Am 6. September reichte der französische Abgeordnete und CNIL-Mitglied Philippe Latombe einen Antrag auf Nichtigerklärung des EU-US-Datenschutzrahmens vor dem EU-Gerichtshof ein, wie Politico zuerst berichtete.
Eine Klage gegen den Datenschutzrahmen war weitgehend erwartet worden. Die Klage von Herrn Latombe könnte jedoch von kurzer Dauer sein, da es verfahrenstechnische Hürden gibt, um den Fall vor den Gerichtshof zu bringen.
In diesem Blog wird erläutert, was es mit der Datenschutz-Grundverordnung auf sich hat und warum die verfahrensrechtlichen Anforderungen das frühe Aus für Latombes Rechtsstreit bedeuten könnten.
- Was ist der Datenschutzrahmen?
- Was verbirgt sich hinter dem Data Privacy Framework?
- Wird es Herrn Latombe gelingen, den Rahmen für ungültig zu erklären?
- Wie werden sich die Dinge auf lange Sicht entwickeln?
- Schlussfolgerungen
Was ist der Datenschutzrahmen?
Das Trans-Atlantic Data Privacy Framework (DPF) ist ein Rahmenwerk für den Datentransfer zwischen der EU und den USA. Das DPF ist seit Juli in Kraft und ermöglicht die einfache, GDPR-konforme Übermittlung personenbezogener Daten zwischen der EU und den USA.
Mit anderen Worten: Die Datenschutz-Grundverordnung sieht spezifische Regeln und Standards für die Übermittlung von Daten in Länder außerhalb der EU vor, und die DPF hilft Unternehmen, diese einzuhalten. Ohne den Rahmen wären einige Datenübertragungen zwischen der EU und den USA unmöglich oder schwieriger.
Bei dem Rahmen handelt es sich nicht um ein völkerrechtliches Abkommen, sondern vielmehr um eine Kombination interner Rechtsakte des europäischen und des US-amerikanischen Rechtsrahmens. Letztes Jahr veröffentlichte US-Präsident Joe Biden eine Durchführungsverordnung(EO 14068), um die Befugnisse der Überwachungsbehörden zum Ausspionieren europäischer Daten zu begrenzen. Und im Juli nahm die Europäische Kommission einen Angemessenheitsbeschluss an - ein Rechtsakt, der im Wesentlichen ein Land als sicheres Ziel für Datenübermittlungen im Rahmen der GPDR ausweist.
Weitere Informationen über die DPF und die Datenübertragungsmechanismen im Rahmen der Datenschutz-Grundverordnung finden Sie in unserem Blog zu diesem Thema.
Was verbirgt sich hinter dem Data Privacy Framework?
Wir haben bereits ausführlich über dieses Thema geschrieben, daher hier die Kurzfassung.
Das DPF ist nicht der erste Rahmen dieser Art zwischen der EU und den USA. Zwei andere Rahmenwerke - das Safe-Harbor-Abkommen und das Privacy Shield - erfüllten in der Vergangenheit dieselbe Funktion. Beide Rahmenabkommen wurden jedoch vom EU-Gerichtshof in den Urteilen Schrems I und II für ungültig erklärt. Die Urteile drehten sich um die Überwachung ausländischer Daten durch die USA und machten deutlich, dass die älteren Rahmenregelungen nicht ausreichten, um europäische Daten vor Geheimdiensten zu schützen.
Nach Schrems II drängte die Datenschutz-NGO noyb auf eine strengere Anwendung von Schrems II durch einen strategischen Rechtsstreit mit Google Analytics, einem Webanalysetool, das Besucherdaten in den USA verarbeitet. Der Rechtsstreit von noyb führte zum faktischen Verbot von Google Analytics in mehreren Mitgliedstaaten und entfachte eine hitzige Debatte über die Rechtmäßigkeit von Datenübermittlungen zwischen der EU und den USA im Rahmen der Datenschutz-Grundverordnung.
Die DPF zielt darauf ab, diese Situation der chronischen Unsicherheit zu beenden, indem sie ein Gleichgewicht zwischen dem Schutz der Privatsphäre des Einzelnen und der Notwendigkeit der elektronischen Überwachung für die Landesverteidigung herstellt.
Die US-Regierung und die Europäische Kommission arbeiteten eng zusammen, um sicherzustellen, dass der neue Rahmen der Prüfung durch den Europäischen Gerichtshof (EuGH) standhalten würde. Die vom US-Präsidenten veröffentlichte Exekutivanordnung schränkt die Möglichkeiten der Überwachungsbehörden, europäische Daten auszuspionieren, etwas ein und führt ein neues System für die Überwachung und den Rechtsschutz bei Missbrauch ein. Die USA und die Europäische Kommission hoffen, dass die DPF dank dieser neuen Vorschriften ein "Schrems III"-Urteil überstehen kann.
Wird es Herrn Latombe gelingen, den Rahmen für ungültig zu erklären?
Wir bezweifeln das, denn verfahrenstechnische Hürden könnten verhindern, dass der Verdienst überhaupt diskutiert wird.
Die meisten Fälle landen über ein Vorabentscheidungsverfahren vor dem EuGH. Mit anderen Worten: Der Fall wird zunächst vor das Gericht eines Mitgliedstaats gebracht und dann vom zuständigen Richter an den EuGH verwiesen, um die Auslegung des europäischen Rechts zu klären. Auf diese Weise gelangten auch die Fälle Schrems I und II zum EuGH.
Der Fall von Herrn Latombe ist anders, weil er seinen Antrag als Direktklage einreichte: Er wandte sich direkt an den Gerichtshof und beantragte die Nichtigerklärung der DPF.
Diese Strategie hat ihre Vor- und Nachteile. Einerseits umgeht die Direktklage die nationalen Gerichte vollständig und verkürzt die Zeit bis zu einer Entscheidung des EuGH drastisch. Andererseits sieht das EU-Recht ziemlich strenge Anforderungen für Direktklagen vor: Der Kläger muss erfolgreich darlegen, dass die DPF ihn direkt und individuell betrifft. Dies könnte für Herrn Latombe ein Problem darstellen, da er von der DPF nicht mehr betroffen ist als jeder andere EU-Bürger.
Das Erfordernis der unmittelbaren und individuellen Betroffenheit wird vom EuGH traditionell sehr ernst genommen. Aus diesem Grund wird der Gerichtshof die Klage wahrscheinlich abweisen, ohne ihre Begründetheit zu erörtern.
Wir hoffen, dass das Gegenteil der Fall sein wird, denn das Schicksal der DPF ist eine Quelle großer Rechtsunsicherheit, und viele Organisationen würden von der Klarheit, die eine Entscheidung des EuGH bringen würde, sehr profitieren.
Wie werden sich die Dinge auf lange Sicht entwickeln?
Selbst wenn die Klage von Latombe für unzulässig erklärt wird, wird jemand anderes einspringen. Noyb hat bereits angekündigt, den Rechtsrahmen anzufechten, und andere Interessenverbände könnten ebenfalls tätig werden.
Früher oder später wird der EuGH also über das Schicksal der DPF entscheiden. Und es ist schwer zu sagen, wie sich die Dinge entwickeln werden.
Die Meinungen über den neuen Rechtsrahmen sind in der Datenschutzgemeinschaft ziemlich gespalten. Einige halten die DPF für die Lösung, auf die alle gewartet haben. Andere - darunter auch noyb - halten sie für einen Anstrich des Privacy Shield und erwarten, dass der EuGH sie abschießen wird, sobald er am Zug ist.
Die Wahrheit liegt wahrscheinlich irgendwo in der Mitte: Die DPF ist insgesamt ein Fortschritt gegenüber der Vergangenheit, aber einige Aspekte von Joe Bidens Executive Order geben immer noch Anlass zur Sorge und könnten ein Thema für den Gerichtshof sein.
Die europäischen Institutionen selbst sind geteilter Meinung über die Vorzüge des Rahmens. Die Kommission ist natürlich ein begeisterter Befürworter der DPF. Andererseits hat das EU-Parlament die DPF mit großer Mehrheit abgelehnt. Das Votum des Parlaments ist nicht bindend, könnte aber den Ton der Debatte beeinflussen und den EuGH unter Druck setzen. Schließlich nahm der Europäische Datenschutzausschuss eine etwas vorsichtige Stellungnahme zum Rahmenwerk an - möglicherweise, um eine bereits polarisierte Debatte nicht zu beeinflussen.
Schlussfolgerungen
Wir sind der Meinung, dass der Datenschutz jeden angeht und dass Unternehmen verantwortungsvoll mit der Erhebung von Daten umgehen sollten. Aus diesem Grund haben wir Simple Analytics entwickelt: das Webanalysetool, das Unternehmen alle erforderlichen Einblicke bietet, ohne persönliche Daten zu berühren. Wenn Sie sich davon angesprochen fühlen, probieren Sie uns doch einfach aus!