Die digitale Entwicklung hat ein nicht von der Hand zu weisendes wirtschaftlich wertschöpfendes Potential. Der Schutz personenbezogener Daten ist daneben ein abwehrrechtlicher Aspekt, der die Rechte der Unionsbürger vor Eingriffen bewahrt. In jüngster Zeit hat sich der Europäische Gerichtshof diesem Grundrechtsbereich in ganz besonderer Weise angenommen und sich so erneut als „Motor der europäischen Integration“ erwiesen. Einen Meilenstein hierfür bildet das Urteil Schrems. Mit seiner Rechtsprechung hat der Gerichtshof so den Weg der europäischen Legislative vorgeprägt, der nun über eine Datenschutz-Grundverordnung führen soll.
Kein sicherer Hafen für europäische Daten in den USA
Nachdem der Datenmissbrauch durch Nachrichtendienste in den USA öffentlich wurde, entschied der Europäische Gerichtshof (EuGH) am 6. Oktober 2015 in seinem sogenannten Safe-Harbor-Urteil (C-362/14 – Schrems), dass die USA keinen „sicheren Hafen“ für Daten darstellen. Die europäische Facebook-Tochtergesellschaft mit Sitz in Irland darf zukünftig keine Daten von Unionsbürgern an ihren Mutterkonzern in den Vereinigten Staaten senden, um sie dort auf Servern zu speichern. Die Entscheidung war aufgrund der EU-Datenschutzrichtlinie (RL 95/46/EG, im Folgenden DS-RL) und der Entscheidung 2000/520 der Europäischen Kommission getroffen worden, welche den USA ein dem europäischen Standard Genüge tuendes Datenschutzniveau attestiert hatte. In dem Vorlageverfahren vor dem EuGH ging es vor allem um die Frage, ob nationale Datenschutzbehörden an diese Einschätzung der Kommission über den Datenschutz in Drittländern gebunden sind. Hierzu stellte der EuGH fest, dass
- eine Schutzniveau-Entscheidung der Kommission grundsätzlich nicht nationale Kontrollstellen an der eigenen Prüfung des Datenschutzniveaus in einem Drittland hindert, und dass
- die konkrete Entscheidung 2000/520 der Kommission zum Schutzniveau in den USA gegen die Gewährleistungen der Grundrechtecharta der EU verstößt und damit ungültig ist.
Damit stärkt der EuGH einerseits die Befugnisse der nationalen Datenschutzstellen und folgt dem Konzept des Unionsrechts, nach dem für den Vollzug des Unionsrechts grundsätzlich die Mitgliedstaaten verantwortlich sind. Gleichzeitig zeigt er aber auch, welche Vorgaben dabei die Grundrechtecharta macht und misst dem Recht auf Achtung des Privat- und Familienlebens (Art. 7 GRCh) und dem Schutz personenbezogener Daten (Art. 8 GRCh) besondere Bedeutung bei.
Der Weg zur Datenschutz-Union
Das Urteil ist ein Meilenstein auf dem Weg, der sich schon seit Längerem, spätestens jedoch seit letztem Jahr abzeichnet. Am 08. April 2014 hat der EuGH die umstrittene Vorratsdatenspeicherungs-Richtlinie, deren Umsetzung Deutschland nach dem Urteil des Bundesverfassungsgerichts schuldig geblieben war, für ungültig erklärt (C-293/12 – Digital Rights Ireland). Dabei wurden vor allem inhaltliche Konturen der datenschutzrelevanten Grundrechte der EU gezogen. Insbesondere fehlten für eine verhältnismäßige Regelung der Vorratsdatenspeicherung objektive Kriterien, die den Eingriff in die Datenschutzrechte der betroffenen Bürger auf das Notwendige beschränkten. Nur einen Monat später kam dann das Urteil Google (EuGH, Urt. v. 13.4.14, C-131/12), durch welches der Gerichtshof den Suchmaschinenbetreiber datenschutzrechtlich für das Löschen von Links unter den Suchergebnissen zu von Dritten rechtmäßig veröffentlichten Internetseiten verantwortlich machte. Diese Löschpflicht besteht, obwohl das Unternehmen seinen Hauptsitz im EU-Ausland hat. Hierfür ist gemeinhin die Bezeichnung eines neuen „Rechts auf Vergessenwerden“ aufgekommen. Schließlich versteht auch das Urteil Weltimmo (EuGH, Urt. v. 1.10.15, C-230/14) den Anwendungsbereich des jeweiligen nationalen Datenschutzrechts, welches in Umsetzung der DS-RL ergangen ist, und damit letztlich auch die Geltung der Grundrechtecharta räumlich weit. Es bekräftigt den Ansatz, Datenschutz auf nationalstaatlicher Ebene zu vollziehen.
In der Rechtsprechung des Gerichtshofs sind demnach drei Tendenzen festzustellen. Erstens werden der in der Grundrechtecharta verorteten Achtung des Privat- und Familienlebens (Art. 7 GRCh) und dem Schutz personenbezogener Daten (Art. 8 GRCh) – wobei Letzterer von besonderer Bedeutung für Erstere ist (Digital Rights Ireland, Rn.53) – in ihrer Konturierung und Abwägung mit anderen Belangen (etwa dem öffentlichen Informationsinteresse oder der Kriminalitätsbekämpfung) besonders hohe Bedeutung beigemessen. Bemerkenswert ist auch, dass der Gerichtshof beim Urteil Schrems sogar den Wesensgehalt der Grundrechte verletzt sieht. Zweitens wird der räumliche Anwendungsbereich dieser Grundrechte denkbar weit gefasst, sodass ein faktisch weltweiter Schutz der Daten von Unionsbürgern besteht, der eben nicht durch Verlagerung des Verarbeitungsprozesses oder der Speicherung ins Ausland umgangen werden kann. Und drittens favorisiert der EuGH für die Durchsetzung des Datenschutzes eine dezentrale Verantwortung bei den nationalen Kontrollbehörden, die den Datenschutz unabhängig von Einschätzungen der Europäischen Kommission gewährleisten sollen.
Der EuGH als Motor des europäischen Datenschutzes
Der EuGH nimmt insgesamt – auch in Bereichen außerhalb des Datenschutzes – eine integrative Rolle in Bezug auf die EU-Grundrechte ein. Nach eigener Logik hätte er es im Fall Schrems sogar bei der Feststellung, dass nationale Behörden sich in eigener Prüfung über die Entscheidung der Kommission hinwegsetzen dürfen, belassen können, ohne die Entscheidung 2000/520 (Safe-Harbor USA) zu verwerfen. Schon die Kommission hat in einer Mitteilung vom 27. November 2013 an das Europäische Parlament selbst folgenden Befund gemacht: „Angesichts der festgestellten Schwachstellen kann das Safe-Harbor-System nicht wie bisher fortgeführt werden. Seine Aufhebung würde allerdings den Interessen der beteiligten Unternehmen in der EU und in den USA schaden.“ Die Kommission sei daher der Auffassung, dass das Safe-Harbor-System eher gestärkt werden solle und wolle „mit den US-Behörden unverzüglich Gespräche über die festgestellten Mängel aufnehmen.“ Genau diese Stelle zitiert der EuGH (Rn. 90), um anschließend nicht etwa eine mögliche Übergangspraxis aufzuzeigen, sondern die Entscheidung 2000/520 im Ganzen für von Anfang an ungültig zu erklären. Damit setzt er sich einerseits dem Vorwurf aus, sich unter Missachtung wirtschaftlicher Realitäten in (aktuelle) politische Verhandlungen einzumischen, zu deren Beeinflussung er nicht demokratisch legitimiert ist (vgl. etwa hier und hier). Andererseits stärkt er den Grundrechtsschutz im Interesse der Unionsbürger, den die Kommission sehenden Auges vorübergehend wirtschaftlichen Erwägungen untergeordnet hatte.
Schon zu Beginn der Geschichte europäischen Verfassungsrechts war es der EuGH, der als „Motor der Integration“ einen ernstzunehmenden europäischen Grundrechtsschutz aus den Verfassungen der Mitgliedstaaten erschuf, ohne den der Vorrang des Unionsrechts nie hätte durchgesetzt werden können (hierfür grundlegend das Urteil Stauder). Im Bereich des Datenschutzes scheint er ein neues Betätigungsfeld gefunden zu haben. Er verleiht der Union als Rechtsgemeinschaft damit einen neuen Charakterzug. Aber dass die offensive Betätigung des EuGH im Kontext internationaler wirtschaftlicher Realitäten problematisch werden könnte, wird schon dadurch deutlich, dass die sensible Frage nach Datenschutzstandards laut Europäischer Kommission (vgl. etwa hier) nicht Gegenstand der TTIP-Verhandlungen sein soll, sondern allenfalls im nicht ganz so populären Trade in Service Agreement (TISA) verhandelt wird (vgl. hier). Welche Rückwirkungen die verbindlichen datenschutzrechtlichen Vorgaben dieser progressiven Judikative auf die wirtschaftliche Realität der Europäischen Union haben, wird Christopher Cosler noch in dieser Blog-Post-Reihe analysieren.
Die europäische Legislative am Zug
Als der EuGH es selbst in die Hand nahm, einen Grundrechtsschutz zu schaffen, der den Anforderungen des Bundesverfassungsgerichts genüge tat, war dies auch als Appell zu verstehen: Grundrechte zu schaffen ist vornehmliche Aufgabe der demokratisch legitimierten Legislative. Dieses Mal scheint der europäische Gesetzgeber dem Aufruf nachzukommen. Mit der Verabschiedung einer neuen Datenschutz-Grundverordnung noch vor Weihnachten soll endlich die als veraltet geltende DS-RL von 1995 ersetzt und die Datenschutzrichtlinie für elektronische Kommunikation überarbeitet werden. In Fortentwicklung dieses nur rudimentär ausgestalteten Sekundärrechts sollen mittels einer Verordnung nun detaillierte Regelungen gefunden werden, bei denen den Mitgliedstaaten auch kein Gestaltungsspielraum mehr bleibt. Dabei werden die europäischen Organe die Erkenntnisse, die der EuGH in seinen Urteilen aus dem Primärrecht herausgearbeitet hat, zu beachten haben. Insbesondere die strengen Anforderungen an eine Vorratsdatenspeicherung und das Prinzip der Zweckbindung von Daten, welches schon in der alten Richtlinie angelegt war, bilden äußere Grenzen bei den Verhandlungen. Dass im Gegensatz zur ehemaligen Richtlinie nun die Handlungsform der Verordnung gewählt wird, deutet darauf hin, dass die unterschiedlichen Umsetzungsgesetze in den Mitgliedstaaten dem Ziel eines einheitlichen Datenschutzes bisher nicht gerecht geworden sind. Paul-Jasper Dittrich wird im folgenden Blog Post in unserer Reihe die bisherigen Verhandlungsergebnisse zur Datenschutz-Grundverordnung analysieren.
Paul-Jasper Dittrich ist Referent beim Bundesministerium für Verkehr und digitale Infrastruktur, zuvor arbeitete er für das Jacques Delors Centre.