Datenschutz: Das Gericht weist die Klage auf Nichtigerklärung des neuen Rahmens für die Übermittlung personenbezogener Daten zwischen der Europäischen Union und den Vereinigten Staaten ab.

Veröffentlicht am · Schreib einen Kommentar

Damit bestätigt es, dass die Vereinigten Staaten von Amerika zum Zeitpunkt des Erlasses des angefochtenen Beschlusses ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten, die aus der Union an Organisationen in den Vereinigten Staaten übermittelt wurden.

In der Charta der Grundrechte der Europäischen Union und im Vertrag über die Arbeitsweise der Europäischen Union (AEUV) ist das Recht jeder Person auf Schutz ihrer personenbezogenen Daten verankert. Auf dieser Grundlage sind im Sekundärrecht der Union Vorschriften für die internationale Übermittlung personenbezogener Daten festgelegt, mit denen verhindert werden soll, dass das in der Union gewährte Schutzniveau untergraben wird.

Wenn die Europäische Kommission der Auffassung ist, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, kann die Übermittlung personenbezogener Daten in das Drittland gemäß diesen Vorschriften ohne zusätzliche Genehmigung auf der Grundlage eines sogenannten Angemessenheitsbeschlusses der Kommission erfolgen. Ein solcher Rahmen wurde durch den von der Kommission am 10. Juli 2023 erlassenen Angemessenheitsbeschluss (im Folgenden: angefochtener Beschluss) geschaffen; er besteht zwischen der Europäischen Union und den Vereinigten Staaten von Amerika. In der Vergangenheit hat der Gerichtshof in den Urteilen Schrems I und Schrems II die beiden vorherigen Angemessenheitsbeschlüsse in Bezug auf die Vereinigten Staaten mit der Begründung für ungültig erklärt, dass sie kein Niveau des Schutzes der Grundfreiheiten und Grundrechte gewährleisteten, das dem durch das Unionsrecht garantierten Niveau der Sache nach gleichwertig gewesen wäre.

Allerdings erließen die Vereinigten Staaten von Amerika am 7. Oktober 2022 ein Präsidialdekret, mit dem die Maßnahmen zum Schutz der Privatsphäre für die Tätigkeiten von US-Nachrichtendiensten verschärft wurden.

Dieses Dekret wurde durch eine Verordnung des Generalstaatsanwalts9 ergänzt, mit der die Bestimmungen über die Schaffung und Funktionsweise des Data Protection Review Court (Datenschutzgericht, Vereinigte Staaten von Amerika, im Folgenden: DPRC) geändert wurden. Nach Prüfung dieser regulatorischen Entwicklungen in den Vereinigten Staaten erließ die Kommission den angefochtenen Beschluss, mit dem der neue transatlantische Rahmen für den Verkehr personenbezogener Daten zwischen der Union und den Vereinigten Staaten geschaffen wird.

In diesem Zusammenhang hat Herr Philippe Latombe, ein französischer Staatsangehöriger und Nutzer verschiedener IT-Plattformen, die seine personenbezogenen Daten erheben und sie in die Vereinigten Staaten übermitteln, beim Gericht der Europäischen Union beantragt, den angefochtenen Beschluss für nichtig zu erklären.

Er trägt vor, der DPRC sei weder unparteiisch noch unabhängig, sondern von der Exekutive abhängig. Außerdem sei die Praxis der Nachrichtendienste der Vereinigten Staaten, ohne vorherige Genehmigung eines Richters oder einer unabhängigen Verwaltungsbehörde Sammelerhebungen personenbezogener Daten im Transit aus der Union vorzunehmen, nicht hinreichend klar und präzise geregelt und daher rechtswidrig.

Das Gericht weist die Nichtigkeitsklage ab.

Was erstens den DPRC betrifft, stellt das Gericht u. a. fest, dass die Ernennung der Richter des DPRC und seine Arbeitsweise ausweislich der Akten mit mehreren Garantien und Bedingungen verbunden sind, die die Unabhängigkeit seiner Mitglieder gewährleisten sollen. Zum einen können die Richter des DPRC nur vom Generalstaatsanwalt aus triftigen Gründen abberufen werden, zum anderen dürfen der Generalstaatsanwalt und die Nachrichtendienste deren Arbeit nicht behindern oder unrechtmäßig beeinflussen.

Außerdem hat die Kommission nach dem Wortlaut des angefochtenen Beschlusses die Anwendung des Rechtsrahmens, der Gegenstand des Beschlusses ist, fortlaufend zu überwachen. Wenn sich der zum Zeitpunkt des Erlasses des angefochtenen Beschlusses in den Vereinigten Staaten geltende Rechtsrahmen ändert, kann die Kommission daher soweit erforderlich beschließen, den angefochtenen Beschluss auszusetzen, zu ändern oder aufzuheben oder seinen Anwendungsbereich einzuschränken.

In Anbetracht dessen weist das Gericht den Klagegrund der fehlenden Unabhängigkeit des DPRC zurück.

Was zweitens die Sammelerhebung personenbezogener Daten betrifft, weist das Gericht u. a. darauf hin, dass nichts im Urteil Schrems II darauf hindeutet, dass diese zwingend einer vorherigen Genehmigung durch eine unabhängige Behörde bedarf. Aus diesem Urteil geht vielmehr hervor, dass die Entscheidung, mit der eine solche Sammelerhebung genehmigt wird, zumindest einer nachträglichen gerichtlichen Überprüfung unterzogen werden muss. Im vorliegenden Fall geht aus den Akten hervor, dass die von US-Nachrichtendiensten betriebene Signalaufklärung nach dem Recht der Vereinigten Staaten einer nachträglichen gerichtlichen Überprüfung durch den DPRC unterliegt. Folglich ist nicht ersichtlich, dass Sammelerhebungen personenbezogener Daten durch die US-Nachrichtendienste nicht den Anforderungen genügen, die sich insoweit aus dem Urteil Schrems II ergeben, und dass das Recht der Vereinigten Staaten keinen Rechtsschutz gewährleistet, der dem durch das Unionsrecht garantierten der Sache nach gleichwertig ist.

Nach alledem weist das Gericht den Klagegrund in Bezug auf die Sammelerhebung personenbezogener Daten zurück und weist die Klage demnach insgesamt ab.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

CAPTCHA

*