Seit dem Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) ist zu prüfen, ob bei Datenübertragungen in Drittstaaten auf Grundlage der EU-Standardvertragsklauseln zusätzliche Schutzmaßnahmen erforderlich sind (wir berichteten). Im Rahmen der Prüfung der Erforderlichkeit dieser Maßnahmen, ist auch eine Prüfung der örtlichen Rechtslage vorzunehmen. Der Europäische Datenschutzausschuss hat am 10.11.2020 eine Empfehlung herausgegeben, welche Anforderungen die Rechtordnung in den betreffenden Drittländern erfüllen sollte.
I. Grundsätzlich zu Eingriffen in das Recht auf Privatsphäre und Datenschutz
Nach Ansicht des EuGH erfordert der Schutz des Rechts auf Privatsphäre, dass Ausnahmen und Einschränkungen des Rechts auf Datenschutz „insoweit gelten müssen, als dies unbedingt erforderlich ist„. Darüber hinaus muss das im Interesse der Allgemeinheit liegende Ziel mit den von der Maßnahme betroffenen Grundrechten in Einklang gebracht werden, „indem ein angemessenes Gleichgewicht zwischen diesem Ziel und den fraglichen Rechten hergestellt wird„.
Folglich dürfen der Zugang zu personenbezogenen Daten sowie deren Speicherung und Weiterverwendung durch Behörden im Rahmen von Überwachungsmaßnahmen die Grenzen des im Lichte der Charta der Grundrechte der Europäischen Union (GRCh) zu betrachtenden unbedingt notwendigen Maßes nicht überschreiten, da sie sonst „in einer demokratischen Gesellschaft nicht als gerechtfertigt angesehen werden können„.
II. Rechtliche Anforderungen
Im Einklang mit der Rechtsprechung, ist der Europäische Datenschutzausschuss der Auffassung, dass sich die rechtlichen Anforderungen für Einschränkungen der Rechte auf Datenschutz und Privatsphäre an den betroffenen europäischen wesentlichen Garantien orientieren müssen. Diese sollten nicht unabhängig voneinander bewertet werden, da sie eng miteinander verknüpft sind. Vor diesem Hintergrund ergeben sich folgende Anforderungen an die Rechtsordnung in den betreffenden Drittstaaten:
1. Die Verarbeitung sollte auf klaren, präzisen und allgemein zugänglichen Regeln basieren
Die Rechtsgrundlage für derartige Eingriffe muss klare und präzise Regeln für den Anwendungsbereich und die Anwendung der betreffenden Maßnahme sowie Mindestgarantien enthalten. Darüber hinaus muss die Gesetzgebung nach innerstaatlichem Recht rechtsverbindlich sein. Entscheidend ist insbesondere, ob das innerstaatliche Recht von Einzelpersonen vor Gericht geltend gemacht werden kann, d.h., ob die den betroffenen Personen gewährten Rechte einklagbar sind.
Darüber hinaus muss anwendbare Recht angeben, unter welchen Umständen und unter welchen Bedingungen eine Maßnahme, die die Verarbeitung solcher Daten vorsieht, getroffen werden kann. Außerdem muss die Rechtsgrundlage, die den Eingriff in diese Rechte erlaubt, selbst den Umfang der Einschränkung der Ausübung des betreffenden Rechts definieren. Auch der EGMR hat klargestellt, dass die Rechtsgrundlage zumindest eine Definition der Kategorien von Personen, die überwacht werden könnten, eine Begrenzung der Dauer der Maßnahme, das Verfahren zur Prüfung, Verwendung und Speicherung der erhaltenen Daten sowie die Sicherheitsvorkehrungen, die bei der Übermittlung der Daten an andere Parteien zu treffen sind, enthalten sollte.
Schließlich muss der Eingriff in seiner Wirkung für den Einzelnen vorhersehbar sein, um ihm einen angemessenen und wirksamen Schutz gegen willkürliche Eingriffe und die Gefahr des Missbrauchs zu bieten. Vor diesem Hintergrund muss die Verarbeitung auf einer präzisen, klaren, aber auch zugänglichen (d.h. öffentlichen) Rechtsgrundlage beruhen. Dies bedeutet nach Ansicht des EGMR nicht, dass eine Person in der Lage sein muss, vorauszusehen, wann die Behörden wahrscheinlich seine Kommunikation abhören werden, damit er sein Verhalten entsprechend anpassen kann. Vielmehr muss den Bürgern ein angemessener Eindruck vermittelt werden, unter welchen Umständen und unter welchen Bedingungen die Behörden befugt sind, auf solche Maßnahmen zurückzugreifen.
2. Notwendigkeit und Verhältnismäßigkeit müssen dargelegt werden
Ob ein Eingriff in die garantierten Rechte zulässig ist, hängt sowohl von der Schwere des Eingriffs, als auch von der Frage ab, ob die Bedeutung des damit verfolgten Ziels des Allgemeinwohls damit in einem angemessenen Verhältnis steht.
In der Vergangenheit hat der EuGH bereits entschieden, dass das Ziel der Wahrung der nationalen Sicherheit aufgrund seiner Bedeutung im Gegensatz zu anderen Zielen (z.B. die Bekämpfung der Kriminalität) auch Maßnahmen rechtfertigen kann, die vergleichsweise schwerwiegende Eingriffe in die Grundrechte nach sich ziehen. Dies soll jedoch nur dann der Fall sein, wenn es hinreichend solide Gründe für die Annahme gibt, dass der betreffende Staat mit einer schwerwiegenden Bedrohung der nationalen Sicherheit konfrontiert ist, die nachweislich eine tatsächliche und gegenwärtige oder vorhersehbare Gefahr darstellt.
Vor diesem Hintergrund dürfen Ausnahmen und Einschränkungen des Schutzes personenbezogener Daten nur insoweit gelten, als dies unbedingt erforderlich ist. Die betreffenden Rechtsvorschriften müssen somit auch Mindestgarantien vorsehen, damit die Personen, deren Daten übermittelt wurden, ausreichende Garantien haben, um ihre personenbezogenen Daten wirksam vor der Gefahr des Missbrauchs zu schützen. Insbesondere muss angegeben werden, unter welchen Umständen und unter welchen Bedingungen eine Maßnahme, die die Verarbeitung solcher Daten vorsieht, getroffen werden kann, um sicherzustellen, dass der Eingriff auf das unbedingt notwendige Maß beschränkt wird. Der Bedarf an solchen Schutzmaßnahmen ist dabei umso größer, wenn personenbezogene Daten automatisiert verarbeitet werden. Eine Rechtsgrundlage, die einen Eingriff in die Grundrechte zulässt, muss selbst den Umfang der Einschränkung der Ausübung des betreffenden Rechts definieren, um den Erfordernissen des Grundsatzes der Verhältnismäßigkeit zu genügen.
Was den Grundsatz der Notwendigkeit betrifft, so hat der EuGH klargestellt, dass die Rechtsvorschriften, die keine Differenzierung, Einschränkung oder Ausnahme im Hinblick auf den verfolgten Zweck und keine Festlegung eines objektiven Kriteriums erfolgt, anhand dessen die Grenzen des Zugangs der Behörden zu den Daten und ihrer anschließenden Verwendung für spezifische, streng begrenzte Zwecke nicht mit diesem Grundsatz in Einklang stehen. Insbesondere ist davon auszugehen, dass Gesetze, die den Behörden den Zugang zu den Inhalten der elektronischen Kommunikation auf einer generellen Grundlage gestatten, das Wesen des Grundrechts auf Achtung des Privatlebens beeinträchtigen.
Die betreffenden Rechtsvorschriften müssen stets objektive Kriterien erfüllen, die einen Zusammenhang zwischen den gespeicherten Daten und dem verfolgten Zweck herstellen. Der Gesetzgeber muss sich auf objektive Kriterien, um die Umstände und Bedingungen zu definieren, unter denen den zuständigen nationalen Behörden Zugang zu den fraglichen Daten gewährt werden soll.
3. Unabhängiger Überwachungsmechanismus
Nach Rechtsprechung des EGMR muss jeder Eingriff in das Recht auf Privatsphäre und Datenschutz einem wirksamen, unabhängigen und unparteiischen Überwachungsverfahren, das entweder durch einen Richter oder einer anderen unabhängigen Stelle (z. B. einer Verwaltungsbehörde oder einem parlamentarischen Gremium) durchgeführt wird.
Die vorherige (gerichtliche) Genehmigung von Überwachungsmassnahmen ist zwar ein wichtiger Schutz vor Willkür, jedoch muss drüber hinaus auch die tatsächliche Funktionsweise etwaiger Abhörsysteme, einschließlich der Kontrolle der Machtausübung, sowie das Vorhandensein oder Fehlen eines tatsächlichen Missbrauchs berücksichtigt werden. Im Fall Schrems II berücksichtigte der EuGH auch den Umfang der Aufsichtsfunktion des Überwachungsmechanismus.
Maßnahmen stehen demnach nur dann im Einklang mit dem EU-Recht, wenn sie einer wirksamen Überprüfung durch ein Gericht oder eine unabhängige Verwaltungsbehörde unterliegen, deren Entscheidung bindend ist. Im Rahmen dieser Überprüfung muss bewertet werden, ob die Voraussetzungen der jeweiligen Maßnahme vorliegt und ob die Bedingungen und Garantien, die festgelegt werden müssen, eingehalten werden. Bei der Echtzeiterfassung von Verkehrs- und Standortdaten sollte die Überprüfung es unter anderem ermöglichen, ex ante zu prüfen, ob sie nur im Rahmen des unbedingt Notwendigen zulässig ist. In gebührend begründeten Dringlichkeitsfällen können die Maßnahmen jedoch auch ohne eine solche vorherige Überprüfung erfolgen. In einem solchen Fall muss eine nachträgliche Überprüfung innerhalb einer kurzen Zeitspanne erfolgen.
Was die Unabhängigkeit der Aufsichtsmechanismen in Bezug auf die Überwachung anbelangt, so kann diese dadurch gewährleistet werden, dass die Aufsicht durch einen Richter oder ein anderes Organ erfolgt, solange es von der Exekutive und von den Behörden, die die Überwachung durchführen, ausreichend unabhängig ist und über ausreichende Befugnisse und Kompetenzen verfügt, um eine wirksame und kontinuierliche Kontrolle auszuüben. Die Art der Ernennung und der Rechtsstatus der Mitglieder des Überwachungsorgans müssen bei der Beurteilung der Unabhängigkeit berücksichtigt werden. Dazu gehören Personen, die für die Ausübung richterlicher Ämter qualifiziert sind und entweder vom Parlament oder vom jeweiligen Premierminister ernannt werden. Im Gegensatz dazu wurde in der Vergangenheit ein Innenminister – der nicht nur ein politischer Beauftragter und ein Mitglied der Exekutive war, sondern direkt an der Beauftragung besonderer Überwachungsmittel beteiligt war – als nicht ausreichend unabhängig eingestuft. Von wesentlicher Bedeutung ist außerdem, dass das Aufsichtsorgan Zugang zu allen relevanten Dokumenten, einschließlich vertraulicher Materialien hat. Darüber hinaus muss berücksichtigt werden, ob die Tätigkeiten der Aufsichtsbehörde der öffentlichen Kontrolle zugänglich sind.
4. Wirksame Rechtsbehelfe für die Betroffenen
Die Betroffenen müssen über einen wirksamen Rechtsbehelf verfügen. Rechtsvorschriften, die keine Möglichkeit vorsehen, dass ein Einzelner Rechtsbehelfe einlegen kann, um Zugang zu ihn betreffenden personenbezogenen Daten zu erhalten oder die Berichtigung oder Löschung solcher Daten zu erwirken, verstoßen gegen das Grundrecht auf wirksamen Rechtschutz aus Artikel 47 GRCh und sind mit europäischem Recht unvereinbar.
Bei der Erhebung von Verkehrs- und Standortdaten in Echtzeit, ist der EuGH der Auffassung, dass eine Mitteilung an die Betroffenen erforderlich ist, um ihnen die Möglichkeit zu geben, ihre Rechte auszuüben, um Zugang zu ihren betroffenen personenbezogenen Daten zu beantragen und diese gegebenenfalls berichtigen oder löschen zu lassen, sowie um einen wirksamen Rechtsbehelf vor einem Gericht einzulegen. Die Benachrichtigung Der Betroffenen muss allerdings nur in dem Maße und nur solange erfolgen, soweit diese die Aufgaben der handelnden Behörden nicht gefährdet. Die Möglichkeit der gerichtlichen Überprüfung darf deshalb nicht von dem Erhalt einer solchen Mitteilung abhängen.
Das Gericht muss aus einem unabhängigen und unparteiischen Gremium bestehen, das sich eine eigene Verfahrensordnung gegeben hat. Es muss sich aus Mitgliedern zusammensetzen, die hohe richterliche Ämter bekleiden oder bekleidet haben oder erfahrene Rechtsanwälte sind. Darüber hinaus darf der Antragsteller einer solchen gerichtlichen Überprüfung nicht beweisbelastet sein. Bei der Prüfung von sollte das Gericht Zugang zu allen relevanten Informationen haben, einschließlich vertraulicher Materialien. Schließlich sollte es die Befugnis haben, festgestellte Verstöße entsprechend zu ahnden.
Wirksamer gerichtlicher Schutz kann darüber hinaus nicht nur durch ein Gericht, sondern auch durch eine Einrichtung gewährleistet werden, die Garantien bietet, die im Wesentlichen den in Artikel 47 GRCh geforderten Garantien gleichwertig sind. Die Unabhängigkeit des Gerichts oder des Organs, insbesondere von der Exekutive, mit allen erforderlichen Garantien, auch im Hinblick auf die Bedingungen für seine Entlassung oder den Widerruf der Ernennung, ist zu gewährleisten. Dem Gericht muss die Befugnis eingeräumt sein, Entscheidungen zu treffen, die für die Nachrichtendienste bindend sind.
III. Fazit
Die Empfehlungen des Europäischen Datenschutzausschusses liefern zwar eine gute Arbeitsgrundlage für die Prüfung der örtlichen Rechtslage bei Datentransfers in Drittländer, jedoch sind umfassende Rechtskenntnisse in den jeweiligen Rechtsordnungen erforderlich, sodass eine solche Prüfung nur mit Unterstützung entsprechender Rechtskundiger erfolgen kann.