Am 13. Mai 2016 hat der Bundesrat in einer Entschließung (BR Drs. 171/16 (B), pdf) die Bundesregierung dazu aufgefordert, zeitnah einen Gesetzentwurf für ein Klagerecht von Datenschutzaufsichtsbehörden gegen sog. Angemessenheitsbeschlüsse der Europäischen Kommission für Drittstaatentransfers personenbezogener Daten, wie vormals Safe Harbor und nun das EU-U.S. Privacy Shield, vorzulegen (hierzu mein Beitrag). Teil des Beschlusses des Bundesrates war auch ein eigener Vorschlag für einen neuen § 38b-E Bundesdatenschutzgesetz.
In einer Stellungnahme (pdf) vom 15. Juli 2016 äußert sich nun die Bundesregierung zu dieser Entschließung des Bundesrates.
Das Bundesministerium des Inneren weist darauf hin, dass man bereits derzeit intensiv an der Anpassung des nationalen Datenschutzrechts an die Datenschutz-Grundverordnung (DSGVO) arbeite. In dem neuen nationalen Datenschutzrecht soll es, entsprechend den Vorgaben von Art. 58 Abs. 5 DSGVO, auch Klagemöglichkeiten für Datenschutzaufsichtsbehörden geben. Jedoch spricht das Bundesinnenministerium nicht direkt die Klagemöglichkeit gegen eine Angemessenheitsentscheidung der Europäischen Kommission an. Art. 58 Abs. 5 DSGVO bezieht sich auch nicht auf die gerichtliche Anfechtung von Beschlüssen der Europäischen Kommission, sondern benennt „Verstöße gegen diese Verordnung“. Dies bezieht sich etwa auf eine Datenübermittlung in einen Drittstaat, die nicht auf der Grundlage einer Angemessenheitsentscheidung oder aber zum Beispiel unter Einsatz von Standardvertragsklauseln erfolgt.
Der bindende Beschluss der Europäischen Kommission ist, zumindest nach meiner Lesart, gerade nicht Gegenstand des Art. 58 Abs. 5 DSGVO, sondern die Datenübermittlung (also die Verarbeitung) selbst. Geht man gegen diese vor, könnte inzident am Ende durch den EuGH auch die zugrundeliegende Angemessenheitsentscheidung geprüft werden. Dies liegt auf einer Linie mit der Rechtsprechung des EuGH, der ausdrücklich betont hat (Rz. 61 des Schrems-Urteils, C-362/14)): „Gleichwohl ist allein der Gerichtshof befugt, die Ungültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission festzustellen“.
Nicht zugestehen will die Bundesregierung den Datenschutzaufsichtsbehörden darüber hinaus eine Ermächtigung, gegen Angemessenheitsbeschlüsse in Vertretung der Bundesrepublik Deutschland Nichtigkeitsklage vor dem EuGH nach Artikel 263 AEUV zu erheben. Dies vor allem deshalb, weil die Datenschutzaufsichtsbehörden unabhängig sind.