Europäischer Gerichtshof: Amerika ist kein sicherer Hafen für europäische Daten

6. Oktober 2015 Kategorie: Internet, geschrieben von:

artikel_facebookEuropa gegen Facebook, das Kapitel wurde am 1. August 2014 aufgeschlagen. Grob ging es darum, dass Facebook personenbezogene Daten von Europäern in den USA speichert und diese nicht ausreichend geschützt sind. Eine Beschwerde bei der irischen Datenschutzbehörde (Facebook ist in Irland für Europa tätig) wurde mit der Begründung abgewiesen, dass die Daten durch das Safe-Harbor-Abkommen ausreichend geschützt seien, weil es die Europäische Kommission so entschieden hat. Die Frage ist nun, ob die Entscheidung einer Kommission Einfluss auf die Ermittlungen einer Datenschutzbehörde haben darf. Darf sie nicht, wie der Europäische Gerichtshof nun urteilte.

Die dreiseitige Ausführung des Europäischen Gerichtshof ist keine leichte Kost, komplett kann sie an dieser Stelle eingesehen werden. Hier ein paar Auszüge, die die Entscheidung etwas erklären:

In seinem heutigen Urteil führt der Gerichtshof aus, dass die Existenz einer Entscheidung der Kommission, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für übermittelte personenbezogene Daten gewährleistet, die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union und der Richtlinie verfügen, weder beseitigen noch auch nur beschränken kann.

Auch wenn die Kommission eine solche Entscheidung erlassen hat, müssen die nationalen Datenschutzbehörden daher, wenn sie mit einer Beschwerde befasst werden, in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung der Daten einer Person in ein Drittland die in der Richtlinie aufgestellten Anforderungen gewahrt werden. Der Gerichtshof weist allerdings darauf hin, dass er allein befugt ist, die Ungültigkeit eines Unionsrechtsakts wie einer Entscheidung der Kommission festzustellen.

Zum Vorliegen eines Schutzniveaus, das den in der Union garantierten Freiheiten und Grundrechten der Sache nach gleichwertig ist, stellt der Gerichtshof fest, dass nach dem Unionsrecht eine Regelung nicht auf das absolut Notwendige beschränkt ist, wenn sie generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne objektive Kriterien vorzusehen, die es ermöglichen, den Zugang der Behörden zu den Daten und deren spätere Nutzung zu beschränken. Der Gerichtshof fügt hinzu, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt.

Die Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu beschränken.
Aus all diesen Gründen erklärt der Gerichtshof die Entscheidung der Kommission vom 26. Juli 2000 für ungültig. Dieses Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.

Was bedeutet dies nun konkret? Während der Europäische Gerichtshof kein Urteil gefällt hat, ob Facebook Daten nun auf diese Weise speichern darf oder nicht, verlangt das Urteil zumindest eine Zulassung einer Beschwerde bei Datenschutzbehörden, auch wenn es für solche Fälle bereits Entscheidungen von der Europäischen Kommission gibt. Die Europäische Kommission kann mit ihren Entscheidungen also nicht dafür sorgen, dass Beschwerden oder Klagen nicht zugelassen werden, die Untersuchung durch Datenschutzbehörden muss hier in jedem Fall erfolgen. Gleichzeitig erklärt der Europäische Gerichtshof aber auch die Entscheidung der Europäischen Kommission vom 26. Juli 2000 für ungültig.

Im aktuellen Fall heißt dies, dass die ursprüngliche Beschwerde von Max Schrems nun doch durch die irischen Datenschutzbehörden geprüft werden muss und diese sich nicht auf die Europäische Kommission beziehen darf. Man kann davon ausgehen, dass hier nun sicher auch weitere Beschwerden folgen werden, denn im Prinzip handhaben es alle großen (und kleinen) US-Tech-Firmen auf die gleiche Weise, was die Weiterleitung europäischer Nutzerdaten angeht (Ausnahmen bestätigen die Regel). Und alle beziehen sich dabei auf das Safe-Harbor-Abkommen zwischen Europa und den USA.

Facebook_Logo_neu


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 9407 Artikel geschrieben.