Die Kritik an den Safe-Harbor-Grundsätzen für Datenübermittlungen in die USA ist umfangreich – und hat im Generalanwalt beim EuGH einen neuen, womöglich entscheidenden Fürsprecher erhalten. Denn in seinen heutigen Schlussanträgen im Verfahren des Facebook-Kritikers Maximilian Schrems gegen die irische Datenschutz-Aufsichtsbehörde (Rs. C-362/14) gesteht der Generalanwalt nicht nur den nationalen Aufsichtsbehörden das Recht zu, Entscheidungen der EU-Kommission über die Angemessenheit des Datenschutzniveaus anzuzweifeln. Vielmehr sei die Safe-Harbor-Entscheidung an sich ungültig.
EU-Kommission kann nationale Aufsichtsbehörden nicht binden
Übermittlungen personenbezogener Daten in Drittstaaten außerhalb von EU und EWG dürfen nach Art. 25 der Datenschutz-Richtlinie (Richtlinie 95/46/EG, DS-RL) grundsätzlich nur erfolgen, wenn der Drittstaat ein angemessenes Datenschutzniveau bietet. Nach Art. 25 Abs. 6 DS-RL kann die EU-Kommission feststellen, dass dies für bestimmte Staaten der Fall ist. Eine solche Entscheidung hat nach dem Generalanwalt zwar im Grundsatz eine Bindungswirkung für die nationalen Datenschutz-Aufsichtsbehörden, kann aber trotzdem deren eigene Befugnisse weder beseitigen noch auch nur verringern. Vielmehr könnten die nationalen Behörden eine Datenübermittlung in Drittstaaten unabhängig von der Bewertung der EU-Kommission zeitweise oder dauerhaft verbieten, wenn sie der Ansicht sind, dass sonst der Schutz der Daten von EU-Bürgern beeinträchtigt würde. Die Kompetenz, ein angemessenes Datenschutzniveau festzustellen, sei zwischen EU-Kommission und nationalen Aufsichtsbehörden geteilt.
Dies ist Wasser auf die Mühlen der deutschen Aufsichtsbehörden, die nach den Snowden-Enthüllungen bereits angekündigt hatten, keine Datenübermittlungen in die USA mehr genehmigen zu wollen und zu prüfen, ob solche Datenübermittlungen auszusetzen sind (siehe CR-Online.de Blog vom 29.7.2013). Die irische Datenschutzbehörde dagegen hatte sich unter Verweis auf den Safe-Harbor-Beschluss zu Datenübermittlungen in die USA pauschal geweigert, die Beschwerde von Schrems zu prüfen.
Safe Harbor insgesamt ungültig wegen Verstoßes gegen Grundrechte-Charta
Darüber hinaus ist der Generalanwalt der Ansicht, dass die Entscheidung der EU-Kommission, die eine Datenübermittlung in die USA auf Basis der Safe-Harbor-Grundsätze erlaubt (Entscheidung der EU-Kommission vom 26.7.2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, 2000/520/EG) insgesamt ungültig ist. Denn in die USA übermittelte Daten von EU-Bürgern würden dort – nach dem dortigen Recht legal – in großem Umfang gesammelt, ohne dass es dagegen einen wirksamen Rechtsschutz gebe.
Die Zugriffsmöglichkeiten der US-Geheimdienste auf diese Daten stellten zudem einen Eingriff in die europäischen Grundrechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten dar (Art. 7 und 8 der Grundrechte-Charta). Die fehlenden Möglichkeiten für EU-Bürger, sich gegen die Überwachung zu wehren, sei ein Eingriff in das Grundrecht auf einen wirksamen Rechtsbehelf. Diese Eingriffe, insbesondere die massive und wahllose Überwachung durch die US-Geheimdienste, verstößt nach Ansicht des Generalanwalts gegen die Verhältnismäßigkeit, so dass die EU-Kommission die Anwendung der Safe-Harbor-Entscheidung hätte aussetzen müssen. Denn der Generalanwalt weist ausdrücklich darauf hin, dass die Überwachungsproblematik nicht aus einem Bruch der Safe-Harbor-Regeln durch Facebook resultiere, sondern aus den weiten Ausnahmeregeln für den Datenschutz, die Safe Harbor an sich vorsieht.
Es wird Zeit für Unternehmen, was zu ändern
Wer bisher als personenbezogene Daten verarbeitendes Unternehmen immer noch auf Safe Harbor gesetzt hat, um Datenverarbeitungen in den USA zu rechtfertigen, sollte dringend etwas ändern. Wenn die Datenschutz-Aufsichtsbehörden nicht völlig schlafen, werden sie umgehend nach einer EuGH-Entscheidung, die ihnen erlaubt, Datenübermittlungen in die USA zu verbieten, solche Verbote aussprechen – mit den Schlussanträgen des Generalanwalts wird ein solcher Ausgang des Verfahrens immerhin recht wahrscheinlich. Ob bis dahin die EU-Kommission eine grundrechtskonforme Safe-Harbor-Nachfolgeregelung mit den USA vereinbart hat, ist unklar – und zudem besteht ein großes Problem ja darin, dass der Grundrechtsschutz in den USA an sich nicht gewährleistet ist. Die Auswirkungen dieses Umstandes auf die anderen Erlaubnisnormen für Datentransfers werden noch zu untersuchen sein.