Tag Archives: Privacy Shield

Bundesregierung: Kein Klagerecht für Datenschutzaufsichtsbehörden gegen Privacy Shield

Posted on by

Am 13. Mai 2016 hat der Bundesrat in einer Entschließung (BR Drs. 171/16 (B), pdf) die Bundesregierung dazu aufgefordert, zeitnah einen Gesetzentwurf für ein Klagerecht von Datenschutzaufsichtsbehörden gegen sog. Angemessenheitsbeschlüsse der Europäischen Kommission für Drittstaatentransfers personenbezogener Daten, wie vormals Safe Harbor und nun das EU-U.S. Privacy Shield, vorzulegen (hierzu mein Beitrag). Teil des Beschlusses des Bundesrates war auch ein eigener Vorschlag für einen neuen § 38b-E Bundesdatenschutzgesetz.

In einer Stellungnahme (pdf) vom 15. Juli 2016 äußert sich nun die Bundesregierung zu dieser Entschließung des Bundesrates.

Das Bundesministerium des Inneren weist darauf hin, dass man bereits derzeit intensiv an der Anpassung des nationalen Datenschutzrechts an die Datenschutz-Grundverordnung (DSGVO) arbeite. In dem neuen nationalen Datenschutzrecht soll es, entsprechend den Vorgaben von Art. 58 Abs. 5 DSGVO, auch Klagemöglichkeiten für Datenschutzaufsichtsbehörden geben. Jedoch spricht das Bundesinnenministerium nicht direkt die Klagemöglichkeit gegen eine Angemessenheitsentscheidung der Europäischen Kommission an. Art. 58 Abs. 5 DSGVO bezieht sich auch nicht auf die gerichtliche Anfechtung von Beschlüssen der Europäischen Kommission, sondern benennt „Verstöße gegen diese Verordnung“. Dies bezieht sich etwa auf eine Datenübermittlung in einen Drittstaat, die nicht auf der Grundlage einer Angemessenheitsentscheidung oder aber zum Beispiel unter Einsatz von Standardvertragsklauseln erfolgt.

Der bindende Beschluss der Europäischen Kommission ist, zumindest nach meiner Lesart, gerade nicht Gegenstand des Art. 58 Abs. 5 DSGVO, sondern die Datenübermittlung (also die Verarbeitung) selbst. Geht man gegen diese vor, könnte inzident am Ende durch den EuGH auch die zugrundeliegende Angemessenheitsentscheidung geprüft werden. Dies liegt auf einer Linie mit der Rechtsprechung des EuGH, der ausdrücklich betont hat (Rz. 61 des Schrems-Urteils, C-362/14)): „Gleichwohl ist allein der Gerichtshof befugt, die Ungültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission festzustellen“.

Nicht zugestehen will die Bundesregierung den Datenschutzaufsichtsbehörden darüber hinaus eine Ermächtigung, gegen Angemessenheitsbeschlüsse in Vertretung der Bundesrepublik Deutschland Nichtigkeitsklage vor dem EuGH nach Artikel 263 AEUV zu erheben. Dies vor allem deshalb, weil die Datenschutzaufsichtsbehörden unabhängig sind.

EU-US-Datenschutzschild: Europäische Datenschützer warten die erste gemeinsame Überprüfung ab

Posted on by

Nachdem die Europäische Kommission am 12. Juli 2016 das EU-US-Datenschutzschild (Privacy Shield) angenommen hat, äußerte sich heute in einer Pressemitteilung (pdf) die Art. 29 Datenschutzgruppe (die Vertreter der Datenschutzbehörden der Mitgliedstaaten) hierzu.

Grundsätzlich begrüßen die Datenschützer die Verbesserungen, welche sich gegenüber der im Jahre 2015 durch den Europäischen Gerichtshof für ungültig erklärten Safe Harbor-Entscheidung im Datenschutzschild finden. In ihrer Stellungnahme 01/2016 (pdf) zum Datenschutzschild beleuchteten die Datenschützer dennoch eine Vielzahl von aus ihrer Sicht verbesserungswürdigen Punkten. Einem Teil dieser Kritik hat die Europäische Kommission zusammen mit der US-amerikanischen Regierung nach Auffassung der Art. 29 Datenschutzgruppe nun in dem endgültigen Angemessenheitsbeschluss zum EU-US-Datenschutzschild Rechnung getragen.

Dennoch bemängeln die Datenschutzbeauftragten, dass ihrer Ansicht nach weiterhin gewisse Defizite sowohl im Teil der Regelungen zum privatwirtschaftlichen Datenaustausch als auch hinsichtlich des Zugangs zu personenbezogenen Daten durch US-amerikanische Behörden existieren. Nach Auffassung der Datenschutzbeauftragten stellt daher die erste jährliche Überprüfung der Funktionsweise des Datenschutzschildes (diese ist in dem Beschluss der Europäischen Kommission verbindlich vorgesehen) den Schlüsselmoment für die Frage der zukünftigen Effektivität des Datenschutzschildes dar. Im Rahmen dieser gemeinsamen Überprüfung werden sich daher auch die Datenschutzbehörden genau ansehen, ob die Europäische Kommission alle Kritikpunkte zu ihrer Zufriedenheit adressiert hat. Zudem, so die europäischen Datenschutzbeauftragten, wolle man insbesondere prüfen, ob sich die vorgesehenen Schutzmaßnahmen als tragfähig und effektiv erwiesen haben.

Das Ergebnis dieser ersten Überprüfung kann nach Auffassung der europäischen Datenschutzbeauftragten auch Einfluss auf andere Instrumente für die Datenübermittlung in Drittstaaten haben. Hierzu zählen insbesondere die sogenannten EU-Standardvertragsklauseln.

In ihrer Pressemitteilung gehen die europäischen Datenschutzbeauftragten nicht darauf ein, ob sie die Angemessenheitsentscheidung der europäischen Kommission bereits vor der ersten jährlichen Überprüfung angreifen möchten. Insbesondere die deutschen Aufsichtsbehörden hatten ja ein neues Klagerecht gefordert, um derartige Beschlüsse der Europäischen Kommission gerichtlich überprüfen lassen zu können. Insgesamt scheint die Pressemitteilung dafür zu sprechen, dass sich die europäischen Datenschutzbeauftragten zumindest planmäßig erstmalig inhaltlich mit dem neuen Datenschutzschild im Rahmen der jährlichen Überprüfung befassen werden und kein gemeinsames rechtliches Vorgehen geplant ist.

Das US-Handelsministerium hat in der Zwischenzeit auch eine offizielle Webseite zum EU-US-Datenschutzschild in Betrieb genommen. US-amerikanische Unternehmen können sich ab dem 1. August 2016 selbst zertifizieren.

Die Angemessenheitsentscheidung der Europäischen Kommission zum EU-US-Datenschutzschild findet man in deutscher Sprache hier (pdf; über die Webseite der österreichischen Datenschutzbehörde).