Der Beschluss 2010/87 der Kommission ĂŒber Standardvertragsklauseln fĂŒr die Ăbermittlung personenbezogener Daten an Auftragsverarbeiter in DrittlĂ€ndern ist hingegen gĂŒltig.
Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Daten grundsĂ€tzlich nur dann in ein Drittland ĂŒbermittelt werden dĂŒrfen, wenn das betreffende Land fĂŒr die Daten ein angemessenes Schutzniveau gewĂ€hrleistet.
Nach dieser Verordnung kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewÀhrleistet .
Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Ăbermittlung nur erfolgen, wenn der in der Union ansĂ€ssige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u. a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen ĂŒber durchsetzbare Rechte und wirksame Rechtsbehelfe verfĂŒgen.
Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Ăbermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen . Herr Schrems, ein in Ăsterreich wohnhafter österreichischer Staatsangehöriger, ist seit 2008 Nutzer von Facebook. Wie bei allen anderen im Unionsgebiet wohnhaften Nutzern werden seine personenbezogenen Daten ganz oder teilweise von Facebook Ireland an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, ĂŒbermittelt und dort verarbeitet. Herr Schrems legte bei der irischen Aufsichtsbehörde eine Beschwerde ein, die im Wesentlichen darauf abzielte, diese Ăbermittlungen verbieten zu lassen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin ĂŒbermittelten Daten. Seine Beschwerde wurde u. a. mit der BegrĂŒndung zurĂŒckgewiesen, die Kommission habe in ihrer Entscheidung 2000/5205 (sogenannte âSafe-Harbour-Entscheidungâ) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewĂ€hrleisteten.
Mit Urteil vom 6. Oktober 2015 erklĂ€rte der Gerichtshof auf ein Vorabentscheidungsersuchen des irischen High Court hin diese Entscheidung fĂŒr ungĂŒltig (im Folgenden: Urteil Schrems I)
Nachdem das Urteil Schrems I ergangen war und der irische High Court daraufhin die Entscheidung, mit der die Beschwerde von Herrn Schrems zurĂŒckgewiesen worden war, aufgehoben hatte, forderte die irische Aufsichtsbehörde Herrn Schrems auf, seine Beschwerde unter BerĂŒcksichtigung der UngĂŒltigerklĂ€rung der Safe-Harbour-Entscheidung durch den Gerichtshof umzuformulieren. Mit seiner umformulierten Beschwerde macht Herr Schrems geltend, Verordnung (EU) 2016/679 des EuropĂ€ischen Parlaments und des Rates vom 27. April 2016 zum Schutz natĂŒrlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. 2016, L 119, S. 1). 2 Art. 45 der DSGVO. 3 Art. 46 Abs. 1 und Abs. 2 Buchst. c der DSGVO. 4 Art. 49 der DSGVO. 5 Entscheidung der Kommission vom 26. Juli 2000 gemÀà der Richtlinie 95/46/EG des EuropĂ€ischen Parlaments und des Rates ĂŒber die Angemessenheit des von den GrundsĂ€tzen des âsicheren Hafensâ und der diesbezĂŒglichen âHĂ€ufig gestellten Fragenâ (FAQ) gewĂ€hrleisteten Schutzes, vorgelegt vom Handelsministerium der USA (ABl. 2000, L 215, S. 7). 6 Urteil des Gerichtshofs vom 6. Oktober 2015, Schrems, C-362/14 (vgl. auch Pressemitteilung Nr. 117/15).
www.curia.europa.eu dass die Vereinigten Staaten keinen ausreichenden Schutz der dorthin ĂŒbermittelten Daten gewĂ€hrleisteten. Er beantragt, die von Facebook Ireland nunmehr auf der Grundlage der Standardschutzklauseln im Anhang des Beschlusses 2010/877 vorgenommene Ăbermittlung seiner personenbezogenen Daten aus der Union in die Vereinigten Staaten fĂŒr die Zukunft auszusetzen oder zu verbieten. Die irische Aufsichtsbehörde war der Auffassung, dass die Bearbeitung der Beschwerde von Herrn Schrems insbesondere von der GĂŒltigkeit des Beschlusses 2010/87 ĂŒber Standardvertragsklauseln abhĂ€nge, und strengte daher ein Verfahren vor dem High Court an, damit er den Gerichtshof mit einem Vorabentscheidungsersuchen befassen möge. Nachdem dieses Verfahren eingeleitet worden war, erlieĂ die Kommission den Beschluss (EU) 2016/1250 ĂŒber die Angemessenheit des vom EU-US-Datenschutzschild (âPrivacy Shieldâ) gebotenen Schutzes8 .
Mit seinem Vorabentscheidungsersuchen fragt der irische High Court den Gerichtshof nach der Anwendbarkeit der DSGVO auf Ăbermittlungen personenbezogener Daten, die auf die Standardschutzklauseln im Beschluss 2010/87 gestĂŒtzt werden, sowie nach dem Schutzniveau, das diese Verordnung im Rahmen einer solchen Ăbermittlung verlangt, und den Pflichten, die den Aufsichtsbehörden in diesem Zusammenhang obliegen. Des Weiteren wirft der High Court die Frage der GĂŒltigkeit sowohl des Beschlusses 2010/87 ĂŒber Standardvertragsklauseln als auch des Privacy Shield-Beschlusses 2016/1250 auf.
Mit seinem heute verkĂŒndeten Urteil stellt der Gerichtshof fest, dass die PrĂŒfung des Beschlusses 2010/87 ĂŒber Standardvertragsklauseln anhand der Charta der Grundrechte der EuropĂ€ischen Union nichts ergeben hat, was seine GĂŒltigkeit berĂŒhren könnte. Den Privacy Shield-Beschluss 2016/1250 erklĂ€rt er hingegen fĂŒr ungĂŒltig. Der Gerichtshof fĂŒhrt zunĂ€chst aus, dass das Unionsrecht, insbesondere die DSGVO, auf eine zu gewerblichen Zwecken erfolgende Ăbermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansĂ€ssigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansĂ€ssigen Wirtschaftsteilnehmer Anwendung findet, auch wenn die Daten bei ihrer Ăbermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands fĂŒr Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.
Eine derartige Datenverarbeitung durch die Behörden eines Drittlands kann nicht dazu fĂŒhren, dass eine solche Ăbermittlung vom Anwendungsbereich der DSGVO ausgenommen wĂ€re. In Bezug auf das im Rahmen einer solchen Ăbermittlung erforderliche Schutzniveau entscheidet der Gerichtshof, dass die insoweit in der DSGVO vorgesehenen Anforderungen, die sich auf geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe beziehen, dahin auszulegen sind, dass die Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland ĂŒbermittelt werden, ein Schutzniveau genieĂen mĂŒssen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berĂŒcksichtigen, die zwischen dem in der Union ansĂ€ssigen Datenexporteur und dem im betreffenden Drittland ansĂ€ssigen EmpfĂ€nger der Ăbermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die ĂŒbermittelten Daten betrifft, die maĂgeblichen Aspekte der Rechtsordnung dieses Landes. Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Ăbermittlung obliegen, befindet der Gerichtshof, dass diese Behörden, sofern kein gĂŒltiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Ăbermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten,
Beschluss der Kommission vom 5. Februar 2010 ĂŒber Standardvertragsklauseln fĂŒr die Ăbermittlung personenbezogener Daten an Auftragsverarbeiter in DrittlĂ€ndern nach der Richtlinie 95/46/EG des EuropĂ€ischen Parlaments und des Rates (ABl. 2010, L 39, S. 5) in der Fassung des DurchfĂŒhrungsbeschlusses (EU) 2016/2297 der Kommission vom 16. Dezember 2016 (ABl. 2016, L 334, S. 100). 8 DurchfĂŒhrungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemÀà der Richtlinie 95/46/EG des EuropĂ€ischen Parlaments und des Rates ĂŒber die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (ABl. 2016, L 207, S. 1). www.curia.europa.eu wenn sie im Licht der UmstĂ€nde dieser Ăbermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der ĂŒbermittelten Daten nicht mit anderen Mitteln gewĂ€hrleistet werden kann, es sei denn, der in der Union ansĂ€ssige Datenexporteur hat die Ăbermittlung selbst ausgesetzt oder beendet. Sodann prĂŒft der Gerichtshof die GĂŒltigkeit des Beschlusses 2010/87 ĂŒber Standardvertragsklauseln.
Er sieht sie nicht schon dadurch in Frage gestellt, dass die in diesem Beschluss enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten ĂŒbermittelt werden, nicht binden. Vielmehr hĂ€ngt sie davon ab, ob der Beschluss wirksame Mechanismen enthĂ€lt, die in der Praxis gewĂ€hrleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestĂŒtzte Ăbermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoĂen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof stellt fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht. Insoweit hebt er insbesondere hervor, dass gemÀà diesem Beschluss der Datenexporteur und der EmpfĂ€nger der Ăbermittlung vorab prĂŒfen mĂŒssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der EmpfĂ€nger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die DatenĂŒbermittlung aussetzen und/oder vom Vertrag mit dem EmpfĂ€nger zurĂŒcktreten muss. SchlieĂlich prĂŒft der Gerichtshof die GĂŒltigkeit des Privacy-Shield-Beschlusses 2016/1250 anhand der Anforderungen der DSGVO im Licht der Bestimmungen der Charta, die die Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Rechtsschutz verbĂŒrgen. Insoweit stellt er fest, dass in diesem Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingerĂ€umt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten ĂŒbermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im PrivacyShield-Beschluss 2016/1250 bewerteten EinschrĂ€nkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland ĂŒbermittelt werden, zugreifen und sie verwenden dĂŒrfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfĂŒllt wĂŒrden, die den im Unionsrecht nach dem Grundsatz der VerhĂ€ltnismĂ€Ăigkeit bestehenden Anforderungen der Sache nach gleichwertig wĂ€ren, da die auf die amerikanischen Rechtsvorschriften gestĂŒtzten Ăberwachungsprogramme nicht auf das zwingend erforderliche MaĂ beschrĂ€nkt sind.
GestĂŒtzt auf die Feststellungen in diesem Beschluss weist der Gerichtshof darauf hin, dass die betreffenden Vorschriften hinsichtlich bestimmter Ăberwachungsprogramme in keiner Weise erkennen lassen, dass fĂŒr die darin enthaltene ErmĂ€chtigung zur DurchfĂŒhrung dieser Programme EinschrĂ€nkungen bestehen; genauso wenig ist ersichtlich, dass fĂŒr die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen StaatsbĂŒrger sind, Garantien existieren. Der Gerichtshof fĂŒgt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der DurchfĂŒhrung der betreffenden Ăberwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenĂŒber den amerikanischen Behörden gerichtlich durchgesetzt werden können. In Bezug auf das Erfordernis des gerichtlichen Rechtsschutzes befindet der Gerichtshof, dass der im Privacy-Shield-Beschluss 2016/1250 angefĂŒhrte Ombudsmechanismus entgegen den darin von der Kommission getroffenen Feststellungen den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wĂ€ren, d. h. Garantien, die sowohl die UnabhĂ€ngigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewĂ€hrleisten, die die Ombudsperson dazu ermĂ€chtigen, gegenĂŒber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen.
Aus all diesen GrĂŒnden erklĂ€rt der Gerichtshof den Beschluss 2016/1250 fĂŒr ungĂŒltig.
www.curia.europa.eu HINWEIS: Im Wege eines Vorabentscheidungsersuchens können die Gerichte der Mitgliedstaaten in einem bei ihnen anhĂ€ngigen Rechtsstreit dem Gerichtshof Fragen nach der Auslegung des Unionsrechts oder nach der GĂŒltigkeit einer Handlung der Union vorlegen. Der Gerichtshof entscheidet nicht ĂŒber den nationalen Rechtsstreit. Es ist Sache des nationalen Gerichts, ĂŒber die Rechtssache im Einklang mit der Entscheidung des Gerichtshofs zu entscheiden. Diese Entscheidung des Gerichtshofs bindet in gleicher Weise andere nationale Gerichte, die mit einem Ă€hnlichen Problem befasst werden.
Zur Verwendung durch die Medien bestimmtes nichtamtliches Dokument, das den Gerichtshof nicht bindet.
Quelle: www.curia.europa.eu
