CR-online.de Blog

Safe Harbor: Geburtsstunde eines europäischen Verfassungsgerichts?

avatar  Niko Härting

Die Safe Harbor-Entscheidung des EuGH ist ein Paukenschlag (Volltext EuGH, Urt. v. 6.10.2015 – C-362/14, CR 10/2015), der noch lange nachklingen wird (siehe CRonline News). Dies nicht zuletzt deshalb, weil sich der EuGH selbst die Befugnis einräumt, letztverbindlich darüber zu entscheiden, ob ein europäischer Rechtsakt mit der Grundrechtecharta (GRCh) vereinbar ist. Und man mag von der Entscheidung halten, was man möchte: Hochachtung, Max Schrems, für diesen Erfolg. (zu den Kernpunkten des Urteils auch Moos/Schefzig, „Der Countdown endet: Safe Harbor-Entscheidung der Kommission unwirksam“, CRonline Blog, v. 6.10.2015).

Was hat der EuGH entschieden?

  • Unvereinbarkeit:  Der EuGH erklärt die Safe Harbor-Entscheidung der Europäischen Kommission (2000/520/EG) für unvereinbar mit Art. 7 und 8 sowie mit Art. 47 GRCh, mit den Grundrechten auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten sowie mit dem Recht auf einen wirksamen Rechtsbehelf.
  • Keine pauschale Freistellung ausländischer Unternehmen:  Der EuGH stützt seine Entscheidung maßgeblich auf einen umfassenden Vorbehalt, der sich in der Safe Harbor-Entscheidung findet und der amerikanische Unternehmen vollständig von allen Verpflichtungen zum Datenschutz freistellte

„insoweit, als Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Rechnung getragen werden muss“, sowie
„durch Gesetzesrecht, staatliche Regulierungsvorschriften oder Fallrecht, die unvereinbare Verpflichtungen oder ausdrückliche Ermächtigungen schaffen, vorausgesetzt, die Organisation kann in Wahrnehmung dieser Ermächtigungen nachweisen, dass die Nichteinhaltung der Grundsätze sich auf das Ausmaß beschränkte, das die Einhaltung übergeordneter berechtigter Interessen aufgrund eben dieser Ermächtigung erforderte“.
(EU-Kommission, Entscheidung 2000/520/EG, ABl. L 215 v. 25.8.2000, S. 7 (10))

  • Legitimation für Datenübermittlungen in die USA:  Das Safe Harbor-Abkommen zwischen der EU und den USA ist damit obsolet. Safe Harbor kann eine Übermittlung von Daten in die USA ab sofort nicht mehr legitimieren.
  • Rolle der Datenschutzbehörden:  Der EuGH stärkt die europäischen Datenschutzbehörden. Aus Art. 8 Abs. 3 GRCh leitet der EuGH ab, dass die Europäische Kommission nicht befugt ist, die Kontrollbefugnisse der Datenschutzbehörden einzuschränken.

__________
Anzeige:

__________

Was hat der EuGH nicht entschieden?

  • Konkrete Daten:  Max Schrems hatte die irische Datenschutzbehörde ursprünglich aufgefordert, Facebook eine Speicherung personenbezogener Daten auf Servern in den USA zu untersagen, da Schrems damit rechnen musste, dass die Daten in den USA dem Zugriff der NSA und anderer amerikanischer Dienste unterlagen.
  • Zulässigkeit der Speicherung auf Facebook:  Ob eine Speicherung von Daten in den USA zulässig ist, hat der EuGH offen gelassen. Der Fall geht zurück nach Dublin. Dort wird jetzt die irische Datenschutzbehörde neu über das Anliegen des Max Schrems zu entscheiden haben.
  • Kein generell „unsicherer Hafen“:  Der EuGH hat auch nicht entschieden, dass die USA generell ein „unsicherer Hafen“ für die Daten europäischer Bürger ist. Die Übermittlung personenbezogener Daten in die USA ist somit auch in Zukunft nicht generell verboten, unterliegt jedoch deutlich strengeren Anforderungen. Alle – europäischen und amerikanischen – Unternehmen, die Daten in die USA übermitteln und sich bisher auf Safe Harbor verlassen konnten, müssen prüfen, ob und inwieweit Änderungs- und Anpassungsbedarf besteht (vgl. Schätzle, „Nach dem Paukenschlag des Generalanwalts – Suche nach Alternativen“, PinG Blog v. 1.10.2015).
  • Neues Safe Harbor-Abkommen:  Der EuGH hat der EU-Kommission auch alle Türen offen gelassen für die bereits laufenden Verhandlungen über ein neues Safe Harbor-Abkommen mit den USA. Allerdings wird sich die EU-Kommission in dem neuen Abkommen nicht damit begnügen können, amerikanischen Unternehmen einen Freibrief zu geben für den Fall, dass ein Geheimdienst oder eine andere amerikanische Sicherheitsbehörde Zugriff auf Daten verlangt.

Die Selbstkrönung:

  • Verfassungsgericht:  Europa hat laut der GRCh kein Verfassungsgericht. Umso bemerkenswerter ist es, dass sich der EuGH in der Safe Harbor-Entscheidung selbst zum Verfassungsgericht ernennt.
  • Kompetenz:  Der EuGH beansprucht für sich selbst das alleinige und ausschließliche Recht, über die Verfassungskonformität europäischer Rechtsakte zu entscheiden.
  • Rechtsweg:  Und der EuGH verlangt von allen Mitgliedsstaaten prozessuale Vorschriften, die Art. 100 GG nachgebildet sind. Komme eine Datenschutzbehörde zum Ergebnis, ein Rechtsakt (wie Safe Harbor oder vielleicht demnächst das neue deutsche Gesetz zur Vorratsdatenspeicherung) verstoße gegen die GRCh, so müsse der Behörde ein Klagerecht zustehen, das dem angerufenen Gericht eine Vorlage beim EuGH ermöglicht.

 

Anzeige:

Mehr zum Autor: RA Prof. Niko Härting ist namensgebender Partner von HÄRTING Rechtsanwälte, Berlin. Er ist Mitglied der Schriftleitung Computer und Recht (CR) und ständiger Mitarbeiter vom IT-Rechtsberater (ITRB) und vom IP-Rechtsberater (IPRB). Er hat das Standardwerk zum Internetrecht, 6. Aufl. 2017, verfasst und betreut den Webdesign-Vertrag in Redeker (Hrsg.), Handbuch der IT-Verträge (Loseblatt). Zuletzt erschienen: "Datenschutz-Grundverordnung".

10 Kommentare

  1. avatar cb
    Veröffentlicht 6.10.2015 um 13:37 | Permalink

    Eine Nachfrage zur prognostizierte „Selbstkrönung“: Worauf in der GRCh beziehen Sie sich, wenn Sie feststellen, dass Europae eigentlich, d.h. bisher kein Verfassungsgericht habe? Dass die Grundrechtskonformität europäischer Rechtsakte (allein) vom EuGH beurteilt werden kann, war doch bereits bisher anerkannt und ist m.E. keine Neuheit.

    Besten Dank!

  2. Veröffentlicht 7.10.2015 um 08:46 | Permalink

    In der GRCh ist weder eine Verfassungsbeschwerde noch ein Verfahren entsprechend Art. 100 GG (Vorlage an den EuGH) vorgesehen. Ein solches Verfahren schreibt der EuGH den nationalen Rechtsordnungen jetzt aber ausdrücklich vor.

  3. avatar cb
    Veröffentlicht 7.10.2015 um 13:26 | Permalink

    Vielen Dank für die Antwort! Ich möchte aber behaupten, dass sich der EuGH bereits bisher auch als Verfassungsgerichts für die Union gesehen hat, insbesondere das Google-Urteil hat bereits gezeigt, dass der EuGH den Grundrechtsschutz (zumindest im Bereich des Datenschutzes) also wesentliche Aufgabe wahrnimmt und auch bereit ist, Unionsrechtsakte als grundrechtswidrig zu verwerfen. Eine Selbstkrönung zu Verfassungsgericht kann ich darin nicht entdecken – wer, wenn nicht der EuGH, soll denn sonst über den Grundrechtsschutz gegen diese Akte entscheiden? Zumindest, solange es keinen EMRK-Beitritt der EU gibt, ist das doch wohl eine dringende Notwendigkeit als eine kritikwürdige Kompetenzanmaßung.
    Primärrechtlich gibt es mit dem Vorabentscheidungsverfahren zudem sehr wohl ein Art. 100 GG entsprechendes Verfahren. Einziger Unterschied ist, dass neben der Vereinbarkeit mit dem „europäischen Verfassungsrecht“ auch sonstige Verstöße gegen das Unionsrecht geprüft werden können. Was der EuGH im aktuellen Urteil gefordert hat ist vielmehr ein Rechtsschutzmechanismus für die nationalen unabhängigen Kontrollstellen (Rz. 65), damit diese als staatliche Stellen die Kommissionsentscheidungen überprüfen lassen können. Hier geht es aber um einen nationalen Rechtsbehelf (i.R.d. dann ggf. eine Vorlage erfolgen kann), mit Art. 100 GG hat das m.E. überhaupt nichts zu tun.

  4. Veröffentlicht 7.10.2015 um 13:29 | Permalink

    Gerne diskutiere ich weiter mit Ihnen. Aber bitte nicht (einseitig) anonym.

  5. avatar WHoetzendorfer
    Veröffentlicht 7.10.2015 um 13:53 | Permalink

    Es ist natürlich richtig, der EuGH hat nicht entschieden, dass die USA generell ein “unsicherer Hafen” für die Daten europäischer Bürger ist.
    Aber faktisch setzen auch alle anderen Methoden/Rechtgrundlagen für die Übermittlung von Daten an US-Unternehmen die Daten denselben für grundrechtswidrig befundenen Massenüberwachungsbefugnissen der US-Behörden aus. Man müsste daher z.B. auch betreffend Standardvertragsklauseln letztlich zu dem Ergebnis kommen, dass die Übermittlung nicht zulässig ist, weil sie die Daten der Massenüberwachung aussetzt, der sich die US-Konzerne fügen müssen.
    Im Übrigen hier meine erste Einschätzung: http://blog.ocg.at/2015/10/eugh-erklart-safe-harbor-fur-ungultig/

  6. Veröffentlicht 7.10.2015 um 13:59 | Permalink

    In der Tat kann man den EuGH so verstehen, dass er die anlasslose, massenhafte Überwachung für grundrechtswidrig hält. Dies würde aber nicht nur die von Ihnen angesprochenen Fragen zu den Standardvertragsklauseln aufwerfen, sondern auch die Frage, ob denn nicht die Überwachungspraxis europäischer Dienste gleichfalls gegen Art. 7, 8 und 47 GRCh verstößt.

  7. avatar WHoetzendorfer
    Veröffentlicht 7.10.2015 um 14:27 | Permalink

    Das sehe ich genauso. Es ist allerdings fraglich, ob eine Schiene gefunden werden kann, die die Zuständigkeit des EuGH begründet, wie es Schrems mittelbar mit Safe Harbor gelungen ist.
    Das ist ja aus meiner Sicht ein Paradox des gestrigen Entscheidung: Der EuGH wirkt mittelbar auf die US-Massenüberwachung, hat ab (bisher) keine Möglichkeit, auf die UK-Massenüberwachung etc. zu wirken.

  8. Veröffentlicht 7.10.2015 um 15:37 | Permalink

    Volle Zustimmung!

  9. Veröffentlicht 12.10.2015 um 18:11 | Permalink

    Safe Harbor ist wie richtig dargestellt nur eine „Entscheidung“ der Kommission. Es geht also nicht um Gesetze, Völkerrecht oder internationale Abkommen, sondern um einen Verwaltungsakt, eine „Entscheidung“ des Kabinetts. Daher ist es keine große Anmaßung, wenn der Gerichtshof bei einer Entscheidung eingreift. Die Frage ist hingegen, warum die Kommission ihre Entscheidung nicht früher revidiert hat und außenpolitisch viel zu sensitiv ist. Das Europäische Parlament hat Konsequenzen schon früher angemahnt.

    Die USA sollten jetzt einfach zügig ihre Datenschutzgesetze an die EU-Richtlinie harmonisieren. So wild ist das Delta nicht. Das, was als Rahmengesetzgebung für die EU-28 funktioniert, wird auch für einen weiteren Staat funktionieren. Die rechtlichen Debatten um Safe Harbor II sind dagegen eher Zeitverschwendung.

  10. Veröffentlicht 13.10.2015 um 08:09 | Permalink

    Auch innerhalb Europas gilt das Datenschutzrecht nicht für die (europäischen) Geheimdienste. Solange das so ist, wird man mit dem Datenschutzrecht die Nachrichtendienste nicht zügeln können.

    Warum sollten sich amerikanische Dienste an europäisches Datenschutzrecht halten, wenn dies bie GCHQ, BND etc. nicht der Fall ist?

Schreiben Sie einen Kommentar

Sie müssen sich einloggen um einen Kommentar schreiben zu können.