EUGH: USA kein "Safe Harbor", Datenverabeitung durch Facebook in USA unzulässig (EuGH, U.v. 6. Oktober 2015, Rs. C-362/14 Maximillian Schrems / Data Protection Commissioner)

UPDATE 19. Oktober 2015: Die Datenschutzbehörden haben der EU-Kommission zur Klärung der durch die "Safe Harbor"-Entscheidung des EuGH aufgetreten Fragen eine Dreimonatsfrist bis Ende Januar 2016 gesetzt. Nach einem Bericht in derF.A.Z. müssen auch betroffene Unternehmen zumindest bis dahin nicht mit rechtlichen Schritten rechnen, wenn sie dem EuGH-Urteil nicht unmittelbar Folge leisten können.

http://www.heise.de/newsticker/meldung/Nach-dem-EuGH-Urteil-Alternativen-zu-Safe-Harbor-2837700.html

http://www.heise.de/newsticker/meldung/Nach-dem-EuGH-Urteil-Alternativen-zu-Safe-Harbor-2837700.html

http://www.heise.de/newsticker/meldung/Nach-dem-EuGH-Urteil-Alternativen-zu-Safe-Harbor-2837700.html

http://www.heise.de/newsticker/meldung/Nach-dem-EuGH-Urteil-Alternativen-zu-Safe-Harbor-2837700.html

"Der Gerichtshof prüft sodann die Gültigkeit der Entscheidung der Kommission vom 26. Juli 2000. ... 

Ohne dass der Gerichtshof prüfen muss, ob diese Regelung ein Schutzniveau gewährleistet, das dem in der Union garantierten Niveau der Sache nach gleichwertig ist, ist festzustellen, dass sie nur für die amerikanischen Unternehmen gilt, die sich ihr unterwerfen, nicht aber für die Behörden der Vereinigten Staaten. Außerdem haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten Vorrang vor der Safe-Harbor-Regelung, so dass die amerikanischen Unternehmen ohne jede Einschränkung verpflichtet sind, die in dieser Regelung vorgesehenen Schutzregeln unangewandt zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen stehen. Die amerikanische SafeHarbor-Regelung
ermöglicht daher Eingriffe der amerikanischen Behörden in die Grundrechte der
Personen, wobei in der Entscheidung der Kommission weder festgestellt wird, dass es in den Vereinigten Staaten Regeln gibt, die dazu dienen, etwaige Eingriffe zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt. ...

Zum Vorliegen eines Schutzniveaus, das den in der Union garantierten Freiheiten und
Grundrechten der Sache nach gleichwertig ist, stellt der Gerichtshof fest, dass nach dem
Unionsrecht eine Regelung nicht auf das absolut Notwendige beschränkt ist, wenn sie
generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne objektive Kriterien vorzusehen, die es ermöglichen, den Zugang der Behörden zu den Daten und deren spätere Nutzung zu beschränken. Der Gerichtshof fügt hinzu, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt. Ferner führt der Gerichtshof aus, dass eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt. Eine solche Möglichkeit ist dem Wesen eines Rechtsstaats inhärent."

Daraus folgt, dass die für Facebook in Europa zuständige irische Datenschutzbehörde die Beschwerde des österreichischen Facebook-Nutzers Schrems gegen die Datenübermittelung und Datenverarbeitung durch Facebook in den USA selbständig prüfen muss und dabei nicht durch die Entscheidung 2000/520/EG der Europäischen Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG über die Datenverarbeitung in den USA nach dem "Safe Harbor"-Abkommen zum Austausch personenbezogener Daten zwischen der Europäischen Union und der USA gebunden ist:

"In seinem heutigen Urteil führt der Gerichtshof aus, dass die Existenz einer Entscheidung der Kommission, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für übermittelte personenbezogene Daten gewährleistet, die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union und der Richtlinie verfügen, weder beseitigen noch auch nur beschränken kann. Der Gerichtshof hebt insoweit das durch die Charta garantierte Recht auf den Schutz personenbezogener Daten sowie die den nationalen Datenschutzbehörden durch die Charta übertragene Aufgabe hervor.

Der Gerichtshof stellt zunächst fest, dass keine Bestimmung der Richtlinie die nationalen
Datenschutzbehörden an der Kontrolle der Übermittlungen personenbezogener Daten in
Drittländer hindert, die Gegenstand einer Entscheidung der Kommission waren. Auch wenn die Kommission eine solche Entscheidung erlassen hat, müssen die nationalen
Datenschutzbehörden daher, wenn sie mit einer Beschwerde befasst werden, in völliger
Unabhängigkeit prüfen können, ob bei der Übermittlung der Daten einer Person in ein
Drittland die in der Richtlinie aufgestellten Anforderungen gewahrt werden.
"

S. auch Meldung bei Heise und in der F.A.Z.

Erste Lösungsvorschläge für betroffene Unternehmen in der EU hat heise zusammengefasst.