Das Data Privacy Framework (DPF) regelt den Datenaustausch zwischen der EU und den USA. Es soll die Einhaltung hoher Datenschutzstandards gewährleisten. Nach dem Amtsantritt von Donald Trump ist der Fortbestand des DPF jedoch fraglich geworden, da sich die Frage stellt, ob es noch den gewünschten Schutzstandard bietet. Der Abgeordnete Philippe Latombe reichte daher als Nutzer von IT-Diensten, die unter das DPF fallen, Klage auf Nichtigerklärung des DPF vor dem Gericht der Europäischen Union ein – ohne Erfolg. Das Gericht wies die Klage ab. Der Beitrag analysiert die Gründe.
Der Inhalt im Überblick
Warum hielt Herr Latombe das Data Privacy Framework für nichtig?
Herr Latombe führt zur Nichtigkeit des DPF aus, dass der für die Überprüfung von Datenschutzbeschwerden zuständige Data Protection Review Court (DPRC) weder unparteiisch noch unabhängig sei. Zudem sei die Praxis der US-Nachrichtendienste zum Sammelabruf personenbezogener Daten ohne vorherige gerichtliche oder administrative Prüfung nicht hinreichend klar und präzise geregelt. Der DPF verfehle daher sein datenschutzrechtliches Gewährleistungsziel.
Das EuG bestätigt hinreichenden Schutz durch den DPF
Was den DPRC betrifft, so stellte das Gericht fest, dass die Ernennung der DPRC-Richter und dessen
Arbeitsweise durch mehrere Garantien und Bedingungen geschützt werde. So könnten die Richter des DPRC nur aus triftigen Gründen durch den Generalstaatsanwalt abberufen werden. Zudem sei es dem Generalstaatsanwalt sowie den Nachrichtendiensten untersagt, die Arbeit des DPRC zu behindern oder unrechtmäßig zu beeinflussen.
Außerdem sei die EU-Kommission für die Überwachung der Anwendung des DPF zuständig. Ändere sich der für das DPF relevante Rechtsrahmen in den USA, könne die Kommission beschließen, das DPF auszusetzen, zu ändern, aufzuheben oder seinen Anwendungsbereich einzuschränken. Dies sei bis dato nicht geschehen. Die Ausführungen des Gerichts können so verstanden werden, dass es vor einer Entscheidung über die Nichtigkeit gerne eine Entscheidung der Kommission abwarten würde. Dies ist politisch nachvollziehbar, rechtlich jedoch möglicherweise nicht.
Hinsichtlich der Praxis der US-Behörden zur Anordnung von Sammelabrufen führte das Gericht weiter aus, dass nachträglicher gerichtlicher Rechtsschutz gegen solche Anordnungen möglich sei. Dies sei ausreichend, da sich das Urteil des EuGH in der Rechtssache Schrems II lediglich mit der Möglichkeit einer gerichtlichen Prüfung nach Erlass der Anordnung befasse. Insofern unterschreitet der US-Rechtsrahmen nicht die durch das Urteil gesetzten Schutzstandards.
Kurzes Aufatmen – das Data Privacy Framework hält (noch)
Da Latombes Klage sehr eng gefasst war, konnte das Gericht einige strittige Fragen offenlassen. So spielten etwa der Zugriff auf EU-Daten via Cloud Act oder die Auslandsüberwachung per FISA-Gesetz durch US-Behörden für das Gericht keine Rolle. Dies kritisierte die Datenschutzorganisation Noyb in einer ersten Stellungnahme. Heißt, das DPF hat einer ersten gerichtlichen Prüfung standgehalten, in der Sache ist aber wohl noch nicht das letzte Wort gesprochen.
