Seit Jahren berichten wir über das Safe-Harbor-Abkommen mit den USA, mit dem die EU-Kommission den Transfer personenbezogener Daten in die USA erlaubt. Da spätestens seit Snowden erwiesen ist, dass die USA keinen adäquaten Datenschutz gewährleisten, forderten Datenschutzbeauftragte und EU-Parlament wiederholt die Aufhebung des Abkommens. Jetzt hat unser Freund Max Schrems mit seiner Initiative europe-v-facebook.org einen weiteren Teilsieg errungen. Der Generalanwalt am EuGH Bot vertritt die Auffassung, dass die Safe-Harbor-Entscheidung der EU-Kommission ungültig ist:
In seinen heutigen Schlussanträgen vertritt Generalanwalt Bot die Auffassung, dass die Existenz einer Entscheidung der Kommission, mit der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet, die Befugnisse der nationalen Kontrollstellen nach der Richtlinie über die Verarbeitung personenbezogener Daten weder beseitigen noch auch nur verringern kann. Er ist außerdem der Ansicht, dass die Entscheidung der Kommission ungültig ist.
Und die Begründung wird grundsätzlich:
Der Generalanwalt ist ferner der Ansicht, dass der Zugang der amerikanischen Nachrichtendienste zu den übermittelten Daten einen Eingriff in das Recht auf Achtung des Privatlebens und in das Recht auf den Schutz personenbezogener Daten bedeutet. Desgleichen bedeute der Umstand, dass die Unionsbürger keine Möglichkeit haben, zur Frage des Abfangens und der Überwachung ihrer Daten in den Vereinigten Staaten gehört zu werden, einen Eingriff in das von der Charta geschützte Recht der Unionsbürger auf einen wirksamen Rechtsbehelf.
Der Generalanwalt sieht in diesem Eingriff in die Grundrechte einen Verstoß gegen den Grundsatz der Verhältnismäßigkeit, insbesondere weil die von den amerikanischen Nachrichtendiensten ausgeübte Überwachung massiv und nicht zielgerichtet ist. Der Zugang zu personenbezogenen Daten, über den die amerikanischen Nachrichtendienste verfügen, erfasst nämlich in generalisierter Weise alle Personen und alle elektronischen Kommunikationsmittel sowie sämtliche übertragenen Daten (einschließlich des Inhalts der Kommunikationen), ohne jede Differenzierung, Einschränkung oder Ausnahme anhand des im Allgemeininteresse liegenden Ziels, das verfolgt wird. Unter diesen Umständen kann nach Ansicht des Generalanwalts nicht davon ausgegangen werden, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, zumal die Regelung über den sicheren Hafen in der Entscheidung der Kommission keine Garantien enthält, die geeignet sind, einen massiven und generalisierten Zugang zu den übermittelten Daten zu verhindern. Denn keine unabhängige Behörde ist in der Lage, in den Vereinigten Staaten zu kontrollieren, ob staatliche Akteure wie die amerikanischen Sicherheitsdienste gegenüber Unionsbürgern gegen die Grundsätze des Schutzes personenbezogener Daten verstoßen.
Angesichts eines solchen Befunds der Verletzung von Grundrechten der Unionsbürger hätte die Kommission nach Auffassung des Generalanwalts die Anwendung der Entscheidung aussetzen müssen, auch wenn sie derzeit mit den Vereinigten Staaten Verhandlungen führt, um die festgestellten Verstöße abzustellen. Der Generalanwalt weist im Übrigen darauf hin, dass die Kommission gerade deshalb beschlossen hat, Verhandlungen mit den Vereinigten Staaten aufzunehmen, weil sie zuvor zu der Erkenntnis gelangt war, dass das von diesem Drittland im Rahmen der Regelung über den sicheren Hafen gewährleistete Schutzniveau nicht mehr angemessen ist und dass die Entscheidung aus dem Jahr 2000 nicht mehr der tatsächlichen Lage entspricht.
Der Generalanwalt macht damit sehr deutlich, dass nach einem Datentansfer in die Vereinigten Staaten kein ausreichendes Schutzniveau vorhanden ist und keine hinreichenden Garantien bestehen, dass die Daten nicht massenhaft und unkontrolliert zweckentfremdet werden. Er bemängelt auch, dass in den USA keine unabhängige Behörde vorhanden ist, die ein solches Schutzniveau prüfen könnte. Bot betont außerdem mehrfach den möglichen Zugriff der US-amerikanischen Geheimdienste, was er für unvereinbar mit den Rechten der EU-Bürger hält.
Den Volltext des Schlussantrags gibt es auch online. Europe-v-facebook kommentiert:
As the advocate general has very much relies on fundamental rights arguments this clarification may, if confirmed by the court, be binding not only for the European Commission but also for the European Legislature in the ongoing reform of the EU’s data protection laws and would ensure that there is a very clear red line. This finding has also an important impact on the negotiations between the EU and the US regarding a new „safe harbor“ system, as it must be now assured that the mass access of national security agencies to EU data transferred to the US needs to be definitely excluded.
Ein großer Tag für den Datenschutz in Europa. Jetzt sollte der EuGH dem Antrag seines Generalanwalts auch folgen, was er meistens tut.
Update:
Jan Philipp Albrecht fordert in seinem Kommentar zum Schlussantrag von Bot, dass die irische Datenschutzbehörde eine Datenweitergabe in die Vereinigten Staaten nun untersagen müsse. Das EU-Parlament hatte ohnehin die Kündigung des Safe-Harbour-Abkommens gefordert. Albrecht sieht nun die EU-Kommission erst recht in der Pflicht, das Abkommen auszusetzen:
Der Europäische Gerichtshof untermauert damit die Forderung des Europäischen Parlaments, Safe Harbor auszusetzen. Es ist absolut inakzeptabel, dass die Europäische Kommission diese eindeutige Forderung seit eineinhalb Jahren ignoriert. Sie muss nun die Konsequenzen ziehen und Safe Harbor sofort aussetzen.