Wenig überraschend kommt, dass nun auch der neue EU-US-Angemessenheitsbeschluss, das sogenannte Data Privacy Framework, auf dem Prüfstand steht. Bereits bei Inkrafttreten des neuen Datenschutzrahmens im Juli diesen Jahres kündigte der Datenschutzaktivist Max Schrems an, mit seiner NGO noyb vor dem EuGH gegen den Beschluss vorzugehen. Schrems, der mit seinen Klagen bereits die Unwirksamkeit der beiden Vorgängerabkommen erwirkt hatte, argumentiert damit, dass das neue Abkommen, weitgehend eine Kopie des gescheiterten „Privacy Shield“-Abkommens sei.
Schrems zuvor kommt nun allerdings Herr Philippe Latombe, ein französischer Staatsbürger, der bereits Anfang September die erste Klage beim Europäischen Gerichtshof in Luxemburg einreichte. Über das daneben angestrengte Eilverfahren entschied das Gericht mit Beschluss vom 12.10.2023 (Az.: T-553/23-R) und ließ es scheitern. Mit seinem Eilantrag begehrte Herr Latombe den Vollzug des Angemessenheitsbeschlusses auszusetzen.
Hintergrund des Verfahrens war, dass der französische Beschwerdeführer, der verschiedene Computerplattformen nutzte (u.a. SaaS-Plattformen wie Microsoft 365 und Doctolib), behauptete, der Angemessenheitsbeschluss füge ihm als Nutzer der Plattformen schwere und irreparable Schäden zu. Dies begründete er damit, dass seine personenbezogenen Daten an in den Vereinigten Staaten ansässige Organisationen übermittelt und von diesen genutzt werden könnten, ohne dass es, trotz Fehlens eines angemessenen Schutzniveaus in den USA, einer weitergehenden Prüfung der Vereinbarkeit mit Unionsrecht bedürfe.
Der EuGH sah jedoch mit dem Vortrag des Antragstellers weder Gründe dargelegt, aus denen sich in dem besonderen Fall ergeben würde, dass ein ernsthafter Schaden durch die Übermittlung seiner personenbezogenen Daten aufgrund des Angemessenheitsbeschlusses entstanden ist, noch Beweise dafür, dass die behauptete Nutzung der IT-Werkzeuge wirklich zu späteren Übermittlungen seiner Daten an die genannten zertifizierten Organisationen führen. Vielmehr beschränke sich der Beschwerdeführer auf allgemeine Ausführungen über die aus seiner Sicht negativen Auswirkungen des EU-US-Angemessenheitsbeschlusses. Insbesondere die Argumentation des Antragstellers in Bezug auf die, seiner Meinung nach, fehlende Rechtmäßigkeit des Beschlusses führe nicht bereits den Nachweis eines schweren, nicht wiedergutzumachenden Schadens, der die Dringlichkeit der beantragten Anordnung begründen würde.
Weiter monierte das Gericht das Fehlen jeglicher Präzisierung hinsichtlich Art oder Typ der betroffenen personenbezogenen Daten sowie das Fehlen von Ausführungen dazu, ob die beanstandeten Drittlandsübermittlungen durch andere Übermittlungsinstrumente abgesichert sind. Zudem erkläre der Beschwerdeführer nicht, inwieweit der Angemessenheitsbeschluss im Vergleich zur Situation vor dessen Inkrafttreten zu einer Benachteiligung für ihn führe. Auch bestehe, entgegen der Ansicht von Herrn Latombe, durchaus mit dem Instrument in Art. 77 DSGVO das Recht, sich an die Aufsichtsbehörde zu wenden, sofern er der Ansicht ist, dass die Verarbeitung seiner Daten gegen die DSGVO verstößt.
Ob seine Klage auf Nichtigerklärung der ersten beiden Artikel der angefochtenen Entscheidung in der Hauptsache ebenfalls abgewiesen wird, bleibt abzuwarten. Dies wird jedoch sicher nicht das Ende der gerichtlichen Befassung mit dem Data Privacy Framework sein. Wir werden Ihnen weiter berichten!
