06.10.2015

EuGH C-362/14 - Maximillian Schrems vs irische Datenschutzbehörde - US-EU Safe Harbor Abkommen / Facebook

Am 6. Oktober 2015 hat der Europäische Gerichtshof (EuGH) im wegweisenden datenschutzrechtlichen Verfahren von Maximillian Schrems gegen die irische Datenschutzbehörde (C-362/14) sein Urteil gefällt und unter anderem folgendes festgehalten:

(i) Der Entscheid 2000/520/EG der EU-Kommission vom 26. Juli 2000 (sog. US-EU Safe Harbor Abkommen), wonach ein Drittstaat (i.c. USA) ein angemessenes datenschutzrechtliches Schutzniveau für übermittelte personenbezogene Daten gewährleiste, könne die Befugnisse einer nationalen Datenschutzbehörde zur Kontrolle einer solchen Übermittlung weder beseitigen noch einschränken. Die nationale Datenschutzbehörde müsse in „völliger Unabhängigkeit prüfen können, ob bei der Übermittlung personenbezogener Daten in ein Drittland die in der [EU-Datenschutz]Richtlinie aufgestellten Anforderungen gewahrt werden“.

(ii) Das US-EU Safe Harbor Abkommen gelte nur für US-Unternehmen, welche die Safe Harbor Principles befolgen. Das Abkommen gelte jedoch nicht für US-Behörden. Ferner haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der USA Vorrang vor dem Abkommen. Demnach können US-Unternehmen „ohne jede Einschränkung“ verpflichtet werden, die Schutzregeln des US-EU Safe Harbor Abkommens „unangewendet zu lassen, wenn sie in Widerstreit“ zu den vorgenannten Erfordernissen stehen. Regeln zur Begrenzung oder einen „wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe“ gebe es nicht.

(iii) Das US-EU Safe Harbor Abkommen weise eine fehlerhafte Struktur auf, halte die Vorgaben der EU-Datenschutzrichtlinie nur mangelhaft ein und stelle damit eine Grundrechtsverletzung dar. Es sei daher ungültig.

(iv) Das vorliegende Urteil „hat zur Folge dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.“

Damit ist der EuGH den Schlussanträgen von Generalanwalt Bolt in zahlreichen Punkten gefolgt.

Michal Cichocki
© LawBlogSwitzerland.ch
Maira Gall