Der Präsident des Senats der Freien und Hansestadt Hamburg
Hamburg, 4. April 2016
An den Präsidenten des Bundesrates
Herrn Ministerpräsidenten
Stanislaw Tillich
Sehr geehrter Herr Präsident,
der Senat der Freien und Hansestadt Hamburg hat beschlossen, dem Bundesrat die als Anlage beigefügte Entschließung des Bundesrates zur Einräumung eines Klagerechts für die Datenschutzaufsichtsbehörden von Bund und Ländern zur Umsetzung der Safe-Harbor-Entscheidung des EuGH zuzuleiten.
Ich bitte Sie, die Vorlage gemäß § 36 Absatz 2 der Geschäftsordnung des Bundesrates auf die Tagesordnung der 944. Sitzung des Bundesrates am 22. April 2016 zu setzen und sie anschließend den zuständigen Ausschüssen zur Beratung zuzuweisen.
Mit freundlichen Grüßen
Katharina Fegebank Zweite Bürgermeisterin
Entschließung des Bundesrates zur Einräumung eines Klagerechts für die Datenschutzaufsichtsbehörden von Bund und Ländern zur Umsetzung der SafeHarbor-Entscheidung des EuGH
- 1. Der Bundesrat betont, dass das vom Europäischen Gerichtshof (EuGH) in seinem Urteil vom 6.10.2015 (Rechtssache C-362/14) statuierte Klagerecht für Datenschutzaufsichtsbehörden für die Gewährleistung einer effektiven Datenschutzkontrolle von besonderer Bedeutung ist.
- 2. Der Bundesrat bittet die Bundesregierung, zeitnah einen Gesetzentwurf vorzulegen, mit dem den Datenschutzaufsichtsbehörden von Bund und Ländern ein ausdrücklich normiertes Klagerecht entsprechend den Vorgaben aus dem Urteil des EuGH vom 6.10.2015 eingeräumt wird.
Begründung:
Mit Urteil vom 6.10.2015 in der Rechtssache C-362/14 hat der EuGH die sogenannte Safe Harbor Entscheidung der Europäischen Kommission aus dem Jahre 2000 (2000/520/EG) für ungültig erklärt, nach der bei Unternehmen in den Vereinigten Staaten von Amerika ein angemessenes Schutzniveau hinsichtlich übermittelter personenbezogener Daten gewährleistet ist, soweit sie die Grundsätze der Safe Harbor Regelung akzeptieren. Damit hat der EuGH erneut den Stellenwert des in der Charta der Grundrechte der Europäischen Union verankerten Grundrechts auf den Schutz personenbezogener Daten bestätigt und zwar auch hinsichtlich der Übermittlung personenbezogener Daten in Drittländer.
Zugleich hat der EuGH die Rechtstellung der Datenschutzaufsichtsbehörden weiter gestärkt. Zur Beantwortung der Vorlagefrage wird festgestellt, dass Art. 25 Abs. 6 der Richtlinie 95/46/EG im Licht der Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen sei, dass eine aufgrund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 (zu Safe Harbor) die Kontrollstelle eines Mitgliedsstaates im Sinne von Art. 28 der Richtlinie nicht daran hindere, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten, die aus einem Mitgliedstaat in dieses Drittland übermitteln wurden, beziehe, wenn diese Person geltend mache, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisten. Zwar bleibe allein der Gerichtshof befugt, die Ungültigkeit eines Unionsrechtsaktes wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46/EG ergangenen Entscheidung der Kommission festzustellen. Halte die Aufsichtsbehörde aber die Rügen der Person, die sich mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung ihrer personenbezogenen Daten an sie gewandt hat, für begründet, müsse sie nach Art. 28 Abs. 3 Unterabs. 1 dritter Gedankenstrich der Richtlinie 95/46/EG im Licht insbesondere von Art. 8 Abs. 3 der Charta ein Klagerecht haben. Insoweit sei es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Aufsichtsbehörde ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese, wenn sie die Zweifel der Kontrollstelle an der Gültigkeit der Entscheidung der Kommission teilen, um eine Vorabentscheidung über deren Gültigkeit ersuchen (siehe Rn. 65 des Urteils).
Für die Datenschutzaufsichtsbehörden muss unter Berücksichtigung dieser Vorgaben die Möglichkeit bestehen bzw. geschaffen werden, eine gerichtliche Überprüfung weiterer bzw. neuer Angemessenheitsbeschlüsse nach Art. 25 Abs. 6 der Richtlinie 95/46/EG veranlassen zu können. Den Datenschutzaufsichtsbehörden muss eine effektive Prüfung der Frage eröffnet sein, ob Entscheidungen nach Art. 25 Abs. 6 der Richtlinie 95/46/EG den Maßstäben des Urteils des EuGH vom 6.10.2015 zum Vorliegen eines gleichwertigen Schutzniveaus in einem Drittland gerecht werden. Dies gilt insbesondere auch mit Blick auf eine neue Entscheidung der Kommission hinsichtlich der Übermittlung personenbezogener Daten in die Vereinigten Staaten von Amerika.
Insoweit besteht auf Bundesebene ein aktueller gesetzgeberischer Handlungsbedarf, dem bereits vor dem Prozess der Anpassung des Datenschutzrechts an die Datenschutzgrundverordnung nachzukommen ist. Denn ob in Deutschland bereits ein entsprechendes Klagerecht der Aufsichtsbehörden im Sinne des Urteils des EuGH existiert, ist unsicher. In Betracht käme allenfalls eine Feststellungsklage nach § 43 Verwaltungsgerichtsordnung (VwGO), gerichtet auf die Feststellung, dass die Befugnis zur Vornahme aufsichtsbehördlicher Maßnahmen gegenüber einem Dritten - trotz einer eigentlich entgegenstehenden Entscheidung der Kommission nach Art. 25 Abs. 6 der Richtlinie 95/46/EG - (fort-)besteht. Im Rahmen dieser Feststellungsklage könnte sodann eine inzidente Entscheidung über die Gültigkeit der Entscheidung der Kommission herbeigeführt werden, insbesondere durch eine Vorlage dieser Rechtsfrage gemäß Art. 267 AEUV. Es erscheint jedoch ungewiss, wer Beklagter einer Feststellungsklage nach § 43 VwGO wäre. Die EU bzw. die EU-Kommission scheidet als Beklagte aus. Bund und Länder haben entsprechende Kommissionsentscheidungen weder rechtlich zu verantworten noch sind sie mir ihrer Durchführung betraut. Der Dritte, gegen den sich die Aufsichtsmaßnahme richten soll, hat die Entscheidungen der Kommission ebenfalls nicht zu verantworten, so dass zweifelhaft erscheint, ob er verpflichtet werden kann, diese (mit entsprechendem Kostenrisiko) zu verteidigen. Angesichts dieser Unsicherheiten erscheint eine ausdrückliche gesetzliche Normierung eines Klagerechts der Datenschutzaufsichtsbehörden von Bund und Ländern geboten. Auch die Datenschutzkonferenz hat in ihrem Positionspapier vom 21. Oktober 2015 (Punkt 11) die Forderung erhoben, dass den Datenschutzbehörden ein Klagerecht entsprechend dem Urteil des EuGH eingeräumt wird. Zweckmäßig könnte insbesondere eine spezielle Form der Feststellungsklage sein, die auf einen Beklagten verzichtet.
An der Einführung einer entsprechenden Klagemöglichkeit sind die Länder gehindert. Das gerichtliche Verfahren unterfällt nach Art. 74 Abs. 1 Nr. 1 des Grundgesetzes (GG) der konkurrierenden Gesetzgebung. Der Bund hat von der ihm in Art. 74 Abs. 1 Nr. 1 GG übertragenen konkurrierenden Kompetenz, Organisation und Verfahren der Verwaltungsgerichte zu regeln, abschließend und erschöpfend Gebrauch gemacht (so ausdrücklich BVerfG, Beschl. v. 30.10.1990, 2 BvR 562/88; vgl. auch BVerfG, Beschl. v. 11.10.1966, 2 BvL 015/64 , wonach es den Ländern verwehrt ist, neue Klagearten einzuführen, die abweichend von den Regelungen der VwGO ausgestaltet sind). Für die Einführung einer besonderen Feststellungsklage durch die Länder besteht daher kein Raum. Zudem erscheint eine einheitliche Regelung für Bund und Länder auch zweckmäßig.