Am 6. Oktober 2015 urteilte der EuGH (C-362/14, Schrems v. Data Protection Commissioner), dass die Entscheidung 2000/520 der Europäischen Kommission zu den Grundsätzen des sog. „sicheren Hafens“ (Safe Harbor-Abkommen) zwischen der EU und und dem Handelsministerium der USA ungültig ist. Ein Datentransfer an einen Empfänger in den USA kann daher nicht mehr auf dieser Grundlage vorgenommen werden. Für österreichische Unternehmer, die am transatlantischen Datenaustausch teilnehmen (zB beauftragter Cloud Provider in den USA), stellt sich die Frage, wie sie kurzfristig einen rechtskonformen Zustand herstellen können.
von RA Mag Sonja Dürager, Rechtsanwalt bei bpv Hügel Rechtsanwälte OG
Datentransfer in ein Drittland verlangt nach der Systematik der Richtlinie 95/46/EG (im Folgenden „RL 95/46“) eine Genehmigung; eine formelle Ausnahme von der Genehmigungspflicht liegt vor, wenn der Datenverkehr in ein gleichgestelltes Land erfolgen soll. Die USA waren und sind kein solches gleichgestelltes Land. Die EU und das US-Handelsministerium haben sich daher bereits im Jahr 2000 zur Ermöglichung eines ungehinderten Datenaustauschs auf das Safe-Harbor-Rahmenwerk geeinigt, das sich im Wesentlichen aus 7 Prinzipien und den dazu am häufigsten gestellten 15 Fragen samt Antworten (sogenannte „FAQ“) zusammensetzt. Es besteht danach für amerikanische Unternehmen die Möglichkeit, sich nach diesem Rahmenwerk selbst zu verpflichten und auf einer Liste des US-Handelsministeriums eintragen zu lassen (abrufbar unter https://safeharbor.export.gov/list.aspx). Eine Gefährdung der Betroffeneninteressen bei der Übermittlung in die USA damit ausgeschlossen werden. Die Europäische Kommission hat im Sinne dieses Abkommens am 26.7.2000 eine Entscheidung[1] erlassen, wonach ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet ist, wenn Daten an eine in den USA niedergelassene Organisation übermittelt werden, die diese in den Grundsätzen des „Safe Harbor“ zum Datenschutz und den FAQ enthaltenen Leitlinien umgesetzt haben. Zu den nach dem Safe Harbor-Abkommen selbstzertifizierten Unternehmen gehörte unter anderem Facebook Inc.
Das Beschwerdeverfahren
Im Jahr 2013 hat sich Herr Schrems als Facebook-User bei der irischen Datenschutzbehörde „Data Protection Commissioner“ dagegen beschwert, dass auf Basis seines Vertrages mit Facebook Ireland seine personenbezogenen Daten ganz oder teilweise an Server der Facebook Inc in den Vereinigten Staaten übermittelt werden. Er machte geltend, dass die Vereinigten Staaten keinen ausreichenden Schutz seiner Daten vor den dortigen Überwachungstätigkeiten der Behörden gewährleisten würden und verwies dabei auf die Enthüllungen durch Edward Snowden. Der Commissioner wies die Beschwerde ab und ergänzte, dass die Kommission in der Entscheidung 2000/520 festgestellt habe, dass die USA ein angemessenes Schutzniveau gewährleisten. Dagegen erhob Herr Schrems Beschwerde beim High Court. Der High Court erkannte im Wesentlichen, dass die Rechtmäßigkeit der Entscheidung 2000/45 fragwürdig sei, da Art 7 der Charta (Achtung des Privat- und Familienlebens) seiner Tragweite völlig beraubt würde, wenn den US-Behörden gestattet würde, in die elektronische Kommunikation in beliebiger und pauschaler Weise zugreifen zu dürfen. Vom High Court wurde daher die Frage zur Vorabentscheidung an den EuGH vorgelegt, ob eine Kontrollstelle eines Mitgliedstaates durch eine aufgrund Art 25 Abs 6 der RL 95/46 im Lichte der Artikel 7, 8 und 47 der Charta ergangene Entscheidung, wie die Entscheidung 2000/520 eine ist, daran gehindert wird, die bei ihr eingelegte Beschwerde in Bezug auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung ihrer personenbezogenen Daten durch die Datenübermittlung in ein Drittland, zu prüfen.
Der EuGH nahm zur Vorabentscheidungsfrage in zwei Antworten Stellung, wobei er sich zunächst mit der prozessualen Bindungswirkung der Entscheidung 2000/520 auseinandersetzte und im Weiteren die Gültigkeit der Entscheidung 2000/520 beurteilte.
Die Entscheidung des EuGH
a) Der EuGH erörtert zur Bindungswirkung einer Entscheidung nach Art 25 Abs 6 RL 95/46, dass eine solche sich an die Mitgliedstaaten richtet und nach Art 288 Abs 4 AEUV alle Mitgliedstaaten bindet und daher für alle Organe der Mitgliedstaaten verbindlich ist. Gleichzeitig konstatiert er aber auch, dass gemäß Art 8 Abs 3 der Charta und Art 28 der RL 95/46 die nationalen Kontrollstellen die Einhaltung der Unionsvorschriften über den Schutz der natürlichen Personen bei der Verarbeitung personenbezogener Daten zu überwachen haben und eine Entscheidung der Kommission nach Art 25 Abs 6 der RL 95/46 eine nationale Kontrollstelle nicht an der Prüfung einer Eingabe, die eine Verletzung ihrer Rechte nach den Unionsvorschriften behauptet, hindern kann. Argumentiert daher ein Betroffener die Verletzung seiner Rechte und Freiheiten bei der Verarbeitung seiner Daten durch einen selbstzertifizierten Datenimporteur in den USA in einer Eingabe an die nationale Kontrollstelle, ist diese insoweit nicht an die Safe Harbor-Entscheidung gebunden, als sieprüfen kann, ob der Datentransfer in ein Drittland die in der RL 95/46 aufgestellten Anforderungen in concreto einhältoderobRechte des Betroffenen verletzt sind.
b) Die Diskussionen in der Öffentlichkeit betreffen nun allerdings vornehmlich die vom EuGH im weiteren ausgesprochene Ungültigkeit der Entscheidung 2000/520. Nach Auffassung des EuGH verlangt Art 25 Abs 6 RL 95/46, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet. Es ist in diesem Sinne von der Kommission zu prüfen, ob die Feststellung der Angemessenheit des vom fraglichen Drittland gewährleisteten Schutzniveaus aufgrund seiner innerstaatlichen Vorschriften gerechtfertigt ist.
Vor diesem Hintergrund releviert der EuGH betreffend der Entscheidung 2000/520, dass aufgrund des Systems der Selbstzertifizierung nach den Grundsätzen des „sicheren Hafens“, diese Grundsätze auch nur für solche selbstzertifizierten US-Organisationen, nicht aber für amerikanische Behörden gelten. Außerdem sollen nach der Entscheidung 2000/520[2] die US-Gesetze Vorrang vor dem Safe Harbor-Rahmenwerk haben. Selbstzertifizierte US-Organisationen haben daher die Regeln des „sicheren Hafens“ unangewandt zu lassen, wenn Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von US-Gesetzen dies gebieten. Feststellungen zum Bestehen eines wirksamen Rechtsschutzes des Einzelnen gegen Eingriffe in die Grundrechte seiner Person vermisst der EuGH ebenso. Inhaltlich bewertet der EuGH die Entscheidung 2000/520 dahin, dass der Wesensgehalt des Art 7 der Charta durch eine Regelung verletzt wird, die es den Behörden gestattet generell auf den Inhalt elektronischer Kommunikation zuzugreifen, was dadurch bedingt ist, dass die Speicherung aller Daten sämtlicher Personen, deren Daten aus der EU in die USA übermittelt werden, undifferenziert gestattet ist.
Im Ergebnis gelangt der EuGH daher zu dem Schluss, dass die Kommission in ihrer Entscheidung 2000/520 nicht festgestellt hat, dass die USA aufgrund der nationalen Rechtsvorschriften oder internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleisten. Die Entscheidung 2000/520 verstößt daher gegen Art 25 Abs 6 der RL 95/46 und ist damit ungültig.
Resümee
Das Safe Harbor-Abkommen ist am 6. Oktober 2015 mit sofortiger Wirkung ungültig geworden – zurück bleibt vorerst erhebliche Rechtsunsicherheit für den transatlantischen Datenaustausch. Sämtlichen auf dieser Grundlage vorgenommenen internationalen Datentransfers fehlt nämlich nunmehr die Legitimation, welche die Genehmigung entbehrlich gemacht hat. Es besteht daher bei Auftraggebern, die Daten aus der EU in die USA exportieren, unweigerlich Handlungsbedarf.
von RA Mag Sonja Dürager, Rechtsanwalt bei bpv Hügel Rechtsanwälte OG
[1] Entscheidung 2000/520 der Europäischen Kommission vom 26.7.2000 über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglich „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes (ABl. L 215 vom 25.8.2000, S. 7.) auf Grundlage von Art 25 Abs 6 der RL 95/46.
[2] „Es steht jedoch eindeutig fest, dass, wenn aufgrund des US-amerikanischen Rechts eine den Grundsätzen des sicheren Hafens entgegenstehende Verpflichtung auferlegt wird, die US-Unternehmen die Gesetze einhalten müssen, und zwar ungeachtet dessen, ob sie auf die Grundsätze des sicheren Hafens verpflichtet sind oder nicht.“ (Entscheidung 2000/520, Anhang IV, Teil B, L 215/35).
Nutzen Sie die Vorteile einer Mitgliedschaft bei der ÖVMitgliedsvorteile
Aufsätze und Entscheidungen mit Anmerkungen von Experten
jährlich 6 HefteAbo Bestellung bei ManzEditorial/Inhalt aktuelle Ausgabe
09.04.2025
WKO, Rudolf Sallinger Saal, Wiedner Hauptstraße 63, 1040 WienMehrBericht vergangenes Seminar