28.10.16

Erste Klage gegen „Privacy Shield“

Eine irische Gesellschaft zum Schutz von Bürger- und Menschenrechten hat fristgerecht Klage gegen den „EU-U.S. Datenschutzschild“ eingereicht.

Die Klage der Digital Rights Ireland Ltd. (DRI), die die sich nach ihrer Satzung mit der Förderung und dem Schutz der Bürger- und Menschenrechte insbesondere in der Welt der modernen Kommunikationstechnologien befasst, zielt darauf ab, dass der „Privacy Shield-Beschluss“ der Kommission per Gerichtsentscheid für nichtig (rückwirkend unwirksam) erklärt wird. Das Verfahren ist unter dem Aktenzeichen T-670/16 beim Europäischen Gericht anhängig, welches dem europäischen Gerichtshof EuGH beigeordnet und für Klagen individuell Betroffener gegen EU-Rechtsakte zuständig ist.

Genaue Einzelheiten zu dem Verfahren sind noch nicht bekannt. Ob sich das Gericht aber inhaltlich mit dem „Privacy Shield“ befassen wird, ist offen. Dazu muss zunächst die Frage geklärt werden, ob die DRI überhaupt befugt ist, eine solche Nichtigkeitsklage zu erheben. Da der „Privacy-Shield-Beschluss an die Mitgliedstaaten und damit nicht direkt an die DRI gerichtet ist, muss die DRI hierfür nach dem einschlägigen EU-Prozessrecht geltend machen, dass der Privacy-Shield-Beschluss sie unmittelbar und in individuellen Rechten betrifft. Eine individuelle Betroffenheit ist schwer begründbar, da sich die DRI als Gesellschaft des Privatrechts – anders als eine natürliche Person – nicht selbst auf den Schutz personenbezogener Daten und des Privatlebens berufen kann. Gegebenenfalls kann sich die DRI aber auf eine erweiterte Variante der Klagebefugnis stützen. Danach ist eine individuelle Betroffenheit ausnahmsweise nicht erforderlich, wenn der „Privacy Shield“-Beschluss als „Rechtsakt mit Verordnungscharakter“ zu qualifizieren wäre, der die DRI unmittelbar betrifft und keine Durchführungsmaßnahmen erfordert, die im Ermessen der Mitgliedstaaten stehen. Durch diese Variante der Klagebefugnis soll vor allem Rechtsschutz gegen Rechtsakte ermöglicht werden, die nicht in einem förmlichen Gesetzgebungsverfahren erlassen wurden und – falls es noch nationaler Durchführungsmaßnahmen bedarf – den Mitgliedstaaten insoweit kein Ermessen einräumen. Andernfalls könnten – und müssten – nämlich die mitgliedstaatlichen Durchführungsmaßnahmen vorrangig vor den nationalen Gerichten angefochten werden. Der „Privacy Shield“-Beschluss wurde als Durchführungsbeschluss erlassen und könnte daher ggf. vom Gericht als „Rechtsakt mit Verordnungscharakter“ in diesem Sinne qualifiziert werden. Ob das Gericht die DRI aber für „unmittelbar“ betroffen“ hält, obwohl der Beschluss an die Mitgliedstaaten gerichtet ist, ist eine spannende Frage. Dazu müsste die DRI nach ständiger Rechtsprechung des Europäischen Gerichtshofs darlegen, dass der „Privacy Shield“-Beschluss sich unmittelbar auf ihre Rechtsstellung auswirkt und der Republik Irland bei seiner Durchführung keinerlei Ermessensspielraum lässt, da diese Durchführung rein automatisch erfolgt und sich allein aus dem Unionsrecht ergibt, ohne dass weitere Durchführungsvorschriften angewendet werden. Wie die DRI hier im Einzelnen argumentiert und auf die Beeinträchtigung welcher Interessen sie sich beruft, ist noch nicht bekannt. Ob es ausreicht, dass sie als Vertreterin von Bürgerrechten ein tatsächliches Interesse an der Aufhebung des „Privacy Shield“ hat, ist fraglich. Es erscheint jedoch nicht gänzlich ausgeschlossen, dass das Gericht die Klagebefugnis der DRI bejahen könnte. Nur wenn diese Hürde genommen wird, kann das Gericht den „Privacy Shield“-Beschluss inhaltlich daraufhin prüfen, ob er die EU-Verträge oder die EU-Grundrechtecharta verletzt oder aus einem anderen im EU-Recht geregelten Grund für nichtig erklärt werden muss. Dies ist nicht unwahrscheinlich, denn insbesondere an der Grundrechtskonformität des „Privacy Shield“ bestehen trotz der zuletzt am Beschluss vorgenommenen Änderungen begründete Zweifel (näher hierzu cepStudie und Presseinformation). Das cep wird das Verfahren weiter verfolgen.

 Dr. Anja Hoffmann, LL.M. Eur., hoffmann(at)cep.eu