datenverarbeitung immer weiter zunehmen wird. Als Betroffener hat man deshalb immer weniger die Möglichkeit, die entsprechende Datenverarbeitungen nachvollziehen, geschweige denn wirksam gegen diese vorgehen zu können.
Du kannst den Blog aktiv unterstützen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
6. Fazit
Mit der Entscheidung des EuGH ist nun ein Legitimationsgrund zur Datenübermittlung von Europa in die USA weggefallen. Wie aufgezeigt, gibt es aber durchaus noch weitere Möglichkeiten, den Datenaustausch in datenschutzrechtliche »Drittstaaten« (vertraglich) zu legitimieren. Gerade bei den Legitimationsmöglichkeiten durch Verträge sollte man jedoch skeptisch sein. Wie wir nämlich alle wissen ist Papier oftmals sehr geduldig. Ferner ist es für Betroffene auch nicht immer so einfach möglich zu überprüfen, ob das, was auf dem Papier steht, auch wirklich in der Praxis so umgesetzt wird.
Umso wichtiger ist es deshalb, dass wir selber sensibel und bewusst mit unseren eigenen Daten umgehen und sie nicht jedem preisgeben. Dieses insbesondere deshalb, um gar nicht erst in die Verlegenheit zu kommen, darauf vertrauen zu müssen, dass die entsprechenden Protagonisten sich auch wirklich an die »Verträge« halten und respektvoll mit unseren Daten umgehen …
Über den Autor | Gastbeitrag
Gastbeiträge werden von Autoren verfasst, die nicht zum festen Redaktionsteam des Kuketz-Blogs gehören. Bevor ein Gastbeitrag veröffentlicht wird, findet eine inhaltliche Abstimmung mit mir statt. Dabei übernehme ich die redaktionelle Bearbeitung des Textes, prüfe den Inhalt und bereite den Beitrag sorgfältig für die Veröffentlichung im Blog vor.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Booking.com: Datenschutzrechtliche Bruchlandung mit Ansage – App-Check Teil4
Facebooks Daten-Blowouts: Eine Verständnisbrücke Teil1
Wer erlaubt Analysetracking in Deutschland und Europa – das TTDSG Teil2
Datenschutz: Ausübung des Beschwerderechts gem. Art. 77 DSGVO am Beispiel ZEIT ONLINE
Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test
5 Ergänzungen zu “Kommentar: Safe-Harbor-Entscheidung des EuGH – Ein Sieg für das Internet?”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Das nenne ich doch mal Dienst am Kunden.
Wie beschrieben zaubern nun Microsoft, Salesforce ihre Standardvertragsklauseln hervor….
https://www.salesforce.com/content/dam/web/en_us/www/documents/legal/Agreements/data-processing-addendum.pdf
Ob diese Vorgehensweise das eigentliche Problem lösen kann, will ich nun mal offen lassen.
Die EU-Kommission sieht das sowieso wohl alles als sehr unproblematisch an….
https://www.heise.de/newsticker/meldung/Safe-Harbor-EU-Kommission-sieht-nach-EuGH-Urteil-keinen-Grund-Datenfluesse-zu-stoppen-2840005.html
Viele Grüße
Gerald
Und noch ein Nachschlag.
Wie uns Vögelchen zwitschern will wohl auch die deutsche Datenschutzbeauftragte sich NICHT gegen die Standardvertragsklauseln sperren…
Also, alles wie gehabt….
https://www.lexology.com/library/detail.aspx?g=986af95c-73a2-41a2-8143-d94848f5f732
Guter Kommentar, danke!
Wir sollten dieses Urteil als Startschuss für eine rege Diskussion ansehen, eine Debatte, die in den USA gerade beginnt, nachdem dort NSA und Konsorten momentan rechtlich beschnitten sind.
Dürfen Daten, die bei Händlern liegen, überhaupt weitergegeben werden, sei es zur Werbung, zur Kontrolle durch in- oder ausländische Behörden oder zum Nachweis von kriminellen Taten? Wie werden GPS-Daten in einem Entführungsfall verwendet? Was ist eigentlich geistiges Eigentum (intellectual property = IP)? Gehören dazu etwa sportliche Aktivitäten oder sexuelle Neigungen? Dürfen diese Daten überhaupt erhoben und gespeichert werden?
Ziel der Diskussion sollte jedenfalls sein, dass im Prinzip vor jeder Weiterleitung von persönlichen Daten der Empfänger der Daten mit einem anerkannten Gutachten nachzuweisen hat, dass das geistige Eigentum geschützt ist. Junge Menschen kennen nicht 1933, als Homosexuelle aufgrund vorhandener Listen eingesperrt wurden. Wer garantiert, dass das nicht mehr geschieht?
Oho, es werden nun Rahmenbedingungen in Amerika geschaffen… Europäern soll es möglich werden Behörden wegen Datenschutzverstößen zu verklagen (wenn die Behörden das wollen).
Na wenn das keine ausreichende Garantie ist, weiß ich auch nicht mehr (Ironiemodus aus).
https://www.congress.gov/bill/114th-congress/house-bill/1428/text
Ich sehe das Urteil auch als Startschuss für die IT-Industrie endlich mehr Gas in wesentlichen Online-Märkten zu geben. Unternehmen sollten endlich aufhören, auf die Datensammler aus den USA zu schimpfen und eigene, sicherere Lösungen anbieten, wenn daran, allen Anschein nach, doch ein Bedarf besteht. Wer auf sichere Lösungen in Sachen Cloud Computing zurückgreifen will, findet schon heute Anbieter, deren Rechenzentren in Deutschland liegen (z. B. http://www.cojama-hosting.com). Es ist an der Zeit, dass man auch in Sachen Social Media (Ausnahme Xing) und Suchmaschinen nachkommt, bevor man vor den, scheinbar übermächtigen, US-Angeboten die Flinte ins Korn wirft.