2
2.1
Schwerpunktthemen - europäisch und international
Von Safe Harbor zum Privacy Shield - alter Wein in neuen Schläuchen oder berechtigte
Hoffnung für einen rechtssicheren transatlantischen Datenverkehr?
Durch die Aufhebung der Safe-Harbor-Entscheidung der Europäischen Kommission rückt der EuGH die umfassenden und anlasslosen Überwachungsaktivitäten der US-Nachrichtendienste erneut in den Fokus datenschutzrechtlicher Betrachtungen. Ob das Nachfolgeregelwerk „EU-US Privacy Shield“ dauerhafte Rechtssicherheit
für den transatlantischen Datenverkehr schaffen kann, bleibt abzuwarten.
Die Aufhebung des Adäquanzbeschlusses der Europäischen Kommission zum Safe-Harbor-Arrangement
(2000/520/EG) vom 26. Juli 2000 durch das sog. Schrems-Urteil des Europäischen Gerichtshofs (EuGH) vom
6. Oktober 2015 (Az. C-362/14) war ein Paukenschlag, der noch lange Zeit nachhallen wird. Die von einem
österreichischen Staatsbürger initiierte Beschwerde bei der irischen Datenschutzbehörde wegen der Übermittlung seiner Daten in die USA durch Facebook führte zu einem Urteil, das in vielerlei Hinsicht wegweisend ist.
So stellt der EuGH fest, die Safe-Harbor-Entscheidung der Kommission hindere die nationalen Kontrollstellen
nicht daran, in völliger Unabhängigkeit zu prüfen, ob bei der Datenübermittlung die in der Datenschutzrichtlinie 95/46/EG aufgestellten Anforderungen zum Schutz des Grundrechts auf Datenschutz aus Artikel 8 der
EU-Grundrechtecharta (Charta) gewahrt sind. Diese erhebliche Aufwertung der europäischen Datenschutzbehörden verband der EuGH mit der Forderung nach einem Klagerecht für Datenschutzbehörden gegen Unionsrechtsakte. Die für das Jahr 2017 vorgesehene Umsetzung dieser richterlichen Vorgabe in deutsches Recht erwarte ich mit großer Spannung.
Darüber hinaus erklärt der EuGH die Safe-Harbor-Entscheidung selbst für nichtig, weil die Kommission darin
nicht hinreichend begründet festgestellt habe, ob die USA aufgrund innerstaatlicher Rechtsvorschriften oder
internationaler Verpflichtungen ein Schutzniveau gewährleisten, das dem in der Europäischen Union garantierten Niveau der Sache nach gleichwertig sei.
Zusätzlich zu diesem formalen Argument gibt das Gericht Hinweise zur Rechtslage und Rechtspraxis in den
USA, welche Regelungen bezüglich der Überwachungsbefugnisse staatlicher Stellen und der Rechtsschutzmöglichkeiten des Betroffenen als besonders schwerwiegende Verletzungen europäischer Grundrechte angesehen
werden müssen.
So verletze beispielsweise eine Regelung, die den Behörden einen generellen Zugriff auf den Inhalt elektronischer Kommunikation gestatte, den Wesensgehalt des durch Artikel 7 der Charta garantierten Grundrechts auf
Achtung des Privatlebens.
Ebenso verletze eine Regelung das in Artikel 47 der Charta verankerte Grundrecht auf wirksamen gerichtlichen
Rechtsschutz, wenn sie keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den
ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken.
An diesen Vorgaben und Rechtsgedanken des Urteils werden sich sämtliche Angemessenheitsentscheidungen
der Kommission sowie die alternativen Instrumente für Datenübermittlungen in Staaten ohne angemessenes
Datenschutzniveau, wie Standardvertragsklauseln und verbindliche Unternehmensregelungen (Binding Corporate Rules - BCR), messen lassen müssen.
Dies gilt zuvorderst für die Nachfolgeregelung zu Safe Harbor. Mit der Entscheidung der Kommission
(2016/1250) vom 12. Juli 2016 steht nach intensiven Verhandlungen zwischen Kommission und US-Regierung
BfDI 26. Tätigkeitsbericht 2015-2016
– 53 –