Nichtigkeitsklage gegen EU-U.S. Privacy Shield und koordinierte Prüfungsaktion der deutschen Datenschutzbehörden

10.11.2016

Nichtigkeitsklage gegen den EU-U.S. Privacy Shield

Mit Durchführungsbeschluss (EU) 2016/1250 vom 12.07.2016 hat die EU Kommission dem sog. EU-U.S. Privacy Shield, dem Nachfolger des vom EuGH im vergangenen Jahr gekippten US/EU Safe Harbor (wir berichteten), ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten an Unternehmen in den USA attestiert. US-Unternehmen können sich seit 01.08.2016 (wir berichteten). für das EU-U.S. Privacy Shield zertifizieren. Zwischenzeitlich haben bereits mehr als 500 Unternehmen von dieser Möglichkeit Gebrauch gemacht (wir berichteten).

Gegen das EU-US Privacy Shield wurde von vielen Seiten zum Teil scharfe Kritik geäußert. Es verwundert daher kaum, dass gegen den Angemessenheitsbeschluss der EU Kommission zum EU-U.S. Privacy Shield nun die irische Datenschutzgruppe Digital Rights Ireland (DRI) am 16.09.2016 beim Gericht der Europäischen Union Nichtigkeitsklage eingereicht hat. Die Klagegründe und die wesentlichen Argumente zu der anhängigen Nichtigkeitsklage (Aktenzeichen T-670/16) wurden am 07.11.2016 im Amtsblatt der Europäischen Union veröffentlicht. Nach Ansicht der DRI ist der Durchführungsbeschluss mit einem offensichtlichen Beurteilungsfehler hinsichtlich des angemessenen Schutzniveaus behaftet. Die Klägerin fordert daher, den Durchführungsbeschluss für nichtig zu erklären.

Ob sich das Gericht überhaupt inhaltlich mit den Argumenten der DRI auseinandersetzen wird, hängt maßgeblich von der Frage ab, ob das Gericht die Klage für zulässig hält. Die Zulässigkeit einer Nichtigkeitsklage vor dem Gericht unterliegt strengen Voraussetzungen. Wie die DRI die Zulässigkeit der Klage konkret begründet, ist dem Amtsblatt der Europäischen Union nicht zu entnehmen. Daher bleibt der weitere Verfahrensverlauf mit Spannung zu erwarten.

Es ist jedoch nicht auszuschließen, dass das Gericht im Ergebnis der Auffassung der DRI folgen könnte, den Angemessenheitsbeschluss der Kommission zum EU-U.S. Privacy Shield kippen und damit auch dem Safe Harbor Nachfolger den Boden entziehen könnte. Bei der Gestaltung internationaler Datentransfers ist daher weiterhin empfehlenswert, vorsorglich auch andere Möglichkeiten zur Absicherung der Datenübermittlung in Erwägung zu ziehen, insbesondere die Verwendung von EU-Standardvertragsklauseln. Auch das mittelfristige Schicksal der EU-Standardvertragsklauseln ist jedoch unklar. Die irische Datenschutzbehörde strebt eine Überprüfung der Standardvertragsklauseln durch den EuGH (wir berichteten) an.

Koordinierte Prüfungsaktion der deutschen Datenschutzbehörden

Einige deutsche Datenschutzbehörden haben derweil eine koordinierte, schriftliche Prüfungsaktion zu Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland (sog. Drittstaaten) angekündigt. Beteiligt sind an dieser Aktion die Datenschutzaufsichtsbehörden der Länder Bayern, Berlin, Bremen, Hamburg, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt. Die Aufsichtsbehörden wollen in den nächsten Tagen deutschlandweit insgesamt rund 500 Unternehmen anschreiben und verbindlich zur Beantwortung eines Fragebogens auffordern.

Ziel der Prüfung sei vor allem auch die Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Sofern personenbezogene Daten in Nicht-EU-Staaten übermittelt werden, sollen die kontrollierten Unternehmen unter anderem aufgefordert werden, anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen. Mitgeteilt werden soll etwa, ob für das Zielland durch Beschluss der EU Kommission ein angemessenes Datenschutzniveau anerkannt ist (dazu zählt auch der EU-U.S. Privacy Shield), ob Standardvertragsklauseln als Grundlage verwendet werden oder ob die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden.

Haben Sie Fragen zur Prüfungsaktion und den möglichen Konsequenzen für Ihr Unternehmen? Wenden Sie sich an Dr. Daniel Rücker oder Sebastian Dienst.
Practice Groups: IT, Outsourcing & Datenschutz

Weitere Artikel:

https://www.noerr.com/de/newsroom/News/eu-us-privacy-shield-als-neues-safe-harbor.aspx

https://www.noerr.com/de/newsroom/News/europaeische-kommission-stellt-eu-us-datenschutzschild-privacy-shield-vor.aspx

https://www.noerr.com/de/newsroom/News/neues-zur-eu-datenschutzgrundverordnung-und-zum-eu-us-privacy-shield.aspx

https://www.noerr.com/de/newsroom/News/eu-us-privacy-shield-der-nachfolger-von-safe-harbor-wurde-verabschiedet.aspx

https://www.noerr.com/de/newsroom/News/eu-us-privacy-shield-die-„privacy-shield-list“-beginnt-sich-zu-füllen.aspx

https://www.noerr.com/de/newsroom/News/voruebergehende-guidance-fuer-datentransfers-in-die-usa.aspx

https://www.noerr.com/de/newsroom/News/klagerecht-für-datenschutzaufsichtsbehörden-gegen-angemessenheitsentscheidungen-der-eu-kommission.aspx

https://www.noerr.com/de/newsroom/News/die-aera-nach-safe-harbor-schonfrist-fuer-transatlantische-datentransfers-endet.aspx