Der Gerichtshof der Europäischen Union hat mit seinem heutigen Urteil den Datenschutz gestärkt: Er erklärte die Entscheidung der Kommission, in der festgestellt wird, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig.
In dem entschiedenen Fall hatte ein österreichischer Staatsangehöriger, Herr Schrems, seit 2008 Facebook genutzt. Wie bei allen anderen in der Union wohnhaften Nutzern von Facebook werden die Daten, die Herr Schrems Facebook liefert, von der irischen Tochtergesellschaft von Facebook ganz oder teilweise an Server, die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Herr Schrems legte bei der irischen Datenschutzbehörde eine Beschwerde ein, weil er im Hinblick auf die von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten, insbesondere der National Security Agency (NSA), der Ansicht war, dass das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor Überwachungstätigkeiten der dortigen Behörden böten.
Genügt die „Safe-Harbor-Regelung“?
Die irische Behörde wies die Beschwerde insbesondere mit der Begründung zurück, die Kommission habe in ihrer Entscheidung vom 26.07.2000 festgestellt, dass die Vereinigten Staaten im Rahmen der sog. „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau der übermittelten personenbezogenen Daten gewährleisteten. Der mit der Rechtssache befasste irische High Court möchte wissen, ob diese Entscheidung der Kommission eine nationale Datenschutzbehörde daran hindert, eine Beschwerde zu prüfen, mit der geltend gemacht wird, dass ein Drittland kein angemessenes Schutzniveau gewährleiste, und gegebenenfalls die angefochtene Datenübermittlung auszusetzen.
Vereinbarung zur einfachen Datenübermittlung in die USA ist ungültig
In seinem Urteil C-362/14 vom 06.10.2015 erklärte der Europäische Gerichtshof nun die Entscheidung der EU-Kommission, dass die im Rahmen der sog. Safe-Harbour-Regelung an die USA übermittelten Daten ein angemessenes Schutzniveau gewährleisten, für ungültig. Die Daten europäischer Internet-Nutzer seien in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt. Im Übrigen betonte der EuGH, dass Entscheidungen der Kommission die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union verfügen, weder beseitigen noch auch nur beschränken können.
Datenschutz geht vor
Das Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.
(EuGH / Viola C. Didier)
