Am 10.07.2023 hat die Europäische Kommission den Angemessenheitsbeschluss für den Datentransfer mit der USA – das Data Privacy Framework – erlassen. Dieser Beschluss soll die nötige Sicherheit des Datenverkehrs von EU-Bürger:innen und Unternehmen gewährleisten. Nun hat hat der französische Parlamentarier, Philippe Latombe, in einem Eilverfahren beim EuGH in Luxemburg beantragt, den Angemessenheitsbeschlusses auszusetzen. Dieser Antrag auf einstweilige Verfügung wurde vom EuGH mit Beschluss abgelehnt (Entscheidung vom 12.10.2023 – Az.: T-553/23-R).
Der Sachverhalt
Das Data Privacy Framwork erklärt die USA zu einem sicheren Drittland, in das Datentransfers einfacher möglich sind, als in Länder ohne entsprechende Angemessenheitsbeschlüsse. Philippe Latombe ist hier jedoch anderer Auffassung und reichte Klage ein, um das Data Privacy Framework zunächst aussetzen zu lassen. Als Begründung für den Antrag führte er auf, dass ihm schwere und irreparable Schäden zugefügt worden seien. Namentlich durch seine Nutzung verschiedener IT-Plattformen (Microsoft 365, Google und Doctolib) und dem nicht angemessenen Schutzniveau für personenbezogene Daten in den USA.
Konkret können personenbezogene Daten an die in den USA ansässigen Organisationen, die auf der CPD-Liste stehen, übermittelt und von diesen verwendet werden, ohne dass eine zusätzliche Überprüfung der Einhaltung des Unionsrechts erforderlich sei. Ferner hätte er nicht mehr das Recht, sich an die in Artikel 4 Absatz 21 DSGVO genannte Aufsichtsbehörde zu wenden, damit diese prüfen soll, ob seine personenbezogenen Daten rechtmäßig in die USA übermittelt werden.
Begründung der Ablehnung
Aufgrund der fehlenden Dringlichkeit – einem der Hauptgründe für eine solche Entscheidung – hat der EuGH den einstweiligen Verfügungsantrag zurückgewiesen. Es konnte nicht festgestellt werden, dass der Antragsteller einen schweren Schaden erleiden würde, wenn die Vollstreckung des Angemessenheitsbeschlusses nicht ausgesetzt würde. Der Antragsteller beschränke sich darauf, die Auswirkungen und negativen Aspekte der angefochtenen Entscheidung allgemein zu beschreiben, ohne die Art des Schadens zu erklären, den er persönlich erleiden würde.
Der EuGH stellte weiter fest, dass es dem Antragsteller frei bleibe, eine Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO einzureichen, wenn er der Auffassung ist, dass die Verarbeitung seiner personenbezogenen Daten gegen diese Verordnung verstößt.
Was bedeutet diese Entscheidung für Sie?
Zunächst ändert sich nichts und der Angemessenheitsbeschluss hat weiter Bestand. Daten können an Unternehmen mit Sitz in den USA, die sich zertifiziert haben, ohne das Erstellen einer TIA weitergegeben werden. Die Entscheidung im Hauptsacheverfahren bleibt jedoch noch abzuwarten. Ebenso hatte auch Max Schrems mit seiner NGO noyb bereits eine Klage gegen das Data Privacy Framework angekündigt. Wir werden Sie auf dem Laufenden halten.
Wenn Sie noch Fragen hierzu haben oder etwas unklar sein sollte, dann melden Sie sich gerne bei uns! Wir sind bundesweit tätig und unterstützen Sie gerne: info@sidit.de oder 0931-780 877-0.
