ULD begrüßt Safe-Harbor-Vorlage beim EuGH wegen Facebook

Kläger machte geltend, dass seine Datenschutzrechte durch Massenabfrage der NSA verletzt seien

[datensicherheit.de, 20.06.2014] In einer von dem Wiener Juristen Max Schrems angestoßenen Klage gegen die Untätigkeit des Irischen Datenschutzbeauftragten wegen der Datenübermittlung von Facebook Ireland Ltd. zur Konzernmutter Facebook Inc. in den USA entschied der irische High Court in Dublin mit Beschluss vom 18.06.2014, dem Europäischen Gerichtshof (EuGH) die Frage nach der Verbindlichkeit des Safe-Harbor-Beschlusses der EU-Kommission aus dem Jahr 2000 vorzulegen. Der Kläger machte geltend, dass er durch die Massendatenabfrage des US-amerikanischen Geheimdienstes National Security Agency (NSA) bei der Facebook Inc. in der USA als Facebook-Mitglied in seinen Datenschutzrechten verletzt sei. Eine entsprechende Aufforderung zum Tätigwerden wies der Irische Datenschutzbeauftragte zurück.

Der High Court stellte fest, dass die Erwartung von Schrems an die Datenschutzbehörde keineswegs „ungerechtfertigt oder schikanös“ (frivolous or vexatious) sei. Es könne von dem Kläger nicht verlangt werden, dass er einen Datenmissbrauch in den USA nachweist. Für ein Tätigwerden der Aufsichtsbehörde genüge die begründete Befürchtung, Opfer US-amerikanischer Sicherheitsbehörden zu sein, wenn diese routinemäßig und pauschal massenhaft Personendaten erfassen, wie dies gemäß den Enthüllungen von Edward Snowden der Fall ist. Das Gericht bestätigte, dass nach irischem Recht eine Übermittlung von Personendaten in ein Land verboten ist, das keinen hinreichenden Datenschutz- und Grundrechtsstandard aufweist. Dieser verfassungsrechtlich begründete Schutz würde verletzt, wenn staatliche Behörden massenhaft und undifferenziert von zu Hause aus initiierte Kommunikation überwacht, ohne dass es hierfür hinreichende objektive Gründe der Kriminalitätsbekämpfung und der inneren Sicherheit und angemessene und überprüfbare rechtliche Schutzmaßnahmen gäbe.

Der High Court wandte sich an den EuGH, weil er meint, dass der Irische Datenschutzbeauftragte durch den Safe-Harbor-Beschluss der EU-Kommission aus dem Jahr 2000 gebunden sein könnte, der wegen der Safe-Harbor-Zertifizierung von Facebook annahm, dass dort ein für die Datenübermittlung hinreichender Datenschutzstandard besteht. Die Frage des Gerichts an den EuGH geht dahin, ob eine Datenschutzaufsichtsbehörde bei ihrer datenschutzrechtlichen Beurteilung der Übermittlung in ein drittes Land, hier die USA, an die Regelungen der europäischen Datenschutzrichtlinie aus dem Jahr 1995 und den Beschluss der EU-Kommission zu Safe Harbor aus dem Jahr 2000 im Hinblick auf die 2009 in Kraft getretene Europäische Grundrechte-Charta gebunden ist, die in den Art. 7 und 8 die Privatsphäre und den Datenschutz gewährleistet.
Weiter stellt das Gericht die Frage, wenn Safe Harbor nicht verbindlich ist, ob eine Datenschutzaufsichtsbehörde Ermittlungen angesichts der faktischen Entwicklungen seit der Kommissionsentscheidung im Jahr 2000 durchführen kann (Randnummer 71 der Entscheidung vom 18.06.2014).

Die deutschen Datenschutzbehörden haben schon im Jahr 2010, also vor den Snowden-Enthüllungen, festgestellt, dass allein die formale Zertifizierung als Safe-Harbor-Unternehmen eine Übermittlung nicht rechtfertigt.

https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Beschluesse_Duesseldorfer_Kreis/Inhalt/2010/Pruefung_der_Selbst-Zertifizierung_des_Datenimporteuers/Beschluss_28_29_04_10neu.pdf

Mit den Snowden-Erkenntnissen dürfte nach Ansicht des ULD endgültig klar sein, dass z. B. bei Facebook kein hinreichender Grundrechtsschutz nach europäischem Verständnis gewährleistet ist. Inzwischen wurde selbst von der EU-Kommission die Ansicht vertreten, dass die Geschäftsgrundlage von Safe Harbor weggefallen ist. Mit der Vorlagefrage kann der EuGH verbindlich feststellen, dass dies zutrifft.

Gegen das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ist derzeit eine Berufungsklage beim Oberverwaltungsgericht Schleswig-Holstein anhängig, bei der es um Frage der Rechtmäßigkeit der Datenverarbeitung bei Facebook geht. Diese Klage wird am 4. September 2014 verhandelt. ULD-Leiter Thilo Weichert kommentiert die EuGH-Vorlage durch den irischen High Court: „Die angestrengte Rechtsklärung ist sehr zu begrüßen. Es ist zu hoffen, dass der EuGH in Fortführung seiner bisherigen Rechtsprechung klarstellt, dass Safe Harbor nicht – mehr – verbindlich ist. Politisch und rechtlich noch besser wäre es, wenn die EU-Kommission angesichts der NSA-Überwachung Safe Harbor offiziell
aufheben würde.“

Die Entscheidung des High Court vom 18.06.2014 kann im Internet in englischer Sprache abgerufen werden.