Das Urteil des EuGH i.S. Schrems vom 6. Oktober 2015:
Bindung der Datenschutz-Aufsichtsbehörden:
36 Unter diesen Umständen hat der High Court beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. Ist ein unabhängiger Amtsträger, der von Rechts wegen mit der Handhabung und der Durchsetzung von Rechtsvorschriften über den Datenschutz betraut ist, bei der Prüfung einer bei ihm eingelegten Beschwerde, dass personenbezogene Daten in ein Drittland (im vorliegenden Fall in die Vereinigten Staaten von Amerika) übermittelt würden, dessen Recht und Praxis keinen angemessenen Schutz der Betroffenen gewährleisteten, im Hinblick auf die Art. 7, 8 und 47 der Charta, unbeschadet der Bestimmungen von Art. 25 Abs. 6 der Richtlinie 95/46, absolut an die in der Entscheidung 2000/520 enthaltene gegenteilige Feststellung der Union gebunden?
2. Oder kann und/oder muss der Amtsträger stattdessen im Licht tatsächlicher Entwicklungen, die seit der erstmaligen Veröffentlichung der Entscheidung der Kommission eingetreten sind, eigene Ermittlungen in dieser Sache anstellen?
Die Antwort des EuGH:
47 Da die nationalen Kontrollstellen gemäß Art. 8 Abs. 3 der Charta und Art. 28 der Richtlinie 95/46 die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu überwachen haben, ist jede von ihnen zu der Prüfung befugt, ob bei einer Übermittlung personenbezogener Daten aus ihrem Mitgliedstaat in ein Drittland die in der Richtlinie 95/46 aufgestellten Anforderungen eingehalten werden.
[…]50 Zum Zweck der Kontrolle der Übermittlungen personenbezogener Daten in Drittländer anhand des Schutzniveaus dieser Daten im jeweiligen Drittland werden den Mitgliedstaaten und der Kommission in Art. 25 der Richtlinie 95/46 eine Reihe von Verpflichtungen auferlegt. Insbesondere kann nach diesem Artikel, wie der Generalanwalt in Nr. 86 seiner Schlussanträge ausgeführt hat, die Feststellung, ob ein Drittland ein angemessenes Schutzniveau gewährleistet, sowohl von den Mitgliedstaaten als auch von der Kommission getroffen werden.
[…]52 Solange die Entscheidung der Kommission vom Gerichtshof nicht für ungültig erklärt wurde, können die Mitgliedstaaten und ihre Organe, zu denen ihre unabhängigen Kontrollstellen gehören, somit zwar keine dieser Entscheidung zuwiderlaufenden Maßnahmen treffen, wie etwa Rechtsakte, mit denen verbindlich festgestellt wird, dass das Drittland, auf das sich die Entscheidung bezieht, kein angemessenes Schutzniveau gewährleistet. Für die Rechtsakte der Unionsorgane gilt nämlich grundsätzlich eine Vermutung der Rechtmäßigkeit […].
53 Eine nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangene Entscheidung der Kommission wie die Entscheidung 2000/520 kann Personen, deren personenbezogene Daten in ein Drittland übermittelt wurden oder werden könnten, jedoch nicht daran hindern, die nationalen Kontrollstellen zum Schutz der diese Personen betreffenden Rechte und Freiheiten bei der Verarbeitung solcher Daten mit einer Eingabe im Sinne von Art. 28 Abs. 4 der Richtlinie zu befassen. Desgleichen kann eine derartige Entscheidung, wie der Generalanwalt insbesondere in den Nrn. 61, 93 und 116 seiner Schlussanträge ausgeführt hat, die den nationalen Kontrollstellen durch Art. 8 Abs. 3 der Charta und durch Art. 28 der Richtlinie ausdrücklich zuerkannten Befugnisse weder beseitigen noch beschränken.
[…]
57 Art. 28 der Richtlinie 95/46 kommt vielmehr seinem Wesen nach bei jeder Verarbeitung personenbezogener Daten zur Anwendung. Auch wenn die Kommission eine Entscheidung nach Art. 25 Abs. 6 der Richtlinie getroffen hat, müssen die nationalen Kontrollstellen daher, wenn sich eine Person mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung ihrer personenbezogenen Daten an sie wendet, in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung dieser Daten die in der Richtlinie aufgestellten Anforderungen gewahrt werden.
[…]61 Gleichwohl ist allein der Gerichtshof befugt, die Ungültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission festzustellen, wobei die Ausschließlichkeit dieser Zuständigkeit Rechtssicherheit gewährleisten soll, indem sie die einheitliche Anwendung des Unionsrechts sicherstellt […].
62 Die nationalen Gerichte sind zwar berechtigt, die Gültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission zu prüfen; sie sind jedoch nicht befugt, selbst die Ungültigkeit eines solchen Rechtsakts festzustellen […]. Erst recht sind die nationalen Kontrollstellen bei der Prüfung einer Eingabe im Sinne von Art. 28 Abs. 4 der Richtlinie, die die Vereinbarkeit einer nach Art. 25 Abs. 6 der Richtlinie ergangenen Entscheidung der Kommission mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen zum Gegenstand hat, nicht befugt, selbst die Ungültigkeit einer solchen Entscheidung festzustellen.
[…]
64 Falls die Kontrollstelle zu dem Ergebnis kommt, dass das Vorbringen, auf das sich eine solche Eingabe stützt, unbegründet ist, und die Eingabe deshalb zurückweist, muss der Person, von der die Eingabe stammt, nach Art. 28 Abs. 3 Unterabs. 2 der Richtlinie 95/46 im Licht von Art. 47 der Charta der Rechtsweg offenstehen, damit sie eine solche sie beschwerende Entscheidung vor den nationalen Gerichten anfechten kann. Angesichts der in den Rn. 61 und 62 des vorliegenden Urteils angeführten Rechtsprechung müssen diese Gerichte das Verfahren aussetzen und dem Gerichtshof ein Ersuchen um Vorabentscheidung über die Gültigkeit vorlegen, wenn sie der Auffassung sind, dass einer oder mehrere der von den Parteien vorgebrachten oder gegebenenfalls von Amts wegen geprüften Ungültigkeitsgründe durchgreifen (vgl. in diesem Sinne Urteil T & L Sugars und Sidul Açúcares/Kommission, C‑456/13 P, EU:C:2015:284, Rn. 48 und die dort angeführte Rechtsprechung).
Zur Gültigkeit der Entscheidung 2000/520 (Anerkennung der Angemessenheit:
[…]73 Zwar impliziert das Wort „angemessen“ in Art. 25 Abs. 6 der Richtlinie 95/46, dass nicht verlangt werden kann, dass ein Drittland ein dem in der Unionsrechtsordnung garantiertes identisches Schutzniveau gewährleistet. Wie der Generalanwalt in Nr. 141 seiner Schlussanträge ausgeführt hat, ist der Ausdruck „angemessenes Schutzniveau“ jedoch so zu verstehen, dass verlangt wird, dass das Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleistet, das dem in der Union aufgrund der Richtlinie 95/46 im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Ohne ein solches Erfordernis würde nämlich das in der vorstehenden Randnummer erwähnte Ziel missachtet. Außerdem könnte das durch die Richtlinie 95/46 im Licht der Charta garantierte hohe Schutzniveau leicht umgangen werden, indem personenbezogene Daten aus der Union in Drittländer übermittelt würden, um dort verarbeitet zu werden.
[…]75 Unter diesen Umständen ist die Kommission bei der Prüfung des von einem Drittland gebotenen Schutzniveaus verpflichtet, den Inhalt der in diesem Land geltenden, aus seinen innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen resultierenden Regeln sowie die zur Gewährleistung der Einhaltung dieser Regeln dienende Praxis zu beurteilen, wobei sie nach Art. 25 Abs. 2 der Richtlinie 95/46 alle Umstände zu berücksichtigen hat, die bei einer Übermittlung personenbezogener Daten in ein Drittland eine Rolle spielen.
76 Desgleichen obliegt es der Kommission in Anbetracht der Tatsache, dass das durch ein Drittland gewährleistete Schutzniveau Veränderungen unterworfen sein kann, im Anschluss an den Erlass einer Entscheidung nach Art. 25 Abs. 6 der Richtlinie 95/46 in regelmäßigen Abständen zu prüfen, ob die Feststellung zur Angemessenheit des vom fraglichen Drittland gewährleisteten Schutzniveaus in sachlicher und rechtlicher Hinsicht nach wie vor gerechtfertigt ist. Eine solche Prüfung ist jedenfalls dann geboten, wenn Anhaltspunkte vorliegen, die Zweifel daran wecken.
77 Zudem sind, wie der Generalanwalt in den Nrn. 134 und 135 seiner Schlussanträge ausgeführt hat, bei der Prüfung der Gültigkeit einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission auch nach dem Erlass dieser Entscheidung eingetretene Umstände zu berücksichtigen.
[…]81 Auch wenn der Rückgriff eines Drittlands auf ein System der Selbstzertifizierung als solcher nicht gegen das Erfordernis in Art. 25 Abs. 6 der Richtlinie 95/46 verstößt, dass in dem betreffenden Drittland „aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen“ ein angemessenes Schutzniveau gewährleistet sein muss, beruht die Zuverlässigkeit eines solchen Systems im Hinblick auf dieses Erfordernis wesentlich auf der Schaffung wirksamer Überwachungs- und Kontrollmechanismen, die es erlauben, in der Praxis etwaige Verstöße gegen Regeln zur Gewährleistung des Schutzes der Grundrechte, insbesondere des Rechts auf Achtung der Privatsphäre sowie des Rechts auf den Schutz personenbezogener Daten, zu ermitteln und zu ahnden.
82 Im vorliegenden Fall sind die Grundsätze des „sicheren Hafens“ nach Abs. 2 von Anhang I der Entscheidung 2000/520 „ausschließlich für den Gebrauch durch US-Organisationen bestimmt, die personenbezogene Daten aus der Europäischen Union erhalten, um sich für den ‚sicheren Hafen‘ und die daraus erwachsende Vermutung der ‚Angemessenheit‘ des Datenschutzes zu qualifizieren“. Diese Grundsätze gelten somit nur für selbstzertifizierte US-Organisationen, die aus der Union personenbezogene Daten erhalten, ohne dass von den amerikanischen Behörden die Einhaltung der genannten Grundsätze verlangt wird.
[…]84 Hinzu kommt, dass die Geltung der genannten Grundsätze nach Abs. 4 von Anhang I der Entscheidung 2000/520 begrenzt werden kann, und zwar u. a. „insoweit, als Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Rechnung getragen werden muss“, sowie „durch Gesetzesrecht, staatliche Regulierungsvorschriften oder Fallrecht, die unvereinbare Verpflichtungen oder ausdrückliche Ermächtigungen schaffen, vorausgesetzt, die Organisation kann in Wahrnehmung dieser Ermächtigungen nachweisen, dass die Nichteinhaltung der Grundsätze sich auf das Ausmaß beschränkte, das die Einhaltung übergeordneter berechtigter Interessen aufgrund eben dieser Ermächtigung erforderte“.
[…]86 In der Entscheidung 2000/520 wird somit den „Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen“ Vorrang vor den Grundsätzen des „sicheren Hafens“ eingeräumt; aufgrund dieses Vorrangs sind die selbstzertifizierten US-Organisationen, die aus der Union personenbezogene Daten erhalten, ohne jede Einschränkung verpflichtet, die Grundsätze des „sicheren Hafens“ unangewandt zu lassen, wenn sie in Widerstreit zu den genannten Erfordernissen stehen und sich deshalb als mit ihnen unvereinbar erweisen.
87 Angesichts ihres generellen Charakters ermöglicht die Ausnahme in Abs. 4 von Anhang I der Entscheidung 2000/520 es daher, gestützt auf Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder von Rechtsvorschriften der Vereinigten Staaten in die Grundrechte der Personen einzugreifen, deren personenbezogene Daten aus der Union in die Vereinigten Staaten übermittelt werden oder werden könnten. Für die Feststellung des Vorliegens eines Eingriffs in das Grundrecht auf Achtung der Privatsphäre kommt es nicht darauf an, ob die betreffenden Informationen über die Privatsphäre sensiblen Charakter haben oder ob die Betroffenen durch den Eingriff Nachteile erlitten haben könnten ([…]).
[…]89 Hinzu kommt, dass die Entscheidung 2000/520 keine Feststellung zum Bestehen eines wirksamen gerichtlichen Rechtsschutzes gegen derartige Eingriffe enthält. Wie der Generalanwalt in den Nrn. 204 bis 206 seiner Schlussanträge ausgeführt hat, beziehen sich die privaten Schiedsmechanismen und die Verfahren vor der Federal Trade Commission, deren insbesondere in den FAQ 11 in Anhang II der Entscheidung beschriebene Befugnisse auf Handelsstreitigkeiten beschränkt sind, auf die Einhaltung der Grundsätze des „sicheren Hafens“ durch die amerikanischen Unternehmen und können nicht im Rahmen von Streitigkeiten über die Rechtmäßigkeit von Eingriffen in Grundrechte, die sich aus Maßnahmen staatlichen Ursprungs ergeben, zur Anwendung kommen.
90 Die vorstehende Analyse der Entscheidung 2000/520 wird im Übrigen bestätigt durch die von der Kommission selbst vorgenommene Beurteilung der aus der Umsetzung dieser Entscheidung resultierenden Sachlage. Sie stellt nämlich insbesondere in den Abschnitten 2 und 3.2 der Mitteilung COM(2013) 846 final sowie in den Abschnitten 7.1, 7.2 und 8 der Mitteilung COM(2013) 847 final, die in den Rn. 13 bis 16 bzw. den Rn. 22, 23 und 25 des vorliegenden Urteils wiedergegeben werden, fest, dass die amerikanischen Behörden auf die aus den Mitgliedstaaten in die Vereinigten Staaten übermittelten personenbezogenen Daten zugreifen und sie in einer Weise verarbeiten konnten, die namentlich mit den Zielsetzungen ihrer Übermittlung unvereinbar war und über das hinausging, was zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig war. Desgleichen stellte die Kommission fest, dass es für die Betroffenen keine administrativen oder gerichtlichen Rechtsbehelfe gab, die es ihnen erlaubten, Zugang zu den sie betreffenden Daten zu erhalten und gegebenenfalls deren Berichtigung oder Löschung zu erwirken.
91 Zu dem innerhalb der Union garantierten Schutzniveau der Freiheiten und Grundrechte ist festzustellen, dass eine Unionsregelung, die einen Eingriff in die durch die Art. 7 und 8 der Charta garantierten Grundrechte enthält, nach ständiger Rechtsprechung des Gerichtshofs klare und präzise Regeln für die Tragweite und die Anwendung einer Maßnahme vorsehen und Mindestanforderungen aufstellen muss, so dass die Personen, deren personenbezogene Daten betroffen sind, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen. Das Erfordernis, über solche Garantien zu verfügen, ist umso bedeutsamer, wenn die personenbezogenen Daten automatisch verarbeitet werden und eine erhebliche Gefahr des unberechtigten Zugangs zu ihnen besteht (Urteil Digital Rights Ireland u. a., C‑293/12 und C‑594/12, EU:C:2014:238, Rn. 54 und 55 sowie die dort angeführte Rechtsprechung).
92 Darüber hinaus verlangt der Schutz des Grundrechts auf Achtung des Privatlebens auf Unionsebene vor allem, dass sich die Ausnahmen vom Schutz personenbezogener Daten und dessen Einschränkungen auf das absolut Notwendige beschränken (Urteil Digital Rights Ireland u. a., C‑293/12 und C‑594/12, EU:C:2014:238, Rn. 52 und die dort angeführte Rechtsprechung).
93 Nicht auf das absolut Notwendige beschränkt ist eine Regelung, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne ein objektives Kriterium vorzusehen, das es ermöglicht, den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit deren Nutzung verbundenen Eingriff zu rechtfertigen vermögen ([…]).
94 Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens ([…]).
95 Desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz. Nach Art. 47 Abs. 1 der Charta hat nämlich jede Person, deren durch das Recht der Union garantierte Rechte oder Freiheiten verletzt worden sind, das Recht, nach Maßgabe der in diesem Artikel vorgesehenen Bedingungen bei einem Gericht einen wirksamen Rechtsbehelf einzulegen. Insoweit ist schon das Vorhandensein einer wirksamen, zur Gewährleistung der Einhaltung des Unionsrechts dienenden gerichtlichen Kontrolle dem Wesen eines Rechtsstaats inhärent ([…]).
[…]98 Daher ist, ohne dass es einer Prüfung des Inhalts der Grundsätze des „sicheren Hafens“ bedarf, der Schluss zu ziehen, dass Art. 1 der Entscheidung 2000/520 gegen die in Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Charta festgelegten Anforderungen verstößt und aus diesem Grund ungültig ist.
[…] 106 Aus den vorstehenden Erwägungen ist der Schluss zu ziehen, dass die Entscheidung 2000/520 ungültig ist.