EuGH Urteil: Safe-Harbor gewährt kein angemessenes Datenschutz-Niveau
06.10.2015
[IITR – 6.10.15] Der EuGH kommt in seinem Urteil in der Rechtssache C-362/14 (Maximillian Schrems gegen die irische Datenschutz-Aufsichtsbehörde bzgl. der Datenübermittlung nach USA innerhalb des Facebook-Konzerns) nach Vorlage des irischen High Courts zu der Auffassung, dass das gegenwärtige Safe-Harbor-Abkommen kein aus europäischer Sicht angemessenes Datenschutz-Niveau bildet und die (in dem vorliegenden Fall irische) Datenschutz-Aufsichtsbehörde die rechtliche Befugnis hat, eine Datenübermittlung auf Basis des Safe-Harbor Abkommens zu untersagen.
Hintergrundinformationen
Gegenstand des Gerichtsverfahrens war im Kern die Rechtsfrage, ob den nationalen Datenschutz-Aufsichtsbehörden die Entscheidungsmöglichkeit zukommt, die Angemessenheit des Safe-Harbor Abkommens zu hinterfragen und entsprechend Datenübermittlungsvorgänge auf Basis von Safe-Harbor zu untersagen. Dies ist nach Ansicht des Gerichts der Fall. Ferner hält das Gericht das Safe-Harbor-Abkommen selbst für rechtswidrig. Damit steht das derzeitige Safe-Harbor Abkommen in der Praxis vor dem Aus. Es bleibt abzuwarten, ob sich die EU und die USA nun auf eine Aktualisierung des Abkommens einigen können.
Praktische Auswirkungen [laufend aktualisiert]
Dies heißt in der Praxis, dass die Übermittlung personenbezogener Daten rein auf Basis von Safe-Harbor in die USA unzulässig ist. Es ist derzeit fraglich, ob auch die Wirksamkeit von EU-Standardverträgen und “Binding-Corporate-Rules” von der Entscheidung betroffen ist.
Die EU-Kommission selbst hält eine Verwendung der EU-Standardverträge weiter für zulässig und plant eine zeitnahe Neuverhandlung des Safe-Harbor-Abkommens mit den USA.
Die europäischen Datenschutz-Aufsichtsbehörden richten in Form der Artikel 29-Gruppe angesichts der durch das Urteil des EuGH entstandenen Fragestellungen einen Appell an die Politik, klare Rahmenbedingungen zum Datenaustausch mit außereuropäischen Stellen zu schaffen (Quelle). Die deutschen Aufsichtsbehörden haben sich der Stellungnahme der Artikel 29-Gruppe im Wesentlichen angeschlossen.
Die Aufsichtsbehörden werden dabei nach eigener Aussage bis zum 31. Januar 2016 Zurückhaltung bei der Umsetzung des EuGH-Urteils walten lassen, um Politik und Unternehmen einen angemessenen Handlungsspielraum zu belassen. Bis zu diesem Datum wird die Verwendung auch von EU-Standardverträgen noch für zulässig erachtet.
Pressemitteilung zum Urteil und Entscheidung im Volltext
In der begleitenden Pressemitteilung zu dem Urteil heißt es (Urteil im Volltext):
“Aus all diesen Gründen erklärt der Gerichtshof die Entscheidung der Kommission vom 26. Juli 2000 für ungültig. Dieses Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.”
Weitere Informationen
- Datenschutz-Tagung: Aktualisierung von Safe Harbor in Sicht?
- EU und USA: Abkommen zur Angleichung der Rechtsdurchsetzung im Datenschutz
- Datenschutz bei Facebook: USA widersprechen EuGH-Generalanwalt wegen Safe Harbour (heise.de)
- Datenübermittlung in die USA : Was passiert nach dem EuGH-Urteil zu Safe Harbor? (TCI-Whitepaper)
- Einordnung von Safe Harbor
Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
