Der Europäische Gerichtshof hat heute in einem Urteil klargestellt, dass letztendlich nur er entscheiden kann, ob ein angemessenes Schutzniveau übermittelter personenbezogener Daten in ein Drittland besteht oder nicht.
Der Fall zum Urteil: der Österreicher Maximillian Schrems nutzt seit 2008 Facebook. Wie bei allen anderen Facebook-Usern, die in der EU wohnen, werden seine Daten von der irischen Tochtergesellschaft von Facebook ganz oder teilweise an Server, die in den Vereinigten Staaten stehen, übermittelt und verarbeitet.
Herr Schrems hatte bei der irischen Datenschutzbehörde eine Beschwerde gegen diese Datenübermittlung eingelegt, nachdem er durch die Entüllungen von Edward Snowden (insbesondere über die National Security Agency "NSA") der Ansicht war, dass seine Daten in den USA nicht ausreichend geschützt sind.
Die irische Behörde wies die Beschwerde des Facebook-Users zurück. Sie begründete dies vor allem damit, dass die Kommission bei ihrer Entscheidung vom 26. Juli 20002 festgestellt hat, dass die Vereinigten Staaten im Rahmen der sogenannten „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau der übermittelten personenbezogenen Daten gewährleisten.
Der Europäische Gerichtshof entschied heute (06.10.2015) dazu, dass
"(...) die Existenz einer Entscheidung der Kommission, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für übermittelte personenbezogene Daten gewährleistet, die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union und der Richtlinie verfügen, weder beseitigen noch auch nur beschränken kann. Der Gerichtshof hebt insoweit das durch die Charta garantierte Recht auf den Schutz personenbezogener Daten sowie die den nationalen Datenschutzbehörden durch die Charta übertragene Aufgabe hervor.(...)"
Der Europäische Gerichtshof betonte auch, dass bei einer solche Entscheidung der Kommission - vorausgesetzt es gibt eine Beschwerde dagegen - von den nationalen Datenschutzbehörden in völliger Unabhängigkeit geprüft werden muss, ob bei der Übermittlung der Daten einer Person in ein Drittland die in der Richtlinie aufgestellten Anforderungen gewahrt werden.
Wenn dann die nationale Behörde oder die Person Zweifel an der Entscheidung der Kommission hat, muss für sie die Möglichkeit bestehen, die Nationalen Gerichte aufzurufen, damit die, wenn sie ebenfalls Zweifel an der Gültigkeit der Entscheidung der Kommission haben, die Sache dem Gerichtshof vorlegen können. Letztlich hat somit der Gerichtshof darüber zu befinden, ob eine Entscheidung der Kommission gültig ist.
Der Europäische Gerichtshof hat die Entscheidung der Kommission vom 26. Juli 2000 mit seinem heutigen Urteil für ungültig erklärt. Jetzt muss die irische Datenschutzbehörde erst einmal die Beschwerde von Herrn Schrems "mit aller gebotenen Sorgfalt" (und nicht nur bezogen auf die Safe-Harbor-Regelung) überprüfen und am Ende ihrer Untersuchung entscheiden, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die USA auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.
Quelle mit weiteren Details (PDF, 173 KB) : Pressemittelung vom Europäischen Gerichtshof, Nr. 117/15vom 6. Oktober 2015, Rechtssache C-362/14
