Die Medien und viele Blogger haben es schon längst verbreitet: Der EuGH hat die Safe Harbor-Entscheidung für unwirksam erklärt.
Im Anschluss an den Countdown (Teil 1: Argumentation des GA; Teil 2 Kritik am Ansatz des GA und Teil 3: potentielle Auswirkungen) stellen wir in diesem Beitrag in aller Kürze die Kernpunkte der nunmehr verkündeten Entscheidung des EuGH dar. Eine eingehende Analyse dieses wegweisenden Urteils wird in wenigen Tagen in der kommenden Oktober-Ausgabe folgen:  Moos/Schefzig, CR 2015, 625 – 633.
Bindungswirkung von Entscheidungen der EU-Kommission
Nach dem Urteil des EuGH sind nationale Datenschutzbehörden an Entscheidungen der EU-Kommission gemäß Art. 25 Abs. 6 Datenschutzrichtlinie im Hinblick auf das Vorhandensein eines angemessenen Datenschutzniveaus in einem Drittstaat nicht gebunden. Der EuGH begründet das im Wesentlichen mit drei Argumenten:
- Erstens garantiere die Datenschutzrichtlinie ein einheitlich hohes Datenschutzniveau, das schon notwendig sei, um die Grundrechte effektiv zu schützen.
- Zweitens statuiere die Datenschutzrichtlinie, dass die nationalen Datenschutzbehörden in absoluter Unabhängigkeit agieren dürfen und müssen, um die Grundrechte der EU-Bürger effektiv zu schützen.
- Drittens müssten die Einzelnen eine Möglichkeit haben, sich gegen mögliche Verletzungen ihrer Rechte zu wehren.
Der EuGH kommt vor diesem Hintergrund zu dem Ergebnis, dass eine Entscheidung der EU-Kommission nach Art. 25 Abs. 6 der Datenschutzrichtlinie die Befugnisse der nationalen Datenschutzbehörden nicht einschränken könne und diese weiterhin berechtigt blieben zu prüfen, inwiefern beim Empfänger einer konkreten Datenübermittlung ein angemessenes Datenschutzniveau gewährleistet sei.
Unwirksamkeit der Safe-Harbor-Entscheidung
In überaus bemerkenswerter Kürze stellt der EuGH dar, dass auch die Wirksamkeit der Safe Harbor-Entscheidung selbst Gegenstand des Urteils sein sollte. Er begründet dies insbesondere damit, dass
- (i) nur der EuGH die Kommissionsentscheidung für unwirksam erklären dürfe,
- (ii) Max Schrems die Wirksamkeit der Safe Harbor-Entscheidung angezweifelt habe und
- (iii) auch das vorlegende Gericht diese Zweifel zu teilen scheine.
Weder Vorlagefrage noch entscheidungserheblich
Hingegen blendet der EuGH aus, dass die Wirksamkeit der Entscheidung nicht Gegenstand der Vorlagefrage ist und auch keine Auswirkungen auf diese Vorlagefrage hat. Der EuGH zieht die Entscheidungsbefugnis also mit beachtlicher Entschlossenheit an sich (siehe Härting, „Safe Harbor: Geburtsstunde eines europäischen Verfassungsgerichts?“, CRonline Blog v. 6.10.2015).
Politisches Geschick
Im Folgenden beweist der EuGH aber politisches Geschick: Zwar erklärt er die Safe Harbor-Entscheidung für unwirksam. Er begründet das aber nicht damit, dass die USA kein angemessenes Datenschutzniveau gewährleisten würden (und insoweit stellen viele Kommentare in den Medien das Urteil falsch dar) und geht – im Gegensatz zu Generalwalt Bot – auch gar nicht konkret auf die Datenzugriffe durch die NSA im Zuge des PRISM-Programms ein.
- Fehlende Prüfung durch EU-Kommission:
Vielmehr erklärt der EuGH die Safe Harbor-Entscheidung schon deshalb für unwirksam, weil die EU-Kommission diesen Punkt in ihrer Entscheidung nicht geprüft hat.
Da gemäß Annex I zur Entscheidung 2000/520 die Safe Harbor-Prinzipien nicht anzuwenden sind, soweit „Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Rechnung getragen“ werden muss, hätte die EU-Kommission nach Ansicht des EuGH die Wirkungen dieser Ausnahme untersuchen müssen, um entsprechend den Vorgaben der Datenschutzrichtlinie bewerten zu können, ob ein „angemessenes Datenschutzniveau“ besteht. Letztlich statuiert diese Ausnahme nämlich, wie auch Teil B des Annex IV zur Safe Harbor-Entscheidung klarstellt, dass US-Unternehmen bei sich widersprechenden Verpflichtungen stets dem amerikanischen Recht zu folgen haben (wir hatten das in Teil 1 unseres Countdowns dargestellt).
Vor diesem Hintergrund hätte sich die EU-Kommission nach Ansicht des EuGH zwingend mit den entsprechenden Pflichten amerikanischer Unternehmen, also dem amerikanischen Recht auseinandersetzen müssen. Allein weil die EU-Kommission das nicht getan hat und deshalb einen falschen Prüfungsmaßstab angelegt hat, hält der EuGH Artikel 1 der Safe Harbor-Entscheidung für unwirksam. - Keine Blockade nationaler Datenschutzbehörden:
Artikel 3 der Safe Harbor-Entscheidung erachtet der EuGH ebenfalls für unwirksam.
Denn aus diesem Artikel 3 ergebe sich letztlich, dass die nationalen Datenschutzbehörden eine Datenübermittlung nicht aussetzen dürften, wenn sie eine Verletzung der nationalen Gesetze, die der Umsetzung von Artikel 25 Datenschutzrichtlinie dienen, identifizieren. Artikel 3 der Safe Harbor-Entscheidung stelle also in Abrede, dass die nationalen Behörden auch eine auf Grundlage von Artikel 25 Abs. 6 Datenschutzrichtlinie ergangene Entscheidung überprüfen dürfe. Das bedeute eine Beschränkung der Rechte der nationalen Datenschutzbehörden dar, zu der die EU-Kommission nicht berechtigt sei.
Da Artikel 1 und 3 der Safe Harbor-Entscheidung mit der übrigen Entscheidung untrennbar verbunden seien, sei die Entscheidung in ihrer Gesamtheit unwirksam.
Auswirkungen des Urteils
Bereits in Teil 3 unseres Countdowns haben wir die möglichen Wirkungen des Urteils skizziert. Wegen der Eigenheiten der Argumentation des EuGH lassen sich diese Ausführungen auf das nunmehr ergangene Urteil teilweise übertragen.
Ganz vordringlich müssen alle Unternehmen, die Daten bisher auf Basis von Safe Harbor  übermittelt haben, umgehend eine Ersatzlösung erarbeiten. Eingehend werden wir die Auswirkungen in unserem Aufsatz in der Oktober-Ausgabe von CR betrachten, die in wenigen Tagen erscheinen wird.
4 Kommentare
Ad „und insoweit stellen viele Kommentare in den Medien das Urteil falsch dar“:
Vielmehr halte ich Ihre Ausführungen in diesem Punkt für irreführend: Der EuGH sagt zwar nicht ausdrücklich, dass die USA kein angemessenes Datenschutzniveau gewährleisten würden. Aus Rz. 93 und 94 der Entscheidung geht jedoch eindeutig hervor, dass er die US-Massenüberwachungspraktiken für mit den europäischen Grundrechten unvereinbar hält.
Falls Sie diese Ziffern anders lesen, bin ich sehr an Ihrer Interpretation interessiert.
@ WHoetzendorfer:
Ich denke, der EuGH hat hier lediglich näher ausgeführt, was er unter einem angemessenen Datenschutzniveau im Allgemeinen versteht. Insofern ist er seiner Rolle als „europäischem Grundrechtsgericht“ nachgekommen. „Im Allgemeinen“ ist in diesem Kontext natürlich relativ zu verstehen; der EuGH attestiert den Safe-Harbor-Richtlinien nicht direkt Ungültigkeit, möchte aber sicherlich durch seine Ausführungen einen juristischen Schuss vor den politischen Bug abgeben.
lG
Edit: Es lässt sich selbstredend auch herrlich und ausführlich darüber streiten, ob der EuGH nun die Rolle als Europäisches Verfassungsgericht inne hat/ haben sollte usw. – meine etwas plakative Formulierung war der Einfachheit halber gewählt.
Darüber hinaus möchte ich darauf hinweisen, dass der eingangs erwähnte – mehr oder weniger – allgemeine Charakter aus Rz. 91 und 92 des Urteils folgt. Dort wird mE eben ein kleiner „Exkurs“ zu dem Datenschutzniveau innerhalb der EU gegeben.
lG
@WHoetzendorfer
Aus Rz. 93 und 94 geht lediglich hervor, dass der EuGH „Massenüberwachungspraktiken“ für mit EU-Grundrechten unvereinbar hält. Der EuGH sagt aber *nicht*, dass die USA diese tatsächlich betreiben, oder dass US-Recht es gestattet. Snowden, Schrems, und unvorsichtigerweise auch die EU-Kommission haben das *behauptet*, bestätigt hat es der EuGH nicht. Der EuGH sagt aber zurecht, dass wenn die Kommission zu dieser Erkenntnis kommt, dann kann ja wohl nicht gleichzeitig SafeHarbor aufrecht erhalten bleiben.
Die USA bestreiten, Massenüberwachung zu betreiben. Ich empfehle hier das hervorragende Whitepaper von Peter Swire. Die Diskussion um die wilden Snowden-Behauptungen hat gerade erst begonnen. Nun werden sich die europäischen Datenschutzbehörden damit beschäftigen, und danach vermutlich auch Gerichte. Erst dann wird sich zeigen, was an dem Snowden-Zeugs dran ist. Und meine Prognose ist ganz klar: Kaum etwas.