Max Schrems hat es geschafft. Er kämpft aber auch schon sehr lange dafür. Schon 2011 veröffentlichte er in einem von mir koordinierten Schwerpunkt des juridikum einen Beitrag zu seinen Bemühungen um mehr Datenschutz und stellte seine Initiative vor. Er hat das Potenzial für den Datenschutz weltweit genauso ein Paradeösterreicher zu werden wie Mozart für die Musik und Schwarzenegger für den Kraftsport.
Doch nun zum Urteil: Etwas überraschend ist schon, wie eindeutig es ausgefallen ist. Der EuGH ist den Schlussanträgen von GA Bot
gefolgt. In einer Entscheidung vom 6. Oktober 2015[1] hob er die „Safe Harbour“-Entscheidung
der Kommission auf,[2]
weil es die Kommission verabsäumt habe festzustellen, dass die USA – durch
nationales Recht oder internationale Verpflichtungen – ein angemessenes grundrechtliches
Schutzniveau gewährleisteten.[3]
Die Datenschutzbehörden der
EU-Mitgliedstaaten könnten weiterhin unabhängig prüfen, ob ein Drittland ein angemessenes
Schutzniveau für das Recht auf Privatsphäre und Datenschutz sichert, wenn aus
diesem Mitgliedstaat dorthin Daten übermittelt werden.[4]
Der EuGH wies auf seine ständige Rechtsprechung hin, dass die Union eine
„Rechtsunion“ sei und alle Handlungen von Organen anhand der Verträge, der
allgemeinen Rechtsgrundsätzen und der Grundrechten zu prüfen seien.[5]
Besonders kritisch
äußerte er sich hinsichtlich der breiten Ausnahmeregeln, die für US-Unternehmen
gälten. Den „Erfordernissen
der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung
von (amerikanischen) Gesetzen“ würde Vorrang vor dem Grundrechtsschutz
eingeräumt.[6]
Das entspreche nicht dem „angemessenes Schutzniveau“ – einem jenem der Union „
der Sache nach gleichwertig(en)“[7]
Der EuGH unterstrich, dass jeder Eingriff in die
Charta-Grundrechte nach Art. 7 (Privatleben) und 8 (Datenschutz) klar und
präzise umrissen sein muss, sich auf das absolut Notwendige beschränken muss[8]
und gleichzeitig wirksame Rechtsschutzmöglichkeiten für die Betroffenen zur
Verfügung stehen müssten, zumal es sich um personenbezogenen Daten handelt, die
automatisch verarbeitet werden (verweisend auf
Digital Rights Ireland u. a., C‐293/12 und C‐594/12)[9]
Eingriffe in das Privatleben und den Schutz personenbezogener Daten müssten
sich auf das „absolut Notwendige“ beschränken. Die Rechtslage in den USA entspreche diesen Anforderungen
nicht. Überschießend sei eine Regelung,
„ die generell die Speicherung aller personenbezogenen Daten
sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten
übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung
oder Ausnahme anhand des verfolgten Ziels vorzunehmen“.[10]
Gerade Reglungen, die Behörden gestattet, „generell auf den
Inhalt elektronischer Kommunikation zuzugreifen“ verstoßen gegen den
Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung
des Privatlebens.[11] Dieser Verweis auf de Wesensgehalt ist wichtig, da damit die Notwendigkeit einer Verhältnismäßigkeitsprüfung ausfällt. Auch ist interessant, dass schon der Zugriff - und nicht erst das Prozessieren - der Daten ausreicht.
Auch verletzt ist Art. 47 der Grundrechtecharta, das ein Grundrecht auf
wirksamen gerichtlichen Rechtsschutz, festschreibt, da für EU-Bürger keine
Möglichkeit besteht, bei US-Behörden Zugang
zu den sie betreffenden personenbezogenen Daten zu erlangen. Denn eine wirksame
gerichtliche Kontrolle zur „Gewährleistung der Einhaltung des Unionsrechts“ sei
„dem Wesen eines Rechtsstaats inhärent“.
Das Urteil folgt im Wesentlichen
den Ausführungen in den Schlussanträgen von Generalanwalt Yves Bot. Dieser
hatte argumentiert, dass eine ‚Safe Harbour‘-Entscheidung der Kommission von
den Datenschutzbehörden unbeachtet bleiben müsse (und diese im Übrigen ungültig
sei).[12] Die
„systemischen Mängel“ in den USA hinsichtlich des Schutzes des Privatlebens und
des Schutzes personenbezogener Daten würden es Staaten erlauben, erforderliche Maßnahmen zu ergreifen, um die Rechte ihrer Bürger zu schützen.[13] Der Zugriff durch amerikanische Nachrichtendienste auf die übermittelten Daten stellt einen Eingriff in Grundrechte europäischer Bürger dar, besonders weil
die Überwachung massiv und nicht zielgerichtet ist.[14]
Das Urteil unterstreicht die Bedeutung von Privatleben und
Datenschutz als Menschenrechte, bestätigt die Bedeutung, die der EuGH
europäischer Datenhoheit beimisst und stellt eine Fortführung der multidimensionalen
datenschutzfreundlichen Judikaturlinie des EuGH dar.
Schon in Digital Rights
Ireland hatte er betont, dass er Eingriffe – besonders solche, die Datensammlung ohne Differenzierung, Einschränkung oder
Ausnahme vorsehen – regelmäßig Grundrechte verletzen, weil sie sich nicht auf
das „absolut Notwendige“ beschränken. In Digital Rights Ireland hatte der EuGH übrigens auch gerügt, dass
die RL zur Vorratsdatenspeicherung keine Speicherung im
Unionsgebiet vorgeschrieben hatte. [15]
Mit Schrems schützt der EuGH Privatleben und
Datenschutz gegen Handlungen der EU-Organe und anderer Staaten; in Google Spain und Google[16] fokussiert
er auf die Pflichten von Unternehmen; und in Ryneš[17]
erstreckte
er seine Judikatur auch auf Aktivitäten von Privaten (private Videoüberwachung
im öffentlichen Raum ist ein Eingriff in das Datenschutzrecht). Damit hat der
EuGH in nur zwei Jahren einen umfassende multidimensionaler Schutzjudikatur
entwickelt.
Es ist auch zu begrüßen, dass der EuGH sich in seinem Urteil
nicht so sehr auf der generalisierten Überwachung als Grund für die
Grundrechtswidrigkeit des Safe Harbour Abkommens fußt, wie dies noch in den
Schlussanträgen des Generalanwaltes zu lesen ist. Denn gerade PRISM wurde zumindest
seit 2013 in Ansätzen reformiert, dass manche der Vorwürfe des Generalanwaltes
nicht mit der amerikanischen Rechtslage übereinstimmen.[19] Allerdings verbleiben die
doppelten fatalen Mängel der nicht durchgeführten Überprüfung eines
äquivalenten Grundrechtsschutzes durch die Kommission und die Ermangelung eines
wirksamen Rechtsbehelfs, sodass Safe Harbour keinesfalls vor dem EuGH Bestand
hätte haben können.
Tendenziell werden – man denke an die wachsende Nutzung von Big
Data und das Internet der Dinge – transnationale Datentransfers eine immer
bedeutendere Rolle spielen. Das ist es nur sinnvoll, dass der EuGH hier die
Rechte der EU-Bürger gegenüber der EU und anderen Staaten, Unternehmen und
Privaten unterstreicht.
Nun werden die Rechtsabteilungen der großen
Internetunternehmen sowie die nationalen Datenschutzbehörden aktiv werden.
Letzere können nun nämlich den Transfer und die Prozessierung von Nutzerdaten
europäischer Bürger an sämtliche unter dem Safe Harbour-System
selbstzertifizierte US-Unternehmen verbieten – darunter finden sich Namen wie
Apple, Google, Facebook und Microsoft.[23] Allerdings können Unternehmen auf bestehende Standardavertragsklauseln und bindenden corporate rules verweisen. Datentransfer ist immer noch unter Artikel 26 der VO 95/46/EG möglich, der
allerdings – gerade für kleine Unternehmen – mit administrativen Hürden
verbunden bist. In diesem Regime sind allerdings
außer Argentinien, Kanada, Israel und Neuseeland sämtliche anderer
Handelspartner der EU, ohne dass der elektronische Handel zum Erliegen gekommen
wäre.
Die
nächsten Wochen werden rechtpolitisch interessant. So schlimm wie es Penny
Pritzker, die US-Wirtschafsministerin, befürchtet, wird es aber nicht werden.
Die New York Times zitiert sie mit den Worten, dass das Urteil „the thriving
trans-Atlantic digital economy“ aufs Spiel setze. Dieses Risiko scheint gering.
Vielmehr setzte der EuGH der digitalen Wirtschaft klare Grenzen und nimmt alle
Akteure in eine menschenrechtliche Verantwortung – und das ist zu begrüßen. [24]
[1] EuGH, Rs. C‐362/14, Schrems v. Data Protection Commissioner, Urteil vom 6.10.2015.
[2] Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46 über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“.
[3] EuGH, C-362/14, Schrems v. Data Protection Commissioner, Urteil vom 6.10.2015, Rn 97-98.
[4] Ibid., Urteilsspruch 1, 2.
[5] Ibid., Rn. 60
[6] Ibid., Rn 86.
[7] Rn 73.
[8] Rn. 92.
[9] Rn 91.
[10] Rn 93.
[11] Rn 94.
[12] EuGH, C-362/14, Maximillian Schrems/Data Protection Commissioner. Schlussanträge von Generalanwalt Yves Bot.
[13] Ibid., Abs. 103-105.
[14] Ibid., Abs. 223.
[15] EuGH, Rs C‑293/12 and C‑594/12, Digital Rights Ireland und Seitlinger u.a., Urteil vom 8.4.2014.
[16] EuGH, Rs C-131/12, Google Spain und Google, Urteil vom 13.5.2014
[17] EuGH, Rs C-212/13 František Ryneš / Úřad pro ochranu osobních údajů, Urteil vom 11.12.2014
[18] EuGH, Rs C-230/14, Press and Information Weltimmo s.r.o. v Nemzeti Adatvédelmi és Információszabadság Hatóság, Urteil vom 1.10.2015
[19] Peter Swire, Don’t Strike Down the Safe Harbor Based on Inaccurate Views About U.S. Intelligence Law, 5 October 2015, https://iapp.org/news/a/dont-strike-down-the-safe-harbor-based-on-inaccurate-views-on-u-s-intelligence-law
[20] European Commission, Questions and Answers on the EU-US data protection "Umbrella agreement", 8.11.2015,http://europa.eu/rapid/press-release_MEMO-15-5612_en.htm.
[21] Dies ist durch den Judicial Redress Act of 2015, http://judiciary.house.gov/_cache/files/8a28056b-387e-46f2-8c80-655249f4ae8f/hr-1428.pdf, geplant. Vgl. Francesca Bignami, The US legal system on data protection in the field of law enforcement. Safeguards, rights and remedies for EU citizens, Directorate General for Internal Policies, Policy Department C: Citizens’ Rights and Constitutional Affairs, Civil Liberties, Justice and Home Affairs (May 15, 2015), http://www.europarl.europa.eu/RegData/etudes/STUD/2015/519215/IPOL_ST U%282015%29519215_EN.pdf.
[22] Vgl. die Kritik bei Peter Schaar, Leaky Umbrella, EAID-Blog (Europäische Akademie für Informationsfreiheit und Datenschutz), 18.9.2015, http://www.eaid-berlin.de/?cat=8.
[23] Allerdings wäre immer noch ein Datentransfer unter Artikel 26 der VO 95/46/EG möglich. In diesem Regime sind außer Argentinien, Kanada, Israel und Neuseeland sämtliche anderer Handelspartner der EU.
[24] Mark Scott, Data Transfer Pact Between U.S. and Europe Is Ruled Invalid, 6.10.2015, http://www.nytimes.com/2015/10/07/technology/european-union-us-data-collection.html?_r=0
No comments:
Post a Comment