Skip to content

EuGH: EU-US Privacy Shield genügt nicht den Vorgaben der DSGVO und ist ungültig - Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln hingegen gültig

EuGH
Urteil vom 16.07.2020
C-311/18
Data Protection Commissioner / Maximillian Schrems und Facebook Ireland


Der EuGH hat entschieden, dass der EU-US Privacy Shield (Datenschutzshild) nicht den Vorhaben der DSGVO genügt und damit ungültig ist. Der Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln ist hingegen gültig

Die Pressemitteilung des EuGH

Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig

Der Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist hingegen gültig

Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Datengrundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Nach dieser Verordnung kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften
oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet . Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u. a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame
Rechtsbehelfe verfügen . Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen.

Herr Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, ist seit 2008 Nutzer von Facebook. Wie bei allen anderen im Unionsgebiet wohnhaften Nutzern werden seine personenbezogenen Daten ganz oder teilweise von Facebook Ireland an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Herr Schrems legte bei der irischen Aufsichtsbehörde eine Beschwerde ein, die im Wesentlichen darauf abzielte, diese Übermittlungen verbieten zu lassen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten. Seine Beschwerde wurde u. a. mit der Begründung zurückgewiesen, die Kommission habe in ihrer Entscheidung 2000/5205 (sogenannte „Safe-Harbour Entscheidung“) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten. Mit Urteil vom 6. Oktober 2015 erklärte der Gerichtshof auf ein Vorabentscheidungsersuchen des irischen High Court hin diese Entscheidung für ungültig (im Folgenden: Urteil Schrems I).

Nachdem das Urteil Schrems I ergangen war und der irische High Court daraufhin die Entscheidung, mit der die Beschwerde von Herrn Schrems zurückgewiesen worden war, aufgehoben hatte, forderte die irische Aufsichtsbehörde Herrn Schrems auf, seine Beschwerde unter Berücksichtigung der Ungültigerklärung der Safe-Harbour-Entscheidung durch den Gerichtshof umzuformulieren. Mit seiner umformulierten Beschwerde macht Herr Schrems geltend, dass die Vereinigten Staaten keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisteten. Er beantragt, die von Facebook Ireland nunmehr auf der Grundlage der Standardschutzklauseln im Anhang des Beschlusses 2010/877 vorgenommene Übermittlung seiner personenbezogenen Daten aus der Union in die Vereinigten Staaten für die Zukunft auszusetzen oder zu verbieten. Die irische Aufsichtsbehörde war der Auffassung, dass die Bearbeitung der Beschwerde von Herrn Schrems insbesondere von der Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln abhänge, und strengte daher ein Verfahren vor dem High Court an, damit er den Gerichtshof mit einem Vorabentscheidungsersuchen befassen möge. Nachdem dieses Verfahren eingeleitet worden war, erließ die Kommission den Beschluss (EU) 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes.

Mit seinem Vorabentscheidungsersuchen fragt der irische High Court den Gerichtshof nach der Anwendbarkeit der DSGVO auf Übermittlungen personenbezogener Daten, die auf die Standardschutzklauseln im Beschluss 2010/87 gestützt werden, sowie nach dem Schutzniveau, das diese Verordnung im Rahmen einer solchen Übermittlung verlangt, und den Pflichten, die den
Aufsichtsbehörden in diesem Zusammenhang obliegen. Des Weiteren wirft der High Court die Frage der Gültigkeit sowohl des Beschlusses 2010/87 über Standardvertragsklauseln als auch des Privacy Shield-Beschlusses 2016/1250 auf.

Mit seinem heute verkündeten Urteil stellt der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte. Den Privacy Shield-Beschluss 2016/1250 erklärt er hingegen für ungültig. Der Gerichtshof führt zunächst aus, dass das Unionsrecht, insbesondere die DSGVO, auf eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer Anwendung findet, auch wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.

Eine derartige Datenverarbeitung durch die Behörden eines Drittlands kann nicht dazu führen, dass eine solche Übermittlung vom Anwendungsbereich der DSGVO ausgenommen wäre. In Bezug auf das im Rahmen einer solchen Übermittlung erforderliche Schutzniveau entscheidet der Gerichtshof, dass die insoweit in der DSGVO vorgesehenen Anforderungen, die sich auf geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe beziehen, dahin auszulegen sind, dass die Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen müssen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf
die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes.

Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, befindet der Gerichtshof, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten
Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet. Sodann prüft der Gerichtshof die Gültigkeit des Beschlusses 2010/87 über
Standardvertragsklauseln. Er sieht sie nicht schon dadurch in Frage gestellt, dass die in diesem Beschluss enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Vielmehr hängt sie davon ab, ob der Beschluss wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof stellt fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht. Insoweit hebt er insbesondere hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.

Schließlich prüft der Gerichtshof die Gültigkeit des Privacy-Shield-Beschlusses 2016/1250 anhand der Anforderungen der DSGVO im Licht der Bestimmungen der Charta, die die Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Rechtsschutz verbürgen. Insoweit stellt er fest, dass in diesem Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit,
des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im PrivacyShield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der
Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. Gestützt auf die Feststellungen in diesem Beschluss weist der Gerichtshof darauf hin, dass die betreffenden Vorschriften hinsichtlich
bestimmter Überwachungsprogramme in keiner Weise erkennen lassen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen; genauso wenig ist ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, Garantien existieren. Der Gerichtshof fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.

In Bezug auf das Erfordernis des gerichtlichen Rechtsschutzes befindet der Gerichtshof, dass der im Privacy-Shield-Beschluss 2016/1250 angeführte Ombudsmechanismus entgegen den darin von der Kommission getroffenen Feststellungen den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären, d. h. Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen. Aus all
diesen Gründen erklärt der Gerichtshof den Beschluss 2016/1250 für ungültig.


Den Volltext der Entscheidung finden Sie hier:


BGH: Art. 9 Abs. 2 SEPA-VO ist Marktverhaltensregelung - Zahlung eines Verbrauchers in Deutschland per SEPA-Lastschrift von Luxemburger Konto muss zulässig sein

BGH
Urteil vom 06.02.2020
I ZR 93/18
SEPA-Lastschrift
UKlaG § 2 Abs. 1 Satz 1; UWG § 3a; Verordnung (EU) Nr. 260/2012 Art. 9 Abs. 2


Der BGH hat entschieden, dass Art. 9 Abs. 2 SEPA-VO ist Marktverhaltensregelung ist. Die Zahlung eines Verbrauchers in Deutschland per SEPA-Lastschrift von Luxemburger Konto darf vom Zahlungsempfänger nicht untersagt werden.

Leitsätze des BGH:

a) Art. 9 Abs. 2 der Verordnung (EU) Nr. 260/2012 des Europäischen Parlaments und des Rates zur Festlegung der technischen Vorschriften und der Geschäftsanforderungen für Überweisungen und Lastschriften in Euro und zur Änderung der Verordnung (EG) Nr. 924/2009 (SEPA-VO) ist ein Verbraucherschutzgesetz im Sinne des § 2 Abs. 1 Satz 1 UKlaG.

b) Art. 9 Abs. 2 SEPA-VO ist eine Marktverhaltensregelung im Sinne des § 3a UWG.

c) Das aus Art. 9 Abs. 2 SEPA-VO folgende Verbot, dass ein Zahlungsempfänger, der Lastschriften zum Geldeinzug verwendet, einem Zahler vorgibt, in welchem Mitgliedstaat er sein grundsätzlich für Lastschriften erreichbares Zahlungskonto zu führen hat, ist verletzt, wenn ein Zahlungsempfänger in Deutschland wohnhaften Verbrauchern die Bezahlung durch Lastschrift von einem in Luxemburg unterhaltenen Konto verwehrt.

BGH, Urteil vom 6. Februar 2020 - I ZR 93/18 - OLG Karlsruhe - LG Freiburg im Breisgau

Den Volltext der Entscheidung finden Sie hier:


EuGH: Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig - Facebook Ireland - Maximilian

EuGH-Generalanwalt
Schlussanträge vom 19.12.2019
C-311/18
Data Protection Commissioner / Facebook Ireland und Maximilian Schrems


Nach Ansicht des EuGH-Generalanwalts ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Pressemitteilung des EuGH:

Nach Ansicht von Generalanwalt Saugmandsgaard Øe ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Datenschutz-Grundverordnung sieht wie die Richtlinie über die Verarbeitung personenbezogener Daten, an deren Stelle sie getreten ist, vor, dass personenbezogene Daten an ein Drittland übermittelt werden können, wenn dieses für die Daten ein angemessenes Schutzniveau sicherstellt. Liegt kein Beschluss der Kommission vor, mit dem die Angemessenheit des Schutzniveaus im betreffenden Drittland festgestellt wird, darf der für die Verarbeitung Verantwortliche die Übermittlung dennoch vornehmen, wenn er sie mit geeigneten Garantien versieht. Diese Garantien können u. a. die Form eines Vertrags zwischen dem Exporteur und dem Importeur der Daten annehmen, der die in einem Beschluss der Kommission vorgesehenen Standarddatenschutzklauseln enthält. Mit dem Beschluss 2010/87/EU3 hat die Kommission Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern festgelegt. Die vorliegende Rechtssache betrifft die Gültigkeit dieses Beschlusses.

Sachverhalt und Vorgeschichte des Ausgangsrechtsstreits

Zur Vorgeschichte des Ausgangsrechtsstreits gehört ein Verfahren, das von Herrn Maximilian Schrems, einem österreichischen Nutzer von Facebook, eingeleitet wurde und bereits zum Urteil des Gerichtshofs vom 6. Oktober 2015 (Urteil Schrems) geführt hat.

Die Daten der in der Union wohnhaften Nutzer von Facebook wie Herr Schrems werden von Facebook Ireland, der irischen Tochtergesellschaft der Facebook Inc., ganz oder teilweise an Server in den Vereinigten Staaten übermittelt und dort verarbeitet. 2013 hatte Herr Schrems bei der für die Überwachung der Anwendung der Vorschriften über den Schutz personenbezogener
Daten zuständigen irischen Behörde (im Folgenden: Kontrollstelle) eine Beschwerde eingelegt, mit der er geltend machte, dass angesichts der von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten (insbesondere der National Security Agency, NSA) das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor den Überwachungstätigkeiten der Behörden gewährleisteten. Die
Kontrollstelle wies die Beschwerde u. a. mit der Begründung zurück, dass die Kommission in ihrer Entscheidung vom 26. Juli 20005 angenommen habe, dass die Vereinigten Staaten im Rahmen der sogenannten „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten.

Mit dem Urteil Schrems hat der Gerichtshof in Beantwortung einer Frage des High Court (Hoher Gerichtshof, Irland) die Safe-Harbor-Entscheidung für ungültig erklärt.

Im Anschluss an das Urteil Schrems erklärte das vorlegende Gericht die Entscheidung, mit der die Kontrollstelle die Beschwerde von Herrn Schrems zurückgewiesen hatte, für nichtig und verwies sie zur Prüfung zurück an die Kontrollstelle. Diese leitete eine Untersuchung ein und forderte Herrn Schrems auf, seine Beschwerde in Anbetracht der Ungültigerklärung der Safe-Harbor-Entscheidung neu zu formulieren.

Zu diesem Zweck bat Herr Schrems Facebook Ireland um Angabe der Rechtsgrundlagen, auf denen die Übermittlungen der personenbezogenen Daten der Nutzer von Facebook aus der Union in die Vereinigten Staaten beruhten. Facebook Ireland verwies auf ein Datenübertragungs- und -verarbeitungsabkommen (data transfer processing agreement) mit der Facebook Inc., das seit dem 20. November 2015 in Kraft sei, und berief sich auf den Beschluss 2010/87.

In seiner neu formulierten Beschwerde machte Herr Schrems zum einen geltend, dass die in dem Abkommen enthaltenen Klauseln nicht den Standardvertragsklauseln des Beschlusses 2010/87 entsprächen, und zum anderen, dass diese Standardvertragsklauseln jedenfalls keine Grundlage für die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten sein könnten. Es gebe nämlich keinen Rechtsbehelf, mit dem die Betroffenen in den Vereinigten Staaten ihre Rechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten geltend machen könnten. Herr Schrems beantragte daher bei der Kontrollstelle, diese Übermittlung in Anwendung des Beschlusses 2010/87 auszusetzen.

Mit ihrer Untersuchung wollte die Kontrollstelle feststellen, ob die Vereinigten Staaten einen angemessenen Schutz für personenbezogene Daten der Unionsbürger sicherstellen und – sollte dies nicht der Fall sein – ob der Rückgriff auf Standardvertragsklauseln ausreichende Garantien für den Schutz ihrer Grundfreiheiten und Grundrechte bietet. Da die Kontrollstelle zu dem Ergebnis kam, dass die Bearbeitung der Beschwerde von Herrn Schrems von der Frage abhänge, ob der
Beschluss 2010/87 gültig sei, leitete sie beim High Court ein Verfahren ein, damit dieser den Gerichtshof hierzu befrage. Der High Court ist dem Antrag dieser Behörde auf Vorlage eines Ersuchens um Vorabentscheidung nachgekommen.

In seinen heutigen Schlussanträgen schlägt Generalanwalt Henrik Saugmandsgaard Øe dem Gerichtshof vor, zu antworten, dass die Prüfung der Fragen nichts ergeben habe, was die Gültigkeit des Beschlusses 2010/87 beeinträchtigen könnte.

Der Generalanwalt stellt zunächst fest, dass es im Ausgangsrechtsstreit nur um die Feststellung gehe, ob der Beschluss 2010/87 gültig sei, mit dem die Kommission die Standardvertragsklauseln festgelegt habe, die für die in der Beschwerde von Herrn Schrems genannten Übermittlungen geltend gemacht worden seien.

Der Generalanwalt ist erstens der Ansicht, dass das Unionsrecht auf Übermittlungen personenbezogener Daten in ein Drittland anwendbar sei, wenn diese Übermittlungen zu gewerblichen Zwecken erfolgten, auch wenn die übermittelten Daten durch Behörden dieses Drittlands für Zwecke der nationalen Sicherheit verarbeitet werden könnten.

Zweitens stellt der Generalanwalt fest, dass die Bestimmungen der Datenschutz-Grundverordnung ber Übermittlungen in Drittländer bezweckten, ein kontinuierlich hohes Schutzniveau für personenbezogene Daten unabhängig davon sicherzustellen, ob die Daten auf der Grundlage einer Angemessenheitsentscheidung oder aufgrund geeigneter Garantien übermittelt würden, vom Exporteur gegeben würden. Dieses Ziel werde jedoch je nach der Rechtsgrundlage, die für die Übermittlung gelte, auf unterschiedliche Weise erreicht. Einerseits solle mit einer Angemessenheitsentscheidung festgestellt werden, ob ein bestimmtes Drittland aufgrund des dort geltenden Rechts und der dort geltenden Praxis für die Grundrechte der Personen, deren Daten
übermittelt würden, ein Schutzniveau sicherstelle, das dem Niveau, das sich aus der im Licht der Charta der Grundrechte der Europäischen Union ausgelegten Datenschutz-Grundverordnung ergebe, im Wesentlichen gleichwertig sei. Andererseits müssten die vom Exporteur – insbesondere vertraglich – gegebenen geeigneten Garantien selbst ein solches
Schutzniveau sicherstellen. Die Standardvertragsklauseln der Kommission für Übermittlungen sähen insoweit eine allgemeine Regelung vor, die unabhängig vom Bestimmungsland und dem dort sichergestellten Schutzniveau gelte.

Drittens prüft der Generalanwalt die Gültigkeit des Beschlusses 2010/87 anhand der Charta.

Seiner Ansicht nach führt der Umstand, dass der Beschluss und die darin enthaltenen Standardvertragsklauseln die Behörden des Drittbestimmungslandes nicht binden würden und diese durch ihn somit nicht daran gehindert seien, dem Importeur Pflichten aufzuerlegen, die mit der Beachtung dieser Klauseln unvereinbar seien, für sich allein nicht zur Ungültigkeit des Beschlusses. Die Vereinbarkeit des Beschlusses 2010/87 mit der Charta hänge davon ab, ob ausreichend wirksame Regelungen bestünden, mit denen sich sicherstellen lasse, dass die auf die Standardvertragsklauseln gestützten Übermittlungen ausgesetzt oder verboten würden, wenn diese Klauseln verletzt würden oder es unmöglich sei, sie einzuhalten.

Dies sei dann der Fall, wenn eine Pflicht – der für die Datenverarbeitung Verantwortlichen und, bei deren Untätigkeit, der Kontrollstellen – bestehe, eine Übermittlung auszusetzen oder zu verbieten, wenn aufgrund eines Konflikts zwischen den sich aus den Standardvertragsklauseln ergebenden Pflichten und den durch das Recht des Drittbestimmungslandes auferlegten Pflichten diese Klauseln nicht eingehalten werden könnten.

Der Generalanwalt stellt außerdem fest, dass das vorlegende Gericht bestimmte Beurteilungen der Kommission im Beschluss vom 12. Juli 2016, dem sog. Datenschutzschild-Beschluss, indirekt in Frage stelle. In diesem Beschluss hat die Kommission festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für die Daten gewährleisteten, die im Rahmen der mit diesem Beschluss aufgestellten Regelung aus der Union übermittelt würden, insbesondere in Anbetracht der Garantien, die bezüglich des Zugangs amerikanischer Nachrichtendienste zu diesen Daten bestünden, sowie des Rechtsschutzes, der Personen, deren Daten übermittelt würden, gewährt werde . Für die Entscheidung über den Ausgangsrechtsstreit hält der Generalanwalt es nicht für erforderlich, dass der Gerichtshof über die Gültigkeit des Datenschutzschild-Beschlusses entscheide, da der Rechtsstreit nur die Gültigkeit des Beschlusses 2010/87 betreffe. Gleichwohl führt der Generalanwalt hilfsweise aus, aus welchen Gründen sich für ihn im Hinblick auf die Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf Fragen bezüglich der Gültigkeit des Datenschutzschild-Beschlusses stellen.


Den Volltext der Schlussanträge finden Sie hier:

VG Köln: EuGH muss entscheiden ob Vodafone Mobilfunk-Option "Vodafone Pass" mit der Roaming-Verordnung vereinbar ist

VG Köln
Beschluss vom 19.11.2019
9 K 8221/18


Das VG Köln hat entschieden, dass der EuGH entscheiden muss, ob die Vodafone Mobilfunk-Option "Vodafone Pass" mit der Roaming-Verordnung vereinbar ist. Das VG Köln hat dem EuGH diverse Fragen zur Entscheidung vorgelegt.

Die Pressemitteilung des Gerichts:

Verwaltungsgericht Köln ruft wegen „Vodafone Pass“ EuGH an

Das Verwaltungsgericht Köln hat Zweifel an der Vereinbarkeit der von dem Telekommunikationsunternehmen Vodafone angebotenen Mobilfunk-Option „Vodafone Pass“ mit europarechtlichen Vorgaben. Es hat deshalb mit Beschluss vom gestrigen Tag in einem von Vodafone angestrengten Klageverfahren den Europäischen Gerichtshof (EuGH) angerufen und ihm Fragen zur Auslegung der so genannten Roaming-Verordnung (Verordnung (EU) Nr. 531/2012) vorgelegt.

Bei der kostenlosen Tarifoption „Vodafone Pass“ wird das durch die Nutzung der Dienste von Partnerunternehmen verbrauchte Datenvolumen nicht auf das Inklusivdatenvolumen des jeweiligen Mobilfunktarifs angerechnet (sog. Zero-Rating). Dies gilt allerdings nur im Inland. Im Ausland wird die Nutzung der betreffenden Dienste hingegen auf das Datenvolumen angerechnet. Ferner behält sich Vodafone vor, die Tarifoption künftig auch im europäischen Ausland anzubieten. Für diesen Fall soll eine „Fair Use Policy“ mit einer maximal möglichen Nutzung der Tarifoption im europäischen Ausland im Umfang von fünf Gigabyte Datenvolumen monatlich gelten. Die Bundesnetzagentur sieht in der Tarifoption einen Verstoß gegen die Vorgaben der Roaming-Verordnung. Mit Bescheid vom 15. Juni 2018 untersagte sie daher die Fortführung des Angebots. Hiergegen erhob Vodafone im Dezember 2018 Klage vor dem Verwaltungsgericht.

Das Gericht möchte vom EuGH wissen, ob die Beschränkung der Tarifoption auf das Inland mit dem in der Roaming-Verordnung enthaltenen Verbot vereinbar ist, für Roaming-Dienste im europäischen Ausland ein zusätzliches Entgelt gegenüber dem inländischen Endkundenpreis zu verlangen. Des Weiteren hat es dem EuGH Fragen dazu vorgelegt, ob die von der Klägerin vorgesehene „Fair Use Policy“ mit der Verordnung vereinbar ist. Insoweit hält das Gericht für klärungsbedürftig, inwieweit die Tarifoption „Vodafone Pass“ einer Nutzungsgrenze im Ausland unterworfen werden darf.

Der Beschluss ist unanfechtbar.

EuGH: Möglichkeit der Zahlung per SEPA-Lastschrift darf nicht von einem Wohnsitz im Inland abhängig gemacht werden - Deutsche Bahn AG

EuGH
Urteil vom 05.09.2019
C-28/18
Verein für Konsumenteninformation / Deutsche Bahn AG


Der EuGH hat entschieden, dass die Möglichkeit der Zahlung per SEPA-Lastschrift nicht von einem Wohnsitz im Inland des Anbieters abhängig gemacht werden darf.

Die Pressemitteilung des EuGH:

Die Möglichkeit, per SEPA-Lastschrift zu zahlen, darf nicht von einem Wohnsitz im Inland abhängig gemacht werden

Der österreichische Verein für Konsumenteninformation beanstandet vor den österreichischen Gerichten eine Klausel in den Beförderungsbedingungen der Deutschen Bahn, nach der die über die Website der Deutschen Bahn getätigten Buchungen nur dann im SEPALastschriftverfahren bezahlt werden können, wenn der Zahler einen Wohnsitz in Deutschland hat.

Der mit der Rechtssache befasste Oberste Gerichtshof (Österreich) möchte vom Gerichtshof wissen, ob eine solche Vertragsklausel gegen das Unionsrecht verstößt. In seinem heutigen Urteil bejaht der Gerichtshof diese Frage: Die EU-Verordnung über Überweisungen und Lastschriften in Euro steht einer Vertragsklausel wie der fraglichen entgegen,
die die Zahlung im SEPA-Lastschriftverfahren ausschließt, wenn der Zahler seinen Wohnsitz nicht in dem Mitgliedstaat hat, in dem der Zahlungsempfänger seinen Sitz hat.

Da nämlich die Verbraucher ein Zahlungskonto meistens in dem Mitgliedstaat haben, in dem sie ihren Wohnsitz haben, wird durch das Erfordernis eines Wohnsitzes im Inland indirekt der Mitgliedstaat bestimmt, in dem das Zahlungskonto zu führen ist, was ein Lastschriftempfänger nach der Verordnung ausdrücklich nicht darf. Durch dieses nach der Verordnung bestehende
Verbot soll es den Verbrauchern ermöglicht werden, für jegliche Zahlung per Lastschrift innerhalb der Union nur ein einziges Zahlungskonto zu nutzen, wodurch die Kosten, die mit der Führung mehrerer Zahlungskonten verbunden sind, vermieden werden.

Dabei spielt es keine Rolle, dass die Verbraucher alternative Zahlungsmethoden, wie etwa Kreditkarte, PayPal oder Sofortüberweisung, nutzen können. Zwar können die Zahlungsempfänger frei wählen, ob sie den Zahlern die Möglichkeit einräumen, im SEPA-Lastschriftverfahren zu zahlen. Wenn sie aber diese Zahlungsmethode anbieten, dürfen sie diese – entgegen der Auffassung der Deutschen Bahn – nicht an Voraussetzungen knüpfen, die die praktische Wirksamkeit des Verbots beeinträchtigen würden, dem Zahler vorzuschreiben, dass er sein Konto in einem bestimmten Mitgliedstaat führt.

Außerdem hindert einen Zahlungsempfänger nichts daran, das Missbrauchs- oder Zahlungsausfallsrisiko zu verringern, indem er z. B. die Fahrkarten erst liefert bzw. deren Ausdruck ermöglicht, nachdem er die Bestätigung über den tatsächlichen Einzug der Zahlung erhalten hat.


Den Volltext der Entscheidung finden Sie hier:


BVerfG: Regelungen zur Europäischen Bankenunion bei strikter Auslegung der Vorschriften nicht kompetenzwidrig und damit verfassungskonform

BVerfG
Urteil vom 30.07.2019
2 BvR 1685/14 und 2 BvR 2631/14

Das Bundesverfassungsgericht hat entschieden, dass die Regelungen zur Europäischen Bankenunion bei strikter Auslegung der Vorschriften nicht kompetenzwidrig und damit verfassungskonform sind.

Die Pressemitteilung des Bundesverfassungsgerichts:

Regelungen zur Europäischen Bankenunion bei strikter Auslegung nicht kompetenzwidrig

Die Europäische Union hat durch die Regelungen zur Europäischen Bankenunion, namentlich zum Einheitlichen Bankenaufsichtsmechanismus (Single Supervisory Mechanism, SSM) und zum Einheitlichen Abwicklungsmechanismus (Single Resolution Mechanism, SRM), bei strikter Auslegung ihre durch die Verträge zugewiesenen Kompetenzen nicht überschritten. Die SSM- und SRM-Verordnung berühren auch nicht die Verfassungsidentität. Dies hat der Zweite Senat des Bundesverfassungsgerichts mit heute verkündetem Urteil entschieden. Danach überschreitet die SSM-Verordnung nicht in offensichtlicher Weise die primärrechtliche Ermächtigungsgrundlage des Art. 127 Abs. 6 AEUV, da sie der Europäischen Zentralbank (EZB) die Aufsicht über die Kreditinstitute in der Eurozone nicht vollständig überträgt. Die Errichtung und Kompetenzausstattung des Ausschusses für die einheitliche Abwicklung (Single Resolution Board, SRB) durch die SRM-Verordnung begegnen zwar im Hinblick auf das Prinzip der begrenzten Einzelermächtigung Bedenken; eine offensichtliche Kompetenzüberschreitung liegt jedoch nicht vor, sofern die Grenzen der dem Ausschuss zugewiesenen Aufgaben und Befugnisse strikt beachtet werden. Bleibt die Gründung von unabhängigen Agenturen auf Ausnahmefälle beschränkt, so ist auch die Verfassungsidentität des Grundgesetzes nicht berührt. Die Absenkung des demokratischen Legitimationsniveaus, wie sie mit der Unabhängigkeit der unionalen und der nationalen Aufsichts- und Abwicklungsbehörden einhergeht, ist allerdings nicht unbegrenzt zulässig und bedarf der Rechtfertigung. Im Bereich der Bankenaufsicht und -abwicklung ist sie im Ergebnis noch hinnehmbar, weil sie durch besondere Vorkehrungen kompensiert wird, die eine demokratische Rückbindung ermöglichen. Im Ergebnis haben Bundesregierung und Deutscher Bundestag nicht am Zustandekommen oder der Umsetzung von Sekundärrecht, das die Grenzen des Integrationsprogramms überschreitet, mitgewirkt; eine Verletzung der Beschwerdeführer in ihrem Recht aus Art. 38 Abs. 1 Satz 1 GG scheidet damit aus.

Sachverhalt:

Unter dem Begriff „Europäische Bankenunion“ wird die Übertragung nationaler Kompetenzen auf europäische Institutionen und die Schaffung einheitlicher Regelungen für die Finanzmarktaufsicht und Abwicklung von Kreditinstituten zusammengefasst. Deren Kern sind der einheitliche Bankenaufsichtsmechanismus, bei dem Aufsichtsbefugnisse gegenüber „systemrelevanten Banken“ in den Mitgliedsstaaten des Euro-Währungsgebietes auf die Europäische Zentralbank übertragen worden sind, und der einheitliche Bankenabwicklungsmechanismus, mit dem zur Abwicklung zahlungsunfähiger Großbanken der Ausschuss sowie der Fonds für die einheitliche Abwicklung (Fonds) errichtet worden ist. Der Fonds befindet sich derzeit noch im Aufbau.

Die Verfassungsbeschwerden richten sich im Wesentlichen gegen die beiden zugrundeliegenden Verordnungen (SSM-Verordnung, SRM-Verordnung) und das zur Zustimmung ermächtigende Bundesgesetz (SSM-VO-Gesetz).

Wesentliche Erwägungen des Senats:

1. Der Erlass der SSM-Verordnung unter Zugrundelegung der vom Senat vorgenommenen Auslegung stellt keine hinreichend qualifizierte Überschreitung der der Europäischen Union durch die Verträge zugewiesenen Kompetenzen dar. Mit der SSM-Verordnung ist der EZB die Bankenaufsicht nicht vollständig übertragen worden.

a) Die Übertragung der Aufsichtsbefugnisse auf die EZB erweist sich insoweit nicht als offensichtliche Überschreitung der Einzelermächtigung aus Art. 127 Abs. 6 AEUV. Danach können der EZB besondere Aufgaben im Zusammenhang mit der Aufsicht über Kreditinstitute und sonstige Finanzinstitute mit Ausnahme von Versicherungsunternehmen übertragen werden.

aa) Die SSM-Verordnung sieht eine Zweiteilung der Bankenaufsicht vor. Dabei verbleibt es im Wesentlichen bei der Zuständigkeit der nationalen Behörden, während der EZB lediglich besondere Aufsichtsbefugnisse zukommen, die für eine kohärente und wirksame Politik der Europäischen Union in diesem Bereich entscheidend sind. Der EZB werden dazu bestimmte Aufgaben übertragen, die sie für alle Kreditinstitute in der Eurozone wahrzunehmen hat. Hinsichtlich der übrigen Bereiche wird ihr grundsätzlich nur die Aufsicht für bedeutende Kreditinstitute zugewiesen, während die nationalen Aufsichtsbehörden regelmäßig für weniger bedeutende Kreditinstitute nach Maßgabe der von der EZB erlassenen Verordnungen, Leitlinien und allgemeinen Weisungen zuständig bleiben. Auch in allen nicht von der SSM-Verordnung erfassten Bereichen der Bankenaufsicht verbleibt es bei der Zuständigkeit der nationalen Aufsichtsbehörden.

bb) Die nationalen Aufsichtsbehörden üben ihre Befugnisse aufgrund originärer Zuständigkeiten aus und nicht infolge einer Ermächtigung durch die EZB. Eine solche Rückdelegation setzte eine vollständige Übertragung der Aufsicht auf die EZB voraus, die die SSM-Verordnung jedoch gerade nicht vorsieht. Andernfalls läge darin eine offensichtliche und strukturell bedeutsame Überschreitung des Integrationsprogramms, die den Mitgliedstaaten einen zentralen Bereich der Wirtschaftsaufsicht entzöge. Eine solche Auslegung der SSM-Verordnung ist weder mit dem Wortlaut von Art. 127 Abs. 6 AEUV vereinbar noch systematisch vertretbar.

Die Entscheidung des Europäischen Gerichtshofs (EuGH) vom 8. Mai 2019 (C-450/17 P Landeskreditbank Baden-Württemberg/Europäische Zentralbank) steht dem nicht entgegen. Der EuGH bestätigt darin die Auffassung des Gerichts der Europäischen Union (EuG), der EZB sei in Bezug auf die in Art. 4 Abs. 1 SSM-VO genannten Aufgaben eine ausschließliche Zuständigkeit übertragen worden, deren dezentralisierte Ausübung durch die nationalen Behörden im Rahmen des SSM und unter Aufsicht der EZB bei den weniger bedeutenden Kreditinstituten im Sinne von Art. 6 Abs. 4 Unterabs. 1 SSM-VO hinsichtlich einiger dieser Aufgaben durch Art. 6 gestattet werde. Auch sei der EZB die ausschließliche Befugnis eingeräumt worden, den Inhalt des Begriffs „besondere Umstände“ im Sinne von Art. 6 Abs. 4 Unterabs. 2 SSM-VO zu bestimmen, so dass der EZB die ausschließliche Aufsicht hinsichtlich aller Institute zusteht, die nach den Kriterien von Art. 6 Abs. 4 Unterabs. 2 SSM-VO grundsätzlich als bedeutend gelten. Eine umfassende Aufsichtskompetenz der EZB auch bezüglich der – zahlenmäßig weit überwiegenden – weniger bedeutenden Kreditinstitute ist damit unbeschadet des Selbsteintrittsrechts nach Art. 6 Abs. 5 SSM-VO jedoch nicht verbunden. Die bisherige Praxis der Bankenaufsicht bestätigt die vom Senat vorgenommene Auslegung.

Da die SSM-Verordnung nur die Aufgaben und Befugnisse auf die EZB übertragen hat, die für eine effektive Aufsicht zwingend erforderlich sind, und angesichts der weiterhin bestehenden umfangreichen Befugnisse der nationalen Behörden, scheidet auch eine offenkundige Verletzung des Subsidiaritätsprinzips aus.

b) Auch die Errichtung des Aufsichtsgremiums (Supervisory Board) durch Art. 26 Abs. 1 SSM-VO stellt sich nicht als offensichtlicher Verstoß gegen Art. 129 Abs. 1 AEUV und Art. 141 Abs. 1 AEUV in Verbindung mit Art. 44 ESZB-Satzung dar.

c) In der vom Senat vorgenommenen Auslegung berührt die SSM-Verordnung schließlich auch nicht die durch Art. 23 Abs. 1 Satz 3 in Verbindung mit Art. 79 Abs. 3 GG geschützte Verfassungsidentität. Soweit sie den durch Art. 38 Abs. 1 Satz 1 in Verbindung mit Art. 20 Abs. 1 und Abs. 2 in Verbindung mit Art. 79 Abs. 3 GG verankerten „Anspruch auf Demokratie“ betrifft, ist diese auch im Rahmen der Ultra-vires-Kontrolle Prüfungsmaßstab.

aa) Ultra-vires-Kontrolle und Identitätskontrolle stehen als eigenständige Prüfverfahren nebeneinander. Auch wenn sich beide Kontrollvorbehalte auf Art. 79 Abs. 3 GG zurückführen lassen, liegt ihnen ein jeweils unterschiedlicher Prüfungsansatz zugrunde. Eine zulässige Verfassungsbeschwerde erfordert daher einen hinreichend substantiierten Vortrag zu den Voraussetzungen entweder der Ultra-vires- oder der Identitätsrüge. An die jeweils zulässig erhobene Rüge ist das Bundesverfassungsgericht gebunden.

Soweit mit der Verfassungsbeschwerde dagegen zulässigerweise eine Verletzung des „Anspruchs auf Demokratie“ gerügt wird, geht es um einen einzigen Prüfungsmaßstab. In diesem Fall haben Ultra-vires- und Identitätskontrolle nicht nur dieselbe verfassungsrechtliche Wurzel, sie decken sich auch im Hinblick auf das als verletzt gerügte Recht und das Ziel der Verfassungsbeschwerde. Eine mit der Berührung des „Anspruchs auf Demokratie“ verbundene Maßnahme der Europäischen Union kann nicht auf einer primärrechtlichen Ermächtigung beruhen, weil auch der mit der Mehrheit des Art. 23 Abs. 1 Satz 3 in Verbindung mit Art. 79 Abs. 2 GG entscheidende Integrationsgesetzgeber der Europäischen Union keine Hoheitsrechte übertragen kann, mit deren Inanspruchnahme eine Berührung der von Art. 79 Abs. 3 GG geschützten Verfassungsidentität einherginge.

Wird eine Ultra-vires- oder eine Identitätsrüge zulässigerweise auf eine mögliche Verletzung des „Anspruchs auf Demokratie“ gestützt, muss die in Rede stehende Maßnahme der Europäischen Union daher (mittelbar) umfassend auf ihre Vereinbarkeit mit Art. 38 Abs. 1 Satz 1 in Verbindung mit Art. 20 Abs. 1 und Abs. 2 in Verbindung mit Art. 79 Abs. 3 GG überprüft werden.

bb) Die mit der Unabhängigkeit der EZB und der nationalen Aufsichtsbehörden verbundene Absenkung des demokratischen Legitimationsniveaus im Bereich der Bankenaufsicht stellt die parlamentarische Verantwortung für die entsprechenden Maßnahmen nicht in einer Art. 20 Abs. 2 Satz 1 in Verbindung mit Art. 79 Abs. 3 GG berührenden Weise in Frage.

Zwar ist diese Absenkung bedenklich, weil sie zu dem weitreichenden und schwer einzugrenzenden Mandat der EZB im Bereich der Währungspolitik hinzutritt. Sie ist im Ergebnis allerdings noch hinnehmbar, weil sie durch besondere Vorkehrungen kompensiert wird, die der demokratischen Rückbindung ihres hier in Rede stehenden Handelns dienen. Eine demokratische Rückbindung erfahren die im Vollzug der SSM-Verordnung ergehenden Entscheidungen durch die Bestellung der Beschlussorgane der EZB, durch ihre Bindung an das einschlägige Primärrecht – die Grundsätze der begrenzten Einzelermächtigung, der Verhältnismäßigkeit und die Charta der Grundrechte – sowie an die Vorgaben der SSM-Verordnung. Darüber hinaus wendet sie auch von den nationalen Parlamenten verabschiedetes Recht an, soweit hierdurch Richtlinien umgesetzt werden oder von in Verordnungen vorgesehenen Wahlrechten Gebrauch gemacht wurde. Soweit der EZB dort Ermessen eingeräumt wird, steht ihr zwar ein weiter Spielraum zu; das ist im Ergebnis jedoch noch hinnehmbar, weil die Einflussknicke durch besondere Vorkehrungen wie Rechtsschutzmöglichkeiten, Rechenschafts- und Berichtspflichten der EZB gegenüber den Organen der Europäischen Union und den nationalen Parlamenten kompensiert werden.

Auch die in der SSM-Verordnung enthaltene Anordnung, dass die nationalen Aufsichtsbehörden bei der Wahrnehmung der durch die SSM-Verordnung geregelten Aufgaben unabhängig handeln und keinen Weisungen unterliegen, wirft im Hinblick auf das Legitimationsniveau der von den zuständigen deutschen Behörden erlassenen Maßnahmen Probleme auf. Das betrifft die Aufsicht über die weniger bedeutenden Kreditinstitute ebenso wie die Unterstützungsaufgaben zugunsten der EZB. Ministerielle Erlasse und Weisungen sind insoweit unzulässig. Dies steht in einem deutlichen Spannungsverhältnis zu dem durch Art. 20 Abs. 2 Satz 1 in Verbindung mit Art. 79 Abs. 3 GG geschützten Grundsatz der Volkssouveränität, ist jedoch sachlich gerechtfertigt und berührt im Ergebnis nicht den verfassungsrechtlichen Identitätskern. Die unabhängige Aufgabenwahrnehmung soll der Effektivität und dem Schutz vor ungebührlicher politischer Einflussnahme und Einmischungen der Wirtschaft dienen. Sie macht eine parlamentarische Kontrolle der deutschen Aufsichtsbehörden im Übrigen nicht unmöglich: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Deutsche Bundesbank verfügen jeweils unverändert über eine organisatorisch-personelle und sachlich-inhaltliche demokratische Legitimation. Diese wird durch Rechtsschutzmöglichkeiten und besondere Informationsrechte zumindest so abgesichert, dass der Deutsche Bundestag gegenüber den Bürgerinnen und Bürgern für ihre Tätigkeit verantwortlich bleibt.

2. Auch die SRM-Verordnung stellt keinen Ultra-vires-Akt dar und hält im Ergebnis der verfassungsgerichtlichen Identitätskontrolle stand.

a) Errichtung und Kompetenzausstattung des Ausschusses stellen keine hinreichend qualifizierte Überschreitung der der Europäischen Union nach Art. 114 Abs. 1 AEUV zugewiesenen Kompetenzen dar. Auch wenn diese im Hinblick auf das Prinzip der begrenzten Einzelermächtigung bedenklich erscheint, so genügen Gründung und Kompetenzausstattung des Ausschusses doch den in der Rechtsprechung des EuGH entwickelten Kriterien. Jedenfalls bei strikter Beachtung der zugewiesenen Aufgaben und Befugnisse fehlt es an einem offensichtlichen und strukturell bedeutsamen Verstoß gegen Art. 114 Abs. 1 AEUV.

b) Die von der SRM-Verordnung angeordnete Unabhängigkeit sowohl des Abwicklungsausschusses als auch der BaFin bei der Wahrnehmung entsprechender Aufgaben verstößt angesichts der vorhandenen Kompensationsmaßnahmen nicht gegen Art. 20 Abs. 1 und Abs. 2 in Verbindung mit Art. 79 Abs. 3 GG.

aa) Auch hier steht die Errichtung unabhängiger Einrichtungen und sonstiger Stellen der Europäischen Union in einem Spannungsverhältnis zum Demokratiegebot, auch hier bedarf sie einer spezifischen Rechtfertigung und der Sicherstellung, dass die Mitgliedstaaten und Organe der Europäischen Union in der Lage sind, deren Handeln demokratisch zu verantworten und die diesbezüglichen Rechtsgrundlagen gegebenenfalls anzupassen, zu ändern oder aufzuheben.

Das Verfahren zur Ernennung der Mitglieder des bei der Aufgabenwahrnehmung unabhängig handelnden Ausschusses, die ihm auferlegten Rechenschaftspflichten und die Unterwerfung unter eine umfassende verwaltungsinterne wie gerichtliche Kontrolle stellen eine hinreichende demokratische Steuerbarkeit sicher.

bb) Soweit die SRM-Verordnung auch die nationalen Abwicklungsbehörden beim Vollzug des SRM für unabhängig erklärt, liegt darin eine weitere Absenkung des demokratischen Legitimationsniveaus. Dies wird jedoch durch Transparenzanforderungen sowie Berichts- und Rechenschaftspflichten gegenüber den nationalen Parlamenten ein Stück weit ausgeglichen. Auch die gerichtliche Kontrolle trägt zur demokratischen Legitimation der von der BaFin erlassenen Maßnahmen bei. Der Rechtsschutz muss jedoch den Erfordernissen des Art. 19 Abs. 4 GG gerecht werden.

Eine Berührung des Grundsatzes der Volkssouveränität lässt sich vermeiden, wenn die einzelnen Vorkehrungen im Lichte des Demokratieprinzips ausgelegt und angewandt und die Möglichkeiten für eine demokratische Rückkoppelung an den Deutschen Bundestag ausgeschöpft werden.

c) Die haushaltspolitische Gesamtverantwortung des Deutschen Bundestages wird durch die Bankenabgabe nicht in verfassungsrechtlich relevanter Weise beeinträchtigt. Eine offensichtliche Überschreitung der Binnenmarktharmonisierungskompetenz des Art. 114 Abs. 1 AEUV durch Vorgaben der SRM-Verordnung liegt nicht vor.

aa) Mit Hilfe des in Art. 67 SRM-VO geregelten Fonds soll eine Inanspruchnahme von Steuergeldern zur Abwicklung von Finanzinstituten für die Zukunft ausgeschlossen und eine gemeinschaftliche Haftung der Finanzinstitute in den teilnehmenden Mitgliedstaaten etabliert werden, die die Finanzierung einer Abwicklung auch in den Fällen sicherstellen soll, in denen die Heranziehung der Eigentümer und Gläubiger nicht genügt. Eine Haftung der teilnehmenden Mitgliedstaaten wird hierdurch nicht begründet. Der Fonds unterstützt den einheitlichen Abwicklungsmechanismus und ermöglicht es ihm, im Ausnahmefall Abwicklungsmaßnahmen zu finanzieren. Er soll insbesondere dazu beitragen, eine einheitliche Verwaltungspraxis bei der Abwicklungsfinanzierung sicherzustellen sowie Wettbewerbsverzerrungen im Binnenmarkt vorbeugen.

bb) Unabhängig davon, dass die Bankenabgabe nicht im Eigenmittelbeschluss geregelt ist und primärrechtlich daher fragwürdig sein mag, ist unter dem Blickwinkel von Art. 23 Abs. 1 in Verbindung mit Art. 20 Abs. 1 und Abs. 2 in Verbindung mit Art. 79 Abs. 3 GG entscheidend, dass ihre Erhebung nicht auf der SRM-Verordnung, sondern auf dem deutschen Restrukturierungsfondsgesetz beruht. Die Übertragung des Aufkommens der Bankenabgabe auf den Fonds erfolgt ebenfalls nicht auf der Grundlage der SRM-Verordnung, sondern auf der Basis des zwischenstaatlichen Übereinkommens vom 21. Mai 2014 über die Übertragung von Beiträgen auf den einheitlichen Abwicklungsfonds und über die gemeinsame Nutzung dieser Beiträge. Ein Verstoß gegen das Integrationsprogramm liegt daher ebenso fern wie eine Berührung der haushaltspolitischen Gesamtverantwortung des Deutschen Bundestages.

3. Das SSM-VO-Gesetz ist vor diesem Hintergrund verfassungsrechtlich nicht zu beanstanden. Der Deutsche Bundestag hat mit ihm vielmehr seine Integrationsverantwortung wahrgenommen.

Den Volltext der Entscheidung finden Sie hier:





LG Düsseldorf: Vodafone Pass muss auch im EU-Ausland gelten - Mobilfunktarif für Internetnutzung darf im EU-Ausland nicht teurer wie im Inland sein

LG Düsseldorf
Urteil vom 08.05.2019
12 O 158/18


Da LG Düsseldorf hat entschieden, dass der Vodafone Pass nicht nur in Deutschland, sondern auch im EU-Ausland gelten muss. Ein Mobilfunktarif für die Internetnutzung darf im EU-Ausland nicht teurer wie im Inland sein

Den Volltext der Entscheidung finden Sie hier:

Datenschutzkonferenz: Brexit-Positionspapier zur Datenübermittlung in das Vereinigte Königreich Großbritannien und Nordirland ab dem 30. März 2019 - DSGVO

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat ein Brexit-Positionspapier zur Datenübermittlung in das Vereinigte Königreich Großbritannien und Nordirland ab dem 30. März 2019 unter Berücksichtigung des DSGVO veröffentlicht.


BMU: Neuregelung der Ökodesign-Richtlinie - EU-Regeln für mehr Effizienz und Langlebigkeit von Haushaltsgeräten beschlossen

Die Pressemitteilung des BMU:

Neue EU-Regeln für mehr Effizienz und Langlebigkeit von Haushaltsgeräten beschlossen

Die EU-Staaten und die EU-Kommission haben sich auf Neuregelungen der Ökodesign-Richtlinie geeinigt. Zehn Haushaltsgeräteklassen müssen nun strengere Anforderungen an die Langlebigkeit erfüllen.

Diese Woche haben sich die EU-Mitgliedstaaten und die Europäische Kommission auf umfassende Neuregelungen im Rahmen der EU-Ökodesign-Richtlinie geeinigt. Für zehn Produktgruppen, unter anderem für Geschirrspüler, Waschmaschinen, Kühlschränke und Halogenlampen gelten in Zukunft strengere Anforderungen an ihre Energieeffizienz. Außerdem werden erstmals Anforderungen in Bezug auf Reparierbarkeit und Ersatzteile festgelegt. Dafür hatte sich das Bundesumweltministerium besonders eingesetzt.

Bundesumweltministerin Svenja Schulze: "Die neuen Regeln sind konkrete Maßnahmen gegen die Wegwerf-Gesellschaft. Sie verbessern die Möglichkeit, Produkte zu reparieren und zu recyclen und setzen den Herstellern Anreize dafür, Produkte langlebiger zu gestalten. Verbraucherinnen und Verbraucher können künftig effiziente Geräte besser von Energiefressern unterscheiden. Das ist nicht nur gut für die Umwelt, sondern für alle Verbraucherinnen und Verbraucher und auch für die deutsche Industrie, die in diesem Bereich Vorreiter ist."

Insbesondere bei Haushaltsgeräten wie Geschirrspülern, Waschmaschinen und Kühlgeräten steigen die Anforderungen in Bezug auf Reparierbarkeit, ebenso bei TV-Geräten. Ersatzteile müssen verpflichtend zur Verfügung gestellt werden. Davon profitieren Verbraucherinnen und Verbraucher, Reparaturbetriebe und Recycler. Hersteller und Importeure müssen die neuen Regeln im europäischen Markt größtenteils ab März 2021 einhalten.

Zudem gibt es künftig erhöhte Anforderungen an die Energieeffizienz dieser Produktgruppen. Besonders viel Energie lässt sich bei der Beleuchtung sparen. Hier werden die neuen Anforderungen dazu führen, dass Halogenlampen stufenweise durch wesentlich effizientere LED-Lampen ersetzt werden. Weitere Einsparungen sind durch neue Regeln für Motoren, Transformatoren, Schweißgeräte, externe Netzteile und Kühlgeräte in Supermärkten zu erwarten. Diese treten teilweise schon vor 2021 in Kraft.



Europäisches Parlament verabschiedet Portabilitätsverordnung - Streaming im Ausland nach dem Wohnsitzprinzip ohne Geoblocking

Das Europäische Parlament hat die Portabilitätsverordnung verabschiedet.

Die Pressemitteilung des Europäischen Parlaments:

Online-Filme und -Fernsehen im Ausland schauen

EU-Bürger mit Abonnements für Online-Filme und -Fernsehen können bald auch bei vorübergehenden Aufenthalten in anderen EU-Ländern auf diese Inhalte zugreifen.

Zugriff auf abonnierte Online-Inhalte bei Aufenthalten in anderen EU-Ländern

Überprüfungen des ständigen Wohnsitzes des Nutzers, um Urheberrechtsverletzungen zu verhindern Gewährleistung des Schutzes der Privatsphäre und des Datenschutzes

EU-Bürger, die ein anderes EU-Land besuchen, werden dort oft daran gehindert, auf Online-Inhalte wie Filme, Fernsehserien, Musik, Spiele oder Sportveranstaltungen zuzugreifen, für die sie in ihrem Heimatland Abonnementgebühren bezahlen.

Die am Donnerstag verabschiedete neue Regelung, die bereits im Februar 2017 informell mit den Verhandlungsführern des Rates vereinbart wurde, wird diese Beschränkungen beseitigen, sodass EU-Bürger bald auch bei Ferien-, Studien- oder Geschäftsaufenthalten im EU-Ausland Online-Dienste wie Netflix, HBO Go, Amazon Prime, Spotify oder Deezer nutzen können.

Die neuen Regeln wurden mit 586 Stimmen angenommen, bei 34 Gegenstimmen und 8 Enthaltungen.

Wohnsitzüberprüfungen und Datenschutz

Dienstleister für Online-Inhalte können „wirksame und zumutbare“ Maßnahmen ergreifen, um zu überprüfen, ob der Abonnent nicht dauerhaft in ein anderes EU-Land umgezogen ist, da sich die erforderlichen Urheberrechtslizenzen von Land zu Land unterscheiden können. Eine Liste zulässiger Methoden umfasst Überprüfungen von Personalausweisen, Zahlungsdetails, öffentlich verfügbaren Steuerinformationen, Postanschriften oder IP-Adressen. Die Dienstleister müssen sicherstellen, dass die Verarbeitung personenbezogener Daten verhältnismäßig ist und Schutzvorkehrungen einrichten, insbesondere für Überprüfungen von IP-Adressen.

Die neuen Regeln werden nur für kostenpflichtige Dienste gelten. Aber auch Anbieter kostenloser Dienstleistungen können ihre Inhalte EU-weit übertragbar machen, sofern sie die Vorschriften bezüglich der Wohnsitzüberprüfungen einhalten.

Zitat

„Die europäischen Bürger haben lange auf diese Regeln gewartet, die einen Schritt zu einem gemeinsamen digitalen Markt darstellen. Die neuen Vorschriften erhöhen die Mobilität und bieten den Nutzern europäischer Online-Inhalte Portabilität, ohne das Urheberrecht zu zu verletzen”, sagte der Berichterstatter Jean-Marie Cavada (ALDE, FR).

Die nächsten Schritte

Der Gesetzesentwurf muss noch formell vom EU-Ministerrat gebilligt werden. Ab dem Zeitpunkt des Inkrafttretens der Verordnung haben die Mitgliedstaaten 9 Monate Zeit, um die neuen Regeln zur Anwendung zu bringen.

Hintergrundinformationen

Einer Umfrage der EU-Kommission zufolge haben im Jahr 2016 64% der Europäer das Internet genutzt, um Spiele, Bilder, Filme oder Musik herunterzuladen. In Deutschland waren es sogar rund 70%. Viele von ihnen erwarten, dies auch während ihrer Reisen in der EU tun zu können. Die Zahlen werden voraussichtlich steigen, da EU-Bürger mit der Abschaffung der Roaming-Gebühren am 15. Juni 2017 weniger zahlen werden, um auch in anderen EU-Ländern über ihre Mobilgeräte auf das Internet zuzugreifen.



BGH legt EuGH markenrechtliche Fragen zu Import und Umetikettierung von Medizinprodukten aus einem anderen Mitgliedsstaat der EU zur Entscheidung vor

BGH
Beschluss vom 06.10.2016
I ZR 165/15
Debrisoft
Verordnung (EG) Nr. 207/2009 Art. 13 Abs. 2


Der BGH hat dem EuGH markenrechtliche Fragen zu Import und Umetikettierung von Medizinprodukten aus einem anderen Mitgliedsstaat der EU zur Entscheidung vorgelegt.

Der Tenor:

Dem Gerichtshof der Europäischen Union wird zur Auslegung des Art. 13 Abs. 2 der Verordnung (EG) Nr. 207/2009 des Rates vom 26. Februar 2009 über die Gemeinschaftsmarke (Abl Nr. L 78 vom 24. März 2009) folgende Frage zur Vorabentscheidung vorgelegt:

Ist Art. 13 Abs. 2 der Verordnung (EG) Nr. 207/2009 dahin auszulegen, dass der Inhaber der Marke sich dem weiteren Vertrieb eines aus einem anderen Mitgliedstaat eingeführten Medizinprodukts in seiner inneren und äußeren Originalverpackung, die
vom Importeur mit einem zusätzlichen äußeren Aufkleber versehen wurde, widersetzen kann, es sei denn

- es ist erwiesen, dass die Geltendmachung einer Marke durch den Markeninhaber zu dem Zweck, sich dem Vertrieb der mit einem neuen Aufkleber versehenen Ware unter der Marke zu widersetzen, zu einer künstlichen Abschottung der Märkte zwischen Mitgliedstaaten beitragen würde;

- es ist dargetan, dass die Neuetikettierung den Originalzustand der in der Verpackung enthaltenen Ware nicht beeinträchtigen kann;

- auf der Verpackung ist klar angegeben, von wem der neue Aufkleber auf der Ware angebracht worden ist und wer deren Hersteller ist;

- das mit diesem neuen Aufkleber versehene Erzeugnis ist nicht so aufgemacht, dass dadurch der Ruf der Marke und ihres Inhabers geschädigt werden kann; der Aufkleber darf folglich nicht schadhaft, von schlechter Qualität oder unordentlich
sein, und

- der Importeur unterrichtet den Markeninhaber vor dem Inverkehrbringen des mit einem neuen Aufkleber versehenen Erzeugnisses und liefert ihm auf Verlangen ein Muster dieser Ware.

BGH, Beschluss vom 6. Oktober 2016 - I ZR 165/15 - OLG Düsseldorf - LG Düsseldorf

Den Volltext der Entscheidung finden Sie hier:

BMI: Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die EU-Datenschutzgrundverordnung liegt vor

Es liegt nunmehr der Referentenentwurf des Gesetzes zur Anpassung des Datenschutzrechts an die
Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)
vor.


EuGH: Vertriebsverbot für Kosmetika deren Bestandteile durch Tierversuche außerhalb der EU bestimmt worden sind

EuGH
Urteil vom 21.09.2016
C 592/14
European Federation for Cosmetic Ingredients
gegen
Secretary of State for Business, Innovation and Skills


Der EuGH hat entschieden, dass ein Vertriebsverbot für Kosmetika besteht, deren Bestandteile durch Tierversuche außerhalb der EU bestimmt worden sind.

Tenor der Entscheidung:

Art. 18 Abs. 1 Buchst. b der Verordnung (EG) Nr. 1223/2009 des Europäischen Parlaments und des Rates vom 30. November 2009 über kosmetische Mittel ist dahin auszulegen, dass er das Inverkehrbringen von kosmetischen Mitteln auf dem Markt der Europäischen Union, bei denen einige Bestandteile durch Tierversuche außerhalb der Union bestimmt worden sind, um kosmetische Mittel in Drittländern vermarkten zu können, verbieten kann, wenn die dabei gewonnenen Daten verwendet werden, um die Sicherheit dieser Mittel im Hinblick auf ihr Inverkehrbringen auf dem Unionsmarkt nachzuweisen.


Den Volltext der Entscheidung finden Sie hier:

Hamburgischer Datenschutzbeauftragter: Rechtskräftige Bußgelder gegen Unternehmen wegen Unwirksamkeit von Safe Harbor

Der Hamburgische Datenschutzbeauftragte hat nach der Safe Harbor-Entscheidung des EuGH (siehe EuGH: Safe-Harbor-Abkommen zwischen USA und EU ungültig - kein ausreichender Schutz in den USA für personenbezogene Daten vor Zugriff durch Behörden) gegen zahlreiche Unternehmen Bußgelder erlassen. Die Bußgeldbescheide sind teilweise schon rechtskräftig.

Die Pressemitteilung des Hamburgischen Datenschutzbeauftragten:

Unzulässige Datenübermittlungen in die USA - Erste Bußgelder rechtskräftig, weitere Verfahren noch offen

Der EuGH hat die Safe Harbor-Entscheidung im Oktober 2015 aufgehoben und damit einen wesentlichen Pfeiler für eine rechtmäßige Datenübermittlung an US-Unternehmen für unwirksam erklärt. Daraufhin wurden durch den Hamburgischen Datenschutzbeauftragten Prüfungen bei 35 international agierenden Hamburger Unternehmen durchgeführt.

Die Prüfungen haben ergeben, dass die überwiegende Mehrheit der Unternehmen den Datentransfer im Rahmen einer mehrmonatigen Umsetzungsfrist rechtzeitig auf sogenannte Standardvertragsklauseln umgestellt hat. Einige wenige Unternehmen hatten aber auch ein halbes Jahr nach Wegfall der Safe Harbor-Entscheidung keine zulässige Alternative geschaffen. Die Datenübermittlungen dieser Unternehmen in die USA erfolgten damit ohne rechtliche Grundlage und waren rechtswidrig.

Während einige der eingeleiteten Verfahren noch nicht abgeschlossen werden konnten und andere Prüfungen noch laufen, sind mittlerweile drei Bußgeldbescheide wegen der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA rechtskräftig geworden. Die betroffenen Unternehmen haben nach Einleitung des Bußgeldverfahrens ihre Übermittlungen rechtlich auf Standardvertragsklauseln umgestellt.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit:
„Dass die Unternehmen schließlich doch noch eine rechtliche Grundlage für die Übermittlung geschaffen haben, war bei der Bemessung der Bußgelder positiv zu berücksichtigen. Für künftig festgestellte Verstöße wird sicherlich ein schärferer Maßstab anzulegen sein.

Im weiteren Verlauf bleibt nun abzuwarten, ob die Nachfolgeregelung zu Safe Harbor, der Privacy Shield, den die EU-Kommission Ende Februar vorgelegt hat, ein angemessenes Datenschutzniveau herstellt. Daran waren nicht zuletzt seitens der Art. 29-Datenschutzgruppe, dem gemeinsamen Gremium der Datenschutzbehörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten, erhebliche Zweifel geäußert worden. EU-Kommission und US-Regierung sind hier aufgefordert, den Entwurf in wesentlichen Punkten nachzubessern. Vor diesem Hintergrund wird auch über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein."

EU-Kommission legt Entwurf des Safe-Harbor-Nachfolgers EU-US Privacy Shield vor - Skepsis bleibt - Problem Patriot Act

Die EU-Kommission hat inzwischen einen Entwurf des Safe-Harbor-Nachfolgers EU-US Privacy Shield oder auf Deutsch "EU-US-Datenschutzschild" vorgelegt. Es ist fraglich, ob wirklich alle Vorgaben des EuGH eingehalten werden. Nach wir vor macht der Patriot Act der USA eine wirklich den europäischen Datenschutzvorgaben entsprechende Lösung unmöglich. Auch die EU-US Privacy Shield wird sicher wieder vor dem EuGH landen. Dort wird sich entscheiden, ob man eine pragmatische oder rechtskonforme Lösung verlangt.

Siehe auch zum Thema "EU-US Privacy Shield - EU-Kommission und USA einigen sich auf Safe Harbor-Nachfolgeregelung".

Die Pressemitteilung des EU-Kommission:

"Die Europäische Kommission hat heute das Legislativpaket zum EU-US-Datenschutzschild und eine Mitteilung vorgelegt, in der sie zusammenfasst, was alles in den letzten Jahren unternommen worden ist, um das seit den Enthüllungen 2013 erschütterte Vertrauen in den transatlantischen Datenverkehr wiederherzustellen. Entsprechend den Politischen Leitlinien von Kommissionspräsident Juncker hat die Kommission i) die Reform des EU-Datenschutzrechts zum Abschluss gebracht, das für alle Unternehmen gilt, die Dienstleistungen im EU-Binnenmarkt anbieten, ii) das EU-US-Rahmenabkommen ausgehandelt, das hohe Datenschutzstandards für der Strafverfolgung dienende Datenübermittlungen über den Atlantik gewährleistet, und iii) einen neuen soliden Rahmen für den Austausch kommerzieller Daten geschaffen: den EU-US-Datenschutzschild.
Angenommen hat die Kommission zudem den Entwurf eines sogenannten Angemessenheitsbeschlusses und eine Reihe von Texten zum EU-US-Datenschutzschild. Dabei handelt es sich unter anderem um die von den Unternehmen einzuhaltenden Datenschutzgrundsätze sowie um schriftliche (im US-Bundesregister zu veröffentlichende) Zusicherungen der US-Regierung, die der Durchsetzung der Vereinbarung dienen, darunter Garantien und Beschränkungen für den Datenzugriff durch Behörden.
„Der EU-US-Datenschutzschild wird in Kürze aktiviert“, sagte Vizepräsident Ansip. „Diesseits und jenseits des Atlantiks sind Arbeiten im Gange, die die persönlichen Daten unserer Bürgerinnen und Bürger umfassend schützen und sicherstellen sollen, dass wir die Chancen des digitalen Zeitalters nutzen können. Umgesetzt werden die Regeln von den Unternehmen. Wir sind jeden Tag in Kontakt, um sicherzustellen, dass die Vorbereitungen optimal vonstattengehen. Wir werden unsere Anstrengungen innerhalb der EU und weltweit fortsetzen, um das Vertrauen in die Online-Welt zu festigen. Ohne Vertrauen geht nichts - Vertrauen ist der Motor unserer digitalen Zukunft.“
„Der Schutz personenbezogener Daten hat für mich innerhalb wie auch außerhalb der EU Priorität“, so Justizkommissarin Jourová. „Der EU-US-Datenschutzschild bietet eine neue solide Regelung, die auf robuster Durchsetzung und Kontrolle basiert, einem besseren Rechtsschutz für den Bürger und erstmals einer schriftlichen Zusicherung unserer amerikanischen Partner zu den Garantien und Beschränkungen für den Datenzugriff der Behörden aus Gründen der nationalen Sicherheit. Jetzt, wo Präsident Obama den Judicial Redress Act unterzeichnet hat, der EU-Bürgern das Recht garantiert, Datenschutzrechte vor den US-Gerichten geltend zu machen, werden wir in Kürze die Unterzeichnung des Datenschutz-Rahmenabkommens zwischen der EU und den USA vorschlagen, das Garantien für die Übermittlung von Daten zu Strafverfolgungszwecken enthält. Mit diesen robusten Garantien wird es Europa und Amerika gelingen, das Vertrauen in den transatlantischen Datenverkehr wiederherzustellen.“
Mit dem Angemessenheitsbeschluss wird bescheinigt, dass die Garantien für die Übermittlung von Daten auf der Grundlage des neuen EU-US-Datenschutzschilds den Datenschutzstandards in der EU entsprechen. Der neue Rahmen wird den Vorgaben, die der Gerichtshof der Europäischen Union in seinem Urteil vom 6. Oktober 2015 formuliert hatte, gerecht. Die US-Regierung gab überzeugende Zusicherungen dahingehend ab, dass auf die strenge Einhaltung der Datenschutzbestimmungen geachtet wird und die nationalen Sicherheitsbehörden Daten nicht unterschiedslos oder massenhaft überwachen.
Garantiert wird dies auf folgende Weise:
- Strenge Auflagen für Unternehmen und konsequente Durchsetzung: Die neue Regelung ist transparent und sieht wirksame Aufsichtsmechanismen vor, um sicherzustellen, dass die Unternehmen ihren Pflichten nachkommen, einschließlich Sanktionen und die Streichung aus der Liste, falls sie gegen die Regeln verstoßen. Die Weiterübermittlung von Daten durch die teilnehmenden Unternehmen an andere Partner ist jetzt an strengere Bedingungen geknüpft.
- Klare Schutzvorkehrungen und Transparenzpflichten beim behördlichen Datenzugriff: Zum ersten Mal hat die US-Regierung der EU über das Büro des Direktors der nationalen Nachrichtendienste schriftlich zugesichert, dass der Datenzugriff von Behörden aus Gründen der nationalen Sicherheit klaren Beschränkungen, Garantien und Aufsichtsmechanismen unterworfen wird, die einen allgemeinen Zugriff auf personenbezogene Daten ausschließen. US-Außenminister John Kerry hat zugesagt, im Außenministerium eine von den nationalen Nachrichtendiensten unabhängige Ombudsstelle einzurichten, an die sich EU-Bürger mit Rechtsschutzbegehren, die den Bereich der nationalen Sicherheit betreffen, wenden können. Die Ombudsstelle wird Beschwerden und Anfragen von Personen nachgehen und ihnen mitteilen, ob die einschlägigen Gesetze beachtet wurden. Alle schriftlichen Zusicherungen werden im US-Bundesregister veröffentlicht.
- Wirksamer Schutz der Rechte der EU-Bürgerinnen und -Bürger durch verschiedene Rechtsbehelfe: Unternehmen müssen Beschwerden innerhalb von 45 Tagen nachgehen. Außerdem steht ein kostenloses Verfahren der alternativen Streitbeilegung zur Verfügung. Die betroffenen EU-Bürger können sich auch an ihre nationalen Datenschutzbehörden wenden, die dann zusammen mit der Federal Trade Commission dafür sorgen, dass Beschwerden nachgegangen und abgeholfen wird. Kann der Fall nicht auf andere Weise gelöst werden, gibt es als letztes Mittel ein Schiedsverfahren mit einem vollstreckbaren Schiedsspruch. Die Unternehmen können sich zudem verpflichten, den Empfehlungen europäischer Datenschutzbehörden nachzukommen. Für Unternehmen, die Personaldaten verarbeiten, ist dies Pflicht.
- Gemeinsame jährliche Überprüfung: Überprüft wird die Funktionsweise des Datenschutzschilds einschließlich der Zusicherungen und Zusagen hinsichtlich des Datenzugriffs zu Zwecken der Strafverfolgung und der nationalen Sicherheit. Die Europäische Kommission und das US-amerikanische Handelsministerium werden diese Überprüfung gemeinsam durchführen und Sachverständige der US-Nachrichtendienste und der europäischen Datenschutzbehörden hinzuziehen. Die Kommission wird darüber hinaus alle anderen Informationsquellen wie Transparenzberichte von Unternehmen über den Umfang der von Behörden angeforderten Daten heranziehen. Sie wird einmal pro Jahr interessierte NRO und sonstige Beteiligte zu einem Datenschutzgipfel einladen, um allgemeine Entwicklungen im amerikanischen Datenschutzrecht und deren Auswirkungen auf EU-Bürger zu erörtern. Die Kommission wird auf der Grundlage der jährlichen Überprüfung einen öffentlichen Bericht an das Europäische Parlament und den Rat vorlegen.
Nächste Schritte
Bevor das Kollegium abschließend entscheidet, wird ein Ausschuss aus Vertretern der Mitgliedstaaten und EU-Datenschutzbehörden (Artikel-29-Datenschutzgruppe) konsultiert, der zu dem Datenschutzschirm Stellung nimmt. In der Zwischenzeit treffen die USA die notwendigen Vorkehrungen zur Einrichtung des neuen Rahmens, der neuen Überwachungsmechanismen und der neuen Ombudsstelle.
Nach Verabschiedung des von Präsident Obama am 24. Februar unterzeichneten Judicial Redress Act im US-Kongress wird die Kommission jetzt in Kürze die Unterzeichnung des Datenschutz-Rahmenabkommens vorschlagen. Über den Abschluss des Abkommens entscheidet der Rat nach Zustimmung des Europäischen Parlaments.