A blog on why norms matter online

My photo

I'm a Post-Doc Fellow at the Cluster of Excellence "Normative Orders" of the University of Frankfurt and lecturer at the Institute of International Law of the University of Graz, Austria. I've studied international law in Graz, Geneva and at Harvard Law School. I enjoy thinking and writing about Internet Governance and discussing and shaping the future of the Internet

Thursday, October 8, 2015

Die Schrems-Entscheidung des EuGH: eine multidimensionale Datenschutzarchitektur erhöht den Schutz der Privatsphäre im Internet

Max Schrems hat es geschafft. Er kämpft aber auch schon sehr lange dafür. Schon 2011 veröffentlichte er in einem von mir koordinierten Schwerpunkt des juridikum einen Beitrag zu seinen Bemühungen um mehr Datenschutz und stellte seine Initiative vor. Er hat das Potenzial für den Datenschutz weltweit genauso ein Paradeösterreicher zu werden wie Mozart für die Musik und Schwarzenegger für den Kraftsport.

Doch nun zum Urteil: Etwas überraschend ist schon, wie eindeutig es ausgefallen ist. Der EuGH ist den Schlussanträgen von GA Bot gefolgt. In einer Entscheidung vom 6. Oktober 2015[1] hob er die „Safe Harbour“-Entscheidung der Kommission auf,[2] weil es die Kommission verabsäumt habe festzustellen, dass die USA – durch nationales Recht oder internationale Verpflichtungen – ein angemessenes grundrechtliches Schutzniveau gewährleisteten.[3] 

Die Datenschutzbehörden der EU-Mitgliedstaaten könnten weiterhin unabhängig prüfen,  ob ein Drittland ein angemessenes Schutzniveau für das Recht auf Privatsphäre und Datenschutz sichert, wenn aus diesem Mitgliedstaat dorthin Daten übermittelt werden.[4] 

Der EuGH wies auf seine ständige Rechtsprechung hin, dass die Union eine „Rechtsunion“ sei und alle Handlungen von Organen anhand der Verträge, der allgemeinen Rechtsgrundsätzen und der Grundrechten zu prüfen seien.[5] Besonders kritisch äußerte er sich hinsichtlich der breiten Ausnahmeregeln, die für US-Unternehmen gälten. Den „Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von (amerikanischen) Gesetzen“ würde Vorrang vor dem Grundrechtsschutz eingeräumt.[6] Das entspreche nicht dem „angemessenes Schutzniveau“ – einem jenem der Union „ der Sache nach gleichwertig(en)“[7]

Der EuGH unterstrich, dass jeder Eingriff in die Charta-Grundrechte nach Art. 7 (Privatleben) und 8 (Datenschutz) klar und präzise umrissen sein muss, sich auf das absolut Notwendige beschränken muss[8] und gleichzeitig wirksame Rechtsschutzmöglichkeiten für die Betroffenen zur Verfügung stehen müssten, zumal es sich um personenbezogenen Daten handelt, die automatisch verarbeitet werden (verweisend auf  Digital Rights Ireland u. a., C‐293/12 und C‐594/12)[9] 

Eingriffe in das Privatleben und den Schutz personenbezogener Daten müssten sich auf das „absolut Notwendige“ beschränken. Die Rechtslage in den USA entspreche diesen Anforderungen nicht. Überschießend sei eine Regelung,

„ die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen“.[10]

Gerade Reglungen, die Behörden gestattet, „generell auf den Inhalt elektronischer Kommunikation zuzugreifen“ verstoßen gegen den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens.[11] Dieser Verweis auf de Wesensgehalt ist wichtig, da damit die Notwendigkeit einer Verhältnismäßigkeitsprüfung ausfällt. Auch ist interessant, dass schon der Zugriff - und nicht erst das Prozessieren - der Daten ausreicht. 

Auch verletzt ist Art. 47 der Grundrechtecharta, das ein Grundrecht auf wirksamen gerichtlichen Rechtsschutz, festschreibt, da für EU-Bürger keine Möglichkeit besteht, bei US-Behörden Zugang zu den sie betreffenden personenbezogenen Daten zu erlangen. Denn eine wirksame gerichtliche Kontrolle zur „Gewährleistung der Einhaltung des Unionsrechts“ sei „dem Wesen eines Rechtsstaats inhärent“.

Das Urteil folgt im Wesentlichen den Ausführungen in den Schlussanträgen von Generalanwalt Yves Bot. Dieser hatte argumentiert, dass eine ‚Safe Harbour‘-Entscheidung der Kommission von den Datenschutzbehörden unbeachtet bleiben müsse (und diese im Übrigen ungültig sei).[12] Die „systemischen Mängel“ in den USA hinsichtlich des Schutzes des Privatlebens und des Schutzes personenbezogener Daten würden es Staaten erlauben, erforderliche Maßnahmen zu ergreifen, um die Rechte ihrer Bürger zu schützen.[13] Der Zugriff durch amerikanische Nachrichtendienste auf die übermittelten Daten stellt einen Eingriff in Grundrechte europäischer Bürger dar, besonders weil die Überwachung massiv und nicht zielgerichtet ist.[14]

Das Urteil unterstreicht die Bedeutung von Privatleben und Datenschutz als Menschenrechte, bestätigt die Bedeutung, die der EuGH europäischer Datenhoheit beimisst und stellt eine Fortführung der multidimensionalen datenschutzfreundlichen Judikaturlinie des EuGH dar. 

Schon in Digital Rights Ireland hatte er betont, dass er Eingriffe – besonders solche, die Datensammlung ohne Differenzierung, Einschränkung oder Ausnahme vorsehen – regelmäßig Grundrechte verletzen, weil sie sich nicht auf das „absolut Notwendige“ beschränken. In Digital Rights Ireland hatte der EuGH übrigens auch gerügt, dass die RL zur Vorratsdatenspeicherung keine Speicherung im Unionsgebiet vorgeschrieben hatte. [15]

Mit Schrems schützt der EuGH Privatleben und Datenschutz gegen Handlungen der EU-Organe und anderer Staaten; in Google Spain und Google[16] fokussiert er auf die Pflichten von Unternehmen; und in Ryneš[17] erstreckte er seine Judikatur auch auf Aktivitäten von Privaten (private Videoüberwachung im öffentlichen Raum ist ein Eingriff in das Datenschutzrecht). Damit hat der EuGH in nur zwei Jahren einen umfassende multidimensionaler Schutzjudikatur entwickelt.

Es ist auch zu begrüßen, dass der EuGH sich in seinem Urteil nicht so sehr auf der generalisierten Überwachung als Grund für die Grundrechtswidrigkeit des Safe Harbour Abkommens fußt, wie dies noch in den Schlussanträgen des Generalanwaltes zu lesen ist. Denn gerade PRISM wurde zumindest seit 2013 in Ansätzen reformiert, dass manche der Vorwürfe des Generalanwaltes nicht mit der amerikanischen Rechtslage übereinstimmen.[19] Allerdings verbleiben die doppelten fatalen Mängel der nicht durchgeführten Überprüfung eines äquivalenten Grundrechtsschutzes durch die Kommission und die Ermangelung eines wirksamen Rechtsbehelfs, sodass Safe Harbour keinesfalls vor dem EuGH Bestand hätte haben können.

Tendenziell werden – man denke an die wachsende Nutzung von Big Data und das Internet der Dinge – transnationale Datentransfers eine immer bedeutendere Rolle spielen. Das ist es nur sinnvoll, dass der EuGH hier die Rechte der EU-Bürger gegenüber der EU und anderen Staaten, Unternehmen und Privaten unterstreicht.

Nun werden die Rechtsabteilungen der großen Internetunternehmen sowie die nationalen Datenschutzbehörden aktiv werden. Letzere können nun nämlich den Transfer und die Prozessierung von Nutzerdaten europäischer Bürger an sämtliche unter dem Safe Harbour-System selbstzertifizierte US-Unternehmen verbieten – darunter finden sich Namen wie Apple, Google, Facebook und Microsoft.[23] Allerdings können Unternehmen auf bestehende Standardavertragsklauseln und bindenden corporate rules verweisen.  Datentransfer ist immer noch unter Artikel 26 der VO 95/46/EG möglich, der allerdings – gerade für kleine Unternehmen – mit administrativen Hürden verbunden bist. In  diesem Regime sind allerdings außer Argentinien, Kanada, Israel und Neuseeland sämtliche anderer Handelspartner der EU, ohne dass der elektronische Handel zum Erliegen gekommen wäre. 
            Die nächsten Wochen werden rechtpolitisch interessant. So schlimm wie es Penny Pritzker, die US-Wirtschafsministerin, befürchtet, wird es aber nicht werden. Die New York Times zitiert sie mit den Worten, dass das Urteil „the thriving trans-Atlantic digital economy“ aufs Spiel setze. Dieses Risiko scheint gering. Vielmehr setzte der EuGH der digitalen Wirtschaft klare Grenzen und nimmt alle Akteure in eine menschenrechtliche Verantwortung – und das ist zu begrüßen. [24]




[1] EuGH, Rs. C‐362/14, Schrems v. Data Protection Commissioner, Urteil vom 6.10.2015.
[2] Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46 über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“.
[3] EuGH, C-362/14, Schrems v. Data Protection Commissioner, Urteil vom 6.10.2015, Rn 97-98.
[4] Ibid., Urteilsspruch 1, 2.
[5] Ibid., Rn. 60
[6] Ibid., Rn 86.
[7] Rn 73.
[8] Rn. 92.
[9] Rn 91.
[10] Rn 93.
[11] Rn 94.
[12] EuGH, C-362/14, Maximillian Schrems/Data Protection Commissioner. Schlussanträge von Generalanwalt Yves Bot.
[13] Ibid., Abs. 103-105.
[14] Ibid., Abs. 223.
[15] EuGH, Rs C‑293/12 and C‑594/12, Digital Rights Ireland und Seitlinger u.a., Urteil vom 8.4.2014.
[16] EuGH, Rs C-131/12, Google Spain und Google, Urteil vom 13.5.2014
[17] EuGH, Rs C-212/13 František Ryneš / Úřad pro ochranu osobních údajů, Urteil vom 11.12.2014
[18] EuGH, Rs C-230/14, Press and Information Weltimmo s.r.o. v Nemzeti Adatvédelmi és Információszabadság Hatóság, Urteil vom 1.10.2015
[19] Peter Swire, Don’t Strike Down the Safe Harbor Based on Inaccurate Views About U.S. Intelligence Law, 5 October 2015, https://iapp.org/news/a/dont-strike-down-the-safe-harbor-based-on-inaccurate-views-on-u-s-intelligence-law
[20] European Commission, Questions and Answers on the EU-US data protection "Umbrella agreement", 8.11.2015,http://europa.eu/rapid/press-release_MEMO-15-5612_en.htm.
[21] Dies ist durch den Judicial Redress Act of 2015, http://judiciary.house.gov/_cache/files/8a28056b-387e-46f2-8c80-655249f4ae8f/hr-1428.pdf, geplant. Vgl. Francesca Bignami, The US legal system on data protection in the field of law enforcement. Safeguards, rights and remedies for EU citizens, Directorate General for Internal Policies, Policy Department C: Citizens’ Rights and Constitutional Affairs, Civil Liberties, Justice and Home Affairs (May 15, 2015), http://www.europarl.europa.eu/RegData/etudes/STUD/2015/519215/IPOL_ST U%282015%29519215_EN.pdf.
[22] Vgl. die Kritik bei Peter Schaar, Leaky Umbrella, EAID-Blog (Europäische Akademie für Informationsfreiheit und Datenschutz), 18.9.2015, http://www.eaid-berlin.de/?cat=8.
[23] Allerdings wäre immer noch ein Datentransfer unter Artikel 26 der VO 95/46/EG möglich. In diesem Regime sind außer Argentinien, Kanada, Israel und Neuseeland sämtliche anderer Handelspartner der EU.
[24] Mark Scott, Data Transfer Pact Between U.S. and Europe Is Ruled Invalid, 6.10.2015, http://www.nytimes.com/2015/10/07/technology/european-union-us-data-collection.html?_r=0

No comments:

Post a Comment