Ein österreichischer Datenschutz-Aktivist hatte vor dem irischen High Court Klage gegen den Internetriesen Facebook eingereicht, da die personenenbezogenen Daten europäischer Nutzer in den USA nicht ausreichend vor Zugriff durch Behörden gesichert seien. Irland ist der europäische Hauptsitz des Unternehmens. In einer Vorentscheidung rief der High Court den Europäischen Gerichtshof an, der am 06.10.2015 sein Urteil fällte.
Die Safe Harbor-Entscheidung aus dem Jahr 2000
Hintergrund der Klage sind die unterschiedlichen Datenschutz-Richtlinien in der EU und den Vereinigten Staaten. So sieht das europäische Datenschutzrecht beispielsweise vor, dass ohne die Einwilligung des Betroffenen keine personenbezogenen Daten in Drittstaaten übermittelt werden dürfen, in den keine „ausreichenden“ Regularien gelten. Facebook jedoch übermittelt ohne Einwilligung sämtliche Daten der europäischen Nutzer in die USA, wo die Datenschutzrichtlinien eher als unzureichend angesehen werden.
Diesen Datentransfer nahm der Kläger zunächst als Anlass, um offiziell Beschwerde gegen Facebook bei der irischen Datenschutzbehörde einzureichen. Diese wurde jedoch mit dem Verweis auf die Safe Harbor-Entscheidung zurückgewiesen. Im Rahmen dieser Regelung hatte die Europäische Kommission 2000 festgestellt, dass die USA ein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleisten. Dabei wurde jedoch lediglich untersucht, ob die Informationen durch die Unternehmen sicher verwahrt würden. Es wurde jedoch nicht geprüft, ob die europäischen Daten in den USA auch vor dem Zugriff von US-Behörden geschützt seien.
Der Begründung der Datenschutzbehörde konnte der Kläger – nicht zuletzt wegen der bekanntgewordenen Enthüllungen Edward Snowdens – nicht folgen und erhob Klage vor dem irischen High Court, der den EuGH nun im Vorab-Entscheidungsverfahren anrief.
Urteil des EuGH
Dieser stellte nun klar, dass die USA kein „Safe Harbor“ seien, da kein angemessenes Schutzniveau erreicht werden könne. Demzufolge sei das Grundrecht auf Achtung des Privatlebens sowie eine Begrenzung der Speicherung personenbezogener Daten auf das absolut Notwendigste nicht gewährleistet. Die US-Regelungen erlauben generell die Speicherung aller in die USA übermittelten personenbezogenen Daten, ohne anhand des verfolgten Ziels zu unterscheiden und ohne objektive Kriterien vorzusehen, die es ermöglichen, den Zugang der Behörden zu diesen Daten und deren spätere Nutzung zu beschränken. Insbesondere die Regelung, die es Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, verletze das Grundrecht auf Achtung des Privatlebens.
Darüber hinaus stellte der EuGH fest, dass die Safe Harbor-Entscheidung den nationalen europäischen Datenschutzbehörden in unzulässiger Weise Befugnisse entziehe, die ihnen für den Fall zustehen, dass eine Person die Vereinbarkeit des Safe Harbor mit dem Schutz der Privatsphäre sowie den Freiheiten der Grundrechte von Personen in Frage stelle. Die Kommission habe dementsprechend keine Kompetenz gehabt, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu beschränken.
Unter Beachtung des Urteils des EuGH ist die Sache nun an den irischen High Court zurück gewiesen worden. Gleichzeitig steht aber auch die Politik in der Pflicht, dafür zu sorgen, dass wirksame und sichere Datenschutzniveaus geschaffen und eingehalten werden.