Language of document : ECLI:EU:C:2015:650

Rechtssache C‑362/14

Maximillian Schrems

gegen

Data Protection Commissioner

(Vorabentscheidungsersuchen des High Court [Irland]]

„Vorlage zur Vorabentscheidung – Personenbezogene Daten – Schutz natürlicher Personen bei der Verarbeitung dieser Daten – Charta der Grundrechte der Europäischen Union – Art. 7, 8 und 47 – Richtlinie 95/46/EG – Art. 25 und 28 – Übermittlung personenbezogener Daten in Drittländer – Entscheidung 2000/520/EG – Übermittlung personenbezogener Daten in die Vereinigten Staaten – Unangemessenes Schutzniveau – Gültigkeit – Beschwerde einer natürlichen Person, deren Daten aus der Europäischen Union in die Vereinigten Staaten übermittelt wurden – Befugnisse der nationalen Kontrollstellen“

Leitsätze – Urteil des Gerichtshofs (Große Kammer) vom 6. Oktober 2015

1.        Rechtsangleichung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Richtlinie 95/46 – Auslegung im Licht der Grundrechte

(Charta der Grundrechte der Europäischen Union; Richtlinie 95/46 des Europäischen Parlaments und des Rates)

2.        Rechtsangleichung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Richtlinie 95/46 – Nationale Kontrollstellen – Erfordernis der Unabhängigkeit

(Art. 16 Abs. 2 AEUV; Charta der Grundrechte der Europäischen Union, Art. 8 Abs. 3; Richtlinie 95/46 des Europäischen Parlaments und des Rates, 62. Erwägungsgrund und Art. 28 Abs. 1)

3.        Rechtsangleichung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Richtlinie 95/46 – Nationale Kontrollstellen – Befugnisse – Kontrolle der Übermittlungen personenbezogener Daten in Drittländer – Einbeziehung

(Charta der Grundrechte der Europäischen Union, Art. 8 Abs. 3; Richtlinie 95/46 des Europäischen Parlaments und des Rates, Art. 28)

4.        Rechtsangleichung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Richtlinie 95/46 – Übermittlung personenbezogener Daten in Drittländer – Von der Kommission erlassene Entscheidung, in der sie feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet – Entscheidung, die für alle Mitgliedstaaten, an die sie gerichtet ist, verbindlich ist –Prüfung der Gültigkeit einer solchen Entscheidung – Jeweilige Rollen der nationalen Kontrollstellen und der nationalen Gerichte

(Art. 288 Abs. 4 AEUV; Charta der Grundrechte der Europäischen Union, Art. 8 Abs. 3 und Art. 47; Richtlinie 95/46 des Europäischen Parlaments und des Rates, Art. 25 Abs. 6 und Art. 28 Abs. 3 und 4)

5.        Rechtsangleichung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Richtlinie 95/46 – Übermittlung personenbezogener Daten in Drittländer – Von der Kommission erlassene Entscheidung, in der sie feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet – Nationale Kontrollstelle, die mit einer Eingabe einer Person zum Schutz der Rechte und Freiheiten bei der Verarbeitung der diese Person betreffenden übermittelten Daten befasst ist – Person, die in ihrer Eingabe die Angemessenheit des Schutzniveaus in diesem Drittland anzweifelt – Verpflichtung dieser Stelle, die Eingabe zu prüfen – Prüfungsumfang

(Charta der Grundrechte der Europäischen Union, Art. 7, 8 und 47; Richtlinie 95/46 des Europäischen Parlaments und des Rates, Art. 25 Abs. 6 und Art. 28)

6.        Rechtsangleichung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Richtlinie 95/46 – Übermittlung personenbezogener Daten in Drittländer – Von der Kommission erlassene Entscheidung, in der sie feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet –Begriff des angemessenen Schutzniveaus – Beurteilungskriterien – Wertungsspielraum der Kommission

(Richtlinie 95/46 des Europäischen Parlaments und des Rates, Art. 25 Abs. 2 und 6)

7.        Rechtsangleichung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Richtlinie 95/46 – Übermittlung personenbezogener Daten in Drittländer – Von der Kommission erlassene Entscheidung, in der sie feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet – Entscheidung 2000/520, mit der ein angemessenes Schutzniveau in den Vereinigten Staaten festgestellt wird – Ungültigkeit

(Charta der Grundrechte der Europäischen Union; Richtlinie 95/46 des Europäischen Parlaments und des Rates, Art. 25 Abs. 6 und Art. 28; Entscheidung 2000/520 der Kommission, Art. 1 bis 4)

8.        Grundrechte – Achtung des Privatlebens – Schutz personenbezogener Daten –Unionsregelung, die einen Eingriff in diese Grundrechte enthält – Voraussetzungen – Hinreichende Garantien gegen Missbrauchsrisiken – Beachtung des Grundsatzes der Verhältnismäßigkeit

(Charta der Grundrechte der Europäischen Union, Art. 7 und 8)

1.        Siehe Text der Entscheidung.

(vgl. Rn. 38)

2.        Siehe Text der Entscheidung.

(vgl. Rn. 40, 41)

3.        Die nationalen Kontrollstellen verfügen über eine große Bandbreite von Befugnissen, die in Art. 28 Abs. 3 der Richtlinie 95/46 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in nicht abschließender Weise aufgezählt werden und, wie im 63. Erwägungsgrund der Richtlinie hervorgehoben wird, notwendige Mittel für die Erfüllung ihrer Aufgaben darstellen. So verfügen sie u. a. über Untersuchungsbefugnisse wie etwa das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen, über wirksame Einwirkungsbefugnisse wie etwa die Befugnis, das vorläufige oder endgültige Verbot einer Verarbeitung von Daten anzuordnen, oder über das Klagerecht.

Hinsichtlich der Befugnis, die Übermittlungen personenbezogener Daten in Drittländer zu kontrollieren, geht aus Art. 28 Abs. 1 und 6 der Richtlinie 95/46 zwar hervor, dass die Befugnisse der nationalen Kontrollstellen die Verarbeitung personenbezogener Daten im Hoheitsgebiet ihres Mitgliedstaats betreffen, so dass Art. 28 ihnen keine Befugnisse in Bezug auf die Verarbeitung solcher Daten im Hoheitsgebiet eines Drittlands verleiht. Die Übermittlung personenbezogener Daten aus einem Mitgliedstaat in ein Drittland stellt jedoch als solche eine Verarbeitung personenbezogener Daten im Sinne von Art. 2 Buchst. b der Richtlinie 95/46 dar, die im Hoheitsgebiet eines Mitgliedstaats vorgenommen wird. Da die nationalen Kontrollstellen gemäß Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union und Art. 28 der Richtlinie 95/46 die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu überwachen haben, ist folglich jede von ihnen zu der Prüfung befugt, ob bei einer Übermittlung personenbezogener Daten aus ihrem Mitgliedstaat in ein Drittland die in der Richtlinie 95/46 aufgestellten Anforderungen eingehalten werden.

(vgl. Rn. 43-45, 47)

4.        Die Kommission kann auf der Grundlage von Art. 25 Abs. 6 der Richtlinie 95/46 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr eine Entscheidung erlassen, in der sie feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet. Eine solche Entscheidung richtet sich nach Art. 25 Abs. 6 Unterabs. 2 an die Mitgliedstaaten, die die aufgrund der Feststellung gebotenen Maßnahmen treffen müssen. Nach Art. 288 Abs. 4 AEUV bindet sie alle Mitgliedstaaten und ist damit für alle Organe der Mitgliedstaaten verbindlich, soweit sie die Übermittlung personenbezogener Daten aus den Mitgliedstaaten in das betreffende Drittland gestattet.

Solange die Entscheidung der Kommission vom Gerichtshof, der allein befugt ist, die Ungültigkeit eines Unionsrechtsakts festzustellen, nicht für ungültig erklärt wurde, können die Mitgliedstaaten und ihre Organe, zu denen ihre unabhängigen Kontrollstellen gehören, somit zwar keine dieser Entscheidung zuwiderlaufenden Maßnahmen treffen, wie etwa Rechtsakte, mit denen verbindlich festgestellt wird, dass das Drittland, auf das sich die Entscheidung bezieht, kein angemessenes Schutzniveau gewährleistet. Für die Rechtsakte der Unionsorgane gilt nämlich grundsätzlich eine Vermutung der Rechtmäßigkeit, so dass sie Rechtswirkungen entfalten, solange sie nicht zurückgenommen, im Rahmen einer Nichtigkeitsklage für nichtig erklärt oder infolge eines Vorabentscheidungsersuchens oder einer Einrede der Rechtswidrigkeit für ungültig erklärt wurden.

Die nationalen Gerichte sind zwar berechtigt, die Gültigkeit eines Unionsrechtsakts zu prüfen; sie sind jedoch nicht befugt, selbst die Ungültigkeit eines solchen Rechtsakts festzustellen. Erst recht sind die nationalen Kontrollstellen bei der Prüfung einer Eingabe im Sinne von Art. 28 Abs. 4 der Richtlinie, die die Vereinbarkeit einer nach Art. 25 Abs. 6 der Richtlinie ergangenen Entscheidung der Kommission mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen zum Gegenstand hat, nicht befugt, selbst die Ungültigkeit einer solchen Entscheidung festzustellen.

Falls die Kontrollstelle zu dem Ergebnis kommt, dass das Vorbringen, auf das sich eine solche Eingabe stützt, unbegründet ist, und die Eingabe deshalb zurückweist, muss der Person, von der die Eingabe stammt, nach Art. 28 Abs. 3 Unterabs. 2 der Richtlinie 95/46 im Licht von Art. 47 der Charta der Grundrechte der Europäischen Union der Rechtsweg offenstehen, damit sie eine solche sie beschwerende Entscheidung vor den nationalen Gerichten anfechten kann. Unter diesen Umständen müssen diese Gerichte das Verfahren aussetzen und dem Gerichtshof ein Ersuchen um Vorabentscheidung über die Gültigkeit vorlegen, wenn sie der Auffassung sind, dass einer oder mehrere der von den Parteien vorgebrachten oder gegebenenfalls von Amts wegen geprüften Ungültigkeitsgründe durchgreifen.

Hält die Kontrollstelle die Rügen der Person, die sich mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung ihrer personenbezogenen Daten an sie gewandt hat, dagegen für begründet, muss sie nach Art. 28 Abs. 3 Unterabs. 1 dritter Gedankenstrich der Richtlinie 95/46 im Licht insbesondere von Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union ein Klagerecht haben. Insoweit ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese, wenn sie die Zweifel der Kontrollstelle an der Gültigkeit der Entscheidung der Kommission teilen, um eine Vorabentscheidung über deren Gültigkeit ersuchen.

(vgl. Rn. 51, 52, 61, 62, 64, 65)

5.        Art. 25 Abs. 6 der Richtlinie 95/46 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist im Licht der Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine aufgrund dieser Bestimmung ergangene Entscheidung, in der die Kommission feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, eine Kontrollstelle eines Mitgliedstaats im Sinne von Art. 28 der Richtlinie nicht daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten, die aus einem Mitgliedstaat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten.

Wäre dem nicht so, würde den Personen, deren personenbezogene Daten in das betreffende Drittland übermittelt wurden oder werden könnten, das durch Art. 8 Abs. 1 und 3 der Charta der Grundrechte der Europäischen Union garantierte Recht vorenthalten, sich mit einer Eingabe zum Schutz ihrer Grundrechte an die nationalen Kontrollstellen zu wenden.

Eine Eingabe im Sinne von Art. 28 Abs. 4 der Richtlinie 95/46, mit der solche Personen geltend machen, dass ungeachtet der Feststellungen der Kommission in einer nach Art. 25 Abs. 6 der Richtlinie ergangenen Entscheidung das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten, ist dahin zu verstehen, dass sie der Sache nach die Vereinbarkeit dieser Entscheidung mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen betrifft. Unter diesen Umständen ist es, wenn sich eine Person, deren personenbezogene Daten in ein Drittland übermittelt wurden oder werden könnten, das Gegenstand einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission ist, mit einer solchen Eingabe an eine nationale Kontrollstelle wendet, Sache der angerufenen Kontrollstelle, die Eingabe mit aller gebotenen Sorgfalt zu prüfen.

(vgl. Rn. 58, 59, 63, 66 und Tenor 1)

6.        Der Ausdruck „angemessenes Schutzniveau“ in Art. 25 Abs. 6 der Richtlinie 95/46 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin zu verstehen, dass er verlangt, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleistet, das dem in der Union aufgrund der Richtlinie 95/46 im Licht der Charta der Grundrechte der Europäischen Union garantierten Niveau der Sache nach gleichwertig ist.

Unter diesen Umständen ist die Kommission bei der Prüfung des von einem Drittland gebotenen Schutzniveaus verpflichtet, den Inhalt der in diesem Land geltenden, aus seinen innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen resultierenden Regeln sowie die zur Gewährleistung der Einhaltung dieser Regeln dienende Praxis zu beurteilen, wobei sie nach Art. 25 Abs. 2 der Richtlinie 95/46 alle Umstände zu berücksichtigen hat, die bei einer Übermittlung personenbezogener Daten in ein Drittland eine Rolle spielen. Desgleichen obliegt es der Kommission in Anbetracht der Tatsache, dass das durch ein Drittland gewährleistete Schutzniveau Veränderungen unterworfen sein kann, im Anschluss an den Erlass einer Entscheidung nach Art. 25 Abs. 6 der Richtlinie 95/46 in regelmäßigen Abständen zu prüfen, ob die Feststellung zur Angemessenheit des vom fraglichen Drittland gewährleisteten Schutzniveaus in sachlicher und rechtlicher Hinsicht nach wie vor gerechtfertigt ist. Eine solche Prüfung ist jedenfalls dann geboten, wenn Anhaltspunkte vorliegen, die Zweifel daran wecken.

Angesichts der besonderen Bedeutung des Schutzes personenbezogener Daten für das Grundrecht auf Achtung der Privatsphäre und der großen Zahl von Personen, deren Grundrechte im Fall der Übermittlung personenbezogener Daten in ein Drittland, das kein angemessenes Schutzniveau gewährleistet, verletzt werden können, ist der Wertungsspielraum der Kommission hinsichtlich der Angemessenheit des durch ein Drittland gewährleisteten Schutzniveaus eingeschränkt, so dass eine strikte Kontrolle der Anforderungen vorzunehmen ist, die sich aus Art. 25 der Richtlinie 95/46 im Licht der Charta der Grundrechte der Europäischen Union ergeben.

(vgl. Rn. 73, 75, 76, 78)

7.        Der Erlass einer Entscheidung nach Art. 25 Abs. 6 der Richtlinie 95/46 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr durch die Kommission wie der Entscheidung 2000/520 über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, erfordert die gebührend begründete Feststellung dieses Organs, dass das betreffende Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleistet, das dem in der Rechtsordnung der Union garantierten Niveau der Sache nach gleichwertig ist.

Soweit die Kommission dies in ihrer Entscheidung 2000/520 nicht dargelegt hat, verstößt Art. 1 dieser Entscheidung gegen die in Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Charta der Grundrechte der Europäischen Union festgelegten Anforderungen und ist aus diesem Grund ungültig ist. Die Grundsätze des „sicheren Hafens“ gelten nämlich nur für selbstzertifizierte US-Organisationen, die aus der Union personenbezogene Daten erhalten, ohne dass von den amerikanischen Behörden die Einhaltung der genannten Grundsätze verlangt wird. Zudem ermöglicht die Entscheidung 2000/520 es, gestützt auf Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder von Rechtsvorschriften der Vereinigten Staaten in die Grundrechte der Personen einzugreifen, deren personenbezogene Daten aus der Union in die Vereinigten Staaten übermittelt werden oder werden könnten; dabei enthält die Entscheidung keine Feststellung dazu, ob es in den Vereinigten Staaten staatliche Regeln gibt, die dazu dienen, etwaige Eingriffe in die Grundrechte der Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, zu begrenzen.

Darüber hinaus hat die Kommission mit dem Erlass von Art. 3 der Entscheidung 2000/520 die ihr durch Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Charta der Grundrechte der Europäischen Union übertragene Zuständigkeit überschritten, so dass dieser Artikel ungültig ist. Dieser Art. 3 ist nämlich dahin zu verstehen, dass er den nationalen Kontrollstellen Befugnisse entzieht, die ihnen nach Art. 28 der Richtlinie 95/46 für den Fall zustehen, dass eine Person im Rahmen einer Eingabe aufgrund dieser Bestimmung Gesichtspunkte vorbringt, die geeignet sind, die Vereinbarkeit einer Entscheidung der Kommission, mit der auf der Grundlage von Art. 25 Abs. 6 der Richtlinie festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen in Frage zu stellen. Die Durchführungsbefugnis, die der Unionsgesetzgeber der Kommission in Art. 25 Abs. 6 der Richtlinie 95/46 einräumt, berechtigt dieses Organ jedoch nicht, die Befugnisse der nationalen Kontrollstellen zu beschränken.

Da die Art. 1 und 3 der Entscheidung 2000/520 untrennbar mit deren Art. 2 und 4 sowie deren Anhängen verbunden sind, berührt ihre Ungültigkeit die Gültigkeit der gesamten Entscheidung.

(vgl. Rn. 82, 87-89, 96-98, 102-105 und Tenor 2)

8.        Eine Unionsregelung, die einen Eingriff in die durch die Art. 7 und 8 der Charta der Grundrechte der Europäischen Union garantierten Grundrechte enthält, muss klare und präzise Regeln für die Tragweite und die Anwendung einer Maßnahme vorsehen und Mindestanforderungen aufstellen, so dass die Personen, deren personenbezogene Daten betroffen sind, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen. Das Erfordernis, über solche Garantien zu verfügen, ist umso bedeutsamer, wenn die personenbezogenen Daten automatisch verarbeitet werden und eine erhebliche Gefahr des unberechtigten Zugangs zu ihnen besteht. Darüber hinaus verlangt der Schutz des Grundrechts auf Achtung des Privatlebens auf Unionsebene vor allem, dass sich die Ausnahmen vom Schutz personenbezogener Daten und dessen Einschränkungen auf das absolut Notwendige beschränken.

Nicht auf das absolut Notwendige beschränkt ist daher eine Regelung, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne ein objektives Kriterium vorzusehen, das es ermöglicht, den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit deren Nutzung verbundenen Eingriff zu rechtfertigen vermögen.

Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta der Grundrechte der Europäischen Union garantierten Grundrechts auf Achtung des Privatlebens.

Desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta der Grundrechte der Europäischen Union verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz. Nach Art. 47 Abs. 1 der Charta hat nämlich jede Person, deren durch das Recht der Union garantierte Rechte oder Freiheiten verletzt worden sind, das Recht, nach Maßgabe der in diesem Artikel vorgesehenen Bedingungen bei einem Gericht einen wirksamen Rechtsbehelf einzulegen. Insoweit ist schon das Vorhandensein einer wirksamen, zur Gewährleistung der Einhaltung des Unionsrechts dienenden gerichtlichen Kontrolle dem Wesen eines Rechtsstaats inhärent.

(vgl. Rn. 91-95)