Nach Österreich hat nun auch die französische Datenschutzbehörde, die Commission Nationale de l’Informatique et des Libertés (CNIL) das Urteil gegen Google Analytics gefällt. Die Übermittlung personenbezogener Daten in die USA sei derzeit nicht ausreichend geregelt. In Ermangelung eines Angemessenheitsbeschlusses für Übermittlungen in die USA kann die Übermittlung von Daten nur dann erfolgen, wenn insbesondere für diesen Datenfluss angemessene Garantien vorgesehen sind.
Die durch Google Analytics getroffenen Maßnahmen reichen laut der CNIL nicht aus, die personenbezogenen Daten vor den US Geheimdiensten zu schützen.
Der Österreicher und Facebook User Herr Schrems war Aufgrund der damaligen Enthüllung von Edward Snowden der Meinung, dass die USA keinen ausreichenden Schutz seiner übermittelten personenbezogenen Daten vor Überwachungstätigkeiten der dortigen Behörden bieten. Die irische Tochtergesellschaft von Facebook übertrug die in den EU – Staaten erhobenen personenbezogenen Daten an die Server in den USA und verarbeitete sie dort weiter. Herr Schrems reichte aufgrund seiner Bedenken bei der irischen Aufsichtsbehörde Beschwerde ein, die sie mit der „Safe-Harbour-Regelung“ der europäischen Kommission vom 26. Juli 2000 ablehnte. Diese beinhaltete eine Reihe von Grundsätzen über den Schutz personenbezogener Daten, denen sich amerikanische Unternehmen freiwillig unterwerfen können.
Der EuGH erklärte die „Safe-Harbour-Regelung“ im Schrems – I-Urteil für ungültig. Sie gelte nur für amerikanische Unternehmen, nicht aber für die Behörden der Vereinigten Staaten. Die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten haben Vorrang vor der Safe-Harbor-Regelung. Die amerikanischen Behörden können auf die personenbezogenen Daten zugreifen und sie in einer Weise verarbeiten, die mit den Zielsetzungen ihrer Übermittlung unvereinbar seien. Des Weiteren sei den Betroffenen der Zugang zu ihren übermittelten Daten unmöglich, d.h. die Rechtmäßigkeit zur berechtigten Verarbeitung zu hinterfragen oder deren Löschung zu erwirken.
Der EuGH erklärt den Privacy Shield-Beschluss 2016/1250 der Europäischen Kommission vom 12. Juli 2016 für ungültig.
Der Zugriff der amerikanischen Behörden auf die aus der EU übermittelten personenbezogenen Daten entspreche nicht den Anforderungen des Unionsrechts, da die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt seien. Der Zugriff ist nicht gleichwertig mit den in der Union geltenden Grundsatz der Verhältnismäßigkeit.
Weiterhin eröffnet laut dem EuGH Urteil der im Privacy Shield festgehaltene Ombudsmechanismus betroffenen Personen nicht die Möglichkeiten, wie es das Unionsrecht vorsieht, d. h. die Unabhängigkeit der Ombudsperson sowie die Ermächtigung der Ombudsperson gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen.
Viele Unternehmen in der EU nutzen Software von US-Anbietern. Die Entscheidungen betreffen diejenigen Software, die personenbezogene Daten verarbeiten. Wir empfehlen die Ruhe zu bewahren und abzuwarten, welche Einigungen hierzu getroffen werden.
