Zum Urteil des EuGH in der Rechtssache C-362/14 vom 6. Oktober 2015, Maximilian Schrems vs. Data Protection Commissioner

Der EuGH erklärte die Entscheidung der Europäischen Kommission für ungültig, welche das US-ame-rikanische Recht aufgrund des Safe-Harbor-Abkommens als angemessen anerkannt und dadurch eine Grundlage für die Datenübermittlung an zertifizierte US-amerikanische Unternehmen geschaffen hatte. Die Safe-Harbor-Zertifizierung eines US-Unternehmens kann daher keine Datentransfers aus Europa zu diesem Unternehmen mehr legitimieren. Nicht abschliessend klar ist aber, ob andere Grundlagen, die in der europäischen Datenschutz-Richtlinie vorgesehen sind, weiterhin Datentrans-fers in die USA rechtfertigen können. Ob der Nachfolger des Safe-Harbor-Abkommens, der «EU-US Privacy Shield», die vom EuGH aufgezeigten Mängel des Safe-Harbor-Abkommens beseitigen kann, ist heute ebenfalls noch offen. Dieser Bericht fasst das Urteil des EuGH zusammen und nimmt zu des-sen Folgen, die auch die Schweiz betreffen, Stellung.

La décision de la Commission européenne qui considérait que le droit américain était adapté au vu de l'accord relatif au Safe Harbor et qu'il constituait ainsi une base pour la transmission de données à des entreprises américaines certifiées a été invalidée par la CJUE. La certification Safe Harbor d'une entreprise américaine ne peut donc plus légitimer le transfert de données à une telle entreprise depuis l'Europe. Il n'est toutefois pas établi de façon définitive si d'autres bases légales prévues dans la di-rective européenne sur la protection des données peuvent encore justifier le transfert de données aux États-Unis: La question de savoir si le successeur de l'Accord Safe Harbor, le «EU-US Privacy Shield», pourra remédier aux manquements relevés par la CJUE demeure également ouverte à ce jour. La présente contribution résume la décision de la CJUE et prend position sur les conséquences qu'elle pourra avoir, également en Suisse.

I. Ausgangslage

1. Europäisches Datenschutzrecht

Das europäische Datenschutzrecht will ein hohes Datenschutzniveau gewährleisten. Bei der Bearbei-tung personenbezogener Daten müssen die Grundrechte und -freiheiten gewährleistet sein, insbeson-dere das Recht auf Privatsphäre1. Dies verlangt bei einer grenzüberschreitenden Bekanntgabe von Personendaten an einen Empfänger ausserhalb der EU, dass das Recht des Empfängerstaats ein an-gemessenes Datenschutzniveau gewährleistet2. Fehlt ein solcher Schutz, ist die Bekanntgabe des-halb verboten, sofern nicht mindestens eine der in der Richtlinie vorgesehenen Ausnahmen erfüllt ist3.

Ob das Schutzniveau des Empfängerstaats angemessen ist, ist dabei unter Berücksichtigung aller re-levanten Umstände festzustellen4. Die Kommission kann mit Drittländern ohne angemessenem Schutzniveau sodann Verhandlungen aufnehmen, um diese dazu zu bewegen, durch internationale Verpflichtungen ein angemessenes Schutzniveau zu erreichen5. Sodann kann die Kommission fest-stellen, dass ein Drittland aufgrund von innerstaatlichen Rechtsvorschriften oder von internationalen Verpflichtungen über ein angemessenes Schutzniveau verfügt6.

2. Safe Harbor

Das US-Handelsministerium hat am 21. Juli 2000 – nach entsprechenden Verhandlungen mit der Kommission – «Grundsätze des sicheren Hafens» und zugehörige «häufig gestellte Fragen (FAQ)» vorgelegt. Diese Grundsätze und FAQ enthalten Datenschutzbestimmungen, denen sich US-Unter-nehmen freiwillig unterstellen konnten. Mit Entscheidung 2000/5207 hat die Kommission anerkannt, dass diese Regeln im Verbund mit der entsprechenden Selbstverpflichtung der Unternehmen ein an-gemessenes Datenschutzniveau gewährleisten (Angemessenheit aufgrund der internationalen Ver-pflichtungen des sogenannten Safe-Harbor-Abkommens). Infolgedessen durften personenbezogene Daten aus der EU an US-amerikanische Unternehmen weitergeleitet werden, welche sich den Safe-Harbor-Grundsätzen unterstellt hatten, ohne dadurch europäisches Datenschutzrecht zu verletzen (deshalb «Safe Harbor»).

II. Das Urteil des EuGH i.S. Schrems vom 6. Oktober 2015

1. Ausgangslage und Prozessverlauf

Maximilian Schrems, ein österreichischer Staatsbürger und bekannter Datenschutzaktivist8, ist seit 2008 Nutzer von Facebook. Durch die Eröffnung des Facebook-Nutzerkontos ging er – wie alle euro-päischen Nutzer – einen Vertrag mit Facebook Ireland ein, einer europäischen Tochtergesellschaft von Facebook, Inc., mit Sitz in Kalifornien. Ein Teil der Infrastruktur von Facebook befindet sich jedoch in den USA. Facebook Ireland übermittelt deshalb Personendaten an Facebook, Inc. Diese Übermitt-lung stützte sich auf die Safe-Harbor-Zertifizierung von Facebook, Inc.9.

To view the full article please click http://www.froriep.com/upload/prj/publication/DavidVasella_aussafeharborwirdprivacyshield.pdf here.

* Iris Sidler – Rechtsanwältin, Aarau.

** David Vasella - Dr. iur., Rechtsanwalt, Zürich.

Footnotes

1 E. 3 des hier besprochenen Urteils des EuGH vom 6. Oktober 2015, Rechtssache C-362/14, nachfolgend «Urteil», sowie Er-wägungsgründe 3 und 7 der Richtlinie 95/46 vom 24. Oktober 1995, nachfolgend «Richtlinie».

2 Art. 25 Abs. 1 der Richtlinie; E. 3 des Urteils; Erwägungsgrund 56 der Richtlinie; so auch Art. 41 Abs. 1 des Entwurfs der Da-tenschutz-Grundverordnung vom 25. Januar 2012, 2012/0011 (COD); vgl. dazu auch E. SCHWEIGHOFER, Die neue EU-Daten-schutz-Grundverordnung: Entstehung und Überblick, Jusletter IT Flash vom 21. Januar 2016.

3 Die Ausnahmen sind in Art. 26 der Richtlinie festgehalten und betreffen insbesondere die Einwilligung (Art. 26 Abs. 1 lit. a der Richtlinie), den Abschluss oder die Abwicklung eines Vertrags, die Abwehr oder Durchsetzung von Rechtsansprüchen im Ausland, die Konzerndatenschutzregeln (Art. 26 Abs. 2 f. der Richtlinie) sowie die Datenübermittlungsvereinbarung, z.B. ge-mäss den EU-Standardvertragsklauseln (Art. 26 Abs. 4 der Richtlinie und Beschluss der Kommission vom 5. Februar 2010, [2010/87/EU], Amtsblatt der Europäischen Union L 39 vom 12. Februar 2010, 5 ff.). Die Schweiz kennt eine vergleichbare Regelung in Art. 6 DSG.

4 Insbesondere der Art und der Zweckbestimmung der Daten, der Dauer der Aufbewahrung und Verarbeitung der Daten sowie des rechtlichen Rahmens, der sich aus nationalem Recht oder internationalen Abkommen ergibt, und der Standesregeln und Sicherheitsmassnahmen im Bestimmungsland, vgl. Art. 25 Abs. 2 und 6 der Richtlinie.

5 Art. 25 Abs. 5 und Abs. 6 der Richtlinie.

6 Art. 25 Abs. 6 der Richtlinie.

7 Entscheidung der Kommission vom 26. Juli 2000 (2000/520/EG).

8 Siehe dessen Kampagne auf www.europe-v-facebook.org (Februar 2016) sowie < "http://en.wikipedia.org/wiki/">en.wikipedia.org/wiki/Max_Schremstarg; im Unterschied zu diesen zwei Verweisen wird im Urteil «Maximillian mit zwei «l» geschrieben, hier zitieren wir Maximilian Sch-rems so, wie er sich selber nennt.

9 Siehe E. 26 ff. des Urteils.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.