Entscheid Schrems II ECLI:EU:C:2020:559 (Schrems II)
Entscheid Schrems II ECLI:EU:C:2020:559 (Schrems II)
Entscheid Schrems II ECLI:EU:C:2020:559 (Schrems II)
Diesem Ersuchen ging der Rechtsstreit zwischen dem Datenschutzbeauftragten von Irland und Maximilian Schrems sowie Facebook Ireland Ltd voraus, in Bezug auf die Übermittlung seiner personenbezogenen Daten durch Facebook Ireland an die Facebook Inc. in den Vereinigten Staaten voraus.
Es handelt sich bei diesem Entscheid um ein Vorabentscheidungsersuchen des EuGH zu den folgenden Themen:
- Die Auslegung von Art. 3 Abs. 2, Art. 25, 26 und Art. 28 Abs. 3 der Richtlinie 95/46/EG, im Licht von Art. 4 Abs. 2 EUV und Art. 7 und 47 der Charta der Grundrechte der Europäischen Union («Charta»);
- Die Auslegung und die Gültigkeit über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtline 95/46/EG;
- Die Auslegung und die Gültigkeit des Durchführungsbeschlusses (EU) 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes.
Prozessgeschichte
Alle in der EU wohnhafte Personen, die Facebook nutzen wollen, müssen bei ihrer Anmeldung einen Vertrag mit Facebook Ireland abschliessen. Facebook Ireland ist eine Tochtergesellschaft der in der USA ansässigen Facebook Inc. Personenbezogene Daten von Personen mit Wohnsitz in der EU, werden ganz oder teilweise an Server der Facebook Inc. in den USA übermittelt und verarbeitet.
Am 15. Juni 2013 legte der Beschwerdeführer, Maximilian Schrems, Beschwerde beim irischen Datenschutzbeauftragten («Commissioner») ein, mit der Aufforderung, Facebook Irland die Übermittlung seiner personenbezogenen Daten in die USA zu untersagen, weil die USA keinen ausreichenden Schutz von den Überwachungsmöglichkeiten der dortigen Behörden bieten würde.
Die Beschwerde wurde zurückgewiesen, weil die Kommission mit der Entscheidung 2000/520 festgestellt hatte, dass die USA ein angemessenes Schutzniveau aufweist.
Der Beschwerdeführer erhob gegen die Zurückweisung Beschwerde beim High Court Ireland, das wiederum mit einem Vorabentscheidungsersuchen betreffend die Auslegung und die Gültigkeit der Entscheidung beim EuGH nachsuchte. Mit Urteil vom 6. Oktober 2015 1 erklärte der EuGH die Entscheidung des irischen Datenschutzbeauftragten für ungültig.
Im Anschluss wurde die Sache an den irischen Datenschutzbeauftragten zurückgewiesen. Facebook erklärte dem Commissioner in der Zwischenzeit, dass ein grosser Teil der personenbezogenen Daten auf der Grundlage der Standarddatenschutzklauseln an die Facebook Inc. in die USA übermittelt wurden. Daraufhin forderte der Commissioner Maximilian Schrems auf, seine Beschwerde umzuformulieren.
Am 1. Dezember 2015 reichte Herr Schrems seine umformulierte Beschwerde ein und machte folgendes geltend:
- Facebook Inc. sei nach amerikanischem Recht verpflichtet, erhaltene personenbezogene Daten an amerikanische Behörden, wie die NSA oder das FBI, zur Verfügung zu stellen;
- Diese Daten würden im Rahmen von verschiedenen Überwachungsprogrammen auf eine mit der Charta unvereinbarer Weise verwendet, deswegen können die Standardvertragsklauseln als Grundlage für eine Übermittlung nicht ausreichen;
- Herr Schrems forderte den Commissioner auf, die Übermittlung seiner personenbezogenen Daten an die Facebook Inc. zu verbieten oder auszusetzen.
Am 24. Mai 2016 veröffentlichte der Commissioner einen Entwurf mit vorläufigen Schlussfolgerungen. Darin äusserte er Bedenken, u.a. in Bezug auf die Datenbearbeitung der amerikanischen Behörden, da das amerikanische Recht für Unionsbürger keine mit Art. 47 der Charta vereinbarten Rechtsbehelfe vorsah. Die Standardvertragsklauseln würden keinen ausreichenden Schutz bieten, da amerikanische Behörden nicht an die europäische Charta gebunden sind.
Der Commissioner war der Ansicht, dass die umformulierte Beschwerde die Frage nach der Gültigkeit des SDK-Beschlusses (Beschluss 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG) aufwirft. Er beantragte daraufhin beim High Court, dass diese den Gerichtshof dazu befragen möge. Mit Entscheid vom 4. Mai 2018 stimmte diese zu und unterbreitete dem Gerichtshof ein Vorabentscheidungsersuchen.
Der High Court fügte dem Vorabentscheidungsersuchen ein Urteil vom 3. Oktober 2017 bei, an dem die US-Regierung beteiligt war und Beweise vorgelegt hatte, welche für den vorliegenden Fall relevant waren.
Übersicht der Feststellungen aus dem Urteil vom 3. Oktober 2017
- Nachrichtendienstliche Tätigkeiten der amerikanischen Behörden stützen sich insbesondere auf Section 702 des FISA2 und die E.O. 12333.3
- Section 702 des FISA erlaubt es dem Justizminister und dem Direktor der nationalen Sicherheitsdienste der USA nach Zustimmung durch die FISC4 die Beschaffung von «Informationen im Bereich der Auslandsaufklärung» – sprich die Überwachung von Nicht-US-Personen, die sich ausserhalb des US-Territoriums aufhalten. Diese Vorschrift ist die Grundlage der Überwachungsprogramme PRISM.5 Telekommunikationsunternehmen, die Netzwerke betreiben, sind verpflichtet, der NSA zu gestatten, die Internetverkehrsflüsse zu kopieren und zu filtern, damit sie sich Zugang zur Kommunikation beschaffen kann, dies betrifft die Metadaten und den Inhalt der Kommunikation.
- Nicht US-Personen werden nur von der PPD-286 erfasst, die lediglich festhält, das nachrichtendienstliche Tätigkeiten so gezielt wie möglich sein müssen.
Fazit dieser Feststellungen war, dass die USA eine umfassende Datenverarbeitung durchführt, ohne einen Schutz im Sinne der Garantien von Art. 7 und 8 der Charta.
Rechtsschutz für Unionsbürger in der USA
Der Rechtsschutz für Unionsbürger ist schwächer als für amerikanische Staatsbürger, weil Unionsbürger sich nicht auf den Vierten Zusatzartikel der Verfassung der vereinigten Staaten7 berufen können. Die verbleibenden Rechtsbehelfe verfügen über erhebliche Hindernisse, wie zum Beispiel die Obliegenheit, ihre Klagebefugnis nachzuweisen. Des Weiteren unterliegen Überwachung aufgrund von E.O. 12333 keiner gerichtlichen Überprüfung. Schliesslich ist die im Privacy Shield vorgesehene Ombudsperson kein Gericht im Sinne von Art. 47 der Charta. Diese Tatsachen führten zum Schluss, dass amerikanisches Recht kein gleichwertiges Schutzniveau bietet.
Standarddatenschutzklauseln
Das irische High Court warf weiter die Frage auf, ob der SDK-Beschluss gültig sei in Anbetracht dessen, dass die Klauseln die Behörden des betroffenen Drittlandes nicht bänden - was ein fehlendes Schutzniveau nicht auszugleichen vermag.
Fragen des High Court an den Gerichtshof
- Findet Unionsrecht Anwendung auf den Fall, dass Personendaten aufgrund des SDK-Beschlusses von einem privaten Unternehmen in der EU an ein privates Unternehmen in einem Drittland für gewerbliche Zwecke übermittelt werden, wenn besagtes Drittland zur Durchführung von Gesetzen und der Aussenpolitik, sowie für Zwecke der nationalen Sicherheit weiterverarbeitet?
-
Was ist der relevante Vergleichsmassstab für die Beurteilung des Vorliegens einer Verletzung der Rechte durch die Übermittlung von Daten aus der Union in ein Drittland, die aufgrund eines SDK-Beschlusses erfolgt, soweit diese für Zwecke der nationalen Sicherheit weiterverarbeitet werden können? Unionsrecht oder nationale Rechtsvorschriften von einem oder mehreren Mitgliedstaaten?
-
Sollte der relevante Vergleichsmassstab nationale Rechtsvorschriften von einem oder mehreren Mitgliedstaaten sein, ist die Praxis dessen im Kontext der nationalen Sicherheit miteinzubeziehen?
-
Richtet sich die Beurteilung des Schutzniveaus, und wie dessen Einhaltung sichergestellt wird, nach den geltenden Rechtsnormen im Drittland oder nach den Normen des Unionsrechts und dem Recht der Mitgliedstaaten, ebenso wie die Praxis der Verwaltung, Schutzmassnahmen, Verfahren, Kontrollmechanismen etc., die im betroffenen Drittland bestehen?
-
Dürfen angesichts der vom irischen High Court getroffenen Feststellungen personenbezogene Daten noch in die USA auf der Grundlage des SDK-Beschlusses übermittelt werden?
-
Wird auf das Recht von Art. 47 der Charta auf einen gerichtlichen Rechtsbehelf, in Anbetracht des durch die USA gebotenen Schutzniveaus, eingehalten? Falls ja, sind die Einschränkungen durch das Recht der Vereinigten Staaten im Kontext der nationalen Sicherheit verhältnismässig?
-
Welches Schutzniveau muss ein Drittland, bei einer Datenübermittlung basierend auf Standardvertragsklauseln, einhalten?
-
Was gilt es bei der Beurteilung des Schutzniveaus, die aufgrund des SDK-Beschlusses vorgenommen werden, zu berücksichtigen?
-
Stellen die Standardvertragsklauseln, da keine Bindungswirkung gegenüber nationalen Behörden des Drittlandes bestehen, keine ausreichende Grundlage mehr dar?
-
Muss eine Datenschutzbehörde Datenübermittlungen aussetzen, sollte der Datenimporteur eines Drittlandes Überwachungsgesetze unterliegen, die nach Ansicht der Datenschutzbehörde nicht mit dem Unionsrecht vereinbar sind? Wie ist das Ermessen der Datenschutzbehörde in solchen Fällen?
-
Ist der Beschluss über die Angemessenheit des Privacy Shields eine allgemeingültige Feststellung, die für Datenschutzbehörden und Gerichte verbindlich ist?
-
Sollte dies nicht der Fall sein, was hat der Beschluss über die Angemessenheit für eine Bedeutung?
-
Ist der im Privacy Shield vorgesehene Rechtsbehelf der Ombudsstelle in Einklang mit Art. 7, 8, und / oder Art. 47 der Charta?
Zulässigkeit des Vorabentscheidungsersuchens
Facebook Ireland, die deutsche Regierung und die Regierung des Vereinigten Königreiches stellten sich auf den Standpunkt, dass das Vorabentscheidungsersuchen unzulässig sei. Facebook Ireland begründete dies damit, dass die Richtlinie 95/46/EG durch Art. 94 Abs. 1 DSGVO mit Wirkung vom 25. Mai 2018 aufgehoben wurde. Dem wurde entgegengehalten, dass das Vorabentscheidungsersuchen am 4. Mai 2018 formuliert. Die Bestimmungen der Richtlinie 95/46/EG zu Vorlagefragen wurden im Wesentlichen in Art. 2 Abs. 2 sowie in den Artikeln 45, 46 und 58 der DSGVO übernommen, weshalb keine Unzulässigkeit des Vorabentscheidungsersuchens vorlag.
Die deutsche Regierung begründete ihre Unzulässigkeitseinrede damit, dass der Commissioner nur Zweifel und keine abschliessende Meinung geäussert hatte zur Frage der Gültigkeit des SDK-Beschlusses. Des Weiteren habe das vorlegende Gericht nicht geprüft, ob Maximilian Schrems zweifelsfrei an die Datenübermittlung eingewilligt habe.
Die Regierung des Vereinigten Königreichs war der Ansicht, dass das vorlegende Gericht nicht festgestellt hatte, ob die Daten tatsächlich auf der Grundlage des SDK-Beschlusses übermittelt worden seien, die Vorlagefragen rein hypothetischer Natur waren.
Dem entgegnete der EuGH, dass nach ihrer ständigen Rechtsprechung nur das für die Rechtssache zuständige nationale Gericht über die Erforderlichkeit einer Vorabentscheidung sowie über die Erheblichkeit der Fragen zu urteilen habe. Folglich bestand für Fragen nationaler Gerichte die Vermutung der Entscheidungserheblichkeit.
Da keine Anhaltspunkte bestanden, dass das Vorabentscheidungsersuchen rein hypothetischer Natur war und keine anderen Punkte dem Vorabentscheidungsersuchen entgegenstanden, befand ihn der Gerichtshof als zulässig.
Vorlagefragen
Da der Commissioner die Beschwerde im Zeitpunkt des Inkrafttretens der DSGVO noch nicht endgültige beurteilt hatte, beurteilte der EuGH die Vorlagefragen nach den Bestimmungen der DSGVO und nicht der Richtlinie 95/46/EG. Im Einzelnen beantwortete der EuGH die Vorlagefragen wie folgt:
Zur Frage 1
Zunächst stellte der Gerichtshof fest, dass Art. 4 Abs. 2 EUV nur die Mitgliedstaaten der Union betrifft und folglich für die Auslegung der DSGVO im vorliegenden Fall nicht massgeblich ist.
Daraufhin stellt der Gerichtshof fest, dass die DSGVO anwendbar ist, weil die Übermittlung personenbezogener Daten aus einem Mitgliedstaat in ein Drittland eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO ist, die im Hoheitsgebiet eines Mitgliedstaats vorgenommen wird. Auf eine solche Verarbeitung sei die DSGVO nach Art. 2 Abs. 1 anwendbar. Ausnahmen vom Anwendungsbereich der DSGVO sind nach Art. 2 Abs. 1 DSGVO eng auszulegen.
In Bezug auf die Zwecke der öffentlichen Sicherheit der Landesverteidigung und der Sicherheit des Drittstaates führt der Gerichtshof aus, dass die Übermittlung aufgrund dieser Zwecke keinen Ausschluss vom Anwendungsbereich der DSGVO bedeutet. Aus dem Wortlaut von Art. 45 Abs. 2 Buchst. a. DSGVO ergibt sich, dass die Verarbeitungen zu diesen Zwecken die Anwendbarkeit der DSGVO nicht infrage stellt. Die Kommission wird in dieser Bestimmung ausdrücklich dazu verpflichtet, bei der Angemessenheitsprüfung auch Rechtsvorschriften in diesen Bereichen zu berücksichtigen.
Daraus hat der Gerichtshof den Schluss gezogen, dass die DSGVO auf Datenübermittlung zwischen zwei Wirtschaftsteilnehmern anwendbar ist, unabhängig davon, ob bei der Übermittlung oder im Anschluss daran die Daten von den Behörden im Drittland für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.
Zu den Fragen 2, 3 und 6
Das vorlegende Gericht wollte zusammengefasst wissen, welches Schutzniveau von Artikel 46 Abs. 1 Buchst. c DSGVO verlangt wird, bei der Übermittlung von Personendaten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland und welche Gesichtspunkte bei der Ermittlung des Schutzniveaus berücksichtigt werden müssen.
Art. 46 DSGVO ist unter Beizug von Art. 44 DSGVO zu verstehen («Allgemeine Grundsätze der Datenübermittlung») wonach alle Bestimmungen von Kapitel V der Verordnung anzuwenden sind, damit das «gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird». Zusammengefasst bedeutet das unabhängig davon, welche Bestimmung der Datenübermittlung zugrunde liegt, immer dieses Schutzniveau gewährleistet werden muss.
Art. 45 Abs. 1 Satz 1 DSGVO ist die Grundlage für die Angemessenheitsbeschlüsse der Kommission, welche beschliessen kann, dass die Übermittlung von Personendaten zulässig sein kann, wenn das Drittland über ein angemessenes Schutzniveau verfügt. Dies bedeutet zwar nicht, dass das Schutzniveau identisch sein muss (Erwägungsgrund 104, DSGVO), das Schutzniveau der Freiheiten und Grundrechte muss jedoch der Sache nach gleichwertig sein.
Sollte kein angemessenes Schutzniveau vorhanden sein, sollte die Übermittlung verboten werden (Erwägungsgrund 107, DSGVO), ausser die Anforderungen werden mit geeigneten Garantien erfüllt. Der 108. Erwägungsgrund der DSGVO führt hierzu aus, dass ein Ausgleich der im Drittland bestehenden Mängel vorgenommen werden muss.
Dementsprechend müssen Standarddatenschutzklauseln als Grundlage für die Übermittlung von Personendaten in einem Drittland - wie im Rahmen einer auf einen Angemessenheitsbeschluss gestützte Übermittlung ein gleichwertiges Schutzniveau gewährleisten.
Das vorlegende Gericht wollte auch wissen, ob sich das Schutzniveau nach der in der Charta garantierten Rechte, anhand der EMRK oder nach dem nationalen Recht des Mitgliedstaates misst.
Der EuGH hielt dazu fest, dass die allgemeinen Grundsätze der EMRK Teil des Unionsrechts sind, die EMRK selbst jedoch kein Rechtsinstrument darstellt, das formell in die Unionsrechtsordnung übernommen wurde. Die Auslegung von Unionsrecht und die Gültigkeit von Unionsrechtsakten ist anhand der Charta verbürgten Grundrechte zu prüfen (Urteil vom 20. März 2018, Menci, C-524/15, EU:C:2018:197, Rn. 24).
Das nationale Recht der Mitgliedstaaten ist nur dann zur Auslegung von Unionsrecht beizuziehen, wenn ein ausdrücklicher Verweis auf das nationale Recht der Mitgliedstaaten vorliegt. Dies gilt auch, wenn es im Verfassungsrang steht.
Folglich ist die Übermittlung von personenbezogenen Daten im vorliegenden Fall, um eine unionsweite gleichmässige und einheitliche Anwendung der Vorschriften zu gewährleisten, auf der Grundlage der Bestimmungen der DSGVO im Licht der durch die Charta verbürgten Grundrechten, zu bewerten.
Die Frage des irischen High Courts in Bezug auf welche Gesichtspunkte bei der Bewertung des Schutzniveaus (i.S.v. Art. 46 Abs. 2 Bst. 1 DSGVO) zu berücksichtigen sind, beantwortete der EuGH wie folgt:
- Es müssen den Betroffenen geeignete Garantien zugutekommen;
- Es müssen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen;
- Insbesondere vereinbarte vertragliche Regelungen sind zu berücksichtigen;
- Was einen möglichen Zugriff der Behörden des betroffenen Drittlandes angeht, ist die Rechtsordnung dieses Landes zu betrachten. Die Elemente die im Rahmen von Art. 46 DSGVO zu berücksichtigen sind, entsprechen den Elementen, die nicht abschliessend in Art. 45 Abs. 2 DSGVO aufgezählt sind.
Zur Frage 8
Muss eine Datenschutzbehörde Datenübermittlungen aussetzen, sollte der Datenimporteur eines Drittlandes Überwachungsgesetze unterliegen, die nach Ansicht der Datenschutzbehörde nicht mit Unionsrecht vereinbar sind? Welches Ermessen haben Datenschutzbehörden in solchen Fällen? Der EuGH beantwortet diese Fragen zusammenfassend wie folgt:
- Nach Art. 8 Abs. 3 der Charta und Art. 51 Abs. 1 und Art. 57 Abs. 1 Buchst. a DSGVO liegt es in der Verantwortung der nationalen Aufsichtsbehörden, die Einhaltung der DSGVO zu überwachen. Daraus folgt, dass jede nationale Aufsichtsbehörde zur Prüfung der Einhaltung dieser Vorschriften befugt ist, insbesondere bei einer Übermittlung von Personendaten aus der EU in ein Drittland, da bei solchen Übermittlungen eine erhöhte Gefahr besteht, dass die Durchsetzung der Datenschutzrechte nicht wahrgenommen werden kann (Erwägungsgrund 116, DSGVO);
- Es besteht eine Verpflichtung der Aufsichtsbehörde (Art. 57 Abs. 1 Buchst. f DSGVO), Beschwerden in ihrem Hoheitsgebiet in angemessenen Umfang zu untersuchen und zu bearbeiten;
- Jede Person hat das Recht auf einen wirksamen Rechtsbehelf, sollte die Aufsichtsbehörde sich nicht mit einer Beschwerde befassen (Art. 78 Abs. 1 und 2 DSGVO, Art. 47 der Charta);
- Aufsichtsbehörden haben aufgrund von Art. 58 Abs. 1 DSGVO weitreichende Untersuchungsbefugnisse und bei Verstössen kann auf die Instrumente in Art. 58 Abs. 2 DSGVO zurückgegriffen werden;
- Ein Angemessenheitsbeschluss schränkt die Befugnisse der Aufsichtsbehörden, eine Datenübermittlung zu limitieren oder zu verbieten, nicht ein, da damit lediglich beschlossen wird, dass aufgrund des angemessenen Schutzniveaus keine besondere Genehmigung für die Übermittlung in das betreffende Drittland notwendig ist;
- So lange der Angemessenheitsbeschluss nicht vom Gerichtshof für ungültig erklärt wird, können nationale Aufsichtsbehörden keine verbindliche Feststellung des Gegenteils erlassen. Es hindert die nationalen Aufsichtsbehörden jedoch nicht daran, sich mit einer Beschwerde in diesem Zusammenhang zu befassen und eine Vorabentscheidung über die Gültigkeit des Angemessenheitsbeschlusses zu ersuchen.
Die Schlussfolgerung aus diesen Erwägungen ist, dass Aufsichtsbehörden eine Datenübermittlung aussetzen oder verbieten müssen, sofern kein Angemessenheitsbeschluss vorliegt und die Behörde der Ansicht ist, dass die Standarddatenschutzklauseln nicht eingehalten werden können.
Fragen 7 und Frage 11
Grundsätzlich müssen nicht sämtliche Garantien im Sinne von Art. 46 Abs. 1 DSGVO zwangsläufig in einem Beschluss der Kommissionen, wie dem SDK-Beschluss, vorgesehen sein. Ebenso muss bei einem SDK-Beschluss nicht vor dessen Erlass die Angemessenheit des Schutzniveaus des Drittlandes geprüft werden. Demgegenüber darf ein Angemessenheitsbeschluss nur erlassen werden, wenn das Recht des betroffenen Drittlandes, insbesondere betreffend die anwendbaren Vorschriften im Bereich der nationalen Sicherheit und des Zugangs der Behörden zu Personendaten, geprüft wurde. Sollte kein Angemessenheitsbeschluss vorliegen, liegt es nach Art. 46 Abs. 1 DSGVO in der Verantwortung des Verantwortlichen bzw. des Auftragsdatenverarbeiters, geeignete Garantien sicherzustellen (Erwägungsgründe 108 und 114, DSGVO). Es besteht die Möglichkeit, entsprechende Garantien den Standarddatenschutzklauseln beizufügen.
Sollte es nicht möglich sein, hinreichende zusätzliche Massnahmen zu ergreifen, insbesondere wenn das Recht des betroffenen Landes Verpflichtungen auferlegt, die den Standarddatenschutzklauseln widersprechen, muss die Übermittlung ausgesetzt oder beendet werden. Die Tatsache, dass die Standarddatenschutzklauseln keine Behörden der Drittländer binden, berührt die Gültigkeit des Beschlusses nicht. Die Gültigkeit hängt davon ab, ob sie wirksame Mechanismen enthält, die gewährleisten können, dass ein entsprechendes Schutzniveau eingehalten wird und das bei Nichteinhaltung die Übermittlung ausgesetzt oder verboten werden kann.
In den Standarddatenschutzklauseln gilt folgende Regelung:
- Der Verantwortliche, der Empfänger und die Auftragsverarbeiter verpflichten sich dazu, sämtliche Datenverarbeitungen (inkl. Die Übermittlung), in Einklang mit dem anwendbaren Datenschutzrecht vorzunehmen;
- Der sich im Drittland befindende Empfänger verpflichtet sich dazu, den Verantwortlichen umgehend darüber in Kenntnis zu setzen, sollte er die vertraglichen Pflichten nicht einhalten können. Insbesondere bestätigt der Daten-Importeur, dass er seines Wissens nach keinen Gesetzen unterliegt (Klausel 5 Buchst. b des SDK-Beschlusses), die die Einhaltung der vertraglichen Pflichten entgegenstehen könnten und das er bei Kenntnis von Änderungen dies dem Verantwortlichen mitteilt. Er muss auch mitteilen, dass er die Verpflichtungen nicht einhalten kann, wenn er den genauen Grund nicht nennen darf, beispielsweise aufgrund eines strafrechtlichen Verbots.
In beiden Fällen kann der Verantwortliche die Datenübermittlung aussetzen und/ oder vom Vertrag zurücktreten (Klausel 5, Buchst. a und b des Anhangs des SDK-Beschlusses). Unterlässt dies der Verantwortliche, verstösst er gegen Klausel 4 Buchst. a des Anhangs des SKD-Beschlusses.
Zusammengefasst führt dies dazu, dass die Verantwortlichen und der Empfänger sich vergewissern müssen, dass das betroffene Drittland keine rechtlichen Regelungen vorsieht, die der Einhaltung der Standarddatenschutzklauseln entgegenstehen würden. Indes wird in der Fussnote zu Klausel 5 angemerkt, dass «zwingende Erfordernisse dieses Rechts, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft zur Gewährleistung u.a. der Sicherheit des Staates, der Landesverteidigung und der öffentlichen Sicherheit erforderlich ist, nicht den Standarddatenschutzklauseln widersprechen».
Falls der Daten-Importeur dem Verantwortlichen mitteilt, dass das Recht des Drittlandes die Einhaltung der Standarddatenschutzklauseln verunmöglicht, müssen sämtliche bereits übermittelte Daten und deren Kopien zurückgeschickt oder zerstört werden. Als Sanktionsmöglichkeit sieht Klausel 6 des Anhangs des SDK-Beschlusses einen Schadenersatzanspruch vor.
Bei einer Mitteilung des Empfängers an den Verantwortlichen, dass aufgrund von Rechtsvorschriften des Drittlandes die Standarddatenschutzklauseln nicht eingehalten werden können und sollten diese Änderungen sich sehr nachteilig auf die Garantien und Pflichten auswirken können, muss der Verantwortliche diese Mitteilung an die zuständige Aufsichtsbehörde weiterleiten, sofern er die Übermittlung weiterführt (Klausel 4 Buchst. g des Anhangs des SDK-Beschlusses). Diese Weiterleitung erlaubt es der Aufsichtsbehörde die Übermittlung zu prüfen und zu entscheiden, ob das Schutzniveau ausreichend ist. Diese Prüfung wird nicht vorgenommen, sollte der Verantwortliche von sich aus die Datenübermittlung aussetzen oder beenden.
Zu den Fragen 4, 5, 9 und 10
Zusammengefasst sind die Fragen im Wesentlichen:
- Inwiefern ist eine Aufsichtsbehörde an die Feststellungen im DSS-Beschluss (Die Auslegung und die Gültigkeit des Durchführungsbeschlusses (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäss der Richtlinie 95/46/EG über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes, ABl. 2016, L 207, S. 1) gebunden, wonach die USA ein angemessenen Schutzniveau gewährleisten?
- Verletzt die auf Standarddatenschutzklauseln gestützte Datenübermittlung in Anbetracht der Feststellungen des vorlegenden Gerichts, die in Art. 7, 8 und 47 der Charta verbürgten Rechte?
- Ist der im Privacy Shield vorgesehene Rechtsbehelf der Ombudsstelle in Einklang mit Art. 7, 8, und/oder Art. 47 der Charta?
Solange der DSS-Beschluss nicht vom Gerichtshof für ungültig erklärt wurde, sind Aufsichtsbehörden daran gebunden. Bei Vorliegen einer Beschwerde muss die Aufsichtsbehörde jedoch «in völliger Unabhängigkeit prüfen, ob die in der DSGVO aufgestellten Aufforderungen gewahrt werden, und, falls sie die von dieser Person zur Infragestellung der Gültigkeit eines Angemessenheitsbeschlusses vorgebrachten Rügen für begründet hält, Klage vor den nationalen Gerichten erheben, damit diese den Gerichtshof um Vorabentscheidung über die Gültigkeit dieses Beschlusses ersuchen.» (RN 157).
Inhalt des DSS-Beschlusses
Der strittige Teil des DSS-Beschlusses im Rahmen dieses Falls war die Ausnahme in I.5 des Anhangs II des DSS-Beschlusses, danach «gestützt auf Erfordernisse der nationalen Sicherheit des öffentlichen Interesses oder auf Rechtsvorschriften der Vereinigten Staaten in die Grundrechte der Personen eingreifen, deren personenbezogenen Daten aus der Union in die Vereinigten Staaten übermittelt werden oder werden könnten.» (RN 165).
Das bedeutet, dass amerikanische Behörden darauf gestützt auf aus der Union übermittelte Daten Zugriff zu erhalten und bearbeiten können, was sowohl gestützt auf Section 702 der FISA (Überwachungsprogramme PRISM und UPSTREAM) als auch auf der Grundlage von E.O. 12333 geschehen kann (RN 165).
Bei ihrer Bewertung kam die Kommission zum Schluss, dass die Mechanismen des EU-US- Privacy Shields genügen würden, um Datenverarbeitungen auf ein notwendiges Minimum zu beschränken (RN 167).
Angemessenes Schutzniveau
Der irische High Court zweifelte daran, dass ein effektiver gerichtlicher Rechtsschutz vorliegt und eine Ombudsperson könne ihres Erachtens keine Abhilfe schaffen, da es sich nicht um ein Gericht nach Art. 47 der Charta handeln würde (RN 168).
Im vorliegenden Fall wurde auch die Frage aufgeworfen, ob das Schutzniveau gegeben sein kann, obwohl Eingriffe die auf Section 702 FISA und auf die E.O. 12333 gestützten Überwachungsprogramme keine Anforderungen in Bezug auf die Verhältnismässigkeit beinhalten (RN 179). Es sind keine erkennbaren Einschränkungen der Section 702 der FISA Überwachungsprogramme zum Zweck der Auslandsaufklärung vorhanden, ebenso wenig sind Garantien für potenziell erfasste Nicht-US-Personen erkennbar. Dies entspricht nicht den Anforderungen eines Grundrechtseingriffs der Charta (RN 180).
Weder die PPD-28, noch die auf E.O. 12333 gestützten Überwachungsprogramme verleiht Rechte, die gegenüber amerikanischen Behörden gerichtlich durchgesetzt werden könnten (RN 181 f.).
Der Gerichtshof geht davon aus, «dass weder Section 702 des FISA, noch die E.O. 12333 in Verbindung mit der PPD-28 den im Unionsrecht nach dem Grundsatz der Verhältnismässigkeit bestehenden Mindestanforderungen genügen, sodass nicht angenommen werden kann, dass die auf diese Vorschriften gestützten Überwachungsprogramme auf das zwingend erforderliche Mass beschränkt sind.» (RN 184).
Folglich erfüllt der DSS-Beschluss nicht die Anforderung, wonach das Schutzniveau der Sache nach gleichwertig sein müsste (RN 185).
Die DSGVO verlangt in Art. 45 Abs. 2 Buchst. a, dass «wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe» den betroffenen eingeräumt werden sollten (RN 188). Der DSS-Beschluss sieht den Einsatz einer Ombudsperson vor, es wurde vom vorlegenden Gericht jedoch angezweifelt, ob dies genügt, den mangelnden Zugang der Betroffenen zu nationalen Gerichten zu heilen (RN 189 f.).
Der Gerichtshof führte zur Frage, ob die Ombudsperson Rechtsbehelfe vor einem unabhängigen und unparteiischen Gericht zu ersetzen vermag, folgendes aus (RN 195 ff.):
-
Die Ombudsperson sei von den Nachrichtendiensten unabhängig, jedoch unmittelbar dem Aussenminister unterstellt;
-
Der Aussenminister soll dafür sorgen, dass die Ombudsperson ihre Aufgabe frei und unabhängig ausüben kann;
-
Es bestehen jedoch keine Hinweise auf besondere Garantien bzgl. Widerruf der Ernennung dieser Position;
-
Beim DSS-Beschluss verpflichtet sich die amerikanische Regierung dazu, von der Ombudsperson festgestellte Vorstösse beim Nachrichtendienst umgehend einzustellen;
-
Es besteht kein Hinweis einer Verbindlichkeit der Entscheide der Ombudsperson gegenüber den Nachrichtendiensten, es gibt auch keine Hinweise auf entsprechende gesetzliche Garantien, auf dies sich eine betroffene Person stützen könnte.
Folglich ermöglicht der bestehende Ombudsmechanismus keinen Zugang zu einem Organ, der den nach Art. 47 der Charta erforderlichen Garantien gleichwertig wäre.
Daraus folgt, dass der Gerichtshof den DSS-Beschluss für ungültig erklärte – ‘the Shield has fallen’.
- 1. C-362-14, EU:C:2015:650.
- 2. Foreign Intelligence Surveillance Act.
- 3. Executive Order 12333 erlaubt der NSA Zugang zu Daten mittels Zugriff auf die am Grund des Atlantiks verlegten Seekabel sowie die Sammlung und Speicherung von Daten bevor sie in den Vereinigten Staaten ankommen und dem FISA unterliegen. Diese auf E.O 12333 gestützten Tätigkeiten sind nicht gesetzlich geregelt.
- 4. United States Foreign Intelligence Surveillance Court.
- 5. Anbieter von Internetdiensten werden dazu verpflichtet, der NSA sämtliche Kommunikation vorzulegen, die von einem «Selektor» erfassten Nicht-US-Person versandt oder empfangen wurden. Teile davon werden auch dem FBI, der CIA und Telekommunikationsunternehmen übermittelt.
- 6. Presidential Policy Directive 28.
- 7. 4th Amendment of the US Constitution.