Skip to content

EU-Kommission veröffentlicht Entwurf neuer Standardvertragsklauseln für den Transfer personenbezogener Daten in Drittländer - standard contractual clauses - scc

Die EU-Kommission hat einen Entwurf neuer Standardvertragsklauseln für den Transfer personenbezogener Daten in Drittländer veröffentlicht:

Entwurf - Standardvertragsklauseln - standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council

Entwurf - Dazugehörige Entscheidung der EU-Kommission


EuGH: EU-US Privacy Shield genügt nicht den Vorgaben der DSGVO und ist ungültig - Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln hingegen gültig

EuGH
Urteil vom 16.07.2020
C-311/18
Data Protection Commissioner / Maximillian Schrems und Facebook Ireland


Der EuGH hat entschieden, dass der EU-US Privacy Shield (Datenschutzschild) nicht den Vorhaben der DSGVO genügt und damit ungültig ist. Der Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln ist hingegen gültig

Die Pressemitteilung des EuGH

Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig

Der Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist hingegen gültig

Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Datengrundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Nach dieser Verordnung kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften
oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet . Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u. a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame
Rechtsbehelfe verfügen . Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen.

Herr Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, ist seit 2008 Nutzer von Facebook. Wie bei allen anderen im Unionsgebiet wohnhaften Nutzern werden seine personenbezogenen Daten ganz oder teilweise von Facebook Ireland an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Herr Schrems legte bei der irischen Aufsichtsbehörde eine Beschwerde ein, die im Wesentlichen darauf abzielte, diese Übermittlungen verbieten zu lassen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten. Seine Beschwerde wurde u. a. mit der Begründung zurückgewiesen, die Kommission habe in ihrer Entscheidung 2000/5205 (sogenannte „Safe-Harbour Entscheidung“) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten. Mit Urteil vom 6. Oktober 2015 erklärte der Gerichtshof auf ein Vorabentscheidungsersuchen des irischen High Court hin diese Entscheidung für ungültig (im Folgenden: Urteil Schrems I).

Nachdem das Urteil Schrems I ergangen war und der irische High Court daraufhin die Entscheidung, mit der die Beschwerde von Herrn Schrems zurückgewiesen worden war, aufgehoben hatte, forderte die irische Aufsichtsbehörde Herrn Schrems auf, seine Beschwerde unter Berücksichtigung der Ungültigerklärung der Safe-Harbour-Entscheidung durch den Gerichtshof umzuformulieren. Mit seiner umformulierten Beschwerde macht Herr Schrems geltend, dass die Vereinigten Staaten keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisteten. Er beantragt, die von Facebook Ireland nunmehr auf der Grundlage der Standardschutzklauseln im Anhang des Beschlusses 2010/877 vorgenommene Übermittlung seiner personenbezogenen Daten aus der Union in die Vereinigten Staaten für die Zukunft auszusetzen oder zu verbieten. Die irische Aufsichtsbehörde war der Auffassung, dass die Bearbeitung der Beschwerde von Herrn Schrems insbesondere von der Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln abhänge, und strengte daher ein Verfahren vor dem High Court an, damit er den Gerichtshof mit einem Vorabentscheidungsersuchen befassen möge. Nachdem dieses Verfahren eingeleitet worden war, erließ die Kommission den Beschluss (EU) 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes.

Mit seinem Vorabentscheidungsersuchen fragt der irische High Court den Gerichtshof nach der Anwendbarkeit der DSGVO auf Übermittlungen personenbezogener Daten, die auf die Standardschutzklauseln im Beschluss 2010/87 gestützt werden, sowie nach dem Schutzniveau, das diese Verordnung im Rahmen einer solchen Übermittlung verlangt, und den Pflichten, die den
Aufsichtsbehörden in diesem Zusammenhang obliegen. Des Weiteren wirft der High Court die Frage der Gültigkeit sowohl des Beschlusses 2010/87 über Standardvertragsklauseln als auch des Privacy Shield-Beschlusses 2016/1250 auf.

Mit seinem heute verkündeten Urteil stellt der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte. Den Privacy Shield-Beschluss 2016/1250 erklärt er hingegen für ungültig. Der Gerichtshof führt zunächst aus, dass das Unionsrecht, insbesondere die DSGVO, auf eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer Anwendung findet, auch wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.

Eine derartige Datenverarbeitung durch die Behörden eines Drittlands kann nicht dazu führen, dass eine solche Übermittlung vom Anwendungsbereich der DSGVO ausgenommen wäre. In Bezug auf das im Rahmen einer solchen Übermittlung erforderliche Schutzniveau entscheidet der Gerichtshof, dass die insoweit in der DSGVO vorgesehenen Anforderungen, die sich auf geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe beziehen, dahin auszulegen sind, dass die Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen müssen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf
die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes.

Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, befindet der Gerichtshof, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten
Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet. Sodann prüft der Gerichtshof die Gültigkeit des Beschlusses 2010/87 über
Standardvertragsklauseln. Er sieht sie nicht schon dadurch in Frage gestellt, dass die in diesem Beschluss enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Vielmehr hängt sie davon ab, ob der Beschluss wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof stellt fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht. Insoweit hebt er insbesondere hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.

Schließlich prüft der Gerichtshof die Gültigkeit des Privacy-Shield-Beschlusses 2016/1250 anhand der Anforderungen der DSGVO im Licht der Bestimmungen der Charta, die die Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Rechtsschutz verbürgen. Insoweit stellt er fest, dass in diesem Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit,
des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im PrivacyShield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der
Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. Gestützt auf die Feststellungen in diesem Beschluss weist der Gerichtshof darauf hin, dass die betreffenden Vorschriften hinsichtlich
bestimmter Überwachungsprogramme in keiner Weise erkennen lassen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen; genauso wenig ist ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, Garantien existieren. Der Gerichtshof fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.

In Bezug auf das Erfordernis des gerichtlichen Rechtsschutzes befindet der Gerichtshof, dass der im Privacy-Shield-Beschluss 2016/1250 angeführte Ombudsmechanismus entgegen den darin von der Kommission getroffenen Feststellungen den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären, d. h. Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen. Aus all
diesen Gründen erklärt der Gerichtshof den Beschluss 2016/1250 für ungültig.


Den Volltext der Entscheidung finden Sie hier:


EuGH: Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig - Facebook Ireland - Maximilian

EuGH-Generalanwalt
Schlussanträge vom 19.12.2019
C-311/18
Data Protection Commissioner / Facebook Ireland und Maximilian Schrems


Nach Ansicht des EuGH-Generalanwalts ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Pressemitteilung des EuGH:

Nach Ansicht von Generalanwalt Saugmandsgaard Øe ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Datenschutz-Grundverordnung sieht wie die Richtlinie über die Verarbeitung personenbezogener Daten, an deren Stelle sie getreten ist, vor, dass personenbezogene Daten an ein Drittland übermittelt werden können, wenn dieses für die Daten ein angemessenes Schutzniveau sicherstellt. Liegt kein Beschluss der Kommission vor, mit dem die Angemessenheit des Schutzniveaus im betreffenden Drittland festgestellt wird, darf der für die Verarbeitung Verantwortliche die Übermittlung dennoch vornehmen, wenn er sie mit geeigneten Garantien versieht. Diese Garantien können u. a. die Form eines Vertrags zwischen dem Exporteur und dem Importeur der Daten annehmen, der die in einem Beschluss der Kommission vorgesehenen Standarddatenschutzklauseln enthält. Mit dem Beschluss 2010/87/EU3 hat die Kommission Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern festgelegt. Die vorliegende Rechtssache betrifft die Gültigkeit dieses Beschlusses.

Sachverhalt und Vorgeschichte des Ausgangsrechtsstreits

Zur Vorgeschichte des Ausgangsrechtsstreits gehört ein Verfahren, das von Herrn Maximilian Schrems, einem österreichischen Nutzer von Facebook, eingeleitet wurde und bereits zum Urteil des Gerichtshofs vom 6. Oktober 2015 (Urteil Schrems) geführt hat.

Die Daten der in der Union wohnhaften Nutzer von Facebook wie Herr Schrems werden von Facebook Ireland, der irischen Tochtergesellschaft der Facebook Inc., ganz oder teilweise an Server in den Vereinigten Staaten übermittelt und dort verarbeitet. 2013 hatte Herr Schrems bei der für die Überwachung der Anwendung der Vorschriften über den Schutz personenbezogener
Daten zuständigen irischen Behörde (im Folgenden: Kontrollstelle) eine Beschwerde eingelegt, mit der er geltend machte, dass angesichts der von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten (insbesondere der National Security Agency, NSA) das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor den Überwachungstätigkeiten der Behörden gewährleisteten. Die
Kontrollstelle wies die Beschwerde u. a. mit der Begründung zurück, dass die Kommission in ihrer Entscheidung vom 26. Juli 20005 angenommen habe, dass die Vereinigten Staaten im Rahmen der sogenannten „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten.

Mit dem Urteil Schrems hat der Gerichtshof in Beantwortung einer Frage des High Court (Hoher Gerichtshof, Irland) die Safe-Harbor-Entscheidung für ungültig erklärt.

Im Anschluss an das Urteil Schrems erklärte das vorlegende Gericht die Entscheidung, mit der die Kontrollstelle die Beschwerde von Herrn Schrems zurückgewiesen hatte, für nichtig und verwies sie zur Prüfung zurück an die Kontrollstelle. Diese leitete eine Untersuchung ein und forderte Herrn Schrems auf, seine Beschwerde in Anbetracht der Ungültigerklärung der Safe-Harbor-Entscheidung neu zu formulieren.

Zu diesem Zweck bat Herr Schrems Facebook Ireland um Angabe der Rechtsgrundlagen, auf denen die Übermittlungen der personenbezogenen Daten der Nutzer von Facebook aus der Union in die Vereinigten Staaten beruhten. Facebook Ireland verwies auf ein Datenübertragungs- und -verarbeitungsabkommen (data transfer processing agreement) mit der Facebook Inc., das seit dem 20. November 2015 in Kraft sei, und berief sich auf den Beschluss 2010/87.

In seiner neu formulierten Beschwerde machte Herr Schrems zum einen geltend, dass die in dem Abkommen enthaltenen Klauseln nicht den Standardvertragsklauseln des Beschlusses 2010/87 entsprächen, und zum anderen, dass diese Standardvertragsklauseln jedenfalls keine Grundlage für die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten sein könnten. Es gebe nämlich keinen Rechtsbehelf, mit dem die Betroffenen in den Vereinigten Staaten ihre Rechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten geltend machen könnten. Herr Schrems beantragte daher bei der Kontrollstelle, diese Übermittlung in Anwendung des Beschlusses 2010/87 auszusetzen.

Mit ihrer Untersuchung wollte die Kontrollstelle feststellen, ob die Vereinigten Staaten einen angemessenen Schutz für personenbezogene Daten der Unionsbürger sicherstellen und – sollte dies nicht der Fall sein – ob der Rückgriff auf Standardvertragsklauseln ausreichende Garantien für den Schutz ihrer Grundfreiheiten und Grundrechte bietet. Da die Kontrollstelle zu dem Ergebnis kam, dass die Bearbeitung der Beschwerde von Herrn Schrems von der Frage abhänge, ob der
Beschluss 2010/87 gültig sei, leitete sie beim High Court ein Verfahren ein, damit dieser den Gerichtshof hierzu befrage. Der High Court ist dem Antrag dieser Behörde auf Vorlage eines Ersuchens um Vorabentscheidung nachgekommen.

In seinen heutigen Schlussanträgen schlägt Generalanwalt Henrik Saugmandsgaard Øe dem Gerichtshof vor, zu antworten, dass die Prüfung der Fragen nichts ergeben habe, was die Gültigkeit des Beschlusses 2010/87 beeinträchtigen könnte.

Der Generalanwalt stellt zunächst fest, dass es im Ausgangsrechtsstreit nur um die Feststellung gehe, ob der Beschluss 2010/87 gültig sei, mit dem die Kommission die Standardvertragsklauseln festgelegt habe, die für die in der Beschwerde von Herrn Schrems genannten Übermittlungen geltend gemacht worden seien.

Der Generalanwalt ist erstens der Ansicht, dass das Unionsrecht auf Übermittlungen personenbezogener Daten in ein Drittland anwendbar sei, wenn diese Übermittlungen zu gewerblichen Zwecken erfolgten, auch wenn die übermittelten Daten durch Behörden dieses Drittlands für Zwecke der nationalen Sicherheit verarbeitet werden könnten.

Zweitens stellt der Generalanwalt fest, dass die Bestimmungen der Datenschutz-Grundverordnung ber Übermittlungen in Drittländer bezweckten, ein kontinuierlich hohes Schutzniveau für personenbezogene Daten unabhängig davon sicherzustellen, ob die Daten auf der Grundlage einer Angemessenheitsentscheidung oder aufgrund geeigneter Garantien übermittelt würden, vom Exporteur gegeben würden. Dieses Ziel werde jedoch je nach der Rechtsgrundlage, die für die Übermittlung gelte, auf unterschiedliche Weise erreicht. Einerseits solle mit einer Angemessenheitsentscheidung festgestellt werden, ob ein bestimmtes Drittland aufgrund des dort geltenden Rechts und der dort geltenden Praxis für die Grundrechte der Personen, deren Daten
übermittelt würden, ein Schutzniveau sicherstelle, das dem Niveau, das sich aus der im Licht der Charta der Grundrechte der Europäischen Union ausgelegten Datenschutz-Grundverordnung ergebe, im Wesentlichen gleichwertig sei. Andererseits müssten die vom Exporteur – insbesondere vertraglich – gegebenen geeigneten Garantien selbst ein solches
Schutzniveau sicherstellen. Die Standardvertragsklauseln der Kommission für Übermittlungen sähen insoweit eine allgemeine Regelung vor, die unabhängig vom Bestimmungsland und dem dort sichergestellten Schutzniveau gelte.

Drittens prüft der Generalanwalt die Gültigkeit des Beschlusses 2010/87 anhand der Charta.

Seiner Ansicht nach führt der Umstand, dass der Beschluss und die darin enthaltenen Standardvertragsklauseln die Behörden des Drittbestimmungslandes nicht binden würden und diese durch ihn somit nicht daran gehindert seien, dem Importeur Pflichten aufzuerlegen, die mit der Beachtung dieser Klauseln unvereinbar seien, für sich allein nicht zur Ungültigkeit des Beschlusses. Die Vereinbarkeit des Beschlusses 2010/87 mit der Charta hänge davon ab, ob ausreichend wirksame Regelungen bestünden, mit denen sich sicherstellen lasse, dass die auf die Standardvertragsklauseln gestützten Übermittlungen ausgesetzt oder verboten würden, wenn diese Klauseln verletzt würden oder es unmöglich sei, sie einzuhalten.

Dies sei dann der Fall, wenn eine Pflicht – der für die Datenverarbeitung Verantwortlichen und, bei deren Untätigkeit, der Kontrollstellen – bestehe, eine Übermittlung auszusetzen oder zu verbieten, wenn aufgrund eines Konflikts zwischen den sich aus den Standardvertragsklauseln ergebenden Pflichten und den durch das Recht des Drittbestimmungslandes auferlegten Pflichten diese Klauseln nicht eingehalten werden könnten.

Der Generalanwalt stellt außerdem fest, dass das vorlegende Gericht bestimmte Beurteilungen der Kommission im Beschluss vom 12. Juli 2016, dem sog. Datenschutzschild-Beschluss, indirekt in Frage stelle. In diesem Beschluss hat die Kommission festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für die Daten gewährleisteten, die im Rahmen der mit diesem Beschluss aufgestellten Regelung aus der Union übermittelt würden, insbesondere in Anbetracht der Garantien, die bezüglich des Zugangs amerikanischer Nachrichtendienste zu diesen Daten bestünden, sowie des Rechtsschutzes, der Personen, deren Daten übermittelt würden, gewährt werde . Für die Entscheidung über den Ausgangsrechtsstreit hält der Generalanwalt es nicht für erforderlich, dass der Gerichtshof über die Gültigkeit des Datenschutzschild-Beschlusses entscheide, da der Rechtsstreit nur die Gültigkeit des Beschlusses 2010/87 betreffe. Gleichwohl führt der Generalanwalt hilfsweise aus, aus welchen Gründen sich für ihn im Hinblick auf die Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf Fragen bezüglich der Gültigkeit des Datenschutzschild-Beschlusses stellen.


Den Volltext der Schlussanträge finden Sie hier:

EuGH: Keine Sammelklage gegen Facebook mit abgetretenen Ansprüche durch Maximilian Schrems - Klage in Österreich gegen Facebook Irland für eigen Ansprüche möglich

EuGH
Urteil vom 25.01.2018
C-498/16
Maximilian Schrems / Facebook Ireland Limited


Der EuGH hat entschieden, dass Herr Maximilian Schrems keine Sammelklage gegen Facebook mit abgetretenen Ansprüche einlegen kann. Er kann jedoch in Österreich gegen Facebook Irland eigen Ansprüche im Klagewege durchsetzen und sich dabei auf den Verbrauchergerichtsstand berufen.

Die Pressemitteilung des EuGH:

Herr Schrems kann wegen eigener Ansprüche in Österreich Klage gegen Facebook Ireland erheben

Hingegen kann er nicht als Zessionar von Ansprüchen anderer Verbraucher den Verbrauchergerichtsstand in Anspruch nehmen, um die abgetretenen Ansprüche geltend zu machen

Herr Maximilian Schrems, der in Österreich wohnt, hat vor den österreichischen Gerichten Klage gegen Facebook Ireland (im Folgenden: Facebook) erhoben. Er wirft Facebook zahlreiche Verstöße gegen datenschutzrechtliche Regelungen im Zusammenhang mit seinem privaten Facebook-Konto und den Konten von sieben weiteren Nutzern vor, die ihm ihre Ansprüche
zwecks Klageerhebung abgetreten haben. Bei den anderen Nutzern soll es sich ebenfalls um Verbraucher handeln, die in Österreich, Deutschland und Indien wohnen. Herr Schrems begehrt von den österreichischen Gerichten insbesondere die Feststellung der Unwirksamkeit bestimmter Vertragsklauseln sowie die Verurteilung von Facebook zur Unterlassung der Verwendung der streitgegenständlichen Daten zu eigenen Zwecken bzw. zu Zwecken Dritter sowie zur Leistung von
Schadenersatz.

Facebook bestreitet die internationale Zuständigkeit der österreichischen Gerichte. Ihrer Ansicht nach kann Herr Schrems nicht die unionsrechtliche Regel in Anspruch nehmen, die es Verbrauchern erlaubt, einen ausländischen Vertragspartner vor den Gerichten ihres Wohnsitzes zu verklagen (im Folgenden: Verbrauchergerichtsstand). Da Herr Schrems nämlich Faceboook auch
beruflich nutze (insbesondere mittels einer der Information über sein Vorgehen gegen Facebook gewidmeten Facebook-Seite4
), könne er nicht als Verbraucher angesehen werden. Auf die abgetretenen Ansprüche sei der Verbrauchergerichtsstand nicht anwendbar, da er nicht übertragbar sei.

Vor diesem Hintergrund ersucht der Oberste Gerichtshof (Österreich) den Gerichtshof um Klarstellung der Voraussetzungen für die Geltendmachung des Verbrauchergerichtsstands. Mit seinem heutigen Urteil antwortet der Gerichtshof, dass der Nutzer eines privaten Facebook-Kontos die Verbrauchereigenschaft nicht verliert, wenn er Bücher publiziert, Vorträge hält, Websites betreibt, Spenden sammelt und sich die Ansprüche zahlreicher Verbraucher abtreten lässt, um sie gerichtlich geltend zu machen.

Seit 2010 widmet Herr Schrems ein Facebook-Konto nur seinen privaten Aktivitäten. Darüber hinaus hat er 2011 eine Facebook-Seite eröffnet, um i) die Internetnutzer über sein Vorgehen gegen Facebook, seine Vorträge, seine Teilnahmen an Podiumsdiskussionen und seine Medienauftritte zu informieren, ii) zu Spenden aufzurufen und iii) für seine Bücher zu werben.
Darüber hinaus hat sich Herr Schrems die Ansprüche von über 25 000 Personen aus der ganzen Welt abtreten lassen,
um sie gerichtlich geltend zu machen.

Dagegen kann der Verbrauchergerichtsstand nicht für die Klage eines Verbrauchers in Anspruch genommen werden, mit der er am Klägergerichtsstand nicht nur seine eigenen Ansprüche geltend macht, sondern auch Ansprüche, die von anderen Verbrauchern mit Wohnsitz im gleichen Mitgliedstaat, in anderen Mitgliedstaaten oder in Drittstaaten abgetreten
wurden.

Zur Einstufung als Verbraucher führt der Gerichtshof aus, dass der Verbrauchergerichtsstand grundsätzlich nur dann Anwendung findet, wenn der Zweck des zwischen den Parteien geschlossenen Vertrags nicht in der beruflichen oder gewerblichen Verwendung des Gegenstands oder der Dienstleistung besteht, auf die sich der Vertrag bezieht. Bei Diensten eines sozialen Online-Netzwerks, die auf eine langfristige Nutzung ausgelegt sind, ist die weitere Entwicklung der
Nutzung der betreffenden Dienste zu berücksichtigen.

Somit könnte sich ein Kläger, der solche Dienste nutzt, nur dann auf die Verbrauchereigenschaft berufen, wenn die im Wesentlichen nicht berufliche Nutzung dieser Dienste, für die er ursprünglich einen Vertrag abgeschlossen hat, später keinen im Wesentlichen beruflichen Charakter erlangt hat.

Da der Verbraucherbegriff aber in Abgrenzung zum Unternehmerbegriff definiert wird und von den Kenntnissen und Informationen, über die die betreffende Person tatsächlich verfügt, unabhängig ist, nehmen ihr weder die Expertise, die diese Person im Bereich der betreffenden Dienste erwerben kann, noch ihr Engagement bei der Vertretung der Rechte und Interessen der Nutzer solcher Dienste die Verbrauchereigenschaft. Eine Auslegung des Verbraucherbegriffs, die solche Tätigkeiten ausschließt, würde nämlich darauf hinauslaufen, eine effektive Verteidigung der Rechte, die den Verbrauchern gegenüber ihren gewerblichen Vertragspartnern zustehen, einschließlich der Rechte auf Schutz ihrer personenbezogenen Daten zu verhindern.

Den Volltext der Entscheidung finden Sie hier:



Hamburgischer Datenschutzbeauftragter: Rechtskräftige Bußgelder gegen Unternehmen wegen Unwirksamkeit von Safe Harbor

Der Hamburgische Datenschutzbeauftragte hat nach der Safe Harbor-Entscheidung des EuGH (siehe EuGH: Safe-Harbor-Abkommen zwischen USA und EU ungültig - kein ausreichender Schutz in den USA für personenbezogene Daten vor Zugriff durch Behörden) gegen zahlreiche Unternehmen Bußgelder erlassen. Die Bußgeldbescheide sind teilweise schon rechtskräftig.

Die Pressemitteilung des Hamburgischen Datenschutzbeauftragten:

Unzulässige Datenübermittlungen in die USA - Erste Bußgelder rechtskräftig, weitere Verfahren noch offen

Der EuGH hat die Safe Harbor-Entscheidung im Oktober 2015 aufgehoben und damit einen wesentlichen Pfeiler für eine rechtmäßige Datenübermittlung an US-Unternehmen für unwirksam erklärt. Daraufhin wurden durch den Hamburgischen Datenschutzbeauftragten Prüfungen bei 35 international agierenden Hamburger Unternehmen durchgeführt.

Die Prüfungen haben ergeben, dass die überwiegende Mehrheit der Unternehmen den Datentransfer im Rahmen einer mehrmonatigen Umsetzungsfrist rechtzeitig auf sogenannte Standardvertragsklauseln umgestellt hat. Einige wenige Unternehmen hatten aber auch ein halbes Jahr nach Wegfall der Safe Harbor-Entscheidung keine zulässige Alternative geschaffen. Die Datenübermittlungen dieser Unternehmen in die USA erfolgten damit ohne rechtliche Grundlage und waren rechtswidrig.

Während einige der eingeleiteten Verfahren noch nicht abgeschlossen werden konnten und andere Prüfungen noch laufen, sind mittlerweile drei Bußgeldbescheide wegen der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA rechtskräftig geworden. Die betroffenen Unternehmen haben nach Einleitung des Bußgeldverfahrens ihre Übermittlungen rechtlich auf Standardvertragsklauseln umgestellt.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit:
„Dass die Unternehmen schließlich doch noch eine rechtliche Grundlage für die Übermittlung geschaffen haben, war bei der Bemessung der Bußgelder positiv zu berücksichtigen. Für künftig festgestellte Verstöße wird sicherlich ein schärferer Maßstab anzulegen sein.

Im weiteren Verlauf bleibt nun abzuwarten, ob die Nachfolgeregelung zu Safe Harbor, der Privacy Shield, den die EU-Kommission Ende Februar vorgelegt hat, ein angemessenes Datenschutzniveau herstellt. Daran waren nicht zuletzt seitens der Art. 29-Datenschutzgruppe, dem gemeinsamen Gremium der Datenschutzbehörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten, erhebliche Zweifel geäußert worden. EU-Kommission und US-Regierung sind hier aufgefordert, den Entwurf in wesentlichen Punkten nachzubessern. Vor diesem Hintergrund wird auch über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein."

EU-Kommission legt Entwurf des Safe-Harbor-Nachfolgers EU-US Privacy Shield vor - Skepsis bleibt - Problem Patriot Act

Die EU-Kommission hat inzwischen einen Entwurf des Safe-Harbor-Nachfolgers EU-US Privacy Shield oder auf Deutsch "EU-US-Datenschutzschild" vorgelegt. Es ist fraglich, ob wirklich alle Vorgaben des EuGH eingehalten werden. Nach wir vor macht der Patriot Act der USA eine wirklich den europäischen Datenschutzvorgaben entsprechende Lösung unmöglich. Auch die EU-US Privacy Shield wird sicher wieder vor dem EuGH landen. Dort wird sich entscheiden, ob man eine pragmatische oder rechtskonforme Lösung verlangt.

Siehe auch zum Thema "EU-US Privacy Shield - EU-Kommission und USA einigen sich auf Safe Harbor-Nachfolgeregelung".

Die Pressemitteilung des EU-Kommission:

"Die Europäische Kommission hat heute das Legislativpaket zum EU-US-Datenschutzschild und eine Mitteilung vorgelegt, in der sie zusammenfasst, was alles in den letzten Jahren unternommen worden ist, um das seit den Enthüllungen 2013 erschütterte Vertrauen in den transatlantischen Datenverkehr wiederherzustellen. Entsprechend den Politischen Leitlinien von Kommissionspräsident Juncker hat die Kommission i) die Reform des EU-Datenschutzrechts zum Abschluss gebracht, das für alle Unternehmen gilt, die Dienstleistungen im EU-Binnenmarkt anbieten, ii) das EU-US-Rahmenabkommen ausgehandelt, das hohe Datenschutzstandards für der Strafverfolgung dienende Datenübermittlungen über den Atlantik gewährleistet, und iii) einen neuen soliden Rahmen für den Austausch kommerzieller Daten geschaffen: den EU-US-Datenschutzschild.
Angenommen hat die Kommission zudem den Entwurf eines sogenannten Angemessenheitsbeschlusses und eine Reihe von Texten zum EU-US-Datenschutzschild. Dabei handelt es sich unter anderem um die von den Unternehmen einzuhaltenden Datenschutzgrundsätze sowie um schriftliche (im US-Bundesregister zu veröffentlichende) Zusicherungen der US-Regierung, die der Durchsetzung der Vereinbarung dienen, darunter Garantien und Beschränkungen für den Datenzugriff durch Behörden.
„Der EU-US-Datenschutzschild wird in Kürze aktiviert“, sagte Vizepräsident Ansip. „Diesseits und jenseits des Atlantiks sind Arbeiten im Gange, die die persönlichen Daten unserer Bürgerinnen und Bürger umfassend schützen und sicherstellen sollen, dass wir die Chancen des digitalen Zeitalters nutzen können. Umgesetzt werden die Regeln von den Unternehmen. Wir sind jeden Tag in Kontakt, um sicherzustellen, dass die Vorbereitungen optimal vonstattengehen. Wir werden unsere Anstrengungen innerhalb der EU und weltweit fortsetzen, um das Vertrauen in die Online-Welt zu festigen. Ohne Vertrauen geht nichts - Vertrauen ist der Motor unserer digitalen Zukunft.“
„Der Schutz personenbezogener Daten hat für mich innerhalb wie auch außerhalb der EU Priorität“, so Justizkommissarin Jourová. „Der EU-US-Datenschutzschild bietet eine neue solide Regelung, die auf robuster Durchsetzung und Kontrolle basiert, einem besseren Rechtsschutz für den Bürger und erstmals einer schriftlichen Zusicherung unserer amerikanischen Partner zu den Garantien und Beschränkungen für den Datenzugriff der Behörden aus Gründen der nationalen Sicherheit. Jetzt, wo Präsident Obama den Judicial Redress Act unterzeichnet hat, der EU-Bürgern das Recht garantiert, Datenschutzrechte vor den US-Gerichten geltend zu machen, werden wir in Kürze die Unterzeichnung des Datenschutz-Rahmenabkommens zwischen der EU und den USA vorschlagen, das Garantien für die Übermittlung von Daten zu Strafverfolgungszwecken enthält. Mit diesen robusten Garantien wird es Europa und Amerika gelingen, das Vertrauen in den transatlantischen Datenverkehr wiederherzustellen.“
Mit dem Angemessenheitsbeschluss wird bescheinigt, dass die Garantien für die Übermittlung von Daten auf der Grundlage des neuen EU-US-Datenschutzschilds den Datenschutzstandards in der EU entsprechen. Der neue Rahmen wird den Vorgaben, die der Gerichtshof der Europäischen Union in seinem Urteil vom 6. Oktober 2015 formuliert hatte, gerecht. Die US-Regierung gab überzeugende Zusicherungen dahingehend ab, dass auf die strenge Einhaltung der Datenschutzbestimmungen geachtet wird und die nationalen Sicherheitsbehörden Daten nicht unterschiedslos oder massenhaft überwachen.
Garantiert wird dies auf folgende Weise:
- Strenge Auflagen für Unternehmen und konsequente Durchsetzung: Die neue Regelung ist transparent und sieht wirksame Aufsichtsmechanismen vor, um sicherzustellen, dass die Unternehmen ihren Pflichten nachkommen, einschließlich Sanktionen und die Streichung aus der Liste, falls sie gegen die Regeln verstoßen. Die Weiterübermittlung von Daten durch die teilnehmenden Unternehmen an andere Partner ist jetzt an strengere Bedingungen geknüpft.
- Klare Schutzvorkehrungen und Transparenzpflichten beim behördlichen Datenzugriff: Zum ersten Mal hat die US-Regierung der EU über das Büro des Direktors der nationalen Nachrichtendienste schriftlich zugesichert, dass der Datenzugriff von Behörden aus Gründen der nationalen Sicherheit klaren Beschränkungen, Garantien und Aufsichtsmechanismen unterworfen wird, die einen allgemeinen Zugriff auf personenbezogene Daten ausschließen. US-Außenminister John Kerry hat zugesagt, im Außenministerium eine von den nationalen Nachrichtendiensten unabhängige Ombudsstelle einzurichten, an die sich EU-Bürger mit Rechtsschutzbegehren, die den Bereich der nationalen Sicherheit betreffen, wenden können. Die Ombudsstelle wird Beschwerden und Anfragen von Personen nachgehen und ihnen mitteilen, ob die einschlägigen Gesetze beachtet wurden. Alle schriftlichen Zusicherungen werden im US-Bundesregister veröffentlicht.
- Wirksamer Schutz der Rechte der EU-Bürgerinnen und -Bürger durch verschiedene Rechtsbehelfe: Unternehmen müssen Beschwerden innerhalb von 45 Tagen nachgehen. Außerdem steht ein kostenloses Verfahren der alternativen Streitbeilegung zur Verfügung. Die betroffenen EU-Bürger können sich auch an ihre nationalen Datenschutzbehörden wenden, die dann zusammen mit der Federal Trade Commission dafür sorgen, dass Beschwerden nachgegangen und abgeholfen wird. Kann der Fall nicht auf andere Weise gelöst werden, gibt es als letztes Mittel ein Schiedsverfahren mit einem vollstreckbaren Schiedsspruch. Die Unternehmen können sich zudem verpflichten, den Empfehlungen europäischer Datenschutzbehörden nachzukommen. Für Unternehmen, die Personaldaten verarbeiten, ist dies Pflicht.
- Gemeinsame jährliche Überprüfung: Überprüft wird die Funktionsweise des Datenschutzschilds einschließlich der Zusicherungen und Zusagen hinsichtlich des Datenzugriffs zu Zwecken der Strafverfolgung und der nationalen Sicherheit. Die Europäische Kommission und das US-amerikanische Handelsministerium werden diese Überprüfung gemeinsam durchführen und Sachverständige der US-Nachrichtendienste und der europäischen Datenschutzbehörden hinzuziehen. Die Kommission wird darüber hinaus alle anderen Informationsquellen wie Transparenzberichte von Unternehmen über den Umfang der von Behörden angeforderten Daten heranziehen. Sie wird einmal pro Jahr interessierte NRO und sonstige Beteiligte zu einem Datenschutzgipfel einladen, um allgemeine Entwicklungen im amerikanischen Datenschutzrecht und deren Auswirkungen auf EU-Bürger zu erörtern. Die Kommission wird auf der Grundlage der jährlichen Überprüfung einen öffentlichen Bericht an das Europäische Parlament und den Rat vorlegen.
Nächste Schritte
Bevor das Kollegium abschließend entscheidet, wird ein Ausschuss aus Vertretern der Mitgliedstaaten und EU-Datenschutzbehörden (Artikel-29-Datenschutzgruppe) konsultiert, der zu dem Datenschutzschirm Stellung nimmt. In der Zwischenzeit treffen die USA die notwendigen Vorkehrungen zur Einrichtung des neuen Rahmens, der neuen Überwachungsmechanismen und der neuen Ombudsstelle.
Nach Verabschiedung des von Präsident Obama am 24. Februar unterzeichneten Judicial Redress Act im US-Kongress wird die Kommission jetzt in Kürze die Unterzeichnung des Datenschutz-Rahmenabkommens vorschlagen. Über den Abschluss des Abkommens entscheidet der Rat nach Zustimmung des Europäischen Parlaments.



EU-US Privacy Shield - EU-Kommission und USA einigen sich auf Safe Harbor-Nachfolgeregelung

Die EU-Kommission und die USA haben auf eine Nachfolgeregelung für das vom EuGH (siehe EuGH: Safe-Harbor-Abkommen zwischen USA und EU ungültig - kein ausreichender Schutz in den USA für personenbezogene Daten vor Zugriff durch Behörden ) zu Recht kassierte Safe-Harbor-Abkommen geeinigt.

Die Pressemitteilung:

EU Commission and United States agree on new framework for transatlantic data flows: EU-US Privacy Shield

Strasbourg, 2 February 2016

The European Commission and the United States have agreed on a new framework for transatlantic data flows: the EU-US Privacy Shield.

Today, the College of Commissioners approved the political agreement reached and has mandated Vice-President Ansip and Commissioner Jourová to prepare the necessary steps to put in place the new arrangement. This new framework will protect the fundamental rights of Europeans where their data is transferred to the United States and ensure legal certainty for businesses.
The EU-US Privacy Shield reflects the requirements set out by the European Court of Justice in its ruling on 6 October 2015, which declared the old Safe Harbour framework invalid. The new arrangement will provide stronger obligations on companies in the U.S. to protect the personal data of Europeans and stronger monitoring and enforcement by the U.S. Department of Commerce and Federal Trade Commission (FTC), including through increased cooperation with European Data Protection Authorities. The new arrangement includes commitments by the U.S. that possibilities under U.S. law for public authorities to access personal data transferred under the new arrangement will be subject to clear conditions, limitations and oversight, preventing generalised access. Europeans will have the possibility to raise any enquiry or complaint in this context with a dedicated new Ombudsperson.
Vice-President Ansip said: "We have agreed on a new strong framework on data flows with the US. Our people can be sure that their personal data is fully protected. Our businesses, especially the smallest ones, have the legal certainty they need to develop their activities across the Atlantic. We have a duty to check and we will closely monitor the new arrangement to make sure it keeps delivering. Today's decision helps us build a Digital Single Market in the EU, a trusted and dynamic online environment; it further strengthens our close partnership with the US. We will work now to put it in place as soon as possible."
Commissioner Jourová said: "The new EU-US Privacy Shield will protect the fundamental rights of Europeans when their personal data is transferred to U.S. companies. For the first time ever, the United States has given the EU binding assurances that the access of public authorities for national security purposes will be subject to clear limitations, safeguards and oversight mechanisms. Also for the first time, EU citizens will benefit from redress mechanisms in this area. In the context of the negotiations for this agreement, the US has assured that it does not conduct mass or indiscriminate surveillance of Europeans. We have established an annual joint review in order to closely monitor the implementation of these commitments."
The new arrangement will include the following elements:
Strong obligations on companies handling Europeans' personal data and robust enforcement: U.S. companies wishing to import personal data from Europe will need to commit to robust obligations on how personal data is processed and individual rights are guaranteed. The Department of Commerce will monitor that companies publish their commitments, which makes them enforceable under U.S. law by the US. Federal Trade Commission. In addition, any company handling human resources data from Europe has to commit to comply with decisions by European DPAs.
Clear safeguards and transparency obligations on U.S. government access: For the first time, the US has given the EU written assurances that the access of public authorities for law enforcement and national security will be subject to clear limitations, safeguards and oversight mechanisms. These exceptions must be used only to the extent necessary and proportionate. The U.S. has ruled out indiscriminate mass surveillance on the personal data transferred to the US under the new arrangement. To regularly monitor the functioning of the arrangement there will be an annual joint review, which will also include the issue of national security access. The European Commission and the U.S. Department of Commerce will conduct the review and invite national intelligence experts from the U.S. and European Data Protection Authorities to it.
Effective protection of EU citizens' rights with several redress possibilities: Any citizen who considers that their data has been misused under the new arrangement will have several redress possibilities. Companies have deadlines to reply to complaints. European DPAs can refer complaints to the Department of Commerce and the Federal Trade Commission. In addition, Alternative Dispute resolution will be free of charge. For complaints on possible access by national intelligence authorities, a new Ombudsperson will be created.
Next steps
The College has today mandated Vice-President Ansip and Commissioner Jourová to prepare a draft "adequacy decision" in the coming weeks, which could then be adopted by the College after obtaining the advice of the Article 29 Working Party and after consulting a committee composed of representatives of the Member States. In the meantime, the U.S. side will make the necessary preparations to put in place the new framework, monitoring mechanisms and new Ombudsman.
Background
On 6 October, the Court of Justice declared in the Schrems case that Commission’s Decision on the Safe Harbour arrangement was invalid. The judgment confirmed the Commission's approach since November 2013 to review the Safe Harbour arrangement, to ensure in practice a sufficient level of data protection as required by EU law.
On 15 October, Vice-President Ansip, Commissioners Oettinger and Jourová met business and industry representatives who asked for a clear and uniform interpretation of the ruling, as well as more clarity on the instruments they could use to transfer data.
On 16 October, the 28 national data protection authorities (Article 29 Working Party) issued a statement on the consequences of the judgment.
On 6 November, the Commission issued guidance for companies on the possibilities of transatlantic data transfers following the ruling until a new framework is put in place.
On 2 December, the College of Commissioners discussed the progress of the negotiations. Commissioner Jourová received a mandate to pursue the negotiations on a renewed and safe framework with the US.




EuGH: Safe-Harbor-Abkommen zwischen USA und EU ungültig - kein ausreichender Schutz in den USA für personenbezogene Daten vor Zugriff durch Behörden

EuGH
Urteil vom 06.10.2015
C-362/14
Maximillian Schrems / Data Protection Commissioner


Der EuGH hat völlig zu Recht entschieden, dass das Safe-Harbor-Abkommen zwischen den USA und der EU ungültig ist, da die personenbezogenen Daten in den USA insbesondere nicht ausreichend vor dem Zugriff durch Behörden geschützt ist. Eine andere Entscheidung wäre juristisch auch nicht haltbar gewesen.

Die Pressemitteilung des EuGH:

Der Gerichtshof erklärt die Entscheidung der Kommission, in der festgestellt wird, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig


Während allein der Gerichtshof dafür zuständig ist, einen Rechtsakt der Union für ungültig zu erklären, können die mit einer Beschwerde befassten nationalen Datenschutzbehörden, auch wenn es eine Entscheidung der Kommission gibt, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, prüfen, ob bei der Übermittlung der Daten einer Person in dieses Land die Anforderungen des Unionsrechts an den
Schutz dieser Daten eingehalten werden, und sie können, ebenso wie die betroffene Person, die nationalen Gerichte anrufen, damit diese ein Ersuchen um Vorabentscheidung zur Prüfung der Gültigkeit der genannten Entscheidung stellen
Die Richtlinie über die Verarbeitung personenbezogener Daten bestimmt, dass die Übermittlung solcher Daten in ein Drittland grundsätzlich nur dann zulässig ist, wenn das betreffende Drittland ein angemessenes Schutzniveau dieser Daten gewährleistet. Ferner kann nach der Richtlinie die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen ein angemessenes Schutzniveau gewährleistet. Schließlich sieht die Richtlinie vor, dass jeder Mitgliedstaat eine oder mehrere öffentliche Stellen benennt, die
in seinem Hoheitsgebiet mit der Überwachung der Anwendung der zur Umsetzung der Richtlinie erlassenen nationalen Vorschriften beauftragt sind („Datenschutzbehörden“).

Herr Schrems, ein österreichischer Staatsangehöriger, nutzt seit 2008 Facebook. Wie bei allen anderen in der Union wohnhaften Nutzern von Facebook werden die Daten, die Herr Schrems Facebook liefert, von der irischen Tochtergesellschaft von Facebook ganz oder teilweise an Server, die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Herr Schrems legte bei der irischen Datenschutzbehörde eine Beschwerde ein, weil er im Hinblick auf die von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten, insbesondere der National Security Agency (NSA), der Ansicht war, dass das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor Überwachungstätigkeiten der dortigen Behörden böten. Die irische Behörde wies die Beschwerde insbesondere mit der Begründung zurück, die Kommission habe in ihrer Entscheidung vom 26. Juli 20002 festgestellt, dass die Vereinigten Staaten im Rahmen der sogenannten „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau der übermittelten personenbezogenen Daten gewährleisteten.

Der mit der Rechtssache befasste irische High Court möchte wissen, ob diese Entscheidung der Kommission eine nationale Datenschutzbehörde daran hindert, eine Beschwerde zu prüfen, mit der geltend gemacht wird, dass ein Drittland kein angemessenes Schutzniveau gewährleiste, und gegebenenfalls die angefochtene Datenübermittlung auszusetzen.
In seinem heutigen Urteil führt der Gerichtshof aus, dass die Existenz einer Entscheidung der Kommission, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für übermittelte personenbezogene Daten gewährleistet, die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union und der Richtlinie verfügen, weder beseitigen noch auch nur beschränken kann. Der Gerichtshof hebt insoweit das durch die Charta garantierte Recht auf den Schutz personenbezogener Daten sowie die den nationalen Datenschutzbehörden durch die Charta übertragene Aufgabe hervor. Der Gerichtshof stellt zunächst fest, dass keine Bestimmung der Richtlinie die nationalen Datenschutzbehörden an der Kontrolle der Übermittlungen personenbezogener Daten in Drittländer hindert, die Gegenstand einer Entscheidung der Kommission waren. Auch wenn die Kommission eine solche Entscheidung erlassen hat, müssen die nationalen Datenschutzbehörden daher, wenn sie mit einer Beschwerde befasst werden, in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung der Daten einer Person in ein Drittland die in der Richtlinie aufgestellten Anforderungen gewahrt werden. Der Gerichtshof weist allerdings darauf hin, dass er allein befugt ist, die Ungültigkeit eines Unionsrechtsakts wie
einer Entscheidung der Kommission festzustellen. Ist eine nationale Behörde oder die Person, die sie angerufen hat, der Auffassung, dass eine Entscheidung der Kommission ungültig ist, muss diese Behörde oder diese Person folglich die nationalen Gerichte anrufen können, damit diese, falls sie ebenfalls Zweifel an der Gültigkeit der Entscheidung der Kommission haben, die Sache dem Gerichtshof vorlegen können. Letztlich hat somit der Gerichtshof darüber zu befinden, ob eine Entscheidung der Kommission gültig ist.

Der Gerichtshof prüft sodann die Gültigkeit der Entscheidung der Kommission vom 26. Juli 2000. Insoweit weist er darauf hin, dass die Kommission hätte feststellen müssen, dass die Vereinigten Staaten aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleisten, das dem in der Union aufgrund der Richtlinie im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Eine solche Feststellung hat die Kommission nicht getroffen, sondern sie hat sich darauf beschränkt, die SafeHarbor-Regelung zu prüfen.

Ohne dass der Gerichtshof prüfen muss, ob diese Regelung ein Schutzniveau gewährleistet, das dem in der Union garantierten Niveau der Sache nach gleichwertig ist, ist festzustellen, dass sie nur für die amerikanischen Unternehmen gilt, die sich ihr unterwerfen, nicht aber für die Behörden der Vereinigten Staaten. Außerdem haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten Vorrang vor der Safe-Harbor-Regelung, so dass die amerikanischen Unternehmen ohne jede Einschränkung verpflichtet sind, die in dieser Regelung vorgesehenen Schutzregeln unangewandt zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen stehen. Die amerikanische SafeHarbor-Regelung ermöglicht daher Eingriffe der amerikanischen Behörden in die Grundrechte der
Personen, wobei in der Entscheidung der Kommission weder festgestellt wird, dass es in den Vereinigten Staaten Regeln gibt, die dazu dienen, etwaige Eingriffe zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt.

Diese Analyse der Regelung wird durch zwei Mitteilungen der Kommission bestätigt, aus denen u. a. hervorgeht, dass die amerikanischen Behörden auf die aus den Mitgliedstaaten in die Vereinigten Staaten übermittelten personenbezogenen Daten zugreifen und sie in einer Weise verarbeiten konnten, die namentlich mit den Zielsetzungen ihrer Übermittlung unvereinbar war und über das hinausging, was nach Ansicht der Kommission zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig gewesen wäre. Desgleichen stellte die Kommission fest, dass es für die Betroffenen keine administrativen oder gerichtlichen Rechtsbehelfe gab, die es ihnen erlaubten, Zugang zu den sie betreffenden Daten zu erhalten und gegebenenfalls deren Berichtigung oder Löschung zu erwirken.

Zum Vorliegen eines Schutzniveaus, das den in der Union garantierten Freiheiten und Grundrechten der Sache nach gleichwertig ist, stellt der Gerichtshof fest, dass nach dem Unionsrecht eine Regelung nicht auf das absolut Notwendige beschränkt ist, wenn sie generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten
aus der Union in die Vereinigten Staaten übermittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne objektive Kriterien vorzusehen, die es ermöglichen, den Zugang der Behörden zu den Daten und deren spätere Nutzung zu beschränken. Der Gerichtshof fügt hinzu, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt.

Ferner führt der Gerichtshof aus, dass eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt. Eine solche Möglichkeit ist dem Wesen eines Rechtsstaats inhärent.

Schließlich stellt der Gerichtshof fest, dass die Entscheidung der Kommission vom 26. Juli 2000 den nationalen Datenschutzbehörden Befugnisse entzieht, die ihnen für den Fall zustehen, dass eine Person die Vereinbarkeit der Entscheidung mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen in Frage stellt. Die Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu
beschränken.

Aus all diesen Gründen erklärt der Gerichtshof die Entscheidung der Kommission vom 26. Juli 2000 für ungültig. Dieses Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.

Den Volltext der Entscheidung finden Sie hier: