Category Archives: EuGH

European Court of Justice hears arguments in two procedures on national data retention laws

Posted on by

Today, the hearing takes place before the European Court of Justice (ECJ) in Luxembourg in joined Cases C-203/15 and C-698/15 place (Link to the calendar of the ECJ). In these procedures, the question of the conformity of national laws, forcing telecommunications providers to store traffic data, with EU law is at stake. In 2014, the ECJ ruled invalid the European Data Retention Directive (Ruling of 8th April 2014, C -293 / 12).

In the now negotiated procedures, the Court has to deal with national laws that impose obligations on providers to store traffic data.

In a Swedish preliminary ruling (Tele2 Sverige, C-203/15) the referring court asks whether

a general obligation to retain traffic data covering all persons, all means of electronic communication and all traffic data without any distinctions, limitations or exceptions for the purpose of combating crime

is compatible with Article 15(1) of Directive 2002/58/EC, taking account of Articles 7, 8 and 15(1) of the Charter of Fundamental Rights. The Swedish court furthermore wants to know if the retention may nevertheless be permitted where, inter alia all relevant data are to be retained for six months.

At the same time, the ECJ will assess a preliminary ruling from the UK (Davis and Others, C-698/15) which also deals with the question of the conformity of national regulations on data retention.

Today, „only“ the hearing takes place. This means that the various parties can express their positions. The Court may ask questions in connection with the preliminary ruling. Sometimes, these questions already show a tendency for a subsequent judgment.

The request for a preliminary ruling from Sweden is particularly relevant for Germany, where recently a new data retention law has been adopted by the Parliament. In the reasoning of the new law, „Law establishing a storage requirement and a maximum retention period for traffic data“ (pdf, German), the German legislature explicitly refers to the application of Art. 15 (1) of Directive 2002/58/EC and assumes that national rules on data retention must therefore be measured against the requirements of the Charter of Fundamental rights of the European Union.

Europäischer Gerichtshof verhandelt über Vorratsdatenspeicherung

Posted on by

Heute findet vor dem europäischen Gerichtshof (EuGH) in Luxemburg die mündliche Verhandlung in den verbundenen Rechtssachen C-203/15 und C-698/15 statt (Link zum Sitzungskalender). In den Verfahren geht es um die Frage der Konformität nationaler Gesetze mit EU-Recht, die Telekommunikationsanbieter zur Speicherung von Verkehrsdaten verpflichten. Im Jahr 2014 hat der EuGH die europäische Richtlinie zur Vorratsdatenspeicherung für ungültig erklärt (Urt. v. 8. April 2014, C-293/12).

In den nun verhandelten Verfahren muss ich der EuGH mit nationalen Gesetzen befassen, die eine Speicherung von Verkehrsdaten vorschreiben.

In einem schwedischen Vorabentscheidungsersuchen (Tele2 Sverige, C-203/15) stellt das vorlegende Gericht die Frage, ob

eine generelle Verpflichtung zur Vorratsspeicherung von Verkehrsdaten, die sich (wie [im Vorabentscheidungsersuchen] beschrieben) auf alle Personen und alle elektronischen Kommunikationsmittel sowie auf sämtliche Verkehrsdaten erstreckt, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung von Straftaten vorzusehen, mit Art. 15 Abs. 1 der Richtlinie 2002/58 unter Berücksichtigung der Art. 7, 8 und 52 Abs. 1 der Charta vereinbar

ist.

Falls der EuGH diese erste Frage verneinen sollte, möchte das vorlegende Gericht wissen, ob die Vorratsspeicherung dennoch zulässig sein kann, wenn

a) der Zugang der nationalen Behörden zu den gespeicherten Daten wie [im Vorabentscheidungsersuchen] beschrieben festgelegt ist und
b) die Sicherheitsanforderungen wie [im Vorabentscheidungsersuchen] beschrieben geregelt sind und
c) sämtliche relevanten Daten wie [im Vorabentscheidungsersuchen] beschrieben für einen Zeitraum von sechs Monaten ab dem Tag, an dem die Kommunikation beendet wird, gespeichert und anschließend gelöscht werden müssen?

Verbunden mit diesem Verfahren wird zugleich ein Vorabentscheidungsersuchen aus England behandelt (Davis u.a., C-698/15), in dem es ebenfalls um die Frage der Konformität nationaler Regelungen zur Vorratsdatenspeicherung geht. Hier stellt das vorlegende Gericht unter anderem die Frage, ob das Urteil des EuGH in der Rechtssache C-293/12

verbindliche, für die nationale Regelung eines Mitgliedstaats über den Zugang zu gemäß den nationalen Rechtsvorschriften auf Vorrat gespeicherten Daten geltende Voraussetzungen für die Vereinbarkeit mit den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) fest

legt.

Heute wird zunächst einmal nur verhandelt. Das bedeutet, dass die verschiedenen Beteiligten ihre Positionen darlegen können. Der Gerichtshof kann im Rahmen der mündlichen Verhandlung aber auch Fragen stellen, aus denen sich bereits oft eine Tendenz für ein späteres Urteil abzeichnet.

Gerade das Vorabentscheidungsersuchen aus Schweden ist insbesondere auch für die kürzlich in Deutschland (wieder) beschlossene Vorratsdatenspeicherung relevant. Denn der deutsche Gesetzgeber geht für das „Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ (pdf) unter anderem davon aus, dass der Anwendungsbereich des Art. 15 Abs. 1 der Richtlinie 2002/58 eröffnet ist und nationale Regelungen zur Vorratsdatenspeicherung sich an den Vorgaben der Charta der Grundrechte der Europäischen Union messen lassen müssen.

Französische Datenschutzbehörde prüft Facebook – Analyse und Kritik

Posted on by

Am 8. Februar 2016 hat die französische Datenschutzbehörde (CNIL) bekannt gegeben, dass sie den Betreiber des sozialen Online-Netzwerks Facebook am 26. Januar 2016 durch ein förmliches Anschreiben dazu aufgefordert hat, mehrere Verstöße gegen das französische Datenschutzrecht innerhalb von drei Monaten abzustellen. Sollten nicht alle in dem Anschreiben (pdf; Englisch) beanstandeten Datenschutzverstöße innerhalb dieses Zeitraums abgestellt werden, so weist die Behörde darauf hin, dass es am Ende möglicherweise zu Sanktionen kommen könnte. Nachfolgend möchte ich auf einige Aspekte der Feststellung der französischen Datenschutzbehörde näher eingehen.

Anwendbares Recht

Wenig überraschend geht die Behörde zunächst davon aus, dass auf die Datenverarbeitungen des Unternehmens französisches Datenschutzrecht anwendbar sei. „Wenig überraschend“ ist dies vor allem vor dem Hintergrund, dass der EuGH in seinen beiden Entscheidungen Google Spain (C-131/12) und Weltimmo (C-230/14) den Anwendungsbereich europäischen Datenschutzrechts sehr weit ausgedehnt hat.

In der Entscheidung „Weltimmo“, die aufgrund des eine Woche später gefällten Urteil zu Safe Harbor nur wenig Beachtung fand, konkretisierte EuGH die Anforderungen an das Vorliegen einer „Niederlassung“ im Sinne des Art. 4 Abs. 1 Buchst a der Datenschutzrichtlinie (RL 95/46/EG). Meine Blogbeiträge sowohl zu dem Urteil als auch zu den entsprechenden Schlussanträgen findet man hier.

Mit dem ebenfalls für die Anwendbarkeit europäischen Datenschutzrechts relevanten Merkmal der Datenverarbeitung „im Rahmen der Tätigkeit“ eine Niederlassung, hat sich der EuGH in seinem „Google Spain“ Urteil auseinandergesetzt und auch dieses Tatbestandsmerkmal sehr weit ausgelegt.

Dem Grunde nach reicht dem Gericht für die Bejahung der Anwendbarkeit europäischen Datenschutzrechts (bzw. des jeweils nationalen Datenschutzrechts) eine untrennbare wirtschaftliche Verbundenheit zwischen der verantwortlichen Stelle und einer Niederlassung in einem Mitgliedstaat aus. Die Niederlassung muss nicht einmal selbst bei der untersuchten Datenverarbeitung mitwirken.

Vor allem stellte der EuGH auch darauf ab, dass eine nationale Niederlassung an der Generierung von Einnahmen für den Mutterkonzern beteiligt ist.

Hier stellt sich für mich die Frage, wie der Niederlassung zu beurteilen wären die überhaupt keine Einnahmen für ein Mutterkonzern in einem anderen Mitgliedstaat oder sogar außerhalb der EU generieren, sondern vielmehr nur Ausgaben produzieren. Man denke etwa an Repräsentanzen, die sich allein um die Öffentlichkeit Arbeit eines Unternehmens kümmern, zu Veranstaltungen einladen etc. da hier keine Einnahmen generiert werden, könnte man sich fragen, ob in einer solchen Situation das jeweils nationale Datenschutzrecht Anwendung findet.

Zurück zum Verfahren der französischen Datenschutzbehörde: aus einer gesamteuropäischen Betrachtungsweise lässt sich kritisch anmerken dass wir gerade in Deutschland völlig divergierende Gerichtsentscheidungen dazu haben, welches Datenschutzrecht nun konkret auf Facebook anwendbar ist (Kammergericht Berlin, Az. 5 U 42/12; Oberverwaltungsgericht Schleswig-Holstein: Az. 4 MB 10/13). Kritisieren lässt sich zudem, dass sowohl in den dortigen deutschen Verfahren, als auch jetzt im Verfahren der CNIL (zumindest soweit dies aus den veröffentlichten Dokumenten hervorgeht) ganz allgemein auf Datenverarbeitungen abgestellt wird, ohne diese einzelnen zu konkretisieren und jede Datenverarbeitung für sich zu betrachten. Meines Erachtens ist genau dieser Prüfung Schritt jedoch erforderlich. Für die Frage der Rechtmäßigkeit einer Datenverarbeitung prüft man ja auch nicht alle Datenverarbeitungen auf einmal, sondern muss sich auf jede einzelne Verarbeitung konzentrieren. Warum soll in Bezug auf die Frage des anwendbaren Datenschutzrechts etwas anderes?

Interessanterweise stellt die CNIL zudem in ihrem Schreiben fest dass sowohl die Facebook Inc. als auch Facebook Irland Ltd. gemeinsam für die Verarbeitung verantwortliche darstellen würden. Auch diese Feststellung laufend diametral zu jenen von deutschen Gerichten. Mir geht es hier vor allen Dingen darum das Problem aufzuzeigen, in dem sich international agierende Unternehmen befinden. Nimmt man die in den europäischen Mitgliedstaaten vorherrschenden verschiedenen Feststellungen von Gerichten und Datenschutzbehörden zusammen, erscheint ein recht sicheres Wirtschaften nur schwer möglich, selbst wenn man einen dementsprechenden Anspruch an seine Tätigkeiten hat (was meines Erachtens stets der Fall sein sollte).

Zuletzt möchte ich mit Blick auf die Frage des anwendbaren Datenschutzrechts noch auf die kürzlich veröffentlichte überarbeitete Stellungnahme 179 (pdf) der Art 29 Datenschutzgruppe verweisen. In dieser analysiert das Gremium die oben genannten Entscheidungen des EuGH.

Insbesondere gehen die Datenschützer darin begrüßenswerte weise auch davon aus, dass es ein Fehler wäre, wenn man die Entscheidungen des EuGH zu weit auslegen und zu dem Schluss kommen würde,  dass die Existenz jeglicher Niederlassung die nur im entferntesten mit einer Datenverarbeitung der verantwortlichen Stelle zu tun hat zur Anwendbarkeit europäischen Datenschutzrechts führen würde.

Insbesondere stellt die Art. 29 Datenschutzgruppe auch heraus, dass der EuGH in seiner “Google Spain” Entscheidung zu Begründung anführt, dass Betroffene in der EU ansonsten den durch die Datenschutzrichtlinie gewährten Schutz verlieren würden. Dieses Argument, so die Datenschützer, würde jedoch in dem Fall, in dem eine verantwortliche Stelle in einem EU Mitgliedstaat sitzt, nicht greifen. Denn in einem solchen Fall würde stets europäisches Datenschutzrecht anwendbar sein. Es käme nur auf die Frage an, welches nationale Recht.

Zuletzt noch der Hinweis auf eine weitere Feststellung der Art 29 Gruppe in ihrer neuen Stellungnahme: allein eine gesellschaftsrechtliche Verbundenheit zwischen einem Mutterunternehmen und einer Niederlassung in einem europäischen Mitgliedstaat reicht für sich betrachtet noch nicht aus, um das jeweilige Datenschutzrecht zur Anwendung zu bringen. Genau mit diesem Argument hatte jedoch das Kammergericht in Berlin das deutsche Datenschutzrecht für anwendbar erklärt.

Datenverarbeitung für Werbezwecke

Des Weiteren bemängelt die CNIL, dass Facebook personenbezogenen Daten von Mitgliedern für Werbezwecke verarbeitete und dafür keine Rechtsgrundlage vorliege. Eine vorherige Einwilligung der betroffenen Nutzer liege nicht vor. Damit kommen im Ergebnis als Grundlage der Verarbeitung nur ein Vertrag oder aber die berechtigten Interessen von Facebook in Betracht wenn die schutzwürdigen Interessen des Betroffenen nicht überwiegen würden.

Hinsichtlich einer Verarbeitung für vertragliche Zwecke stellt die CNIL fest, dass die Nutzung der Daten für Werbezwecke gerade nicht der Durchführung des Vertrages mit den Betroffenen diene. Die Datenverarbeitung sei nur einen Nebenzweck, um vertragliche Pflichten zu erfüllen. Zudem führen die französischen Datenschützer an, dass Nutzer die Möglichkeit hätten der Verarbeitung ihrer Daten für Werbezwecke zu widersprechen (opt-out). Dies würde dafür sprechen, dass sie Datenverarbeitung für Werkezwecke nicht für die Durchführung des Nutzungsvertrages mit dem Betroffenen erforderlich ist.

Hier stellt sich freilich aus Praxis sich die Frage, ob man dann als Unternehmen in Zukunft einfach vertraglich die Verarbeitung für Werbezwecke gegenüber dem Nutzer regeln und diese zum Vertragsinhalt machen sollte. Zudem würde man dann eben keine Widerspruchsmöglichkeit anbieten. Nach der Argumentation der CNIL, könnte die Datenverarbeitung dann ja eventuell zulässig sein. Auf die Frage, wie dies dann mit Vorgaben wie jener des § 28 Abs. 4 BDSG in Einklang gebracht werden kann, möchte ich hier nicht näher eingehen.

Auch lehnt die CNIL die Datenverarbeitung auf der Grundlage berechtigter Interessen von Facebook ab. Dies soll nur möglich sein, wenn Nutzer Kontrolle darüber haben, wie personenbezogene Daten genutzt werden und sie ihre Rechte effektiv ausüben können. Dies sei hier jedoch nicht gegeben.

Besondere Arten personenbezogener Daten

Im Profil bei Facebook können Nutzer unter anderem Informationen über ihre religiöse Einstellung oder auch ihre sexuelle Orientierung angeben. Bei diesen Arten von Informationen handelt es sich umso genannte besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG), deren Verarbeitung nach den gesetzlichen Vorgaben nur unter sehr eingeschränkten Voraussetzungen möglich ist.

Was man hierbei beachten sollte ist, dass Datenschutzbehörden den Begriff der besonderen Arten personenbezogenen Daten grundsätzlich sehr weit auslegen und hierunter viel mehr Informationen fallen, als vielen vielleicht bewusst ist. So geht etwa die Art. 29 Gruppe in einer Stellungnahme zur Verarbeitung von Gesundheitsdaten bei der Nutzung von Apps (pdf) davon aus, dass die Information, dass jemand einer Brille trägt ein solches besonderes Datum darstellt. Das bedeutet: ein Foto, auf dem jemand eine normale Brille trägt, würde auch unter diese Kategorie fallen. In der Stellungnahme kommen die Datenschützer der Art 29 Gruppe im Prinzip zu dem Ergebnis, dass eigentlich nur eine Einwilligung die Datenverarbeitung für solche Fälle (Apps, Internet, etc.) rechtfertigen kann. Meinen Beitrag zu der erwähnten Stellungnahme findet man hier und hier einen weiteren zu einer Einschätzung durch die Bundesregierung.

Die CNIL verlangt in ihrem Anschreiben, dass eine Einwilligung für die Verarbeitung dieser Arten von Daten überhaupt nur dann wirksam abgegeben werden könnte, wenn ein Kästchen durch den Nutzer angeklickt wird. Erst dann sei die Voraussetzung erfüllt, dass die betroffene Person „ausdrücklich in die Verarbeitung der genannten Daten eingewilligt“ (so in Art. 8 Abs. 2 Buchst a) Datenschutzrichtlinie) habe.

Ausdrücklich verneint die französische Datenschutzbehörde das Vorliegen einer Einwilligung durch den Nutzer, wenn dieser freiwillig die betroffenen Daten in seinem Profil eingegeben und dann zur Ansicht freigegeben bzw. hochgeladen hat. Warum es sich hierbei nicht um eine ausdrückliche Einwilligung handeln soll, kann ich jedoch nicht ganz nachvollziehen.

Natürliche stets Voraussetzung, dass der Nutzer zuvor weiß, in Wasser einwilligt, um welche Daten es sich handelt und für welche Zwecke diese Daten genutzt werden. Ist diese Voraussetzung jedoch gegeben, und gibt der Nutzer in Kenntnis dieser Informationen freiwillig derartige Daten an und führt dann noch aktiv eine entsprechende Handlung aus, wie etwa den Klick auf einen Button, um die Daten im Profil anzeigen zu lassen, lässt sich meines Erachtens durchaus argumentieren, dass eine ausdrückliche Einwilligung vorliegt. Hier zeigt sich leider einmal mehr ein in der Praxis bekanntes Problem bei dem Versuch, datenschutzrechtlich sicher zu handeln: die geltenden Vorgaben sind teilweise schlicht realitätsfern und werden in der Masse einfach nicht mehr beachtet. Ich persönlich kann mich zum Beispiel nicht entsinnen, dass sich eine den Anforderungen der französischen Datenschützer entsprechende Einwilligung abgeben musste, als ich mein Profilbild bei Twitter hochgeladen habe. Genau dieses Argument habe ich auch gegenüber der Abgeordneten im europäischen Parlament, Frau Birgit Sippel, im Rahmen einer Diskussion auf Twitter entgegengehalten. Nachfolgend Auszüge aus der Diskussion:

Zuletzt sei noch der Hinweis gestattet, dass die europäischen Datenschützer in ihrer Stellungnahme 187 (pdf) festgestellt haben, dass in der Online-Umgebung eine ausdrückliche Einwilligung durch die Verwendung elektronischer oder digitaler Signaturen gegeben werden. Sie kann abhängig vom Zusammenhang aber auch durch anklickbare Schaltflächen, das Versenden einer bestätigenden E-Mail, das Anklicken von Icons usw. erteilt werden.

Warum soll es aber dann nicht ausreichen, wenn man im Profil bei Facebook seine Daten ausfüllt und danach auf eine Schaltfläche klickt, um diese hochzuladen? Die Anforderung der französischen Datenschutzbehörde ist ja, dass zusätzlich zu diesem aktiven Verhalten noch in jedem Falle eine Checkbox vorgehalten werden muss die auch noch einmal aktiv angeklickt werden muss. Endeffekt verlangen die Datenschützer damit zwei aktive, ausdrückliche Handlungen.

Schwaches Passwort

Zudem kritisiert die französische Datenschutzbehörde die Vorgaben für das Passwort bei dem sozialen Netzwerk. Dieses muss dort aus mindestens 6 Zeichen, einer Zahl und einem Buchstaben bestehen. Diese Anforderung ist nach Auffassung der CNIL jedoch keine ausreichende Daten Sicherheitsmaßnahme und verstößt gegen Vorgaben französischen Rechts. Unweigerlich möchte man sich natürlich fragen, wie viele Unternehmen im Internet gegen diese Vorgabe wohl verstoßen. Hinsichtlich dieser Beanstandung verweist die französische Datenschutzbehörde zudem darauf, dass ein entsprechender Verstoß mit einer Strafe in Höhe von bis zu 1.5 Mio EUR geahndet werden kann.

Datentransfers in Drittstaaten

Auch bemängelt die CNIL, dass Facebook, zumindest nach eigener Aussage gegenüber der Behörde im Rahmen der Prüfung, immer noch personenbezogene Daten auf der Grundlage der Angemessenheitsentscheidung der Europäischen Kommission zu Safe Harbor übermitteln würde. Da diese Angemessenheitsentscheidung seit dem entsprechenden Urteil des EuGH jedoch nicht mehr existiert, kann dieses Instrument richtigerweise nicht mehr für Datentransfers genutzt werden. Des Weiteren nutze Facebook jedoch auch Standardvertragsklauseln als Grundlage einer Datenübermittlung in Drittstaaten. Im Ergebnis wird man hier eine genauere Untersuchung, die ja gerade auch im Land im Rahmen der Beschwerde von Max Schrems läuft, abwarten müssen.

Was mich persönlich jedoch verblüfft hat, ist, dass die Entscheidung der CNIL bzw. das vorliegende Anschreiben auf den 26. Januar 2016 datiert. Nach eigener Aussage (Pressemitteilung vom 16. Oktober 2015,  pdf) wollten die europäischen Datenschutzbehörden, deren Vorsitz gerade die Leiterin der CNIL inne hat, Unternehmen jedoch bis Ende Januar (also bis zum 31. Januar 2016) Zeit geben, Datentransfers in die USA auf entsprechende neue Grundlagen zu stützen. Auch der Hamburgische Beauftragte für den Datenschutz hatte im November 2015 informiert (pdf), dass Unternehmen, die Daten auf der Grundlage der ungültigen Angemessenheitsentscheidung zu Safe Harbor übermitteln, „ab Februar 2016 mit Maßnahmen durch die Aufsichtsbehörden rechnen“ müssen. Die damals aufgestellte Übergangsfrist scheint also daher eher eine grobe Richtschnur gewesen und von den Aufsichtsbehörden unterschiedlich in der Praxis umgesetzt worden zu sein.

Ausblick

Auch in Deutschland kämpft Facebook derzeit an mehreren Datenschutzfronten. In Hamburg ist vor dem Verwaltungsgericht ein Verfahren zur Frage der Klarnamenpflicht in dem sozialen Netzwerk anhängig. Am 25. Februar 2016 findet die Verhandlung vor dem Bundesverwaltungsgericht zur Frage statt, ob Fanpage Betreiber datenschutzrechtlich verantwortlich sind.

EU-US Privacy Shield: Was wir bisher wissen.

Posted on by

Am 2. Februar 2016 hat die Europäische Kommission eine politische Einigung mit der amerikanischen Regierung auf ein neues System bzw. einen Rahmen für transatlantische Datentransfers bekanntgegeben, das „EU-US Privacy Shield“. Was genau der Inhalt dieses Systems sein wird, dazu existieren derzeit kaum valide Informationen. Das mag man kritisieren. In der Öffentlichkeit wurden zwar bereits Einschätzungen diskutiert, nach denen das EU-US Privacy Shield den datenschutzrechtlichen Anforderungen an Datentransfers in Drittstaaten (insbesondere unter Berücksichtigung des Urteils des EuGH vom 6. Oktober 2015, C-362/14) klar nicht genügen würde. Derartige inhaltliche Meinungen halte ich persönlich jedoch für verfrüht und warte daher gerne auf einen konkreten Text (insbesondere die Angemessenheitsentscheidung der Europäischen Kommission), der sich dann juristisch prüfen lässt.

Dennoch brennt die Frage, was da auf transatlantische Datenübermittlungen und betroffene Organisationen zukommt, verständlicherweise vielen Beteiligten unter den Nägeln. Bis also ein offizieller Text vorliegt, lässt sich dem Grunde nach nur zusammentragen, was aus verschiedenen Quellen bekannt gegeben wurde. An diesen Ankündigungen muss sich das System dann auch messen lassen. Nachfolgend möchte ich versuchen, eine solche Übersicht (Stand 4. Februar 2016) zu erstellen.

Pressemitteilung der Europäischen Kommission vom 2. Februar 2016

Überwachung und Durchsetzung der Regelungen durch das US-Handelsministerium und die Federal Trade Commission (FTC).

Vorgaben zur verstärkten Zusammenarbeit mit den europäischen Datenschutzbehörden.

Zusagen der US-Regierung, dass die Möglichkeiten für Behörden, nach dem amerikanischen Recht auf im Rahmen der neuen Vereinbarung übertragene personenbezogene Daten zuzugreifen, an klare Bedingungen, Beschränkungen und Aufsicht geknüpft ist, um einen allgemeinen Zugang zu verhindern.

Europäer werden die Möglichkeit haben, jede Anfrage oder Beschwerde in diesem Zusammenhang bei einer neu zu schaffenden Ombudsperson vorzubringen.

Verbindliche Zusicherungen der US-Regierung, dass der Zugang durch Behörden für Zwecke der nationalen Sicherheit klaren Grenzen, Schutz- und Aufsichtsmechanismen unterliegen wird.

Zum ersten Mal wird für EU-Bürger die Möglichkeit bestehen, Rechtsschutzverfahren in diesem Bereich [Anm. d. Autors: bezieht sich auf den Zugang durch Behörden für Zwecke der nationalen Sicherheit] in Anspruch zu nehmen.

Jährliche gemeinsame Überprüfung, um die Umsetzung dieser Verpflichtungen genau zu beobachten. Die Europäische Kommission und das US-Handelsministerium werden die Überprüfung durchführen und Experten für Nachrichtendienste aus den USA und europäische Datenschutzbehörden zur Teilnahme einladen.

US-Unternehmen, die personenbezogene Daten aus Europa importieren möchten, müssen sich zur Einhaltung von Vorgaben verpflichten, wie personenbezogene Daten verarbeitet und die Rechte des Einzelnen gewährleistet werden.

Darüber hinaus muss sich jedes Unternehmen, welches mit Arbeitnehmerdaten aus Europa umgeht, dazu verpflichten, Entscheidungen der europäischen Datenschutzbehörden anzuerkennen und nachzukommen.

Jeder Bürger, der der Auffassung ist, dass seine Daten im Rahmen des neuen Systems unzulässig verwendet wurden, wird mehrere Rechtsbehelfsverfahren zur Auswahl haben.

Unternehmen haben konkrete Fristen zu beachten, um auf Beschwerden zu antworten.

Europäische Datenschutzbehörden können Beschwerden an das US-Handelsministerium und die Federal Trade Commission weiterleiten.

Alternative Streitbeilegungsmechanismen werden kostenlos sein.

Die Europäische Kommission wird nun in den nächsten Wochen einen Entwurf für eine Angemessenheitsentscheidung [Anm. d. Autors: Nach Art. 25 Abs. 6 der Europäischen Datenschutzrichtlinie] erarbeiten. Dieser wird der Art. 29 Datenschutzgruppe für eine Stellungnahme zugeleitet und muss nach dem Ausschussverfahren [Anm. d. Autors: Art. 31 der Europäischen Datenschutzrichtlinie] angenommen werden.

Fragerunde des US Handelsministeriums auf Twitter vom 3. Februar 2016

Um am Privacy Shield teilnehmen zu können, müssen US-Unternehmen entweder Durchsetzungsbefugnissen der FTC oder des US-Transportministeriums unterliegen.

Ich selbst hatte zwei Fragen gestellt: 1) Ob das System erneut auf einer Selbstzertifizierung der US-Unternehmen basieren wird? 2) Ob noch amerikanisches Recht angepasst werden muss?

Die Antwort des US-Handelsministeriums, kurz und knapp:

Derzeit unter Safe Harbor zertifizierte Unternehmen werden einen Übergangszeitraum erhalten.

Das US-Handelsministerium wird die für das Privacy Shield zuständige Mitarbeiterzahl verdoppeln.

Auf die Frage eines Twitter-Nutzers, ob die „Presidential Policy Directive 28“ (PPD-28) ein rechtlich bindendes Instrument darstelle, antwortete das US-Handelsministerium:

Informationsblatt des US Handelsministeriums vom 2. Februar 2016 (hier Informationen, die über jene der Europäischen Kommission hinausgehen)

Unternehmen werden sich verpflichten, an Schiedsverfahren als mögliche letzte Instanz bei Beschwerden teilzunehmen, um sicherzustellen, dass EU-Bürger die Möglichkeit haben, auf diesem Wege Rechtsmittel einzulegen.

Das Privacy Shield enthält neue vertragliche Vorgaben zum Schutz der Privatsphäre und zur Aufsicht für Daten, die von teilnehmenden Unternehmen an Dritte weitergegeben oder von deren Dienstleistern verarbeitet werden, um die Haftung besser zu regeln und die Fortgeltung des Schutzes zu gewährleisten.

Ankündigung

Und noch eine Ankündigung zum Schluss: unter www.euusprivacyshield.de werde ich bald eine eigene Informationsseite einrichten und dort versuchen, die neuesten Entwicklung rund um dieses wichtige Projekt zu verfolgen und zu kommentieren.

Vernetzte Fahrzeuge: Möchte die Bundesregierung den Datenschutz verschärfen?

Posted on by

Am heutigen Freitag soll im Bundestag über einen Antrag der Fraktionen der CDU/CSU und SPD mit dem Titel „Intelligente Mobilität fördern – Die Chancen der Digitalisierung für den Verkehrssektor nutzen“ (BT-Drs. 18/7362, pdf) abgestimmt werden.

In diesem Antrag befasst sich die Bundesregierung unter anderem auch mit dem Thema Datenschutz (ab S. 5) und wie mit personenbezogenen Daten, die beim Einsatz verletzter Fahrzeuge entstehen, in Zukunft umgegangen und wie diese geschützt werden sollen. Die in dem Antrag zum Ausdruck gebrachten Forderungen bzw. Wünsche werfen jedoch einige Fragen mit Blick auf die geltende Rechtslage im Datenschutzrecht auf.

Nach dem Antrag sollen personenbezogene Daten, die vom Fahrzeug erzeugt werden, nur

mit Zustimmung des Betroffenen und bestehend auf einer gesetzlichen Grundlage pseudonymisiert erhoben werden dürfen, so dass u.a. die Erstellung von Bewegungsprofilen mit einem direkten Personenbezug nicht möglich ist.

Vor dem Hintergrund des geltenden Rechts, dass personenbezogene Daten, auf die sich die Bundesregierung hier ausdrücklich bezieht, dann verarbeitet werden dürfen, soweit dies ein Gesetz oder eine andere Rechtsvorschrift erlaubt oder aber der Betroffene selbst eingewilligt hat (§ 4 Abs. 1 BDSG), irritiert die Formulierung, dass personenbezogene Daten mit Zustimmung des Betroffenen und (!) auf einer gesetzlichen Grundlage erhoben werden dürfen. Den gesetzlichen Vorgaben hätte es jedoch entsprochen, wenn das Wort „und“ durch ein oder ersetzt worden wäre. Die Bundesregierung scheint hier den Wunsch zu äußern, dass sowohl eine Einwilligung vorliegen als auch eine gesetzliche Grundlage einschlägig sein muss, damit personenbezogene Daten überhaupt erst erhoben werden dürfen.

Hierbei kann es sich freilich auch um ein Versehen oder eine zu strenge Auslegung am Wortlaut meinerseits handeln. Sollte die Bundesregierung jedoch tatsächlich kumulativ eine Einwilligung als eine gesetzliche Grundlage für die Datenverarbeitung erforderlich halten, so dürfte dies gegen europäisches Recht verstoßen.

Der europäische Gerichtshof hat bereits im Jahre 2011 (C-468/10 und C-469/10) zu Art. 7 der Datenschutzrichtlinie (RL 95/46 EG), der die möglichen Grundlagen einer Datenverarbeitung festlegt, entschieden, dass die Mitgliedstaaten weder neue Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten neben Art. 7 der Richtlinie 95/46 einführen, noch zusätzliche Bedingungen stellen dürfen, die die Tragweite eines der sechs in diesem Artikel vorgesehenen Grundsätze verändern würden. Möchte die Bundesregierung jedoch kumulativ sowohl die Einwilligung als auch eine gesetzliche Erlaubnis für die Zulässigkeit des Umgangs mit personenbezogenen Daten im vernetzten Fahrzeug vorsehen, dürfte dies eine zusätzliche Bedingungen im Sinne des Urteils des europäischen Gerichtshofs darstellen. Die Erfüllung von zwei möglichen Zulässigkeitsalternativen würden verpflichtend zusammengefasst.

Unklar ist zudem, wie sich die Vorgabe der Bundesregierung, dass per se bereits nur pseudonymisierte Daten erhoben werden dürfen, mit der geplanten Vorgabe verhält, dass hierfür sowohl eine Einwilligung als auch eine gesetzliche Erlaubnis erforderlich ist. Zwar wird heute bereits vielfach davon ausgegangen, dass es sich auch bei pseudonymisierten Daten weiterhin um personenbezogene Daten handelt. Jedoch wird gerade der Umgang mit Daten unter einem Pseudonym, insbesondere auch wenn es sich um Fälle handelt die von der Bundesregierung im Antrag angesprochen werden, nämlich wenn Nutzungsprofile erstellt werden, gesetzlich privilegiert. So erlaubt § 15 Abs. 3 TMG die Erstellung von Nutzungsprofilen unter Verwendung eines Pseudonyms für Zwecke der Werbung, Marktforschung oder auch zur bedarfsgerechten Gestaltung von Telemedien ohne vorherige Einwilligung. Dem Nutzer muss nur die Gelegenheit gegeben werden, der Datenverarbeitung im Nachhinein zu widersprechen. Gerade wenn man sich das vernetzte Fahrzeug anschaut, welches sich immer mehr zu einem rollenden Telemediendienst wandelt, stellt sich daher die Frage, ob die Bundesregierung eine Verschärfung der geltenden Vorgaben auch bezüglich des Erstellens von Nutzungsprofilen unter einem Pseudonym plant.

Des Weiteren weist die Bundesregierung in ihrem Antrag darauf hin, dass den Betroffenen die wichtigsten Informationen zum Umgang mit personenbezogenen Daten einfach formuliert bereitgestellt werden müssen. Diese Vorgabe ist nicht unbedingt neu, denn bereits derzeit müssen Informationen zur Datenverarbeitung etwa nach § 13 Abs. 1 TMG oder § 4 Abs. 3 BDSG.

Zudem sieht der Antrag der Bundesregierung vor, dass der Fahrer und/oder Fahrzeughalter selbst entscheiden dürfen sollte,

wer Zugriff auf seine personenbezogenen Daten hat. Deshalb bedarf das Auslesen bzw. Übermitteln dieser Daten aus dem Fahrzeug einer Erlaubnis. Die „Aktivierung/Deaktivierung“ der Datenu?bermittlung muss jederzeit möglich und einfach auszuführen sein.

Auch diese Forderung ist dem Grunde nach erst einmal keine Änderung zu geltenden Rechtslage. Denn wie bereits beschrieben, bedarf eine Datenverarbeitung (damit auch eine Erhebung im Wege des Zugriffs) entweder der Einwilligung oder eines gesetzlichen Erlaubnistatbestandes. Eine Verschärfung würde sich jedoch dann ergeben, wenn die Aussagen der Bundesregierung dahin zu verstehen sind, dass mit dem „selbst entscheiden dürfen“ stets eine Einwilligung des Betroffenen gemeint ist. Man könnte jedoch eventuell auch davon ausgehen, dass diese Erlaubnis bereits bei Vertragsabschluss, etwa beim Kauf des Fahrzeugs, erteilt wird. Zudem spricht die Bundesregierung in ihrem Antrag von „einer“ Erlaubnis und nicht „seiner“. Unter „einer Erlaubnis“ kann man auch gesetzliche Grundlagen verstehen.

Der nachfolgende Zusatz jedoch, dass die Aktivierung bzw. Deaktivierung einer Datenübermittlung jederzeit möglich sein muss, spricht erneut für das zwingende Erfordernis einer Einwilligung des Betroffenen die durch die zuvor beschriebene Aktivierung bzw. Deaktivierung ausgeübt wird. Da diese „jederzeit“ ausgeübt können werden soll, kann es sich auch nicht um eine zuvor erteilte Einwilligung, etwa beim Kauf des Autos handeln.

Insgesamt stellen sich nach kurzer Analyse dieses Antrags der Bundesregierung doch einige Fragen und man wird abwarten müssen, in welcher Form die Bundesregierung eine Umsetzung dieses Antrags plant. Sollte es ja noch zu den oben besprochenen Verschärfungen kommen, habe ich Zweifel, ob diese einer Prüfung aus europarechtlicher Sicht standhalten würden. Dies gilt auch, wenn in ca. zwei Jahren die neue Datenschutz Grundverordnung wirksam wird.

Das Thema Datenschutz und vernetzte Fahrzeuge ist derzeit nicht nur im Parlament von Interesse. Diese Woche haben sich die Landesdatenschutzbeauftragten in Deutschland und der Verband der Automobilindustrie auf eine gemeinsame Leitlinie (pdf) bei der Anwendung und Auslegung des geltenden Datenschutzrechts mit Blick auf die Nutzung vernetzter Fahrzeuge geeinigt (hierzu mein englischer Blogbeitrag).

Stellungnahme europäischer Datenschützer: Weiter Anwendungsbereich des europäischen Datenschutzrechts

Posted on by

Die Art. 29 Datenschutzgruppe hat am 16. Dezember 2015 eine überarbeitete Version (pdf) ihrer Stellungnahme 8/2010 zum anwendbaren Datenschutzrecht (pdf) verabschiedet. Die Überarbeitung wurde insbesondere nach den Urteilen den Europäischen Gerichtshofs (EuGH) in der Sache „Google Spain“ (C-131/12) und „Weltimmo“ (C-230/14) erforderlich, in denen der Gerichtshofs die Vorschrift des Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie auslegte.

Die europäische Regelung

Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie beantwortet die Frage (oder versucht dies zumindest), wann das jeweils nationale Datenschutzrecht eines EU-Mitgliedstaates anwendbar ist:

Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält.

Stellungnahme der Art. 29 Datenschutzgruppe

Grundsätzlich analysieren die Datenschützer das Google Spain-Urteil des EuGH und gehen vereinzelt auch auf das zeitlich später ergangene Weltimmo-Urteil ein.

Nach Auffassung der Datenschützer wendet der EuGH europäisches Datenschutzrecht auf Datenverarbeitungen an, die durch eine verantwortliche Stelle vorgenommen werden, die in einem Staat außerhalb der EU niedergelassen ist, wenn sie eine „relevante“ Niederlassung innerhalb der EU besitzt. Jedoch werfe dieser sehr weite Anwendungsbereich europäischen Rechts auch Fragen auf.

Ebenfalls wichtig für die Art.29 Gruppe ist die Frage, inwieweit bei Konstellationen, in denen die verantwortliche Stelle in der EU niedergelassen ist und mehrere Niederlassungen in anderen Mitgliedstaaten besitzt, die Vorgaben des EuGH übertragbar sind und ob eventuell stets nur ein nationales Datenschutzrecht anwendbar ist.

Auslegung der EuGH-Urteile durch die Art. 29 Datenschutzgruppe

Zunächst befasst sich die Stellungnahme mit dem Tatbestandsmerkmal „im Rahmen der Tätigkeiten einer Niederlassung“. Die Art. 29 Gruppe weist auf eine weite Auslegung des Begriffs „Niederlassung“ in beiden Urteilen hin. Zudem kreiere der EuGH das Merkmal der „untrennbaren Verbundenheit“ der Tätigkeiten der europäischen Niederlassung mit der verantwortlichen Stelle, die in einem Staat außerhalb der EU ihren Sitzt hat.

Die Art. 29 Gruppe versteht diese Verbundenheit vor allem im Sinne eines wirtschaftlichen Konnexes, etwa im Sinne von Umsätzen der EU-Niederlassung. Es dürfe keine Trennung der Tätigkeiten möglich sein, ohne dass das Angebot des ausländischen Dienstes, etwa einer Suchmaschine, wirtschaftlich unrentabel werde.

Zu dem Merkmal der untrennbaren Verbundenheit stellt die Art. 29 Gruppe weiter fest, dass bei deren Vorliegen europäisches Datenschutzrecht anwendbar ist, selbst wenn die EU-Niederlassung gar keine Rolle bei Datenverarbeitung der verantwortlichen Stelle spielt. Nach Auffassung der Datenschützer können jedoch die Tätigkeiten der Niederlassung so mit der verantwortlichen Stelle verbunden sein, dass europäisches Recht auf deren Datenverarbeitung anwendbar ist. Hierzu bildet die Art. 29 Gruppe etwa ein Beispiel, in dem eine verantwortliche Stelle mehrere Verkaufsbüros in der EU besitzt. Dann beurteile sich Verarbeitung der verantwortlichen Stelle nach europäischem Datenschutzrecht, selbst wenn die Niederlassung in der EU an der Datenverarbeitung nicht beteiligt ist.

Zudem stellen die Datenschützer fest, dass das EuGH-Urteil das Geschäftsmodell einer Internetsuchmaschine und deren Generierung von Werbeeinnahmen betraf. Es wäre aus diesem Grund ein Fehler zu glauben, dass nun jede Verbindung zwischen einer EU-Niederlassung und der verantwortlichen Stelle im EU-Ausland ausreichen würde, um europäisches Datenschutzrecht zur Anwendung zu bringen. Jeder Fall muss für sich betrachtet werden. Andererseits dürfe das Urteil nach Ansicht der Art. 29 Gruppe aber auch nicht zu eng ausgelegt und etwa nur auf Suchmaschinen und deren Geschäftsmodell angewendet werden.

Aus Sicht der Praxis von Interesse dürfte die Aussage der Datenschützer sein, dass das Urteil ihrer Auffassung nach je nach Einzelfall vor allem auf Unternehmen anwendbar sein kann, die kostenlose Dienste in der EU anbieten und Daten, die von Nutzern dieser Dienste erhoben und verarbeitet werden, dann in der ein oder anderen Form kommerziell, z. B. für Werbezwecke, genutzt werden.

Auch der Frage, wie die Urteile des EuGH mit Blick auf Sachverhalte zu beurteilen sind, die allein Innerhalb der EU spielen, gehen die Datenschützer nach. Es geht hierbei um Fälle, bei denen mehrere Niederlassungen in verschiedenen Mitgliedstaaten bestehen und eine Hauptniederlassung in einem Mitgliedstaat existiert, die allein als verantwortliche Stelle agiert.

Ist in einem solchen Fall jedes nationale Recht und damit nebeneinander verschiedene Rechtsordnungen auf verschiedene Datenverarbeitung derselben verantwortlichen Stelle anwendbar, wenn die „untrennbare Verbundenheit“ besteht, selbst wenn diese Niederlassungen nicht an der Verarbeitung beteiligt sind?

Nach richtiger Auffassung der Art. 29 Gruppe hat der EuGH in seinem Google Spain-Urteil hierzu nichts gesagt und auch keine Unterscheidung getroffen, wie der Fall zu beurteilen wäre, wenn die verantwortliche Stelle in der EU ansässig ist. Ich möchte hinzufügen: das musste er auch gar nicht. Dennoch habe der EuGH für die Anwendung des Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie eine neue Voraussetzung geschaffen: die untrennbare Verbundenheit zwischen verantwortlicher Stelle und der Niederlassung. Das Argument des EuGH, europäisches Recht anzuwenden, da ansonsten die Gefahr bestünde, dass der Betroffene den ihm gewährten Schutz verlieren würde, ist nach Ansicht der Datenschützer in den Konstellationen, die allein in der EU spielen, nicht zwingend. Denn in einem solchen Fall geht es nur darum im Anwendungsbereich der Datenschutzrichtlinie zu bestimmen, welches nationale Recht anwendbar ist.

Doch geht die Art. 29 Gruppe davon aus, dass derzeit keine Vollharmonisierung unter dem europäischen Datenschutzrecht existiert. Daher sei es schon wichtig, welches nationale Recht gilt. Zudem führen die Datenschützer aus, dass die Datenschutzrichtlinie keine Form eines „one stop shops“ für das anwendbare Recht vorsieht. Es sei vielmehr jedes nationale Recht anwendbar, in dem eine Niederlassung existiert, die mit ihren Tätigkeiten untrennbar mit der verantwortlichen Stelle verbunden ist. Die Begründung: ansonsten bestünde die Gefahr des forum shoppings in der EU.

Das Fazit der Art. 29 Gruppe: der EuGH schafft ein neues Kriterium im Rahmen des Tatbestandsmerkmals des Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie („im Rahmen der Tätigkeiten einer Niederlassung“), die untrennbare Verbundenheit. Hier gehen die Datenschützer noch einmal deutlich darauf ein, dass es sich um eine wirtschaftliche Verbundenheit handeln muss.

Im zweiten Teil der Stellungnahme beschreiben die Datenschützer konkrete Änderungen ihrer alten Stellungnahme. Zudem stellen sie klar, dass selbst wenn nicht EU-Recht auf eine außerhalb der EU sitzende verantwortliche Stelle anwendbar ist, doch immer noch nationales Recht für solche Datenverarbeitungen gilt, die „lokal“ von einer EU-Niederlassung vorgenommen werden, etwa im Rahmen der Verwaltung eigener Dienstleister oder Mitarbeiter.

Zudem sei EU-Recht auch anwendbar, wenn nur eine einzige Niederlassung einer außereuropäischen verantwortlichen Stelle in der EU existiert, die Dienstleistungen in der EU anbietet. Dann scheint nach Ansicht der Art. 29 Gruppe eine Art Vermutung dafür zu streiten, dass die Tätigkeiten dieser EU-Niederlassung mit der verantwortlichen Stelle untrennbar verbunden sein müssen.

Zudem fügen die Datenschützer noch einige neue Beispiele für die Praxis in ihre Stellungnahme ein. Sehr relevant ist, dass die Art. 29 Gruppe in diesem Zusammenhang klarstellt, dass allein die gesellschaftsrechtliche Verbundenheit nicht für eine „untrennbare Verbundenheit“ ausreicht. Selbst wenn nur eine Niederlassung in der EU vorhanden sein sollte und eine finanzielle Verbindung zur verantwortlichen Stelle (hier in Kanada) besteht, reicht dies nicht aus, wenn die EU-Niederlassung tatsächlich im Rahmen völlig andere Tätigkeiten agiert, als die verantwortliche Stelle.

Bundesregierung zum Safe Harbor-Urteil: Einwilligung und Standardvertragsklauseln weiter möglich

Posted on by

Wie geht es mit Datentransfers nach Amerika nach dem sog. „Safe Harbor-Urteil“ des Europäischen Gerichtshofs weiter? In der Antwort auf eine Kleine Anfrage der Fraktion DIE LINKE im Deutschen Bundestag (BT-Drs. 18/7134, PDF) setzt sich die Bundesregierung mit den Auswirkungen der Safe Harbor-Entscheidung des Europäischen Gerichtshofs vom 6. Oktober 2015 auseinander und legt insbesondere ihre Ansicht zu Rechtmäßigkeit von Datenübermittlung auf der Grundlage alternativer, gesetzlich vorgesehene Mechanismen dar.

Richtigerweise stellt die Bundesregierung unter anderem klar, dass für Datenübermittlungen in die USA (nach der Ungültigkeit von Safe Harbor) alternative Rechtsgrundlagen in Betracht kommen.

Dies sind neben vertraglichen Regelungen wie den Standardvertragsklauseln verbindliche Unternehmensregelungen oder die in der Richtlinie 95/46 EG bzw. § 4c des Bundesdatenschutzgesetzes (BDSG) genannten Ausnahmetatbestände.

Derzeit verhandelt die europäische Kommission mit der amerikanischen Regierung über eine Nachfolgeregelung zu Safe Harbor. Die europäischen Datenschutzbehörden haben den Verhandlungsparteien eine Frist bis Anfang Februar 2016 gesetzt. Danach, so die Aufsichtsbehörden, würden internationale Transfer in die USA verstärkt kontrolliert werden. In ihrer Antwort legt die Bundesregierung dar, dass sie das Ziel der Europäischen Kommission, zeitnah ein neues Safe-Harbor-Abkommen zu erreichen, um Rechtssicherheit sowohl für Verbraucher als auch für die Wirtschaft zu schaffen, unterstützt. Zudem ist sie der Auffassung, dass eine Nachfolgeregelung für Safe Harbor durchaus möglich ist, wenn diese den Maßstäben des Europäischen Gerichtshofs gerecht wird.

Mit Blick auf die behördliche Kontrolle und Durchsetzung des Datenschutzrechts verweist die Bundesregierung hinsichtlich der personellen, materiellen und finanziellen Ausstattung der Landesdatenschutzbehörden auf die Zuständigkeit der Länder. Was die Bundesbeauftragte für den Datenschutz betrifft, so ist die Bundesregierung der Ansicht,

dass die Bundesbeauftragte für Datenschutz und die Informationsfreiheit finanziell, personell und technisch ausreichend ausgestattet ist.

Zudem äußert sich die Bundesregierung zu den Anforderungen an eine datenschutzrechtliche Einwilligung für Datentransfers nach Amerika. Eine solche, ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erteilte Einwilligung der betroffenen Person, ermöglicht eine Übermittlung personenbezogener

Daten in Drittstaaten, in denen kein angemessenes Datenschutzniveau im Sinne der europäischen Datenschutzrichtlinie gewährleistet ist. Aus diesem Grund sieht die Bundesregierung keine Veranlassung,

die gesetzlichen Reglungen über die Einwilligung bei der Übermittlung von personenbezogenen Daten in Drittstaaten zu ändern. Datenschutzrechtliche Einwilligung ist also auch nach Ansicht der Bundesregierung in Zukunft ein taugliches Mittel, um Datentransfers nach Amerika zu legitimieren.

Die Fragesteller möchten zudem wissen, ob die Bundesregierung eine Gesetzesinitiative plane, um dem Urteil des Gerichts entsprechend, den Datenschutzbehörden ein Klagerecht gegen (Angemessenheits-) Entscheidungen der Kommission einzuräumen. Eine solche mögliche Gesetzesänderung möchte die Bundesregierung, insbesondere im Zusammenhang mit den erforderlichen Rechtsänderungen nach dem Inkrafttreten der Datenschutz-Grundverordnung, überprüfen.

Des Weiteren ist die Bundesregierung der Auffassung,

dass die EU-Standardvertragsklauseln sowie die verbindlichen Unternehmensregeln (BCRs) weiterhin als Rechtsgrundlage für einen legalen Datentransfer in die USA verwendet werden können.

Zudem führt sie aus, dass die Standardvertragsklauseln nur vom EuGH für ungültig oder nichtig erklärt werden können. Die jeweils zuständigen Datenschutzbehörden können die Rechtmäßigkeit einer Datenübermittlung auf der Grundlage alternativer Instrumente im Einzelfall aber jederzeit überprüfen.

Von einer raschen Überarbeitung der derzeit geltenden Standardvertragsklauseln geht die Bundesregierung nicht aus. Vielmehr ist sie der Ansicht, dass die Europäische Kommission nach Erlass der Datenschutz-Grundverordnung die Standardvertragsklauseln überprüfen wird.

Auch auf mögliche Auswirkungen des Urteils auf  TTIP und CETA geht die Bundesregierung ein. Hierbei verweist sie darauf, dass die Europäische Kommission in ihrer handelspolitischen Strategie

Bekräftigt habe, dass Vorschriften über die Verarbeitung personenbezogener Daten nicht Gegenstand der Verhandlungen über Handelsabkommen sind und von diesen nicht berührt werden. Nach Auffassung der Bundesregierung hat das Safe Harbor-Urteil daher keine konkreten Konsequenzen für die Verhandlungen über TTIP oder CETA.

Europäische Kommission veröffentlicht ihre Analyse des Safe Harbor-Urteils

Posted on by

Heute hat die Europäische Kommission in einer Mitteilung (PDF) ihre Analyse des Safe Harbor-Urteils des europäischen Gerichtshofs veröffentlicht.

Neue Erkenntnisse oder Informationen zu den rechtlichen Möglichkeiten für Datentransfers in die USA finden sich in der Position kaum. Zumeist verweist die Kommission auf Stellungnahmen der Art. 29 Datenschutzgruppe. Einige Kernpunkte des Papiers möchte ich nachfolgend dennoch ansprechen:

Standardvertragsklauseln

Mit Blick auf den Einsatz von Standardvertragsklauseln (welche durch die Europäische Kommission auf der Grundlage von Art. 26 Abs. 4 der Datenschutzrichtlinie erlassen wurden und „ausreichende Garantien“ im Sinne von Art. 26 Abs. 2 der Datenschutzrichtlinie darstellen) stellt die Kommission fest, dass nationale Datenschutzbehörden dem Grunde nach verpflichtet sind, diese als rechtmäßige Möglichkeit eines Datentransfers in einen Drittstaat zu akzeptieren. Der Grund hierfür ist die rechtliche Verbindlichkeit von Kommissionsentscheidungen in den Mitgliedstaaten.

Weiterhin stellt die Kommission fest, dass Datenschutzbehörden Datentransfers auf der Grundlage von Standardvertragsklauseln nicht mit der Begründung untersagen dürfen, dass die Standardvertragsklauseln keine ausreichenden Garantien bieten würden. Denn genau dies hat die Europäische Kommission verbindlich festgestellt. Natürlich ist es den nationalen Datenschutzbehörden unbenommen, Datentransfers auf der Grundlage der Standardvertragsklauseln auf ihre Rechtmäßigkeit (gerade mit Blick auf die Entscheidung des Europäischen Gerichtshofs) zu prüfen. Sollten seitens der Datenschutzbehörde Zweifel bestehen, legt die Kommission in ihrer Mitteilung nahe, dass die nationalen Behörden einen solchen Sachverhalt vor ein nationales Gericht zu Prüfung bringen sollten, damit dieses wiederum die Frage der Rechtmäßigkeit des Datentransfers und damit implizit auch der zugrunde liegenden Standardvertragsklauseln zum Europäischen Gerichtshof vorlegen kann.

Daneben weist die Europäische Kommission darauf hin, dass verantwortliche Stellen in der EU natürlich zusätzliche (auch vertragliche) Garantien vorsehen können. Dies gerade in den Fällen, wenn sie Informationen dazu erhalten, dass das Rechtssystem im Drittstaat die datenimportieren Stelle an der Erfüllung ihrer vertraglichen Pflichten aus den Standardvertragsklauseln hindern könnte.

Ausnahmeregelungen

Zudem befasst sich die Mitteilung der Europäischen Kommission mit den gesetzlichen Ausnahmeregelungen (Art. 26 Abs. 1 der Datenschutzrichtlinie). Hier weist die Europäische Kommission darauf hin, dass die datenexportierende Stelle gerade nicht dazu verpflichtet ist, dafür Sorge zu tragen, dass die importierende Stelle ausreichende Garantien mit Blick auf den Schutz personenbezogener Daten bietet. Denn die Ausnahmeregelungen gelten ja gerade für den Fall, dass ausreichende Garantien nicht existieren.

Kompetenzen der nationalen Datenschutzbehörden

Auch wenn die Europäische Kommission mehrmals darauf hinweist, dass nationale Datenschutzbehörden in völliger Unabhängigkeit handeln können und auch müssen, so stellt sie in ihrer Mitteilung dennoch ausdrücklich fest, dass die Datenschutzbehörden Datentransfers auf der Grundlage einer Angemessenheitsentscheidung der Kommission oder einer Entscheidung über das Vorhandensein ausreichender Garantien (wie Standardvertragsklauseln), im Rahmen von Beschwerden nur auf ihre Rechtmäßigkeit hin nur überprüfen(!) dürfen. Jedoch, so die Kommission, dürfen die nationalen Datenschutzbehörden in einem solchen Fall keine verbindliche Entscheidung treffen, sondern die Mitgliedstaaten müssen in einem solchen Fall ein Klagerecht für Datenschutzbehörden vorsehen, damit das Verfahren vor ein nationales Gericht gebracht werden kann.

The DPAs remain competent to examine claims within the meaning of Article 28(4) of Directive 95/46/EC that the data transfer complies with the requirements laid down by the Directive (as interpreted by the Court of Justice), but cannot make a definitive finding. (S. 14)

Weitere Auswirkungen des Urteils

Zuletzt kündigt die Kommission an das sie vor dem Hintergrund des Urteils alle bestehenden Angemessenheitsbeschlüsse für Drittstaaten (unter anderem Argentinien, Kanada, Israel und Schweiz) überprüfen werde und insbesondere jene Klauseln in den Angemessenheitsentscheidung anpassen wird, die der europäische Gerichtshof im Rahmen des Safe Harbor-Urteils für ungültig erklärt hat. Hierbei bezieht sich die Kommission auf Vorschriften, die die Ausübung der Kompetenzen der nationalen Datenschutzbehörden unter bestimmte Voraussetzungen stellen.

Juristischer Dienst des Europäischen Parlaments: EuGH urteilte nicht zu US-Gesetzen

Posted on by

Gestern fand im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments eine Aussprache zum Safe Harbor-Urteil des EuGH statt. Unter anderem präsentierte ein Vertreter des juristischen Dienstes des Europäischen Parlaments die Kernelemente der Entscheidung.  Das Video zu der Aussprache ist hier abrufbar. Die Präsentation beginnt ab ca. 15.18.00.

Meines Erachtens von besonderer Relevanz und begrüßenswert sind die Feststellungen des juristischen Dienstes im Hinblick auf jene Urteilsgründe, in denen sich der EuGH mit der Zulässigkeit der Überwachung der Kommunikation durch stattliche Behörden befasst. In der Berichterstattung zu dem Urteil wurde oft auf die Rz. 93, 94 und 95 verwiesen, die ich hier noch einmal abbilde:

93 Nicht auf das absolut Notwendige beschränkt ist eine Regelung, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne ein objektives Kriterium vorzusehen, das es ermöglicht, den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit deren Nutzung verbundenen Eingriff zu rechtfertigen vermögen (vgl. in diesem Sinne, in Bezug auf die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG [ABl. L 105, S. 54], Urteil Digital Rights Ireland u. a., C?293/12 und C?594/12, EU:C:2014:238, Rn. 57 bis 61).

94 Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens (vgl. in diesem Sinne Urteil Digital Rights Ireland u. a., C?293/12 und C?594/12, EU:C:2014:238, Rn. 39).

95 Desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz. Nach Art. 47 Abs. 1 der Charta hat nämlich jede Person, deren durch das Recht der Union garantierte Rechte oder Freiheiten verletzt worden sind, das Recht, nach Maßgabe der in diesem Artikel vorgesehenen Bedingungen bei einem Gericht einen wirksamen Rechtsbehelf einzulegen. Insoweit ist schon das Vorhandensein einer wirksamen, zur Gewährleistung der Einhaltung des Unionsrechts dienenden gerichtlichen Kontrolle dem Wesen eines Rechtsstaats inhärent (vgl. in diesem Sinne Urteile Les Verts/Parlament, 294/83, EU:C:1986:166, Rn. 23, Johnston, 222/84, EU:C:1986:206, Rn. 18 und 19, Heylens u. a., 222/86, EU:C:1987:442, Rn. 14, sowie UGT?Rioja u. a., C?428/06 bis C?434/06, EU:C:2008:488, Rn. 80).

Vor allem aus der Feststellung in Rz. 94 könnte man schließen, dass es sich dabei um „Regelungen“ in US-Gesetzen handelt oder dass der EuGH mit „Regelungen“ ausländische Vorschriften anspricht. Doch dies ist gerade nicht der Fall. Der EuGH bezieht sich in diesen Randnummern auf das Schutzniveau innerhalb der EU und was im Rahmen dieses Schutzniveaus gesetzlich nicht zulässig ist.

Klar wird der Bezug auf das europäische Recht auch, wenn man Rz. 96 betrachtet. Dort fasst der EuGH noch einmal zusammen, dass eine Angemessenheitsentscheidung eines Mitgliedstaates oder der EU-Kommission mit Blick auf das Schutzniveau in einem Drittstaat begründete Feststellungen enthalten muss,

dass das betreffende Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleistet, das dem in der Rechtsordnung der Union garantierten Niveau, wie es sich insbesondere aus den vorstehenden Randnummern des vorliegenden Urteils ergibt, der Sache nach gleichwertig ist. (Hervorhebung durch mich)

Der EuGH bezieht sich hier noch einmal auf die Rz. 93 ff. und macht deutlich, dass es sich in den Ausführungen in diesen Randnummern um das in der Union garantierte Schutzniveau und die (grund)rechtlichen Vorgaben innerhalb der EU geht. Gegenstand der Begutachtung war nicht das amerikanische Recht. Inhalt eines Angemessenheitsbeschlusses muss damit die Feststellung sein, dass die Gesetze und/oder Verpflichtungen aus internationalen Abkommen in dem Drittstaat dieses in der Union garantierte Niveau (welches sich aus den Rz. 93 ff ergibt) nicht unterschreiten. Der EuGH gibt dem Grund nach also im Groben vor, welches Schutzniveau in der Union mit Blick auf die Überwachung durch Geheimdienste und Rechtsschutzmöglichkeiten für Bürger gilt und dass dieses Niveau gleichwertig in einem Drittland existieren muss. Ob dies für die USA der Fall ist, dazu hat sich der EuGH nicht verhalten. In der zu beurteilenden Safe Harbor-Entscheidung wurde schlicht die gesetzlich erforderliche Feststellung zum Schutzniveau nicht vorgenommen. Aus diesem Grund ist Safe Harbor ungültig.

Update vom 14.10.2015:

In einem Interview mit dem „The Wall Street Journal“ stellt auch der neue Präsident des EuGH noch einmal ausdrücklich klar, dass das Urteil sich nicht mit den Vorgaben und dem Schutzumfang des amerikanischen Rechts befasst, sondern allein das Schutzniveau innerhalb der EU und die europäischen Voraussetzungen für Datentransfers im Blick hat:

We are not judging the U.S. system here; we are judging the requirements of EU law in terms of the conditions to transfer data to third countries, whatever they may be.

Safe Harbor-Urteil des EuGH: Die Kommission hat ihre Kompetenzen unter- und überschritten

Posted on by

Heute hat der Europäische Gerichtshof (EuGH) entschieden (Az. C-362/14), dass die Safe Harbor-Entscheidung der Europäischen Kommission, die eine von mehreren möglichen Grundlagen der Übermittlung von personenbezogenen Daten aus dem EWR in die USA darstellt, ungültig ist.

Der zuständige Generalanwalt Bot hatte seine Schlussanträge erst vor zwei Wochen präsentiert (hierzu mein Blogbeitrag und ein Beitrag bei Legal Tribune Online). Mit seinem heutigen Urteil folgt der EuGH dem Generalanwalt in einigen, jedoch nicht in allen Punkten.

Was hat der EuGH nun konkret entschieden? Was sind die Gründe des Urteils? Nachfolgend möchte ich zu diesen Fragen einige erste Einschätzungen geben. Die Erwägungen des EuGH sind teilweise doch etwas überraschend. Folgende Informationen bereits vorab, da es in der Berichterstattung zu dem Urteil bereits (leider) oft anders dargestellt wird:

  • Der EuGH verhält sich in keinster Weise zum konkreten Schutzniveau für personenbezogene Daten in den USA.
  • Der EuGH stützt sein Urteil nicht ausdrücklich (wie noch der Generalanwalt) auf die Zugriffsmöglichkeiten von speziellen Geheimdiensten, insbesondere der NSA, sondern begründet seine Entscheidung allgemeiner. Auch stützt er seine Entscheidung nicht auf die Berichterstattung und Enthüllungen von Edward Snowden.
  • Entscheidungsgegenstand ist ein Rechtsakt der EU-Kommission, der nach Auffassung des EuGH nicht den Anforderungen des EU-Rechts (insbesondere Verhältnismäßigkeit) an europäische Rechtsakte und durch diese ermöglichte Eingriffe in Grundrechte genügt.

Befugnisse nationaler Datenschutzbehörden und Angemessenheitsbeschlüsse

Zunächst befasst sich der EuGH mit den Befugnissen der nationalen Datenschutzbehörden und wie diese bei Vorliegen eines Angemessenheitsbeschlusses der Kommission (wie Safe Harbor) ihre Befugnisse ausüben dürfen. Nach Art. 28 Abs. 1 der geltenden Datenschutz-Richtlinie (DS-RL, RL 95/46/EG) dürfen die Aufsichtsbehörden die ihnen gesetzlich übertragenen Befugnisses allein im Hoheitsgebiet ihres Mitgliedstaates ausüben (Rz. 44). Also etwa nicht in einem Drittstaat, wie den USA oder auch in einem anderen Mitgliedstaat innerhalb der EU.

Eine Datenübermittlung aus einem Mitgliedstaat in einen Drittstaat stellt aber selbstverständlich eine Datenverarbeitung innerhalb des Mitgliedstaates dar, die durch die Aufsichtsbehörde geprüft werden kann (Rz. 45). Die Feststellung, dass ein Drittstaat über ein „angemessenes“ Niveau für den Schutz personenbezogener Daten verfügt und damit eine Übermittlung in diesen Drittstaat überhaupt erst möglich ist, kann sowohl von der Kommission als auch von einem Mitgliedstaat getroffen werden (Rz. 50). Fällt die Kommission eine solche Entscheidung auf der Grundlage von Art. 25 Abs. 6 DS-RL, so sind hieran die Mitgliedstaaten und all ihre Organe gebunden (Rz. 51). Dies betrifft auch die nationalen Aufsichtsbehörden. Ab hier scheint sich der EuGH nun etwas von der Auffassung des Generalanwalts in dessen Schlussanträgen zu entfernen.

Der EuGH urteilt weitert, dass allein der EuGH selbst eine solche Entscheidung der Kommission aufheben darf. Bis zur Aufhebung oder auch Anpassung durch die Kommission selbst, dürfen jedoch die Mitgliedstaaten und damit auch die Aufsichtsbehörden keine abweichenden Entscheidungen treffen (Rz. 52). Freileich muss es für Betroffene, auch bei einer Bindungswirkung der Kommissionsentscheidung, möglich sein, Beschwerden hinsichtlich eines Datentransfers in den Drittstaat vorzubringen. Ebenso stehen den Aufsichtsbehörden auch weiterhin ihre gesetzlichen Aufsichts-, Untersuchungs- und Sanktionsmaßnahmen zu (Rz. 53). Aufsichtsbehörden müssen also, nach Beschwerden, auch bei bestehendem Angemessenheitsbeschluss, Untersuchungen durchführen (Rz. 57). Wenn jedoch eine Beschwerde die Frage der Rechtmäßigkeit von Datentransfers betrifft, für die schon ein entsprechender Beschluss der Kommission existiert (so wie hier), dann ist eine solche als insgesamt gegen die Gültigkeit des Angemessenheitsbeschlusses anzusehen (Rz. 59). Wie jeder andere europäische Rechtsakte (Verordnungen, Richtlinien), so muss sich auch ein Angemessenheitsbeschluss der Kommission an den rechtsstaatlichen Vorgaben des EU-Rechts messen lassen (Rz. 60). Nur der EuGH jedoch kann eine entsprechende Entscheidung der Kommission für ungültig erklären (Rz. 61). Nationale Aufsichtsbehörden können, wie bereits erwähnt, keine inhaltlich abweichenden Entscheidungen treffen oder gar einen Angemessenheitsbeschluss als unwirksam ansehen (Rz. 62). Wenn ein Betroffener mit seiner Beschwerde, die sich auf den Datentransfer in einen Drittstaat bezieht, von der zuständigen Aufsichtsbehörde abgewiesen wird, so muss er die Möglichkeit haben, hiergegen gerichtlich vorzugehen. Ebenso muss es den nationalen Aufsichtsbehörden möglich sein, eine Angemessenheitsentscheidung gerichtlich prüfen lassen zu können. Am Ende beider verfahren muss die Vorlage an den EuGH durch das nationale Gericht stehen (Rz. 64 ff.).

Was ist „angemessen“?

Danach geht der EuGH auf Safe Harbor und dessen Wirksamkeit ein.

Zunächst beleuchtet das Gericht die Frage, was unter dem Begriff „angemessen“ i.S.d. Art. 25 Abs. 1 DS-RL zu verstehen ist. Denn nur wenn ein angemessenes Schutzniveau in einem Drittstaat festgellt wurde (entweder durch die Kommission oder durch einen Mitgliedstaat), kann ein Angemessenheitsbeschluss erfolgen. Der Begriff selbst wird in der DS-RL jedoch nicht näher umschrieben oder etwa definiert (Rz. 70). Für den EuGH ist klar, dass der grundrechtlich garantierte Schutz personenbezogener Daten des Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union dem Grunde nach auch für solche Daten gelten muss, die in Drittstaaten übermittelt werden (Rz. 72). „Angemessen“ bedeutet jedoch nach dem EuGH nicht, dass in dem Drittstaat etwa dasselbe Schutzniveau existieren muss, wie es in der EU vorhanden ist. Im Kern muss der Schutz jedoch gleichwertig sein. Dieser Schutz von personenbezogenen Daten kann durch die nationalen Gesetze oder auch internationale Abkommen erreicht werden, denen der Drittstaat beigetreten ist (Rz. 73). Überspitzt formuliert postuliert der EuGH damit den Export des europäischen Datenschutzrechts und seiner grundlegenden Prinzipien in jeden Drittstaat. Das grundlegende Schutzniveau „wandert“ mit den Daten also mit.

Zudem weist der EuGH darauf hin, dass ein einmal existierender Angemessenheitsbeschluss nicht bedeutet, dass die Frage der „Angemessenheit“ des Schutzniveaus damit grundsätzlich beantwortet wäre. Vielmehr muss die Kommission eine solche Entscheidung grundsätzlich über die Zeit hinweg prüfen und vor allem aktuelle Entwicklungen berücksichtigen, die sich auf das Schutzniveau auswirken können (Rz. 76). Wenn die Kommission im Rahmen der Prüfung des Schutzniveaus in einem Drittstaat die dortigen Gesetze und Vorgaben zum Schutz personenbezogener Daten untersucht, so steht ihr nach Auffassung des EuGH nur ein eingeschränkter Beurteilungsspielraum zu und sie hat besonders strenge Maßstäbe anzulegen (Rz. 78).

Gültigkeit der Safe Harbor-Entscheidung

Im Folgenden setzt sich der EuGH mit der Safe Harbor-Entscheidung selbst auseinander…und nimmt sie auseinander.

Zunächst stellt der EuGH jedoch fest, dass das Prinzip der Selbstzertifizierung durch Unternehmen in einem Drittstaat grundsätzlich nicht gegen die Wirksamkeit eines Angemessenheitsbeschluss oder das Vorliegen eines angemessenen Schutzniveaus spricht (Rz. 81). Jedoch erfordert ein solcher Mechanismus dann auch ein wirksames System der Überwachung der Einhaltung der Vorgaben und effiziente Sanktionen bei Verstößen.

Nachfolgend kritisiert der EuGH, dass die Safe Harbor-Prinzipien, an die sich amerikanische Unternehmen halten müssen, gerade nur privatwirtschaftliche Akteure adressieren und staatlichen Einheiten in den USA keine Pflichten auferlegen und diese daher nicht an die Prinzipien gebunden sind, wenn sie Zugriff auf Daten nehmen die bei amerikanischen Unternehmen gespeichert sind (Rz. 82).

Desweiteren kritisiert der EuGH, dass die Angemessenheitsentscheidung der Kommission, entgegen den Vorgaben der DS-RL, sich überhaupt nicht mit den einschlägigen Gesetzen in den USA befasst oder deren möglichen Schutzumfang näher untersucht (Rz. 83). Die Kommission habe es versäumt, ausreichend zu prüfen, inwiefern in den USA personenbezogene Daten (nicht) geschützt sind, um auf dieser Grundlage ihre Entscheidung zu treffen. Die in Safe Harbor vorgesehen Ausnahmen, wann von den Schutzprinzipien der Entscheidung abgewichen werden darf, sind nach Ansicht des EuGH (wie auch nach Ansicht des Generalanwalts) zu weit gefasst. Zudem erlauben sie für Zwecke der nationalen Sicherheit und Strafverfolgung ein Abweichen durch staatliche Behörden. Nationale Vorschriften in den USA können den Schutzprinzipien vorgehen und diese im Endeffekt außer Kraft setzen. Amerikanische Unternehmen können von den Vorgaben von Safe Harbor zugunsten dieser nationalen Regelungen abweichen, sogar wenn diese den Schutzprinzipien von Safe Harbor entgegenstehen (Rz. 86). Aus diesem Grund ermöglicht die Safe Harbor-Entscheidung (mit ihren Ausnahmen) den Eingriff in europäische Grundrechte (Rz. 87).

Der EuGH kritisiert weiter, dass die Safe Harbor-Entscheidung keine Untersuchungsergebnisse enthält, inwiefern ein Eingriff in Grundrechte der Betroffenen (durch einen Zugriff auf Daten durch staatliche Stellen) auf ein absolut erforderliches Maß begrenzt wird (Rz. 88). Auch hier bemängelt der EuGH erneut die fehlende Prüfung und Feststellung durch die Kommission.

Desweiteren findet sich in der Safe Harbor-Entscheidung der Kommission kein Verweis auf eventuell existierende Rechtsschutzmöglichkeiten für Betroffene, wenn durch stattliche Behörden auf die übermittelten Daten zugegriffen wird (Rz. 89). Zwar existiere eine Aufsicht durch die amerikanische Federal Trade Commission. Diese bezieht sich jedoch allein auf den privatwirtschaftlichen Sektor und kann nicht den Umgang mit Daten durch staatliche Behörden überwachen.

Nun kommt der EuGH zu der Grundlage seiner faktischen Feststellungen. Die Kommission selbst habe die Mangelhaftigkeit der Safe Harbor-Entscheidung, gerade mit Blick auf die weiten Ausnahmen für Zugriffe durch staatliche Behörden und den fehlenden Rechtsschutz, im Jahre 2013 in zwei Mitteilungen analysiert und festgestellt (Rz. 90; Mitteilung COM(2013) 846 final und Mitteilung COM(2013) 847 final). Insbesondere habe die Kommission erkannt, dass US-Behörden in einer mit den Safe Harbor-Prinzipien unvereinbaren Weise auf Daten zugreifen können. Der Zugriff kann gerade über das erforderliche und absolut notwendige Maß zur Verfolgung der legitimen Zwecke der nationalen Sicherheit oder der Strafverfolgung hinausgehen. Auch habe die Kommission selbst festgestellt, dass Betroffene keine administrativen oder gerichtlichen Rechtsbehelfe haben, um Zugang zu Daten zu erhalten oder eine Berichtigung oder Löschung zu beantragen.

Danach geht der EuGH auf die (hier nicht eingehaltenen) Vorgaben ein, die ein EU-Rechtsakt wie die Safe Harbor-Entscheidung erfüllen muss, wenn durch die Unionsregelung in Grundrechte eingegriffen wird. Nach ständiger Rechtsprechung des Gerichtshofs muss ein solcher Rechtsakt klare und präzise Regeln für die Tragweite und die Anwendung einer Maßnahme vorsehen und Mindestanforderungen aufstellen, so dass die Betroffenen, deren personenbezogene Daten verarbeitet werden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen (Rz. 91).

Abweichungen oder Ausnahmen vom Schutz personenbezogener Daten müssen auf das absolut notwendige Maß beschränkt werden (Rz. 92). Nach Auffassung des EuGH genügt diesen Anforderungen die Safe Harbor-Entscheidung nicht. Nicht auf das absolut Notwendige beschränkt ist nämlich eine Regelung, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen (Rz. 93). Die in Safe Harbor vorgesehenen Ausnahmen (in der Form von Unionsregelungen) erlauben eine generelle und unverhältnismäßige Zugriffsmöglichkeit durch Behörden in den USA auf den Inhalt elektronischer Kommunikation und die Regelung in Safe Harbor verletzt daher den Wesensgehalt des grundrechts aus Art. 7 der Charta. Zudem verletzt eine solche Unionsregelung, die keine Möglichkeit für die Betroffenen vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz (Rz. 95).

Der Hauptkritik des EuGH ist damit folgender:

Die Kommission hat jedoch in der Entscheidung 2000/520 nicht festgestellt, dass die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau „gewährleisten“. (Rz. 97)

Aus diesem Grund kommt der EuGH zu dem Ergebnis, dass Art. 1 der Safe Harbor-Entscheidung gegen die in Art. 25 Abs. 6 DS-RL im Licht der Charta festgelegten Anforderungen verstößt und aus diesem Grund ungültig ist (Rz. 98).

Ein wichtiger Aspekt hierbei ist, dass der EuGH im Ergebnis eine Grundrechtsverletzung durch einen mangelhaften Unionsrechtsakt annimmt. Die EU-Kommission habe nicht die Anforderungen des EU-Rechts beachtet, als sie die Safe Harbor-Entscheidung getroffen hat. Bereits die Struktur von Safe Harbor und die unterbliebene Untersuchung und Feststellung des Schutzniveaus durch die Kommission stellt damit eine Grundrechtsverletzung dar.

Ausdrücklich urteilt der EuGH nicht über die generelle Frage der Angemessenheit des Schutzniveaus für personenbezogene Daten in den USA oder auch, ob die Safe Harbor-Prinzipien inhaltlich ein entsprechendes Schutzniveau herstellen.

ohne dass es einer Prüfung des Inhalts der Grundsätze des „sicheren Hafens“ bedarf. (Rz. 98)

Allein die fehlerhafte Struktur und mangelnde Einhaltung der Vorgaben der DS-RL durch die Kommission bei Safe Harbor stellen die Grundrechtsverletzung dar.

Ein weiterer Grund, warum Safe Harbor ungültig ist, ist für den EuGH, dass die Kommission mit der Entscheidung die Befugnisse der nationalen Datenschutzbehörden beschränkt, obwohl sie dazu rechtliche nicht befugt ist (Rz. 99 ff.). Nach Art. 3 von Safe Harbor dürfen Aufsichtsbehörden nur in besonderen Fällen Datentransfers unterbinden. Die Kopplung der Befugnisse der Behörden an bestimmte Voraussetzungen durch die Kommission stellt jedoch eine Überschreitung ihrer Befugnisse dar, so der EuGH. Mit dem Erlass von Art. 3 der Safe Harbor-Entscheidung habe die Kommission daher die ihr durch Art. 25 Abs. 6 DS-RL im Licht der Charta übertragene Zuständigkeit überschritten hat, so dass dieser Artikel ungültig ist.

Da nach Auffassung des EuGH Art. 1 und Art. 3 der Safe Harbor-Entscheidung ungültig sind und diese Artikel untrennbar mit den übrigen Vorgaben der Entscheidung im Zusammenhang stehen, berührt die Ungültigkeit der beiden Artikel die gesamte Entscheidung (Rz. 105).

Fazit

Das Urteil des EuGH befasst sich nicht mit der Frage, ob ein angemessenes Schutzniveau für Daten in den USA existiert. Die Ungültigkeit der Entscheidung rührt vielmehr bereits aus dem Umstand, dass die Kommission zum einen ihre Kompetenzen und auch ihre Pflichten auf Grundlage der DS-RL in Bezug auf Art. 1 der Safe Harbor-Entscheidung nicht korrekt ausgeübt und unterschritten hat. IN Bezug auf Art. 3 der Safe Harbor-Entscheidung stellt der EuGH dann eine Überschreitung der Kompetenzen fest. Die in Rede stehende Unionsregelung (Safe Harbor) verstößt aufgrund ihrer Struktur und ihrer Unvereinbarkeit mit den EU-rechtlichen Vorgaben an solche Unionsregelungen gegen mehrere Grundrechte.