Kanzlei Lachenmann Onlinerecht IT-Recht

Safe Harbor-Urteil: EuGH setzt Zeichen gegen Massenausspähung mit wirrer Argumentation

Koreng/Lachenmann, Formularhandbuch Datenschutzrecht

Koreng/Lachenmann, Formularhandbuch Datenschutzrecht

Der EuGH hat am 6.10.2015 entschieden, dass Datenübermittlungen in die USA auf Basis des Safe Harbor Abkommens rechtswidrig sind. Eventuell werden künftig sämtliche Datenübermittlungen in die USA rechtswidrig. Damit könnte nicht nur Facebook derzeit keine Daten an die Konzernmutter in den USA übermitteln, jedes Start-Up das Anbieter wie MailChimp nutzt, wäre betroffen. Die Argumentation des EuGH in seinem Urteil ist wirr, nicht tragfähig und wird über Safe Harbor hinaus ein großes Problem darstellen.

Der EuGH fällte mehrere bedeutende Entscheidungen, die eurozentristisch sind und einer vernetzten internationalen Welt nicht Rechnung tragen. Zudem werden nationale Aufsichtsbehörden gestärkt und Rechte der EU-Kommission deutlich geschwächt – obwohl eigentlich die EU-Datenschutzrichtlinie das Datenschutzrecht in der EU voll harmonisieren und einen Flickenteppich gerade vermeiden soll. Es ist zwar richtig und wichtig, dass der EuGH ein Zeichen gegen die Massenüberwachung der (US-)Geheimdienste setzt – allerdings wäre das Aufgabe der EU und der Bundesregierung gewesen. Besonders absurd ist der Vorwurf, die USA könnten wegen der US-Geheimdienste kein mit der EU vergleichbares Datenschutzniveau leisten, wenn man die Meldung des heutigen Tages liest, dass der britische Geheimdienst gezielt Smartphones und Router hackt – das Datenschutzniveau scheint in der EU und den USA also gleich schlecht zu sein.

Die wirre Argumentation des EuGH im Safe Harbor-Urteil:

  1. Zuständigkeit von Aufsichtsbehörden: Laut EuGH ist nicht etwa eine Entscheidung der EU-Kommission bindend, sondern die nationalen Datenschutz-Aufsichtsbehörden haben das letzte Prüfrecht (Im Urteil: Randnummern 37 – 66). Konkret hatte die EU-Kommission entschieden, dass bei Datenübermittlungen in die USA ein angemessenes Datenschutzniveau gewährt sei, wenn US-Unternehmen sich der Safe Harbor Selbstzertifizierung unterworfen haben. Dies hat der EuGH nun für rechtswidrig erklärt, Safe Harbor bietet keine Grundlage für Datenübermittlungen in die USA. Obwohl die nationalen Behörden das entscheidend sollen, behält sich der EuGH das Prüfungsrecht vor. Kollege Härting sieht darin sogar ein aufschwingen des EuGH zu einem europäischen Verfassungsgericht.
  2. Safe Harbor bietet kein angemessenes Schutzniveau: Der EuGH stützt sich dabei darauf, dass Safe Habor eine Selbstzertifizierung sei, die von EU-Unternehmen nicht ordentlich kontrolliert werden könne. Eine Selbstverpflichtung sei nicht ausreichend (Rn. 82), insbesondere da keine Kontrolle erfolge, ob die Verpflichtung tatsächlich das Niveau sichert (Rn. 83). Letzteres ist für Deutschland nicht richtig, da die Aufsichtsbehörden schon vor Jahren strengere Anforderungen für Safe Harbor beschlossen hatten. Weiterhin hätten europäische Unternehmen oder Bürger kein Rechte auf Berichtigung und Löschung der Daten, die aber gewährleistet werden müssten (Rn. 90 f.).
  3. Folge des Unzulässigkeit von Safe Harbor: Für Großkonzerne stellt das Urteil vorerst ein relativ geringes Problem dar. Sie können einfach EU-Standardvertragsklauseln unterzeichnen und dann die Daten wie bislang übermitteln, was nur organisatorischen Aufwand bedeutet. Für Facebook, Google und Co wird es etwas Zeit und Geld kosten, ein paar Anwaltskanzleien werden sich freuen – und die Datenübermittlung in die USA wird genauso weitergehen wie bislang (bis Max Schrems gegen die Standardvertragsklauseln klagt?). Kleinere Unternehmen haben hingegen ein Problem: US-Dienstleister weigern sich in der Regeln, die Standardvertragsklauseln zu unterschreiben und verzichten lieber auf das Geschäft. Deutsche Unternehmen müssten dann ihre Dienstleister wechseln. Die derzeitigen Alternativen werden von Kollegen Heidrich bei Heise übersichtlich dargestellt. Eindeutig ist aber für alle Unternehmen: Die Rechte der Betroffenen müssen besser geschützt werden (Rn. 90 ff.). Auch in Standardvertragsklauseln sollten zusätzliche Maßnahmen zum Schutz von Betroffenenrechten getroffen werden (insbesondere Löschung und Rechtsschutz vor Gerichten).
  4. Schutz der Grundrechte durch Massenausspähung der Geheimdienste: Der EuGH äußert sich eindeutig gegen die Spähaktionen von NSA & Konsorten. Kritisiert wird in Rn. 84 ff., dass die Safe Harbor-Regelung ausdrücklich Überwachungsmaßnahmen der Geheimdienste gestattet. Der EuGH stellt klar, was außer unseren Politikern schon allen klar war: „dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt.“ Der EuGH schreibt den Regierungen, der EU und der deutschen Bundesregierung ins Stammbuch, endlich aktiv zu werden gegen die Massenüberwachung durch Geheimdienste und die massiven Grundrechtsverletzungen. Das ist gut und richtig, allerdings ist das Safe Harbor Urteil meines Erachtens der falsche Ort dafür.
  5. Rechtsschutz gegen Massenausspähung durch die Geheimdienste: Der EuGH äußert sich zudem in aller Deutlichkeit dagegen, dass europäische Gerichte, auch das deutsche Bundesverwaltungsgericht, den Bürgern es verweigern, gegen die Massenüberwachung zu klagen: „eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt“. Auch dies ist an sich wirklich zu begrüßen, allerdings ist die Entscheidung über Safe Harbor wohl der falsche Ort dafür, da es hier allein um die Datenübermittlung und Aufrechterhaltung der Wirtschaftskraft im internationalen Verkehr geht. In Rn. 89 stellt der EuGH klar, dass Rechtsschutz vorgesehen sein müsse – solcher besteht aber generell weder bei Datenübermittlungen in die USA oder andere Länder noch innerhalb der EU.
  6. Folge der EuGH-Argumentation: Jegliche Datenübermittlung nicht nur in Länder wie USA oder China, sondern auch nach Großbritannien ist rechtswidrig? Wenn man die Argumentation zu Ende denkt, wären auch EU-Standardvertragsklauseln und BCR rechtswidrig, da nach diesen natürlich genauso Zugriffsrechte der Geheimdienste bestehen. Jegliche Datenübermittlung außerhalb der EU/EWR wäre nach Ansicht des EuGH wohl unzulässig. Denn wenn der EuGH in Rn. 88 darauf abstellt, dass durch die Kommissionsentscheidung kein Schutz gegen Ausspähung vorgesehen sei, gilt das ebenso für Standardvertragsklauseln. Sogar weitergehend wäre Datenverarbeitung von US-Unternehmen in der EU unzulässig, da nach US-Recht die „Sicherheits“behörden Zugriff auch auf Daten von US-Unternehmen in Europa haben. Das kann offensichtlich nicht richtig sein. Aber es geht natürlich noch weiter: Bekanntlich gehören die Geheimdienste Großbritanniens zu den größten Verbrechern, was das Abgreifen der Daten aller Bürger angeht. Wenn das laut EuGH so massiv in unsere Grundrechte eingreift, ist damit auch jegliche Übermittlung von Daten nach Großbritannien rechtswidrig?

Im Ergebnis kann festgehalten werden, dass das Safe Harbor-Urteil zwar politisch zu begrüßen ist – das aber nicht Aufgabe des EuGH sein kann. Die Betonung der Grundrechtsverletzungen durch die Geheimdienste ist richtig und wichtig – aber hier am falschen Ort. Zudem ist die Argumentation gegen Safe Harbor so weitgehend, dass auch in Zukunft gravierende Probleme für internationale Übermittlungen entstehen können. Immerhin liefert der EuGH klare Vorgaben an die EU-Kommission um ein neues Abkommen zu verhandeln, das neben einer Stärkung der Rechte der Betroffenen auch vorsehen müsste, dass US-Sicherheitsbehörden keine Daten abgreifen dürfen (was kaum realistisch ist).

Dass die nationalen Aufsichtsbehörden Vorrang vor der EU-Kommission haben sollen, ist zudem ein Beitrag gegen die Vereinheitlichung europäischen Rechts und ein kurioses Zeichen in der Entscheidungsphase zur EU-Datenschutzgrundverordnung. Die Argumentation des EuGH ist – einmal mehr – wirr und kaum tragfähig. Das Urteil lässt einen – wie in letzter Zeit oft beim EuGH – ratlos zurück.

Hinweis: Der Beitrag beruht auf dem Volltext der Entscheidung (nunmehr auch auf deutsch verfügbar; für die englische Fassung hier klicken) und der Pressemitteilung des EuGH. Die erste Fassung habe ich aktualisiert nach der Lektüre des Urteils. Hervorhebungen in den Zitaten durch mich.

Autor: RA Matthias Lachenmann.

Dieser Beitrag wurde in Blog, Datenschutzrecht, Internetrecht/Onlinerecht, IT- und Internetrecht, Persönlichkeitsrecht, Verbraucherschutz veröffentlicht. Ein Lesezeichen auf das Permalink. setzen. Sowohl Kommentare als auch Trackbacks sind geschlossen.

7 Kommentare

  1. WordPress › Fehler

    Es gab einen kritischen Fehler auf deiner Website.

    Erfahre mehr über die Problembehandlung in WordPress.