Gerichtshof der Europäischen Union (EuGH) erklärt Safe-Harbor Abkommen für ungültig
Der EuGH hat das Safe-Harbor Abkommen zwischen den USA und der Europäischen Union für ungültig erklärt. Die auf das Safe-Harbor-Abkommen gestützte Übermittlung personenbezogener Daten ist ab sofort nicht mehr zulässig. Verstöße hiergegen können von den zuständigen Datenschutzbehörden mit hohen Bußgeldern geahndet werden. Eine Überprüfung bestehender Verträge, die sich auf Safe-Harbor stützen, sollte umgehend erfolgen. Gerne können Sie uns ansprechen.
Im Einzelnen:
1. Hintergrund
Der Jurist und Datenschutzaktivist Max Schrems hatte im Juli 2013 Beschwerde bei irischen Datenschutzbeauftragten gegen die Datenweitergabe der Facebook Ireland Ltd., der europäischen Tochter des US-Konzerns eingereicht. Schrems machte geltend, dass die Datenschutzbestimmungen in den USA nicht den europäischen Mindestanforderungen entsprechen würden und eine Weitergabe der Daten etwa an die NSA oder andere Behörden nicht nachzuvollziehen, geschweige denn zu verhindern sei.
Der irische Datenschutzbeauftragte wies die Beschwerde mit dem Hinweis zurück, dass zwischen Europa und den USA das sogenannte Safe-Harbor-Abkommen bestehe. Das Safe-Harbor-Abkommen ist eine genau genommen eine Entscheidung der Europäischen Kommission im Bereich des Datenschutzes. Diese Entscheidung ermöglicht es Unternehmen personenbezogene Daten unter Berücksichtigung der europäischen Datenschutzrichtlinien aus europäischen Staaten in die USA zu übermitteln. Dieses Abkommen wurde im Jahr 2000 durch die EU Kommission ins Leben gerufen, nachdem die Kommission zu dem Schluss gekommen war, dass das Datenschutzniveau in den USA angemessen sei. Schrems erhob gegen die Zurückweisung seiner Beschwerde Klage beim irischen High Court und dieser legte dem Europäischen Gerichtshof (EuGH) die Frage vor, ob der Datenschutzbeauftragte an die Feststellungen der Kommission zum Safe-Harbor-Abkommen gebunden sei. Im Rahmen dieser Vorlagefrage vertritt Generalanwalt Bot in seinen Schlussanträgen die Auffassung, die Entscheidung der Kommission hindere die nationalen Behörden nicht daran, die Übermittlung der Daten europäischer Nutzer in die USA auszusetzen. In einer Pressemitteilung des EuGH heißt es dazu:
“Aus den sowohl vom irischen High Court als auch von der Kommission selbst getroffenen Feststellungen ergibt sich nämlich, dass das Recht und die Praxis der Vereinigten Staaten es gestatten, die übermittelten personenbezogenen Daten von Unionsbürgern in großem Umfang zu sammeln, ohne dass sie über einen wirksamen gerichtlichen Rechtsschutz verfügen. Diese Tatsachenfeststellungen belegen, dass die Entscheidung der Kommission keine ausreichenden Garantien enthält. Aufgrund dieses Fehlens von Garantien wurde sie in einer Weise umgesetzt, die nicht den Anforderungen der Richtlinie und der Charta entspricht.
Der Generalanwalt ist ferner der Ansicht, dass der Zugang der amerikanischen Nachrichtendienste zu den übermittelten Daten einen Eingriff in das Recht auf Achtung des Privatlebens und in das Recht auf den Schutz personenbezogener Daten bedeutet. Desgleichen bedeute der Umstand, dass die Unionsbürger keine Möglichkeit haben, zur Frage des Abfangens und der Überwachung ihrer Daten in den Vereinigten Staaten gehört zu werden, einen Eingriff in das von der Charta geschützte Recht der Unionsbürger auf einen wirksamen Rechtsbehelf.
Der Generalanwalt sieht in diesem Eingriff in die Grundrechte einen Verstoß gegen den Grundsatz der Verhältnismäßigkeit, insbesondere weil die von den amerikanischen Nachrichtendiensten ausgeübte Überwachung massiv und nicht zielgerichtet ist. Der Zugang zu personenbezogenen Daten, über den die amerikanischen Nachrichtendienste verfügen, erfasst nämlich in generalisierter Weise alle Personen und alle elektronischen Kommunikationsmittel sowie sämtliche übertragenen Daten (einschließlich des Inhalts der Kommunikationen), ohne jede Differenzierung, Einschränkung oder Ausnahme anhand des im Allgemeininteresse liegenden Ziels, das verfolgt wird. Unter diesen Umständen kann nach Ansicht des Generalanwalts nicht davon ausgegangen werden, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, zumal die Regelung über den sicheren Hafen in der Entscheidung der Kommission keine Garantien enthält, die geeignet sind, einen massiven und generalisierten Zugang zu den übermittelten Daten zu verhindern. Denn keine unabhängige Behörde ist in der Lage, in den Vereinigten Staaten zu kontrollieren, ob staatliche Akteure wie die amerikanischen Sicherheitsdienste gegenüber Unionsbürgern gegen die Grundsätze des Schutzes personenbezogener Daten verstoßen.
Angesichts eines solchen Befunds der Verletzung von Grundrechten der Unionsbürger hätte die Kommission nach Auffassung des Generalanwalts die Anwendung der Entscheidung aussetzen müssen, auch wenn sie derzeit mit den Vereinigten Staaten Verhandlungen führt, um die festgestellten Verstöße abzustellen. Der Generalanwalt weist im Übrigen darauf hin, dass die Kommission gerade deshalb beschlossen hat, Verhandlungen mit den Vereinigten Staaten aufzunehmen, weil sie zuvor zu der Erkenntnis gelangt war, dass das von diesem Drittland im Rahmen der Regelung über den sicheren Hafen gewährleistete Schutzniveau nicht mehr angemessen ist und dass die Entscheidung aus dem Jahr 2000 nicht mehr der tatsächlichen Lage entspricht.”
2. Entscheidung
Der EuGH teilt diese Einschätzung und hat in seiner Entscheidung vom 06. Oktober 2015 unter anderem das Safe-Harbor-Abkommen für ungültig erklärt. Begründet wird dies wie folgt:
Zunächst hat der EuGH festgestellt, dass die nationalen Datenschutzbehörden prüfen können, ob bei der Übermittlung von personenbezogenen Daten ins EU-Ausland die Anforderungen an das europäische Datenschutzniveau im Zielland erfüllt sind. Dies gilt auch dann, wenn die EU-Kommission diesem Drittland bereits ein angemessenes Schutzniveau bescheinigt hat. Diese Entscheidung binde die Datenschutzbehörden nicht abschließend.
Bestehen Zweifel an der Gültigkeit der Entscheidung der Kommission, muss die Behörde oder ggf. auch die Person, die die Behörde angerufen hat, das nationale Gericht anrufen und dieses muss die Sache dann dem Gerichtshof vorlegen. Über die Gültigkeit der Entscheidung befindet also abschließend der Gerichtshof.
Im vorliegenden Fall hat der Gerichtshof weiter festgestellt, dass die Kommission bei Ihrer Entscheidung, dem Safe-Harbor-Abkommen, nicht das tatsächliche Schutzniveau der Vereinigten Staaten geprüft hat, sondern vielmehr nur die Regelungen des Abkommens. Bereits bei dieser Prüfung hätte die Kommission feststellen müssen, dass dieses Abkommen nur diejenigen Unternehmen bindet, die sich ihm auf freiwilliger Basis unterwerfen. Ferner bindet es gerade nicht die amerikanischen Behörden. So haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses sowie die Durchführung der Gesetze der Vereinigten Staaten ohne jede Einschränkung Vorrang. Die US-Behörden können also Zugriffe auf personenbezogen Daten europäischer Bürger mit Schutzinteressen der Vereinigten Staaten rechtfertigen. Ein Mindestmaß an administrativem oder gerichtlichem Rechtsschutz gegen solche Eingriffe gibt es nicht.
Es entspricht nicht dem Schutzniveau der Union, wenn die generelle Speicherung aller personenbezogenen Daten gestattet ist, ohne eine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen. Ferner widerspricht es dem Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz, wenn keine Möglichkeit für den Bürger besteht, Zugang zu den personenbezogenen Daten zu erhalten, oder diese löschen zu lassen.
3. Folgen
Die Übermittlung von personenbezogenen Daten in die Vereinigten Staaten ist nun nicht mehr durch das Safe-Harbor-Abkommen gerechtfertigt. Unternehmen, die zum Beispiel ihre Auftragsdatenverarbeitung durch US-Firmen durchführen lassen, setzen sich nun der Gefahr von Ordnungsgeldern aus. Die umfasst ebenfalls die Einbindung von Social Media Plugins, die Nutzung von Google Analytics sowie vergleichbarer Analysetools, die auf der eigenen Website eingebunden sind.
Insbesondere aufgrund der durch das Urteil erzeugten öffentlichen Aufmerksamkeit dürfte es in der näheren Zukunft zu vermehrten Kontrollen der Datenschutzbehörden kommen. In diesem Zusammenhang ist auch auf unseren Artikel zur Auftragsdatenverarbeitung hinzuweisen.
Eine mögliche Sofortmaßnahme wären Verträge nach den EU Standardvertragsklauseln. Allerdings kann das ggf. auch nur eine Übergangslösung sein, da diese Klauseln ebenfalls keine Beschränkung von Zugriffen der US Behörden vorsehen. Es besteht also die Gefahr, dass die nationalen Aufsichtsbehörden diese Regelungen in Zukunft ebenfalls nicht als angemessenes Schutzniveau für personenbezogene Daten anerkennen.
Allerdings lässt sich die Unzulässigkeit der Datenübermittlung voraussichtlich nur abschließend umgehen, wenn das Unternehmen die Zustimmung seiner Kunden zur Weitergabe der Daten eingeholt hat. Die Einwilligung der Betroffenen ist aktuelle die einzige Möglichkeit zukunftssicher Daten in die USA übermitteln zu können.
Wir prüfen gerne Ihre bestehenden Verträge und unterbreiten bei Bedarf und Notwendigkeit Lösungsvorschläge.
Klage gegen die bayrische Umsetzung des KCanG
Es ist kein Geheimnis, dass die bayrische Landesregierung kein Freund der Entkriminalisierung von Cannabis ist. Nicht umsonst werden ausschließlich staatliche Kurse zum Präventionsbeauftragten anerkannt und sind die Bußgelder bei Konsum etwa unter 100m von “Orten an…
Daniel Sebastian, als IPPC LAW auftretend, mahnt neuerdings die Musiknutzung auf TikTok und wohl auch Instagram ab
IPPC Law geht wegen der Nutzung von Musik auf Plattformen wie Instagram und TikTok gegen Nutzer vor. Was macht IPPC Law? IPPC Law verschickt nun Abmahnungen wegen Musiknutzung auf Social Media. Die Abmahnungen werden an Nutzer…
KCanG- prüfen die Baubehörden aufgrund der Konzentrationswirkung die Vorhaben insgesamt? Konzentrationswirkung, was ist das überhaupt?
Im Zuge der Rechtsberatung eines Cannabis Clubs aus Brandenburg, wurde unser Mandant mit folgendem der Baubehörde konfrontiert: Für die weitere Bearbeitung bitte ich bis zum 19.10.2024 noch folgende Unterlagen …nachzureichen bzw. zu ergänzen: Nun stellt sich…
Cannabis: 1. Schulung der Caritas Berlin/ Brandenburg zur Suchtprävention
RA Bockslaff fühlt sich sehr geehrt, Dozent bei der ersten Schulung zum Präventionsbeauftragten zu sein.
Genehmigungspflicht für medizinisches Cannabis entfällt: Welche Ärzte dürfen künftig direkt verordnen?
Nimrod Rechtsanälte erklären die Änderungen sozialrechtlichen Änderungen, die das Verschreiben von Cannabis erleichtern werden.
Weitere Verzögerung der Cannabis Regulierung in Mecklenburg Vorpommern- es fehl an geeigneten Mitarbeitern
Wie die Schweriner Nachrichten berichteten, sucht das zuständige Ministerium für Klimaschutz, Landwirtschaft, ländliche Räume und Umwelt Mecklenburg-Vorpommern, die zuständige Behörde, Sachbearbeiter für die Bearbeitung der Anträge nach dem KCanG. Augenscheinlich ignorieren die Behörden die dreimonatige Frist,…
Cannabis Clubs in Deutschland- schleppender Start
Mit großem TAMTAM kündigte die Cannabis Szene den 01.07.2024 an. Ab diesem Zeitpunkt konnten sog. CSC Anträge auf Anbau und Abgabe stellen. Nach wie vor ist vieles unklar, so etwa durch wen gemäß des Gesetzes ein…
Fotoklau, die zweite
Auch in dem weitere Fotoklau Fall, konnten sich die Nimrod Rechtsanwälte durchsetzen. Der Gegner meinte, das abgemahnte Foto sei nicht dasjenige des Mandanten der Nimrod Rechtsanwälte, da auf dem vermeintlich eigenen Bild eine bayrische Haxe gezeigt…
Fotorecht- erneuter Erfolg der Nimrod Rechtsanwälte
In einem weitere Fotofall, meinte der Gegner nicht auf die Abmahnung der Nimrod Rechtsanwälte reagieren zu müssen. Nach Ablauf der Frist und nochmaliger Erinnerung, stellten die Nimrod Rechtsanwälte Antrag auf Erlaß einer einstweiligen Verfügung. Die Verfügung…
Nochmal Filesharing- Anschlussinhaber zu 1.500,00€ Schadensersatz verurteilt
Das Ag Köln hat in einem weitere Filesharing Fall einen Anschlussinhaber verurteilt. Der Anschlussinhaber wurde zu 1.500,00€ Schadensersatz, 281,30€ Kosten der Abmahnung und Erstattung aller Kosten verurteilt. Das Gericht stellte insbesondere fest, dass Computerspiele als Sprachwerke…