Kanzlei Lachenmann Onlinerecht IT-Recht

Safe Harbor-Urteil: EuGH setzt Zeichen gegen Massenausspähung mit wirrer Argumentation

Koreng/Lachenmann, Formularhandbuch Datenschutzrecht

Koreng/Lachenmann, Formularhandbuch Datenschutzrecht

Der EuGH hat am 6.10.2015 entschieden, dass Datenübermittlungen in die USA auf Basis des Safe Harbor Abkommens rechtswidrig sind. Eventuell werden künftig sämtliche Datenübermittlungen in die USA rechtswidrig. Damit könnte nicht nur Facebook derzeit keine Daten an die Konzernmutter in den USA übermitteln, jedes Start-Up das Anbieter wie MailChimp nutzt, wäre betroffen. Die Argumentation des EuGH in seinem Urteil ist wirr, nicht tragfähig und wird über Safe Harbor hinaus ein großes Problem darstellen.

Der EuGH fällte mehrere bedeutende Entscheidungen, die eurozentristisch sind und einer vernetzten internationalen Welt nicht Rechnung tragen. Zudem werden nationale Aufsichtsbehörden gestärkt und Rechte der EU-Kommission deutlich geschwächt – obwohl eigentlich die EU-Datenschutzrichtlinie das Datenschutzrecht in der EU voll harmonisieren und einen Flickenteppich gerade vermeiden soll. Es ist zwar richtig und wichtig, dass der EuGH ein Zeichen gegen die Massenüberwachung der (US-)Geheimdienste setzt – allerdings wäre das Aufgabe der EU und der Bundesregierung gewesen. Besonders absurd ist der Vorwurf, die USA könnten wegen der US-Geheimdienste kein mit der EU vergleichbares Datenschutzniveau leisten, wenn man die Meldung des heutigen Tages liest, dass der britische Geheimdienst gezielt Smartphones und Router hackt – das Datenschutzniveau scheint in der EU und den USA also gleich schlecht zu sein.

Die wirre Argumentation des EuGH im Safe Harbor-Urteil:

  1. Zuständigkeit von Aufsichtsbehörden: Laut EuGH ist nicht etwa eine Entscheidung der EU-Kommission bindend, sondern die nationalen Datenschutz-Aufsichtsbehörden haben das letzte Prüfrecht (Im Urteil: Randnummern 37 – 66). Konkret hatte die EU-Kommission entschieden, dass bei Datenübermittlungen in die USA ein angemessenes Datenschutzniveau gewährt sei, wenn US-Unternehmen sich der Safe Harbor Selbstzertifizierung unterworfen haben. Dies hat der EuGH nun für rechtswidrig erklärt, Safe Harbor bietet keine Grundlage für Datenübermittlungen in die USA. Obwohl die nationalen Behörden das entscheidend sollen, behält sich der EuGH das Prüfungsrecht vor. Kollege Härting sieht darin sogar ein aufschwingen des EuGH zu einem europäischen Verfassungsgericht.
  2. Safe Harbor bietet kein angemessenes Schutzniveau: Der EuGH stützt sich dabei darauf, dass Safe Habor eine Selbstzertifizierung sei, die von EU-Unternehmen nicht ordentlich kontrolliert werden könne. Eine Selbstverpflichtung sei nicht ausreichend (Rn. 82), insbesondere da keine Kontrolle erfolge, ob die Verpflichtung tatsächlich das Niveau sichert (Rn. 83). Letzteres ist für Deutschland nicht richtig, da die Aufsichtsbehörden schon vor Jahren strengere Anforderungen für Safe Harbor beschlossen hatten. Weiterhin hätten europäische Unternehmen oder Bürger kein Rechte auf Berichtigung und Löschung der Daten, die aber gewährleistet werden müssten (Rn. 90 f.).
  3. Folge des Unzulässigkeit von Safe Harbor: Für Großkonzerne stellt das Urteil vorerst ein relativ geringes Problem dar. Sie können einfach EU-Standardvertragsklauseln unterzeichnen und dann die Daten wie bislang übermitteln, was nur organisatorischen Aufwand bedeutet. Für Facebook, Google und Co wird es etwas Zeit und Geld kosten, ein paar Anwaltskanzleien werden sich freuen – und die Datenübermittlung in die USA wird genauso weitergehen wie bislang (bis Max Schrems gegen die Standardvertragsklauseln klagt?). Kleinere Unternehmen haben hingegen ein Problem: US-Dienstleister weigern sich in der Regeln, die Standardvertragsklauseln zu unterschreiben und verzichten lieber auf das Geschäft. Deutsche Unternehmen müssten dann ihre Dienstleister wechseln. Die derzeitigen Alternativen werden von Kollegen Heidrich bei Heise übersichtlich dargestellt. Eindeutig ist aber für alle Unternehmen: Die Rechte der Betroffenen müssen besser geschützt werden (Rn. 90 ff.). Auch in Standardvertragsklauseln sollten zusätzliche Maßnahmen zum Schutz von Betroffenenrechten getroffen werden (insbesondere Löschung und Rechtsschutz vor Gerichten).
  4. Schutz der Grundrechte durch Massenausspähung der Geheimdienste: Der EuGH äußert sich eindeutig gegen die Spähaktionen von NSA & Konsorten. Kritisiert wird in Rn. 84 ff., dass die Safe Harbor-Regelung ausdrücklich Überwachungsmaßnahmen der Geheimdienste gestattet. Der EuGH stellt klar, was außer unseren Politikern schon allen klar war: „dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt.“ Der EuGH schreibt den Regierungen, der EU und der deutschen Bundesregierung ins Stammbuch, endlich aktiv zu werden gegen die Massenüberwachung durch Geheimdienste und die massiven Grundrechtsverletzungen. Das ist gut und richtig, allerdings ist das Safe Harbor Urteil meines Erachtens der falsche Ort dafür.
  5. Rechtsschutz gegen Massenausspähung durch die Geheimdienste: Der EuGH äußert sich zudem in aller Deutlichkeit dagegen, dass europäische Gerichte, auch das deutsche Bundesverwaltungsgericht, den Bürgern es verweigern, gegen die Massenüberwachung zu klagen: „eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt“. Auch dies ist an sich wirklich zu begrüßen, allerdings ist die Entscheidung über Safe Harbor wohl der falsche Ort dafür, da es hier allein um die Datenübermittlung und Aufrechterhaltung der Wirtschaftskraft im internationalen Verkehr geht. In Rn. 89 stellt der EuGH klar, dass Rechtsschutz vorgesehen sein müsse – solcher besteht aber generell weder bei Datenübermittlungen in die USA oder andere Länder noch innerhalb der EU.
  6. Folge der EuGH-Argumentation: Jegliche Datenübermittlung nicht nur in Länder wie USA oder China, sondern auch nach Großbritannien ist rechtswidrig? Wenn man die Argumentation zu Ende denkt, wären auch EU-Standardvertragsklauseln und BCR rechtswidrig, da nach diesen natürlich genauso Zugriffsrechte der Geheimdienste bestehen. Jegliche Datenübermittlung außerhalb der EU/EWR wäre nach Ansicht des EuGH wohl unzulässig. Denn wenn der EuGH in Rn. 88 darauf abstellt, dass durch die Kommissionsentscheidung kein Schutz gegen Ausspähung vorgesehen sei, gilt das ebenso für Standardvertragsklauseln. Sogar weitergehend wäre Datenverarbeitung von US-Unternehmen in der EU unzulässig, da nach US-Recht die „Sicherheits“behörden Zugriff auch auf Daten von US-Unternehmen in Europa haben. Das kann offensichtlich nicht richtig sein. Aber es geht natürlich noch weiter: Bekanntlich gehören die Geheimdienste Großbritanniens zu den größten Verbrechern, was das Abgreifen der Daten aller Bürger angeht. Wenn das laut EuGH so massiv in unsere Grundrechte eingreift, ist damit auch jegliche Übermittlung von Daten nach Großbritannien rechtswidrig?

Im Ergebnis kann festgehalten werden, dass das Safe Harbor-Urteil zwar politisch zu begrüßen ist – das aber nicht Aufgabe des EuGH sein kann. Die Betonung der Grundrechtsverletzungen durch die Geheimdienste ist richtig und wichtig – aber hier am falschen Ort. Zudem ist die Argumentation gegen Safe Harbor so weitgehend, dass auch in Zukunft gravierende Probleme für internationale Übermittlungen entstehen können. Immerhin liefert der EuGH klare Vorgaben an die EU-Kommission um ein neues Abkommen zu verhandeln, das neben einer Stärkung der Rechte der Betroffenen auch vorsehen müsste, dass US-Sicherheitsbehörden keine Daten abgreifen dürfen (was kaum realistisch ist).

Dass die nationalen Aufsichtsbehörden Vorrang vor der EU-Kommission haben sollen, ist zudem ein Beitrag gegen die Vereinheitlichung europäischen Rechts und ein kurioses Zeichen in der Entscheidungsphase zur EU-Datenschutzgrundverordnung. Die Argumentation des EuGH ist – einmal mehr – wirr und kaum tragfähig. Das Urteil lässt einen – wie in letzter Zeit oft beim EuGH – ratlos zurück.

Hinweis: Der Beitrag beruht auf dem Volltext der Entscheidung (nunmehr auch auf deutsch verfügbar; für die englische Fassung hier klicken) und der Pressemitteilung des EuGH. Die erste Fassung habe ich aktualisiert nach der Lektüre des Urteils. Hervorhebungen in den Zitaten durch mich.

Autor: RA Matthias Lachenmann.

Dieser Beitrag wurde in Blog, Datenschutzrecht, Internetrecht/Onlinerecht, IT- und Internetrecht, Persönlichkeitsrecht, Verbraucherschutz veröffentlicht. Ein Lesezeichen auf das Permalink. setzen. Sowohl Kommentare als auch Trackbacks sind geschlossen.

7 Kommentare

  1. AG
    Am 6. Oktober 2015 um 12:02 Uhr veröffentlicht | Permalink

    Generell ist auch die Frage aufzuwerfen, warum man nicht vor dem Abschluss solcher Abkommen prüft, ob die zu treffenden Vereinbarungen auch rechtlich von den Vertragsparteien so umgesetzt werden können (und wollen). Aus meiner Sicht hätte es bereits vor Abschluss dieser Vereinbarung genügend Anlass gegeben, das kritisch zu prüfen, was wohl weitestgehend unterblieben sein wird, ich mutmaße aus politischen Gründen. Ähnliches erleben wir gerade auch mit TTIP. Man kann jetzt gespannt sein, was die nationalen Parlamente daraus wieder machen.

    • Am 6. Oktober 2015 um 13:26 Uhr veröffentlicht | Permalink

      Ja, es war seit Jahren bekannt, dass Safe Harbor in der ursprünglichen Version nicht funktioniert. Deshalb hatten die deutschen Aufsichtsbehörden einige zusätzliche Anforderungen gestellt. Das hätte schon lange durch die Politik angegangen werden müssen.

  2. llamaz
    Am 6. Oktober 2015 um 14:09 Uhr veröffentlicht | Permalink

    Wieso ändert sich für große Konzerne nicht viel? Wie sollen die denn EU-Datenschutzrechtkonforme Nutzungsvereinbarungen machen wenn sie deren Einhaltung gar nicht gewährleisten können da sie ja Daten an US Behörden wie die NSA weitergeben müssen ohne daß sie sich selbst oder die Nutzer dagegen wehren können.
    Wenn ich das richtig sehe, ist es für US Unternehmen derzeit überhaupt nicht möglich wirksam eine EU-Rechtskonforme Nutzungsvereinbarung was denn Datenschutz angeht anzubieten.

    • Am 6. Oktober 2015 um 15:13 Uhr veröffentlicht | Permalink

      Wenn man das Urteil sehr strikt auslegt, müsste in der Tat jeglicher Datenverkehr von Europa mit dem Rest der Welt sofort vollständig eingestellt werden.
      Aber in der Tat müssen nun alle Unternehmen auch ihre Standardvertragsklauseln und Binding Corporate Rules prüfen und an neue Anforderungen der Aufsichtsbehörden anpassen.

      • AG
        Am 7. Oktober 2015 um 15:59 Uhr veröffentlicht | Permalink

        Grundsätzlich mag das zutreffen. Aber hierzu bedarf es eines starken politischen Willens. Man hat ja auch bei TTIP gesehen, wie euphorisch manche Politiker versucht haben das Volk zu blenden. Vielleicht wussten sie es auch nicht besser, was man bezweifeln kann. Lassen wir uns überraschen, wie das weitergeht. Jetzt müssen erst einmal die Parlamente eine Umsetzung in die Wege leiten.
        Ich bin geneigt anzunehmen, dass das keine große Priorität geniessen wird. Lassen wir uns überraschen, wie voll der Bundestag ist, wenn es um die Verabschiedung dieser Vereinbarungen ist …

  3. Peter
    Am 6. Oktober 2015 um 17:10 Uhr veröffentlicht | Permalink

    Was nicht harmonisiert ist, ist eben eher wirr. Safe Harbor ist/war wirr bis zur Unsinnigkeit, und die Standardvertragsklauseln und Binding Corporate Rules sind es auch, weil sie zT. auch wie Umgehungen der Datenschutzrichtlinie erscheinen (siehe etwa die Transparenzpflicht, die fuer US-Firmen nicht einzuhalten sein duerfte). Und noch wirrer ist die Politik etwa in D und GB, wenn es um die Rolle der Geheimdienste geht.

    Mich wundert es daher nicht, dass dieses Urteil uns das vor Augen fuehrt – und dass es selber wirr erscheint. Ich bin gleichwohl heiter, dass dieses Urteil besteht und nun (mehr) Verwirrung stiftet. Es gilt naemlich, einen ziemlichen Augiasstall ausmisten.

  4. Am 7. Oktober 2015 um 7:16 Uhr veröffentlicht | Permalink

    Politiker verstecken sich gerne hinter den Gerichten/Gerichtsentsceidungen. Richter sind leichter zu manipulieren als das Nichtbeachten von Gesetzen.

    Datenschutz wie auch die Gerichtsentscheidungen dienen und helfen kriminellen Strukturen mehr als dem normalen Bürger.

    Nach dem EuGH-Harbor-Urteil wid sich im Tatsächlichen nicht viel ändern. Eine Beruhigungspille für das gemeine Volk, nicht mehr und nicht weniger.

Ein Trackback