Language of document :

Vorabentscheidungsersuchen des High Court (Irland), eingereicht am 9. Mai 2018 – Data Protection Commissioner/Facebook Ireland Limited, Maximilian Schrems

(Rechtssache C-311/18)

Verfahrenssprache: Englisch

Vorlegendes Gericht

High Court (Irland)

Parteien des Ausgangsverfahrens

Kläger: Data Protection Commissioner

Beklagte: Facebook Ireland Limited, Maximilian Schrems

Vorlagefrage

Findet in dem Fall, dass personenbezogene Daten aufgrund des Beschlusses 2010/87/EU1 in der durch den Beschluss 2016/22972 der Kommission geänderten Fassung (im Folgenden: SCC Beschluss) von einem privaten Unternehmen aus einem Mitgliedstaat der Europäischen Union zu einem gewerblichen Zweck an ein privates Unternehmen in einem Drittland übermittelt und in dem Drittland durch dessen Behörden für Zwecke der nationalen Sicherheit, aber auch der Durchführung von Gesetzen und der Außenpolitik des Drittlands weiter verarbeitet werden können, das Unionsrecht (einschließlich der Charta der Grundrechte der Europäischen Union; im Folgenden: Charta) ungeachtet der Bestimmungen des Art. 4 Abs. 2 EUV über die nationale Sicherheit und der Bestimmungen des Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46/EG3 (im Folgenden Richtlinie) über die öffentliche Sicherheit, die Landesverteidigung und die Sicherheit des Staates auf die Übermittlung der Daten Anwendung?

(1) Sind bei der Beurteilung des Vorliegens einer Verletzung der Rechte einer natürlichen Person durch die Übermittlung von Daten aus der Union in ein Drittland, die aufgrund des SCC-Beschlusses erfolgt, soweit diese für Zwecke der nationalen Sicherheit weiter verarbeitet werden können, der relevante Vergleichsmaßstab im Sinne der Richtlinie

die Charta, der EUV, der AEUV, die Richtlinie, die EMRK (oder eine sonstige Bestimmung des Unionsrechts) oder

die nationalen Rechtsvorschriften eines oder mehrerer Mitgliedstaaten?

(2) Falls der relevante Vergleichsmaßstab derjenige nach Buchst. b ist, ist in diesen auch die im Kontext der nationalen Sicherheit in einem oder mehreren Mitgliedstaaten bestehende Praxis einzubeziehen?

Richtet sich die Beurteilung, ob ein Drittland das nach dem Unionsrecht erforderliche Schutzniveau für in dieses Land übermittelte personenbezogene Daten im Sinne von Art. 26 der Richtlinie gewährleistet, die Beurteilung des Schutzniveaus in dem Drittland

nach den geltenden Rechtsnormen in dem Drittland, die sich aus seinen innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen ergeben, und der Praxis im Hinblick darauf, wie die Einhaltung dieser Normen sichergestellt werden soll, einschließlich der in dem Drittland geltenden Standesregeln und Sicherheitsmaßnahmen,

oder

nach den in Buchst. a genannten Rechtsnormen ebenso wie der Praxis der Verwaltung, Regulierung und Einhaltung von Normen sowie Schutzmaßnahmen, Verfahren, Vorgehensweisen, Kontrollmechanismen und außergerichtlichen Rechtsbehelfe, die in dem Drittland bestehen?

Verletzt angesichts der vom High Court in Bezug auf das US-Recht getroffenen Feststellungen [Rn. 152 bis 263 des Urteils des High Court vom 3. Oktober 2017 (http://www.courts.ie/Judgments.nsf/768d83be24938e1180256ef30048ca51/8131a5dde8baf9ff802581b70035c4ff?OpenDocument) eine Übermittlung personenbezogener Daten aus der Union in die USA, die aufgrund des SCC-Beschlusses erfolgt, die Rechte von natürlichen Personen nach Art. 7 und/oder 8 der Charta?

Wird angesichts der vom High Court in Bezug auf das US-Recht getroffenen Feststellungen bei einer Übermittlung personenbezogener Daten aus der Union in die USA, die aufgrund des SCC-Beschlusses erfolgt,

durch das von den USA gewährte Schutzniveau der Wesensgehalt des durch Art. 47 der Charta garantierten Rechts einer natürlichen Person auf einen gerichtlichen Rechtsbehelf wegen einer Verletzung ihrer Datenschutzrechte geachtet?

Falls Frage a) bejaht wird:

Sind die Einschränkungen, denen das Recht einer natürlichen Person auf einen gerichtlichen Rechtsbehelf nach dem US-Recht im Kontext der nationalen Sicherheit der USA unterliegt, im Sinne von Art. 52 der Charta verhältnismäßig und gehen sie nicht über das in einer demokratischen Gesellschaft für Zwecke der nationalen Sicherheit erforderliche Maß hinaus?

(1) Welches Schutzniveau muss personenbezogenen Daten bei einer Übermittlung in ein Drittland, die aufgrund von Standardvertragsklauseln erfolgt, die im Einklang mit einer Feststellung der Kommission nach Art. 26 Abs. 4 angewendet werden, nach den Bestimmungen der Richtlinie, insbesondere nach Art. 25 und 26 in Verbindung mit der Charta, gewährt werden?

(2) Welche Gesichtspunkte sind bei der Beurteilung zu berücksichtigen, ob das Schutzniveau, das Daten bei einer Übermittlung in ein Drittland, die aufgrund des SCC-Beschlusses erfolgt, gewährt wird, den Anforderungen der Richtlinie und der Charta entspricht?

Führt der Umstand, dass die Standardvertragsklauseln im Verhältnis zwischen Datenexporteur und Datenimporteur gelten und keine Bindungswirkung für nationale Behörden eines Drittlands haben, die den Datenimporteur verpflichten können, die personenbezogenen Daten, die aufgrund der im SCC-Beschluss genannten Klauseln übermittelt werden, ihren Sicherheitsbehörden zur weiteren Verarbeitung zugänglich zu machen, dazu, dass die Klauseln keine ausreichenden Garantien im Sinne von Art. 26 Abs. 2 der Richtlinie bieten?

Ist eine Datenschutzbehörde in dem Fall, dass ein Datenimporteur eines Drittlands Überwachungsgesetzen unterliegt, die nach Ansicht einer Datenschutzbehörde mit den Klauseln im Anhang zum SCC-Beschluss oder den Art. 25 oder 26 der Richtlinie und/oder der Charta unvereinbar sind, verpflichtet, von ihren Durchsetzungsbefugnissen nach Art. 28 Abs. 3 der Richtlinie Gebrauch zu machen, um Datenübermittlungen auszusetzen, oder ist die Ausübung dieser Befugnisse im Licht des elften Erwägungsgrundes der Richtlinie [elfter Erwägungsgrund des Beschlusses 2010/87/EU der Kommission] lediglich auf Ausnahmefälle begrenzt, oder kann eine Datenschutzbehörde ihr Ermessen dahin ausüben, von einer Aussetzung von Datenübermittlungen abzusehen? 

(1) Stellt der Beschluss (EU) 2016/12504 (im Folgenden: Datenschutzschild-Beschluss) im Sinne von Art. 25 Abs. 6 der Richtlinie eine allgemeingültige Feststellung dar, die für die Datenschutzbehörden und Gerichte der Mitgliedstaaten dahin gehend verbindlich ist, dass die USA aufgrund ihrer innerstaatlichen Rechtsvorschriften oder der von ihnen eingegangenen internationalen Verpflichtungen ein angemessenes Schutzniveau im Sinne von Art. 25 Abs. 2 der Richtlinie gewährleisten?

(2) Falls dies nicht der Fall ist, welche Bedeutung kommt gegebenenfalls dem Datenschutzschild-Beschluss bei der Beurteilung der Angemessenheit der Garantien zu, die für Daten bei einer Übermittlung in die Vereinigten Staaten, die aufgrund des SCC-Beschlusses erfolgt, gewährt werden?

Wird angesichts der Feststellungen des High Court in Bezug auf das US-Recht durch die Einrichtung der Datenschutzschild-Ombudsstelle nach Anhang III Anlage A des Datenschutzschild-Beschlusses in Verbindung mit der bestehenden Regelung in den Vereinigten Staaten gewährleistet, dass die USA betroffenen Personen, deren personenbezogene Daten aufgrund des SCC-Beschlusses in die USA übermittelt werden, einen Rechtsbehelf bieten, der mit Art. 47 der Charta im Einklang steht?

Verstößt der SCC-Beschluss gegen Art. 7, 8 und/oder 47 der Charta?

____________

1     Beschluss der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (ABl. 2010, L 39, S. 5).

2     Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember 2016 zur Änderung der Entscheidung 2001/497/EG und des Beschlusses 2010/87/EU über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer sowie an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (ABl. 2016, L 344, S. 100).

3     Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31).

4     Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (ABl. 2016, L 207, S. 1).