Gestern folgte der Europäische Gerichtshof der Ansicht des Generalanwalts Yves Bot in der Rechtssache C-362/14 (Maximilian Schrems vs Data Protection Commissioner) indem er die Entscheidung der Europäischen Kommission zu "Safe Harbour" für ungültig erklärte. Kurz zusammengefasst, hat der österreichische Student Schrems die Praxis von Facebook, personenbezogene Daten auf Servern in den USA zu speichern und damit der NSA und sonstigen US Geheimdiensten vermeintlich einfacheren Zugang zu diesen Daten zu ermöglichen, auf den Prüfstand gestellt.

Schrems erhob Beschwerde an den Irischen Data Protection Commissioner, da Facebook nur in Irland über eine europäische Niederlassung verfügt. Der Data Protection Commissioner unterzog jedoch die Beschwerde keiner Prüfung da er aufgrund der Safe Harbour-Regelung seine Prüfkompetenz in dieser Sache verneinte. Die Safe Harbour-Regelung basiert auf einer Entscheidung der Europäischen Kommission aus dem Jahr 2000 (Entscheidung 2000/520/EC). In aller Kürze zusammengefasst gilt ein US Unternehmen, welches sich erfolgreich der Safe Harbour-Zertifizierung unterzieht als ein Unternehmen, welches einen dem europäischen Standard gleichwertigen Datenschutzlevel bietet. Die Folge dessen ist, dass Safe Harbour-zertifizierte Unternehmen personenbezogene Daten aus Europa ohne Einschränkungen, wie etwa der Pflicht zur Vorab-Genehmigung durch europäische Datenschutzbehörden, beziehen dürfen. Da Facebook über eine Safe Harbour-Zertifizierung verfügt und somit als ein Unternehmen mit einem adäquaten Datenschutzlevel anzusehen war, verneinte der Data Protection Commissioner im Prinzip seine Kompetenz zur Prüfung der von Facebook vorgenommenen Datenspeicherung in den USA. Infolge eines dagegen von Schrems erhobenen Rechtsmittel wurde schlussendlich der EuGH zur Entscheidung angerufen.

Der EuGH sprach nun aus, dass die Entscheidung der Europäischen Kommission zu Safe Harbour die europäischen Datenschutzbehörden in deren Prüfbefugnissen tatsächlich nicht beschränkt. Der Data Protection Commissioner hat daher die Beschwerde von Herrn Schrems in Behandlung zu nehmen und über deren Berechtigung abzusprechen.

Der interessantere Aspekt der Entscheidung des EuGH geht aber über die Frage der Datenspeicherung von Facebook hinaus: Der EuGH hat die Safe Harbour-Entscheidung per se für ungültig erklärt. Dabei hat der EuGH jedoch keine Aussage zu der Frage getroffen, ob das Safe Harbour-Konzept für sich genommen inadäquat ist. Das Gericht nahm vielmehr an dem Umstand Anstoß, dass Fragen der nationalen Sicherheit der USA, Fragen des öffentlichen Interesses der USA sowie die gesetzlichen Eingriffsbefugnisse der US Behörden gegenüber den Safe Harbour- Prinzipien Vorrang genießen und sich in der Entscheidung der Europäischen Kommission keine Feststellungen zu den Auswirkungen dieses Vorrangs finden lassen. Der EuGH sprach im Wesentlichen aus, dass eine Gleichwertigkeit zum europäischen Datenschutzrecht, welches Eingriffe in den Datenschutz nur im gelindesten Ausmaß und nur unter Gewährleistung eines effektiven Rechtsschutzes zulässt, nicht als gesichert angesehen werden kann, wenn Feststellungen zu der Frage fehlen, ob das Recht des Drittlandes diese Anforderungen erfüllt. In anderen Worten: Der EuGH erklärte die Entscheidung der Europäischen Kommission zu Safe Harbour im Wesentlichen aufgrund unzureichender Sachverhaltsfeststellungen für ungültig.

Damit traf der EuGH keine Aussage zu der Frage, ob das Recht der USA ein dem europäischen Datenschutzlevel adäquates Schutzniveau bietet. Ebenso wenig steht die Entscheidung des EuGH allfälligen Nachverhandlungen oder der Neuverhandlung des Safe Harbour Abkommens im Weg. Vielmehr wird man die Entscheidung des EuGH als eine Richtschnur zu verstehen haben, welche Feststellungen eine Entscheidung der Europäischen Kommission beinhalten muss um zu gewährleisten, dass der Datenschutzlevel in dem zur Prüfung stehenden Drittland tatsächlich zu jenem der Europäischen Union adäquat ist und um nicht zuletzt auch dem EuGH die Prüfung der Konformität dieser Entscheidung zu ermöglichen.

Abseits der dargestellten Überlegungen zu Safe Harbour hat die Entscheidung des EuGH wohl auch Auswirkungen auf die sonstigen rechtlichen Instrumente zum internationalen Datentransfer, wie etwa auf das Konzept der Standardvertragsklauseln. Die Erwägungen des EuGH zu den mangelhaften Entscheidungsfeststellungen könnten nämlich in ähnlicher Weise auch auf die Entscheidungen der Europäischen Kommission zu den Standardvertragsklauseln übertragen werden. Es wird daher mit Interesse abzuwarten sein, wie die europäischen Datenschutzbehörden auf dieses Urteil nicht nur in Bezug auf die Safe Harbour-Regelung, sondern auch hinsichtlich der Verwendung von Standardvertragsklauseln und nicht zuletzt auch von Binding Corporate Rules reagieren werden.