Wer klärt, ob sich das Data Privacy Framework noch trägt?

Im Juli 2023 war das Data Privacy Framework (DPF) auf Grundlage einer Executive Order des US-Präsidenten Joe Biden in Kraft getreten. Es vereinfachte den unausweislichen EU-US-Datentransfer. Nun wackelt das DPF aber nach der Aufforderung der US-Administrative an drei Mitglieder des PCLOB, ihre Posten zu räumen. Auch das EU-Parlament soll die EU-Kommission aufgefordert haben zu prüfen, ob sich das DPF unter diesen Umständen weiter trägt. Der Beitrag beleuchtet, welche Optionen es aufsichtlich und gerichtlich gibt, um den rechtlichen Fortbestand des DPF zu klären.

Was ist bisher geschehen?

Ende Januar kam es zum datenschutzrechtlichen Paukenschlag beim Privacy and Civil Liberties Oversight Board (PCLOB): Drei demokratische Mitglieder wurden durch die neue Trump-Administration aufgefordert, das Gremium zu verlassen. Diese Entscheidung kann gravierende Folgen haben, denn, wie auch der EDSA in seinem ersten Bericht zur praktischen Umsetzung des Data Privacy Framework feststellt, ist das PCLOB eines der zentralen Aufsichtsgremien, das im Rahmen des DPF mit der Prüfung behördlicher Überwachungspraktiken und dem Schutz der Privatsphäre betraut ist. Ebenso spielt es eine eminent wichtige Rolle bei der Einhaltung des Data Privacy Frameworks, indem es Beschwerden europäischer Bürger zu Datenschutzverletzungen prüft. Wenn die Mitglieder das Gremium verlassen, besteht nun die Gefahr, dass das DPF mangels Gewährleistung hinreichenden Schutzes rechtlich kippt.

Wer kann wie zur Klärung beitragen?

Eine solche Klärung können die nationalen Datenschutzbehörden, der EDSA und Gerichte anstoßen.

Klärung durch Einlassung der nationalen und europäischen Aufsichtsbehörden

Als erste Maßnahme können die Datenschutzaufsichten des Bundes und der Länder separat oder über die Datenschutzkonferenz (DSK) Stellung zur Rechtswirkung des DPF nehmen. Deren Meinung wäre rechtlich unverbindlich, gäbe aber Sicherheit, ob beim EU-US-Datentransfer Sanktionen drohen.

Wegen der supranationalen Relevanz des DPF ist aber eine Klärung durch den EDSA vorzugswürdig. Dies kann er von sich aus, nach aufsichtlichen Ersuchen oder Anfrage der EU-Kommission tun, wenn eine „Angelegenheit mit allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat (…) geprüft wird, um eine Stellungnahme zu erhalten“ (Art. 64 Abs. 2 DSGVO).

Auch dessen Stellungnahme wäre unverbindlich, würde aber europäisch zu mehr Sicherheit führen.

Klärung durch Vorlage nationaler Gerichte an den EuGH

Anders als eine aufsichtliche Klärung wäre eine gerichtliche Klärung verbindlich Das gilt jedenfalls bei einem Urteil durch den EuGH, der als Primus inter pares das einzige Gericht ist, welches final über die Gültigkeit von europäischen Rechtsakten, wie dem Data Privacy Framework, urteilen darf.

Am ehesten ist zu erwarten, dass der EuGH über den regulären Vorlageweg mit der Frage des Fortbestands des DPF befasst wird. Im Zweifel mag sich zu einer dazu nötigen Klage Max Schrems berufen fühlen, der schon vorher Skepsis geäußert hat, ob der DPF eine Basis für den EU-US-Datentransfer schafft. Das Vorgehen der US-Regierung dürfte hier Wasser auf den Mühlen des streitbaren Datenschützers sein. Auch denkbar aber unplausibel ist eine Vorlage der deutschen Datenschutzbehörden an das BVerwG. Diese müssen die Frage vorlegen, wenn sie einen „Angemessenheitsbeschluss der Europäischen Kommission (…) auf dessen Gültigkeit es für eine Entscheidung der Aufsichtsbehörde ankommt, für rechtswidrig halten“ (§ 21 Abs. 1 BDSG).

Dieses kann den DPF für wirksam halten oder legt im Übrigen den EuGH die Frage vor (§ 21 Abs. 1 S. 3 BDSG). Ob die Datenschutzaufsichten von sich aus so proaktiv sind, ist aber zweifelhaft.

Klärung durch Klageerhebung direkt beim EuGH

Andenken kann man auch, Nichtigkeitsklage beim EuGH zu erheben. Das scheint aber schwer gangbar, da die Frage der Gültigkeit des DPF wohl kein zulässiger Klageinhalt wäre. Im Wege der Nichtigkeitsklage kann nämlich nur die Unzuständigkeit, Verletzung wesentlicher Formvorschriften, Verletzung der Verträge oder einer bei seiner Durchführung anzuwendenden Rechtsnorm gerügt oder wegen Ermessensmissbrauchs erhoben werden (Art. 263 Abs. 2 AEUV). Grundfall der Klage ist, dass ein Europäischer Rechtsakt anfänglich wegen eines solchen Fehlers mangelhaft war. Nicht, dass er ggf. nachträglich rechtswidrig geworden ist. Natürlich kann der EuGH diese Lücke im Wege der Analogie schließen – ob er das im Streitfall auch tun wird, ist aber unklar.

Data Privacy Framework – quo vadis?

Die Unsicherheit über den Fortbestand des DPF ist unschön, sollte aber nicht zu Panik verführen. Was mehr hilft, ist eine strukturierte Prüfung, welche Datentransfers in die USA gehen und ob diese wegen der Nutzung von SCCs als zweites Netz abgesichert sind oder aber durch deren Einführung nachträglich als zweites Netz abgesichert werden können.