New Technologies

Austria: The ECJ Safe Harbour Ruling

In the ECJ Case C-362/14 (Maximillian Schrems vs Data Protection Commissioner) the European Court of Justice (“ECJ“) has declared the Commission’s US Safe Harbour Decision invalid.

Facts

In brief, Schrems, an Austrian law student, challenged Facebook’s practice of storing personal data on US-based servers, a practice that allegedly allows the National Security Agency (“NSA“), or similar US intelligence organisations, to have easy access to the personal data of EU citizens.

Schrems had filed a complaint with the Irish Data Protection Commissioner (“IDPC“) since Facebook has its European presence in Ireland. The IDPC, however, dismissed Schrems’ complaint on the grounds that the “Safe Harbour” scheme prevents the IDPC from evaluating whether the complaint was reasonably justified. The decision on “Safe Harbour”, which was released by the European Commission (“EC“) in 2000 (Decision 2000/520/EC), basically states that a US-based company that has successfully completed a “Safe Harbour” self-certification procedure is deemed to ensure a data protection level that is adequate to meet European requirements. As a consequence, Safe Harbour-certified US companies are allowed to receive personal data from European companies (or individuals) without further restrictions, such as the need to obtain approvals from European data protection authorities. Since Facebook is a Safe Harbour-certified company, and thus allegedly ensures an adequate level of data protection consistent with EU requirements, the IDPC claimed that the legitimacy of storing Facebook data in the US could not be assessed under national Irish data protection law. Schrems challenged this ruling in Ireland’s High Court and the case ultimately ended up before the European Court of Justice (“ECJ“), the EU’s highest court.

The ruling

The ECJ has now ruled that the existence of an EC decision on a third-country data protection adequacy level does not prevent national supervisory authorities from exercising their examination obligations. According to the Court’s ruling, the IDPC is therefore required to examine Mr Schrems’ complaint and to decide on the legitimacy of Facebook’s transferring of data to the US.

The most interesting element of the ECJ’s ruling, however, goes beyond the matter of Facebook’s data transfers: The ECJ has ruled that the “Safe Harbour” scheme is invalid. However, in doing so, the Court refrained from making a statement on the adequacy of the “Safe Harbour” scheme in and of itself. Rather, the ECJ took a critical view of the fact that US national security, public interests and law enforcement entitlements have primacy over the Safe Harbour principles, and that the EC’s decision on Safe Harbour did not contain any findings on the consequences arising from this primacy. In essence, the Court reasoned that adequacy with European data protection law, which requires any interference with the protection of personal data to be performed in a limited and proportional manner, and which asks for effective judicial protection, cannot be ensured if there are no findings on the question of whether the third country’s law complies with these requirements. In other words: The ECJ declared the EC’s Safe Harbour decision invalid due to the decision’s incomplete findings.

Impact of the ruling

In assuming this stance, the ECJ did not really make a statement on whether US domestic law is adequate. Nor has the ECJ introduced obstructions to potential negotiations of a new Safe Harbour agreement. Rather, the Court’s ruling gives guidance on the findings required for a new EC decision in order to sufficiently “ensure” that the third country’s data protection level is adequate and – no less important – to give the ECJ the opportunity to examine the accuracy of such a new decision.

Currently, US companies try to remediate their (now invalid) Safe Harbor registrations by implementing standard contractual clauses. Whether or not this proves to be an adequate solution will have to be seen since the ECJ’s considerations on improper findings in the EC “Safe Harbor” Decision by and large apply likewise to the EC Decisions on standard contractual clauses. Another, although admittedly innovative, approach might be to reconsider the nature of international data transfers right from scratch. As pointed out in the “Data Under Control” Article in this Roadmap, it might turn out in multiple scenarios that data that is transferred out of Austria and, ultimately out of Europe, is by way of strict legal interpretation not transferred by an Austrian data controller to a non-European located data controller but is rather “directly” collected by the non-European located data controller. This view ultimately would lead to an overall non-applicability of those data transfer regulations that are now under critical consideration.

No matter which way “Safe Harbour” goes: The concept of international data transfers will now have to be reconsidered right from scratch.

Österreich: Die Safe Harbour Entscheidung

Der Europäischen Gerichtshof (EuGH) hat in der Rechtssache C-362/14 (Maximilian Schrems vs Data Protection Commissioner) das Safe Harbour-Abkommen für ungültig erklärt.

Fakten

Maximilian Schrems, ein österreichischer Jus-Student, stellte die Praxis von Facebook in Frage, personenbezogene Daten auf US-amerikanischen Servern zu speichern und vermeintlich der National Security Agency (“NSA“) oder anderen US Geheimdienstorganisationen dadurch relativ einfachen Zugriff auf personenbezogene Daten von Unionsbürgern zu ermöglichen.

Schrems reichte eine Beschwerde beim Irischen Data Protection Commissioner (“IDPC“) ein, weil Facebook in Irland seine europäische Niederlassung hat. Der IDPC wies die Beschwerde jedoch mit der Begründung ab, dass das Safe Harbour-Abkommen dem IDPC eine Prüfung der Beschwerde verwehre. Das Safe Harbour-Abkommen, welches von der EU-Kommission im Jahr 2000 beschlossen wurde (Entscheidung 2000/520/EC) fingiert, dass Unternehmen, welche ihren Sitz in den USA haben und sich erfolgreich dem “Safe Harbour” Prozess der Selbstzertifizierung unterziehen, dem europäischen Datenschutzniveau entsprechen. Die Konsequenz dessen war, dass Safe Harbour zertifizierte US-Unternehmen personenbezogene Daten von europäischen Unternehmen (oder Individuen) ohne Restriktionen, wie etwa Genehmigungen der europäischen Datenschutzbehörden, erhalten dürfen. Weil Facebook als ein Safe Harbour-zertifiziertes Unternehmen diese Fiktion der Gleichwertigkeit zum europäischen Datenschutzniveau für sich beanspruchen konnte sah es der IDPC für nicht zulässig an, die Legitimität des Speicherns der Daten von Facebook in den USA nach dem irischen Datenschutzrecht zu beurteilen. Schrems berief gegen diese Entscheidung an den Irischen High Court, welcher letztlich den Europäischen Gerichtshof (“EuGH“) im Weg der Verfahrensvorlage befasste.

Die Entscheidung

Der EuGH sprach zunächst aus, dass das Bestehen einer Kommissionsentscheidung zur datenschutzrechtlichen Adäquanz von Drittstaaten die nationalen Datenschutzbehörden nicht an der Ausübung ihrer Kontrollbefugnisse hindere. Dementsprechend wäre der IDPC befugt gewesen über die Beschwerde von Maximilian Schrems abzusprechen und über die Legitimität der Datenspeicherung von Facebook in den USA zu urteilen.

Der interessantere Teil der EuGH-Entscheidung geht jedoch über die Frage der Datenspeicherung von Facebook hinaus. So hat der EuGH generell das Safe Harbour Abkommen für ungültig erklärt. Hierbei hat der EuGH jedoch von Aussagen zur Adäquanz des Safe Harbour Konzepts an sich Abstand genommen. Vielmehr hat der EuGH im Wesentlichen Anstoß daran genommen, dass die US Rechtsordnung im Interesse der nationalen Sicherheit, aufgrund von öffentlichen Interessen und zur Rechtsdurchsetzung Vorrang gegenüber den Safe Harbour-Prinzipien genießt und dass die Kommissionsentscheidung zu Safe Harbour keine Feststellungen zu diesem Anwendungsvorrang des US Rechts beinhaltet. Im Wesentlichen hielt der EuGH fest, dass eine Gleichwertigkeit zum europäischen Datenschutzrecht, welchem die Prinzipien des gelindesten Mittels und der Verhältnismäßigkeit inhärent sind und das nach einem effektiven Rechtsschutz verlangt, nicht sichergestellt ist wenn Feststellungen zu der Frage fehlen, ob das Recht eines Drittstaates mit diesen Vorgaben im Einklang steht. Man kann es auch anders ausdrücken: Der EuGH erklärte das Safe Harbour- Abkommen wegen unzureichender Sachverhaltsfeststellungen für ungültig.

Auswirkungen der EuGH-Entscheidung

Indem sich der EuGH jeglicher Aussage enthielt, ob das US Recht tatsächlich gleichwertig zum europäischen Datenschutzrecht ist, hat er dem Grunde nach einer Neuverhandlung des Safe Harbour Agreements keine Hindernisse in den Weg gelegt. Vielmehr sollte das Erkenntnis des EuGH als eine Anleitung verstanden werden, welche Feststellungen in einer neuerlichen Kommissionsentscheidung zu “Safe Harbour” enthalten sein müssen um die Gleichwertigkeit des Drittlands (hier: der USA) zum europäischen Datenschutzrecht sicherstellen zu können und um schlussendlich auch dem EuGH selbst die Möglichkeit zu bieten, die unionsrechtliche Konformität dieser Kommissionsentscheidung prüfen zu können.

Aktuell versuchen US-amerikanische Unternehmen ihre (nun ungültige) Safe Harbour-Zertifizierung durch Standardvertragsklauseln zu ersetzen. Ob dies ein taugliches Sanierungskonzept ist bleibt abzuwarten, denn die zu Safe Harbour getätigten Erwägungen des EuGH hinsichtlich der unzureichenden Feststellungen greifen gleichermaßen auch bei den Kommissionsentscheidungen zu den Standardvertragsklauseln. Ein anderer (und auch innovativerer) Ansatz könnte in einer grundsätzlichen Neubeurteilung des Konzepts der internationalen Datenübermittlungen liegen. Wie im Artikel “ Daten unter Kontrolle ” dieser Roadmap dargelegt, sind viele Szenarien des internationalen Datentransfers weniger als ein Datentransfer eines europäischen Unternehmens an ein nicht in Europa ansässiges Unternehmen zu begreifen sondern vielmehr als eine originäre Datenermittlung und Datenverarbeitung durch das nicht europäische Unternehmen selbst. Eine solche Lesart würde nicht zuletzt die Anwendung jener Adäquanzregelungen zu internationalen Datentransfers obsolet machen, die derzeit unter Kritik stehen.

Unabhängig davon, in welche Richtung sich “Safe Harbour” entwickelt: Das Konzept der internationalen Datenübermittlungen sollte von Grund auf neu überdacht werden.