Drucksache 18/12850
– 262 –
Deutscher Bundestag – 18. Wahlperiode
Principles) und in Form „Häufig gestellter Fragen“ (FAQ) festgelegte Leitlinien zu befolgen. Im Juli 2000
erkannte die Europäische Kommission in der sogenannten Safe-Harbor-Entscheidung892 an, dass in Bezug
auf Unternehmen, die diesem System beitreten, ein angemessenes Schutzniveau für personenbezogene Daten
im Sinne der EU-Datenschutzrichtlinie gewährleistet sei. In der Folgezeit trat eine Vielzahl US-amerikanischer Unternehmen dem Safe-Harbor-System bei, darunter Apple, Facebook, Google und Microsoft.
Kurz nach den ersten Snowden-Enthüllungen forderte die Konferenz der Datenschutzbeauftragten des Bundes und der Länder die Europäische Kommission in einer Presseerklärung auf, die Safe-Harbor-Entscheidung
vor dem Hintergrund der exzessiven Überwachungstätigkeit ausländischer Nachrichtendienste, insbesondere
der NSA, bis auf weiteres zu suspendieren.893
Am 25. Juni 2013 legte Maximilian Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, der seit 2008 Facebook nutzte, beim irischen Data Protection Commissioner eine Beschwerde ein, mit
der er sich dagegen wandte, dass Facebook Ireland seine personenbezogenen Daten in die USA übermittelte.
Zur Begründung nahm Maximilian Schrems auf die Snowden-Enthüllungen über die Überwachungstätigkeiten der US-amerikanischen Nachrichtendienste Bezug und machte geltend, das Recht der USA und die dortige Praxis gewährleisteten keinen ausreichenden Schutz personenbezogener Daten vor diesen Überwachungstätigkeiten. Der irische Data Protection Commissioner wies die Beschwerde als unbegründet zurück.
Hiergegen beschritt Maximilian Schrems den Rechtsweg. Der angerufene irische High Court befasste den
Europäischen Gerichtshof (EuGH) im Wege eines Vorabentscheidungsverfahrens mit der Sache.894 Im Sommer 2014 kündigte der damalige US-Justizminister Eric Holder an, die US-Präsidialverwaltung erarbeite
zusammen mit dem US-Kongress eine Regelung, die es EU-Bürgern ermöglichen werde, sich in gleicher
Weise wie US-Bürger vor US-Gerichten auf die Bestimmungen des Privacy Act von 1974 zu berufen.895 Im
Oktober 2015 erklärte der Europäische Gerichtshof die Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig.896
An die Stelle des Safe-Harbor-Systems ist das sogenannte EU-US Privacy Shield getreten, welches auf Zusicherungen der USA und einem Beschluss der EU-Kommission basiert und am 12. Juli 2016 in Kraft trat.
Der Judicial Redress Act war ein entscheidender Schritt, um die Verhandlungen über das EU-US Privacy
Shield abschließen zu können.
Als zentrales Element sieht das EU-US Privacy Shield die Schaffung eines unabhängigen Ombudsmannes
im US-Außenministerium vor, der die Beschwerden von EU-Bürgern gegen Überwachungsmaßnahmen behandeln soll.
892)
893)
894)
895)
896)
Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und
des Rates über die Angemessenheit des von den Grundsätzen des sicheren Hafens und der diesbezüglichen Häufig gestellten Fragen
(FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA Amtsblatt der Europäischen Gemeinschaften
Nr. L 215 vom 25. August 2000, S. 7.
Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Presseerklärung vom 24. Juni 2013, abrufbar z. B. unter
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/07/Presseerkl%C3%A4rung-Safe-Harbor.pdf.
Siehe EuGH, Urteil vom 6. Oktober 2015, Maximilian Schrems gegen Data Protection Commissioner, C-362/14, Rn. 26-36.
Schriftliches Gutachten des Sachverständigen Scott, MAT A SV-6, S. 20 unter Verweis auf eine Mitteilung des USJustizministeriums vom 25. Juni 2014 mit dem Titel „Attorney General Holder Pledges Support for Legislation to Provide E.U.
Citizens with Judicial Redress in Cases of Wrongful Disclosure of Their Personal Data Transferred to the U.S. for Law Enforcement
Purposes”, abrufbar unter https://www.justice.gov/opa/pr/attorney-general-holder-pledges-support-legislation-provide-eu-citizensjudicial-redress.
EuGH, Urteil vom 6. Oktober 2015, Maximilian Schrems gegen Data Protection Commissioner, C-362/14.