Safe-Harbour-Abkommen zwischen der EU und den USA laut EU Generalanwalt unwirksam

0 110

Safe-Harbour-Abkommen

Zwischen der EU und den USA regelt dieses Abkommen die Voraussetzungen, unter denen die Übertragung personenbezogener Daten in die USA zulässig ist.  Im Rahmen des Rechtsstreits zwischen dem Österreicher Max Schrems und Facebook wird der europäische Gerichtshof auch über dieses Abkommen zu entscheiden haben. Der Generalanwalt, dem üblicherweise der Gerichtshof in seinen Entscheidungen folgt,  hat das Abkommen bereits für ungültig erklärt. Die Entscheidung soll am  06.10.2015 um 9:30 Uhr verkündet werden.

 

Kritik an Safe-Harbour-Prinzipien

Die deutschen Datenschutzbehörden hatten bereits 2013 massive Kritik geäußert und angekündigt, „zu prüfen, ob solche Datenübermittlungen auf Grundlage des Safe Harbor-Abkommens und der Standardvertragsklausel auszusetzen [seien].“ Nach deutschem und europäischem Datenschutzrecht dürfen personenbezogene Daten europäischer Bürger nur dann  in ein drittes Land außerhalb der Europäischen Union übertragen werden, wenn dort ein vergleichbares Datenschutzniveau gewährleistet ist. Grundsätzlich ist in den Vereinigten Staaten kein vergleichbares Datenschutzniveau gewährleistet. Allerdings hat die EU-Kommission festgestellt, dass  Unternehmen, die sich gegenüber dem Handelsministerium der USA auf die Einhaltung der zwischen der EU und den USA  vereinbarten Safe-Harbour-Prinzipien verpflichten, ein vergleichbares Datenschutzniveau gewährleisten und das diesen Unternehmen daher Daten übertragen werden dürfen. Gegenüber der Kritik der deutschen Datenschutzbehördenwurde eingewendet, dass diese nicht die Kompetenz hätten, die Entscheidung der EU-Kommission aauszusetzen oder für Deutschland abweichend davon zu handeln.  Der  Generalanwalt beim europäischen Gerichtshof hat nun in seinem Votum festgestellt, dass die nationalen Behörden sehr wohl berechtigt seien, derartige Entscheidungen der Kommission zu prüfen und  abweichende Entscheidungen zu treffen.

 

Safe Harbour ungültig

Der Generalanwalt hat in seinem Votum festgestellt, dass dieses Abkommen  ungültig ist. Gesetzgebung und Rechtspraxis der USA erlauben es nach Feststellung des Generalanwalts, massenhaft persönliche Daten von EU Bürgern, die übertragen werden, zu sammeln. Diesen Bürgern wird keinerlei Rechtsschutz gewährt. Die Entscheidung der EU-Kommission zu safe harbour gewährt keine ausreichenden Garantien zum Schutz der  in der EU-Charta garantierten Rechte der europäischen Bürger (Art. 7, Art. 8, Art. 47). Nach Auffassung des Generalsanwalts steht der Zugang der US-Geheimdienste zu den übertragenen Daten im Widerspruch zum Recht auf Achtung des Privatlebens (Art. 7) und verletzt  das Recht auf Schutz personenbezogener Daten (Art. 8). Verletzt wird auch das Recht auf effektiven Rechtsschutz (Art. 47). Der Generalanwalt kritisiert außerdem, dass die massenhafte und unterschiedslose Überwachung durch die US-Geheimdienste den Verhältnismäßigkeitsgrundsatz verletzt. Aus allen diesen Gründen hält der Generalanwalt das Abkommen für unwirksam fordert die EU-Kommission auf, die Anwendung des Abkommens auszusetzen.

Empfehlungen der EU-Kommission zur Weiterentwicklung

Drei Punkte in den Empfehlungen der EU-Kommission zur Weiterentwicklung des Abkommens sind besonders zu beachten:

  • Zum Thema Transparenz: „Die [EU/US-Safe Harbor] zertifizierten Unternehmen sollen ihre Datenschutzrichtlinien sowie die Datenschutzbestimmungen von [allen] Verträgen, die sie mit Subunternehmern schließen, z.B. Cloud Computing-Services, veröffentlichen.“
  • Zum Thema Durchsetzung: „Im Anschluss an die Zertifizierung oder Re-Zertifizierung von Unternehmen unter Safe Harbour, sollte ein bestimmter Prozentsatz dieser Unternehmen von Amts wegen auf die tatsächliche Einhaltung der Datenschutzbestimmungen überprüft werden …“
  • Zum Thema Zugriff durch US-Behörden: „In den Datenschutzrichtlinien der zertifizierten Unternehmen sollten Informationen über den Umfang enthalten sein, in dem US-Gesetze es den US-Behörden erlauben, Daten, die unter Safe Harbor übertragen werden, zu sammeln und zu verarbeiten. Insbesondere sollten die Unternehmen ermutigt werden, in ihren Datenschutzrichtlinien anzugeben, in welchen Fällen sie Ausnahmen von den EU/US-Safe Harbor-Regeln [keine Daten an Dritte weiterzugeben] machen müssen, um den Anforderungen in den USA in Sachen nationaler Sicherheit oder Strafverfolgung zu entsprechen.“
    (Aufzählung der drei Punkte aus: ZD-Aktuell 2013, 03837, beck-online)

 

Markiert mit: