Der EuGH wird am kommenden Dienstag, dem 6.10.2015, sein Urteil im Verfahren C-362/14 (Maximilian Schrems gegen die irische Datenschutzbehörde) verkünden – nur zwei Wochen nachdem Generalanwalt Yves Bot mit erheblichem Aufsehen seine Schlussanträge vorgelegt hat (siehe dazu unsere CRonline News und Bergt im CRonline Blog). Die Sache hat augenscheinlich auch für den EuGH eine exorbitante Bedeutung, die eine schnelle Entscheidung notwendig macht. Würde der EuGH den Anträgen folgen, wäre das entsprechende Urteil eine Sensation. Es hätte derzeit kaum abzusehende politische und wirtschaftliche Auswirkungen (siehe allein Statement of US Mission to the EU, 28.9.2015). Daneben werfen schon die Schlussanträge eine Reihe juristisch hochinteressanter Fragestellungen auf.
Unsere Countdown-Serie (Autoren: Flemming Moos und Jens Schefzig)
Noch vor Urteilsverkündung stellen wir in einer Serie von drei Blogbeiträgen die Schlussanträge des Generalanwalts ausführlich dar und untersuchen deren juristische Implikationen:
- In Teil 1 stellen wir die Argumentation des Generalanwalts im Detail vor.
- Auf dieser Grundlage setzen wir uns in Teil 2 kritisch damit auseinander, welchen Sachverhalt der Generalanwalt seinen Schlussanträgen zugrunde legen darf und wie er begründet, dass die nationalen Datenschutzbehörden an die Entscheidung der EU-Kommission zu Safe Harbor nicht gebunden wären.
- In Teil 3 zeigen wir die Dimensionen auf, in denen sich die Auswirkungen eines EuGH-Urteils auf jede Form des Datentransfers in die USA und sonstige Drittländer bewegen könnten.
Teil 1: Argumentation des Generalanwalts
Generalanwalt Bot schlägt eine Lösungsmöglichkeit für das Verfahren C-362/14 am EuGH vor.
1. Sachverhalt und Verlauf des Verfahrens
Ausgangspunkt des Verfahrens ist eine Beschwerde des Österreichers Max Schrems von Juni 2013. Herr Schrems, selbst Mitglied bei Facebook, beschwerte sich bei der irischen Datenschutzbehörde, dem „Data Protection Commissioner“, darüber, dass Facebook Ireland Ltd die Daten der Mitglieder von Facebook auf Servern in den USA speichere. Diese Vorgehensweise hielt er für unzulässig, weil in den USA kein effektiver Schutz personenbezogener Daten gegen den Zugriff des Staates gewährleistet sei. Er berief sich gegenüber dem Data Protection Commissioner auf die Umstände, die der Whistleblower Edward Snowden im Mai 2013 im Hinblick insbesondere auf das Überwachungsprogramm „PRISM“ der amerikanischen National Security Agency („NSA“) bekannt gemacht hatte. Kern dieser Enthüllungen war, dass die NSA durch PRISM einen uneingeschränkten Zugang auf die von mehreren großen amerikanischen Technologieunternehmen, unter anderem Facebook, gespeicherten Daten habe.
Der Data Protection Commissioner verfolgte die Beschwerde nicht. Die genauen Erwägungen nach irischem Recht werden dabei an dieser Stelle ausgeklammert. Im Wesentlichen begründete er seine Untätigkeit mit zwei Argumenten:
- Einerseits sei nicht bewiesen, dass die NSA auch die konkreten Daten von Herrn Schrems abgerufen hätte;
- außerdem sei er insoweit an die Entscheidung 2000/520/EG der Europäischen Kommission gebunden und könne deshalb die Angemessenheit des Datenschutzniveaus in den USA nicht in Frage stellen, zumindest nicht prüfen.
Gegen diese Entscheidung des Data Protection Commissioner ging Herr Schrems vor dem irischen High Court vor. Der High Court sah es als möglich an, dass die NSA, aber auch andere amerikanische Sicherheitsdienste wie das Federal Bureau of Investigation („FBI“) in der Lage sind, personenbezogene Daten in den USA undifferenziert zu überwachen und abzufangen. Alleine auf Grundlage des irischen Rechts hielt der High Court es daher für fraglich, ob in den USA ein angemessenes Datenschutzniveau herrscht. Er legte daher dem EuGH im Kern die Frage vor, ob der Data Protection Commissioner an die Entscheidung 2000/520/EG der EU-Kommission gebunden sei, die allen Safe Harbor-Mitgliedern pauschal ein angemessenes Datenschutzniveau attestiert.
2. Inhalt der Schlussanträge
a) Bindungswirkung der Kommissionsentscheidung 2000/520
Den Ausgangspunkt der Analyse des Generalanwalts stellen die datenschutzrechtlichen Befugnisse der nationalen Datenschutzbehörden und ihre Unabhängigkeit dar (Tz. 63 ff.). Die Datenschutzrichtlinie 95/46/EG („DSRL“) weise den Datenschutzbehörden die Aufgabe zu, die Einhaltung der datenschutzrechtlichen Vorschriften zu überwachen und Beschwerden der einzelnen Betroffenen nachzugehen. Dabei agierten sie, gesetzlich garantiert, in völliger Unabhängigkeit. Der EuGH habe außerdem bereits festgestellt, dass auch um dem Primärrecht gerecht zu werden, insbesondere Art. 8 Abs. 3 EU-GRCharta, eine unabhängige Datenschutzbehörde notwendig sei, die die Einhaltung der Vorschriften zur Verarbeitung personenbezogener Daten überprüft.
Unabhängigkeit nationaler Datenschutzbehörden
Nach Ansicht des Generalanwalts haben die Befugnisse der nationalen Datenschutzbehörden auch vollumfänglich Bestand, wenn die EU-Kommission eine Entscheidung auf Grundlage des Art. 25 Abs. 6 DSRL getroffen hat. Andernfalls sei die Unabhängigkeit der Datenschutzbehörden nicht mehr gewährleistet. Außerdem gehe Art. 25 DSRL nicht Art. 28 DSRL vor. Im Gegenteil sollten die Datenschutzbehörden nach der Richtlinie auch kontrollieren, dass ein Datentransfer in ein Drittland nur erfolgt, wenn dort ein angemessenes Datenschutzniveau herrscht (Tz. 78).
Gleichberechtigte Beurteilungskompetenz und -pflicht
Prinzipiell seien die Datenschutzbehörden dabei an die Entscheidung 2000/520/EG gebunden, was auch eine einheitliche Vorgehensweise innerhalb Europas garantiere (Tz. 83 ff.). Das bedeute aber nicht, dass die nationalen Datenschutzbehörden nicht auch abweichende Entscheidungen treffen könnten. Bei der Beurteilung der Frage, ob in einem Land ein angemessenes Datenschutzniveau herrscht, hätten die Mitgliedsstaaten nämlich eine gleichberechtigte Rolle (Tz. 91). Außerdem soll das Argument einer einheitlichen Vorgehensweise innerhalb Europas nach Meinung des Generalanwalts dann nicht mehr gelten, wenn die EU-Kommission selbst ihre Entscheidung in Frage stellt und diesbezüglich sogar Verhandlungen aufnimmt (Tz. 90). Eine Entscheidung nach Art. 25 Abs. 6 DSRL würde Datenübermittlungen in einen Drittstaat demnach zwar grundsätzlich erlauben, aber die Befugnisse der Behörden wären dadurch nicht eingeschränkt, sie dürften insbesondere auf individuelle Beschwerden hin untersuchen, ob Grundrechte verletzt wurden (Tz. 93).
Parallele im Asylrecht
An diesem Punkt zieht der Generalanwalt eine Parallele zur Rechtsprechung des EuGH im Asylrecht (Tz. 100). Nach dieser Rechtsprechung können Mitgliedsstaaten grundsätzlich davon ausgehen, dass andere Mitgliedsstaaten die anwendbaren Asylregelungen beachten. Das gilt aber nicht, wenn Mitgliedsstaaten bewusst ist, dass das Asylverfahren und die Bedingungen der Aufnahme in einem anderen Mitgliedsstaat zu einer inhumanen oder herabwürdigen Behandlung im Sinne des Art. 4 EU-GRCharta führen kann (Tz. 103).
Folgerung: Widerlegliche Vermutung
Auch im Bereich des Datenschutzrechts könne es keine unwiderlegliche Vermutung geben, dass die Kommissionsentscheidung bezüglich der Angemessenheit des Datenschutzniveaus eines Drittstaats die Grundrechte beachtet habe (Tz. 104 ff.). Eine derartige Entscheidung müsse vielmehr zu widerlegen sein und die Mitgliedsstaaten müssten Maßnahmen zur Sicherung der Grundrechte ihrer Bürger treffen können. Eine Entscheidung nach Art. 25 Abs. 6 DSRL hebe zwar das generelle Verbot der Übermittlung personenbezogener Daten auf, aber der Schutz der Bürger solle dadurch gerade nicht gesenkt werden (Tz. 106 ff.).
Kompetenzüberschreitung durch EU-Kommission
Die Entscheidung 2000/520 spiegelt diese Regelungsstruktur nach Ansicht des Generalanwalts nicht korrekt wider. Zwar können die nationalen Datenschutzbehörden einzelne Datenübermittlungen gemäß Art. 3 Abs. 1 b) Entscheidung 2000/520 untersagen, wenn die wesentliche Möglichkeit besteht, dass die Safe Harbor Prinzipien verletzt würden, die Klausel stelle aber Bedingungen auf, die strenger als die soeben beschriebenen Grundsätze seien (Tz. 115). Dazu sei die EU-Kommission nicht berechtigt.
Ergebnis zur Bindungswirkung
Im Ergebnis seien die nationalen Datenschutzbehörden stets berechtigt, Vorwürfe zu untersuchen, dass eine Datenverarbeitung die Grundrechte der Betroffenen verletzt. Wenn die Datenschutzbehörden feststellen, dass in einem Drittstaat wahrscheinlich die Datenschutzrechte der Betroffenen nicht beachtet werden, dürften sie auch die Übermittlung von Daten an einen Empfänger in diesem Land untersagen (Tz. 117). Außerdem müssten die Datenschutzbehörden eine Möglichkeit haben, die entsprechende Entscheidung der EU-Kommission von einem Gericht überprüfen zu lassen.
b) Wirksamkeit der Kommissionsentscheidung 2000/520/EG
Der Generalanwalt vertritt die Ansicht, dass der EuGH vorliegend auch die generelle Wirksamkeit der Kommissionsentscheidung 2000/520/EG überprüfen müsse und solle, obwohl der vorlegende High Court keine in dieser Weise formulierte Vorlagefrage gestellt hat. Sowohl Herr Schrems als auch der High Court hätten aber Zweifel geäußert, ob die USA ein angemessenes Datenschutzniveau böten. Der EuGH könne sich auch im Rahmen eines Vorabentscheidungsverfahrens nach Art. 267 AEUV zu der Wirksamkeit einer Maßnahme äußern, wenn die entsprechende Frage letztlich die Wirksamkeit dieser Maßnahme in Frage stellt und nicht nur ihre Auslegung (Tz. 125 ff.). Insoweit könne das Gericht allerdings nur die Punkte berücksichtigen, die die Beteiligten im jeweiligen Verfahren bereits angesprochen haben. Das sei vorliegend der Zugriff der amerikanischen Geheimdienste auf die personenbezogenen Daten.
Ausnahmsweise erlaubter Datenzugriff durch US-Geheimdienste
Da die Entscheidung 2000/520/EG fortdauernde Wirkung habe, sei die vom vorlegenden Gericht vorgetragene aktuelle faktische und rechtliche Lage ausschlaggebend (Tz. 131-138 und 145-154). Der Generalanwalt geht im Folgenden davon aus, dass die amerikanischen Geheimdienste bei bestimmten, „Safe-Harbor-zertifizierten“ Unternehmen einen ungehinderten, bedingungslosen Zugriff auf die gespeicherten personenbezogenen Daten haben (Tz. 155-158). Nach Wertung des Generalanwalts handeln die fraglichen Unternehmen selbst nicht rechtswidrig, wenn sie diesen Zugriff gewähren, weil Annex I Abs. 4 Entscheidung 2000/520/EG den Zugriff erlaube.
Vereinbarkeit der Ausnahmen mit EU-Recht
Der Generalanwalt hält es daher für entscheidend, ob die in der Entscheidung 2000/520/EG enthaltenen Ausnahmen mit dem europäischen Recht zu vereinbaren sind (Tz. 168). Die EU-Kommission darf nach Ansicht des Generalanwalts nur dann feststellen, dass ein anderes Land ein angemessenes Datenschutzniveau hat, wenn dieses im Wesentlichen dem durch die DSRL geschaffenen Niveau entspricht (Tz. 139-144). Er wendet daher die europäischen Maßstäbe auf diese Ausnahmen an.
Verletzung der Grundrechte der EU-Bürger
Nach Ansicht des Generalanwalts liegt ein Eingriff in die in Art. 7, 8 und 47 EU-GRCharta statuierten Grundrechte der EU-Bürger vor (Tz. 169-175). Ein solcher Eingriff sei nur gerechtfertigt, wenn er anerkannten Interessen der Allgemeinheit oder dem Schutz der Rechte und Freiheiten Dritter diene. Der Eingriff müsse außerdem für die Verfolgung dieser Zwecke erforderlich und letztlich verhältnismäßig sein (Tz. 176).
Kaum im Interesse der Allgemeinheit
Der Generalanwalt stellt schon in Frage, ob die Ausnahmen in Entscheidung 2000/520/EG tatsächlich anerkannten Interessen der Allgemeinheit dient. Von den in Annex I Abs. 4 a) explizit aufgezählten möglichen Interessen, die Ausnahmen von den Prinzipien rechtfertigen können (d.h. nationale Sicherheit, öffentliches Interesse, Notwendigkeiten der Rechtsverfolgung) sei nur die nationale Sicherheit genügend präzise um ein solcher legitimer Zweck zu sein (Tz. 184). Im Ergebnis rechtfertige eine beliebige rechtliche Verpflichtung oder Berechtigung eine Abweichung von den Safe Harbor Prinzipien. Das ergebe sich auch aus den Erklärungen zu Annex IV, wonach Unternehmen offensichtlich immer amerikanischem Recht folgen müssten und die Safe Harbor Prinzipien insoweit bedeutungslos seien (Tz. 178-180).
Unzureichende Erforderlichkeit
Auch die Erforderlichkeit ist nach Ansicht des Generalanwalts in den Ausnahmen nur ungenügend umgesetzt. Zwar sei das Kriterium der Erforderlichkeit in Annex I Abs. 4 b) enthalten, aber weder sei ersichtlich, wie sich Unternehmen erfolgreich darauf berufen sollten (Tz. 182), noch werde dieses Kriterium angesichts der bekannt gewordenen Umstände faktisch beachtet (Tz. 197).
Keine Verhältnismäßigkeit
Insbesondere erachtet der Generalanwalt die Ausnahmeregelungen für unverhältnismäßig. Er zieht zur Begründung insbesondere Rechtsprechung des EuGH zu Art. 13 Abs. 1 DSRL heran, der den Mitgliedsstaaten unter gewissen Voraussetzungen Einschränkungen des Schutzes personenbezogener Daten erlaubt. Der EuGH hatte insoweit schon statuiert, dass auf Art. 13 Abs. 1 DSRL nur wirklich notwendige Maßnahmen gestützt werden dürfen. Dasselbe müsse also auch für Safe Harbor gelten. Ganz im Gegenteil hätten die amerikanischen Sicherheitsdienste aber unabhängig von einem konkreten Verdacht einen allgemeinen, uneingeschränkten Zugriff auf sämtliche transferierten personenbezogenen Daten (Tz. 196-199).
Unzureichende externe Kontrolle
Darüber hinaus sei auch keine ausreichende externe Kontrolle gewährleistet. Die Federal Trade Commission als bloße Wirtschaftsbehörde habe gegenüber den Sicherheitsbehörden gerade keine Kontrollrechte (Tz. 205-206). Auch die Foreign Intelligence Surveillance Courts könnten keine unabhängige Prüfung der Tätigkeiten der Sicherheitsdienste gewährleisten, weil Europäer durch sie gerade nicht geschützt wären (Tz. 211). Die Existenz einer unabhängigen Datenschutzbehörde sei aber ein essenzieller Faktor, um ein angemessenes Datenschutzniveau annehmen zu können (Tz. 210). Darüber hinaus hätten die Betroffenen keine Auskunftsrechte gegenüber den Sicherheitsbehörden (Tz. 211).
Angesichts der gefundenen Ergebnisse hätte die EU-Kommission Safe Harbor nach Überzeugung des Generalanwalts aussetzen müssen (Tz. 217 ff.). Die Entscheidung 2000/520 sei unwirksam (Tz. 237).
Preview
In Teil 2 setzen wir uns mit der Argumentation des Generalanwalts kritisch auseinander.