1. Home
  2. News
  3. Der Europäische Gerichtshof stoppt Datentransfer in die USA. Safe Harbor-Regelungen sind unzulässig.
  • Datenschutz

Der Europäische Gerichtshof stoppt Datentransfer in die USA. Safe Harbor-Regelungen sind unzulässig.

Die Große Kammer des Europäischen Gerichtshofs (EuGH) hat in seinem Urteil vom 6. Oktober 2015 in der Rechtssache Maximilian Schrems gegen den Kommissar für Datenschutz die Erklärung der Kommission zum Safe Harbor-Abkommen vom 26. 07. 2000 (Anmerkung: im Folgenden: SH) für ungültig erklärt. Der EuGH ist der Ansicht, dass durch Safe Harbour kein angemessenes Datenschutzniveau in Bezug auf die Übermittlung von personenbezogenen Daten von Europa in die USA gewährleistet wird.

Konsequenzen aus dem Urteil

Ein Datentransfer in die USA auf der Grundlage von SH ist mangels eines angemessenen Datenschutzniveaus unzulässig. Dieses Ergebnis hinterlässt ein unbefriedigendes Vakuum vor dem Hintergrund von über 4.000 Unternehmen, die personenbezogene Daten in die USA übermitteln und Millionen von Facebook-Nutzern. Gibt es eine Alternative, die anders als SH eine rechtmäßige transatlantische Datenübermittlung gewährleistet? In der Praxis und Fachöffentlichkeit werden die EU-Standardvertragsklauseln und die sogenannten Corporate Binding Rules diskutiert. Indessen binden diese Regelungen nur die jeweiligen Vertragsparteien. Hingegen haben die amerikanischen Behörden auf Grund der Rechtslage in den USA weiterhin ungehinderten Zugriff auf die Daten. Die EU-Standardvertragsklauseln und die Corporate Binding Rules stellen daher keine taugliche Alternative dar. Das Vakuum lässt sich auch nicht durch ein reformiertes SH-Regelwerk füllen, da in der Normenhierarchie die amerikanischen Rechtsnomen Vorrang gegenüber SH genießen. Vielmehr dürfte endgültig der Zeitpunkt gekommen sein, möglichst zeitnah ein internationales Abkommen zum transatlantischen Datenverkehr zu schaffen, das die im aktuellen Urteil des EuGH aufgestellten Anforderungen berücksichtigt, um die bestehende Rechtunsicherheit in der Praxis zu beseitigen. Für Kompromisse mit den USA ist der Spielraum begrenzt, da die EU beim Abschluss eines völkerrechtlichen Abkommens an die die in der EU-Grundrechtecharta verankerten Grundsätze, insbesondere Art. 8 (Schutz personenbezogener Daten), verbunden ist.

Zu den Entscheidungsgründen

Im Folgenden werden die Entscheidungsgründe – soweit bekannt – des für den Datentransfer aus Europa in die USA wegweisenden Grundsatzurteils dargestellt.

Entscheidungsbefugnis des EuGH

Wie kommt der EuGH dazu, SH zu kippen? Damit verhält es sich wie folgt: Vertritt eine nationale Datenschutzbehörde oder ein betroffener EU-Bürger die Ansicht, dass ein Rechtsakt der Europäischen Kommission wie etwa SH gegen die europäische Datenschutzrichtlinie im Lichte der EU-Grundrechtecharta verstößt, können sie die nationalen Gerichte anrufen. Schließt sich nun das angerufene nationale Gericht der Auffassung der Datenschutzbehörde bzw. des EU-Bürgers an, muss das nationale Gericht den Fall dem EuGH zur Vorabentscheidung vorlegen. Der EuGH entscheidet sodann abschließend über den Rechtsakt der Kommission.

Prüfungsmaßstab der Kommission und Prüfungsmaßstab des EuGH

Im Falle eines Datentransfers von Europa in einen Drittstaat muss gemäß Art. 25 der europäischen Datenschutz-Richtlinie in dem Drittstaat ein angemessenes Datenschutzniveau sichergestellt sein. Nach Auffassung der Kommission ist das Datenschutzniveau hinsichtlich der USA angemessen, soweit die Grundsätze der Entscheidung der Kommission vom 26.07.2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ (Safe Harbor) und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, eingehalten werden.

Dem SH als Prüfungsmaßstab für die Ermittlung des angemessenen Datenschutzniveaus erteilt der EuGH eine klare Absage. Anders als der von der Kommission gewählte Ansatz ist nach Auffassung des EuGH zu klären, ob die USA aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleisten, das dem in der EU aufgrund der Richtlinie im Lichte der EU-Grundrechtecharta garantierten Niveau der Sache nach gleichwertig ist. Demzufolge ergibt sich daraus ein dreistufiges Prüfungsprogramm:

  1. Bestimmung des Schutzniveaus der Grundrechte in der EU, das sich aus der Interpretation der Richtlinie im Lichte der EU-Grundrechtecharta ergibt.
  2. Bestimmung des Schutzniveaus der Grundrechte in den USA auf der Grundlage der innerstaatlichen Rechtsvorschriften und internationalen Verpflichtungen.
  3. Prüfung der Gleichwertigkeit des US-amerikanischen Regimes zum Datenschutz im Vergleich zum europäischen Datenschutz.

Keine Gewährleistung eines angemessenen Datenschutzniveaus durch das Safe Harbour-Abkommen

Der EuGH prüft – ohne dass dafür seiner Ansicht nach eine rechtliche Notwendigkeit gegeben sein muss – zunächst das Datenschutzniveau von SH. Dieses verwirft der EuGH als völlig unzureichendes Instrument zur Gewährleistung eines angemessenen Datenschutzniveaus. Es begründet dies wie folgt:

  1. SH gilt nur für private Unternehmen, die sich den Regelungen auch ausdrücklich unterwerfen (Selbstverpflichtung). Andere private Unternehmen sowie staatliche Behörden sind an die Regelungen des SH nicht gebunden.
  2. SH muss höherem (us-amerikanischem) Recht weichen. Rechtsgüter wie die nationale Sicherheit, des öffentlichen Interesses, der Durchführung von Gesetzen haben gegenüber SH Vorrang. SH gewährleistet keinen Grundrechtsschutz gegenüber Eingriffen in den Datenschutz. Der Staat habe letztlich einen unbegrenzten Zugriff auf die übermittelten Daten. Hinzu kommt, dass es in den USA keinen effektiven gesetzlichen Rechtsschutz gegen solche Eingriffe gibt.

In einem weiteren Schritt prüft der EuGH, ob die Rechtsordnung der USA ein hinreichendes Schutzniveau gewährleistet, das den in der Union garantierten Freiheiten und Grundrechten der Sache nach gleichwertig ist. Dem erteilt der EuGH eine klare Absage und zwar unter Verweis darauf, dass in den USA die Speicherung sämtlicher aus der EU übermittelten Daten durch staatliche Stellen ohne Einschränkungen zulässig ist. Die undifferenzierte und schrankenlose Verarbeitung und Nutzung der personenbezogenen Daten aus Europa, wird insbesondere nicht durch den Zweck der Datenverarbeitung beschränkt.

Der EuGH gelangt zu dem für den Datenschutz in den USA fatalen Ergebnis: Das Grundrecht auf Achtung der Privatsphäre ist in seinem Wesensgehalt verletzt. Der Wesensgehalt macht den Kern des Grundrechts aus, der für staatliche Eingriffe Tabu sein muss. Eine staatliche Intervention in den Wesensgehalt des Grundrechts lässt sich nicht durch den Vorrang anderer verfassungsrechtlich geschützter Rechtsgüter, z.B. öffentliches Interesse oder Sicherheit, rechtfertigen.

Die USA verletzen nach Auffassung des EuGH zudem das Grundrecht auf wirksamen rechtlichen Rechtsschutz. Eine Rechtsordnung, die keine Möglichkeit vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden Daten zu erlangen oder Berichtigung oder Löschung zu bewirken, unterminiert – so der EuGH – das Wesen des Rechtsstaats.

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo