23.11.17

Europäisches Gericht entscheidet zu „Privacy Shield“

Nichtigkeitsklage irischer Bürgerrechtsorganisation gegen „Privacy Shield“ als unzulässig abgewiesen. Der „EU-U.S. Datenschutzschild“ bleibt weiterhin in Kraft.

Das dem Europäischen Gerichtshof (EuGH) beigeordnete Gericht hat am 22. November die Nichtigkeitsklage der irischen Bürgerrechtsorganisation Digital Rights Ireland Ltd. (DRI) als unzulässig zurückgewiesen (Aktenzeichen T-670/16). Natürliche oder juristischer Personen seien nur dann befugt, vor den Europäischen Gerichten gegen EU-Rechtsakte zu klagen, wenn sie ein spezifisches Rechtsschutzbedürfnis geltend machen könnten (Art. 263 Abs. 4 AEUV). Ein solches Rechtsschutzbedürfnis liege aber nicht vor, so dass die DRI nicht klagebefugt sei.

Das Gericht begründete dies im Einzelnen damit, die DRI habe nicht geltend machen können, dass die Ungültigerklärung des „Privacy Shield“ für sie selbst rechtliche Konsequenzen habe oder sie aus der Klage im Ergebnis einen Vorteil ziehen könne. Als juristische Person könne die DRI sich nicht auf den Schutz personenbezogener Daten berufen. Soweit sie für die personenbezogenen Daten ihrer Anhänger verantwortlich sei, verschaffe ihr der „Privacy Shield“ lediglich Vorteile, indem er ihr den Transfer an zertifizierte US-amerikanische Unternehmen erlaube. Er schränke damit ihre Rechte nicht ein und erlege ihr keine Verpflichtungen auf. Halte sie die Regelungen des „Privacy Shield“ ein, könne sie auch nicht wegen Verletzung etwaiger Datenschutzpflichten belangt werden. Auf die weiteren Voraussetzungen für die Klagebefugnis, insbesondere auf die Frage, ob die DRI auch individuell betroffen ist, brauchte das Gericht somit nicht mehr einzugehen. Auch soweit die DRI die Klage im Namen ihrer Mitglieder, Anhänger und der Allgemeinheit erhebe, sei die Klage unzulässig. Art. 263 Abs. 4 AEUV sehe keine Popularklage vor. Art. 80 Abs. 2 der künftigen Datenschutzgrundverordnung (DSGVO) verpflichte zwar die Mitgliedstaaten, künftig auch Verbandsklagen unabhängig von einem Auftrag des Betroffenen zu ermöglichen. Die DSGVO sei jedoch erst ab dem 25. Mai 2018 anwendbar.

Der „Privacy Shield“ bleibt damit weiterhin in Kraft und zulässige Rechtsgrundlage. Das Urteil ist jedoch kein Signal dafür, ob der Datenschutzschild, der vom cep und aktuell erneut von den EU-Datenschutzbehörden kritisiert wurde, inhaltlich rechtmäßig ist. Denn mit dieser Frage hat sich das Gericht überhaupt nicht befasst, weil es die Klage bereits unzulässig hielt.

Dr. Anja Hoffmann, LL.M. Eur., EU-Verträge & -Institutionen, hoffmann(at)cep.eu