News
Klage gegen EU-US-Privacy Shield abgewiesen
Positives Signal für die digitale Wirtschaft: Am 22. November 2017 hat der General Court in Luxembourg (neben dem Gerichtshof das zweite Entscheidungsgremium des EuGH) einen Antrag auf Feststellung der Ungültigkeit der Angemessenheitsentscheidung der EU-Kommission zu Datentransfers in die USA (EU-US-Privacy Shield) zurückgewiesen (Urteil im Volltext). Das für den transatlantischen Datenverkehr immens wichtige EU-Privacy-Shield ist damit in seinem Bestand vorerst gesichert. Der BVDW hat zu diesem Thema eine Sonderseite mit aktuellen Informationen eingerichtet, die HIER abrufbar ist.
Die irische Organisation Digital Rights hatte ihren Antrag im eigenen Namen sowie im Namen ihrer Unterstützer eingereicht. Genau diese Antragsbefugnis verneinte das Gericht jedoch. Zwar können sowohl natürliche als auch juristische Personen Klage beim General Court erheben. Eine Antragsbefugnis ist jedoch nur gegeben, wenn die angegriffenen Akte sich direkt gegen diese richten oder im Sinne einer Verordnung unmittelbar auf diese wirken. Dies sei nicht gegeben, so das Gericht. Weder besitze die Organisation selbst personenbezogene Daten, da diese nur natürlichen Personen zustünden, noch habe die Angemessenheitsentscheidung der EU-Kommission rechtliche Konsequenzen für die Organisation selbst.
Soweit die Klage im Namen der Mitglieder und Unterstützer erhoben wurde stellt das Gericht außerdem fest, dass Digital Rights kein Verein sei und sich daher nicht auf die Rechtsprechung über die Zulässigkeit von Klagen berufen kann, die von Verbänden im Namen ihrer Mitglieder erhoben werden. Es wurde auch nicht nachgewiesen dass sie befugt ist, im Namen und für Rechnung dieser Mitglieder und Unterstützer Klagen im Hinblick auf den Schutz ihrer personenbezogenen Daten zu erheben.
Das Argument, dass Verbandsklagen nach Art. 80 Abs. 2 i.V.m. Art. 142 DSGVO zulässig sein, wurde mit dem Hinweis der aktuellen Unanwendbarkeit der DSGVO begegnet. Tatsächlich ist die DSGVO ist ab dem 25.Mai 2017 anwendbar. Dort ist dann erstmals auch vorgesehen, dass Verbände dort, wo mitgliedsstaatlich geregelt, Datenschutzverletzungen im eigenen Namen geltend machen dürfen (originäres Verbandsklagenrecht). Deutschland hatte ein solches Klagerecht am 16.April 2016 eingeführt und für eine entsprechende Öffnung der DSGVO plädiert.
Es sind noch weitere Verfahren zum EU-US-Privacy-Shield rechtshängig.