06.10.2015

Der Countdown endet: Safe Harbor-Entscheidung der Kommission unwirksam (Autoren: Flemming Moos und Jens Schefzig)

Portrait von Flemming Moos
Flemming Moos

Die Medien und viele Blogger haben es schon längst verbreitet: Der EuGH hat die Safe Harbor-Entscheidung für unwirksam erklärt.

Im Anschluss an den Countdown (Teil 1: Argumentation des GA; Teil 2 Kritik am Ansatz des GA und Teil 3: potentielle Auswirkungen) stellen wir in diesem Beitrag in aller Kürze die Kernpunkte der nunmehr verkündeten Entscheidung des EuGH dar. Eine eingehende Analyse dieses wegweisenden Urteils wird in wenigen Tagen in der kommenden Oktober-Ausgabe folgen:  Moos/Schefzig, CR 2015, 625 - 633.

Bindungswirkung von Entscheidungen der EU-Kommission

Nach dem Urteil des EuGH sind nationale Datenschutzbehörden an Entscheidungen der EU-Kommission gemäß Art. 25 Abs. 6 Datenschutzrichtlinie im Hinblick auf das Vorhandensein eines angemessenen Datenschutzniveaus in einem Drittstaat nicht gebunden. Der EuGH begründet das im Wesentlichen mit drei Argumenten:

  • Erstens garantiere die Datenschutzrichtlinie ein einheitlich hohes Datenschutzniveau, das schon notwendig sei, um die Grundrechte effektiv zu schützen.
  • Zweitens statuiere die Datenschutzrichtlinie, dass die nationalen Datenschutzbehörden in absoluter Unabhängigkeit agieren dürfen und müssen, um die Grundrechte der EU-Bürger effektiv zu schützen.
  • Drittens müssten die Einzelnen eine Möglichkeit haben, sich gegen mögliche Verletzungen ihrer Rechte zu wehren.

Der EuGH kommt vor diesem Hintergrund zu dem Ergebnis, dass eine Entscheidung der EU-Kommission nach Art. 25 Abs. 6 der Datenschutzrichtlinie die Befugnisse der nationalen Datenschutzbehörden nicht einschränken könne und diese weiterhin berechtigt blieben zu prüfen, inwiefern beim Empfänger einer konkreten Datenübermittlung ein angemessenes Datenschutzniveau gewährleistet sei.

Unwirksamkeit der Safe-Harbor-Entscheidung

In überaus bemerkenswerter Kürze stellt der EuGH dar, dass auch die Wirksamkeit der Safe Harbor-Entscheidung selbst Gegenstand des Urteils sein sollte. Er begründet dies insbesondere damit, dass

  • (i) nur der EuGH die Kommissionsentscheidung für unwirksam erklären dürfe,
  • (ii) Max Schrems die Wirksamkeit der Safe Harbor-Entscheidung angezweifelt habe und
  • (iii) auch das vorlegende Gericht diese Zweifel zu teilen scheine.
Weder Vorlagefrage noch entscheidungserheblich

Hingegen blendet der EuGH aus, dass die Wirksamkeit der Entscheidung nicht Gegenstand der Vorlagefrage ist und auch keine Auswirkungen auf diese Vorlagefrage hat. Der EuGH zieht die Entscheidungsbefugnis also mit beachtlicher Entschlossenheit an sich (siehe Härting, "Safe Harbor: Geburtsstunde eines europäischen Verfassungsgerichts?", CRonline Blog v. 6.10.2015).

Politisches Geschick

Im Folgenden beweist der EuGH aber politisches Geschick: Zwar erklärt er die Safe Harbor-Entscheidung für unwirksam. Er begründet das aber nicht damit, dass die USA kein angemessenes Datenschutzniveau gewährleisten würden (und insoweit stellen viele Kommentare in den Medien das Urteil falsch dar) und geht – im Gegensatz zu Generalwalt Bot – auch gar nicht konkret auf die Datenzugriffe durch die NSA im Zuge des PRISM-Programms ein.

  • Fehlende Prüfung durch EU-Kommission: Vielmehr erklärt der EuGH die Safe Harbor-Entscheidung schon deshalb für unwirksam, weil die EU-Kommission diesen Punkt in ihrer Entscheidung nicht geprüft hat. Da gemäß Annex I zur Entscheidung 2000/520 die Safe Harbor-Prinzipien nicht anzuwenden sind, soweit „Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Rechnung getragen“ werden muss, hätte die EU-Kommission nach Ansicht des EuGH die Wirkungen dieser Ausnahme untersuchen müssen, um entsprechend den Vorgaben der Datenschutzrichtlinie bewerten zu können, ob ein „angemessenes Datenschutzniveau“ besteht. Letztlich statuiert diese Ausnahme nämlich, wie auch Teil B des Annex IV zur Safe Harbor-Entscheidung klarstellt, dass US-Unternehmen bei sich widersprechenden Verpflichtungen stets dem amerikanischen Recht zu folgen haben (wir hatten das in Teil 1 unseres Countdowns dargestellt). Vor diesem Hintergrund hätte sich die EU-Kommission nach Ansicht des EuGH zwingend mit den entsprechenden Pflichten amerikanischer Unternehmen, also dem amerikanischen Recht auseinandersetzen müssen. Allein weil die EU-Kommission das nicht getan hat und deshalb einen falschen Prüfungsmaßstab angelegt hat, hält der EuGH Artikel 1 der Safe Harbor-Entscheidung für unwirksam.
  • Keine Blockade nationaler Datenschutzbehörden: Artikel 3 der Safe Harbor-Entscheidung erachtet der EuGH ebenfalls für unwirksam. Denn aus diesem Artikel 3 ergebe sich letztlich, dass die nationalen Datenschutzbehörden eine Datenübermittlung nicht aussetzen dürften, wenn sie eine Verletzung der nationalen Gesetze, die der Umsetzung von Artikel 25 Datenschutzrichtlinie dienen, identifizieren. Artikel 3 der Safe Harbor-Entscheidung stelle also in Abrede, dass die nationalen Behörden auch eine auf Grundlage von Artikel 25 Abs. 6 Datenschutzrichtlinie ergangene Entscheidung überprüfen dürfe. Das bedeute eine Beschränkung der Rechte der nationalen Datenschutzbehörden dar, zu der die EU-Kommission nicht berechtigt sei.

Da Artikel 1 und 3 der Safe Harbor-Entscheidung mit der übrigen Entscheidung untrennbar verbunden seien, sei die Entscheidung in ihrer Gesamtheit unwirksam.

Auswirkungen des Urteils

Bereits in Teil 3 unseres Countdowns haben wir die möglichen Wirkungen des Urteils skizziert. Wegen der Eigenheiten der Argumentation des EuGH lassen sich diese Ausführungen auf das nunmehr ergangene Urteil teilweise übertragen.

Ganz vordringlich müssen alle Unternehmen, die Daten bisher auf Basis von Safe Harbor  übermittelt haben, umgehend eine Ersatzlösung erarbeiten. Eingehend werden wir die Auswirkungen in unserem Aufsatz in der Oktober-Ausgabe von CR betrachten, die in wenigen Tagen erscheinen wird.

 

Zurück