Das jüngst verkündete Urteil des Gerichts der Europäischen Union (EuG) in der Rechtssache T-553/23 | Latombe / Kommission hat die Übermittlung personenbezogener Daten aus der Europäischen Union in die USA und das dort herrschende Schutzniveau zum Gegenstand.
Sachverhalt und Rechtsrahmen der Entscheidung
Das EuG hat in seinem Urteil grds. bestätigt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an Organisationen in den USA übermittelt werden.
Dabei beruft sich das EuG auf Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union und auf Art. 16 Abs. 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV), in denen das Recht jeder Person auf Schutz ihrer personenbezogenen Daten verankert ist. Das EuG verweist weiterhin auf die Regelungen der Datenschutz-Grundverordnung (DSGVO) für die internationale Übermittlung personenbezogener Daten, deren Zweck es ist, dass das in der EU gewährte Schutzniveau nicht unterlaufen wird. Ebenso weist das EuG noch einmal darauf hin, dass die Datenübermittlung auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission in ein Drittland möglich ist, wenn die EU-Kommission ein angemessenes Schutzniveau in dem jeweiligen Drittland festgestellt hat.
Das EuG bezieht sich hierbei auf den von der EU-Kommission am 10.07.2023 erlassenen Angemessenheitsbeschluss, der zwischen der EU und den USA besteht. Dieser wurde auf Grundlage des EU US-Data Privacy Frameworks erlassen. Gleichzeitig rekurriert das EuG auf die Entscheidungen des Europäischen Gerichtshofs Schrems I und Schrems II, in denen die beiden vorangegangenen Angemessenheitsbeschlüsse bzgl. der Datenübermittlung in die USA für ungültig erklärt wurden. In beiden Fällen war die Begründung, dass kein dem Unionsrecht entsprechendes Schutzniveau hinsichtlich der Grundfreiheiten und Grundrechte in den USA gewährleistet wird.
Das EuG verweist weiterhin auf das Präsidialdekret der USA vom 07.10.2022 (Executive Order 14086), mit dem die Maßnahmen zum Schutz der Privatsphäre für die Tätigkeit von US-Nachrichtendiensten verschärft wurden. Das Dekret hat eine Ergänzung durch eine Verordnung des Generalstaatsanwalts erfahren (Attorney General Order 28 CFR Part 201), mit der die Regelungen über die Schaffung und Funktionsweise des Data Protection Review Courts (nachfolgend DPRC) geändert wurden.
Betrieben wurde das gerichtliche Verfahren durch den französische Abgeordneten Philippe Latombe. Dieser hat als Nutzer verschiedener IT-Plattformen, die seine personenbezogenen Daten erheben und in die USA übermitteln, beim Gericht der Europäischen Union beantragt, den Angemessenheitsbeschluss zur Datenübermittlung in die USA für unwirksam zu erklären. Er berief sich insoweit darauf, dass es dem DPRC an der Unparteilichkeit und Unabhängigkeit fehle, da dieser von der US-Administration abhängig sei. Herr Latombe begründete die in seinen Augen bestehende rechtswidrige Praxis der US-Nachrichtendienste damit, dass diese ohne vorherige Genehmigung eines Richters oder einer unabhängigen Verwaltungsbehörde bei der Datenübermittlung in die USA Sammelerhebungen personenbezogener Daten vornehmen. Hierfür fehle ein präziser und klarer Rechtsrahmen.
Erwägungen des Gerichts
Das EuG äußert sich zunächst zur Konstitution des DPRC. Die Ernennung der Richter des DPRC sei mit mehreren Bedingungen und Garantien verbunden, mit denen die Unabhängigkeit seiner Richter sichergestellt werden soll. Die Abberufung der Richter des DPRC durch den Generalstaatsanwalt sei nur aus triftigen Gründen möglich, außerdem sei es dem Generalstaatsanwalt und den Nachrichtendiensten nicht erlaubt, die Arbeit des DPRC zu behindern oder unrechtmäßig zu beeinflussen.
Die EU-Kommission hat nach Ansicht des Gerichts auf Grundlage des Angemessenheitsbeschlusses die Umsetzung des zugrundeliegenden Rechtsrahmens kontinuierlich zu überprüfen. Bei einer Änderung des in den USA geltenden Rechtsrahmens hat die EU-Kommission die Möglichkeit, den Angemessenheitsbeschluss auszusetzen, zu ändern, aufzuheben oder seinen Anwendungsbereich zu begrenzen. Aufgrund der vorgenannten Erwägungen hat das EuG in seiner Entscheidung die fehlende Unabhängigkeit des DPRC zurückgewiesen.
Das EuG äußert sich auch zur Sammelerhebung personenbezogener Daten. Es stellt in dem Zusammenhang fest, dass in der Schrems II-Entscheidung keine Anhaltspunkte dafür bestehen, dass für die Sammelerhebung zwingend eine vorherige Genehmigung durch eine unabhängige Behörde erforderlich sei. Die Entscheidung über eine Sammelerhebung müsse nach der Schrems II-Entscheidung vielmehr nachträglich gerichtlich überprüfbar sein. Das EuG beruft sich in dem Zusammenhang darauf, dass die Genehmigung der Sammelerhebung durch die US-Nachrichtendienste nach dem US-amerikanischen Recht einer nachträglichen gerichtlichen Überprüfung des DPRC unterliege. Die Folgerung des Gerichts ist, dass Sammelerhebungen personenbezogener Daten der US-Nachrichtendienste den Anforderungen aus dem Schrems II-Urteil gerecht werden. Das US-amerikanische Recht biete zudem einen Rechtsschutz, der dem in der EU garantierten Rechtsschutz gleichwertig sei.
Aufgrund der vorgenannten Gründe weist das EuG die Klage bzgl. der Sammelerhebung personenbezogener Daten ab. Da beide Klagegründe vom Gericht abgewiesen wurden, hat das EuG die Klage insgesamt abgewiesen.
Fazit
Die Wirksamkeit des EU US-Data Privacy Frameworks (DPF) steht bereits seit einiger Zeit in der Diskussion, insbesondere aufgrund der politischen Veränderungen durch die Trump-Administration. Das EuG hat demgegenüber nun die Wirksamkeit des aufgrund des DPF erlassenen Angemessenheitsbeschlusses bestätigt, wobei die vorgebrachten Klagegründe relativ eng gefasst waren. Letzteres hat bereits der österreichische Datenschutzaktivist Max Schrems kritisch angemerkt und eine umfassendere Überprüfung des US-Rechts gefordert.
Auch ist nach Feststellung des Gerichts jederzeit eine erneute Überprüfung des Angemessenheitsbeschlusses durch die EU-Kommission möglich. Gerade die von der neuen US-Regierung vorgenommenen personellen Veränderungen in den Bundesbehörden lassen einen Verlust der Unabhängigkeit des DPRC denkbar erscheinen. In diesem Fall wäre die EU-Kommission aufgefordert, den Angemessenheitsbeschluss zur Übermittlung personenbezogener Daten in die USA erneut auf den Prüfstand zu stellen.
Schließlich bleibt dem Kläger im geschilderten Verfahren die Möglichkeit der Berufung beim EuGH, der ggf. zu einem anderen Ergebnis kommt als die dargestellte Entscheidung des EuG. Es bleibt daher in dieser datenschutzrechtlich nicht unerheblichen Fragestellung spannend – wir halten Sie gerne über die weitere Entwicklung auf dem Laufenden.
Anmerkung der Redaktion: Es handelt sich um ein Urteil des Gerichts der Europäischen Union (EuG). An einer Stelle hatte sich “Gerichtshof“ eingeschlichen, wir haben das korrigiert.