In einer überraschend deutlichen Entscheidung hat der Europäische Gerichtshof am 6. Oktober 2015 die Frage, ob das Schutzniveau für personenbezogene Daten in den USA europäischen Vorgaben entspricht, verneint (Az: C-362/14). Eine Vereinbarung zwischen der europäischen Kommission und den USA aus dem Jahr 2000 („Safe-Habor-Abkommen“), die dieses Schutzniveau bejaht hatte, wurde für ungültig erklärt.
Hintergrund der Entscheidung ist die Klage des österreichischen Datenschutz-Aktivisten Maximilian Schrems gegen den irischen Datenschutzbeauftragten. Dieser hatte unter Verweis auf das Safe-Habor-Abkommen keine Möglichkeit gesehen, die Übermittlung der Facebook-Daten Schrems aus dem europäischen Facebook-Hauptquartier in Dublin auf die Server der Facebook Inc. in Amerika zu unterbinden. Schrems hatte mit Blick auf die Enthüllungen Edward Snowdens angeführt, dass die in den USA gespeicherten personenbezogenen Daten nicht hinreichend vor der Überwachung durch US-Behörden gesichert seien. In einem Vorabentscheidungsverfahren wandte sich der mit dem Fall befasste irische High Court an den EuGH.
Nach Auffassung des EuGH sei es zwar aufgrund der Datenschutzrichtlinie von 1995 Aufgabe der EU-Kommission, zu entscheiden, ob der Datenschutz in einem Drittstaat europäischen Ansprüchen genüge. Die Kommission habe jedoch nicht die Kompetenz, die Befugnisse der nationalen Datenschutzbehörden zu beschränken. Diese müssten das Schutzniveau völlig unabhängig prüfen und gegebenenfalls die Gerichte und diese wiederum wie vorliegend den EuGH zu einer bindenden Entscheidung über die diesbezügliche europäische Regelung anrufen können.
Bei der Beurteilung, inwieweit die USA ein den europäischen Datenschutzgrundrechten entsprechendes Schutzniveau gewährleisten, schlossen sich die Luxemburger Richter den Ausführungen des Generalanwalts an, dass das in der EU-Grundrechts-Charta von 2009 verbürgte Datenschutzrecht aufgrund der bekannt gewordenen flächendeckenden Überprüfung europäischer Daten durch amerikanische Behörden, insbesondere der NSA, nicht gewährleistet sei.
Eine bestehende Selbstverpflichtung amerikanischer Unternehmen sei nur solange verlässlich, solange kein Konflikt mit nationalen US-Interessen bestehe. Dann seien US-Behörden befugt, unverhältnismäßig in Grundrechte europäischer Personen einzugreifen. Die USA seien mithin im Sinne der Datenschutzrichtlinie kein Drittland mit „sicherem Hafen“.
Der EuGH weist somit nicht nur Internet-Riesen wie Facebook, Google oder Amazon sowie mehr als 4.000 weitere US-Unternehmen, die Kundendaten aus Europa in den USA speichern, in die (europäischen) Schranken und stärkt die Rechte nationaler Datenschutzbehörden.
Er schafft zudem Fakten, wo es von Seiten der Politik nach Bekanntwerden des NSA-Skandals seit Ende 2013 nur zu laufenden Neuverhandlungen zum Safe-Habor-Abkommen reichte. Nach den Urteilen zur EU-Richtlinie über die Vorratsdatenspeicherung (April 2014) und zum Recht auf Vergessen gegen Google (Mai 2014) zeigt sich das höchste europäische Gericht somit ein weiteres Mal gewillt, dem europäischen Grundrecht auf Datenschutz effektiv zur Geltung zu verhelfen.