Auf Sand gebaut? Nichtigkeitsklagen gegen den EU-U.S. Privacy Shield

Der Nachfolger des – vom Europäischen Gerichtshof (EuGH) für unwirksam erklärten – Safe-Harbor-Abkommens, der EU-U.S. Privacy Shield, wurde am 29.02.2016 von der Europäischen Kommission vorgestellt.

Seither ist viel passiert: Mit dem Durchführungsbeschluss (EU) 2016/1250 vom 12.07.2016 erfolgte eine Adäquanzentscheidung über ein angemessenes Schutzniveau personenbezogener Daten im Drittland seitens der EU Kommission. Mittlerweile haben sich über 500 Unternehmen via Self-Certification-Process für den Privacy Shield registriert, darunter auch Global Player wie Google, Facebook, Amazon und Microsoft.

Klage aus Irland und aus Frankreich

Am 16.09.2016 erhob die irische Datenschutzorganisation Digital Rights Ireland Nichtigkeitsklage gegen den Angemessenheitsbeschluss beim Gericht der Europäischen Union (EuG, T-670/16). Die Kläger wollen die Nichtigkeit der Entscheidung der EU-Kommission über die Angemessenheit des EU-U.S. Privacy Shields feststellen lassen. Das Argument: Die Entscheidung beinhalte einen offensichtlichen Beurteilungsfehler – und sei damit nichtig. Problematisch sind bereits die Zulässigkeitsvoraussetzungen des Klageverfahrens: Der Kommissionsbeschluss richtet sich in erster Linie direkt an die Mitgliedsstaaten. Digital Rights Ireland müsste als juristische Person „unmittelbar“ und „individuell“ betroffen sein. Sofern sich dieses spezifische Rechtsschutzbedürfnis nicht nachweisen ließe, seien bereits die Zulässigkeitsvoraussetzungen nicht gegeben.

Diesem Vorbild folgend, haben die französische Bürgerrechtsorganisation La Quadrature du Net und die französische Non-profit Organisation French Data Network ebenso ein Nichtigkeitsverfahren vor dem Europäischen Gericht (EuG) angestrengt (T-738/16). Insbesondere der für den Privacy Shield vorgesehene US-Ombudsman sei kein effektiver Mechanismus für die Bearbeitung von Beschwerden, denn er sei keine „unabhängige gerichtliche Einheit“.

Deutschland kämpft für den Privacy Shield

Aktuell greift auch Deutschland in den Rechtsstreit vor dem EuG ein: Nach Angaben des Internetblogs netzpolitik.org haben die Regierungen Deutschlands und Tschechiens beantragt, als Streithelferin der EU-Kommission zugelassen zu werden. Diese Angaben wurden vom deutschen Wirtschaftsministerium bestätigt. Als EU-Streithelferin begehrt Deutschland keinen unmittelbaren Rechtsschutz, sondern unterstützt die EU-Kommission zur Wahrung eigener Interessen, eine sog. „Nebenintervention“. Im Rahmen dessen ist es ihr etwa erlaubt, Anträge bzw. Schriftsätze einzureichen und so ihre Rechtsansichten und Interessen in das Verfahren einfließen zu lassen (Art. 142 der Verfahrensordnung des Gerichts – EuGVfO).

Die Bundesregierung hält also an dem Privacy-Shield-Abkommen fest und möchte es aktiv verteidigen. Weitere Angaben zur Motivation der Bundesregierung wurden mit Verweis auf das laufende Verfahren nicht gemacht.

Datenschutzbehörde leitet Ermittlungen ein

Das Bayerische Landesamt für Datenschutzaufsicht hat Anfang November 2016 eine Prüfungsaktion eingeleitet. Die Behörde will verdeutlichen, welche Ausmaße grenzüberschreitende Übermittlungen personenbezogener Daten in der Privatwirtschaft einnehmen – und wie viele kleine, mittlere und große Unternehmen somit auch potentiell vom EU-U.S. Privacy Shield betroffen sind. Insgesamt sollen rund 500 Unternehmen angeschrieben werden und einen Fragebogen beantworten. Das Audit fragt nach der Grundlage derzeitiger Datenübermittlungen in die USA und – sofern diese auf Grundlage des Privacy Shields erfolgen – wie sichergestellt wird, dass der Datenempfänger eine gültige Privacy-Shield-Zertifizierung besitzt. Im Falle der Übermittlung personenbezogener Daten in sonstige Drittstaaten soll auch hier mitgeteilt werden, auf welcher Grundlage diese erfolgen und ob für das Zielland durch Beschluss der EU-Kommission ein angemessenes Datenschutzniveau anerkannt ist.

Privacy Shield – Rechtsgrundlage auf Abruf?

Ob dem EU-U.S. Privacy Shield ein ähnliches Schicksal wie Safe Harbor blüht, steht noch nicht fest. Jedenfalls bringt das Klageverfahren Rechtsunsicherheit mit sich. Worauf können sich Unternehmen berufen? Baut man doch lieber auf altbekannte Verfahren wie die EU-Standardvertragsklauseln, Binding Corporate Rules oder datenschutzrechtliche Einwilligungen?

Laut einer Studie des Digitalverbands bitkom setzen 78 Prozent der befragten Unternehmen noch immer auf die EU-Standardvertragsklauseln als Übermittlungsgrundlage für personenbezogene Daten in die USA. Doch auch hier könnte es zukünftig Probleme geben: Wieder einmal ist es Irland, genauer gesagt der irische Datenschutzbeauftragte, der eine Überprüfung der Standardvertragsklauseln durch den Irish High Court und den EuGH anstrebt. Näheres ist bislang nicht bekannt. Auch die Standardvertragsklauseln stehen demnach auf einer wackligen Grundlage.

Ist also das amerikanisch-europäische Datenschutzschild auf Sand gebaut? Oder werden die Europäischen Gerichte es zum Fundament von Übermittlungen personenbezogener Daten machen? Bis der Angemessenheitsbeschluss der EU-Kommission bestätigt wird, bleibt alles völlig offen. Unternehmen werden daher wohl oder übel mit den EU-Standardvertragsklauseln arbeiten müssen.

Seite als PDF sichern

Tags: #EU-U.S. Privacy Shield, #Internationaler Datenschutz, #Safe Harbor

Ansprechpartner

Den Kontakt zu Ihrem Ansprechpartner finden Sie auf: buse.de/anwaelte
Vielen Dank für Ihr Interesse an diesem Artikel.

Kompetenzen

Insights

Artikel versenden