Nach Ansicht des EuGH-Generalanwalt Bot genügt das Safe Harbor-Abkommen nicht den europäischen datenschutzrechtlichen Regelungen. In der Sache Schrems ./. Irischen Datenschutzbeauftragten (Az.: C-362/14) heißt es dazu in einer <link http: curia.europa.eu jcms upload docs application pdf cp150106de.pdf _blank external-link-new-window>Pressemitteilung:
"Aus den sowohl vom irischen High Court als auch von der Kommission selbst getroffenen Feststellungen ergibt sich nämlich, dass das Recht und die Praxis der Vereinigten Staaten es gestatten, die übermittelten personenbezogenen Daten von Unionsbürgern in großem Umfang zu sammeln, ohne dass sie über einen wirksamen gerichtlichen Rechtsschutz verfügen. Diese Tatsachenfeststellungen belegen, dass die Entscheidung der Kommission keine ausreichenden Garantien enthält. Aufgrund dieses Fehlens von Garantien wurde sie in einer Weise umgesetzt, die nicht den Anforderungen der Richtlinie und der Charta entspricht.
Der Generalanwalt ist ferner der Ansicht, dass der Zugang der amerikanischen Nachrichtendienste zu den übermittelten Daten einen Eingriff in das Recht auf Achtung des Privatlebens und in das Recht auf den Schutz personenbezogener Daten bedeutet. Desgleichen bedeute der Umstand, dass die Unionsbürger keine Möglichkeit haben, zur Frage des Abfangens und der Überwachung ihrer Daten in den Vereinigten Staaten gehört zu werden, einen Eingriff in das von der Charta geschützte Recht der Unionsbürger auf einen wirksamen Rechtsbehelf.
Der Generalanwalt sieht in diesem Eingriff in die Grundrechte einen Verstoß gegen den Grundsatz der Verhältnismäßigkeit, insbesondere weil die von den amerikanischen Nachrichtendiensten ausgeübte Überwachung massiv und nicht zielgerichtet ist. Der Zugang zu personenbezogenen Daten, über den die amerikanischen Nachrichtendienste verfügen, erfasst nämlich in generalisierter Weise alle Personen und alle elektronischen Kommunikationsmittel sowie sämtliche übertragenen Daten (einschließlich des Inhalts der Kommunikationen), ohne jede Differenzierung, Einschränkung oder Ausnahme anhand des im Allgemeininteresse liegenden Ziels, das verfolgt wird. Unter diesen Umständen kann nach Ansicht des Generalanwalts nicht davon ausgegangen werden, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, zumal die Regelung über den sicheren Hafen in der Entscheidung der Kommission keine Garantien enthält, die geeignet sind, einen massiven und generalisierten Zugang zu den übermittelten Daten zu verhindern. Denn keine unabhängige Behörde ist in der Lage, in den Vereinigten Staaten zu kontrollieren, ob staatliche Akteure wie die amerikanischen Sicherheitsdienste gegenüber Unionsbürgern gegen die Grundsätze des Schutzes personenbezogener Daten verstoßen.
Angesichts eines solchen Befunds der Verletzung von Grundrechten der Unionsbürger hätte die Kommission nach Auffassung des Generalanwalts die Anwendung der Entscheidung aussetzen müssen, auch wenn sie derzeit mit den Vereinigten Staaten Verhandlungen führt, um die festgestellten Verstöße abzustellen. Der Generalanwalt weist im Übrigen darauf hin, dass die Kommission gerade deshalb beschlossen hat, Verhandlungen mit den Vereinigten Staaten aufzunehmen, weil sie zuvor zu der Erkenntnis gelangt war, dass das von diesem Drittland im Rahmen der Regelung über den sicheren Hafen gewährleistete Schutzniveau nicht mehr angemessen ist und dass die Entscheidung aus dem Jahr 2000 nicht mehr der tatsächlichen Lage entspricht."
Anmerkung von RA Dr. Bahr:
Derzeit ist die Übermittlung von personenbezogenen Daten in ein außereuropäisches Land nur dann erlaubt, wenn dort ein angemessenes Schutzniveau für die Daten gewährleistet ist. Um nicht jeden Einzelfall langwierig zu prüfen, hat die EU-Kommission im Jahr 2000 das sogenannte Safe Harbor-Abkommen statuiert. Danach sollen alle US-Firmen, die sich zur Teilnahme an dieser Regelung verpflichten, automatisch über ein ausreichendes Datenschutz-Niveau verfügen.
Das Safe Harbor-Abkommen ist immer wieder Gegenstand zahlreicher Kritik, nicht zuletzt deutscher Aufsichtsbehörden. Kritisiert wird vor allem, dass die einzelnen teilnehmenden US-Unternehmen durch die dortigen Behörden kaum oder gar nicht kontrolliert werden.
So hat der Düsseldorfer Kreis bereits im Jahr 2010 <link http: www.bfdi.bund.de shareddocs publikationen entschliessungssammlung duesseldorferkreis _blank external-link-new-window>entschieden, dass ein deutscher Datenexporteur sich nicht auf bloße Erklärungen des Importeurs verlassen dürfe, sondern in einem gewissen Umfang Kontrollpflichten habe.
Noch ist unklar, ob der EuGH der Empfehlung des Generalanwalts folgen wird. Das Gericht ist an die Erklärung nicht gebunden, folgt in der Regel aber dieser.
Sollte das Safe Harbor tatsächlich für nicht ausreichend eingestuft werden, würde damit der Datenaustausch zwischen Europa und den USA zurück ins Mittelalter katapultiert. Der Flurschaden wäre kaum zu überblicken, denn fast alle größeren Internet-Unternehmen nutzen direkt oder indirekt die Datenübermittlung in die USA, so z.B. Google, Facebook oder Amazon.