Der Fall
Der Franzose Philippe Latombe kritisiert, dass der Angemessenheitsbeschluss gegen Art. 22 und Art. 32 DS-GVO verstoße, die US-Nachrichtendienste ohne Genehmigung eines Gerichts oder einer unabhängigen Verwaltungsbehörde massenhaft Daten erheben und den EU-Bürgern keine wirksamen Rechtsbehelfe zur Verfügung stehen. Die Unabhängigkeit des Civil Liberties Protection Officer (CLPO), der als erster die Beschwerde der EU-Bürger gegen unrechtmäßige Verarbeitung ihrer Daten durch die US-Nachrichtendienste prüft und Teil des Office of the Director of National Intelligence (ODNI) ist, sowie des in den USA neu geschaffenen Data Protection Review Court (DPRC), der die Entscheidungen des CLPO prüft, bezweifelte er. Er erhob gegen den Angemessenheitsbeschluss vom 10. Juli 2023 eine Nichtigkeitsklage.
Entscheidung des EuG
Das Gericht wies die Klage vollständig ab und bestätigte damit die Gültigkeit des Angemessenheitsbeschlusses. Es war der Ansicht, dass das DPF betroffenen Personen in der EU wirksamen Rechtsschutz biete. Die Unabhängigkeit des DPRC sah es aus folgenden Gründen gewahrt:
- Der EuG sah trotz der Errichtung des DPRC durch einen Akt der Exekutive in dessen Verfahrensweise (u. a. Spruchkörper aus drei Richtern, mindestens einer mit richterlicher Vorerfahrung, Unterstützung durch einen im Datenschutz und nationaler Sicherheit erfahrenen Sonderanwalt, Mehrheitsentscheidungen) hinreichende Garantien für die Unabhängigkeit und Unparteilichkeit des DPRC.
- Die Richter des DPRC werden durch den Generalstaatsanwalt nach Anhörung des Privacy and Civil Liberties Oversight Board (PCLOB) ernannt. Das PCLOB sei eine unabhängige Behörde, deren Mitglieder nach ihren beruflichen Qualifikationen, Leistungen, ihrem öffentlichen Ansehen, ihrem Fachwissen sowie ihrer Erfahrung unabhängig von ihrer politischen Zugehörigkeit ausgewählt werden.
- Die Richter des DPRC können nur vom Generalstaatsanwalt und nur aus triftigen Gründen abberufen werden.
- Weder der Generalstaatsanwalt noch die Nachrichtendienste dürfen die Arbeit des DPRC beeinflussen.
- Die Kommission überwache fortlaufend die Anwendung des Rechtsrahmens und könne bei Änderungen reagieren.
- Der DPRC prüfe die Beschwerde selbständig und stütze seine Entscheidung nicht nur auf Akten aus der Voruntersuchung des CLPO. Der DPRC sei an die Entscheidung des CLPO nicht gebunden.
- Die Entscheidung des DPRC sei endgültig und sowohl für den Geheimdienst als auch die US-Regierung bindend.
Zudem führt das Gericht aus, dass es den Nachrichtendiensten und dem Direktor des nationalen Nachrichtendienstes untersagt sei, die Arbeit des CLPO ungebührlich zu behindern oder zu beeinflussen. Insbesondere könne der CLPO nur vom Direktor des nationalen Nachrichtendienstes und nur aus triftigem Grund seines Amtes enthoben werden. Er soll dadurch seine Entscheidung unparteiisch treffen können.
Hinsichtlich der Sammelerhebung personenbezogener Daten wies das Gericht darauf hin, dass nichts im Schrems II-Urteil darauf hindeute, dass diese zwingend einer vorherigen Genehmigung durch eine Behörde oder ein Gericht bedürfe. Lediglich eine nachträgliche gerichtlichen Überprüfung müsse möglich sein. Laut der Erkenntnis des Gerichts unterliegen die US-Nachrichtendienste einer nachträglichen gerichtlichen Überprüfung durch den DPRC. Außerdem sei nach Art. 702 Foreign Intelligence Surveillance Act (FISA) nur eine gezielte Datenerhebung, für die klare und genaue Vorgehensweisen wie z. B. technische Maßnahmen zur Datenminimierung sowie die Bindung an sechs zulässige Zwecke (Schutz vor Terrorismus, Spionage, Massenvernichtungswaffen, Cyberbedrohungen, Drohungen gegen das Personal der Vereinigten Staaten oder ihre Verbündeten sowie grenzüberschreitende Kriminalität) festgelegt seien, zulässig.
Die USA verfügen über Gesetze, die den Verbrauchern in Bereichen wie Kredite, Beschäftigung, Wohnen und Versicherungen ein Recht auf Erklärung und ein Recht auf Anfechtung vollautomatisierter Entscheidungen einräumen. Diese Regelungen erachtete das Gericht als angemessen im Sinne des Art. 45 Abs. 1 i. V. m. Art. 22 DS-GVO.
Das EuG war der Auffassung, dass die Sicherheitsmaßnahmen der USA nicht mit den der EU identisch sein müssen, es reiche aus, wenn sie im Wesentlichen gleichwertig seien. Es stellte fest, dass die im DPF vorgesehenen Sicherheitsmaßnahmen und Verpflichtungen für US-Organisationen grundsätzlich den Anforderungen der DS-GVO entsprechen.
Fazit
Das Urteil stärkt den transatlantischen Datenverkehr und bringt nach den früheren Urteilen Schrems I und Schrems II erstmals wieder Rechtssicherheit für Unternehmen, die personenbezogene Daten in die USA übermitteln. Gleichwohl bleibt die Europäische Kommission verpflichtet, die praktische Umsetzung des DPF regelmäßig zu überwachen und bei Veränderungen im US-Recht oder in der Praxis der Nachrichtendienste anzupassen.
