Federal Government: No new right for data protection authorities to directly challenge Privacy Shield

On 13 May 2016, the German Bundesrat (representing the sixteen Länder) in a resolution (BR Drs. 171/16 (B) pdf, German) prompted the Federal Government to introduce a new law for a right of action by data protection authorities against so-called adequacy decisions of the EU Commission for third-country transfers of personal data, as formerly Safe Harbor and now the EU-U.S. Privacy Shield (see my earlier post, German). This demand originated in particular from the judgment of the ECJ in “Schrems” (C-362/14) in October 2015.

In a statement (pdf, German) from July 15, 2016 the Federal Government now takes a stand on this resolution of the Bundesrat.

The Ministry of the Interior indicates that it is already currently working intensively on the adaptation of the national data protection law to the General Data Protection Regulation (GDPR). The new national data protection law shall, in accordance to the provision of Art. 58 para 5 GDPR, also provide legal remedies for data protection authorities.

However, the Ministry of the Interior does not directly mention the possibility of a judicial remedy against an adequacy decision of the European Commission but only refers to Art. 58 para 5 GDPR. Art. 58 para 5 GDPR also does not refer to the legal challenge of adequacy decisions of the European Commission as such, but to „infringements of this Regulation“.

This refers to a transfer of data to a third country as such that is not in accordance with the provisions of the GDPR, for example not based on a decision on adequacy or for example standard contractual clauses. The binding adequacy decision of the European Commission’s decision is, at least in my interpretation, not the subject of Art. 58 para 5 GDPR, but the processing of personal data as such which could be illegal and therefore challenged. Of course, the basis for this transfer (like an adequacy decision) could then also be assessed by the ECJ as part of a the general assessment of lawfulness of the transfer.

This would also be in line with the ECJ case law, as the Court has emphasized (margin 61 of Schrems judgment, C-362 /14)): „the Court alone has jurisdiction to declare that an EU act, such as a Commission decision adopted pursuant to Article 25(6) of Directive 95/46, is invalid, the exclusivity of that jurisdiction having the purpose of guaranteeing legal certainty by ensuring that EU law is applied uniformly“.

The Federal Government also does not want to grant data protection authorities the right to launch an action for annulment before the ECJ in accordance with Art. 263 TFEU on behalf of the Federal Republic of Germany. This is mainly because the data protection supervisory authorities are and must be independent.

Bundesregierung: Kein Klagerecht für Datenschutzaufsichtsbehörden gegen Privacy Shield

Am 13. Mai 2016 hat der Bundesrat in einer Entschließung (BR Drs. 171/16 (B), pdf) die Bundesregierung dazu aufgefordert, zeitnah einen Gesetzentwurf für ein Klagerecht von Datenschutzaufsichtsbehörden gegen sog. Angemessenheitsbeschlüsse der Europäischen Kommission für Drittstaatentransfers personenbezogener Daten, wie vormals Safe Harbor und nun das EU-U.S. Privacy Shield, vorzulegen (hierzu mein Beitrag). Teil des Beschlusses des Bundesrates war auch ein eigener Vorschlag für einen neuen § 38b-E Bundesdatenschutzgesetz.

In einer Stellungnahme (pdf) vom 15. Juli 2016 äußert sich nun die Bundesregierung zu dieser Entschließung des Bundesrates.

Das Bundesministerium des Inneren weist darauf hin, dass man bereits derzeit intensiv an der Anpassung des nationalen Datenschutzrechts an die Datenschutz-Grundverordnung (DSGVO) arbeite. In dem neuen nationalen Datenschutzrecht soll es, entsprechend den Vorgaben von Art. 58 Abs. 5 DSGVO, auch Klagemöglichkeiten für Datenschutzaufsichtsbehörden geben. Jedoch spricht das Bundesinnenministerium nicht direkt die Klagemöglichkeit gegen eine Angemessenheitsentscheidung der Europäischen Kommission an. Art. 58 Abs. 5 DSGVO bezieht sich auch nicht auf die gerichtliche Anfechtung von Beschlüssen der Europäischen Kommission, sondern benennt „Verstöße gegen diese Verordnung“. Dies bezieht sich etwa auf eine Datenübermittlung in einen Drittstaat, die nicht auf der Grundlage einer Angemessenheitsentscheidung oder aber zum Beispiel unter Einsatz von Standardvertragsklauseln erfolgt.

Der bindende Beschluss der Europäischen Kommission ist, zumindest nach meiner Lesart, gerade nicht Gegenstand des Art. 58 Abs. 5 DSGVO, sondern die Datenübermittlung (also die Verarbeitung) selbst. Geht man gegen diese vor, könnte inzident am Ende durch den EuGH auch die zugrundeliegende Angemessenheitsentscheidung geprüft werden. Dies liegt auf einer Linie mit der Rechtsprechung des EuGH, der ausdrücklich betont hat (Rz. 61 des Schrems-Urteils, C-362/14)): „Gleichwohl ist allein der Gerichtshof befugt, die Ungültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission festzustellen“.

Nicht zugestehen will die Bundesregierung den Datenschutzaufsichtsbehörden darüber hinaus eine Ermächtigung, gegen Angemessenheitsbeschlüsse in Vertretung der Bundesrepublik Deutschland Nichtigkeitsklage vor dem EuGH nach Artikel 263 AEUV zu erheben. Dies vor allem deshalb, weil die Datenschutzaufsichtsbehörden unabhängig sind.

EU-US-Datenschutzschild: Europäische Datenschützer warten die erste gemeinsame Überprüfung ab

Nachdem die Europäische Kommission am 12. Juli 2016 das EU-US-Datenschutzschild (Privacy Shield) angenommen hat, äußerte sich heute in einer Pressemitteilung (pdf) die Art. 29 Datenschutzgruppe (die Vertreter der Datenschutzbehörden der Mitgliedstaaten) hierzu.

Grundsätzlich begrüßen die Datenschützer die Verbesserungen, welche sich gegenüber der im Jahre 2015 durch den Europäischen Gerichtshof für ungültig erklärten Safe Harbor-Entscheidung im Datenschutzschild finden. In ihrer Stellungnahme 01/2016 (pdf) zum Datenschutzschild beleuchteten die Datenschützer dennoch eine Vielzahl von aus ihrer Sicht verbesserungswürdigen Punkten. Einem Teil dieser Kritik hat die Europäische Kommission zusammen mit der US-amerikanischen Regierung nach Auffassung der Art. 29 Datenschutzgruppe nun in dem endgültigen Angemessenheitsbeschluss zum EU-US-Datenschutzschild Rechnung getragen.

Dennoch bemängeln die Datenschutzbeauftragten, dass ihrer Ansicht nach weiterhin gewisse Defizite sowohl im Teil der Regelungen zum privatwirtschaftlichen Datenaustausch als auch hinsichtlich des Zugangs zu personenbezogenen Daten durch US-amerikanische Behörden existieren. Nach Auffassung der Datenschutzbeauftragten stellt daher die erste jährliche Überprüfung der Funktionsweise des Datenschutzschildes (diese ist in dem Beschluss der Europäischen Kommission verbindlich vorgesehen) den Schlüsselmoment für die Frage der zukünftigen Effektivität des Datenschutzschildes dar. Im Rahmen dieser gemeinsamen Überprüfung werden sich daher auch die Datenschutzbehörden genau ansehen, ob die Europäische Kommission alle Kritikpunkte zu ihrer Zufriedenheit adressiert hat. Zudem, so die europäischen Datenschutzbeauftragten, wolle man insbesondere prüfen, ob sich die vorgesehenen Schutzmaßnahmen als tragfähig und effektiv erwiesen haben.

Das Ergebnis dieser ersten Überprüfung kann nach Auffassung der europäischen Datenschutzbeauftragten auch Einfluss auf andere Instrumente für die Datenübermittlung in Drittstaaten haben. Hierzu zählen insbesondere die sogenannten EU-Standardvertragsklauseln.

In ihrer Pressemitteilung gehen die europäischen Datenschutzbeauftragten nicht darauf ein, ob sie die Angemessenheitsentscheidung der europäischen Kommission bereits vor der ersten jährlichen Überprüfung angreifen möchten. Insbesondere die deutschen Aufsichtsbehörden hatten ja ein neues Klagerecht gefordert, um derartige Beschlüsse der Europäischen Kommission gerichtlich überprüfen lassen zu können. Insgesamt scheint die Pressemitteilung dafür zu sprechen, dass sich die europäischen Datenschutzbeauftragten zumindest planmäßig erstmalig inhaltlich mit dem neuen Datenschutzschild im Rahmen der jährlichen Überprüfung befassen werden und kein gemeinsames rechtliches Vorgehen geplant ist.

Das US-Handelsministerium hat in der Zwischenzeit auch eine offizielle Webseite zum EU-US-Datenschutzschild in Betrieb genommen. US-amerikanische Unternehmen können sich ab dem 1. August 2016 selbst zertifizieren.

Die Angemessenheitsentscheidung der Europäischen Kommission zum EU-US-Datenschutzschild findet man in deutscher Sprache hier (pdf; über die Webseite der österreichischen Datenschutzbehörde).

Irische Datenschutzbehörde veröffentlicht Jahresbericht 2015

Am 21. Juni 2016 hat die irische Datenschutzbeauftragte, Helen Dixon, den Tätigkeitsbericht der Aufsichtsbehörde für das Jahr 2015 vorgestellt.

Insbesondere, weil Irland der Standort europäischer Zentralen vieler „digital player“ darstellt, ist der Bericht der Behörde durchaus lesenswert. So wird unter anderem Über Prüfungen bei LinkedIn oder Facebook berichtet.

So berichtet die Behörde, dass man sich, nach einem Audit in 2013, oft mit Vertretern von LinkedIn im Jahre 2015 traf, um gemeinsam über mögliche Anpassungen der Plattform des beruflichen Online-Netzwerks zu reden. Konkrete Ergebnisse dieser Gespräche waren unter anderem Anpassungen bei den Kontrollmöglichkeiten für Mitglieder über die von ihnen bereit gestellten Informationen in dem sozialen Netzwerk.

Ein weiterer interessanter Aspekt sind internationale Datentransfers. Natürlich wird auch kurz das Urteil des EuGH zu Safe Harbor angesprochen. Nach dem Wegfall der betreffenden Kommissionsentscheidung als Grundlage für Datenübermittlungen in die USA, war (und ist es immer noch) für Unternehmen wichtig, alternative Instrumente zu finden. Für Datentransfers innerhalb eines Konzerns bieten sich insbesondere die Binding Corporate Rules (BCR) an. Hierbei handelt es sich um verbindliche, unternehmensinterne Richtlinien, die in Zusammenarbeit mit den europäischen Aufsichtsbehörden erstellt und von diesen genehmigt werden müssen.

Die irische Datenschutzbeauftragte berichtet, dass bereits im Jahr 2015 in vier Verfahren als federführende Aufsichtsbehörde für das Genehmigungsverfahren von BCR agierte. In den ersten Monaten des Jahres 2016 habe die Behörde zudem weitere Anträge von Unternehmen zur Prüfung von BCR erhalten. Diese Zunahme an beantragten Genehmigungsverfahren für BCR, insbesondere im Jahr 2016, dürfte auch mit dem Wegfall von Safe Harbor zusammenhängen. Wobei darauf hinzuweisen ist, dass BCR eben nur konzerninterne Datentransfers abdecken können und damit nicht für Datenübermittlungen an konzernfremde Unternehmen geeignet sind.

Hamburger Datenschützer: Safe Harbor-Urteil wirkt sich auf Einsatz von Analysetools aus

Seit Jahren herrschte in Deutschland bei der Einbindung von Analysetools durch Webseitenbetreiber, z.B. auch von Google Analytics, eine bewährte und durch die Datenschutzbehörden akzeptierte Praxis. Im Jahre 2009 hatten sich die deutschen Datenschutzbehörden auf Vorgaben für eine datenschutzkonforme Ausgestaltung von „Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ (PDF) geeinigt. Auf Betreiben der Datenschutzbehörde in Hamburg hin hat zudem Ende 2009 auch Google verschiedene Anpassungen an seinem Produkt Google Analytics vorgenommen, um einen aus Sicht der Datenschutzbehörden beanstandungsfreien Betrieb durch Webseitenbetreiber gewährleisten zu können.

Webseitenbetreiber mussten den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen. Zudem mussten Nutzer der Webseite in der Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufgeklärt und auf die Widerspruchsmöglichkeiten gegen die Erhebung personenbezogener Daten durch Google Analytics hingewiesen werden. Hierbei sollte auf die entsprechende Seite „http://tools.google.com/dlpage/gaoptout?hl=de“ verlinkt werden. Durch entsprechende Einstellungen im Google-Analytics-Programmcode musste die Kürzung von IP-Adressen in Auftrag gegeben werden (Funktion „_anonymizeIp()). Zuvor erhobene Altdaten mussten gelöscht werden. Diese Anforderung finden sich etwa noch auf der Webseite der Datenschutzbehörde in Nordrhein-Westfalen. Von der Webseite des Hamburgischen Beauftragten für Datenschutz wurden sie entfernt.

Der Grund: nach einer Mitteilung des Datenschutzbeauftragten aus Hamburg (Stand: Juni 2016) unterliegt die bisher veröffentlichte Handreichung zu den datenschutzrechtlichen Anforderungen an Webseitenbetreiber mit Sitz in Hamburg beim Einsatz von Google Analytics unter anderem wegen des Urteils des EuGH vom 06.10.2015 (C-362/14- Schrems) zur Ungültigkeit der Entscheidung der Kommission zum sogenannten Safe-Harbor-Abkommen mit den Vereinigten Staaten von Amerika zur Herstellung eines angemessenes Schutzniveaus einer datenschutzrechtlichen Überprüfung und gegebenenfalls einer Überarbeitung.

Der Hamburger Datenschützer weist in seiner Mitteilung darauf hin, dass nach Ziffer 4.7 der Anlage 1 „Regelungen zur Auftragsdatenverarbeitung“ der Google Analytics-Bedingungen zur Herstellung der Angemessenheit des Datenschutzniveaus für Datenübermittlungen in die USA auf die für ungültig erklärte Safe-Harbor-Entscheidung verwiesen wird. Die Angemessenheit des Datenschutzniveaus kann auf dieser Grundlage rechtlich jedoch nicht mehr sichergestellt werden. Die Schlussfolgerung des Datenschutzbeauftragten:

Dies wirkt sich unmittelbar auf den Einsatz des Dienstes aus. Eine Überprüfung der von uns empfohlenen Maßnahmen ist eingeleitet, allerdings noch nicht abgeschlossen. Wir stehen dabei auch im Gespräch mit dem Unternehmen Google.

Man wird nun abwarten müssen, welches Ergebnis nach der Überprüfung durch die Behörde und auch nach den Gesprächen mit Google selbst am Ende herauskommt. Eventuell wird die Behörde von Google fordern, dass Kunden ab sofort die EU-Standardvertragsklauseln abschließen müssen. Diese alternativen Übermittlungsinstrumente werden, so der Hamburgische Datenschutzbeauftragte in einer Pressemitteilung vom 6. Juni 2016, „derzeit nicht beanstandet“.

Hamburg Authority Reviews Recommendations For The Implementation Of Google Analytics

The previously published handout by the Data Protection Commissioner of Hamburg (“Commissioner”) about the data protection requirements for website operators based in Hamburg and their use of Google Analytics is subject to a review and possibly revision. According to a statement (German) by the Commissioner, this review is necessary inter alia because of the judgment of the European Court of Justice of 6.10.2016 (Case C-362/14 – Schrems) in which the court invalidated the adequacy decision of the European Commission for so-called Safe Harbor Agreement with the United States of America.

Paragraph 4.7 of Appendix 1 of the „Data Processing Agreement“ for the Google Analytics terms (PDF, German) refers to the now invalidated Safe Harbor Decision in order to create an adequate level of protection for personal data when it is transferred to the USA.

The adequacy of the level of data protection can no longer be guaranteed on this basis. According to the Commissioner, this “directly affects the use of the service”. A review of the recommendations has been initiated, but is not yet completed. The Commissioner is also in contact with Google.

In the past, the Data Protection Authority of Hamburg negotiated a solution for website operators in Hamburg to lawfully use Google Analytics. This solution was also acknowledged by the other German Data Protection Authorities. In the view of the authorities, the implementation of the tool required the following measures:

  • Conclusion of a data processing agreement (PDF, German) with Google
  • Activation of anonymization of the IP address (IP masking)
  • Information and link to an opt-out Add-on for Browsers and link to an opt-out Cookie
  • Amendment of the privacy policy with additional information about Google Analytics and the possibility to opt-out

This whole process was necessary because the authorities are of the opinion that an IP address must be considered “personal data”. This week, the Commissioner clarified that the use of alternative instruments for data transfers to third countries, especially the EU Model Clauses, will currently not be challenged. Perhaps the Commissioner will require Google to offer such EU Model Clauses for Google Analytics.

Hamburg Data Protection Watchdog Fines International Companies For Illegal Data Transfers

Today, the Data Protection Authority of Hamburg (“authority”) informed in a press statement (German) that, in the past months, it reviewed the data transfers of 35 international organizations based in Hamburg.

After the Schrems judgment in October 2015 by the European Court of Justice, declaring the former Safe Harbor-decision by the European Commission invalid, the authority contacted organizations in Hamburg operating also in the USA and reviewed the legality of the transfer of personal data to America, especially if other instruments than the Safe Harbor-decision was used. According to the press statement, the tests have shown that the vast majority of the companies had changed the legal basis of their transfers of data, implementing the so-called standard contractual clauses which are also based on a decision by the European Commission.

However, the authority informs that a few companies had not switched to a valid alternative within half a year after the judgement. The data transfers of these companies were therefore considered unlawful.
While some of the initiated proceedings could until now not be completed and other reviews are still running, three administrative fines issued due to illegal transfers of personal data of customers and employees have become legally binding now.

With regard to the new EU-US Privacy Shield, the designated successor of the Safe Harbor-decision, the Data Protection Commissioner of Hamburg, Prof. Caspar, calls on the European Commission and the US government to revise the draft decision in several key areas. Against this background, Prof. Caspar also wants to put the question of the legality of the EU standard contractual clauses on the table. But the commissioner also highlights that the use of these alterative instruments for data transfers to third countries is currently not objected.

Update:
According to a report by Spiegel Online (German), the three fined companies are Adobe (fine: 8.000 Euros), Punica (fine: 9.000 Euros) and Unilever (fine: 11.000 Euros). Since all three companies have changed the legal basis for data transfers during the proceeding, the fine was significantly smaller than the theoretical maximum of 300.000 Euros.

Bundesrat: Gesetzesvorschlag für ein neues Klagerecht der Datenschutzbehörden gegen Privacy Shield

In meinem Beitrag vom 19. April 2016 habe ich berichtet, dass das Land Hamburg (das Land Brandenburg hat sich dem angeschlossen) im Bundesrat einen Vorschlag für einen Antrag an die Bundesregierung eingebracht hat, mit dem die Bundesregierung aufgefordert werden soll, ein Klaggerecht für deutsche Datenschutzbehörden gegen sog. Angemessenheitsentscheidungen der Europäischen Kommission (wie vormals Safe Harbor und in Zukunft wohl das EU-US Privacy Shield) zu schaffen. Es solle eine entsprechende Gesetzesänderung auf Bundesebene im Verwaltungsrecht vorgenommen werden. Der Antrag ist auf der Webseite des Bundesrates abrufbar (PDF).

Hintergrund dieses Vorschlags ist das Urteil des Europäischen Gerichtshofs (EuGH) in der Sache „Schrems“ (C-362/14), mit dem die Safe Harbor-Entscheidung der Kommission für ungültig erklärt wurde. In dem Urteil verlangt das Gericht unter anderem, dass den nationalen Aufsichtsbehörden für den Datenschutz ein Klagerecht für den Fall zustehen muss, wenn ein Betroffener sich gegen eine Datenübermittlung in einen Drittstaat (wie die USA) wendet, die auf einer Angemessenheitsentscheidung der Europäischen Kommission (basierend auf Art. 25 Abs. 6 der Datenschutzrichtlinie (RL 95/46/EG) beruht. Dann müsse, so der EuGH, die Aufsichtsbehörde die Möglichkeit haben, vor den nationalen Gerichten von sich aus mit dem Ziel zu klagen, dass das angerufene Gericht die Frage der Gültigkeit eines Angemessenheitsbeschlusses (wie vormals Safe Harbor) dem EuGH vorlegt. Am 20. April 2016 (Pressemitteilung) haben sich auch die deutschen Datenschutzbehörden hinter den Vorschlag gestellt und die „rasche Schaffung eines Klagerechtes auch für die deutschen Datenschutzbehörden gefordert“.

Nun liegt ein entsprechender Gesetzesvorschlag (PDF) zur Einführung eines neuen „§ 38b BDSG – Verfahren zur Überprüfung von Rechtsakten nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG“ vor, der von dem Innenausschuss des Bundesrates erarbeitet und vom federführenden Rechtsausschuss angenommen wurde. Am 13. Mai 2016 soll der Bundesrat über diesen Antrag und den darin enthaltenen Gesetzesvorschlag beraten. Der Wortlaut des Vorschlags:

(1) Jede Aufsichtsbehörde ist im Rahmen ihrer Prüfung von Beschwerden eines Betroffenen über den Schutz seiner Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten, die aus der Bundesrepublik Deutschland an ausländische, nicht in § 4b Absatz 1 Satz 1 erfasste Stellen übermittelt werden, befugt, das Bundesverwaltungsgericht zur Entscheidung im ersten und letzten Rechtszug mit den Antrag anzurufen, festzustellen, dass ein zur Rechtfertigung der Übermittlung angewendeter Rechtsakt der Kommission nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG ungültig ist, weil das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisten.

(2) Absatz 1 gilt entsprechend für den Bundesbeauftragten oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die nach Landesrecht für die Kontrolle des Datenschutzes bei öffentlichen Stellen der Länder zuständigen Behörden.

Nachfolgend einige kurze Anmerkungen zu dem Vorschlag.

Nach Abs. 1 wären nur Prüfungen der Behörden hinsichtlich der „Verarbeitung“ personenbezogener Daten erfasst. Die Phase der Erhebung (§ 3 Abs. 3 BDSG) und auch ein „Nutzen“ (§ 3 Abs. 5 BDSG) personenbezogener Daten würden nicht dem Anwendungsbereich des neuen § 38b Abs. 1 BDSG unterfallen, selbst wenn eine Übermittlung der Daten stattfindet.

Aufsichtsbehörden könnten eine Feststellungsklage beim Bundesverwaltungsgericht erheben. Hierzu sollen sie „befugt“ sein. Nicht aus dem Urteil des EuGH wurde jedoch die Voraussetzung übernommen, dass die Aufsichtsbehörde die Beschwerde eines Betroffenen für „begründet“ erachten muss. (Rz. 64 des EuGH-Urteils: Insoweit ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen). § 38b Abs. 1 BDSG lässt die Klagemöglichkeit zum Bundesverwaltungsgericht ganz generell zu.

Der Klageantrag soll darauf gerichtet sein, festzustellen, dass „ein zur Rechtfertigung der Übermittlung angewendeter Rechtsakt der Kommission nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG ungültig ist“. Eine solche Feststellung kann ein nationales Gericht, ebenso wie eine nationale Aufsichtsbehörde, jedoch nicht treffen. Dies hat der EuGH in seinem Urteil ausdrücklich betont (Rz. 61 des EuGH-Urteils): „Gleichwohl ist allein der Gerichtshof befugt, die Ungültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission festzustellen“. Nach dem EuGH dürfen nationale Gerichte diesem nur ein Ersuchen um Vorabentscheidung über die Gültigkeit solcher Entscheidungen vorlegen. Zudem sind die nationalen Gerichte berechtigt, die Gültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission zu prüfen. Die Feststellung ihrer Ungültigkeit, ist jedoch nicht möglich.
Selbst wenn also in Zukunft z.B. die dem EU-US Privacy Shield zugrundeliegende Entscheidung durch den EuGH für ungültig erklärt werden sollte, so dürfte, wenn das Verfahren nach der Entscheidung des EuGH zurück an das Bundesverwaltungsgericht kommt, dieses nicht die Ungültigkeit der Angemessenheitsentscheidung feststellen. Im Ergebnis müsste es vor dem Bundesverwaltungsgericht wohl eher um die Feststellung gehen, dass eine auf einer Angemessenheitsentscheidung beruhende Übermittlung unzulässig ist. Im Rahmen einer erforderlichen Inzidentprüfung könnte dann dem EuGH die Frage der Gültigkeit der zugrundeliegenden Entscheidung der Europäischen Kommission vorgelegt werden.

Mit Blick auf die Klagemöglichkeit der Aufsichtsbehörden bei Datenübermittlungen in Drittstaaten bleibt es also weiter spannend. Man muss nun abwarten, inwiefern der Bundesrat den nun vorliegenden Antrag und Gesetzesvorschlag annimmt und im Rahmen der Entschließung die Bundesregierung zum Handeln auffordert.

German authorities slam draft Privacy Shield – Call for new legal remedies to challenge Commission decision

The draft EU-US Privacy Shield does not ensures an adequate level of protection for data transfers to the USA. That’s one conclusion of a new resolution (dated 20th April 2016, German) by the Conference of independent German data protection authorities (“Conference”).

Last week, the European data protection authorities (the Article 29 Working Party) published their critical “Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision” (PDF).

Now, also the German authorities publicly voice their concern. According to the resolution, the Conference shares the comprehensive analysis and supports the call on the EU Commission to make substantial improvements before adopting the adequacy decision contained therein. Specifically, the Conference holds that it

believes that the „EU-US Privacy Shield“ in its current form is not sufficient to ensure the „adequate level of data protection“ required for the transfer of personal data to the United States.

Furthermore, the Conference requests the German legislator to create, as soon as possible, a new legal remedy for data protection authorities to challenge adequacy decisions by the EU Commission in front of national courts in order to initiate a request for a preliminary ruling to the European Court of Justice (ECJ).

According to the resolution, the reason for the request of the Conference is the presentation of the draft EU-US Privacy Shield.

In the Safe Harbor judgment (C-362/14) of 6 October 2015, the ECJ hold that national supervisors must be able to engage in legal proceedings, where the national supervisory authority considers that the objections advanced by a person who has lodged with it a claim concerning the protection of his rights and freedoms in regard to the transfer of his personal data to a third country based on an adequacy decision are well founded. The ECJ ruled:

It is incumbent upon the national legislature to provide for legal remedies enabling the national supervisory authority concerned to put forward the objections which it considers well founded before the national courts in order for them, if they share its doubts as to the validity of the Commission decision, to make a reference for a preliminary ruling for the purpose of examination of the decision’s validity.

Whether such a legal remedy exists in Germany, is at least „doubtful“. That’s how the state of Hamburg describes the situation in a proposal to create such a new legal remedy. Therefore, at the next meeting of the German Federal Council (Bundesrat), on 22 April 2016, Hamburg will propose to demand the federal government to make appropriate changes in legislation at the federal level in administrative law. The request is available (PDF, German) on the website of the Federal Council.

This new resolution seems to show that German authorities already now prepare themselves for possible legal challenges against a future adequacy decision by the EU Commission. It will be interesting to see if the proposal by the state of Hamburg will be adopted in the Federal Council.

Bundesrat: Hamburg fordert neues Klagerecht für Datenschutzbehörden

In seinem Safe Harbor-Urteil (C-362/14) vom 6. Oktober 2015 stellte der Europäische Gerichtshof (EuGH) unter anderem fest, dass den nationalen Aufsichtsbehörden für den Datenschutz ein Klagerecht für den Fall zustehen muss, wenn ein Betroffener sich gegen eine Datenübermittlung in einen Drittstaat (wie die USA) wendet, die auf einer Angemessenheitsentscheidung der Europäischen Kommission beruht. Dann müsse die Aufsichtsbehörde die Möglichkeit haben, vor den nationalen Gerichten von sich aus mit dem Ziel zu klagen, dass das angerufene Gericht die Frage der Gültigkeit eines Angemessenheitsbeschlusses (wie vormals Safe Harbor) dem EuGH vorzulegen. Denn, auch dies hat der EuGH klargestellt, alleine er besitzt die Kompetenz, eine Kommissionsentscheidung für ungültig zu erklären.

Hier noch einmal die entsprechende Aufforderung des EuGH an den nationalen Gesetzgeber aus seinem Urteil:

Insoweit ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese, wenn sie die Zweifel der Kontrollstelle an der Gültigkeit der Entscheidung der Kommission teilen, um eine Vorabentscheidung über deren Gültigkeit ersuchen.

Ob ein solches Klagerecht der Behörden in Deutschland existiert, ist nach Auffassung des Landes Hamburg zumindest „unsicher“. Aus diesem Grund wird Hamburg in der nächsten Sitzung des Bundesrates, am 22. April 2016, vorschlagen, die Bundesregierung aufzufordern, entsprechende Gesetzesänderungen auf Bundesebene im Verwaltungsrecht vorzunehmen. Der entsprechende Antrag ist auf der Webseite des Bundesrates abrufbar (PDF). Nach Ansicht der Antragsteller soll mit der Einführung eines solchen Klagerechts auch nicht gewartet werden, bis das nationale Datenschutzrecht den zukünftigen Vorgaben der Datenschutz-Grundverordnung angepasst wurde. Diese Alternative hat in der Vergangenheit die Bundesregierung favorisiert, wie sich etwa aus der Antwort auf eine kleine Anfrage im Bundestag ergibt, PDF, dort S. 7).

Man darf gespannt sein, ob der Antrag aus Hamburg, nachdem er in den Ausschüssen des Bundesrates beraten wurde, in dieser Form der Bundesregierung zugeleitet wird.