Es klingt wie ein modernes Märchen, angesiedelt zwischen dem Kampf Davids gegen einen anscheinend unüberwindlichen Goliath und Don Quichottes Kampf gegen Windmühlen. Die Rede ist von der juristischen Auseinandersetzung des österreichischen Studenten Maximilian Schrems und Facebook Europe, der bis ins Jahr 2013 zurückreicht.

Mildes Erstaunen und resigniertes Kopfschütteln

Die ersten Reaktionen auf die Initiative von Herrn Schrems lösten bei Bekanntwerden mildes Erstaunen und resigniertes Kopfschütteln aus. Herr Schrems führte Beschwerde, dass seine Facebook – Nutzerdaten, wie die von Millionen anderer Nutzer innerhalb der EU, über die irische Facebook Niederlassung zu Servern in den USA transferiert wurden. Schrems legte im Sommer 2013 bei der zuständigen irischen Datenschutzbehörde, dem Data Protection Commissioner eine Beschwerde ein, um es Facebook Irland zu untersagen, seine personenbezogenen Daten in die USA zu übermitteln. Nach den unwidersprochenen Offenbarungen des NSA-Whistle-blowers Edward Snowden sei die Welt darauf aufmerksam geworden, dass US-Geheimdienste in großem Stil und ohne Einwilligung oder Information der Betroffenen auf in den USA gespeicherte Daten zurückgreife. Damit sei ein zumutbares Datenschutzniveau unterlaufen worden. Ein effektiver Rechtsschutz stünde den Betroffenen gegen die Überwachungstätigkeiten der Behörden nicht zur Verfügung.

Der Commissioner wies die Beschwerde als unbegründet zurück, da Schrems zum einen nicht bewiesen habe, dass seine personenbezogenen Daten von US-Behörden in der geschilderten Art und Weise abgeschöpft worden seien. Zum anderen seien alle die Angemessenheit des Schutzes personenbezogener Daten in den USA betreffenden Fragen in der Safe Harbor Entscheidung der EU-Kommission aus dem Jahr 2000 abschließend und bindend geklärt und in Absprache mit den USA ein angemessenes Datenschutzniveau garantiert.

Kein ausreichendes Datenschutzniveau in den USA

Anlass für die Safe Harbor-Regelung war das grundsätzliche Verbot der Datenschutzrichtlinie 95/46/EG, personenbezogene Daten aus Mitgliedstaaten der EU in Drittstaaten zu übertragen, deren Datenschutzniveau nicht mit dem europäischen vergleichbar war. Zu solchen Drittstaaten zählten auch die USA, die insbesondere nach den Anschlägen des 9/11 durch den Patriot Act zahlreiche Möglichkeiten schufen, aufgrund überragend wichtiger Sicherheitsinteressen Eingriffe in Menschen- und Bürgerrechte durch Behörden jederzeit möglich machten. Diese Entwicklung hatte den ohnehin schwach ausgeprägten Datenschutz in den USA weiter erodiert.

Um den Datentransfer zwischen der EU und den USA auch weiterhin zu ermöglichen, versuchte die EU-Kommission mit dem Safe Harbor Modell die Systemunterschiede in Absprachen mit dem US-Handelsministerium FTC einzuebnen. Heraus kam eine seltsam anmutende Konstruktion, bei der sich Unternehmen einer Selbstverpflichtung zum Datenschutz unterwerfen konnten, die aus Grundprinzipien und einer Reihe verbindlicher FAQ’s bestanden. Bejahte und verpflichtete man sich entsprechend, konnte man sich als Unternehmen beim FC registrieren lassen und sich damit dem Überwachungs- und Sanktionsapparat des FTC unterwerfen, wenn es zu begründeten Beschwerden kam. Rund 5.500 Unternehmen, darunter auch die bekanntesten sozialen Netzwerke und Internet-Riesen, taten dies.

Der Beschwerdeführer Schrems indessen brachte den Fall in Irland vor den High Court. Das Gericht hatte angesichts des inzwischen bekannt gewordenen Handelns von US-Geheimdienststellen große Zweifel daran, dass trotz Safe Harbor personenbezogene Daten in den USA ausreichenden und angemessenen Schutz erführen und Unionsbürger einen wirksamen Schutz auf rechtliches Gehör hätten. Er sah Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union verletzt und bezweifelte, dass die Vorgaben der Art 25 VI und 28 der Richtlinie 95/46/EG zur Zulässigkeit der Übermittlung personenbezogener Daten von Unionsbürgern in Drittstaaten mit der Safe Harbor Entscheidung eingehalten wurden.

Kein angemessenes Datenschutzniveau mit Safe Harbor

In einem Vorabentscheidungsersuchen stellte der High Court die Fragen an den EuGH, ob eine EU-Datenschutzbehörde bei der eingelegten Beschwerde durch Schrems eigene Ermittlungs- und Entscheidungsbefugnisse habe oder an die Safe Harbor Entscheidung der EU – Kommission 2000/520 gebunden sei.

In der Zwischenzeit waren zahlreiche Stimmen laut geworden, dass Safe Harbor kein angemessenes Datenschutzniveau garantiere. Selbst die EU stellte Mitte 2013 in Aussicht, Safe Harbor überprüfen und anpassen zu wollen, weil europäische Datenschutzstandards in den USA offenbar nicht gewährleistet seien. In Deutschland wies die Konferenz der Datenschutzbeauftragten des Bundes und der Länder darauf hin, dass künftig die Zweckbindung der Daten sichergestellt werden müsse. Staatliche Zugriffsmöglichkeiten seien auf ein grundrechtskonformes Maß zu begrenzen und den Betroffenen ein Recht auf Auskunft, Berichtigung und Löschung einzuräumen. Ein effektiver Rechtsschutz sei zu garantieren.

Der Generalanwalt Bot hatte bereits am 23. 09. 2015 im Fall Schrems v. Data Protection Commissioner (C-362/14) in klaren Worten plädiert, dass Safe Harbor nicht zu einem angemessenen Datenschutzniveau übermittelter personenbezogener Daten in den USA führt. Die massenhafte, intransparente Abschöpfung von persönlichen Daten durch US-Behörden und die de facto Rechtlosstellung der Betroffenen führe zu einer kompletten Aushöhlung dessen, was Safe Harbor garantieren wollte. Die gelebte Realität gebiete es, Safe Harbor auszusetzen und in neue Verhandlungen mit den USA einzutreten. Die irische Datenschutzbehörde habe die Pflicht, im Lichte aktueller Entwicklungen eine Neubewertung der eingelegten Beschwerde vorzunehmen.

Der EuGH hat sich in seiner Entscheidung in gleicher Rechtssache am 06. 10. 2015 den Ausführungen des Generalanwalts vollinhaltlich angeschlossen. Der Gerichtshof führt aus, dass die Existenz einer Entscheidung der Kommission, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für übermittelte personenbezogene Daten gewährleistet, die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der EU und der Datenschutzrichtlinie verfügen, weder beseitigen noch auch nur beschränken kann. Letztlich habe der EuGH darüber zu befinden, ob eine Entscheidung der Kommission gültig ist.

Die in Frage stehende Safe Harbor-Regelung habe sich angesichts der zutage getretenen Entwicklungen in den USA als unwirksam erwiesen, ein angemessenes Datenschutzniveau für übertragene personenbezogene Daten zu etablieren. In den USA stünde diese Datenschutzverpflichtung unter dem uneingeschränkten Vorbehalt vorrangiger Interessen der nationalen Sicherheit, des öffentlichen Interesses und der Durchsetzung von Gesetzen der USA. Die Verpflichtung amerikanischer Unternehmen auf die Beachtung europäischer Datenschutzstandards würden in jedem Kollisionsfall hinter die gesetzlichen Erfordernisse des US-Rechts zurücktreten müssen. Amerikanische Behörden können demnach, ohne die Betroffenen vor oder nach dem Eingriff zu informieren unter Berufung auf US-Sicherheitsinteressen Grundrechte europäischer Bürger aushebeln. Eine Begrenzung der Eingriffsmöglichkeiten oder ein wirksamer, gerichtlich durchsetzbarer Rechtsschutz gegen derartige Eingriffe ist nicht möglich. Damit sei der Wesensgehalt des Grundrechts auf Achtung des Privatlebens und gerichtlichen Rechtsschutz trotz Safe Harbor verletzt.

Kommission hat Befugnisse überschritten

Als schallende Ohrfeige ist es zu werten, wenn der EuGH weiter feststellt, dass die Kommission ihre Befugnisse mit der Safe Harbor-Regelung überschritt, weil sie nationalen Datenschutzbehörden die Befugnis zur unabhängigen Untersuchung und Entscheidung über die Zulässigkeit von Datentransfer personenbezogener Daten aus der EU in die USA durch eine administrative Maßnahme entziehen wollte. Aus diesem Grund wurde die Entscheidung der Kommission vom 26. 07. 2000 für ungültig erklärt.

Die Folgen dieses Urteils, das sofort und ohne Übergangsfristen Wirkung entfaltet, sind vielfältig. Die EU-Kommission bemüht sich schon seit Monaten, Safe Harbor mit den USA neu zu verhandeln. Google, Facebook und andere denken laut darüber nach, die Daten der EU-Nutzer künftig innerhalb der EU zu speichern und die nationalen Datenschutzbehörden stellen sich auf eine Flut von Beschwerden und Eingaben ein, die alle einer individuellen Prüfung bedürfen.

Die Ohrfeigen des EuGH allerdings werden noch lange nachhallen.