Gerichtshof der Europäischen Union (EuGH) erklärt Safe-Harbor Abkommen für ungültig
Der EuGH hat das Safe-Harbor Abkommen zwischen den USA und der Europäischen Union für ungültig erklärt. Die auf das Safe-Harbor-Abkommen gestützte Übermittlung personenbezogener Daten ist ab sofort nicht mehr zulässig. Verstöße hiergegen können von den zuständigen Datenschutzbehörden mit hohen Bußgeldern geahndet werden. Eine Überprüfung bestehender Verträge, die sich auf Safe-Harbor stützen, sollte umgehend erfolgen. Gerne können Sie uns ansprechen.
Im Einzelnen:
1. Hintergrund
Der Jurist und Datenschutzaktivist Max Schrems hatte im Juli 2013 Beschwerde bei irischen Datenschutzbeauftragten gegen die Datenweitergabe der Facebook Ireland Ltd., der europäischen Tochter des US-Konzerns eingereicht. Schrems machte geltend, dass die Datenschutzbestimmungen in den USA nicht den europäischen Mindestanforderungen entsprechen würden und eine Weitergabe der Daten etwa an die NSA oder andere Behörden nicht nachzuvollziehen, geschweige denn zu verhindern sei.
Der irische Datenschutzbeauftragte wies die Beschwerde mit dem Hinweis zurück, dass zwischen Europa und den USA das sogenannte Safe-Harbor-Abkommen bestehe. Das Safe-Harbor-Abkommen ist eine genau genommen eine Entscheidung der Europäischen Kommission im Bereich des Datenschutzes. Diese Entscheidung ermöglicht es Unternehmen personenbezogene Daten unter Berücksichtigung der europäischen Datenschutzrichtlinien aus europäischen Staaten in die USA zu übermitteln. Dieses Abkommen wurde im Jahr 2000 durch die EU Kommission ins Leben gerufen, nachdem die Kommission zu dem Schluss gekommen war, dass das Datenschutzniveau in den USA angemessen sei. Schrems erhob gegen die Zurückweisung seiner Beschwerde Klage beim irischen High Court und dieser legte dem Europäischen Gerichtshof (EuGH) die Frage vor, ob der Datenschutzbeauftragte an die Feststellungen der Kommission zum Safe-Harbor-Abkommen gebunden sei. Im Rahmen dieser Vorlagefrage vertritt Generalanwalt Bot in seinen Schlussanträgen die Auffassung, die Entscheidung der Kommission hindere die nationalen Behörden nicht daran, die Übermittlung der Daten europäischer Nutzer in die USA auszusetzen. In einer Pressemitteilung des EuGH heißt es dazu:
“Aus den sowohl vom irischen High Court als auch von der Kommission selbst getroffenen Feststellungen ergibt sich nämlich, dass das Recht und die Praxis der Vereinigten Staaten es gestatten, die übermittelten personenbezogenen Daten von Unionsbürgern in großem Umfang zu sammeln, ohne dass sie über einen wirksamen gerichtlichen Rechtsschutz verfügen. Diese Tatsachenfeststellungen belegen, dass die Entscheidung der Kommission keine ausreichenden Garantien enthält. Aufgrund dieses Fehlens von Garantien wurde sie in einer Weise umgesetzt, die nicht den Anforderungen der Richtlinie und der Charta entspricht.
Der Generalanwalt ist ferner der Ansicht, dass der Zugang der amerikanischen Nachrichtendienste zu den übermittelten Daten einen Eingriff in das Recht auf Achtung des Privatlebens und in das Recht auf den Schutz personenbezogener Daten bedeutet. Desgleichen bedeute der Umstand, dass die Unionsbürger keine Möglichkeit haben, zur Frage des Abfangens und der Überwachung ihrer Daten in den Vereinigten Staaten gehört zu werden, einen Eingriff in das von der Charta geschützte Recht der Unionsbürger auf einen wirksamen Rechtsbehelf.
Der Generalanwalt sieht in diesem Eingriff in die Grundrechte einen Verstoß gegen den Grundsatz der Verhältnismäßigkeit, insbesondere weil die von den amerikanischen Nachrichtendiensten ausgeübte Überwachung massiv und nicht zielgerichtet ist. Der Zugang zu personenbezogenen Daten, über den die amerikanischen Nachrichtendienste verfügen, erfasst nämlich in generalisierter Weise alle Personen und alle elektronischen Kommunikationsmittel sowie sämtliche übertragenen Daten (einschließlich des Inhalts der Kommunikationen), ohne jede Differenzierung, Einschränkung oder Ausnahme anhand des im Allgemeininteresse liegenden Ziels, das verfolgt wird. Unter diesen Umständen kann nach Ansicht des Generalanwalts nicht davon ausgegangen werden, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, zumal die Regelung über den sicheren Hafen in der Entscheidung der Kommission keine Garantien enthält, die geeignet sind, einen massiven und generalisierten Zugang zu den übermittelten Daten zu verhindern. Denn keine unabhängige Behörde ist in der Lage, in den Vereinigten Staaten zu kontrollieren, ob staatliche Akteure wie die amerikanischen Sicherheitsdienste gegenüber Unionsbürgern gegen die Grundsätze des Schutzes personenbezogener Daten verstoßen.
Angesichts eines solchen Befunds der Verletzung von Grundrechten der Unionsbürger hätte die Kommission nach Auffassung des Generalanwalts die Anwendung der Entscheidung aussetzen müssen, auch wenn sie derzeit mit den Vereinigten Staaten Verhandlungen führt, um die festgestellten Verstöße abzustellen. Der Generalanwalt weist im Übrigen darauf hin, dass die Kommission gerade deshalb beschlossen hat, Verhandlungen mit den Vereinigten Staaten aufzunehmen, weil sie zuvor zu der Erkenntnis gelangt war, dass das von diesem Drittland im Rahmen der Regelung über den sicheren Hafen gewährleistete Schutzniveau nicht mehr angemessen ist und dass die Entscheidung aus dem Jahr 2000 nicht mehr der tatsächlichen Lage entspricht.”
2. Entscheidung
Der EuGH teilt diese Einschätzung und hat in seiner Entscheidung vom 06. Oktober 2015 unter anderem das Safe-Harbor-Abkommen für ungültig erklärt. Begründet wird dies wie folgt:
Zunächst hat der EuGH festgestellt, dass die nationalen Datenschutzbehörden prüfen können, ob bei der Übermittlung von personenbezogenen Daten ins EU-Ausland die Anforderungen an das europäische Datenschutzniveau im Zielland erfüllt sind. Dies gilt auch dann, wenn die EU-Kommission diesem Drittland bereits ein angemessenes Schutzniveau bescheinigt hat. Diese Entscheidung binde die Datenschutzbehörden nicht abschließend.
Bestehen Zweifel an der Gültigkeit der Entscheidung der Kommission, muss die Behörde oder ggf. auch die Person, die die Behörde angerufen hat, das nationale Gericht anrufen und dieses muss die Sache dann dem Gerichtshof vorlegen. Über die Gültigkeit der Entscheidung befindet also abschließend der Gerichtshof.
Im vorliegenden Fall hat der Gerichtshof weiter festgestellt, dass die Kommission bei Ihrer Entscheidung, dem Safe-Harbor-Abkommen, nicht das tatsächliche Schutzniveau der Vereinigten Staaten geprüft hat, sondern vielmehr nur die Regelungen des Abkommens. Bereits bei dieser Prüfung hätte die Kommission feststellen müssen, dass dieses Abkommen nur diejenigen Unternehmen bindet, die sich ihm auf freiwilliger Basis unterwerfen. Ferner bindet es gerade nicht die amerikanischen Behörden. So haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses sowie die Durchführung der Gesetze der Vereinigten Staaten ohne jede Einschränkung Vorrang. Die US-Behörden können also Zugriffe auf personenbezogen Daten europäischer Bürger mit Schutzinteressen der Vereinigten Staaten rechtfertigen. Ein Mindestmaß an administrativem oder gerichtlichem Rechtsschutz gegen solche Eingriffe gibt es nicht.
Es entspricht nicht dem Schutzniveau der Union, wenn die generelle Speicherung aller personenbezogenen Daten gestattet ist, ohne eine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen. Ferner widerspricht es dem Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz, wenn keine Möglichkeit für den Bürger besteht, Zugang zu den personenbezogenen Daten zu erhalten, oder diese löschen zu lassen.
3. Folgen
Die Übermittlung von personenbezogenen Daten in die Vereinigten Staaten ist nun nicht mehr durch das Safe-Harbor-Abkommen gerechtfertigt. Unternehmen, die zum Beispiel ihre Auftragsdatenverarbeitung durch US-Firmen durchführen lassen, setzen sich nun der Gefahr von Ordnungsgeldern aus. Die umfasst ebenfalls die Einbindung von Social Media Plugins, die Nutzung von Google Analytics sowie vergleichbarer Analysetools, die auf der eigenen Website eingebunden sind.
Insbesondere aufgrund der durch das Urteil erzeugten öffentlichen Aufmerksamkeit dürfte es in der näheren Zukunft zu vermehrten Kontrollen der Datenschutzbehörden kommen. In diesem Zusammenhang ist auch auf unseren Artikel zur Auftragsdatenverarbeitung hinzuweisen.
Eine mögliche Sofortmaßnahme wären Verträge nach den EU Standardvertragsklauseln. Allerdings kann das ggf. auch nur eine Übergangslösung sein, da diese Klauseln ebenfalls keine Beschränkung von Zugriffen der US Behörden vorsehen. Es besteht also die Gefahr, dass die nationalen Aufsichtsbehörden diese Regelungen in Zukunft ebenfalls nicht als angemessenes Schutzniveau für personenbezogene Daten anerkennen.
Allerdings lässt sich die Unzulässigkeit der Datenübermittlung voraussichtlich nur abschließend umgehen, wenn das Unternehmen die Zustimmung seiner Kunden zur Weitergabe der Daten eingeholt hat. Die Einwilligung der Betroffenen ist aktuelle die einzige Möglichkeit zukunftssicher Daten in die USA übermitteln zu können.
Wir prüfen gerne Ihre bestehenden Verträge und unterbreiten bei Bedarf und Notwendigkeit Lösungsvorschläge.
Cannabis Gesetz- KCanG soll vor dem Inkrafttreten der Regeln zu den Cannabis Clubs wieder reformiert werden
Die Bundesregierung scheint offenbar Angst vor der durch das KCanG geöffnete Tür zu haben. Sie möchte das Gesetz vor dem Inkrafttreten der Änderungen wieder ändern. Die neuen Regeln dürften das Gründen und Betreiben von Clubs weiter…
Das neue Cannabisgesetz
Nimrod Rechtsanwälte teilen die Freude über die Verabschiedung des Cannabisgesetzes. Der Weg ist unfrei für kontrollierten legalen Anbau von Cannabis in Deutschland. Auch dürfte sich der Markt für medizinisches Cannabis signifikant entwickeln, da die würden zur…
LG Köln zur urheberrechtlichen Haftung ausländischer Webseite- es stellt fest:
1. Zur vorliegend zu bejahenden Anwendbarkeit deutschen Urheberrechts auf den Fall einer öffentlichen Zugänglichmachung von Lichtbildern auf der Webseite eines italienischen Unternehmens. 2. Zur Berechnung lizenzanalogen Schadensersatzes in einem solchen “Auslandsfall”, insbesondere Vornahme eines Abzugs wegen…
Aktuellste Fassung des KCanG veröffentlicht
Nimrod Rechtsanwälte stellen hier das die aktuelle Fassung des KCanG zur Vefügung, sowie eine englische und französische Fassung zur Verfügung: KCanG- deutsch KCanG- english KCanG- francais
Age labeling for all games on Steam
All games on Steam, including existing games, require age labelling for Germany. In Germany, games may only be sold on Steam if they have either passed the integrated age rating process of the sales platform or…
Gutachter der KJM zur Nutzung von Games von Kindern- können Games das Kindeswohl gefährden?
Die Kommission für den Jugendmedienschutz hat jüngst ein Gutachten zu der Frage beauftragt, ob Games für Kinder bei übermäßigem Gebrauch gefährlich sein können. Das Gutachten kommt zu dem Ergebnis: “Die Gestaltungsmittel der Spiele stehen in mehreren…
Die Mähr der Betriebsgesellschaft nach dem KCanG, dem kommenden Cannabis Gesetz
Häufig stellen wir bei Expertenberatung angeblich renommierter Cannabis-Anwälte fest, dass diese Anbauvereinigungen nach dem KCanG empfehlen, Betriebsgesellschaften zu gründen. Doch was sind Betriebsgesellschaften? Der Begriff der wird wie folgt definiert: Die Betriebsgesellschaft ist verantwortlich für das…
CanG- wie geht es weiter?
Nachdem das CanG mit großer Mehrheit vom Bundestag verabschiedet wurde, gibt es Gerüchte, dass der Bundesrat den Vermittlungsausschuss einschalten könnte. Wie würde dieser Prozess ablaufen? Der Bundesrat hat drei Wochen Zeit, um zu entscheiden, ob der Vermittlungsausschuss einberufen wird. Die nächste Sitzung ist für den 22. März 2024 geplant, vorausgesetzt, dass das CanG bis zum 1. März zugestellt wird. Im Bundesrat ist keine Mehrheit erforderlich, um das CanG zu billigen. Wenn der Vermittlungsausschuss nicht einberufen wird, wird das CanG automatisch verabschiedet. Bei der Abstimmung im Bundesrat kann der Vermittlungsausschuss mit einfacher Mehrheit einberufen werden, was 35 von 69 Stimmen entspricht. Enthaltungen zählen als “Nein”- Stimmen. Die Parteien, die im Bundestag für das CanG gestimmt haben (SPD, Grüne, Linke, FDP), halten zusammen 45 der 69 Sitze im Bundesrat. Die restlichen 24 Sitze entfallen auf CDU, CSU und Freie Wähler. Die Abstimmung erfolgt nicht durch einzelne Politiker, sondern durch die Bundesländer. Es ist also wichtig, welche Parteien in den jeweiligen Bundesländern koalieren. Es ist schwer vorherzusagen, ob der Vermittlungsausschuss einberufen wird, aber in dieser Legislaturperiode wurden zu vier Gesetzen Vermittlungsausschüsse eingesetzt. Der Prozess kann einige Zeit in Anspruch nehmen, aber er soll innerhalb der Legislaturperiode abgeschlossen werden. Ein Vermittlungsausschuss könnte zusätzliche Kosten und Zeit verursachen und wäre kurz vor der nächsten Bundestagswahl eine politische Gelegenheit für den CDU-Wahlkampf.
Das Cannabisgesetz, oder auch CanG, Chancen für Unternehmer
Der Gesetzgeber hat jüngst das Cannabisgesetz beschlossen. Das Gesetz muss noch den Bundesrat passieren. Ab dem 01.07.2024 können Cannabis Clubs dann Anträge stellen und Ihren Mitgliedern angebautes Cannabis anbieten. Nimrod Rechtsanwälte stehen mit Ihrer Erfahrung aus...
Titel: Die Hintergründe des Urheberstrafrechts: Eine umfassende Analyse für Kreative und Rechteinhaber
Einleitung:Das Urheberstrafrecht bildet eine entscheidende Grundlage zum Schutz geistigen Eigentums. In diesem Beitrag werfen wir einen detaillierten Blick auf § 106 des Urheberrechtsgesetzes (UrhG) und beleuchten, wie vorsätzliche Urheberrechtsverletzungen strafrechtlich verfolgt werden können. Verständlich und praxisnah…