21.11.2024
21.11.2024  
Sie sehen auf azurblauem Grund die zwölf goldenen Sterne, wie sie auch in der Europaflagge zu finden sind, wobei in der Mitte ein Paragraphenzeichen zu sehen ist.
ergänzende Informationen

Gerichtshof der Europäischen Union Urteil06.10.2015

EuGH erklärt Daten­schutz­ab­kommen mit den USA für ungültigEU-Kommission nicht zur Beschränkung der Befugnisse nationaler Daten­schutz­be­hörden berechtigt

Der Gerichtshof der Europäischen Union hat entschieden, dass die Feststellung der Kommission, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter perso­nen­be­zogener Daten gewährleisten, ungültig ist.

Während allein der Gerichtshof dafür zuständig ist, einen Rechtsakt der Union für ungültig zu erklären, können die mit einer Beschwerde befassten nationalen Daten­schutz­be­hörden, auch wenn es eine Entscheidung der Kommission gibt, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für perso­nen­be­zogene Daten gewährleistet, prüfen, ob bei der Übermittlung der Daten einer Person in dieses Land die Anforderungen des Unionsrechts an den Schutz dieser Daten eingehalten werden, und sie können, ebenso wie die betroffene Person, die nationalen Gerichte anrufen, damit diese ein Ersuchen um Vorab­ent­scheidung zur Prüfung der Gültigkeit der genannten Entscheidung stellen.

Daten­schutz­be­hörden sollen Einhaltung der Richtlinie in einzelnen Mitglieds­s­taaten überwachen

Die Richtlinie über die Verarbeitung perso­nen­be­zogener Daten* bestimmt, dass die Übermittlung solcher Daten in ein Drittland grundsätzlich nur dann zulässig ist, wenn das betreffende Drittland ein angemessenes Schutzniveau dieser Daten gewährleistet. Ferner kann nach der Richtlinie die Kommission feststellen, dass ein Drittland aufgrund seiner inner­staat­lichen Rechts­vor­schriften oder internationaler Verpflichtungen ein angemessenes Schutzniveau gewährleistet. Schließlich sieht die Richtlinie vor, dass jeder Mitgliedstaat eine oder mehrere öffentliche Stellen benennt, die in seinem Hoheitsgebiet mit der Überwachung der Anwendung der zur Umsetzung der Richtlinie erlassenen nationalen Vorschriften beauftragt sind ("Daten­schutz­be­hörden").

Sachverhalt

Herr Schrems, ein öster­rei­chischer Staats­an­ge­höriger, nutzt seit 2008 Facebook. Wie bei allen anderen in der Union wohnhaften Nutzern von Facebook werden die Daten, die Herr Schrems Facebook liefert, von der irischen Tochter­ge­sell­schaft von Facebook ganz oder teilweise an Server, die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Herr Schrems legte bei der irischen Daten­schutz­behörde eine Beschwerde ein, weil er im Hinblick auf die von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrich­ten­dienste der Vereinigten Staaten, insbesondere der National Security Agency (NSA), der Ansicht war, dass das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor Überwa­chung­s­tä­tig­keiten der dortigen Behörden böten. Die irische Behörde wies die Beschwerde insbesondere mit der Begründung zurück, dass die Kommission in ihrer Entscheidung vom 26. Juli 2000** festgestellt habe, dass die Vereinigten Staaten im Rahmen der sogenannten "Safe-Harbor-Regelung"*** ein angemessenes Schutzniveau der übermittelten perso­nen­be­zogenen Daten gewährleisteten.

Nationales Gericht erbittet Vorabein­schätzung des EuGH

Der mit der Rechtssache befasste irische High Court möchte wissen, ob diese Entscheidung der Kommission eine nationale Daten­schutz­behörde daran hindert, eine Beschwerde zu prüfen, mit der geltend gemacht wird, dass ein Drittland kein angemessenes Schutzniveau gewährleiste, und gegebenenfalls die angefochtene Daten­über­mittlung auszusetzen.

Entscheidung der Kommission kann Befugnisse der Daten­schutz­be­hörden weder beseitigen noch beschränken

In seinem Urteil führt der Gerichtshof der Europäischen Union aus, dass die Existenz einer Entscheidung der Kommission, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für übermittelte perso­nen­be­zogene Daten gewährleistet, die Befugnisse, über die die nationalen Daten­schutz­be­hörden aufgrund der Charta der Grundrechte der Europäischen Union und der Richtlinie verfügen, weder beseitigen noch auch nur beschränken kann. Der Gerichtshof hebt insoweit das durch die Charta garantierte Recht auf den Schutz perso­nen­be­zogener Daten sowie die den nationalen Daten­schutz­be­hörden durch die Charta übertragene Aufgabe hervor.

EuGH muss letztlich über Gültigkeit der Kommis­si­ons­ent­scheidung befinden

Der Gerichtshof stellt zunächst fest, dass keine Bestimmung der Richtlinie die nationalen Daten­schutz­be­hörden an der Kontrolle der Übermittlungen perso­nen­be­zogener Daten in Drittländer hindert, die Gegenstand einer Entscheidung der Kommission waren. Auch wenn die Kommission eine solche Entscheidung erlassen hat, müssen die nationalen Daten­schutz­be­hörden daher, wenn sie mit einer Beschwerde befasst werden, in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung der Daten einer Person in ein Drittland die in der Richtlinie aufgestellten Anforderungen gewahrt werden. Der Gerichtshof weist allerdings darauf hin, dass er allein befugt ist, die Ungültigkeit eines Unions­rechtsakts wie einer Entscheidung der Kommission festzustellen. Ist eine nationale Behörde oder die Person, die sie angerufen hat, der Auffassung, dass eine Entscheidung der Kommission ungültig ist, muss diese Behörde oder diese Person folglich die nationalen Gerichte anrufen können, damit diese, falls sie ebenfalls Zweifel an der Gültigkeit der Entscheidung der Kommission haben, die Sache dem Gerichtshof vorlegen können. Letztlich hat somit der Gerichtshof darüber zu befinden, ob eine Entscheidung der Kommission gültig ist.

Kommissions-Entscheidung beschränkte sich auf Prüfung der Safe-Harbor-Regelung

Der Gerichtshof prüft sodann die Gültigkeit der Entscheidung der Kommission vom 26. Juli 2000. Insoweit weist er darauf hin, dass die Kommission hätte feststellen müssen, dass die Vereinigten Staaten aufgrund ihrer inner­staat­lichen Rechts­vor­schriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleisten, das dem in der Union aufgrund der Richtlinie im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Eine solche Feststellung hat die Kommission nicht getroffen, sondern sie hat sich darauf beschränkt, die Safe-Harbor-Regelung zu prüfen.

Amerikanische Safe-Harbor-Regelung ermöglicht Eingriffe amerikanischer Behörden in Grundrechte

Ohne dass der Gerichtshof prüfen muss, ob diese Regelung ein Schutzniveau gewährleistet, das dem in der Union garantierten Niveau der Sache nach gleichwertig ist, ist festzustellen, dass sie nur für die amerikanischen Unternehmen gilt, die sich ihr unterwerfen, nicht aber für die Behörden der Vereinigten Staaten. Außerdem haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten Vorrang vor der Safe-Harbor-Regelung, so dass die amerikanischen Unternehmen ohne jede Einschränkung verpflichtet sind, die in dieser Regelung vorgesehenen Schutzregeln unangewandt zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen stehen. Die amerikanische Safe-Harbor-Regelung ermöglicht daher Eingriffe der amerikanischen Behörden in die Grundrechte der Personen, wobei in der Entscheidung der Kommission weder festgestellt wird, dass es in den Vereinigten Staaten Regeln gibt, die dazu dienen, etwaige Eingriffe zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt.

Zugriff auf übermittelte perso­nen­be­zogene Daten war nicht zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig

Diese Analyse der Regelung wird durch zwei Mitteilungen der Kommission**** bestätigt, aus denen u. a. hervorgeht, dass die amerikanischen Behörden auf die aus den Mitgliedstaaten in die Vereinigten Staaten übermittelten perso­nen­be­zogenen Daten zugreifen und sie in einer Weise verarbeiten konnten, die namentlich mit den Zielsetzungen ihrer Übermittlung unvereinbar war und über das hinausging, was nach Ansicht der Kommission zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig gewesen wäre. Desgleichen stellte die Kommission fest, dass es für die Betroffenen keine administrativen oder gerichtlichen Rechtsbehelfe gab, die es ihnen erlaubten, Zugang zu den sie betreffenden Daten zu erhalten und gegebenenfalls deren Berichtigung oder Löschung zu erwirken.

Unein­ge­schränkter Zugriff auf Inhalte elektronischer Kommunikation verletzt Wesensgehalt des Grundrechts auf Achtung des Privatlebens

Zum Vorliegen eines Schutzniveaus, das den in der Union garantierten Freiheiten und Grundrechten der Sache nach gleichwertig ist, stellt der Gerichtshof fest, dass nach dem Unionsrecht eine Regelung nicht auf das absolut Notwendige beschränkt ist, wenn sie generell die Speicherung aller perso­nen­be­zogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne objektive Kriterien vorzusehen, die es ermöglichen, den Zugang der Behörden zu den Daten und deren spätere Nutzung zu beschränken. Der Gerichtshof fügt hinzu, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt.

EuGH verweist auf Verletzung des Grundrechts auf wirksamen gerichtlichen Rechtsschutz

Ferner führt der Gerichtshof aus, dass eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden perso­nen­be­zogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt. Eine solche Möglichkeit ist dem Wesen eines Rechtsstaats inhärent.

EuGH verneint Kompetenz der Kommission zur Beschränkung der Befugnisse nationaler Daten­schutz­be­hörden

Schließlich stellt der Gerichtshof fest, dass die Entscheidung der Kommission vom 26. Juli 2000 den nationalen Daten­schutz­be­hörden Befugnisse entzieht, die ihnen für den Fall zustehen, dass eine Person die Vereinbarkeit der Entscheidung mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen in Frage stellt. Die Kommission hatte keine Kompetenz, die Befugnisse der nationalen Daten­schutz­be­hörden in dieser Weise zu beschränken.

EuGH erklärt Entscheidung der Kommission für ungültig

Aus all diesen Gründen erklärt der Gerichtshof die Entscheidung der Kommission vom 26. Juli 2000 für ungültig. Dieses Urteil hat zur Folge, dass die irische Daten­schutz­behörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für perso­nen­be­zogene Daten bietet.

Erläuterungen

* Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung perso­nen­be­zogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31).

** Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handels­mi­nis­terium der USA (ABl. L 215, S. 7).

*** Die Safe-Harbor-Regelung enthält eine Reihe von Grundsätzen über den Schutz perso­nen­be­zogener Daten, denen sich amerikanische Unternehmen freiwillig unterwerfen können.

**** Mitteilung der Kommission an das Europäische Parlament und den Rat mit dem Titel „Wieder­her­stellung des Vertrauens beim Datenaustausch zwischen der EU und den USA“ (COM[2013] 846 final, 27. November 2013) und Mitteilung der Kommission an das Europäische Parlament und den Rat über die Funktionsweise der Safe-Harbor-Regelung aus Sicht der EU-Bürger und der in der EU nieder­ge­lassenen Unternehmen (COM[2013] 847 final, 27. November 2013).

Quelle: Gerichtshof der Europäischen Union/ra-online

Nicht gefunden, was Sie gesucht haben?

Urteile sind im Originaltext meist sehr umfangreich und kompliziert formuliert. Damit sie auch für Nichtjuristen verständlich werden, fasst urteile.news alle Entscheidungen auf die wesentlichen Kernaussagen zusammen. Wenn Sie den vollständigen Urteilstext benötigen, können Sie diesen beim jeweiligen Gericht anfordern.

Wenn Sie einen Link auf diese Entscheidung setzen möchten, empfehlen wir Ihnen folgende Adresse zu verwenden: https://urteile.news/Urteil21685

Bitte beachten Sie, dass im Gegensatz zum Verlinken für das Kopieren einzelner Inhalte eine explizite Genehmigung der ra-online GmbH erforderlich ist.

Die Redaktion von urteile.news arbeitet mit größter Sorgfalt bei der Zusammenstellung von interessanten Urteilsmeldungen. Dennoch kann keine Gewähr für Richtigkeit und Vollständigkeit der über uns verbreiteten Inhalte gegeben werden. Insbesondere kann urteile.news nicht die Rechtsberatung durch eine Rechtsanwältin oder einen Rechtsanwalt in einem konkreten Fall ersetzen.

Bei technischen Problemen kontaktieren Sie uns bitte über dieses Formular.

VILI