SCHLUSSANTRÄGE DES GENERALANWALTS
HENRIK SAUGMANDSGAARD ØE
vom 19. Dezember 2019(1)
Rechtssache C‑311/18
Data Protection Commissioner
gegen
Facebook Ireland Limited,
Maximilian Schrems,
Beteiligte:
The United States of America,
Electronic Privacy Information Centre,
BSA Business Software Alliance, Inc.,
Digitaleurope
(Vorabentscheidungsersuchen des High Court [Hoher Gerichtshof, Irland])
„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 2 Abs. 2 – Anwendungsbereich – Übermittlung personenbezogener Daten zu gewerblichen Zwecken in die Vereinigten Staaten – Verarbeitung der übermittelten Daten für Zwecke der nationalen Sicherheit durch die Behörden der Vereinigten Staaten – Art. 45 – Beurteilung der Angemessenheit des in einem Drittland gebotenen Schutzniveaus – Art.46 – Angemessene Garantien seitens des Verantwortlichen – Standardschutzklauseln – Art. 58 Abs. 2 – Befugnisse der nationalen Aufsichtsbehörden – Beschluss 2010/87/EU – Gültigkeit – Durchführungsbeschluss (EU) 2016/1250 – ‚EU‑US‑Datenschutzschild‘ – Gültigkeit – Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union“
Inhaltsverzeichnis
I. Einleitung
1. In Ermangelung gemeinsamer Garantien beim weltweiten Schutz personenbezogener Daten geht der grenzüberschreitende Verkehr solcher Daten mit der Gefahr eines Bruchs der Kontinuität des innerhalb der Europäischen Union gewährleisteten Schutzniveaus einher. Im Bemühen um die Erleichterung dieses Verkehrs bei gleichzeitiger Begrenzung dieser Gefahr hat der Unionsgesetzgeber drei Mechanismen geschaffen, mittels deren personenbezogene Daten aus der Union in einen Drittstaat übermittelt werden können.
2. Als Erstes darf eine solche Übermittlung auf der Grundlage eines Beschlusses der Kommission vorgenommen werden, mit dem diese festgestellt hat, dass der betreffende Drittstaat für die übermittelten Daten „ein angemessenes Schutzniveau“ bietet(2). Als Zweites ist, wenn kein solcher Beschluss vorliegt, die Übermittlung erlaubt, wenn es „geeignete Garantien“ gibt(3). Diese Garantien können in einem Vertrag zwischen dem Ausführer und dem Einführer der Daten bestehen, der von der Kommission erlassene Standardschutzklauseln enthält. Die DSGVO sieht als Drittes bestimmte Abweichungen, u. a. auf der Grundlage der Einwilligung der betroffenen Person, vor, die eine Übermittlung in ein Drittland auch dann erlauben, wenn ein Angemessenheitsbeschluss oder geeignete Garantien fehlen(4).
3. Das Vorabentscheidungsersuchen des High Court (Hoher Gerichtshof, Irland) betrifft den zweiten dieser Mechanismen. Es geht um die Gültigkeit des Beschlusses 2010/87/EU(5), mit dem die Kommission Standardvertragsklauseln für bestimmte Übermittlungskategorien festgelegt hat, nach Maßgabe der Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta).
4. Das Ersuchen ergeht in einem Rechtsstreit zwischen dem Data Protection Commissioner (Datenschutzbeauftragter, Irland, im Folgenden: DPC) sowie Facebook Ireland Ltd und Maximilian Schrems wegen einer von Letzterem vor dem DPC erhobenen Beschwerde betreffend die Übermittlung personenbezogener Daten durch Facebook Ireland an die Facebook Inc., deren Muttergesellschaft in den Vereinigten Staaten von Amerika (im Folgenden: Vereinigte Staaten). Nach Ansicht des DPC hängt die Entscheidung über diese Beschwerde davon ab, ob der Beschluss 2010/87 gültig ist. Er hat daher das vorlegende Gericht angerufen und beantragt, den Gerichtshof um Vorabentscheidung hierüber zu ersuchen.
5. Schon an dieser Stelle weise ich darauf hin, dass die Prüfung der Vorlagefragen meines Erachtens nichts ergeben hat, was die Gültigkeit des Beschlusses 2010/87 berühren könnte.
6. Ferner hat das vorlegende Gericht bestimmte Zweifel zum Ausdruck gebracht, die sich im Wesentlichen auf die Frage beziehen, ob das von den Vereinigten Staaten gebotene Schutzniveau angemessen ist angesichts der Eingriffe durch die Tätigkeiten der amerikanischen Nachrichtendienste in die Ausübung von Grundrechten der Personen, deren Daten in dieses Drittland übermittelt werden. Diese Zweifel stellen mittelbar die Beurteilungen in Frage, die die Kommission in dieser Hinsicht in dem Durchführungsbeschluss (EU) 2016/1250(6) vorgenommen hat. Obwohl es für die Entscheidung des Rechtsstreits im Ausgangsverfahren nicht erforderlich ist, dass der Gerichtshof über diese Frage befindet, und ich ihm daher empfehle, davon abzusehen, werde ich hilfsweise darlegen, warum ich Zweifel an der Gültigkeit dieses Beschlusses habe.
7. Meine gesamte Analyse wird geleitet werden von der Suche nach einem Gleichgewicht zwischen der Notwendigkeit eines „vernünftigen Grades von Pragmatismus, um eine Interaktion mit anderen Teilen der Welt zu ermöglichen“(7), zum einen und der Notwendigkeit der Bekräftigung der in den Rechtsordnungen der Union und ihrer Mitgliedstaaten, insbesondere in der Charta, anerkannten Grundwerte zum anderen.
II. Rechtlicher Rahmen
A. Die Richtlinie 95/46/EG
8. In Art. 3 Abs. 2 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(8) hieß es:
„Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten,
– die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich;
…“
9. Art. 13 Abs. 1 dieser Richtlinie sah vor:
„Die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Pflichten und Rechte gemäß Artikel 6 Absatz 1, Artikel 10, Artikel 11 Absatz 1, Artikel 12 und Artikel 21 beschränken, sofern eine solche Beschränkung notwendig ist für
a) die Sicherheit des Staates;
b) die Landesverteidigung;
c) die öffentliche Sicherheit;
d) die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen;
e) ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der Europäischen Union einschließlich Währungs‑, Haushalts- und Steuerangelegenheiten;
f) Kontroll‑, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben c), d) und e) genannten Zwecke verbunden sind;
g) den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen.“
10. In Art. 25 dieser Richtlinie hieß es:
„(1) Die Mitgliedstaaten sehen vor, dass die Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen, in ein Drittland vorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet.
(2) Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; insbesondere werden die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen berücksichtigt.
…
(6) Die Kommission kann nach dem Verfahren des Artikels 31 Absatz 2 feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen, die es insbesondere infolge der Verhandlungen gemäß Absatz 5 eingegangen ist, hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.
Die Mitgliedstaaten treffen die aufgrund des Beschlusses der Kommission gebotenen Maßnahmen.“
11. Art. 26 Abs. 2 und 4 dieser Richtlinie sah vor:
„(2) Unbeschadet des Absatzes 1 kann ein Mitgliedstaat eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in ein Drittland genehmigen, das kein angemessenes Schutzniveau im Sinne des Artikels 25 Absatz 2 gewährleistet, wenn der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet; diese Garantien können sich insbesondere aus entsprechenden Vertragsklauseln ergeben.
…
(4) Befindet die Kommission …, dass bestimmte Standardvertragsklauseln ausreichende Garantien gemäß Absatz 2 bieten, so treffen die Mitgliedstaaten die aufgrund der Feststellung der Kommission gebotenen Maßnahmen.“
12. In Art. 28 Abs. 3 der Richtlinie 95/46 hieß es:
„Jede Kontrollstelle verfügt insbesondere über:
…
– wirksame Einwirkungsbefugnisse, wie beispielsweise die Möglichkeit, im Einklang mit Artikel 20 vor der Durchführung der Verarbeitungen Stellungnahmen abzugeben und für eine geeignete Veröffentlichung der Stellungnahmen zu sorgen, oder die Befugnis, die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verarbeitung Verantwortlichen zu richten oder die Parlamente oder andere politische Institutionen zu befassen;
…“
B. Die DSGVO
13. Durch Art. 94 Abs. 1 DSGVO wurde die Richtlinie 95/46 mit Wirkung vom 25. Mai 2018, dem Tag des Geltungsbeginns dieser Verordnung, aufgehoben.
14. In Art. 2 Abs. 2 DSGVO heißt es:
„Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
…
d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.“
15. Nach Art. 4 Nr. 2 dieser Verordnung bezeichnet „‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.
16. Art. 23 DSGVO sieht vor:
„(1) Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:
a) die nationale Sicherheit;
b) die Landesverteidigung;
c) die öffentliche Sicherheit;
d) die Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit,
e) den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats …
…
(2) Jede Gesetzgebungsmaßnahme im Sinne des Absatzes 1 muss insbesondere gegebenenfalls spezifische Vorschriften enthalten zumindest in Bezug auf
a) die Zwecke der Verarbeitung oder die Verarbeitungskategorien,
b) die Kategorien personenbezogener Daten,
c) den Umfang der vorgenommenen Beschränkungen,
d) die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung,
e) die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen,
f) die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien,
g) die Risiken für die Rechte und Freiheiten der betroffenen Personen und
h) das Recht der betroffenen Personen auf Unterrichtung über die Beschränkung, sofern dies nicht dem Zweck der Beschränkung abträglich ist.“
17. Art. 44 („Allgemeine Grundsätze der Datenübermittlung“) DSGVO lautet:
„Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten aus dem betreffenden Drittland oder der betreffenden internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.“
18. In Art. 45 („Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses“) DSGVO heißt es:
„(1) Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung.
(2) Bei der Prüfung der Angemessenheit des gebotenen Schutzniveaus berücksichtigt die Kommission insbesondere das Folgende:
a) die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, die in dem betreffenden Land bzw. bei der betreffenden internationalen Organisation geltenden einschlägigen Rechtsvorschriften sowohl allgemeiner als auch sektoraler Art – auch in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten – sowie die Anwendung dieser Rechtsvorschriften, Datenschutzvorschriften, Berufsregeln und Sicherheitsvorschriften einschließlich der Vorschriften für die Weiterübermittlung personenbezogener Daten an ein anderes Drittland bzw. eine andere internationale Organisation, die Rechtsprechung sowie wirksame und durchsetzbare Rechte der betroffenen Person und wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe für betroffene Personen, deren personenbezogene Daten übermittelt werden,
b) die Existenz und die wirksame Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden in dem betreffenden Drittland oder denen eine internationale Organisation untersteht und die für die Einhaltung und Durchsetzung der Datenschutzvorschriften, einschließlich angemessener Durchsetzungsbefugnisse, für die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Mitgliedstaaten zuständig sind, und
c) die von dem betreffenden Drittland bzw. der betreffenden internationalen Organisation eingegangenen internationalen Verpflichtungen oder andere Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme des Drittlands oder der internationalen Organisation an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.
(3) Nach der Beurteilung der Angemessenheit des Schutzniveaus kann die Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels bieten. In dem Durchführungsrechtsakt ist ein Mechanismus für eine regelmäßige Überprüfung, die mindestens alle vier Jahre erfolgt, vorzusehen, bei der allen maßgeblichen Entwicklungen in dem Drittland oder bei der internationalen Organisation Rechnung getragen wird. …
(4) Die Kommission überwacht fortlaufend die Entwicklungen in Drittländern und bei internationalen Organisationen, die die Wirkungsweise der nach Absatz 3 des vorliegenden Artikels erlassenen Beschlüsse und der nach Artikel 25 Absatz 6 der Richtlinie [95/46] erlassenen Feststellungen beeinträchtigen könnten.
(5) Die Kommission widerruft, ändert oder setzt die in Absatz 3 des vorliegenden Artikels genannten Beschlüsse im Wege von Durchführungsrechtsakten aus, soweit dies nötig ist und ohne rückwirkende Kraft, soweit entsprechende Informationen – insbesondere im Anschluss an die in Absatz 3 des vorliegenden Artikels genannte Überprüfung – dahingehend vorliegen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische[…] Sektor[en] in einem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels mehr gewährleistet. …
(6) Die Kommission nimmt Beratungen mit dem betreffenden Drittland bzw. der betreffenden internationalen Organisation auf, um Abhilfe für die Situation zu schaffen, die zu dem gemäß Absatz 5 erlassenen Beschluss geführt hat.
…
(9) Von der Kommission auf der Grundlage von Artikel 25 Absatz 6 der Richtlinie [95/46] erlassene Feststellungen bleiben so lange in Kraft, bis sie durch einen nach dem Prüfverfahren gemäß den Absätzen 3 oder 5 des vorliegenden Artikels erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden.“
19. In Art. 46 („Datenübermittlung vorbehaltlich geeigneter Garantien“) DSGVO heißt es:
„(1) Falls kein Beschluss nach Artikel 45 Absatz 3 vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
(2) Die in Absatz 1 genannten geeigneten Garantien können, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre, bestehen in
…
c) Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden,
…
(5) Von einem Mitgliedstaat oder einer Aufsichtsbehörde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie [95/46] erteilte Genehmigungen bleiben so lange gültig, bis sie erforderlichenfalls von dieser Aufsichtsbehörde geändert, ersetzt oder aufgehoben werden. Von der Kommission auf der Grundlage von Artikel 26 Absatz 4 der Richtlinie [95/46] erlassene Feststellungen bleiben so lange in Kraft, bis sie erforderlichenfalls mit einem nach Absatz 2 des vorliegenden Artikels erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden.“
20. In Art. 58 Abs. 2, 4 und 5 DSGVO heißt es:
„(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,
a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen
f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
…
i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
j) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.
…
(4) Die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des Mitgliedstaats im Einklang mit der Charta.
(5) Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen.“
C. Der Beschluss 2010/87
21. Gemäß Art. 26 Abs. 4 der Richtlinie 95/46 erließ die Kommission drei Entscheidungen bzw. Beschlüsse, mit denen sie feststellte, dass die in diesen aufgeführten Standardvertragsklauseln ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bieten (im Folgenden: SVK-Beschlüsse)(9).
22. Zu diesen gehört der Beschluss 2010/87, nach dessen Art. 1 „[d]ie Standardvertragsklauseln im Anhang … als angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte nach Artikel 26 Absatz 2 der Richtlinie [95/46] [gelten]“.
23. In Art. 3 dieses Beschlusses heißt es
„Für die Zwecke dieses Beschlusses gelten die folgenden Begriffsbestimmungen:
…
c) der Begriff ‚Datenexporteur‘ bezeichnet den für die Verarbeitung Verantwortlichen, der die personenbezogenen Daten übermittelt;
d) der Begriff ‚Datenimporteur‘ bezeichnet den in einem Drittland niedergelassenen Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur nach dessen Anweisungen und den Vorschriften dieses Beschlusses personenbezogene Daten entgegenzunehmen und sie nach der Übermittlung in dessen Auftrag zu verarbeiten, und der nicht dem System eines Drittlands unterliegt, das ein angemessenes Schutzniveau im Sinne von Artikel 25 Absatz 1 der Richtlinie [95/46] bietet;
…
f) der Begriff ‚anwendbares Datenschutzrecht‘ bezeichnet die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten der Personen, insbesondere des Rechts auf Schutz der Privatsphäre im Hinblick auf die Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist, für den für die Verarbeitung Verantwortlichen gelten;
…“
24. In seiner ursprünglichen Fassung lautete Art. 4 Abs. 1 dieses Beschlusses:
„Unbeschadet ihrer Befugnisse, tätig zu werden, um die Einhaltung nationaler Vorschriften gemäß den Kapiteln II, III, V und VI der Richtlinie [95/46] zu gewährleisten, können die zuständigen Kontrollstellen in den Mitgliedstaaten ihre bestehenden Befugnisse ausüben, indem sie zum Schutz von Privatpersonen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten die Datenübermittlung in Drittländer verbieten oder aussetzen, wenn
a) feststeht, dass der Datenimporteur nach den für ihn geltenden Rechtsvorschriften Anforderungen unterliegt, die ihn zwingen, vom anwendbaren Datenschutzrecht in einem Maß abzuweichen, das über die Beschränkungen hinausgeht, die im Sinne von Artikel 13 der Richtlinie [95/46] für eine demokratische Gesellschaft erforderlich sind, und dass sich diese Anforderungen wahrscheinlich sehr nachteilig auf die Garantien auswirken würden, die das anwendbare Datenschutzrecht und die Standardvertragsklauseln bieten,
b) eine zuständige Behörde festgestellt hat, dass der Datenimporteur oder ein Unterauftragsverarbeiter die Standardvertragsklauseln im Anhang nicht eingehalten hat, oder
c) eine hohe Wahrscheinlichkeit besteht, dass die im Anhang enthaltenen Standardvertragsklauseln derzeit oder künftig nicht eingehalten werden und die Fortsetzung der Übermittlung den betroffenen Personen einen schwerwiegenden Schaden zufügen könnte.“
25. In seiner derzeitigen, mit dem Durchführungsbeschluss (EU) 2016/2297(10) geänderten Fassung sieht Art. 4 des Beschlusses 2010/87 vor, dass, „[w]enn die zuständigen Behörden in den Mitgliedstaaten ihre Befugnisse gemäß Artikel 28 Absatz 3 der Richtlinie [95/46] ausüben und die Datenübertragungen an Drittstaaten aussetzen oder endgültig verbieten, um Privatpersonen im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten zu schützen, … der betreffende Mitgliedstaat unverzüglich die Kommission [informiert], die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet“.
26. Der Anhang des Beschlusses 2010/87 enthält eine Reihe von Standardvertragsklauseln. Klausel 3 („Drittbegünstigtenklausel“) dieses Anhangs sieht vor:
„(1) Die betroffenen Personen können diese Klausel sowie Klausel 4 Buchstaben b bis i, Klausel 5 Buchstaben a bis e und g bis j, Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenexporteur als Drittbegünstigte geltend machen.
(2) Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen.
…“
27. Klausel 4 („Pflichten des Datenexporteurs“) dieses Anhangs lautet:
„Der Datenexporteur erklärt sich bereit und garantiert, dass:
a) die Verarbeitung der personenbezogenen Daten einschließlich der Übermittlung entsprechend den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts durchgeführt wurde und auch weiterhin so durchgeführt wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats mitgeteilt wurde, in dem der Datenexporteur niedergelassen ist) und nicht gegen die einschlägigen Vorschriften dieses Staates verstößt;
b) er den Datenimporteur angewiesen hat und während der gesamten Dauer der Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem anwendbaren Datenschutzrecht und den Klauseln zu verarbeiten;
c) der Datenimporteur hinreichende Garantien bietet in Bezug auf die in Anhang 2 zu diesem Vertrag beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen;
d) die Sicherheitsmaßnahmen unter Berücksichtigung der Anforderungen des anwendbaren Datenschutzrechts, des Standes der Technik, der bei ihrer Durchführung entstehenden Kosten, der von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten hinreichend gewährleisten, dass personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligem Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung geschützt sind;
e) er für die Einhaltung dieser Sicherheitsmaßnahmen sorgt;
f) die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder sobald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau im Sinne der Richtlinie [95/46] bietet;
g) er die gemäß Klausel 5 Buchstabe b sowie Klausel 8 Absatz 3 vom Datenimporteur oder von einem Unterauftragsverarbeiter erhaltene Mitteilung an die Kontrollstelle weiterleitet, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;
h) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Anhang 2 sowie eine allgemeine Beschreibung der Sicherheitsmaßnahmen zur Verfügung stellt; außerdem stellt er ihnen gegebenenfalls die Kopie des Vertrags über Datenverarbeitungsdienste zur Verfügung, der gemäß den Klauseln an einen Unterauftragsverarbeiter vergeben wurde, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden;
i) bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter die Verarbeitung gemäß Klausel 11 erfolgt und die personenbezogenen Daten und die Rechte der betroffenen Person mindestens ebenso geschützt sind, wie vom Datenimporteur nach diesen Klauseln verlangt; und
j) er für die Einhaltung der Klausel 4 Buchstaben a bis i sorgt.“
28. Klausel 5 („Pflichten des Datenimporteurs[1]“) dieses Anhangs sieht vor:
„Der Datenimporteur erklärt sich bereit und garantiert, dass:
a) er die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den vorliegenden Klauseln verarbeitet; dass er sich, falls er dies aus irgendwelchen Gründen nicht einhalten kann, bereit erklärt, den Datenexporteur unverzüglich davon in Kenntnis zu setzen, der unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;
b) er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;
c) er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anhang 2 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat;
d) er den Datenexporteur unverzüglich informiert über
i) alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten, es sei denn, dies wäre anderweitig untersagt, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen;
ii) jeden zufälligen oder unberechtigten Zugang und
iii) alle Anfragen, die direkt von den betroffenen Personen an ihn gerichtet werden, ohne diese zu beantworten, es sei denn, er wäre anderweitig dazu berechtigt;
e) er alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten personenbezogenen Daten durch den Datenexporteur unverzüglich und ordnungsgemäß bearbeitet und die Ratschläge der Kontrollstelle im Hinblick auf die Verarbeitung der übermittelten Daten befolgt;
f) er auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung stellt. Die Prüfung kann vom Datenexporteur oder einem vom Datenexporteur gegebenenfalls in Absprache mit der Kontrollstelle ausgewählten Prüfgremium durchgeführt werden, dessen Mitglieder unabhängig sind, über die erforderlichen Qualifikationen verfügen und zur Vertraulichkeit verpflichtet sind;
…“
29. Die der Überschrift von Klausel 5 des Anhangs des Beschlusses 2010/87 beigefügte Fn. 1 lautet:
„Zwingende Erfordernisse des für den Datenimporteur geltenden innerstaatlichen Rechts, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft für den Schutz eines der in Artikel 13 Absatz 1 der Richtlinie [95/46] aufgelisteten Interessen erforderlich ist, widersprechen nicht den Standardvertragsklauseln, wenn sie zur Gewährleistung der Sicherheit des Staates, der Landesverteidigung, der öffentlichen Sicherheit, der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen, eines wichtigen wirtschaftlichen oder finanziellen Interesses eines Mitgliedstaats, des Schutzes der betroffenen Person und der Rechte und Freiheiten anderer Personen erforderlich sind. Beispiele für zwingende Erfordernisse, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft erforderlich ist, sind international anerkannte Sanktionen, Erfordernisse der Steuerberichterstattung oder Anforderungen zur Bekämpfung der Geldwäsche.“
30. In Klausel 6 („Haftung“) dieses Anhangs heißt es:
„(1) Die Parteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Partei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erlangen.
(2) Ist die betroffene Person nicht in der Lage, gemäß Absatz 1 gegenüber dem Datenexporteur wegen Verstoßes des Datenimporteurs oder seines Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 genannte Pflichten Schadenersatzansprüche geltend zu machen, weil das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Datenimporteur damit einverstanden, dass die betroffene Person Ansprüche gegenüber ihm statt gegenüber dem Datenexporteur geltend macht, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen.
…“
31. Klausel 7 („Schlichtungsverfahren und Gerichtsstand“) dieses Anhangs lautet:
„(1) Für den Fall, dass eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigte und/oder Schadenersatzansprüche aufgrund der Vertragsklauseln geltend macht, erklärt sich der Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren, und zwar entweder:
a) die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder gegebenenfalls durch die Kontrollstelle beizulegen oder
b) die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu befassen.
(2) Die Parteien vereinbaren, dass die Entscheidung der betroffenen Person nicht die materiellen Rechte oder Verfahrensrechte dieser Person, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen, berührt.“
32. Nach Klausel 9 („Anwendbares Recht“) dieses Anhangs gilt für die Standardvertragsklauseln das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.
D. Der „Datenschutzschild“-Beschluss
33. Auf der Grundlage von Art. 25 Abs. 6 der Richtlinie 95/46 erließ die Kommission nacheinander eine Entscheidung und einen Beschluss, mit denen sie feststellte, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten, die an in den Vereinigten Staaten niedergelassene Unternehmen übermittelt werden, die in einem Selbstzertifizierungsverfahren erklärt haben, die in diesen Rechtsakten aufgestellten Grundsätze zu beachten.
34. Zunächst erließ die Kommission die Entscheidung 2000/520/EG über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der [Vereinigten Staaten](11). Mit dem Urteil vom 6. Oktober 2015, Schrems(12), hat der Gerichtshof diese Entscheidung für ungültig erklärt.
35. Auf dieses Urteil hin erließ die Kommission den „Datenschutzschild“-Beschluss.
36. Art. 1 dieses Beschlusses lautet:
„(1) Im Sinne von Artikel 25 Absatz 2 der Richtlinie [95/46] gewährleisten die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten, die im Rahmen des EU‑US-Datenschutzschilds aus der Europäischen Union an Organisationen in den Vereinigten Staaten übermittelt werden.
(2) Der EU-US-Datenschutzschild besteht aus den Grundsätzen, die am 7. Juli 2016 vom US-Handelsministerium herausgegeben wurden und in Anhang II aufgeführt sind, und den offiziellen Erklärungen und Zusagen, die in den Schriftstücken der Anhänge I und III bis VII enthalten sind.
(3) Im Sinne von Absatz 1 werden personenbezogene Daten im Rahmen des EU‑US-Datenschutzschilds übermittelt, wenn sie aus der Europäischen Union an US‑Organisationen übermittelt werden, die in der ‚Datenschutzschild-Liste‘ aufgeführt sind, welche in Übereinstimmung mit Abschnitt I und III der Grundsätze in Anhang II vom US‑Handelsministerium geführt und der Öffentlichkeit zugänglich gemacht wird.“
37. Anhang III A („Ombudsstelle des EU‑U.S.‑Datenschutzschilds für die signalerfassende Aufklärung“) dieses Beschlusses, eine Anlage zu einem Schreiben des damaligen Secretary of State (Außenminister, Vereinigte Staaten) John Kerry vom 7. Juli 2016, enthält eine Absichtserklärung, in der ein neues Ombudsverfahren vor einem vom Außenminister zu benennenden „Senior Coordinator for International Information Technology Diplomacy“ (im Folgenden: Ombudsperson) beschrieben wird.
38. Nach dieser Absichtserklärung soll „das genannte Verfahren bei Daten, die gemäß dem Datenschutzschild, den Standardklauseln (standard contractual clauses, SCC), den verbindlichen unternehmensinternen Datenschutzregelungen (binding corporate rules, BCR) sowie den ‚Ausnahmeregelungen‘ oder ‚etwaigen künftigen Ausnahmeregelungen‘ von der [Union] unter Einhaltung des dafür bestehenden Weges laut geltendem Recht und bestehender Auslegungspraxis in die Vereinigten Staaten übermittelt werden, die Bearbeitung von Anfragen zum Zugriff auf Daten, die die nationale Sicherheit betreffen, und die Beantwortung solcher Anfragen erleichtern“.
III. Ausgangsrechtsstreit, Vorlagefragen und Verfahren vor dem Gerichtshof
39. Herr Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, nutzt das soziale Netzwerk Facebook. Alle im Unionsgebiet wohnhaften Nutzer von Facebook müssen bei ihrer Anmeldung einen Vertrag mit Facebook Ireland abschließen, einer Tochtergesellschaft der in den Vereinigten Staaten ansässigen Facebook Inc. Die personenbezogenen Daten dieser Nutzer werden ganz oder teilweise an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet.
40. Am 25. Juni 2013 legte Herr Schrems beim DPC eine Beschwerde ein, mit der er ihn im Wesentlichen aufforderte, in Ausübung der ihm übertragenen Befugnisse Facebook Ireland die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten zu untersagen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten gewährleisteten keinen ausreichenden Schutz der in diesem Land gespeicherten personenbezogenen Daten vor den Überwachungstätigkeiten der dortigen Behörden. Dabei verwies er auf die von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten, insbesondere der National Security Agency (NSA) (Nationale Sicherheitsbehörde, Vereinigte Staaten).
41. Diese Beschwerde wurde mit der Begründung zurückgewiesen, alle die Angemessenheit des Schutzes personenbezogener Daten in den Vereinigten Staaten betreffenden Fragen seien im Einklang mit der „Safe Harbour“-Entscheidung zu klären, mit der die Kommission festgestellt habe, dass dieses Drittland ein angemessenes Schutzniveau für personenbezogene Daten biete, die an Unternehmen in dessen Hoheitsgebiet übermittelt würden, die die in dieser Entscheidung aufgestellten Grundsätze beachteten.
42. Herr Schrems erhob gegen die Entscheidung, mit der seine Beschwerde zurückgewiesen worden war, Klage beim High Court (Hoher Gerichtshof). Dieser befand, dass Herr Schrems zwar die Gültigkeit der „Safe Harbour“-Entscheidung nicht förmlich in Frage gestellt habe, mit seiner Beschwerde jedoch de facto die Rechtmäßigkeit der mit dieser geschaffenen Regelung in Zweifel ziehe. Unter diesen Umständen legte dieses Gericht dem Gerichtshof Fragen vor, mit denen es im Wesentlichen wissen wollte, ob die mit dem Datenschutz betrauten Behörden der Mitgliedstaaten (im Folgenden: Aufsichtsbehörden), wenn ihnen eine Beschwerde betreffend den Schutz der Rechte und Freiheiten einer Person bei der Übermittlung von diese betreffenden personenbezogenen Daten in ein Drittland vorliegt, an die von der Kommission gemäß Art. 25 Abs. 6 der Richtlinie 95/46 getroffenen Feststellungen hinsichtlich der Angemessenheit des von diesem Drittstaat gebotenen Schutzniveaus gebunden sind, wenn der Beschwerdeführer diese Feststellungen bestreitet.
43. In den Rn. 51 und 52 des Urteils Schrems hat der Gerichtshof zunächst entschieden, dass eine Angemessenheitsentscheidung die Aufsichtsbehörden bindet, solange sie nicht für ungültig erklärt worden ist, und sodann in den Rn. 63 und 65 dieses Urteils ausgeführt:
„63 [W]enn sich eine Person, deren personenbezogene Daten in ein Drittland übermittelt wurden oder werden könnten, das Gegenstand einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission ist, mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung dieser Daten an eine nationale [Aufsichtsbehörde] wendet und im Rahmen dieser Eingabe … die Vereinbarkeit der betreffenden Entscheidung mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen in Frage stellt, [obliegt es] der angerufenen [Aufsichtsbehörde], die Eingabe mit aller gebotenen Sorgfalt zu prüfen.
…
65 Hält die [Aufsichtsbehörde] die Rügen der Person, die sich mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung ihrer personenbezogenen Daten an sie gewandt hat, … für begründet, muss sie nach Art. 28 Abs. 3 Unterabs. 1 dritter Gedankenstrich der Richtlinie 95/46 im Licht insbesondere von Art. 8 Abs. 3 der Charta ein Klagerecht haben. Insoweit [obliegt es dem nationalen Gesetzgeber], Rechtsbehelfe vorzusehen, die es der betreffenden nationalen [Aufsichtsbehörde] ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese, wenn sie die Zweifel der [Aufsichtsbehörde] an der Gültigkeit der Entscheidung der Kommission teilen, um eine Vorabentscheidung über deren Gültigkeit ersuchen.“
44. In diesem Urteil hat der Gerichtshof ebenfalls die Gültigkeit der „Safe Harbour“-Entscheidung anhand der sich aus der Richtlinie 95/46 im Licht der Charta ergebenden Anforderungen geprüft. Als Ergebnis dieser Prüfung hat er diese Entscheidung für ungültig erklärt(13).
45. Auf das Urteil Schrems hin hob das vorlegende Gericht die Entscheidung, mit der der DPC die Beschwerde von Herrn Schrems zurückgewiesen hatte, auf und verwies die Sache zur erneuten Prüfung an den DPC zurück. Dieser eröffnete eine Untersuchung und forderte Herrn Schrems auf, seine Beschwerde unter Berücksichtigung der Ungültigerklärung der „Safe Harbour“-Entscheidung umzuformulieren.
46. Zu diesem Zweck forderte Herr Schrems Facebook Ireland zur Angabe der Rechtsgrundlagen für die Übermittlung der personenbezogenen Daten der Nutzer des sozialen Netzwerks Facebook aus der Union in die Vereinigten Staaten auf. Ohne alle Rechtsgrundlagen, auf die sie sich stützt, anzugeben, bezog sich Facebook Ireland auf eine zwischen ihr und der Facebook Inc. geschlossene Vereinbarung zur Datenübermittlung und ‑verarbeitung („data transfer processing agreement“), die seit dem 20. November 2015 gelte, und berief sich auf den Beschluss 2010/87.
47. Mit seiner umformulierten Beschwerde macht Herr Schrems zum einen geltend, die Klauseln dieser Vereinbarung entsprächen nicht den im Anhang des Beschlusses 2010/87 aufgeführten Standardvertragsklauseln. Zum anderen seien diese Standardvertragsklauseln jedenfalls keine geeignete Rechtsgrundlage für die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten. Der Grund hierfür sei, dass die Facebook Inc. nach amerikanischem Recht verpflichtet sei, die personenbezogenen Daten ihrer Nutzer amerikanischen Behörden wie der NSA und dem Federal Bureau of Investigation (FBI) (Bundesamt für Ermittlung, Vereinigte Staaten) im Rahmen von Überwachungsprogrammen zur Verfügung zu stellen, die die Ausübung der durch die Art. 7, 8 und 47 der Charta gewährleisteten Rechte beeinträchtigten. Es sei kein gerichtlicher Rechtsbehelf gegeben, mit dem die betroffenen Personen ihre Rechte auf Achtung des Privatlebens und Schutz personenbezogener Daten geltend machen könnten. Unter diesen Umständen beantragt Herr Schrems vor dem DPC, die Übermittlung gemäß Art. 4 des Beschlusses 2010/87 auszusetzen.
48. Facebook Ireland hat im Rahmen der vom DPC durchgeführten Untersuchung eingeräumt, dass sie weiter personenbezogene Daten der in der Union ansässigen Nutzer des sozialen Netzwerks Facebook in die Vereinigten Staaten übermittle, und ausgeführt, dass sie sich dafür zum großen Teil auf die im Anhang des Beschlusses 2010/87 aufgeführten Standardvertragsklauseln stütze.
49. Die Untersuchung des DPC war auf die Feststellung gerichtet, ob die Vereinigten Staaten einen angemessenen Schutz der personenbezogenen Daten von Unionsbürgern gewährleisten und, wenn nein, ob die SVK-Beschlüsse ausreichende Garantien hinsichtlich des Schutzes von deren Grundfreiheiten und ‑rechten bieten.
50. In einem Entscheidungsentwurf („draft decision“) vertrat der DPC die vorläufige Ansicht, dass das amerikanische Recht Unionsbürgern, deren Daten in die Vereinigten Staaten übermittelt würden, wo sie von den amerikanischen Diensten in einer mit den Art. 7 und 8 der Charta unvereinbaren Weise für Zwecke der nationalen Sicherheit verarbeitet werden könnten, keine wirksamen Rechtsbehelfe im Sinne von Art. 47 der Charta biete. Durch die Klauseln in den Anhängen der SVK-Beschlüsse werde diesem Mangel nicht abgeholfen, da diese Klauseln die Behörden oder Dienste der Vereinigten Staaten nicht bänden und den betroffenen Personen nur vertragliche Rechte gegenüber dem Datenexporteur und/oder ‑importeur einräumten.
51. Unter diesen Umständen sah sich der DPC außerstande, ohne vorherige Prüfung der Gültigkeit der SVK-Beschlüsse durch den Gerichtshof über die Beschwerde von Herr Schrems zu entscheiden. Gemäß der in Rn. 65 des Urteils Schrems gemachten Vorgabe machte der DPC daher ein Verfahren vor dem vorlegenden Gericht anhängig, damit dieses, sollte es die Zweifel des DPC teilen, den Gerichtshof um Vorabentscheidung über die Gültigkeit der SVK-Beschlüsse ersuche.
52. Die Regierung der Vereinigten Staaten, das Electronic Privacy Information Centre (EPIC), die Business Software Alliance (BSA) und Digitaleurope wurden als Streithelfer im Verfahren vor dem vorlegenden Gericht zugelassen.
53. Um beurteilen zu können, ob die Zweifel des DPC an der Gültigkeit der SVK-Beschlüsse berechtigt sind, nahm der High Court (Hoher Gerichtshof) die von den Parteien des Rechtsstreits vorgelegten Beweise entgegen und hörte deren Vorbringen sowie das der Streithelfer. Insbesondere waren die Bestimmungen des Rechts der Vereinigten Staaten Gegenstand der Vorlage von Beweisen durch Sachverständige. Nach irischem Recht gilt ausländisches Recht als Tatsache und muss wie jede andere Tatsache bewiesen werden. Auf der Grundlage dieser Beweise prüfte das vorlegende Gericht die Bestimmungen des Rechts der Vereinigten Staaten, die die Überwachung durch die Regierungsbehörden und ‑dienste erlauben, die Funktionsweise von zwei öffentlich als bestehend zugestandenen Überwachungsprogrammen („PRISM“ und „Upstream“), die verschiedenen Rechtsbehelfe für Private, deren Rechte durch Überwachungsmaßnahmen verletzt worden sind, sowie die systemischen Garantien und die Kontrollmechanismen. Die Ergebnisse dieser Prüfung legte dieses Gericht in einem Urteil vom 3. Oktober 2017 dar, das seiner Vorlageentscheidung als Anlage beigefügt ist (im Folgenden: Urteil des High Court [Hoher Gerichtshof] vom 3. Oktober 2017).
54. In diesem Urteil verweist das vorlegende Gericht unter den Rechtsgrundlagen, die das Erfassen ausländischer Kommunikation durch die amerikanischen Nachrichtendienste erlauben, auf Section 702 des Foreign Intelligence and Surveillance Act (FISA) (Gesetz zur Überwachung in der Auslandsaufklärung) und die Executive Order 12333 (Präsidialerlass Nr. 12333, im Folgenden: EO 12333).
55. Nach den in diesem Urteil getroffenen Feststellungen können der Attorney General (Generalbundesanwalt, Vereinigte Staaten) und der Director of National Intelligence (DNI) (Direktor der nationalen Nachrichtendienste) gemeinsam für einen Zeitraum von einem Jahr zur Beschaffung von Informationen im Bereich der Auslandsaufklärung die Überwachung von Personen genehmigen, die keine amerikanischen Staatsbürger sind und die sich nicht ständig in den Vereinigten Staaten aufhalten (sogenannte „Nicht-US-Personen“), wenn bei vernünftiger Betrachtung anzunehmen ist, dass sie sich außerhalb des Hoheitsgebiets der Vereinigten Staaten befinden(14). Nach dem FISA bezeichnet der Begriff „Auslandsaufklärung“ die Informationen, die die Fähigkeit der Regierung, sich gegen ausländische Angriffe zu schützen, den Terrorismus, die Proliferation von Massenvernichtungswaffen und die Führung der Außenpolitik der Vereinigten Staaten betreffen(15).
56. Diese jährlichen Genehmigungen wie auch die Verfahren betreffend das Targeting der zu überwachenden Personen und die Verarbeitung (Minimisierung) der gewonnenen Informationen(16) müssen vom Foreign Intelligence Surveillance Court (FISC) (Gericht für die Überwachung der Auslandsgeheimdienste, Vereinigte Staaten) gebilligt werden. Während für die „traditionelle“ Überwachung auf der Grundlage anderer Bestimmungen des FISA ein „wahrscheinlicher Grund“ für den Verdacht erforderlich ist, dass die überwachten Personen einer ausländischen Macht angehören oder deren Agenten sind, setzen die nach Section 702 FISA durchgeführten Überwachungstätigkeiten weder den Nachweis eines solchen „wahrscheinlichen Grundes“ noch die Billigung des Targeting bestimmter Personen durch den FISC voraus. Zudem gelten nach den Feststellungen des vorlegenden Gerichts die Minimisierungsverfahren nicht für Nicht-US-Personen, die sich außerhalb der Vereinigten Staaten befinden.
57. In der Praxis sendet die NSA nach Erteilung der Genehmigung durch den FISC an in den Vereinigten Staaten niedergelassene Betreiber von elektronischen Kommunikationsdiensten Anordnungen mit den Suchkriterien, den sogenannten „Selektoren“, die erfassten Personen zugeordnet sind (wie etwa Telefonnummern oder E‑Mail-Adressen). Diese Betreiber sind dann verpflichtet, die den Selektoren entsprechenden Daten an die NSA zu übermitteln, und müssen die an sie gerichteten Anordnungen geheim halten. Sie können beim FISC einen Antrag auf Änderung oder Nichtbeachtung einer Anordnung der NSA stellen. Gegen die Entscheidung des FISC ist ein Rechtsbehelf zum Foreign Intelligence Surveillance Court of Review (FISCR) (Rechtsmittelgericht für Entscheidungen im Bereich der Überwachung der Auslandsgeheimdienste, Vereinigte Staaten) gegeben.
58. Nach den Feststellungen des High Court (Hoher Gerichtshof) ist Section 702 die Rechtsgrundlage für die Programme PRISM und Upstream.
59. Im Rahmen des PRISM-Programms sind die Betreiber von elektronischen Kommunikationsdiensten verpflichtet, der NSA die gesamte Kommunikation „von“ dem oder „an“ den von dieser übermittelten Selektor vorzulegen. Ein Teil dieser Kommunikation wird an das FBI und an die Central Intelligence Agency (CIA) (Zentraler Nachrichtendienst, Vereinigte Staaten) weitergeleitet. 2015 sollen 94 386 Personen überwacht worden sein, und 2011 soll sich die Regierung der Vereinigten Staaten im Rahmen dieses Programms 250 Millionen Kommunikationsvorgänge beschafft haben.
60. Das Upstream-Programm beruht auf der obligatorischen Unterstützung durch die Unternehmen, die das „backbone“ (Rückgrat) – d. h. das Netz von Kabeln, Switches und Routern – betreiben, über das die Telefon- und die Internetkommunikation übertragen wird (im Folgenden: Telekommunikations-Backbone). Diese Unternehmen müssen der NSA erlauben, die Internetverkehrsflüsse zu kopieren und zu filtern, um Zugang zur Kommunikation „von“ einem, „an“ einen oder „über“ einen in einer Anordnung dieser Agentur genannten Selektor zu erlangen. Kommunikation „über“ einen Selektor ist eine solche, in der auf diesen Selektor Bezug genommen wird, ohne dass die diesem Selektor zugeordnete Nicht-US-Person daran beteiligt sein muss. Aus einer Stellungnahme des FISC vom 26. April 2017 ergibt sich zwar, dass die amerikanische Regierung seit diesem Zeitpunkt keine Kommunikation „über“ einen Selektor mehr sammelt und erlangt, doch geht daraus nicht hervor, dass die NSA die durch ihr Überwachungssystem geleiteten Kommunikationsflüsse nicht mehr kopiert und filtert. Das Upstream-Programm würde somit bedeuten, dass die NSA Zugriff sowohl auf die Metadaten als auch auf die Kommunikationsinhalte hat. Seit 2011 soll die NSA im Rahmen des Upstream-Programms etwa 26,5 Millionen Kommunikationsvorgänge erhoben haben, was jedoch nur einen kleinen Teil der nach diesem Programm gefilterten Kommunikation ausmachen soll.
61. Ferner erlaubt die EO 12333 nach den Feststellungen des High Court (Hoher Gerichtshof) die Überwachung elektronischer Kommunikation außerhalb des Hoheitsgebiets der Vereinigten Staaten, indem sie für Zwecke der Auslandsaufklärung den Zugang zu Daten ermöglicht, die „in der Übertragung in“ oder „in der Übertragung durch“ dieses Hoheitsgebiet befindlich sind, ohne dass sie dazu bestimmt sind, dort verarbeitet zu werden, sowie die Sammlung und die Speicherung dieser Daten. Gemäß der EO 12333 umfasst der Begriff „Auslandsaufklärung“ Informationen über die Fähigkeiten, die Absichten und die Aktivitäten ausländischer Regierungen, ausländischer Organisationen und ausländischer Personen(17).
62. Die EO 12333 soll die NSA zum Zugang zu den auf dem Grund des Atlantischen Ozeans verlegten Seekabeln, mittels deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, ermächtigen, bevor diese Daten in den Vereinigten Staaten ankommen und damit den Bestimmungen des FISA unterliegen. Es gibt jedoch keinen Beweis, dass irgendein Programm auf der Grundlage dieses Präsidialerlasses durchgeführt worden wäre.
63. Die EO 12333 sieht zwar Beschränkungen für die Sammlung, die Aufbewahrung und die Verbreitung von Informationen vor, doch gelten diese nicht für Nicht-US-Personen. Letztere verfügen nur über die Garantien nach der Presidential Policy Directive 28 (Strategische Präsidialrichtlinie Nr. 28, im Folgenden: PPD 28), die auf alle Aktivitäten der Sammlung und Verwendung von Informationen im Bereich der elektronischen Auslandsaufklärung Anwendung findet. Die PPD 28 bestimmt, dass die Achtung des Privatlebens integraler Bestandteil der Erwägungen ist, die bei der Planung dieser Aktivitäten zu berücksichtigen sind, dass die Sammlung ausschließlich dem Ziel der Erlangung von Informationen im Bereich der Auslandsaufklärung und der Spionageabwehr dienen darf und dass diese Aktivitäten „so gezielt wie möglich“ sein müssen.
64. Dem vorlegenden Gericht zufolge unterliegen die Tätigkeiten der NSA auf der Grundlage der EO 12333, die vom Präsidenten der Vereinigten Staaten jederzeit geändert oder aufgehoben werden kann, nicht dem Gesetz, sind nicht Gegenstand gerichtlicher Kontrolle und können nicht vor Gericht angefochten werden.
65. Auf der Grundlage dieser Feststellungen ist dieses Gericht der Ansicht, dass die Vereinigten Staaten eine massenhafte und wahllose Verarbeitung personenbezogener Daten durchführten, die die betroffenen Personen der Gefahr von Verletzungen der ihnen nach den Art. 7 und 8 der Charta zustehenden Rechte aussetzten.
66. Überdies verfügten Unionsbürger nicht über dieselben gerichtlichen Rechtsbehelfe gegen die rechtswidrige Verarbeitung ihrer personenbezogenen Daten durch die amerikanischen Behörden wie amerikanische Staatsbürger. Der Vierte Zusatzartikel zur Verfassung der Vereinigten Staaten, der den wichtigsten Schutz gegen illegale Überwachung darstelle, gelte nicht für Unionsbürger, die keine signifikante freiwillige Verbindung mit den Vereinigten Staaten hätten. Sie verfügten zwar über gewisse andere Rechtsbehelfe, doch stünden diesen erhebliche Hindernisse entgegen.
67. Im Einzelnen mache Art. III der Verfassung der Vereinigten Staaten jede Klage vor den Bundesgerichten davon abhängig, dass der Betroffene seine Klagebefugnis („standing“) nachweise. Die Klagebefugnis setze u. a. voraus, dass diese Person dartue, einen wirklichen Schaden erlitten zu haben, der zum einen konkret und individuell und zum anderen gegenwärtig sei oder unmittelbar bevorstehe. Unter Hinweis auf das Urteil des Supreme Court of the United States (Oberster Gerichtshof der Vereinigten Staaten) Clapper v. Amnesty International US(18) führt das vorlegende Gericht aus, diese Voraussetzung sei in der Praxis u. a. deshalb äußerst schwer zu erfüllen, weil es keinerlei Verpflichtung gebe, die betroffenen Personen von den ihnen gegenüber getroffenen Überwachungsmaßnahmen zu unterrichten(19). Ein Teil der Unionsbürgern zur Verfügung stehenden Klagen unterliege überdies anderen restriktiven Voraussetzungen wie dem Erfordernis, einen Geldschaden nachzuweisen. Die den Nachrichtendiensten zuerkannte hoheitliche Immunität und die Einstufung der betreffenden Informationen als geheim stünden der Inanspruchnahme bestimmter Rechtsbehelfe ebenfalls entgegen(20).
68. Darüber hinaus benennt der High Court (Hoher Gerichtshof) verschiedene Mechanismen zur Kontrolle und Überwachung der Tätigkeiten der Nachrichtendienste.
69. Dazu gehöre zum einen der Mechanismus der jährlichen Zertifizierung der auf Section 702 FISA gestützten Programme durch den FISC, in dessen Rahmen dieser allerdings nicht die individuellen Selektoren genehmige. Ferner unterliege die Sammlung von Informationen im Bereich der Auslandsaufklärung gemäß der EO 12333 keinerlei gerichtlicher Vorabkontrolle.
70. Zum anderen verweist das vorlegende Gericht auf mehrere außergerichtliche Mechanismen zur Überwachung von nachrichtendienstlichen Tätigkeiten. Im Einzelnen nennt es die Rolle der Inspectors General (Generalinspektoren, Vereinigte Staaten), die in jedem Nachrichtendienst mit der Aufsicht über die Überwachungstätigkeiten betraut seien. Des Weiteren erhalte das Privacy and Civil Liberties Oversight Board (PCLOB) (Aufsichtseinrichtung für Privatsphäre und Freiheitsrechte, Vereinigte Staaten), eine unabhängige Agentur innerhalb der Exekutive, die Berichte der in jedem Dienst als Beauftragte für Freiheitsrechte oder Privatsphäre benannten Personen („civil liberties or privacy officers“). Das PCLOB erstelle regelmäßig Berichte für parlamentarische Ausschüsse und den Präsidenten. Die betreffenden Dienste müssten Fälle von Verstößen gegen die Regeln und Verfahren betreffend die Sammlung von Informationen im Bereich der Auslandsaufklärung u. a. dem DNI zur Kenntnis bringen. Über diese Vorfälle werde auch dem FISC berichtet. Auch der amerikanische Kongress sei über die Nachrichtendienstausschüsse des Repräsentantenhauses und des Senats für die Kontrolle der Tätigkeiten der Auslandsaufklärung zuständig.
71. Der High Court (Hoher Gerichtshof) hebt jedoch den grundlegenden Unterschied hervor zwischen den Regeln, mit denen sichergestellt werden solle, dass die Daten rechtmäßig erlangt und erlangte Daten nicht missbräuchlich verwendet würden, einerseits und den bei Verstößen gegen diese Regeln zur Verfügung stehenden Rechtsbehelfen andererseits. Der Schutz der Grundrechte der betroffenen Personen sei nur dann sichergestellt, wenn sie bei Verstößen gegen diese Regeln ihre Rechte mit wirksamen Rechtsbehelfen geltend machen könnten.
72. Unter diesen Umständen erachtet das vorlegende Gericht das Vorbringen des DPC für begründet, dass die im amerikanischen Recht vorgesehenen Beschränkungen des Klagerechts der Person, deren Daten aus der Union übermittelt würden, nicht den Wesensgehalt des durch Art. 47 der Charta gewährleisteten Rechts wahrten und jedenfalls unverhältnismäßige Eingriffe in die Ausübung dieses Rechts darstellten.
73. Nach Ansicht des High Court (Hoher Gerichtshof) wird diese Beurteilung durch die Einführung des im „Datenschutzschild“-Beschluss beschriebenen Ombudsmechanismus durch die Regierung der Vereinigten Staaten nicht in Frage gestellt. Dieser Mechanismus stehe Unionsbürgern offen, die bei vernünftiger Betrachtung davon ausgingen, dass ihre Daten im Einklang mit den SVK-Beschlüssen(21) übermittelt worden seien, doch sei die Ombudsperson kein den Anforderungen des Art. 47 der Charta genügendes Gericht und insbesondere nicht unabhängig von der staatlichen Exekutive(22). Zweifelhaft sei auch, ob die Einschaltung der Ombudsperson, deren Entscheidungen nicht mit einer Klage angefochten werden könnten, einen wirksamen Rechtsbehelf darstelle. Sie erlaube nämlich den betroffenen Personen, deren Daten in rechtswidriger Weise gesammelt, verarbeitet oder geteilt worden seien, nicht, eine Entschädigung oder die Anordnung der Einstellung der rechtswidrigen Handlungen zu erlangen, da die Ombudsperson weder bestätige noch verneine, dass ein Antragsteller Gegenstand elektronischer Überwachung gewesen sei.
74. Nach dieser Darlegung seiner Zweifel, dass die im amerikanischen Recht vorgesehenen Garantien und die sich aus den Art. 7, 8 und 47 der Charta ergebenden Anforderungen der Sache nach gleichwertig sind, bezeichnet es das vorlegende Gericht als fraglich, ob die in den SVK-Beschlüssen – die ihrer Natur nach die amerikanischen Behörden nicht bänden – vorgesehenen Standardvertragsklauseln gleichwohl den Schutz der Grundrechte der betroffenen Personen sicherstellen könnten. Im Ergebnis teilt es die Zweifel des DPC an der Gültigkeit dieser Beschlüsse.
75. Das vorlegende Gericht führt insoweit u. a. aus, Art. 28 Abs. 3 der Richtlinie 95/46, auf den Art. 4 des Beschlusses 2010/87 verweise, wonach die Aufsichtsbehörden befugt seien, Datenübertragungen auszusetzen oder zu verbieten, die auf die in diesem Beschluss aufgeführten Standardvertragsklauseln gestützt seien, genüge nicht, um diese Zweifel auszuräumen. Abgesehen davon, dass diese Befugnis nur Ermessenscharakter habe, stelle sich im Licht des elften Erwägungsgrundes des Beschlusses 2010/87 die Frage, ob sie ausgeübt werden könne, wenn die festgestellten Mängel nicht einen besonderen und außergewöhnlichen Fall beträfen, sondern allgemeiner und systemischer Natur seien(23). Auch die Gefahr, dass es in verschiedenen Mitgliedstaaten zu voneinander abweichenden Entscheidungen komme, könne dagegen sprechen, die Feststellung solcher Mängel den Aufsichtsbehörden zu übertragen.
76. Unter diesen Umständen hat der High Court (Hoher Gerichtshof) mit Entscheidung vom 4. Mai 2018 (24), beim Gerichtshof eingegangen am 9. Mai 2018, das Verfahren ausgesetzt und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt:
1. Findet in dem Fall, dass personenbezogene Daten aufgrund des Beschlusses 2010/87 von einem privaten Unternehmen aus einem Mitgliedstaat der Europäischen Union zu einem gewerblichen Zweck an ein privates Unternehmen in einem Drittland übermittelt und in dem Drittland durch dessen Behörden für Zwecke der nationalen Sicherheit, aber auch der Durchführung von Gesetzen und der Außenpolitik des Drittlands weiter verarbeitet werden können, das Unionsrecht (einschließlich der Charta) ungeachtet der Bestimmungen des Art. 4 Abs. 2 EUV über die nationale Sicherheit und der Bestimmungen des Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46 über die öffentliche Sicherheit, die Landesverteidigung und die Sicherheit des Staates auf die Übermittlung der Daten Anwendung?
2. a) Sind bei der Beurteilung des Vorliegens einer Verletzung der Rechte einer natürlichen Person durch die Übermittlung von Daten aus der Union in ein Drittland, die aufgrund des Beschlusses 2010/87 erfolgt, soweit diese für Zwecke der nationalen Sicherheit weiter verarbeitet werden können, der relevante Vergleichsmaßstab im Sinne der Richtlinie 95/46
i) die Charta, der EUV, der AEUV, die Richtlinie 95/46, die Europäische Konvention zum Schutz der Menschenrechte und Grundfreiheiten, unterzeichnet in Rom am 4. November 1950 (im Folgenden: EMRK), (oder eine sonstige Bestimmung des Unionsrechts) oder
ii) die nationalen Rechtsvorschriften eines oder mehrerer Mitgliedstaaten?
b) Falls der relevante Vergleichsmaßstab derjenige nach Ziff. ii ist, ist in diesen auch die im Kontext der nationalen Sicherheit in einem oder mehreren Mitgliedstaaten bestehende Praxis einzubeziehen?
3. Richtet sich die Beurteilung, ob ein Drittland das nach dem Unionsrecht erforderliche Schutzniveau für in dieses Land übermittelte personenbezogene Daten im Sinne von Art. 26 der Richtlinie 95/46 gewährleistet,
a) nach den geltenden Rechtsnormen in dem Drittland, die sich aus seinen innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen ergeben, und der Praxis im Hinblick darauf, wie die Einhaltung dieser Normen sichergestellt werden soll, einschließlich der in dem Drittland geltenden Standesregeln und Sicherheitsmaßnahmen,
oder
b) nach den in Buchst. a genannten Rechtsnormen ebenso wie der Praxis der Verwaltung, Regulierung und Einhaltung von Normen sowie Schutzmaßnahmen, Verfahren, Vorgehensweisen, Kontrollmechanismen und außergerichtlichen Rechtsbehelfe, die in dem Drittland bestehen?
4. Verletzt angesichts der vom High Court (Hoher Gerichtshof) in Bezug auf das Recht der Vereinigten Staaten getroffenen Feststellungen eine Übermittlung personenbezogener Daten aus der Union in die Vereinigten Staaten, die aufgrund des Beschlusses 2010/87 erfolgt, die Rechte von natürlichen Personen nach Art. 7 und/oder 8 der Charta?
5. Wird angesichts der vom High Court (Hoher Gerichtshof) in Bezug auf das Recht der Vereinigten Staaten getroffenen Feststellungen bei einer Übermittlung personenbezogener Daten aus der Union in die Vereinigten Staaten, die aufgrund des Beschlusses 2010/87 erfolgt,
a) durch das von den Vereinigten Staaten gewährte Schutzniveau der Wesensgehalt des durch Art. 47 der Charta garantierten Rechts einer natürlichen Person auf einen gerichtlichen Rechtsbehelf wegen einer Verletzung ihrer Datenschutzrechte geachtet?
Falls Frage a bejaht wird:
b) Sind die Einschränkungen, denen das Recht einer natürlichen Person auf einen gerichtlichen Rechtsbehelf nach dem Recht der Vereinigten Staaten im Kontext der nationalen Sicherheit der Vereinigten Staaten unterliegt, im Sinne von Art. 52 der Charta verhältnismäßig, und gehen sie nicht über das in einer demokratischen Gesellschaft für Zwecke der nationalen Sicherheit erforderliche Maß hinaus?
6. a) Welches Schutzniveau muss personenbezogenen Daten bei einer Übermittlung in ein Drittland, die aufgrund von Standardvertragsklauseln erfolgt, die im Einklang mit einer Feststellung der Kommission nach Art. 26 Abs. 4 der Richtlinie 95/46 angewendet werden, nach den Bestimmungen dieser Richtlinie, insbesondere ihren Art. 25 und 26 in Verbindung mit der Charta, gewährt werden?
b) Welche Gesichtspunkte sind bei der Beurteilung zu berücksichtigen, ob das Schutzniveau, das Daten bei einer Übermittlung in ein Drittland, die aufgrund des Beschlusses 2010/87 erfolgt, gewährt wird, den Anforderungen der Richtlinie und der Charta entspricht?
7. Führt der Umstand, dass die Standardvertragsklauseln im Verhältnis zwischen Datenexporteur und Datenimporteur gelten und keine Bindungswirkung für nationale Behörden eines Drittlands haben, die den Datenimporteur verpflichten können, die personenbezogenen Daten, die aufgrund der im Beschluss 2010/87 genannten Klauseln übermittelt werden, ihren Sicherheitsbehörden zur weiteren Verarbeitung zugänglich zu machen, dazu, dass die Klauseln keine ausreichenden Garantien im Sinne von Art. 26 Abs. 2 der Richtlinie 95/46 bieten?
8. Ist eine Datenschutzbehörde in dem Fall, dass ein Datenimporteur eines Drittlands Überwachungsgesetzen unterliegt, die nach Ansicht einer Datenschutzbehörde mit den Klauseln im Anhang des Beschlusses 2010/87 oder den Art. 25 oder 26 der Richtlinie 95/46 und/oder der Charta unvereinbar sind, verpflichtet, von ihren Durchsetzungsbefugnissen nach Art. 28 Abs. 3 der Richtlinie 95/46 Gebrauch zu machen, um Datenübermittlungen auszusetzen, oder ist die Ausübung dieser Befugnisse im Licht des elften Erwägungsgrundes des Beschlusses 2010/87 lediglich auf Ausnahmefälle begrenzt, oder kann eine Datenschutzbehörde ihr Ermessen dahin ausüben, von einer Aussetzung von Datenübermittlungen abzusehen?
9. a) Stellt der „Datenschutzschild“-Beschluss im Sinne von Art. 25 Abs. 6 der Richtlinie 95/46 eine allgemeingültige Feststellung dar, die für die Datenschutzbehörden und Gerichte der Mitgliedstaaten dahin gehend verbindlich ist, dass die Vereinigten Staaten aufgrund ihrer innerstaatlichen Rechtsvorschriften oder der von ihnen eingegangenen internationalen Verpflichtungen ein angemessenes Schutzniveau im Sinne von Art. 25 Abs. 2 der Richtlinie gewährleisten?
b) Wenn dies nicht der Fall ist, welche Bedeutung kommt gegebenenfalls dem „Datenschutzschild“-Beschluss bei der Beurteilung der Angemessenheit der Garantien zu, die für Daten bei einer Übermittlung in die Vereinigten Staaten, die aufgrund des Beschlusses 2010/87 erfolgt, gewährt werden?
10. Wird angesichts der Feststellungen des High Court (Hoher Gerichtshof) in Bezug auf das Recht der Vereinigten Staaten durch die Einrichtung der „Datenschutzschild“-Ombudsstelle nach Anhang III A des „Datenschutzschild“-Beschlusses in Verbindung mit der in den Vereinigten Staaten bestehenden Regelung gewährleistet, dass die Vereinigten Staaten betroffenen Personen, deren personenbezogene Daten aufgrund des Beschlusses 2010/87 in die Vereinigten Staaten übermittelt werden, einen Rechtsbehelf bieten, der mit Art. 47 der Charta im Einklang steht?
11. Verstößt der Beschluss 2010/87 gegen Art. 7, 8 und/oder 47 der Charta?
77. Der DPC, Facebook Ireland, Herr Schrems, die Regierung der Vereinigten Staaten, das EPIC, die BSA, Digitaleurope, Irland, die belgische, die tschechische, die deutsche, die niederländische, die polnische und die portugiesische Regierung sowie die Regierung des Vereinigten Königreichs, das Europäische Parlament und die Kommission haben schriftliche Erklärungen beim Gerichtshof eingereicht. Der DPC, Facebook Ireland, Herr Schrems, die Regierung der Vereinigten Staaten, das EPIC, die BSA, Digitaleurope, Irland, die deutsche, die französische, die niederländische und die österreichische Regierung sowie die Regierung des Vereinigten Königreichs, das Parlament und die Kommission sowie der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) waren in der mündlichen Verhandlung vom 9. Juli 2019 vertreten.
IV. Analyse
A. Einleitende Erwägungen
78. Nachdem der Gerichtshof die „Safe Harbour“-Entscheidung mit dem Urteil Schrems für ungültig erklärt hatte, wurde die Übermittlung personenbezogener Daten in die Vereinigten Staaten auf anderer Rechtsgrundlage fortgesetzt. Insbesondere konnten die datenexportierenden Unternehmen Verträge mit den Datenimporteuren verwenden, die die von der Kommission erarbeiteten Standardklauseln enthielten. Die Klauseln dienen ebenfalls als Rechtsgrundlage für die Datenübermittlung in zahlreiche andere Drittländer, für die die Kommission keinen Angemessenheitsbeschluss erlassen hat(25). Der „Datenschutzschild“-Beschluss erlaubt es nunmehr den Unternehmen, die ihre Beachtung der dort aufgeführten Grundsätze selbst zertifiziert haben, personenbezogene Daten ohne weitere Formalitäten in die Vereinigten Staaten zu übermitteln.
79. Wie in der Vorlageentscheidung ausdrücklich dargelegt und von der BSA, Digitaleurope, Irland, der französischen und der österreichischen Regierung sowie vom Parlament und von der Kommission hervorgehoben, geht es in dem beim High Court (Hoher Gerichtshof) anhängigen Ausgangsrechtsstreit allein darum, ob der Beschluss, mit dem die Kommission die Standardvertragsklauseln eingeführt hat, auf die die von der Beschwerde von Herrn Schrems erfassten Übermittlungen gestützt werden, nämlich der Beschluss 2010/87(26), gültig ist.
80. In diesem Rechtsstreit beantragt der DPC vor dem vorlegenden Gericht, den Gerichtshof um Vorabentscheidung über die Gültigkeit des Beschlusses 2010/87 zu ersuchen. Diesem Gericht zufolge betrifft der Ausgangsrechtsstreit somit die Inanspruchnahme des Rechtsbehelfs, dessen Schaffung der Gerichtshof den Mitgliedstaaten in Rn. 65 des Urteils Schrems aufgegeben hat.
81. Wie erinnerlich hat der Gerichtshof in Rn. 63 dieses Urteils entschieden, dass eine Aufsichtsbehörde eine Beschwerde, mit der eine Person, deren personenbezogene Daten in ein Drittland übermittelt worden sind oder werden könnten, für das ein Angemessenheitsbeschluss ergangen ist, die Vereinbarkeit dieses Beschlusses mit den in der Charta verankerten Grundrechten in Frage stellt, mit aller gebotenen Sorgfalt zu prüfen hat. Nach Rn. 65 dieses Urteils muss die Aufsichtsbehörde, wenn sie die mit dieser Beschwerde erhobenen Rügen für begründet hält, nach Art. 28 Abs. 3 Unterabs. 1 dritter Gedankenstrich der Richtlinie 95/46 (dem Art. 58 Abs. 5 DSGVO entspricht) im Licht insbesondere von Art. 8 Abs. 3 der Charta ein Klagerecht haben. Insoweit muss der nationale Gesetzgeber Rechtsbehelfe schaffen, die es der Aufsichtsbehörde ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese, wenn sie die Zweifel der Aufsichtsbehörde teilen, um eine Vorabentscheidung über die Gültigkeit des betreffenden Beschlusses ersuchen.
82. Wie das vorlegende Gericht bin ich der Ansicht, dass diese Ausführungen entsprechend gelten, wenn eine Aufsichtsbehörde bei der Behandlung einer bei ihr eingereichten Beschwerde Zweifel an der Gültigkeit nicht eines Angemessenheitsbeschlusses, sondern eines Beschlusses wie des Beschlusses 2010/87 hat, mit dem Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer festgelegt werden. Entgegen dem Vorbringen der deutschen Regierung kommt es nicht darauf an, dass diese Zweifel den vom Beschwerdeführer vor der Aufsichtsbehörde erhobenen Rügen entsprechen oder dass diese Behörde die Gültigkeit des betreffenden Beschlusses selbst in Frage stellt. Denn die Anforderungen nach Art. 58 Abs. 5 DSGVO und Art. 8 Abs. 3 der Charta, auf die der Gerichtshof seine Begründung stützt, gelten unabhängig von der Rechtsgrundlage für die Übermittlung, auf die sich die bei der Aufsichtsbehörde eingelegte Beschwerde bezieht, und von den Gründen, aus denen diese Behörde im Rahmen der Behandlung dieser Beschwerde an der Gültigkeit des betreffenden Beschlusses zweifelt.
83. Der DPC ersucht das vorlegende Gericht um die Befassung des Gerichtshofs mit der Frage der Gültigkeit des Beschlusses 2010/87, weil er dessen Stellungnahme für erforderlich hält, um über die Beschwerde von Herrn Schrems entscheiden zu können, mit der dieser ihn um die Ausübung seiner Befugnis nach Art. 28 Abs. 3 zweiter Gedankenstrich der Richtlinie 95/46 – und nunmehr nach Art. 58 Abs. 2 Buchst. f DSGVO – ersucht, die Übermittlung der ihn betreffenden personenbezogenen Daten durch Facebook Ireland an Facebook Inc. auszusetzen.
84. Während also der Ausgangsrechtsstreit allein die Gültigkeit des Beschlusses 2010/87 in abstracto betrifft, geht es in dem zugrunde liegenden Verfahren vor dem DPC um die Ausübung der Befugnis des Letzteren, in einem konkreten Fall korrigierende Maßnahmen zu erlassen. Ich werde dem Gerichtshof vorschlagen, die vorgelegten Fragen nur insoweit zu prüfen, als es zur Entscheidung über die Frage der Gültigkeit des Beschlusses 2010/87 erforderlich ist, da eine solche Prüfung dem vorlegenden Gericht genügt, um über den bei ihm anhängigen Rechtsstreit zu entscheiden(27).
85. Vor der Beurteilung der Gültigkeit dieses Beschlusses sind einige gegen die Zulässigkeit des Vorabentscheidungsersuchens erhobene Einwände auszuräumen.
B. Zur Zulässigkeit der Vorlage
86. Die Zulässigkeit der Vorlage ist aus verschiedenen Gründen in Frage gestellt worden, und zwar im Wesentlichen, weil die in den Vorlagefragen genannte Richtlinie 95/46 zeitlich nicht anwendbar sei (Abschnitt 1), weil das Verfahren vor dem DPC nicht weit genug fortgeschritten sei, um die Zweckdienlichkeit der Frage zu rechtfertigen (Abschnitt 2), und weil Ungewissheiten hinsichtlich des vom vorlegenden Gericht geschilderten Sachverhalts bestünden (Abschnitt 3).
87. Bei der Behandlung dieser Zulässigkeitsrügen werde ich berücksichtigen, dass für Fragen, die das Unionsrecht betreffen, eine Vermutung der Entscheidungserheblichkeit gilt. Nach ständiger Rechtsprechung kann der Gerichtshof die Beantwortung eines Vorabentscheidungsersuchens nur ablehnen, wenn die erbetene Auslegung einer Vorschrift des Unionsrechts offensichtlich in keinem Zusammenhang mit der Realität oder dem Gegenstand des Ausgangsrechtsstreits steht, wenn das Problem hypothetischer Natur ist oder wenn der Gerichtshof nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine zweckdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind(28).
1. Zur zeitlichen Anwendbarkeit der Richtlinie 95/46
88. Facebook Ireland macht geltend, die Vorlagefragen seien unzulässig, weil sie sich auf die Richtlinie 95/46 bezögen, die jedoch mit Wirkung vom 25. Mai 2018, dem Tag des Geltungsbeginns der DSGVO, durch diese Verordnung aufgehoben worden sei(29).
89. Auch ich bin der Ansicht, dass die Gültigkeit des Beschlusses 2010/87 anhand der Bestimmungen der DSGVO zu prüfen ist.
90. Nach Art. 94 Abs. 2 dieser Verordnung gelten „Verweise auf die aufgehobene Richtlinie … als Verweise auf die vorliegende Verordnung“. Folglich ist die im Beschluss 2010/87 enthaltene Bezugnahme auf Art. 26 Abs. 4 der Richtlinie 95/46 als Rechtsgrundlage als Bezugnahme auf Art. 46 Abs. 2 Buchst. c DSGVO zu verstehen, der im Wesentlichen denselben Inhalt hat wie die erstgenannte Bestimmung(30). Demgemäß sind die von der Kommission vor dem Inkrafttreten der DSGVO nach Art. 26 Abs. 4 der Richtlinie 95/46 erlassenen Durchführungsbeschlüsse im Licht dieser Verordnung auszulegen. Auch die Gültigkeit dieser Beschlüsse ist gegebenenfalls anhand dieser Verordnung zu beurteilen.
91. Diese Schlussfolgerung wird durch die Rechtsprechung, wonach die Rechtmäßigkeit eines Rechtsakts der Union anhand der Sach- und Rechtslage zum Zeitpunkt des Erlasses des Aktes zu beurteilen ist, nicht in Frage gestellt. Diese Rechtsprechung betrifft nämlich die Prüfung der Gültigkeit eines Rechtsakts der Union mit Blick auf die bei seinem Erlass gegebenen tatsächlichen Umstände(31) oder die für den Erlass geltenden Verfahrensregeln(32). Dagegen hat der Gerichtshof wiederholt die Gültigkeit von abgeleiteten Rechtsakten anhand höherrangiger Normen geprüft, die nach dem Erlass dieser Rechtsakte in Kraft getreten sind(33).
92. Die Nennung eines zeitlich nicht mehr anwendbaren Rechtsakts in den Vorlagefragen rechtfertigt zwar deren Umformulierung, sie kann aber nicht die Unzulässigkeit dieser Fragen nach sich ziehen(34). Wie der DPC und Herr Schrems geltend gemacht haben, lassen sich die Bezugnahmen auf die Richtlinie 95/46 in den Vorlagefragen im Übrigen damit erklären, dass diese Fragen dem Gerichtshof vor dem Geltungsbeginn der DSGVO vorgelegt worden sind.
93. Jedenfalls haben die Bestimmungen der DSGVO, die zur Prüfung der Vorlagefragen herangezogen werden – insbesondere ihre Art. 45, 46 und 58 –, mit gewissen Fortentwicklungen und Nuancierungen im Wesentlichen denselben Inhalt wie die Art. 25, 26 und 28 der Richtlinie 95/46. Was ihre für die Entscheidung über die Gültigkeit des Beschlusses 2010/87 relevanten Aspekte angeht, sehe ich keinen Grund, diesen Bestimmungen der DSGVO eine andere Bedeutung als den entsprechenden Bestimmungen der Richtlinie 95/46 beizumessen(35).
2. Zum vorläufigen Charakter der vom DPC geäußerten Zweifel
94. Die deutsche Regierung hält das Vorabentscheidungsersuchen für unzulässig, weil der in Rn. 65 des Urteils Schrems angesprochene Rechtsbehelf voraussetze, dass sich die Aufsichtsbehörde eine abschließende Meinung über die Begründetheit der vom Beschwerdeführer gegen die Gültigkeit des in Rede stehenden Beschlusses angeführten Rügen gebildet habe. Dies sei nicht der Fall, da der DPC die Zweifel an der – von Herrn Schrems im Übrigen nicht bestrittenen – Gültigkeit des Beschlusses 2010/87 in einem Entscheidungsentwurf geäußert habe, den er vorläufig, vorbehaltlich der Einreichung ergänzender Stellungnahmen von Facebook Ireland und von Herrn Schrems, erstellt habe.
95. Meines Erachtens wirkt sich der vorläufige Charakter der vom DPC geäußerten Zweifel nicht auf die Zulässigkeit des Vorabentscheidungsersuchens aus. Die Kriterien für die Zulässigkeit einer Vorlagefrage sind anhand des Gegenstands des Rechtsstreits zu beurteilen, wie er vom vorlegenden Gericht bestimmt worden ist(36). Unstreitig ist dieser Gegenstand aber die Gültigkeit des Beschlusses 2010/87. Der Vorlageentscheidung und dem dieser beigefügten Urteil zufolge sieht dieses Gericht die vom DPC – sei es vorläufig oder abschließend – geäußerten Zweifel als begründet an und hat dem Gerichtshof folglich die Frage nach der Gültigkeit dieses Beschlusses vorgelegt. Unter diesen Umständen ist die Auskunft des Gerichtshofs zweifellos erheblich für die Entscheidung des bei diesem Gericht anhängigen Rechtsstreits.
3. Zu den Ungewissheiten hinsichtlich der Bestimmung des Sachverhalts
96. Nach Ansicht der Regierung des Vereinigten Königreichs lässt die Darstellung des Sachverhalts durch das vorlegende Gericht mehrere Mängel erkennen, die zur Unzulässigkeit der Vorlagefragen führten. Dieses Gericht habe nicht geklärt, ob die Herrn Schrems betreffenden personenbezogenen Daten tatsächlich in die Vereinigten Staaten übermittelt und, wenn ja, ob sie von den amerikanischen Behörden gesammelt worden seien. Die Rechtsgrundlage für diese eventuelle Übermittlung sei ebenfalls nicht sicher bestimmt worden, da es in der Vorlageentscheidung nur heiße, dass die Daten der europäischen Nutzer des sozialen Netzwerks Facebook „zum großen Teil“ auf der Grundlage der im Beschluss 2010/87 aufgeführten Standardvertragsklauseln übermittelt worden seien. Jedenfalls sei nicht nachgewiesen worden, dass diese Klauseln genau in den für die streitige Übermittlung angeführten Vertrag zwischen Facebook Ireland und Facebook Inc. übernommen worden seien. Die deutsche Regierung stellt die Zulässigkeit des Vorabentscheidungsersuchens auch deshalb in Frage, weil das vorlegende Gericht nicht geprüft habe, ob Herr Schrems ohne jeden Zweifel seine Einwilligung in die fragliche Übermittlung gegeben habe; in diesem Fall wäre diese wirksam auf Art. 26 Abs. 1 der Richtlinie 95/46 (dessen wesentlicher Inhalt in Art. 49 Abs. 1 Buchst. a DSGVO übernommen worden ist) gestützt.
97. Dieses Vorbringen stellt die Erheblichkeit des Vorabentscheidungsersuchens für den Gegenstand des Ausgangsrechtsstreits keineswegs in Frage. Da dieser Rechtsstreit darauf zurückgeht, dass der DPC von dem in Rn. 65 des Urteils Schrems vorgesehenen Rechtsbehelf Gebrauch macht, ist sein Gegenstand gerade, das nationale Gericht zu einem Vorabentscheidungsersuchen über die Gültigkeit des Beschlusses 2010/87 zu veranlassen. Die deutsche Regierung und die Regierung des Vereinigten Königreichs stellen in Wirklichkeit in Abrede, dass die Vorlagefragen erforderlich seien, um dem DPC zu ermöglichen, konkret über die Beschwerde von Herrn Schrems zu entscheiden, nicht aber, um festzustellen, ob dieser Beschluss gültig ist.
98. Jedenfalls erscheinen mir selbst im Hinblick auf dieses dem Ausgangsrechtsstreit zugrunde liegenden Verfahren die Vorlagefragen nach der Gültigkeit des Beschlusses 2010/87 nicht unerheblich. Das vorlegende Gericht hat nämlich festgestellt, dass Facebook Ireland nach der Ungültigerklärung der „Safe Harbour“-Entscheidung weiter die Daten seiner Nutzer in die Vereinigten Staaten übermittelt hat und dass diese Übermittlung zumindest zu einem Teil auf den Beschluss 2010/87 gestützt ist. Zudem kann es zwar von Vorteil sein, dass das vorlegende Gericht den gesamten Sachverhalt feststellt, bevor es seine Befugnis nach Art. 267 AEUV ausübt, doch hat allein dieses Gericht zu beurteilen, in welchem Verfahrensstadium es eine Vorabentscheidung des Gerichtshofs benötigt(37).
99. Nach alledem erachte ich das Vorabentscheidungsersuchen für zulässig.
C. Zur Anwendbarkeit des Unionsrechts auf die Übermittlung personenbezogener Daten zu gewerblichen Zwecken in einen Drittstaat, der sie möglicherweise für Zwecke der nationalen Sicherheit verarbeitet (erste Frage)
100. Mit seiner ersten Frage möchte das vorlegende Gericht wissen, ob das Unionsrecht auf die zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch ein Unternehmen in einem Mitgliedstaat an ein in einem Drittland niedergelassenes Unternehmen anwendbar ist, wenn die Daten nach Einleitung ihrer Übermittlung von den Behörden dieses Landes für Zwecke verarbeitet werden können, zu denen der Schutz der nationalen Sicherheit gehört.
101. Die Bedeutung dieser Frage für die Entscheidung des Ausgangsrechtsstreits liegt darin, dass sämtlichen in der vorliegenden Rechtssache erhobenen Einwänden gegen die Gültigkeit des Beschlusses 2010/87 die Grundlage entzogen wäre, wenn eine solche Übermittlung außerhalb des Anwendungsbereichs des Unionsrechts läge.
102. Wie das vorlegende Gericht ausführt, war die Verarbeitung personenbezogener Daten für Zwecke der nationalen Sicherheit gemäß Art. 3 Abs. 2 der Richtlinie 95/46 von deren Anwendungsbereich ausgenommen. Nunmehr bestimmt Art. 2 Abs. 2 DSGVO, dass diese Verordnung keine Anwendung findet u. a. auf die Verarbeitung personenbezogener Daten im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, und durch die zuständigen Behörden zum Schutz vor Gefahren für die öffentliche Sicherheit. Diese Bestimmungen spiegeln den Kompetenzvorbehalt wider, den Art. 4 Abs. 2 EUV zugunsten der Mitgliedstaaten im Bereich des Schutzes der nationalen Sicherheit enthält.
103. Der DPC, Herr Schrems, Irland, die belgische, die tschechische, die deutsche, die niederländische, die österreichische, die polnische und die portugiesische Regierung sowie das Parlament und die Kommission machen geltend, Übermittlungen wie die, auf die sich die Beschwerde von Herrn Schrems beziehe, seien von diesen Bestimmungen nicht erfasst und fielen somit unter das Unionsrecht. Facebook Ireland ist gegenteiliger Ansicht. Ich schließe mich der Auffassung der Erstgenannten an.
104. Insoweit ist zu beachten, dass die Übermittlung personenbezogener Daten aus einem Mitgliedstaat in ein Drittland als solche eine „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO darstellt(38). Gegenstand der ersten Frage ist gerade, ob das Unionsrecht auf die in der Übermittlung selbst bestehende Verarbeitung Anwendung findet. Diese Frage betrifft nicht die Anwendbarkeit des Unionsrechts auf eine etwaige spätere Verarbeitung der in die Vereinigten Staaten übermittelten Daten durch die amerikanischen Behörden für Zwecke der nationalen Sicherheit, die vom räumlichen Anwendungsbereich der DSGVO ausgenommen sind(39).
105. Daher ist für die Frage, ob das Unionsrecht auf die in Rede stehende Datenübermittlung Anwendung findet, allein auf die Tätigkeit abzustellen, in deren Rahmen diese Übermittlung erfolgt, ohne dass es auf den Gegenstand einer etwaigen weiteren Verarbeitung der übermittelten Daten durch die Behörden des Bestimmungsdrittlands ankommt(40).
106. Aus der Vorlageentscheidung ergibt sich aber, dass die von der Beschwerde von Herrn Schrems erfasste Übermittlung Teil einer gewerblichen Tätigkeit ist. Zudem ist es nicht Ziel dieser Übermittlung, die spätere Verarbeitung dieser Daten durch die amerikanischen Behörden für Zwecke der nationalen Sicherheit zu ermöglichen.
107. Im Übrigen würde die von Facebook Ireland vertretene Auffassung den Bestimmungen der DSGVO betreffend die Übermittlung in Drittländer ihre praktische Wirksamkeit nehmen, da niemals ausgeschlossen werden kann, dass im Rahmen einer gewerblichen Tätigkeit übermittelte Daten nach der Übermittlung für Zwecke der nationalen Sicherheit verarbeitet werden.
108. Die von mir befürwortete Auslegung wird durch den Wortlaut von Art. 45 Abs. 2 Buchst. a DSGVO bestätigt. Nach dieser Bestimmung berücksichtigt die Kommission beim Erlass eines Angemessenheitsbeschlusses u. a. die Rechtsvorschriften des Bestimmungsdrittlands in Bezug auf die nationale Sicherheit. Daraus lässt sich ableiten. dass die Möglichkeit einer Verarbeitung der Daten durch die Behörden des Bestimmungsdrittlands für Zwecke der nationalen Sicherheit nicht dazu führt, dass das Unionsrecht auf die in der Übermittlung in dieses Drittland bestehende Verarbeitung nicht anwendbar ist.
109. Die Ausführungen und Schlussfolgerungen des Gerichtshofs im Urteil Schrems beruhen ebenfalls auf der Prämisse, dass das Unionsrecht auf Übermittlungen wie die von der Beschwerde von Herrn Schrems erfassten Anwendung findet. Insbesondere hat der Gerichtshof dort die Gültigkeit der „Safe Harbour“-Entscheidung, soweit sie die Übermittlung personenbezogener Daten in die Vereinigten Staaten betraf, wo sie für Zwecke des Schutzes der nationalen Sicherheit gesammelt und verarbeitet werden konnten, anhand von Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Charta geprüft (41).
110. Aufgrund dieser Erwägungen bin ich der Ansicht, dass das Unionsrecht auf eine Übermittlung personenbezogener Daten aus einem Mitgliedstaat in ein Drittland Anwendung findet, wenn diese Übermittlung im Rahmen einer gewerblichen Tätigkeit erfolgt, ohne dass es eine Rolle spielt, dass die übermittelten Daten von den Behörden dieses Drittlands zum Schutz der nationalen Sicherheit verarbeitet werden können.
D. Zu dem im Rahmen einer auf Standardvertragsklauseln gestützten Übermittlung geforderten Schutzniveau (erster Teil der sechsten Frage)
111. Mit dem ersten Teil der sechsten Frage möchte das vorlegende Gericht wissen, welches Schutzniveau für die Grundrechte der betroffenen Personen sichergestellt sein muss, damit personenbezogene Daten aufgrund der im Beschluss 2010/87 vorgesehenen Standardvertragsklauseln in ein Drittland übermittelt werden dürfen.
112. Das vorlegende Gericht weist darauf hin, dass der Gerichtshof im Urteil Schrems Art. 25 Abs. 6 der Richtlinie 95/46 (dessen Inhalt im Wesentlichen in Art. 45 Abs. 3 DSGVO übernommen worden ist), wonach die Kommission einen Angemessenheitsbeschluss nur erlassen kann, nachdem sie sich vergewissert hat, dass das Drittland ein angemessenes Schutzniveau gewährleistet, dahin ausgelegt hat, dass diese nachweisen muss, dass dieses Land ein Niveau des Schutzes der Freiheiten und Grundrechte gewährleistet, das dem in der Union aufgrund der Richtlinie 95/46 im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist(42).
113. In diesem Kontext wird der Gerichtshof mit dem ersten Teil der sechsten Frage gefragt, ob die Anwendung von „Standardvertragsklauseln“, die die Kommission gemäß Art. 26 Abs. 4 der Richtlinie 95/46 erlassen hat – und die den nunmehr in Art. 46 Abs. 2 Buchst. c DSGVO genannten „Standarddatenschutzklauseln“ entsprechen –, das Erreichen eines Schutzniveaus erlauben muss, das demselben Standard der „Gleichwertigkeit der Sache nach“ entspricht.
114. Hierzu sieht Art. 46 Abs. 1 DSGVO vor, dass der für die Verarbeitung Verantwortliche, falls kein Angemessenheitsbeschluss vorliegt, personenbezogene Daten nur in ein Drittland übermitteln darf, „sofern [er] geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen“ (Hervorhebung nur hier)(43). Nach Art. 46 Abs. 2 Buchst. c DSGVO können sich diese Garantien u. a. aus von der Kommission erarbeiteten Standardschutzklauseln ergeben.
115. Wie der DPC, Herr Schrems und Irland bin ich der Ansicht, dass die in Art. 46 Abs. 1 DSGVO angesprochenen vom Verantwortlichen gebotenen „geeigneten Garantien“ sicherstellen müssen, dass die Rechte der Personen, deren Daten übermittelt werden, wie im Rahmen einer auf einen Angemessenheitsbeschluss gestützten Übermittlung auf einem Niveau geschützt werden müssen, das dem sich aus der DSGVO im Licht der Charta ergebenden Schutzniveau der Sache nach gleichwertig ist.
116. Dies folgt aus dem Zweck dieser Bestimmung und der Regelung, zu der sie gehört.
117. Die Art. 45 und 46 DSGVO sollen den Fortbestand des von dieser Verordnung gewährleisteten hohen Niveaus des Schutzes personenbezogener Daten gewährleisten, wenn diese aus der Union übermittelt werden. In Art. 44 („Allgemeine Grundsätze der Datenübermittlung“) DSGVO am Beginn von deren Kapitel V betreffend Übermittlungen personenbezogener Daten an Drittländer heißt es, dass alle Bestimmungen dieses Kapitels so anzuwenden sind, dass sichergestellt wird, dass das durch die DSGVO gewährleistete Schutzniveau im Fall einer Übermittlung in einen Drittstaat nicht untergraben wird(44). Durch diesen Grundsatz soll verhindert werden, dass die aus dem Unionsrecht fließenden Schutzstandards umgangen werden, indem personenbezogene Daten aus der Union in Drittländer übermittelt werden, um dort verarbeitet zu werden(45). Im Hinblick auf dieses Ziel ist es unerheblich, ob die Übermittlung auf einen Angemessenheitsbeschluss oder auf von dem Verantwortlichen u. a. durch Vertragsklauseln gebotene Garantien gestützt wird. Die Erfordernisse des Schutzes der durch die Charta garantierten Grundrechte sind nicht unterschiedlich je nachdem, auf welcher Rechtsgrundlage eine bestimmte Übermittlung stattfindet(46).
118. Dagegen unterscheidet sich die Art und Weise, wie der Fortbestand des hohen Schutzniveaus gewahrt wird, nach Maßgabe der Rechtsgrundlage für die Übermittlung.
119. Auf der einen Seite soll mit einem Angemessenheitsbeschluss festgestellt werden, dass das betreffende Drittland selbst ein dem vom Unionsrecht geforderten Schutzniveau der Sache nach gleichwertiges Schutzniveau sicherstellt. Der Erlass eines Angemessenheitsbeschlusses setzt voraus, dass die Kommission für ein bestimmtes Drittland zuvor das vom Recht und von der Praxis dieses Landes gewährleistete Schutzniveau anhand der in Art. 45 Abs. 3 DSGVO aufgeführten Faktoren beurteilt. Personenbezogene Daten können dann in dieses Drittland übermittelt werden, ohne dass der Verantwortliche dafür eine besondere Genehmigung benötigt.
120. Auf der anderen Seite soll, wie im folgenden Abschnitt näher auszuführen sein wird, mit den vom Verantwortlichen gebotenen Garantien ein hohes Schutzniveau sichergestellt werden, falls die im Bestimmungsdrittland verfügbaren Garantien unzureichend sind. So erlaubt zwar Art. 46 Abs. 1 DSGVO die Übermittlung personenbezogener Daten in Drittländer, die kein angemessenes Schutzniveau sicherstellen, dies allerdings nur dann, wenn geeignete Garantien durch andere Mittel geboten werden. Die von der Kommission erlassenen Standardvertragsklauseln sehen in dieser Hinsicht einen allgemeinen Mechanismus vor, der für sämtliche Übermittlungen unabhängig vom Bestimmungsdrittland und von dem dort gebotenen Schutzniveau gilt.
E. Zur Gültigkeit des Beschlusses 2010/87 nach Maßgabe der Art. 7, 8 und 47 der Charta (siebte, achte und elfte Frage)
121. Mit seiner siebten Frage möchte das vorlegende Gericht wissen, ob der Beschluss 2010/87 deshalb ungültig ist, weil er die Behörden der Drittstaaten, in die die Daten gemäß den im Anhang dieses Beschlusses vorgesehenen Standardvertragsklauseln übermittelt werden, nicht bindet und insbesondere nicht daran hindert, den Datenimporteur zu verpflichten, sie ihnen zugänglich zu machen. Damit wird mit dieser Frage in Zweifel gezogen, dass ein angemessenes Schutzniveau für solche Daten überhaupt durch rein vertragliche Mechanismen sichergestellt werden kann. Die elfte Frage betrifft allgemein die Gültigkeit des Beschlusses 2010/87 nach Maßgabe der Art. 7, 8 und 47 der Charta.
122. Die achte Frage geht dahin, ob eine Aufsichtsbehörde von ihren Befugnissen nach Art. 58 Abs. 2 Buchst. f und j DSGVO Gebrauch machen und eine auf die Standardvertragsklauseln nach dem Beschluss 2010/87 gestützte Übermittlung in ein Drittland aussetzen muss, wenn sie der Ansicht ist, dass der Datenimporteur dort Verpflichtungen unterliegt, die ihn an der Einhaltung dieser Klauseln hindern und bewirken, dass ein geeigneter Schutz der übermittelten Daten nicht sichergestellt ist. Da diese Frage meines Erachtens von Bedeutung für die Gültigkeit des Beschlusses 2010/87(47) ist, behandle ich sie zusammen mit der siebten und der elften Frage.
123. Der Wortlaut von Art. 46 Abs. 1 DSGVO („Falls kein Beschluss nach Artikel 45 Absatz 3 vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland … nur übermitteln, sofern [er] geeignete Garantien vorgesehen hat …“; Hervorhebung nur hier) verdeutlicht die Logik der vertraglichen Mechanismen wie des im Beschluss 2010/87 vorgesehenen. Wie in den Erwägungsgründen 108 und 114 DSGVO hervorgehoben wird, sollen mit diesen Mechanismen Übermittlungen in Drittländer, für die die Kommission keinen Angemessenheitsbeschluss erlassen hat, ermöglicht werden, wobei etwaige Unzulänglichkeiten des in der Rechtsordnung dieses Drittlands gebotenen Schutzes durch Garantien ausgeglichen werden, zu deren Beachtung sich der Exporteur und der Importeur der Daten vertraglich verpflichten.
124. Da durch die vertraglichen Garantien gerade mögliche Lücken in dem von den Bestimmungsdrittländern – welche es auch sein mögen – gebotenen Schutz ausgeglichen werden sollen, kann die Gültigkeit eines Beschlusses, mit dem die Kommission feststellt, dass diese Lücken durch bestimmte Standardklauseln angemessen geschlossen werden, nicht von dem Schutzniveau abhängen, das in jedem einzelnen Drittland, in das die Daten übermittelt werden könnten, geboten wird. Die Gültigkeit eines solchen Beschlusses hängt allein von der Solidität der Garantien ab, die diese Klauseln zum Ausgleich etwaiger Unzulänglichkeiten des Schutzes im Bestimmungsdrittland vorsehen. Die Wirksamkeit dieser Garantien ist auch unter Berücksichtigung der Sicherungen zu beurteilen, die die Befugnisse der Aufsichtsbehörden gemäß Art. 58 Abs. 2 DSGVO darstellen.
125. Wie der DPC, Herr Schrems, die BSA, Irland, die französische, die österreichische, die polnische und die portugiesische Regierung sowie die Kommission ausgeführt haben, können die in den Standardvertragsklauseln enthaltenen Garantien abgeschwächt oder sogar beseitigt werden, wenn das Recht des Bestimmungsdrittlands dem Datenimporteur Verpflichtungen auferlegt, die dem zuwiderlaufen, was diese Klauseln vorschreiben. Der rechtliche Kontext im Bestimmungsdrittland kann also je nach den konkreten Umständen der Übermittlung(48) die Erfüllung der in diesen Klauseln vorgesehenen Verpflichtungen unmöglich machen.
126. Unter diesen Umständen beruht, wie Herr Schrems und die Kommission hervorgehoben haben, der in Art. 46 Abs. 2 Buchst. c DSGVO vorgesehene vertragliche Mechanismus darauf, dass das Verantwortungsbewusstsein des Datenexporteurs und in zweiter Linie der Aufsichtsbehörden geweckt wird. In jedem Einzelfall, für jede einzelne Übermittlung, hat der Verantwortliche oder andernfalls die Aufsichtsbehörde zu prüfen, ob das Recht des Bestimmungsdrittlands der Erfüllung der Standardklauseln und damit einem geeigneten Schutz der übermittelten Daten entgegensteht, so dass die Übermittlung untersagt oder ausgesetzt werden muss.
127. Daher führt meiner Ansicht nach der Umstand, dass der Beschluss 2010/87 und die in ihm aufgeführten Standardvertragsklauseln die Behörden des Bestimmungsdrittlands nicht bindet, als solcher nicht zur Ungültigkeit dieses Beschlusses. Die Vereinbarkeit des Beschlusses 2010/87 mit den Art. 7, 8 und 47 der Charta hängt meines Erachtens davon ab, ob hinreichend solide Mechanismen bestehen, die sicherstellen, dass die auf die Standardvertragsklauseln gestützten Übermittlungen im Fall von Verstößen gegen diese Klauseln oder der Unmöglichkeit ihrer Beachtung ausgesetzt oder untersagt werden.
128. Insoweit sieht Art. 46 Abs. 1 DSGVO vor, dass eine auf geeignete Garantien gestützte Übermittlung nur stattfinden kann, „sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen“. Es wird zu prüfen sein, ob die Garantien, die in den Klauseln im Anhang des Beschlusses 2010/87 vorgesehen sind und durch die Befugnisse der Aufsichtsbehörden ergänzt werden, die Beachtung dieser Voraussetzung sicherstellen können. Das ist meines Erachtens nur dann der Fall, wenn – für die für die Verarbeitung Verantwortlichen (Abschnitt 1) und bei deren Untätigkeit für die Aufsichtsbehörden (Abschnitt 2) – eine Verpflichtung besteht, eine Übermittlung auszusetzen oder zu untersagen, wenn diese Klauseln wegen einer Kollision zwischen den aus den Standardklauseln folgenden und den vom Recht des Bestimmungsdrittlands auferlegten Verpflichtungen nicht beachtet werden können.
1. Zu den Pflichten der für die Verarbeitung Verantwortlichen
129. Als Erstes verlangen die Standardvertragsklauseln im Anhang des Beschlusses 2010/87, dass diese Klauseln im Fall einer Kollision zwischen den in ihnen vorgesehenen Verpflichtungen und den aus dem Recht des Bestimmungsdrittlands folgenden Vorgaben nicht für eine Übermittlung in ein Drittland in Anspruch genommen werden oder dass, wenn die Übermittlung bereits auf der Grundlage dieser Klauseln eingeleitet worden ist, der Datenexporteur von dieser Kollision informiert wird und die Übermittlung aussetzen kann.
130. Demgemäß verpflichtet sich der Datenimporteur nach Klausel 5 Buchst. a, die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den Standardvertragsklauseln zu verarbeiten. Für den Fall, dass der Importeur diese Klauseln nicht einhalten kann, erklärt er sich bereit, den Datenexporteur unverzüglich davon in Kenntnis zu setzen, der unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten(49).
131. Nach Fn. 1 zu Klausel 5 widerspricht es nicht den Standardklauseln, wenn der Datenimporteur den zwingenden Erfordernissen des für ihn geltenden nationalen Rechts nachkommt, sofern diese nicht über das hinausgehen, was in einer demokratischen Gesellschaft für den Schutz eines der in Art. 13 Abs. 1 der Richtlinie 95/46 (dessen Inhalt im Wesentlichen in Art. 23 Abs. 1 DSGVO übernommen worden ist) aufgelisteten Interessen erforderlich ist, zu denen die öffentliche Sicherheit und die Sicherheit des Staates gehören. Umgekehrt wird es als ein Verstoß gegen diese Klauseln behandelt, wenn diese nicht beachtet werden, um einer aus dem Recht des Bestimmungsdrittlands folgenden entgegenstehenden Verpflichtung nachzukommen, die über das hinausgeht, was zum Schutz eines von der Union anerkannten legitimen Interesses verhältnismäßig ist.
132. Meines Erachtens kann, wie Herr Schrems und die Kommission geltend gemacht haben, Klausel 5 Buchst. a nicht dahin ausgelegt werden, dass die Aussetzung der Übermittlung oder der Rücktritt vom Vertrag im Fall des Verstoßes gegen die Standardvertragsklauseln nur eine Option ist. In dieser Klausel ist zwar nur von einem dahin gehenden Recht des Datenexporteurs die Rede, doch ist dieser Wortlaut in dem vertraglichen Rahmen zu verstehen, in den er sich einfügt. Das dem Datenexporteur in seinen zweiseitigen Beziehungen zum Datenimporteur das Recht zusteht, die Übermittlung auszusetzen oder vom Vertrag zurückzutreten, wenn Letzterer nicht in der Lage ist, die Standardklauseln einzuhalten, tut der Verpflichtung des Exporteurs, angesichts der aus der DSGVO folgenden Erfordernisse des Schutzes der Rechte der betroffenen Personen so vorzugehen, keinen Abbruch. Jede andere Auslegung zöge die Ungültigkeit des Beschlusses 2010/87 nach sich, da sich die Übermittlung mit den in ihm vorgesehenen Vertragsklauseln nicht mit den „geeigneten Garantien“ versehen ließe, wie es in Art. 46 Abs. 1 DSGVO im Licht der Bestimmungen der Charta verlangt wird(50).
133. Überdies garantiert der Datenimporteur nach Klausel 5 Buchst. b, dass er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen. Eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die die Klauseln bieten sollen, wird er dem Datenexporteur unverzüglich mitteilen; unter diesen Umständen ist Letzterer berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten. Nach Klausel 4 Buchst. g muss der Datenexporteur die vom Datenimporteur erhaltene Mitteilung an die Aufsichtsbehörde weiterleiten, wenn er beschließt, die Übermittlung fortzusetzen.
134. Hier halte ich einige Klarstellungen zum Inhalt der Prüfung für erforderlich, die die Vertragsparteien vornehmen müssen, um unter Berücksichtigung der Fußnote zu Klausel 5 festzustellen, ob die Verpflichtungen, die das Recht des Drittstaats dem Datenimporteur auferlegt, zu einer Verletzung der Standardklauseln und damit zu einem Wegfall geeigneter Garantien für die Übermittlung führen. Diese Problematik wird im Wesentlichen im zweiten Teil der sechsten Vorlagefrage angesprochen.
135. Eine solche Prüfung muss meines Erachtens die Berücksichtigung sämtlicher Umstände der einzelnen Übermittlung umfassen, zu denen die Art der Daten und ihr eventuell sensibler Charakter, die vom Exporteur und/oder vom Importeur zur Gewährleistung ihrer Sicherheit eingesetzten Mechanismen(51), die Art und der Zweck der Verarbeitung der Daten durch die Behörden des Drittlands, die Modalitäten dieser Verarbeitung sowie die von diesem Drittland sichergestellten Grenzen und Garantien gehören. Die Merkmale der Verarbeitungstätigkeiten der Behörden und die in der Rechtsordnung dieses Landes geltenden Garantien können sich meines Erachtens mit den in Art. 45 Abs. 2 DSGVO angeführten decken.
136. Als Zweites werden mit den im Anhang des Beschlusses 2010/87 aufgeführten Standardvertragsklauseln zugunsten der betroffenen Personen einklagbare Rechte und Rechtsbehelfe gegenüber dem Datenexporteur und, hilfsweise, dem Importeur eingeführt.
137. So steht der betroffenen Person nach Klausel 3 („Drittbegünstigtenklausel“) Abs. 1 im Fall einer Verletzung u. a. von Klausel 5 Buchst. a oder b ein Klagerecht gegen den Exporteur zu. Wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, kann sie diese Klausel nach Klausel 3 Abs. 2 gegenüber dem Datenimporteur geltend machen.
138. Nach Klausel 6 Abs. 1 ist eine betroffene Person, die durch eine Verletzung der in Klausel 3 genannten Pflichten Schaden erlitten hat, berechtigt, vom Datenexporteur Ersatz zu erlangen. Für den Fall, dass eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigte und/oder Schadensersatzansprüche aufgrund der Vertragsklauseln geltend macht, erklärt sich der Datenimporteur nach Klausel 7 Abs. 1 bereit, die Entscheidung der betroffenen Person zu akzeptieren, die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder gegebenenfalls durch die Aufsichtsbehörde beizulegen oder die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu befassen.
139. Zusätzlich zu den Rechtsbehelfen auf der Grundlage der Standardvertragsklauseln im Anhang des Beschlusses 2010/87 können die betroffenen Personen, wenn sie diese Klauseln für verletzt halten, bei den Aufsichtsbehörden den Erlass von Abhilfemaßnahmen gemäß Art. 58 Abs. 2 DSGVO beantragen, auf den Art. 4 des Beschlusses 2010/87 verweist(52).
2. Zu den Verpflichtungen der Aufsichtsbehörden
140. Aus folgenden Gründen bin ich wie Herr Schrems, Irland, die belgische, die deutsche, die niederländische, die österreichische und die portugiesische Regierung sowie der EDPB der Ansicht, dass Art. 58 Abs. 2 DSGVO die Aufsichtsbehörden, wenn sie nach sorgfältiger Prüfung meinen, dass in ein Drittland übermittelte Daten wegen Nichtbeachtung der vereinbarten Vertragsklauseln nicht angemessen geschützt sind, verpflichtet, die geeigneten Maßnahmen zu treffen, um diesem rechtswidrigen Zustand abzuhelfen, indem sie erforderlichenfalls die Aussetzung der Übermittlung anordnen.
141. Als Erstes weise ich darauf hin, dass entgegen dem Vorbringen des DPC keine Bestimmung des Beschlusses 2010/87 die Ausübung der Befugnisse, „eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen“ und „die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen“, über die die Aufsichtsbehörden nach Art. 58 Abs. 2 Buchst. f und j DSGVO verfügen, auf Ausnahmefälle beschränkt.
142. Nach der ursprünglichen Fassung von Art. 4 Abs. 1 des Beschlusses 2010/87 war die Ausübung der Befugnisse der Aufsichtsbehörden zur Aussetzung oder Untersagung des grenzüberschreitenden Datenverkehrs zwar auf bestimmte Fälle beschränkt, in denen feststand, dass sich eine Übermittlung auf vertraglicher Grundlage wahrscheinlich sehr nachteilig auf die Garantien zum Schutz der betroffenen Person auswirken würde. In seiner 2016 von der Kommission auf das Urteil Schrems hin geänderten Fassung(53) beschränkt sich Art. 4 des Beschlusses 2010/87 auf eine Bezugnahme auf diese Befugnisse, ohne sie einzuschränken. Ohnehin können durch einen Durchführungsbeschluss der Kommission wie den Beschluss 2010/87 die den Aufsichtsbehörden in der DSGVO selbst eingeräumten Befugnisse nicht rechtswirksam eingeschränkt werden(54).
143. Dem steht auch der elfte Erwägungsgrund des Beschlusses 2010/87 nicht entgegen, wonach die Aufsichtsbehörden ihre Befugnisse zur Aussetzung und Untersagung der Übermittlung nur in „Ausnahmefällen“ ausüben können. Dieser bereits in der ursprünglichen Fassung dieses Beschlusses enthaltene Erwägungsgrund bezog sich auf dessen früheren Art. 4 Abs. 1, der die Befugnisse der Aufsichtsbehörden einschränkte. Bei der Änderung des Beschlusses 2010/87 durch den Beschluss 2016/2297 hat es die Kommission versäumt, diesen Erwägungsgrund zu streichen oder zu ändern, um seinen Inhalt dem neuen Art. 4 anzupassen. Im fünften Erwägungsgrund des Beschlusses 2016/2297 wird aber die Befugnis der Aufsichtsbehörden zur Aussetzung und Untersagung einer Übermittlung bekräftigt, die sie als dem Unionsrecht zuwiderlaufend ansehen, insbesondere wegen Nichtbeachtung der Standardvertragsklauseln durch den Datenimporteur. Der elfte Erwägungsgrund des Beschlusses 2010/87 widerspricht sowohl dem Wortlaut als auch dem Zweck einer seiner rechtlich bindenden Bestimmungen und ist daher als obsolet einzustufen(55).
144. Als Zweites ist ebenfalls entgegen dem Vorbringen des DPC die Ausübung der Aussetzung- und Untersagungsbefugnisse nach Art. 58 Abs. 2 Buchst. f und j DSGVO auch nicht lediglich in das Ermessen der Aufsichtsbehörden gestellt. Dies ergibt sich meines Erachtens aus einer Auslegung von Art. 58 Abs. 2 DSGVO im Licht anderer Bestimmungen dieser Verordnung und der Charta sowie aus der Systematik und den Zielen des Beschlusses 2010/87.
145. Im Einzelnen ist Art. 58 Abs. 2 DSGVO im Licht von Art. 8 Abs. 3 der Charta und Art. 16 Abs. 2 AEUV zu lesen. Nach diesen Bestimmungen wird die Einhaltung der Erfordernisse im Zusammenhang mit dem Grundrecht auf Schutz personenbezogener Daten von unabhängigen Behörden überwacht. Dieser auch in Art. 57 Abs. 1 Buchst. a DSGVO erwähnte Auftrag zur Überwachung der Einhaltung der Erfordernisse im Zusammenhang mit dem Schutz personenbezogener Daten schließt eine Verpflichtung der Aufsichtsbehörden ein, so zu handeln, dass die ordnungsgemäße Anwendung dieser Verordnung sichergestellt ist.
146. Daher muss eine Aufsichtsbehörde mit aller gebotenen Sorgfalt die Beschwerde einer Person prüfen, die geltend macht, ihre Daten würden unter Nichtbeachtung der für die Übermittlung geltenden Standardvertragsklauseln in ein Drittland übermittelt(56). Art. 58 Abs. 1 DSGVO räumt den Aufsichtsbehörden zu diesem Zweck weitgehende Untersuchungsbefugnisse ein(57).
147. Die zuständige Aufsichtsbehörde muss auch angemessen auf Verletzungen der Rechte der betroffenen Person reagieren, die sie gegebenenfalls zum Abschluss ihrer Untersuchung feststellt. Hierzu verfügt jede Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO über eine große Bandbreite von Mitteln – die verschiedenen Befugnisse zum Erlass der in dieser aufgeführten Abhilfemaßnahmen – zur Erfüllung der ihr zugewiesenen Aufgabe(58).
148. Die Wahl des wirksamsten Mittels steht zwar im Ermessen der zuständigen Aufsichtsbehörde unter Berücksichtigung aller Umstände der jeweiligen Übermittlung, doch muss diese Behörde den ihr übertragenen Überwachungsauftrag umfassend erfüllen. Gegebenenfalls muss sie die Übermittlung aussetzen, wenn sie nach dieser Untersuchung zu dem Schluss kommt, dass die Standardvertragsklauseln nicht eingehalten werden und ein geeigneter Schutz der übermittelten Daten nicht durch andere Mittel sichergestellt werden kann, wenn der Datenexporteur die Übermittlung nicht selbst beendet hat.
149. Diese Auslegung wird durch Art. 58 Abs. 4 DSGVO bestätigt, wonach die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel übertragenen Befugnisse vorbehaltlich geeigneter Garantien einschließlich wirksamer gerichtlicher Rechtsbehelfe gemäß dem Unionsrecht und dem Recht des Mitgliedstaats im Einklang mit Art. 47 der Charta erfolgt. In Art. 78 Abs. 1 und 2 DSGVO wird zudem jeder Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf zuerkannt, wenn eine Aufsichtsbehörde einen sie betreffenden rechtsverbindlichen Beschluss erlassen oder sich nicht mit ihrer Beschwerde befasst hat(59).
150. Diese Bestimmungen besagen, wie Herr Schrems, die BSA, Irland, die polnische Regierung und die Regierung des Vereinigten Königreichs sowie die Kommission vortragen, dass eine Entscheidung, mit der es eine Aufsichtsbehörde ablehnt, auf Antrag einer Person, die geltend macht, sie betreffende Daten könnten in einem Drittland unter Verletzung ihrer Grundrechte verarbeitet werden, eine Übermittlung dorthin zu untersagen oder auszusetzen, Gegenstand eines gerichtlichen Rechtsbehelfs sein kann. Die Anerkennung eines Rechts auf einen solchen Rechtsbehelf setzt aber das Bestehen einer gebundenen Zuständigkeit und nicht eines bloßen Ermessens auf Seiten der Aufsichtsbehörden voraus. Zudem haben Herr Schrems und die Kommission zu Recht darauf hingewiesen, dass die Ausübung einer wirksamen gerichtlichen Kontrolle verlangt, dass die den angefochtenen Rechtsakt erlassende Behörde diesen angemessen begründet(60). Diese Begründungspflicht erstreckt sich meines Erachtens auf die Entscheidung der Aufsichtsbehörden, von ihren Befugnissen nach Art. 58 Abs. 2 DSGVO Gebrauch zu machen oder nicht.
151. Es ist aber noch auf das Vorbringen des DPC einzugehen, dass die Gültigkeit des Beschlusses 2010/87 ungeachtet dessen fraglich sei, dass die Aufsichtsbehörden eine Übermittlung aussetzen oder untersagen müssten, wenn der Schutz der Rechte der betroffenen Person dies erfordere.
152. Erstens meint der DPC, eine Verpflichtung der Aufsichtsbehörden zur Aussetzung oder Untersagung der Übermittlung helfe den systemischen Problemen aufgrund des Fehlens geeigneter Garantien in einem Drittland wie den Vereinigten Staaten nicht ab. Denn diese Behörden könnten ihre Befugnisse nur von Fall zu Fall für konkrete Übermittlungen ausüben, während die das amerikanische Recht kennzeichnenden Mängel allgemeiner und struktureller Natur seien. Daraus ergebe sich die Gefahr, dass die einzelnen Aufsichtsbehörden voneinander abweichende Entscheidungen zu vergleichbaren Übermittlung erließen.
153. In dieser Hinsicht sind die praktischen Schwierigkeiten nicht zu übersehen, die sich aus der Entscheidung des Gesetzgebers ergeben, die Verantwortung für die Wahrung der Grundrechte der im Rahmen konkreter Datenübermittlungen betroffenen Personen den Aufsichtsbehörden aufzuerlegen. Diese Schwierigkeiten führen jedoch aus meiner Sicht nicht zur Ungültigkeit des Beschlusses 2010/87.
154. Das Unionsrecht schreibt nämlich meines Erachtens keine allgemeine und präventive Lösung für die Gesamtheit der Übermittlungen in ein bestimmtes Drittland vor, die mit denselben Gefahren einer Verletzung von Grundrechten verbunden sein könnten.
155. Zudem ist die Gefahr einer Fragmentierung der von den verschiedenen Aufsichtsbehörden verfolgten Ansätze untrennbar mit der vom Gesetzgeber gewollten Architektur der dezentralen Überwachung verbunden(61). Im Übrigen werden in Kapitel VII („Zusammenarbeit und Kohärenz“) der DSGVO Mechanismen zur Vermeidung dieser Gefahr bereitgestellt. Art. 60 dieser Verordnung sieht im Fall grenzüberschreitender Verarbeitung von Daten ein Verfahren der Zusammenarbeit zwischen der als „federführende Aufsichtsbehörde“ bezeichneten Aufsichtsbehörde der Niederlassung des Verantwortlichen(62) und den anderen Aufsichtsbehörden vor. Im Fall unterschiedlicher Standpunkte entscheidet der EDPB(63). Dieser gibt auf Antrag einer Aufsichtsbehörde auch Stellungnahmen zu Angelegenheiten ab, die für mehrere Mitgliedstaaten von Interesse sind(64).
156. Zweitens hält der DPC den Beschluss 2010/87 im Blick auf Art. 47 der Charta für ungültig, weil die Aufsichtsbehörden die Rechte der betroffenen Personen nur für die Zukunft schützen könnten, ohne eine Lösung für diejenigen anzubieten, deren Daten bereits übermittelt worden seien. Insbesondere sehe Art. 58 Abs. 2 DSGVO kein Recht auf Auskunft über die von den Behörden des Drittlands gesammelten Daten sowie auf deren Berichtigung und Löschung und keine Möglichkeit des Ersatzes der den betroffenen Personen entstandenen Schäden vor.
157. Was das geltend gemachte Fehlen eines Rechts auf Auskunft über die gesammelten Daten sowie auf deren Berichtigung und Löschung angeht, ist festzustellen, dass die innerhalb der Union vorgesehenen Rechtsbehelfe gegen den für die Verarbeitung Verantwortlichen es nicht ermöglichen, von den Behörden eines Bestimmungsdrittlands, in dem es keinen wirksamen Rechtsbehelf gibt, Auskunft über diese Daten oder deren Berichtigung oder Löschung zu erlangen.
158. Meines Erachtens rechtfertigt es dieser Einwand jedoch nicht, den Beschluss 2010/87 mit Art. 47 der Charta für unvereinbar zu erklären. Die Gültigkeit dieses Beschlusses hängt nicht vom Schutzniveau ab, das in jedem Drittland besteht, in das auf der Grundlage der in ihm aufgeführten Standardvertragsklauseln Daten übermittelt werden. Hindert das Recht des Bestimmungsdrittstaats den Datenimporteur an der Einhaltung dieser Klauseln, indem es ihm vorschreibt, den Behörden Zugang zu den Daten ohne entsprechende Rechtsschutzmöglichkeiten zu gewähren, so obliegt es, wenn der Datenexporteur die Übermittlung nicht gemäß Klausel 5 Buchst. a oder b im Anhang des Beschlusses 2010/87 ausgesetzt hat, den Aufsichtsbehörden, Abhilfemaßnahmen zu erlassen.
159. Zudem steht, wie Herr Schrems ausgeführt hat, Personen, deren Rechte verletzt worden sind, nunmehr nach Art. 82 DSGVO gegen den Verantwortlichen oder gegen den Auftragsverarbeiter ein Recht auf Ersatz des materiellen oder immateriellen Schadens zu, der ihnen wegen eines Verstoßes gegen diese Verordnung entstanden ist(65).
160. Wie aus den vorstehenden Erwägungen insgesamt hervorgeht, hat meine Analyse nichts ergeben, was die Gültigkeit des Beschlusses 2010/87 im Blick auf die Art. 7, 8 und 47 der Charta berühren könnte.
F. Zum Fehlen der Notwendigkeit, die übrigen Vorlagefragen zu beantworten und die Gültigkeit des „Datenschutzschild“-Beschlusses zu prüfen
161. Im vorliegenden Abschnitt werde ich die – hauptsächlich durch die Beschränkung des Gegenstands des Ausgangsrechtsstreits auf die Gültigkeit des Beschlusses 2010/87 bedingten – Gründe darlegen, aus denen ich der Ansicht bin, dass kein Anlass besteht, die Vorlagefragen 2 bis 5 sowie 9 und 10 zu beantworten und über die Gültigkeit des „Datenschutzschild“-Beschlusses zu entscheiden.
162. Die zweite Vorlagefrage geht dahin, welche Schutzstandards ein Drittland beachten muss, damit Daten rechtmäßig dorthin auf der Grundlage von Standardvertragsklauseln übermittelt werden können, wenn diese Daten nach ihrer Übermittlung von den Behörden dieses Drittlands verarbeitet werden können. Die dritte Vorlagefrage betrifft die Bestimmung der Merkmale der im Bestimmungsdrittstaat geltenden Schutzregelung, anhand deren zu beurteilen ist, ob Letztere diese Standards erfüllt.
163. Mit den Fragen 4, 5 und 10 möchte das vorlegende Gericht im Wesentlichen wissen, ob in Anbetracht der von ihm hinsichtlich des Rechts der Vereinigten Staaten getroffenen Feststellungen dort geeignete Garantien gegen die Eingriffe der amerikanischen Nachrichtendienste in die Ausübung der Grundrechte auf Privatleben, Schutz personenbezogener Daten und wirksamen gerichtlichen Rechtsschutz vorgesehen sind.
164. Die neunte Vorlagefrage geht dahin, welche Bedeutung dem Umstand, dass die Kommission in der „Safe Harbour“-Entscheidung festgestellt hat, dass die Vereinigten Staaten ein angemessenes Schutzniveau für die Grundrechte der von solchen Eingriffen betroffenen Personen bieten, im Rahmen der von der Aufsichtsbehörde durchgeführten Prüfung zukommt, ob eine auf die Standardvertragsklauseln nach dem Beschluss 2010/87 gestützte Übermittlung mit geeigneten Garantien einhergeht.
165. Die Frage der Gültigkeit des „Datenschutzschild“-Beschlusses ist vom vorlegenden Gericht nicht ausdrücklich gestellt worden, auch wenn, wie im Folgenden darzulegen sein wird(66), mit den Vorlagefragen 4, 5 und 10 die Begründetheit dieser von der Kommission in dem genannten Beschluss getroffenen Angemessenheitsfeststellung indirekt in Zweifel gezogen wird.
166. Meines Erachtens könnte vor dem Hintergrund dessen, was sich aus der vorstehenden Analyse ergibt, eine Beantwortung dieser Fragen durch den Gerichtshof dessen Schlussfolgerung bezüglich der Gültigkeit in abstracto des Beschlusses 2010/87 nicht berühren und daher auch die Entscheidung des Ausgangsrechtsstreits (Abschnitt 1) nicht beeinflussen. Auch wenn die Antworten des Gerichtshofs auf diese Fragen sich in einem späteren Stadium als nützlich für den DPC erweisen könnten, um in dem diesem Rechtsstreit zugrunde liegenden Verfahren festzustellen, ob die in Rede stehenden Übermittlungen in concreto wegen Fehlens geeigneter Garantien ausgesetzt werden müssen, wäre es aus meiner Sicht verfrüht, über sie im Rahmen der vorliegenden Rechtssache zu entscheiden (Abschnitt 2).
1. Keine Notwendigkeit der Antworten des Gerichtshofs in Anbetracht des Gegenstands des Ausgangsrechtsstreits
167. Wie dargelegt, geht der Ausgangsrechtsstreit darauf zurück, dass der DPC von dem Rechtsbehelf Gebrauch gemacht hat, der in Rn. 65 des Urteils Schrems beschrieben ist, wonach jeder Mitgliedstaat einer Aufsichtsbehörde ermöglichen muss, ein innerstaatliches Gericht darum zu ersuchen, dem Gerichtshof eine Frage nach der Gültigkeit eines Angemessenheitsbeschlusses – oder entsprechend eines Beschlusses zur Einführung von Standardvertragsklauseln – vorzulegen, wenn sie dies für die Behandlung einer bei ihr erhobenen Beschwerde für erforderlich hält.
168. Hierzu hat der High Court (Hoher Gerichtshof) ausgeführt, dass er nach seiner Anrufung durch den DPC nur zwei Optionen gehabt habe, nämlich entweder das vom DPC beantragte Ersuchen um Vorabentscheidung über die Gültigkeit des Beschlusses 2010/87 vorzulegen, wenn er dessen Zweifel in dieser Hinsicht geteilt habe, oder andernfalls diesem Antrag nicht stattzugeben. Im letzteren Fall hätte er den Antrag abweisen müssen, da die Beschwerde keinen anderen Gegenstand habe(67).
169. In demselben Sinne hat auch der mit einem Rechtsmittel von Facebook Ireland gegen diese Vorlageentscheidung befasste Supreme Court (Oberster Gerichtshof) den Ausgangsrechtsstreit als ein deklaratorisches Verfahren beschrieben, in dem der DPC beim vorlegenden Gericht beantragt, dem Gerichtshof eine Frage nach der Gültigkeit des Beschlusses 2010/87 zur Vorabentscheidung vorzulegen. Nach Ansicht des höchsten irischen Gerichts betrifft die einzige vor dem vorlegenden Gericht und dem Gerichtshof aufgeworfene materielle Frage demnach die Gültigkeit dieses Beschlusses(68).
170. Angesichts des so umschriebenen Gegenstands des Ausgangsrechtsstreits hat das vorlegende Gericht dem Gerichtshof seine ersten zehn Fragen vorgelegt, deren Prüfung seines Erachtens zu der Gesamtbeurteilung gehört, die der Gerichtshof benötige, um in Beantwortung der elften Frage über die Gültigkeit des Beschlusses 2010/87 im Blick auf die Art. 7, 8 und 47 der Charta zu entscheiden. Diese Frage folge logisch aus den vorangehenden Fragen.
171. Aus dieser Sicht scheint mir den Fragen 2 bis 5 sowie 9 und 10 die Prämisse zugrunde zu liegen, dass die Gültigkeit des Beschlusses 2010/87 vom Niveau des Schutzes der Grundrechte abhängt, das in jedem der Drittstaaten vorgesehen ist, in die Daten auf der Grundlage der in dem Beschluss aufgeführten Standardvertragsklauseln übermittelt werden können. Wie aber aus meiner Behandlung der siebten Frage(69) hervorgeht, halte ich diese Prämisse für falsch. Die Prüfung des Rechts des Bestimmungsdrittlands kommt erst dann ins Spiel, wenn die Kommission einen Angemessenheitsbeschluss erlässt oder wenn der für die Verarbeitung Verantwortliche – oder andernfalls die zuständige Aufsichtsbehörde – prüft, ob im Rahmen einer auf geeignete Garantien im Sinne von Art. 46 Abs. 1 DSGVO gestützten Übermittlung die dem Datenimporteur vom Recht dieses Drittlands auferlegten Verpflichtungen die Wirksamkeit des durch diese Garantien sichergestellten Schutzes nicht beeinträchtigen.
172. Folglich können die Antworten des Gerichtshofs auf die vorgenannten Fragen dessen Beantwortung der elften Frage nicht beeinflussen(70). Mithin besteht vom Gegenstand des Ausgangsrechtsstreits her gesehen kein Anlass zur Beantwortung dieser Fragen.
173. Ich schlage dem Gerichtshof vor, die vorliegende Rechtssache unter dem Blickwinkel des Gegenstands dieses Rechtsstreits zu behandeln. Meines Erachtens sollte der Gerichtshof nicht über das, was für die Entscheidung dieses Rechtsstreits erforderlich ist, hinausgehen, indem er sich mit den Vorlagefragen aus der Sicht des diesem zugrunde liegenden beim DPC anhängigen Verfahrens befasst. Wie im Folgenden dargelegt wird, beruht diese Einladung zur Zurückhaltung zum einen auf dem Wunsch, den normalen Ablauf des Verfahrens nicht kurzzuschließen, das fortgesetzt werden muss, nachdem der Gerichtshof über die Gültigkeit des Beschlusses 2010/87 entschieden hat. Zum anderen hielte ich es in Anbetracht des Sachverhalts – auch unter Berücksichtigung dessen, worum es in diesem Verfahren geht – für etwas übereilt, wenn der Gerichtshof die mit den Fragen 2 bis 5 sowie 9 und 10 aufgeworfenen Probleme prüfen würde.
2. Die angesichts des Gegenstands des beim DPC anhängigen Verfahrens gegen eine Prüfung durch den Gerichtshof sprechenden Gründe
174. Mit seiner Beschwerde beim DPC fordert Herr Schrems diese Aufsichtsbehörde auf, ihre Befugnisse nach Art. 58 Abs. 2 Buchst. f DSGVO auszuüben und Facebook Ireland aufzugeben, die auf der Grundlage von Standardvertragsklauseln vorgenommene Übermittlung der ihn betreffenden personenbezogenen Daten in die Vereinigten Staaten auszusetzen. Er stützt diesen Antrag im Wesentlichen darauf, dass diese vertraglichen Garantien ungeeignet seien angesichts der Eingriffe in seine Grundrechte, die sich aus den Tätigkeiten der amerikanischen Nachrichtendienste ergäben.
175. Das Vorbringen von Herrn Schrems stellt die von der Kommission im „Datenschutzschild“-Beschluss getroffene Feststellung in Frage, dass die Vereinigten Staaten in Anbetracht der Beschränkungen, die für den Zugriff auf diese Daten für und ihre Verwendung durch die amerikanischen Nachrichtendienste bestünden, ein angemessenes Schutzniveau für die gemäß diesem Beschluss übermittelten Daten sicherstellten(71). Auch mit den vom DPC vorläufig(72) wie auch den vom vorlegenden Gericht im Rahmen seiner Fragen 4, 5 und 10 zum Ausdruck gebrachten Bedenken wird indirekt die Begründetheit dieser Feststellung in Zweifel gezogen.
176. In der Tat wird mit dem „Datenschutzschild“-Beschluss lediglich die Angemessenheit des Schutzniveaus für personenbezogene Daten festgestellt, die gemäß den in diesem Beschluss genannten Grundsätzen an ein in den Vereinigten Staaten niedergelassenes Unternehmen übermittelt werden, das sich durch Selbstzertifizierung zur Einhaltung dieser Grundsätze bekannt hat(73). Die in ihm enthaltenen Erwägungen gehen jedoch über den Kontext der von diesem Beschluss erfassten Übermittlungen hinaus, da sie sich auf das Recht und die Praxis beziehen, die in diesem Drittland in Bezug auf die Verarbeitung der übermittelten Daten für Zwecke der nationalen Sicherheit bestehen. Wie Facebook Ireland, Herr Schrems, die Regierung der Vereinigten Staaten und die Kommission ausgeführt haben, gelten die Überwachung durch die amerikanischen Nachrichtendienste wie auch die Garantien gegen die damit verbundenen Missbrauchsgefahren und die der Kontrolle der Wahrung dieser Garantien dienenden Mechanismen unabhängig davon, auf welche Rechtsgrundlage aus der Sicht des Unionsrechts die Übermittlung gestützt wird.
177. Unter diesem Blickwinkel könnte sich die Frage, ob die im „Datenschutzschild“-Beschluss insoweit getroffenen Feststellungen die Aufsichtsbehörden binden, wenn sie die Rechtmäßigkeit einer auf der Grundlage von Standardvertragsklauseln vorgenommenen Übermittlung prüfen, als relevant für die Behandlung der Beschwerde von Herrn Schrems durch den DPC erweisen. Bei Bejahung dieser Frage würde sich auch die Frage stellen, ob dieser Beschluss gültig ist.
178. Allerdings rate ich dem Gerichtshof davon ab, über diese Fragen allein zu dem Zweck zu entscheiden, den DPC bei der Behandlung dieser Beschwerde zu unterstützen, obwohl kein Anlass zu deren Beantwortung im Hinblick darauf besteht, dem vorlegenden Gericht die Entscheidung des Ausgangsrechtsstreits zu ermöglichen. Da mit dem Verfahren nach Art. 267 AEUV ein Dialog zwischen Gerichten eingeführt wird, ist der Gerichtshof nicht berufen, sich allein zu dem Zweck zu äußern, eine Verwaltungsbehörde im Rahmen eines diesem Rechtsstreit zugrunde liegenden Verfahrens zu unterstützen.
179. Zurückhaltung ist umso mehr geboten, als die Frage der Gültigkeit des „Datenschutzschild“-Beschlusses dem Gerichtshof nicht ausdrücklich vorgelegt worden ist; außerdem ist dieser Beschluss bereits Gegenstand einer beim Gericht der Europäischen Union anhängigen Nichtigkeitsklage(74).
180. Überdies würde der Gerichtshof mit einer Äußerung zu den vorgenannten Problemen meines Erachtens den normalen Ablauf des Verfahrens stören, das nach Erlass seines Urteils in der vorliegenden Rechtssache fortgesetzt werden muss. In diesem Verfahren obliegt dem DPC die Behandlung der Beschwerde von Herrn Schrems unter Berücksichtigung der Antwort des Gerichtshofs auf die elfte Vorlagefrage. Wenn der Gerichtshof, meinem Vorschlag folgend und entgegen dem Vorbringen des DPC im vorliegenden Verfahren, entscheidet, dass der Beschluss 2010/87 nicht nach Maßgabe der Art. 7, 8 und 47 der Charta ungültig ist, muss der DPC meines Erachtens die Möglichkeit erhalten, die Akte des bei ihm anhängigen Verfahrens erneut zu prüfen. Sollte sich der DPC außerstande sehen, über die Beschwerde von Herrn Schrems zu entscheiden, ohne dass der Gerichtshof zuvor festgestellt hat, ob der „Datenschutzschild“-Beschluss ihn an der Ausübung seiner Befugnisse zur Aussetzung der in Rede stehenden Übermittlung hindert, und sollte er seine Zweifel an der Gültigkeit dieses Beschlusses bekräftigen, stünde es ihm frei, erneut die innerstaatlichen Gerichte anzurufen, um ein Ersuchen um Vorabentscheidung über diese Frage zu erwirken(75).
181. Damit würde ein Verfahren eingeleitet, in dem jede Partei und jeder in Art. 23 Abs. 2 der Satzung des Gerichtshofs bezeichnete Beteiligte vor dem Gerichtshof spezifische Erklärungen zur Frage der Gültigkeit des „Datenschutzschild“-Beschlusses abgeben und dabei gegebenenfalls die im Einzelnen von ihr oder ihm beanstandeten Wertungen benennen und die Gründe angeben kann, aus denen sie oder er der Ansicht ist, dass die Kommission den ihr zustehenden eingeschränkten Wertungsspielraum überschritten hat(76). In einem solchen Verfahren hätte die Kommission die Möglichkeit, genau und im Einzelnen auf jede etwa gegen diesen Beschluss gerichtete Kritik einzugehen. Auch wenn das vorliegende Verfahren den Parteien und Beteiligten, die Erklärungen vor dem Gerichtshof abgegeben haben, die Gelegenheit geboten hat, bestimmte für die Beurteilung der Vereinbarkeit des „Datenschutzschild“-Beschlusses mit den Art. 7, 8 und 47 der Charta relevante Aspekte zu erörtern, verdient diese Frage doch in Anbetracht ihrer Bedeutung eine erschöpfende und vertiefte Erörterung.
182. Meiner Ansicht nach gebietet es die Vorsicht, abzuwarten, bis diese Verfahrensstufen durchlaufen sind, bevor der Gerichtshof prüft, wie sich der „Datenschutzschild“-Beschluss auf die Behandlung eines Antrags auf Aussetzung einer nach Art. 46 Abs. 1 DSGVO erfolgten Übermittlung in die Vereinigten Staaten durch eine Aufsichtsbehörde auswirkt, und über die Gültigkeit dieses Beschlusses entscheidet.
183. Dies gilt umso mehr, als die dem Gerichtshof vorgelegte Akte nicht den Schluss zulässt, dass die Behandlung der Beschwerde von Herrn Schrems notwendig davon abhängt, ob der „Datenschutzschild“-Beschluss die Aufsichtsbehörden daran hindert, ihre Befugnis zur Aussetzung einer auf Standardvertragsklauseln gestützten Übermittlung auszuüben.
184. Insoweit ist als Erstes nicht ausgeschlossen, dass der DPC die in Rede stehende Übermittlung aus anderen Gründen aussetzt als wegen eines vermeintlich nicht angemessenen Niveaus des Schutzes, der in den Vereinigten Staaten gegen Beeinträchtigungen der Grundrechte der betroffenen Personen durch die Tätigkeiten der amerikanischen Nachrichtendienste sichergestellt ist. Dem vorlegenden Gericht zufolge macht Herr Schrems in seiner Beschwerde vor dem DPC geltend, dass die Standardvertragsklauseln, auf die Facebook Ireland diese Übermittlung stütze, die im Anhang des Beschlusses 2010/87 aufgeführten Klauseln nicht genau widerspiegelten. Herr Schrems trägt zudem vor, diese Übermittlung falle nicht in den Anwendungsbereich dieses Beschlusses, sondern in den der anderen SVK-Beschlüsse(77).
185. Als Zweites haben der DPC und das vorlegende Gericht darauf hingewiesen, dass Facebook Ireland die von der Beschwerde von Herrn Schrems erfasste Übermittlung nicht auf den „Datenschutzschild“-Beschluss gestützt hat(78), was dieses Unternehmen in der Sitzung bestätigt hat. Zwar hat sich die Facebook Inc. durch Selbstzertifizierung zur Einhaltung der Grundsätze des Datenschutzschilds seit dem 30. September 2016 bekannt(79), doch trägt Facebook Ireland vor, dieses Bekenntnis beziehe sich nur auf die Übermittlung bestimmter Kategorien von Daten, nämlich solcher, die die Geschäftspartner der Facebook Inc. beträfen. Ich hielte es für unangebracht, wenn der Gerichtshof die insoweit möglicherweise auftretenden Fragen vorwegnähme, indem er prüfte, ob die in Rede stehende Übermittlung für den Fall, dass Facebook Ireland sie nicht auf den Beschluss 2010/87 stützen könnte, gleichwohl vom „Datenschutzschild“-Beschluss gedeckt wäre, obwohl das Unternehmen dies weder vor dem vorlegenden Gericht noch vor dem DPC geltend gemacht hat.
186. Ich komme daher zu dem Schluss, dass die Vorlagefragen 2 bis 5 sowie 9 und 10 nicht zu beantworten sind und dass die Gültigkeit des „Datenschutzschild“-Beschlusses nicht zu prüfen ist.
G. Hilfserwägungen zu den Wirkungen und zur Gültigkeit des „Datenschutzschild“-Beschlusses
187. Obwohl mich die vorstehende Analyse dazu veranlasst, dem Gerichtshof in erster Linie vorzuschlagen, sich nicht zur Bedeutung des „Datenschutzschild“-Beschlusses für die Behandlung einer Beschwerde, wie sie Herr Schrems beim DPC erhoben hat, zu äußern, erscheint es mir sachdienlich, hilfsweise und mit aller Zurückhaltung einige nicht erschöpfende Ausführungen hierzu zu machen.
1. Zur Bedeutung des „Datenschutzschild“-Beschlusses im Rahmen der Behandlung einer Beschwerde betreffend die Rechtmäßigkeit einer auf Standardvertragsklauseln gestützten Übermittlung durch eine Aufsichtsbehörde
188. Die neunte Vorlagefrage geht dahin, ob die im „Datenschutzschild“-Beschluss getroffene Feststellung, dass in Anbetracht der Einschränkungen des Zugangs zu den übermittelten Daten und ihrer Verwendung durch die amerikanischen Behörden sowie des Rechtsschutzes der betroffenen Personen das in den Vereinigten Staaten sichergestellte Schutzniveau angemessen sei, eine Aufsichtsbehörde daran hindert, eine auf der Grundlage von Standardvertragsklauseln vorgenommene Übermittlung in dieses Drittland auszusetzen.
189. Diese Problematik ist meines Erachtens unter Berücksichtigung der Rn. 51 und 52 des Urteils Schrems zu behandeln, wonach ein Angemessenheitsbeschluss für die Aufsichtsbehörden verbindlich ist, solange er nicht für ungültig erklärt worden ist. Eine Aufsichtsbehörde, bei der eine Beschwerde einer Person anhängig ist, deren Daten in das in einem Angemessenheitsbeschluss bezeichnete Drittland übermittelt werden, kann somit die Übermittlung nicht mit der Begründung aussetzen, das dortige Schutzniveau sei nicht angemessen, ohne dass der Gerichtshof diesen Beschluss zuvor für ungültig erklärt hat(80).
190. Das vorlegende Gericht möchte im Wesentlichen wissen, ob diese Schlussfolgerung angesichts dessen, dass ein Angemessenheitsbeschluss – wie der „Datenschutzschild“-Beschluss oder davor die „Safe Harbour“-Entscheidung – auf dem freiwilligen Bekenntnis zur Einhaltung der in ihm genannten Grundsätze beruht, nur insoweit gilt, als die Übermittlung in das betreffende Drittland durch diesen Beschluss gedeckt ist, oder auch dann, wenn sie auf einer anderen Rechtsgrundlage beruht.
191. Nach Ansicht von Herrn Schrems, der deutschen, der niederländischen, der polnischen und der portugiesischen Regierung sowie der Kommission nimmt die im „Datenschutzschild“-Beschluss getroffene Angemessenheitsfeststellung der Aufsichtsbehörden nicht die Befugnis zur Aussetzung einer nach Standardvertragsklauseln vorgenommenen Übermittlung in die Vereinigten Staaten. Wenn der Übermittlung in die Vereinigten Staaten nicht der „Datenschutzschild“-Beschluss zugrunde liege, seien die Aufsichtsbehörden im Rahmen der Ausübung ihrer Befugnisse nach Art. 58 Abs. 2 DSGVO formal nicht durch diesen Beschluss gebunden. Sie könnten sich mit anderen Worten von den Feststellungen der Kommission zur Angemessenheit des Niveaus des Schutzes gegen Eingriffe der amerikanischen Behörden in die Ausübung der Grundrechte der betroffenen Personen distanzieren. Nach Auffassung der niederländischen Regierung und der Kommission müssen die Aufsichtsbehörden diese Feststellungen jedoch berücksichtigen, wenn sie von ihren Befugnissen Gebrauch machten. Die deutsche Regierung meint, diese Behörden könnten zu gegenteiligen Wertungen nur nach einer die entsprechenden Untersuchungen umfassenden inhaltlichen Prüfung der Feststellungen der Kommission gelangen.
192. Demgegenüber machen Facebook Ireland und die Regierung der Vereinigten Staaten im Wesentlichen geltend, die Bindungswirkung eines Angemessenheitsbeschlusses bedeute angesichts der Erfordernisse der Rechtssicherheit und der einheitlichen Anwendung des Unionsrechts, dass die Aufsichtsbehörden nicht befugt seien, die in diesem Beschluss getroffenen Feststellungen in Frage zu stellen, und zwar auch nicht im Rahmen der Behandlung einer Beschwerde, mit der die Aussetzung von Übermittlungen angestrebt werde, die auf eine andere Rechtsgrundlage als diesen Beschluss gestützt seien.
193. Ich schließe mich der erstgenannten Auffassung an. Da der Anwendungsbereich des „Datenschutzschild“-Beschlusses auf die Übermittlung durch ein gemäß diesem Beschluss selbstzertifiziertes Unternehmen beschränkt ist, kann der Beschluss für die Aufsichtsbehörden hinsichtlich der Übermittlungen, die nicht in diesen Anwendungsbereich fallen, förmlich nicht verbindlich sein. Dementsprechend soll der „Datenschutzschild“-Beschluss nur die Rechtssicherheit der Exporteure sicherstellen, die Daten in dem von ihm geschaffenen Rahmen übermitteln. Meines Erachtens steht die Unabhängigkeit, die Art. 52 DSGVO den Aufsichtsbehörden zuerkennt, auch ihrer Bindung an die Feststellungen entgegen, die die Kommission in einem Angemessenheitsbeschluss über dessen Anwendungsbereich hinaus getroffen hat.
194. Selbstverständlich bilden die im „Datenschutzschild“-Beschluss getroffenen Feststellungen zur Angemessenheit des in den Vereinigten Staaten sichergestellten Niveaus des Schutzes gegen die mit den Tätigkeiten der Nachrichtendienste verbundenen Eingriffe den Ausgangspunkt für die Analyse, mit der eine Aufsichtsbehörde im Einzelfall beurteilt, ob eine auf Standardvertragsklauseln gestützte Übermittlung wegen solcher Eingriffe auszusetzen ist. Kommt die Aufsichtsbehörde jedoch nach eingehender Untersuchung zu der Ansicht, dass sie sich diesen Feststellungen in Bezug auf die ihr zur Prüfung vorgelegte Übermittlung nicht anschließen kann, bleiben meines Erachtens ihre Befugnisse nach Art. 58 Abs. 2 Buchst. f und j DSGVO unberührt.
195. Sollte der Gerichtshof indes die hier geprüfte Frage im entgegengesetzten Sinn beantworten, wäre zu prüfen, ob diese Befugnisse nicht zumindest wegen Ungültigkeit des „Datenschutzschild“-Beschlusses wieder aufleben müssten.
2. Zur Gültigkeit des „Datenschutzschild“-Beschlusses
196. Mit den folgenden Ausführungen werden einige Fragen hinsichtlich der Begründetheit der Wertungen angesprochen, die im „Datenschutzschild“-Beschluss in Bezug darauf getroffen werden, ob das von den Vereinigten Staaten gebotene Schutzniveau angesichts der Tätigkeiten der amerikanischen Nachrichtendienste zur Überwachung der elektronischen Kommunikation angemessen im Sinne von Art. 45 Abs. 1 DSGVO ist. Diese Ausführungen sollen keine abschließende oder erschöpfende Stellungnahme zur Gültigkeit dieses Beschlusses darstellen. Sie beschränken sich auf einige Überlegungen, die für den Gerichtshof sachdienlich sein könnten, sollte er entgegen meinem Vorschlag über diesen Punkt befinden wollen.
197. Wie insoweit aus dem 64. Erwägungsgrund und Nr. I.5 des Anhangs II des „Datenschutzschild“-Beschlusses hervorgeht, kann die Einhaltung der in diesem aufgestellten Grundsätze u. a. durch Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder durch die Durchführung von Gesetzen oder aus dem amerikanischen Recht folgenden widersprüchlichen Verpflichtungen eingeschränkt werden.
198. Die Kommission bewertete daher die im Recht der Vereinigten Staaten vorgesehenen Garantien hinsichtlich des Zugriffs auf die übermittelten Daten und ihrer Verwendung durch die amerikanischen Behörden insbesondere für Zwecke der nationalen Sicherheit(81). Sie erhielt von Seiten der amerikanischen Regierung bestimmte Zusagen betreffend zum einen die Beschränkungen des Zugriffs auf die Daten und ihre Verwendung durch die amerikanischen Behörden und zum anderen den Rechtsschutz für die betroffenen Personen(82).
199. Vor dem Gerichtshof hat Herr Schrems geltend gemacht, der „Datenschutzschild“-Beschluss sei ungültig, weil diese Garantien nicht ausreichten, um ein angemessenes Niveau des Schutzes der Grundrechte der Personen sicherzustellen, deren Daten in die Vereinigten Staaten übermittelt würden. Der DPC, das EPIC sowie die österreichische, die polnische und die portugiesische Regierung stellen zwar die Gültigkeit dieses Beschlusses nicht direkt in Frage, wohl aber die Wertungen, die die Kommission hinsichtlich der Angemessenheit des Niveaus des Schutzes gegen die Eingriffe vorgenommen hat, die sich aus den Tätigkeiten der amerikanischen Nachrichtendienste ergeben. Diese Zweifel decken sich mit den Bedenken des Parlaments(83), des EDPB(84) und des EDSB(85).
200. Vor der Prüfung der Begründetheit der im „Datenschutzschild“-Beschluss getroffenen Angemessenheitsfeststellung ist die Methode für diese Prüfung darzulegen.
a) Klarstellungen zum Inhalt der Prüfung der Gültigkeit eines Angemessenheitsbeschlusses
1) Zum Vergleichsmaßstab für die Beurteilung, ob ein „der Sache nach gleichwertiges“ Schutzniveau besteht
201. Nach Art. 45 Abs. 3 DSGVO und der Rechtsprechung des Gerichtshofs(86) kann die Kommission erst dann feststellen, dass ein Drittland ein angemessenes Schutzniveau sicherstellt, wenn sie mit gebührender Begründung zu dem Ergebnis gelangt ist, dass das dortige Niveau des Schutzes der Grundrechte der betroffenen Personen dem in der Union kraft dieser Verordnung im Licht der Charta geforderten Schutzniveau „der Sache nach gleichwertig“ ist.
202. Somit erfordert die Beurteilung der Angemessenheit des in einem Drittland gebotenen Schutzniveaus notwendig einen Vergleich zwischen den in diesem Drittland bestehenden Regeln und Praktiken einerseits und den in der Union geltenden Schutzstandards andererseits. Mit seiner zweiten Frage ersucht das vorlegende Gericht den Gerichtshof um Erläuterung des Maßstabs für diesen Vergleich(87).
203. Im Einzelnen möchte das vorlegende Gericht wissen, ob der in Art. 4 Abs. 2 EUV und Art. 2 Abs. 2 DSGVO normierte Kompetenzvorbehalt zugunsten der Mitgliedstaaten im Bereich des Schutzes der nationalen Sicherheit bedeutet, dass die Rechtsordnung der Union keine Schutzstandards enthält, mit denen die Garantien, die in einem Drittland für die Verarbeitung von dorthin übermittelten Daten für Zwecke der nationalen Sicherheit durch die Behörden gelten, verglichen werden müssen, um ihre Angemessenheit zu beurteilen. Falls dies zu bejahen ist, fragt dieses Gericht, wie der relevante Bezugsrahmen zu bestimmen ist.
204. In dieser Hinsicht ist zu beachten, dass mit den Beschränkungen, denen das Unionsrecht die internationale Übermittlung personenbezogener Daten unterstellt, indem es vorschreibt, dass die Kontinuität des Schutzniveaus für diese Daten sicherzustellen ist, der Gefahr der Umgehung der innerhalb der Union geltenden Standards begegnet werden soll(88). Wie Facebook Ireland im Kern geltend gemacht hat, wäre es in Anbetracht dieses Zwecks in keiner Weise gerechtfertigt, von einem Drittland die Einhaltung von Erfordernissen zu erwarten, denen keine Verpflichtungen der Mitgliedstaaten entsprechen.
205. Nach ihrem Art. 51 Abs. 1 gilt die Charta für die Mitgliedstaaten ausschließlich bei der Durchführung des Rechts der Union. Folglich hängt die Gültigkeit eines Angemessenheitsbeschlusses in Anbetracht der Einschränkungen, die sich für die Ausübung der Grundrechte der betroffenen Personen aus den Rechtsvorschriften des Bestimmungsdrittlands ergeben, von einem Vergleich zwischen diesen Einschränkungen und denjenigen ab, zu denen die Mitgliedstaaten nach den Bestimmungen der Charta befugt wären, sofern eine ähnliche Regelung eines Mitgliedstaats in den Geltungsbereich des Unionsrechts fiele.
206. Die Angemessenheit des in einem Drittstaat sichergestellten Schutzniveaus kann jedoch nicht beurteilt werden, ohne die etwaigen Eingriffe in die Ausübung der Grundrechte der betroffenen Personen außer Betracht zu lassen, die sich aus staatlichen Maßnahmen insbesondere im Bereich der nationale Sicherheit ergeben, die, wenn sie von einem Mitgliedstaat erlassen würden, außerhalb des Geltungsbereichs des Unionsrechts lägen. Für diese Beurteilung sind nach Art. 45 Abs. 2 Buchst. a DSGVO ohne jede Beschränkung die in diesem Drittstaat geltenden Rechtsvorschriften im Bereich der nationalen Sicherheit zu berücksichtigen.
207. Die Beurteilung der Angemessenheit des Schutzniveaus in Anbetracht solcher staatlichen Maßnahmen erfordert meines Erachtens einen Vergleich der mit diesen verbundenen Garantien mit dem Schutzniveau, das innerhalb der Union gemäß dem Recht der Mitgliedstaaten, zudem auch ihre Pflichten nach der Charta gehören, vorgeschrieben ist. Da der Beitritt der Mitgliedstaaten zur EMRK diese verpflichtet, ihr innerstaatliches Recht mit den Bestimmungen dieser Konvention in Einklang zu bringen, und somit, wie Facebook Ireland, die tschechische und die deutsche Regierung sowie die Kommission ausgeführt haben, einen ihnen gemeinsamen Nenner bildet, sehe ich in diesen Bestimmungen den relevanten Vergleichsmaßstab für diese Beurteilung.
208. Im vorliegenden Fall gehen, wie bereits dargelegt(89), die Erfordernisse der nationalen Sicherheit der Vereinigten Staaten den Verpflichtungen der selbstzertifizierten Unternehmen nach dem „Datenschutzschild“-Beschluss vor. Die Gültigkeit dieses Beschlusses hängt demnach davon ab, ob diese Erfordernisse mit Garantien versehen sind, die ein Schutzniveau bieten, das dem in der Union sichergestellten der Sache nach gleichwertig ist.
209. Zur Beantwortung dieser Frage müssen zunächst die Standards – nämlich die der Charta oder der EMRK – bestimmt werden, denen innerhalb der Union Regelungen im Bereich der Überwachung elektronischer Kommunikation genügen müssten, die den von der Kommission im „Datenschutzschild“-Beschluss geprüften Regelungen ähneln. Die Bestimmung der anwendbaren Standards hängt davon ab, ob Regelungen wie Section 702 FISA und die EO 12333, wenn sie von einem Mitgliedstaat erlassen worden wären, unter die Beschränkung des Anwendungsbereichs der DSGVO durch deren Art. 2 Abs. 2 im Licht von Art. 4 Abs. 2 EUV fielen.
210. Nach dem Wortlaut von Art. 4 Abs. 2 EUV und der ständigen Rechtsprechung gilt das Unionsrecht und insbesondere das abgeleitete Recht betreffend den Schutz personenbezogener Daten nicht für die Tätigkeiten im Bereich des Schutzes der nationalen Sicherheit, soweit es sich dabei um spezifische Tätigkeiten der Staaten oder der staatlichen und ausländischen Stellen handelt, die mit den Tätigkeitsbereichen von Einzelpersonen nichts zu tun haben(90).
211. Dieser Grundsatz bedeute zum einen, dass eine Regelung auf dem Gebiet des Schutzes der nationalen Sicherheit nicht in den Geltungsbereich des Unionsrechts fällt, wenn sie ausschließlich für staatliche Tätigkeiten und nicht für Tätigkeiten von Einzelpersonen gilt. Folglich ist dieses Recht nicht auf nationale Maßnahmen betreffend die Sammlung und die Verwendung personenbezogener Daten anwendbar, die der Staat unmittelbar zum Schutz der nationalen Sicherheit erlässt, ohne dass privaten Wirtschaftsteilnehmern besondere Verpflichtungen auferlegt werden. Insbesondere wäre, wie die Kommission in der Sitzung ausgeführt hat, eine von einem Mitgliedstaat erlassene Maßnahme, mit der wie mit der EO 12333 seinen Sicherheitsdiensten ein unmittelbarer Zugriff auf die Daten während der Übertragung eingeräumt wird, vom Geltungsbereich des Unionsrechts ausgenommen(91).
212. Ungleich komplexer ist die Frage, ob zum anderen nationale Bestimmungen, die wie Section 702 FISA die Betreiber von elektronischen Kommunikationsdiensten verpflichten, den im Bereich der nationalen Sicherheit zuständigen Behörden Unterstützung beim Zugang zu bestimmten personenbezogenen Daten zu leisten, ebenfalls außerhalb des Geltungsbereichs des Unionsrechts lägen.
213. Während das Urteil PNR für eine Bejahung dieser Frage spricht, könnten die Ausführungen des Gerichtshofs in den Urteilen Tele2 Sverige und Ministerio Fiscal deren Verneinung rechtfertigen.
214. Mit dem Urteil PNR hat der Gerichtshof einen Beschluss für nichtig erklärt, mit dem die Kommission die Angemessenheit des Schutzes für die personenbezogenen Daten festgestellt hatte, die in den Fluggastdatensätzen (Passenger Name Records, PNR) enthalten sind, die den amerikanischen Zoll- und Grenzschutzbehörden übermittelt werden(92). Der Gerichtshof hat entschieden, dass die von diesem Beschluss erfasste Verarbeitung – die Übermittlung der PNR-Daten durch die Luftfahrtunternehmen an die in Rede stehende Behörde – wegen ihres Zwecks gemäß Art. 3 Abs. 2 der Richtlinie 95/46 von deren Anwendungsbereich ausgenommen war. Dem Gerichtshof zufolge war die Verarbeitung nicht für die Erbringung einer Dienstleistung erforderlich, sondern zum Schutz der öffentlichen Sicherheit und zu Strafverfolgungszwecken. Da die fragliche Übermittlung in einem von staatlichen Stellen geschaffenen Rahmen stattfand und der öffentlichen Sicherheit diente, fiel sie ungeachtet dessen, dass die PNR-Daten von privaten Wirtschaftsteilnehmern zu in diesen Anwendungsbereich fallenden gewerblichen Zwecken erhoben und von diesen in einen Drittstaat übermittelt wurden, nicht in den Anwendungsbereich dieser Richtlinie(93).
215. Im danach ergangenen Urteil Tele2 Sverige(94) hat der Gerichtshof entschieden, dass auf Art. 15 Abs. 1 der Richtlinie 2002/58/EG(95) gestützte innerstaatliche Rechtsvorschriften, die sowohl die Vorratsspeicherung von Verkehrs- und Standortdaten durch die Betreiber elektronischer Kommunikationsdienste als auch den Zugang der Behörden zu den gespeicherten Daten für die in dieser Bestimmung genannten Zwecke – zu denen die Strafverfolgung und der Schutz der nationalen Sicherheit gehören – regeln, in den Geltungsbereich dieser Richtlinie und damit der Charta fallen. Dem Gerichtshof zufolge sind weder die Bestimmungen über die Vorratsspeicherung noch die über den Zugang zu den gespeicherten Daten nach Art. 1 Abs. 3 dieser Richtlinie, der auf die Tätigkeit des Staates im Bereich der Strafverfolgung und des Schutzes der nationalen Sicherheit Bezug nimmt, von deren Geltungsbereich ausgenommen(96). Der Gerichtshof hat diese Rechtsprechung im Urteil Ministerio Fiscal(97) bestätigt.
216. Section 702 FISA unterscheidet sich jedoch von einer solchen Regelung dadurch, dass diese Bestimmung den Betreibern von elektronischen Kommunikationsdiensten keine Verpflichtung zur Vorratsspeicherung der Daten oder zu irgendeiner anderen Verarbeitung auferlegt, wenn kein Antrag auf Zugang zu den Daten seitens der Nachrichtendienste vorliegt.
217. Damit stellt sich die Frage, ob nationale Maßnahmen, die diese Betreiber verpflichten, den Behörden Daten für Zwecke der nationalen Sicherheit zur Verfügung zu stellen, unabhängig von jeder Pflicht zur Vorratsspeicherung in den Anwendungsbereich der DSGVO und damit der Charta fallen(98).
218. Ein erster Ansatz könnte darin bestehen, die beiden vorgenannten Rechtsprechungslinien so weit wie möglich miteinander in Einklang zu bringen, indem die vom Gerichtshof in den Urteilen Tele2 Sverige und Ministerio Fiscal gezogene Schlussfolgerung zur Anwendbarkeit des Unionsrechts auf Maßnahmen zur Regelung des Zugangs zu Daten für nationale Behörden zum Schutz u. a. der nationalen Sicherheit(99) dahin ausgelegt wird, dass sie auf die Fälle beschränkt ist, in denen die Daten aufgrund einer gesetzlichen Verpflichtung, die nach Art. 15 Abs. 1 der Richtlinie 2002/58 eingeführt worden ist, gespeichert worden sind. Diese Schlussfolgerung würde dagegen nicht für den anders gelagerten tatsächlichen Kontext des Urteils PNR gelten, in dem es um die Übermittlung von Daten, die die Fluggesellschaften zu gewerblichen Zwecken aus eigenen Stücken gespeichert hatten, an eine für die innere Sicherheit zuständige amerikanische Behörde ging.
219. Nach einem zweiten Ansatz, den die Kommission befürwortet und den ich für überzeugender halte, würden die Urteile Tele2 Sverige und Ministerio Fiscal die Anwendbarkeit des Unionsrechts auf nationale Regelungen rechtfertigen, wonach die Betreiber elektronischer Kommunikationsdienste die für die nationale Sicherheit zuständigen Behörden beim Zugang zu bestimmten Daten unterstützen müssen, unabhängig davon, ob diese Regelungen eine Verpflichtung zur Vorratsspeicherung der Daten vorsehen oder nicht.
220. Diese Ausführungen stellen nämlich nicht, wie im Urteil PNR, auf den Zweck der in Rede stehenden Bestimmungen, sondern darauf ab, dass diese Bestimmungen die Tätigkeiten der Betreiber regeln, indem sie sie zu einer Verarbeitung der Daten verpflichten. Diese Tätigkeiten sind keine solchen des Staates in den Bereichen, die in Art. 1 Abs. 3 der Richtlinie 2002/58 und Art. 3 Abs. 2 der Richtlinie 95/46, dessen Inhalt im Wesentlichen in Art. 2 Abs. 2 DSGVO übernommen worden ist, genannt sind.
221. So betrifft nach dem Urteil Tele2 Sverige eine Rechtsvorschrift, wonach „Zugang zu den von [den Betreibern elektronischer Kommunikationsdienste] gespeicherten Daten zu gewähren [ist], die Verarbeitung personenbezogener Daten durch die Betreiber, und eine solche Verarbeitung fällt in den Geltungsbereich dieser Richtlinie“(100). Ebenso heißt es im Urteil Ministerio Fiscal, dass Rechtsvorschriften, die den Betreibern elektronischer Kommunikationsdienste vorschreiben, den zuständigen nationalen Behörden den Zugang zu den gespeicherten Daten zu gewähren, „zwangsläufig die Verarbeitung dieser Daten durch die Betreiber zur Folge haben“(101).
222. Die Bereitstellung von Daten durch den Verantwortlichen entspricht der Definition von „Verarbeitung“ in Art. 4 Abs. 2 DSGVO(102). Gleiches gilt für das vorherige Filtern der Daten anhand von Suchkriterien, um diejenigen Daten zu isolieren, zu denen die Behörden Zugang verlangt haben(103).
223. Daraus schließe ich, dass nach den Ausführungen des Gerichtshofs in den Urteilen Tele2 Sverige und Ministerio Fiscal die DSGVO und folglich die Charta auf eine nationale Regelung Anwendung finden, nach der ein Betreiber elektronischer Kommunikationsdienste die für die nationale Sicherheit zuständigen Behörden dadurch unterstützen muss, dass er ihnen Daten – gegebenenfalls nach deren Filterung – zur Verfügung stellt, und dies auch unabhängig von jeder gesetzlichen Verpflichtung zur Vorratsspeicherung dieser Daten.
224. Überdies scheint sich diese Auslegung zumindest indirekt aus dem Urteil Schrems zu ergeben. Wie der DPC, die österreichische und die polnische Regierung sowie die Kommission hervorgehoben haben, hat der Gerichtshof dort im Rahmen der Prüfung der Gültigkeit des „Datenschutzschild“-Beschlusses entschieden, dass das Recht des in einem Angemessenheitsbeschluss bezeichneten Drittlands Garantien gegen Eingriffe seiner Behörden in die Grundrechte der betroffenen Personen für Zwecke der nationalen Sicherheit vorsehen muss, die den sich aus den Art. 7, 8 und 47 der Charta ergebenden Garantien der Sache nach gleichwertig sind(104).
225. Daraus folgt im Einzelnen, dass eine nationale Maßnahme, nach der die Betreiber elektronischer Kommunikationsdienste einer Anfrage der für die nationale Sicherheit zuständigen Behörden auf Zugang zu bestimmten von ihnen im Rahmen ihrer gewerblichen Tätigkeiten unabhängig von jeder gesetzlichen Verpflichtung auf Vorrat gespeicherten Daten nachkommen müssen, indem sie die verlangten Daten zunächst durch Anwendung von Selektoren identifizieren (wie im Rahmen des PRISM-Programms), nicht unter Art. 2 Abs. 2 DSGVO fallen würde. Gleiches würde für eine nationale Maßnahme gelten, wonach die Betreiber des Telekommunikations-Backbone den für die nationale Sicherheit zuständigen Behörden Zugang zu Daten gewähren müssen, die durch die von ihnen betriebenen Infrastrukturen übertragen werden (wie im Rahmen des Upstream-Programms).
226. Sind hingegen die in Rede stehenden Daten einmal in die Hände der staatlichen Behörden gelangt, so werden ihre Speicherung und weitere Verwendung durch diese Behörden für Zwecke der nationalen Sicherheit meines Erachtens aus den in Nr. 211 der vorliegenden Schlussanträge angeführten Gründen von Art. 2 Abs. 2 DSGVO erfasst, so dass sie nicht in den Anwendungsbereich dieser Verordnung und folglich der Charta fallen.
227. Nach alledem bin ich der Ansicht, dass die Kontrolle der Gültigkeit des „Datenschutzschild“-Beschlusses im Blick auf die Einschränkungen der in ihm aufgestellten Grundsätze, die sich aus den Tätigkeiten der amerikanischen Nachrichtendienste ergeben können, eine zweifache Untersuchung erfordert.
228. Als Erstes ist zu prüfen, ob die Vereinigten Staaten in Anbetracht der Einschränkungen, die sich dadurch aus der Anwendung von Section 702 FISA ergeben, dass die NSA nach dieser Bestimmung von den Betreibern verlangen kann, ihr personenbezogene Daten zur Verfügung zu stellen, ein Schutzniveau sicherstellen, das dem aus den Bestimmungen der DSGVO und der Charta folgenden der Sache nach gleichwertig ist.
229. Als Zweites bilden die Bestimmungen der EMRK den relevanten Bezugsrahmen für die Prüfung, ob die Einschränkungen, zu denen die Anwendung der EO 12333 führen kann, weil sie den Nachrichtendiensten erlaubt, selbst, ohne Zutun privater Wirtschaftsteilnehmer, personenbezogene Daten zu sammeln, die Angemessenheit des in den Vereinigten Staaten gebotenen Schutzniveaus in Frage stellen. Aus diesen Bestimmungen ergeben sich auch die Vergleichsmaßstäbe für die Beurteilung der Angemessenheit dieses Schutzniveaus angesichts der Speicherung und der Verwendung der erlangten Daten durch diese Behörden für Zwecke der nationalen Sicherheit.
230. Dabei ist jedoch noch zu bestimmen, ob eine Angemessenheitsfeststellung voraussetzt, dass das Sammeln von Daten gemäß der EO 12333 mit einem Schutzniveau einhergeht, das dem innerhalb der Union geforderten der Sache nach gleichwertig ist, auch soweit dieses Sammeln außerhalb der Vereinigten Staaten erfolgen sollte, nämlich während der Übertragung der Daten von der Union in dieses Drittland.
2) Zur Notwendigkeit, während der Übertragung der Daten ein angemessenes Schutzniveau sicherzustellen
231. Zu der Frage, ob die Kommission zur Beurteilung der Angemessenheit des in einem Drittland gebotenen Schutzniveaus nationale Maßnahmen berücksichtigen muss, die den Zugang zu den Daten für die Behörden dieses Drittlands außerhalb seines Hoheitsgebiets während der Übertragung der Daten von der Union in dieses Hoheitsgebiet betreffen, sind vor dem Gerichtshof drei unterschiedliche Auffassungen vertreten worden.
232. Erstens sind Facebook Ireland sowie die Regierungen der Vereinigten Staaten und des Vereinigten Königreichs der Ansicht, dass das Bestehen solcher Maßnahmen im Rahmen einer Angemessenheitsfeststellung nicht von Bedeutung sei. Der Grund dafür sei, dass ein Drittstaat nicht in der Lage sei, die Gesamtheit der außerhalb seines Hoheitsgebiets gelegenen Kommunikationswege zu kontrollieren, über die die aus der Union stammenden Daten übertragen würden, so dass per definitionem nie gewährleistet werden könne, dass nicht ein anderer Drittstaat Daten heimlich während ihrer Übertragung sammle.
233. Zweitens machen der DPC, Herr Schrems, das EPIC, die niederländische und die österreichische Regierung, das Parlament und der EDPB geltend, das in Art. 44 DSGVO aufgestellte Gebot der Kontinuität des Schutzniveaus bedeute, dass dieses Niveau während der gesamten Übermittlung, einschließlich der Übertragung durch Seekabel vor Erreichen des Hoheitsgebiets des Bestimmungsdrittlands, angemessen sein müsse.
234. Die Kommission erkennt diesen Grundsatz zwar an, macht aber, drittens, geltend, dass Gegenstand einer Angemessenheitsfeststellung nur der von dem Drittland innerhalb seiner Grenzen gebotene Schutz sei, so dass der Umstand, dass während der Übertragung in dieses Land ein angemessenes Schutzniveau nicht gewährleistet sei, die Gültigkeit des Angemessenheitsbeschlusses nicht in Frage stelle. Nach Art. 32 DSGVO habe jedoch der Verantwortliche für die Sicherheit der Übermittlung zu sorgen, indem er die personenbezogenen Daten während der Übertragung in dieses Drittland so weit wie möglich schütze.
235. Hierzu weise ich darauf hin, dass Art. 44 DSGVO eine Übermittlung in ein Drittland von der Einhaltung der in Kapitel V dieser Verordnung niedergelegten Bedingungen abhängig macht, soweit die Daten „nach ihrer Übermittlung“ verarbeitet werden können. Dieser Ausdruck könnte entweder so verstanden werden, dass, wie die Regierung der Vereinigten Staaten in ihrer schriftlichen Antwort auf die Fragen des Gerichtshofs geltend gemacht hat, diese Bedingungen nach Eintreffen der Daten am Bestimmungsort einzuhalten sind, oder so, dass sie gelten, nachdem die Übermittlung eingeleitet worden ist (einschließlich der Übertragungsphase selbst).
236. Da der Wortlaut von Art. 44 DSGVO keinen eindeutigen Aufschluss gibt, mache ich mir aufgrund einer teleologischen Auslegung die zweite Lesart und damit den zweiten der oben genannten Ansätze zu eigen. Würde nämlich angenommen, dass das in dieser Bestimmung vorgesehene Erfordernis der Kontinuität des Schutzniveaus nur für die Überwachungsmaßnahmen innerhalb des Hoheitsgebiets des Bestimmungsdrittlands gilt, könnte dieses Erfordernis umgangen werden, wenn dieses Drittland solche Maßnahmen außerhalb seines Hoheitsgebiets während der Übertragung der Daten anwendet. Um dieser Gefahr zu begegnen, muss sich die Beurteilung der Angemessenheit des von einem Drittland gebotenen Schutzniveaus auf sämtliche Bestimmungen der Rechtsordnung dieses Drittlands, insbesondere im Bereich der nationalen Sicherheit, erstrecken(105), zu denen sowohl die Bestimmungen betreffend die Überwachung innerhalb seines Hoheitsgebiets als auch diejenigen gehören, die die Überwachung der in der Übertragung dorthin befindlichen Daten erlauben(106).
237. Niemand bestreitet, dass sich, wie der EDPB ausgeführt hat, die Beurteilung der Angemessenheit des Schutzniveaus nach Art. 45 Abs. 1 DSGVO nur auf die Rechtsvorschriften des Bestimmungsdrittlands der Daten bezieht. Der von Facebook Ireland sowie von den Regierungen der Vereinigten Staaten und des Vereinigten Königreichs erhobene Einwand, es könne nicht gewährleistet werden, dass ein Drittstaat diese Daten nicht heimlich während ihrer Übertragung sammle, steht dieser Beurteilung nicht entgegen. Im Übrigen kann eine solche Gefahr auch nicht ausgeschlossen werden, nachdem die Daten im Hoheitsgebiet des Bestimmungsdrittstaats angekommen sind.
238. Es trifft ferner auch zu, dass die Kommission, wenn sie die Angemessenheit des in einem Drittland gebotenen Schutzniveaus beurteilt, gegebenenfalls damit konfrontiert sein könnte, dass es dieses Drittland unterlassen hat, ihr das Bestehen bestimmter geheimer Überwachungsprogramme offenzulegen. Daraus folgt gleichwohl nicht, dass die Kommission, wenn sie von solchen Programmen Kenntnis erhält, diese im Rahmen ihrer Angemessenheitsprüfung außer Betracht lassen kann. Ebenso muss die Kommission, wenn sie nach Erlass eines Angemessenheitsbeschlusses Kenntnis vom Bestehen bestimmter geheimer Überwachungsprogramme erlangt, die das betreffende Drittland in seinem Hoheitsgebiet oder während der Übertragung dorthin einsetzt, ihre Feststellung hinsichtlich der Angemessenheit des von diesem Drittland gebotenen Schutzniveaus überprüfen, wenn eine solche Information in dieser Hinsicht Zweifel aufkommen lässt(107).
3) Zur Berücksichtigung der von der Kommission und vom vorlegenden Gericht getroffenen Feststellungen zum Recht der Vereinigten Staaten
239. Der Gerichtshof ist zwar nicht für eine in der Rechtsordnung eines Drittlands verbindliche Auslegung von dessen Recht zuständig, doch hängt die Gültigkeit des „Datenschutzschild“-Beschlusses davon ab, ob die Wertungen der Kommission hinsichtlich des durch das Recht und die Praxis der Vereinigten Staaten gebotenen Schutzniveaus für die Grundrechte der Personen, deren Daten in dieses Drittland übermittelt werden, begründet sind. Denn die Kommission war gehalten, ihre Angemessenheitsfeststellung anhand der in Art. 45 Abs. 2 DSGVO genannten Aspekte, die u. a. den Inhalt des Rechts dieses Drittlands betreffen, zu begründen(108).
240. Der High Court (Hoher Gerichtshof) hat in seinem Urteil vom 3. Oktober 2017 nach Würdigung der von den Parteien des Rechtsstreits vorgelegten Beweise eingehende Feststellungen zu den relevanten Aspekten des amerikanischen Rechts getroffen(109). Diese Feststellungen decken sich weitgehend mit denen, die die Kommission im „Datenschutzschild“-Beschluss zu den Regeln für das Sammeln der übermittelten Daten durch die amerikanischen Nachrichtendienste und deren Zugriff auf diese sowie zu den Rechtsbehelfen und den für diese Tätigkeiten bestehenden Überwachungsmechanismen getroffen hat.
241. Das vorlegende Gericht sowie mehrere der Parteien und Beteiligten, die Erklärungen vor dem Gerichtshof abgegeben haben, stellen stärker die rechtlichen Schlussfolgerungen, die die Kommission aus diesen Feststellungen gezogen hat – nämlich, dass die Vereinigten Staaten ein angemessenes Schutzniveau für die Grundrechte der Personen sicherstellten, deren Daten auf der Grundlage dieses Beschlusses übermittelt werden – in Frage als deren Darstellung des Inhalts des amerikanischen Rechts.
242. Unter diesen Umständen werde ich die Gültigkeit des „Datenschutzschild“-Beschlusses im Wesentlichen im Licht der von der Kommission selbst getroffenen Feststellungen zum Inhalt des amerikanischen Rechts beurteilen und prüfen, ob diese den Erlass dieses Angemessenheitsbeschlusses rechtfertigten.
243. In dieser Hinsicht teile ich nicht die Auffassung des DPC und von Herrn Schrems, dass der Gerichtshof bei der Prüfung der Gültigkeit des „Datenschutzschild“-Beschlusses an die Feststellungen des High Court (Hoher Gerichtshof) zum Recht der Vereinigten Staaten gebunden sei. Sie machen geltend, da ausländisches Recht nach irischem Verfahrensrecht eine Tatsachenfrage sei, sei allein das vorlegende Gericht für die Feststellung seines Inhalts zuständig.
244. Nach ständiger Rechtsprechung ist zwar allein das nationale Gericht für die Feststellung des Sachverhalts sowie für die Auslegung des Rechts eines Mitgliedstaats und seine Anwendung auf den bei ihm anhängigen Rechtsstreit zuständig(110). Diese Rechtsprechung ist Ausdruck der Aufgabenverteilung zwischen dem Gerichtshof und dem vorlegenden Gericht im Rahmen des mit Art. 267 AEUV geschaffenen Verfahrens. Während allein der Gerichtshof für die Auslegung des Unionsrechts und für die Entscheidung über die Gültigkeit von abgeleitetem Recht zuständig ist, ist es Sache des nationalen Gerichts, das über den konkreten bei ihm anhängigen Rechtsstreit zu entscheiden hat, dessen tatsächlichen und rechtlichen Kontext festzustellen, damit der Gerichtshof ihm eine sachdienliche Antwort geben kann.
245. Der Grund für diese ausschließliche Zuständigkeit des vorlegenden Gerichts erscheint mir nicht übertragbar auf die Feststellung des Rechts eines Drittlands als eines Faktors, der die Schlussfolgerung des Gerichtshofs hinsichtlich der Gültigkeit eines abgeleiteten Rechtsakts beeinflussen kann(111). Da die Ungültigerklärung eines solchen Rechtsakts Erga-omnes-Wirkung in der Unionsrechtsordnung hat(112), kann die Schlussfolgerung des Gerichtshofs nicht vom Ursprung des Vorabentscheidungsersuchens abhängen. Wie Facebook Ireland und die Regierung der Vereinigten Staaten vorgetragen haben, würde sie aber davon abhängig gemacht, wenn der Gerichtshof an die vom vorlegenden Gericht getroffenen Feststellungen zum Recht eines Drittstaats gebunden wäre, da diese je nach nationalem Gericht unterschiedlich ausfallen können.
246. Aufgrund dieser Erwägungen bin ich der Ansicht, dass der Gerichtshof, wenn die Beantwortung einer Vorlagefrage nach der Gültigkeit eines Unionsrechtsakts die Beurteilung des Inhalts des Rechts eines Drittstaats voraussetzt, nicht an die Feststellungen des vorlegenden Gerichts zum Recht dieses Drittstaats gebunden ist. Er kann gegebenenfalls von ihnen abweichen oder sie vervollständigen, indem er unter Beachtung des Grundsatzes des kontradiktorischen Verfahrens andere Quellen heranzieht, um die zur Beurteilung der Gültigkeit des in Rede stehenden Rechtsakts erforderlichen Anhaltspunkte festzustellen(113).
4) Zur Bedeutung des Standards der „Gleichwertigkeit der Sache nach“
247. Die Gültigkeit des „Datenschutzschild“-Beschlusses hängt, wie dargelegt, davon ab, ob die Rechtsordnung der Vereinigten Staaten für die Personen, deren Daten aus der Union in dieses Drittland übermittelt werden, ein Niveau des Schutzes gegen Eingriffe in die Ausübung ihrer Grundrechte sicherstellt, das demjenigen „der Sache nach gleichwertig“ ist, das in den Mitgliedstaaten gemäß der DSGVO und der Charta sowie in den vom Geltungsbereich des Unionsrechts ausgenommenen Bereichen kraft ihrer Verpflichtungen aus der EMRK gewährleistet ist.
248. Wie der Gerichtshof im Urteil Schrems(114) ausgeführt hat, bedeutet dieser Standard nicht, dass das Schutzniveau dem in der Union geforderten „identisch“ sein muss. Auch wenn sich die Mittel, auf die das Drittland zurückgreift, um die Rechte der betroffenen Personen zu schützen, von denen unterscheiden können, die die DSGVO im Licht der Charta vorschreibt, „müssen sich diese Mittel … in der Praxis als wirksam erweisen, um einen Schutz zu gewährleisten, der dem in der Union garantierten der Sache nach gleichwertig ist“.
249. Daraus folgt meines Erachtens auch, dass das Recht von Bestimmungsdrittstaaten dessen eigene Werteskala widerspiegeln kann, nach der den verschiedenen beteiligten Interessen ein jeweils anderes Gewicht zukommen kann, als es ihnen in der Rechtsordnung der Union beigemessen wird. Im Übrigen entspricht der in der Union geltende Schutz personenbezogener Daten einem besonders hohen Standard im Vergleich zu dem in der übrigen Welt bestehenden Schutzniveau. Das Kriterium der „Gleichwertigkeit der Sache nach“ sollte daher meiner Ansicht nach so angewandt werden, dass eine gewisse Flexibilität gewahrt bleibt, um den unterschiedlichen rechtlichen und kulturellen Traditionen Rechnung zu tragen. Dieses Kriterium bedingt aber, soll es nicht seines Inhalts entleert werden, dass bestimmte Mindestgarantien und allgemeine Erfordernisse des Schutzes der Grundrechte, die sich aus der Charta und der DSGVO ergeben, ihre Entsprechung in der Rechtsordnung des Bestimmungsdrittstaats finden(115).
250. Nach Art. 52 Abs. 1 der Charta muss jede Einschränkung der Ausübung der in dieser Charta verankerten Rechte und Freiheiten gesetzlich vorgesehen sein und den Wesensgehalt dieser Rechte und Freiheiten achten und darf unter Wahrung des Grundsatzes der Verhältnismäßigkeit nur vorgenommen werden, wenn sie erforderlich ist und einer von der Union anerkannten dem Gemeinwohl dienenden Zielsetzung oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entspricht. Diese Anforderungen entsprechen im Wesentlichen denen nach Art. 8 Abs. 2 EMRK(116).
251. Nach Art. 52 Abs. 3 der Charta haben die in den Art. 7, 8 und 47 der Charta garantierten Rechte, soweit sie den in den Art. 8 und 13 EMRK verankerten Rechten entsprechen, die gleiche Bedeutung und Tragweite wie diese, wobei das Recht der Union ihnen einen weiter gehenden Schutz gewähren kann. Vor diesem Hintergrund sind, wie ich im Weiteren darlegen werde, die aus den Art. 7, 8 und 47 der Charta folgenden Standards in ihrer Auslegung durch den Gerichtshof in mehrfacher Hinsicht strikter als diejenigen, die sich aus Art. 8 EMRK in seiner Auslegung durch den Europäischen Gerichtshof für Menschenrechte (im Folgenden: EGMR) ergeben.
252. Ich weise auch darauf hin, dass bei beiden Gerichten Rechtssachen anhängig sind, in denen diese um eine Überprüfung bestimmter Aspekte ihrer Rechtsprechung ersucht werden. Zum einen sind zwei jüngere Urteile des EGMR zur Überwachung elektronischer Kommunikation – die Urteile Centrüm för Rättvisa/Schweden(117) und Big Brother Watch/Vereinigtes Königreich(118) – an die Große Kammer verwiesen worden. Zum anderen haben drei nationale Gerichte dem Gerichtshof Vorabentscheidungsersuchen vorgelegt, mit denen die Frage aufgeworfen wird, ob die sich aus dem Urteil Tele2 Sverige ergebende Rechtsprechung geändert werden muss(119).
253. Nach diesen Erläuterungen werde ich nun die Gültigkeit des „Datenschutzschild“-Beschlusses anhand von Art. 45 Abs. 1 DSGVO im Licht der Charta und der EMRK prüfen, die die Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten (Abschnitt b) sowie das Recht auf wirksamen gerichtlichen Rechtsschutz (Abschnitt c) garantieren.
b) Zur Gültigkeit des „Datenschutzschild“-Beschlusses nach Maßgabe der Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten
254. Im Rahmen seiner vierten Frage äußert das vorlegende Gericht Zweifel, ob das von den Vereinigten Staaten und das innerhalb der Union gebotene Niveau des Schutzes der Grundrechte der betroffenen Personen auf Achtung des Privatlebens und auf Schutz personenbezogener Daten der Sache nach gleichwertig sind.
1) Zum Vorliegen von Eingriffen
255. In den Erwägungsgründen 67 bis 124 des „Datenschutzschild“-Beschlusses erwähnt die Kommission die Möglichkeit, dass die amerikanischen Behörden Zugang zu den aus der Union übermittelten Daten erhielten und diese im Rahmen von Programmen, die insbesondere auf Section 702 FISA und die EO 12333 gestützt seien, für Zwecke der nationalen Sicherheit verwendeten.
256. Mit der Durchführung dieser Programme kommt es zu Eingriffen der amerikanischen Nachrichtendienste, die, ginge es von den Behörden eines Mitgliedstaats aus, als Eingriffe in die Ausübung des in Art. 7 der Charta und Art. 8 EMRK gewährleisteten Rechts auf Achtung des Privatlebens angesehen würden. Damit werden auch die betroffenen Personen einer Gefahr ausgesetzt, dass ihre personenbezogenen Daten in einer Weise verarbeitet werden, die nicht den Vorgaben des Art. 8 der Charta entspricht(120).
257. Ich weise schon hier darauf hin, dass das Recht auf Achtung des Privatlebens und das Recht auf Schutz personenbezogener Daten den Schutz nicht nur des Inhalts der Kommunikation, sondern auch der Verkehrsdaten(121) und der Standortdaten (zusammen als „Metadaten“ bezeichnet) umfassen. Sowohl der Gerichtshof als auch der EGMR haben festgestellt, dass Metadaten wie Inhaltsdaten sehr genaue Aufschlüsse über das Privatleben einer Person geben können(122).
258. Nach der Rechtsprechung des Gerichtshofs kommt es für die Feststellung des Vorliegens eines Eingriffs in die Ausübung des durch Art. 7 der Charta garantierten Rechts nicht darauf an, ob die betreffenden Daten sensiblen Charakter haben oder ob die betroffenen Personen durch die in Rede stehende Überwachungsmaßnahme Nachteile erlitten haben(123).
259. Nach diesem Hinweis stelle ich fest, dass die auf Section 702 FISA gestützten Überwachungsprogramme in erster Linie zu Eingriffen in die Ausübung der Grundrechte der Personen führen, deren Kommunikation den von der NSA ausgewählten Selektoren entspricht und infolgedessen von den Betreibern elektronischer Kommunikationsdienste an diese übermittelt wird(124). Genauer gesagt bringt die Verpflichtung der Betreiber, der NSA die Daten zur Verfügung zu stellen, da sie eine Abweichung vom Grundsatz der Vertraulichkeit der Kommunikation darstellt(125), selbst einen Eingriff mit sich, auch wenn diese Daten später nicht von den Nachrichtendiensten eingesehen und verwendet werden sollten(126). Die Speicherung und der tatsächliche Zugang zu den ihnen zur Verfügung gestellten Metadaten und dem Inhalt der Kommunikationen sowie die Verwendung dieser Daten stellen ebenso viele weitere Eingriffe dar(127).
260. Hinzu kommt, dass nach den Feststellungen des vorlegenden Gerichts(128) und anderen Quellen wie dem Bericht des PCLOB über die Programme nach Section 702 FISA, der dem Gerichtshof von der amerikanischen Regierung zur Kenntnis gebracht worden ist(129), die NSA im Rahmen des Upstream-Programms bereits Zugang zu Filterzwecken zu großen Datenbeständen („packets“) haben soll, die Teil der Kommunikationsflüsse seien, die durch das Telekommunikations-Backbone geleitet würden und zu denen auch Kommunikation gehöre, die nicht die von der NSA festgelegten Selektoren enthalte. Die NSA könne diese Datenbestände nur schnell in automatisierter Weise daraufhin durchsuchen, ob sie diese Selektoren enthielten. Nur die so gefilterte Kommunikation werde dann in den Datenbanken der NSA gespeichert. Dieser Zugang zu den Daten zum Zweck ihrer Filterung stellt meines Erachtens einen Eingriff in die Ausübung des Rechts auf Achtung des Privatlebens der betroffenen Personen unabhängig davon dar, wie die gespeicherten Daten im Weiteren verwendet werden(130).
261. Zudem fallen die Bereitstellung und die Filterung der in Rede stehenden Daten(131), der Zugang der Nachrichtendienste zu diesen Daten sowie die eventuelle Sammlung, Speicherung, Analyse und Verwendung unter den Begriff „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO und Art. 8 Abs. 2 der Charta. Diese Verarbeitungen müssen demnach den Anforderungen nach diesen Bestimmungen genügen(132).
262. Die Überwachung nach der EO 12333 wiederum könnte den direkten Zugang der Nachrichtendienste zu den Daten während der Übertragung bedeuten und so einen Eingriff in die Ausübung der in Art. 8 EMRK garantierten Rechte mit sich bringen. Hinzu käme der Eingriff, den die weitere Verwendung dieser Daten darstellen würde.
2) Zu dem Erfordernis, dass die Eingriffe „gesetzlich vorgesehen“ sein müssen
263. Nach der Rechtsprechung des Gerichtshofs(133) und der des EGMR(134) bedeutet das Erfordernis, dass nach Art. 52 Abs. 1 der Charta und Art. 8 Abs. 2 EMRK jeder Eingriff in die Ausübung von Grundrechten „gesetzlich vorgesehen“ sein muss, nicht nur, dass die Maßnahme, in der der Eingriff vorgesehen ist, eine Grundlage im innerstaatlichen Recht haben muss, sondern auch, dass diese Rechtsgrundlage zur Vermeidung der Gefahr von Willkür bestimmte Voraussetzungen hinsichtlich Zugänglichkeit und Vorhersehbarkeit erfüllen muss.
264. In dieser Hinsicht streiten die Parteien und Beteiligten, die Erklärungen vor dem Gerichtshof abgegeben haben, im Wesentlichen darüber, ob Section 702 FISA und die EO 12333 die Voraussetzung der Vorhersehbarkeit des Gesetzes erfüllen.
265. In ihrer Auslegung durch den Gerichtshof(135) und durch den EGMR(136) verlangt diese Voraussetzung, dass eine Regelung, mit der Eingriffe in die Ausübung des Rechts auf Privatleben verbunden sind, klare und genaue Regeln für die Tragweite und die Anwendung der fraglichen Maßnahme vorsehen und Mindestanforderungen aufstellen, so dass die betroffenen Personen über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsgefahren sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen. Aus diesen Regeln muss insbesondere hervorgehen, unter welchen Umständen und unter welchen Voraussetzungen diese Behörden die Daten speichern, auf sie zugreifen und sie verwenden dürfen(137). Zudem muss die gesetzliche Grundlage für den Eingriff in die Grundrechte den Umfang der Einschränkung der Ausübung des Rechts auf Achtung des Privatlebens selbst festlegen(138).
266. Ich teile die Zweifel von Herrn Schrems und des EPIC, ob die EO 12333 und auch die PPD 28, die Garantien für die Gesamtheit der nachrichtendienstlichen Signalaufklärung enthält(139), hinreichend vorhersehbar sind, um „Gesetzesqualität“ zu haben.
267. In diesen Regelungen heißt es ausdrücklich, dass sie den betroffenen Personen keine rechtlich durchsetzbaren Rechte verleihen(140). Diese Personen können somit die in der PPD 28 vorgesehenen Garantien nicht vor Gericht geltend machen(141). Die Kommission hat im „Datenschutzschild“-Beschluss zudem ausgeführt, dass die in der PPD 28 genannten Garantien zwar für die Nachrichtendienste verbindlich seien(142), dass aber „[rechtliche] Begriffe nicht ausdrücklich verwendet werden“(143). Die EO 12333 und die PPD 28 kommen eher internen Verwaltungsanweisungen gleich, die vom Präsidenten der Vereinigten Staaten widerrufen oder geändert werden können. Wie der EGMR jedoch bereits entschieden hat, sind interne Verwaltungsanweisungen kein „Gesetz“(144).
268. Die Vorhersehbarkeit von Section 702 FISA wird von Herrn Schrems in Frage gestellt, weil diese Bestimmung die Auswahlkriterien für das Filtern der Daten ohne hinreichende Garantien gegen die Gefahr des Missbrauchs festlege. Da diese Problematik auch die Frage betrifft, ob die in Section 702 vorgesehenen Eingriffe unbedingt erforderlich sind, werde ich sie an späterer Stelle prüfen(145).
269. Die dritte Vorlagefrage betrifft ebenfalls die Voraussetzung der „Gesetzesqualität“. Mit dieser Frage möchte das vorlegende Gericht wissen, ob die Angemessenheit des in einem Drittland gebotenen Schutzniveaus nur anhand der in diesem Drittland geltenden rechtsverbindlichen Regeln oder auch anhand der dort angewandten nicht verbindlichen Regelungen und außergerichtlichen Kontrollmechanismen zu prüfen ist.
270. In dieser Hinsicht enthält Art. 45 Abs. 2 Buchst. a DSGVO eine nicht abschließende Aufzählung von Umständen, die die Kommission bei der Prüfung der Angemessenheit des von einem Drittland gebotenen Schutzniveaus berücksichtigen muss. Dazu gehören die dort geltenden Rechtsvorschriften und deren Anwendung. Weiter sind in dieser Bestimmung Normen anderer Art aufgeführt wie Berufsregeln und Sicherheitsvorschriften. Zu berücksichtigen sind zudem „wirksame und durchsetzbare Rechte der betroffenen Person und wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe für betroffene Personen, deren personenbezogene Daten übermittelt werden“(146).
271. Als Ganzes gesehen und in Anbetracht ihres nicht abschließenden Charakters besagt diese Bestimmung meines Erachtens, dass Praktiken und Regelungen ohne eine zugängliche und vorhersehbare gesetzliche Grundlage im Rahmen der Gesamtbeurteilung des von dem betreffenden Drittland gebotenen Schutzniveaus berücksichtigt werden können, um Garantien zu bestätigen, die selbst auf einer gesetzlichen Grundlage beruhen, die diese Eigenschaften aufweist. Hingegen können derartige Regelungen und Praktiken, wie Herr Schrems, die österreichische Regierung und der EDPB geltend gemacht haben, solche Garantien nicht ersetzen und demnach für sich genommen das geforderte Schutzniveau nicht sicherstellen.
3) Zum Fehlen einer Beeinträchtigung des Wesensgehalts der Grundrechte
272. Das in Art. 52 Abs. 1 der Charta aufgestellte Erfordernis, dass jede Einschränkung der Ausübung der in der Charta garantierten Rechte und Freiheiten gesetzlich vorgesehen sein und den Wesensgehalt dieser Rechte und Freiheiten achten muss, bedeutet, dass kein legitimes Ziel einen Eingriff rechtfertigen kann, der diesen Wesensgehalt beeinträchtigt. Der Eingriff wird dann als eine Verletzung der Charta beurteilt, ohne dass zu prüfen ist, ob er zur Erreichung des verfolgten Ziels geeignet und verhältnismäßig ist.
273. Hierzu hat der Gerichtshof entschieden, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens verletzt(147). Dagegen hat der Gerichtshof unter gleichzeitiger Betonung der mit dem Zugang und der Analyse der Verkehrs- und der Standortdaten verbundenen Gefahren(148) befunden, dass der Wesensgehalt dieses Rechts nicht beeinträchtigt ist, wenn eine nationale Regelung den staatlichen Behörden einen generellen Zugriff auf diese Daten erlaubt(149).
274. Im vorliegenden Fall kann Section 702 FISA meines Erachtens nicht als eine Bestimmung angesehen werden, die die amerikanischen Nachrichtendienste zu einem generellen Zugriff auf den Inhalt elektronischer Kommunikation ermächtigt.
275. Zum einen ist nämlich der Zugriff der Nachrichtendienste auf die Daten nach Section 702 FISA zum Zweck ihrer eventuellen Analyse und Verwendung auf die Daten beschränkt, die individuellen Zielpersonen zugeordneten Selektionskriterien entsprechen.
276. Zum anderen könnte mit dem Upstream-Programm zwar ein genereller Zugriff auf den Inhalt elektronischer Kommunikation im Hinblick auf ihre automatisierte Filterung verbunden sein, wenn Selektoren nicht nur auf die Felder „von“ und „an“ angewandt würden, sondern auch auf den gesamten Inhalt der Datenflüsse (den Selektor „betreffende“ Suche)(150). Wie jedoch die Kommission geltend macht und entgegen dem, was Herr Schrems und das EPIC vertreten, kann der temporäre Zugriff der Nachrichtendienste auf den gesamten Inhalt der elektronischen Kommunikation allein zum Zweck ihres Filterns durch die Anwendung von Selektionskriterien einem generellen Zugriff auf diesen Inhalt nicht gleichgestellt werden(151). Meiner Ansicht nach wiegt dieser zeitlich begrenzte Eingriff zwecks automatisierter Filterung nicht so schwer wie der Eingriff, der sich aus einem generellen Zugriff der Behörden auf diesen Inhalt zum Zweck seiner Analyse und etwaigen Verwendung ergibt(152). Der temporäre Zugriff zwecks Filterung erlaubt es diesen Behörden nicht, die Metadaten oder den Inhalt der Kommunikation, die diesen Selektionskriterien nicht entsprechen, zu speichern, und insbesondere nicht, wie die amerikanische Regierung geltend gemacht hat, Profile der mit diesen Kriterien nicht erfassten Einzelpersonen zu erstellen.
277. Die Frage, ob die Ausrichtung der Überwachung anhand von Selektoren im Rahmen der auf Section 702 FISA gestützten Programme die Befugnisse der Nachrichtendienste wirksam begrenzt, hängt allerdings von der Regelung der Wahl der Selektoren ab(153). Herr Schrems macht geltend, mangels einer hinreichenden Kontrolle in dieser Hinsicht sehe das amerikanische Recht keine Garantie gegen einen generellen Zugriff auf die Kommunikationsinhalte bereits auf der Stufe des Filterns vor, so dass es den Wesensgehalt des Rechts auf Achtung des Privatlebens der betroffenen Personen beeinträchtige.
278. Wie ich im Einzelnen darlegen werde(154), neige ich dazu, diese Zweifel, ob der Rahmen für die Wahl der Selektoren so geregelt ist, dass den Kriterien der Vorhersehbarkeit und der Verhältnismäßigkeit der Eingriffe Genüge getan ist, zu teilen. Das Bestehen dieses Rahmens, auch wenn er nicht vollkommen sein mag, steht jedoch dem Schluss entgegen, dass Section 702 FISA einen generellen Zugriff der Behörden auf den Inhalt elektronischer Kommunikation erlaubt und damit einer Beeinträchtigung des Wesensgehalts des in Art. 7 der Charta verankerten Rechts gleichkommt.
279. Ich weise auch darauf hin, dass der Gerichtshof im Gutachten 1/15 befunden hat, dass der Wesensgehalt des in Art. 8 der Charta niedergelegten Rechts auf Schutz personenbezogener Daten gewahrt ist, wenn die Zwecke der Verarbeitung begrenzt sind und für diese Verarbeitung Regeln gelten, mit denen die Sicherheit, die Vertraulichkeit und die Integrität dieser Daten gewährleistet und die Daten vor unbefugten Zugriffen und unrechtmäßiger Verarbeitung geschützt werden sollen(155).
280. Im „Datenschutzschild“-Beschluss hat die Kommission festgestellt, dass sowohl Section 702 FISA als auch die PPD 28 die Zwecke begrenzten, für die Daten im Rahmen der Programme nach Section 702 FISA gesammelt werden könnten(156). Die PPD 28 sehe zudem Regeln für den Zugriff auf die Daten sowie ihre Speicherung und Weitergabe vor, um deren Sicherheit zu gewährleisten und sie gegen unbefugten Zugriff zu schützen(157). Wie ich im Folgenden darlegen werde(158), habe ich Zweifel insbesondere in Bezug auf die Frage, ob die Zwecke der in Rede stehenden Verarbeitungen so klar und genau bestimmt sind, dass ein Schutzniveau sichergestellt ist, das dem in der Rechtsordnung der Union geltenden der Sache nach gleichwertig ist. Gleichwohl würden diese eventuellen Schwächen meines Erachtens nicht für die Feststellung genügen, dass derartige Programme, würden sie innerhalb der Union durchgeführt, den Wesensgehalt des Rechts auf Schutz personenbezogener Daten verletzten.
281. Zudem ist die Angemessenheit des im Rahmen der Überwachungstätigkeiten nach der EO 12333 sichergestellten Schutzniveaus, wie bereits dargelegt, anhand der Bestimmungen der EMRK zu beurteilen. Insoweit geht aus dem „Datenschutzschild“-Beschluss hervor, dass die einzigen Einschränkungen für die Durchführung der Maßnahmen zur Sammlung von Nicht-US-Personen betreffenden Daten nach der EO 12333 die in der PPD 28 vorgesehenen Einschränkungen sind(159). Letztere schreibt vor, dass die Außenaufklärung „so gezielt wie möglich“ erfolgen muss. Sie sieht jedoch ausdrücklich die Möglichkeit einer „Sammelbeschaffung“ von Daten außerhalb des amerikanischen Hoheitsgebiets zur Verfolgung bestimmter besonderer Ziele der nationalen Sicherheit vor(160). Nach Ansicht von Herrn Schrems schützen die Bestimmungen der PPD 28, die im Übrigen keine Rechte für Einzelpersonen begründet, die betroffenen Personen nicht gegen die Gefahr eines generellen Zugriffs auf den Inhalt ihrer elektronischen Kommunikation.
282. Ich beschränke mich hier auf den Hinweis, dass der EGMR in seiner Rechtsprechung zu Art. 8 EMRK nicht die Denkfigur des Antastens des Wesensgehalts oder des Kerns des Rechts auf Privatleben herangezogen hat(161). Bisher hat er nicht befunden, dass Regelungen, die das – selbst massive – Abfangen elektronischer Kommunikation erlauben, als solche den Ermessensspielraum der Mitgliedstaaten überschreiten. Der EGMR erachtet solche Regelungen für mit Art. 8 EMRK vereinbar, sofern sie mit einer Reihe von Mindestgarantien einhergehen(162). Unter diesen Umständen halte ich es nicht für angemessen, in einem Überwachungssystem, wie es die EO 12333 vorsieht, eine Überschreitung des Ermessensspielraums der Mitgliedstaaten zu sehen, ohne die damit etwa einhergehenden Garantien zu prüfen.
4) Zur Verfolgung eines legitimen Ziels
283. Nach Art. 52 Abs. 1 der Charta muss jede Einschränkung der Ausübung der in dieser Charta anerkannten Rechte einer von der Union anerkannten dem Gemeinwohl dienenden Zielsetzung tatsächlich entsprechen. Gemäß Art. 8 Abs. 2 der Charta muss jede Verarbeitung personenbezogener Daten, die nicht mit Einwilligung der betroffenen Person erfolgt, auf einer „gesetzlich geregelten legitimen Grundlage“ beruhen. In Art. 8 EMRK wiederum sind die Zwecke aufgeführt, die einen Eingriff in das Recht auf Achtung des Privatlebens rechtfertigen können.
284. Nach dem „Datenschutzschild“-Beschluss kann die Einhaltung der in diesem aufgestellten Grundsätze zur Erfüllung von Verpflichtungen betreffend die nationale Sicherheit, das öffentliche Interesse oder die Durchführung von Gesetzen eingeschränkt werden(163). In der Erwägungsgründen 67 bis 124 dieses Beschlusses werden die Einschränkungen, die sich aus dem Zugang der amerikanischen Behörden zu den Daten und aus ihrer Verwendung durch diese für Zwecke der nationalen Sicherheit ergeben, im Einzelnen geprüft.
285. Unstreitig ist der Schutz der nationalen Sicherheit ein legitimes Interesse, das Abweichungen von den aus der DSGVO folgenden Erfordernissen(164) und von den in den Art. 7 und 8 der Charta sowie in Art. 8 Abs. 2 EMRK verankerten Grundrechten(165) erlauben kann. Herr Schrems, die österreichische Regierung und das EPIC haben jedoch geltend gemacht, dass die im Rahmen der auf Section 702 FISA und die EO 12333 gestützten Überwachungsprogramme verfolgten Ziele über die bloße nationale Sicherheit hinausgingen. Ihrem Wortlaut nach dienten diese Instrumente der „Auslandsaufklärung“, wobei dieser Begriff Informationen unterschiedlicher Art umfasse, darunter solche betreffend die nationale Sicherheit, ohne notwendig darauf beschränkt zu sein(166). So fallen unter den Begriff „Auslandsaufklärung“ im Sinne von Section 702 FISA die Daten betreffend die Führung der Außenpolitik(167). In der EO 12333 werden unter diesem Begriff die Informationen über die Fähigkeiten, die Absichten und die Aktivitäten ausländischer Regierungen, ausländischer Organisationen und ausländischer Personen verstanden(168). Herr Schrems stellt die Legitimität des damit verfolgten Ziels in Frage, weil es über die nationale Sicherheit hinausgehe.
286. Meines Erachtens kann der Bereich der nationalen Sicherheit in einem gewissen Maß den Schutz von Interessen betreffend die Führung der Außenpolitik umfassen(169). Auch ist nicht undenkbar, dass einige der anderen Zwecke als der des Schutzes der nationalen Sicherheit, die unter den Begriff der Auslandsaufklärung im Sinne von Section 702 FISA und der EO 12333 fallen, legitime Ziele sein könnten, die einen Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten zu rechtfertigen vermögen. Diese Ziele würden jedenfalls im Rahmen der Abwägung zwischen den Grundrechten der betroffenen Personen und dem mit dem Eingriff verfolgten Zweck weniger schwer wiegen als die Aufrechterhaltung der nationalen Sicherheit(170).
287. Nach Art. 52 Abs. 1 der Charta muss jedoch die nationale Sicherheit oder ein anderes legitimes Ziel tatsächlich mit den Maßnahmen verfolgt werden, die die in Rede stehenden Eingriffe vorsehen(171). Zudem müssen die Zwecke der Eingriffe so definiert sein, dass sie den Anforderungen an Klarheit und Genauigkeit genügen(172).
288. Nach Ansicht von Herrn Schrems ist aber der Zweck der Überwachungsmaßnahmen nach Section 702 FISA und der EO 12333 nicht so genau benannt, dass die Garantien der Vorhersehbarkeit und der Verhältnismäßigkeit beachtet wären. Vor allem werde in diesen Instrumenten der Begriff der Auslandsaufklärung besonders weit gefasst. Überdies hat die Kommission im 109. Erwägungsgrund des „Datenschutzschild“-Beschlusses festgestellt, dass nach Section 702 FISA das Sammeln von Informationen im Bereich der Auslandsaufklärung „ein wesentlicher Zweck“ der Datenerhebung sein müsse, was auf den ersten Blick, wie das EPIC ausgeführt hat, die Verfolgung anderer, nicht bestimmter Ziele nicht ausschließt.
289. Aus diesen Gründen und ohne auszuschließen, dass mit den Überwachungsmaßnahmen nach Section 702 FISA oder der EO 12333 legitime Ziele verfolgt werden, ist die Frage erlaubt, ob diese Ziele so klar und genau definiert sind, dass eine Kontrolle der Verhältnismäßigkeit der sich daraus ergebenden Eingriffe möglich ist(173).
5) Zur Erforderlichkeit und Verhältnismäßigkeit der Eingriffe
290. Der Gerichtshof hat wiederholt hervorgehoben, dass die in den Art. 7 und 8 der Charta verankerten Rechte keine uneingeschränkte Geltung beanspruchen können, sondern im Hinblick auf ihre gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden müssen(174). Wie Facebook Ireland ausgeführt hat, gehört zu diesen anderen Rechten das in Art. 6 der Charta garantierte Recht auf Sicherheit.
291. Nach ebenfalls ständiger Rechtsprechung muss jeder Eingriff in die Ausübung der in den Art. 7 und 8 der Charta garantierten Rechte einer strikten Verhältnismäßigkeitskontrolle unterliegen(175).
292. Nach dem Urteil Schrems ist insbesondere „[n]icht auf das absolut Notwendige beschränkt … eine Regelung, die generell die Speicherung aller personenbezogenen Daten … gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne ein objektives Kriterium vorzusehen, das es ermöglicht, den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit deren Nutzung verbundenen Eingriff zu rechtfertigen vermögen“(176).
293. Der Gerichtshof hat auch entschieden, dass der Zugang außer in hinreichend begründeten Eilfällen einer vorherigen Kontrolle entweder durch ein Gericht oder eine unabhängige Verwaltungsstelle unterworfen sein muss, deren Entscheidung den Zugriff auf die Daten und ihre Verwendung auf das beschränken soll, was zur Erreichung des angestrebten Ziels absolut erforderlich ist(177).
294. In Art. 23 Abs. 2 DSGVO ist eine Reihe von Garantien festgelegt, die ein Mitgliedstaat vorsehen muss, wenn er von den Bestimmungen dieser Verordnung abweicht. Die eine solche Abweichung gestattende Regelung muss Bestimmungen u. a. zu den Zwecken der Verarbeitung, zum Umfang der Abweichung, zu den Garantien, mit denen Missbräuchen vorgebeugt werden soll, und zum Recht der betroffenen Personen auf Unterrichtung über die Abweichung enthalten, sofern dies nicht dem Zweck der Abweichung abträglich ist.
295. Herr Schrems meint, Section 702 FISA sei nicht mit hinreichenden Garantien gegen die Gefahren von Missbrauch und unrechtmäßigem Zugriff auf die Daten versehen. Insbesondere sei die Wahl der Kriterien nicht ausreichend geregelt, so dass diese Bestimmung keine Sicherheit vor einem generellen Zugriff auf den Inhalt der Kommunikation biete.
296. Die Regierung der Vereinigten Staaten und die Kommission machen demgegenüber geltend, Section 702 FISA begrenze die Wahl der Selektoren durch objektive Kriterien, da diese Bestimmung nur die Sammlung von Daten der elektronischen Kommunikation von Nicht-US-Personen, die sich außerhalb der Vereinigten Staaten befänden, zur Erlangung von Informationen im Bereich der Auslandsaufklärung erlaube.
297. Meines Erachtens darf bezweifelt werden, ob diese Kriterien für die Wahl der Selektoren hinreichend klar und genau sind und ob ausreichende Garantien zur Vorbeugung gegen Missbrauchsgefahren bestehen.
298. Zunächst geht aus dem 109. Erwägungsgrund des „Datenschutzschild“-Beschlusses hervor, dass die Selektoren vor ihrer Anwendung nicht individuell vom FISC oder einem anderen gerichtlichen oder administrativen Organ genehmigt werden. Nach der Feststellung der Kommission „autorisiert [der] FISC … keine individuellen Überwachungsmaßnahmen; vielmehr genehmigt [er] Überwachungsprogramme … auf der Grundlage jährlicher Zertifizierungen“, was die Regierung der Vereinigten Staaten vor dem Gerichtshof bestätigt hat. Diesem Erwägungsgrund zufolge „enthalten die vom FISC zu bestätigenden Zertifizierungen keine Informationen über die einzelnen zu überwachenden Personen, sondern beziehen sich auf Kategorien von Auslandsaufklärungsdaten“, die gesammelt werden können. Weiter stellt die Kommission dort fest, dass der „FISC [nicht] beurteilt … – anhand eines hinreichenden Verdachts oder sonstigen Kriteriums –, ob die Personen vorschriftsgemäß als Zielpersonen für die Beschaffung von Auslandsaufklärungsdaten ausgewählt wurden …“, wohl aber die Einhaltung der Bestimmung überprüft, dass „ein wesentlicher Zweck der Datenerhebung darin besteht, Auslandsaufklärungsdaten zu erlangen“.
299. Sodann ist diesem Erwägungsgrund zufolge der NSA nach Section 702 FISA die Erhebung des Datenverkehrs nur dann gestattet, „wenn die begründete Annahme besteht, dass ein bestimmtes Kommunikationsmittel verwendet wird, um Daten zu übermitteln, die für die Auslandsaufklärung von Interesse sind“. Nach dem 70. Erwägungsgrund des „Datenschutzschild“-Beschlusses erfolgt zudem die Wahl der Selektoren anhand des nationalen nachrichtendienstlichen Prioritätsrahmens (National Intelligence Priorities Framework, NIPF). In diesem Beschluss werden keine für die NSA geltenden genaueren Anforderungen an die Begründung oder Rechtfertigung der Wahl der Selektoren nach Maßgabe dieser behördlichen Prioritäten genannt(178).
300. Schließlich wird im 71. Erwägungsgrund des „Datenschutzschild“-Beschlusses darauf hingewiesen, dass nach der PPD 28 die Datensammlung im Bereich der Auslandsaufklärung „so zielgenau wie möglich“ erfolgen muss. Abgesehen davon, dass die PPD 28 keine Rechte für Einzelpersonen begründet, liegt es meines Erachtens keineswegs auf der Hand, dass das Kriterium einer „so gezielt wie möglich“ erfolgenden Tätigkeit und dasjenige der „absoluten Notwendigkeit“, das Art. 52 Abs. 1 der Charta für die Rechtfertigung eines Eingriffs in die nach ihren Art. 7 und 8 garantierten Rechte aufstellt, der Sache nach gleichwertig sind(179).
301. Angesichts dieser Erwägungen ist nicht sicher, dass, ausgehend von den Angaben im „Datenschutzschild“-Beschluss, die auf Section 702 FISA gestützten Überwachungsmaßnahmen mit Garantien bezüglich der Begrenzung der Personen, die Gegenstand einer Überwachungsmaßnahme sein können, und der Zwecke, für die Daten gesammelt werden können, einhergehen, die der Sache nach denjenigen gleichwertig sind, die nach der DSGVO im Licht der Art. 7 und 8 der Charta bestehen müssen(180).
302. Was weiter die Beurteilung der Angemessenheit des bei der Überwachung gemäß der EO 12333 bestehenden Schutzniveaus angeht, gesteht der EGMR den Mitgliedstaaten einen weiten Ermessensspielraum bei der Wahl der Mittel zum Schutz der nationalen Sicherheit zu, der allerdings durch das Erfordernis begrenzt ist, angemessene und hinreichende Garantien gegen Missbräuche vorzusehen(181). In seiner Rechtsprechung zu geheimen Überwachungsmaßnahmen prüft der EGMR, ob das innerstaatliche Recht, auf dem diese Maßnahmen beruhen, angemessene und wirksame Sicherungen und Garantien enthält, die den Erfordernissen der Vorhersehbarkeit und der Erforderlichkeit in einer demokratischen Gesellschaft genügen(182).
303. Der EGMR nennt insoweit eine Reihe von Mindestgarantien. Diese Garantien beziehen sich auf die klare und genaue Beschreibung der Straftaten, derentwegen eine Überwachung angeordnet werden durfte, die Bestimmung der Kategorien von Personen, deren Kommunikation überwacht werden durfte, die Festlegung einer zeitlichen Begrenzung der Durchführung der Maßnahme, das Verfahren für die Prüfung, die Auswertung und die Speicherung der gesammelten Daten, die Vorsichtsmaßnahmen bezüglich der Übermittlung von Daten an andere Stellen und die Umstände, unter denen Aufzeichnungen gelöscht oder Bänder vernichtet werden können oder müssen(183).
304. Die Angemessenheit und die Wirksamkeit der den Eingriff begleitenden Garantien hängen von den gesamten Sachverhaltsumständen ab, d. h. von der Art, dem Umfang und der Dauer der möglichen Maßnahmen, den Gründen, aus denen solche Maßnahmen angeordnet werden dürfen, den für die Genehmigung, Durchführung und Überwachung solcher Maßnahmen zuständigen Behörden und der Art des nach innerstaatlichem Recht vorgesehenen Rechtsbehelfs(184).
305. Zur Beurteilung der Rechtfertigung einer geheimen Überwachungsmaßnahme berücksichtigt der EGMR die Gesamtheit der Kontrollen „bei ihrer Anordnung“, „während ihrer Durchführung“ und „nach ihrer Beendigung“(185). Für die erste dieser drei Phasen verlangt der EGMR, dass eine solche Maßnahme von einem unabhängigen Organ genehmigt worden ist. Auch wenn nach Ansicht des EGMR die rechtsprechende Gewalt die besten Garantien der Unabhängigkeit, Unparteilichkeit und eines ordnungsgemäßen Verfahrens bietet, muss das betreffende Organ nicht zwingend ein Gericht sein(186). Eine eingehende gerichtliche Kontrolle in einem späteren Stadium kann eventuelle Mängel des Genehmigungsverfahrens ausgleichen(187).
306. Im vorliegenden Fall geht aus dem „Datenschutzschild“-Beschluss hervor, dass die einzigen Garantien, die die Sammlung und die Nutzung von Daten außerhalb des Hoheitsgebiets der Vereinigten Staaten begrenzen, in der PPD 28 enthalten sind, da Section 702 FISA nicht außerhalb dieses Hoheitsgebiets gilt. Ich bin nicht davon überzeugt, dass diese Garantien ausreichen, um die Voraussetzungen der „Vorhersehbarkeit“ und der „Notwendigkeit in einer demokratischen Gesellschaft“ zu erfüllen.
307. Zunächst begründet, wie ich bereits ausgeführt habe, diese Präsidialrichtlinie keine Rechte für Einzelpersonen. Sodann bezweifle ich, dass das Erfordernis, dass eine Überwachung „so zielgenau wie möglich“ erfolgen muss, klar und genau genug formuliert ist, um die betroffenen Personen angemessen gegen Missbrauchsgefahren zu schützen(188). Schließlich wird im „Datenschutzschild“-Beschluss nicht festgestellt, dass die auf die EO 12333 gestützte Überwachung einer Vorabkontrolle durch ein unabhängiges Organ unterliegt oder Gegenstand einer nachträglichen gerichtlichen Kontrolle sein könnte(189).
308. Unter diesen Umständen hege ich Zweifel an der Begründetheit der Feststellung, dass die Vereinigten Staaten im Rahmen der Tätigkeiten ihrer Nachrichtendienste nach Section 702 FISA und der EO 12333 ein angemessenes Schutzniveau im Sinne von Art. 45 Abs. 1 DSGVO im Licht der Art. 7 und 8 der Charta sowie des Art. 8 EMRK sicherstellen.
c) Zur Gültigkeit des „Datenschutzschild“-Beschlusses nach Maßgabe des Rechts auf einen wirksamen Rechtsbehelf
309. Die fünfte Vorlagefrage geht dahin, ob die Personen, deren Daten in die Vereinigten Staaten übermittelt werden, dort über einen Rechtsschutz verfügen, der dem in der Union gemäß Art. 47 der Charta vorgeschriebenen der Sache nach gleichwertig ist. Mit seiner zehnten Frage möchte das vorlegende Gericht im Kern wissen, ob die fünfte Frage wegen der Einführung eines Ombudsmechanismus durch den „Datenschutzschild“-Beschluss zu bejahen ist.
310. Ich stelle ohne Umschweife fest, dass die Kommission im 115. Erwägungsgrund des „Datenschutzschild“-Beschlusses einräumt, dass das amerikanische Rechtssystem Lücken beim Individualrechtsschutz aufweist.
311. Nach diesem Erwägungsgrund erstrecken sich erstens die Rechtsschutzmöglichkeiten „zumindest [nicht auf] einige Rechtsgrundlagen, die US-Nachrichtendienste nutzen können (z. B. EO 12333)“. In der Tat gewähren die EO 12333 und die PPD 28 den betroffenen Personen keine Rechte, und diese können sich vor Gericht nicht auf sie berufen. Ein wirksamer gerichtlicher Rechtsschutz setzt aber zumindest voraus, dass die Einzelnen über Rechte verfügen, die sie vor Gericht geltend machen können.
312. Zweitens sind, „[s]elbst wenn Nicht-US-[Personen] im Prinzip auf gerichtliche Rechtsbehelfe zurückgreifen können, beispielsweise auf der Grundlage des FISA im Falle der Überwachung, … die verfügbaren Klagemöglichkeiten begrenzt …, denn Klagen … werden abgewiesen, wenn diese ihre ‚Klagebefugnis‘ nicht nachweisen können …, was den Zugang zu den ordentlichen Gerichten einschränkt“.
313. Den Erwägungsgründen 116 bis 124 des „Datenschutzschild“-Beschlusses zufolge sollen diese Einschränkungen durch die Einrichtung der Ombudsperson ausgeglichen werden. Im 139. Erwägungsgrund dieses Beschlusses kommt die Kommission zu dem Schluss, dass „insgesamt betrachtet die vom Datenschutzschild vorgesehenen Aufsichts- und Beschwerdeverfahren … den betroffenen Personen Rechtsbehelfe an die Hand [geben], um Zugang zu den sie betreffenden personenbezogenen Daten zu erlangen und letztlich die Korrektur oder Löschung dieser Daten zu erwirken“ (Hervorhebung nur hier).
314. Vor dem Hintergrund einer Darstellung der allgemeinen Grundsätze, die sich der Rechtsprechung des Gerichtshofs und der des EGMR zum Recht auf einen Rechtsbehelf gegen Maßnahmen der Kommunikationsüberwachung entnehmen lassen, werde ich prüfen, ob mit den im amerikanischen Recht vorgesehenen gerichtlichen Rechtsbehelfen, wie sie im „Datenschutzschild“-Beschluss beschrieben werden, ein angemessener Rechtsschutz für die betroffenen Personen sichergestellt werden kann (Abschnitt 1). Im Anschluss daran werde ich untersuchen, ob sich mit der Einführung des außergerichtlichen Ombudsmechanismus gegebenenfalls etwaige Lücken im Rechtsschutz dieser Personen ausgleichen lassen (Abschnitt 2).
1) Zur Wirksamkeit der im amerikanischen Recht vorgesehenen gerichtlichen Rechtsbehelfe
315. Als Erstes ist festzustellen, dass Art. 47 Abs. 1 der Charta jeder Person, deren durch das Recht der Union garantierte Rechte oder Freiheiten verletzt worden sind, das Recht zuerkennt, bei einem Gericht einen wirksamen Rechtsbehelf einzulegen(190). Nach Abs. 2 dieser Bestimmung hat jede Person ein Recht darauf, dass ihre Sache von einem unabhängigen und unparteiischen Gericht verhandelt wird(191). Der Gerichtshof hat entschieden, dass der Zugang zu einem unabhängigen Gericht zum Wesensgehalt des in Art. 47 der Charta garantierten Rechts gehört(192).
316. Dieses Recht auf gerichtlichen Individualrechtsschutz tritt zur Verpflichtung der Mitgliedstaaten nach den Art. 7 und 8 der Charta hinzu, jede Überwachungsmaßnahme außer in hinreichend begründeten Eilfällen einer vorherigen Kontrolle entweder durch ein Gericht oder eine unabhängige Verwaltungsstelle zu unterwerfen(193).
317. Gewiss ist, wie die französische und die deutsche Regierung geltend gemacht haben, das Recht auf einen gerichtlichen Rechtsbehelf nicht uneingeschränkt gewährleistet(194), sondern kann aus Gründen der nationalen Sicherheit eingeschränkt werden. Abweichungen sind jedoch nur insoweit zulässig, als sie den Wesensgehalt dieses Rechts nicht beeinträchtigen und zur Erreichung eines legitimen Ziels absolut notwendig sind.
318. Hierzu hat der Gerichtshof im Urteil Schrems entschieden, dass eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Auskunft über die ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts verletzt(195).
319. Ich betone, dass dieses Auskunftsrecht die Möglichkeit für eine Person bedeutet, von den Behörden vorbehaltlich der zur Verfolgung eines legitimen Interesses absolut notwendigen Abweichungen eine Bestätigung darüber zu verlangen, ob diese Behörden sie betreffende personenbezogene Daten verarbeiten(196). Darin sehe ich die praktische Bedeutung des Auskunftsrechts, wenn die betroffene Person nicht weiß, ob die Behörden nach Abschluss u. a. eines Prozesses der automatisierten Filterung des elektronischen Datenverkehrs sie betreffende personenbezogene Daten gespeichert haben.
320. Zudem sind die Behörden eines Mitgliedstaats nach der Rechtsprechung grundsätzlich gehalten, die betroffenen Personen vom Zugang zu den Daten in Kenntnis zu setzen, sobald diese Mitteilung die behördlichen Ermittlungen nicht mehr beeinträchtigen kann(197). Eine solche Mitteilung ist nämlich eine Voraussetzung für die Ausübung des Rechts auf einen Rechtsbehelf nach Art. 47 der Charta(198). Diese Verpflichtung ist nunmehr in Art. 23 Abs. 2 Buchst. h DSGVO normiert.
321. In den Erwägungsgründen 111 bis 135 des „Datenschutzschild“-Beschlusses werden knapp sämtliche Rechtsbehelfe dargestellt, die den Personen, deren Daten übermittelt werden, zur Verfügung stehen, wenn sie befürchten, dass diese Daten von den amerikanischen Nachrichtendiensten nach der Übermittlung verarbeitet worden sind. Diese Rechtsbehelfe werden auch im Urteil des High Court (Hoher Gerichtshof) vom 3. Oktober 2017 und in den Erklärungen u. a. der Regierung der Vereinigten Staaten beschrieben.
322. Diese Darstellungen brauchen hier nicht im Einzelnen wiederholt zu werden. Das vorlegende Gericht stellt nämlich die Angemessenheit der Garantien bezüglich des Rechtsschutzes der betroffenen Personen im Wesentlichen mit der Begründung in Frage, dass die besonders strengen Anforderungen an die Klagebefugnis („standing“)(199) in Verbindung mit dem Fehlen jeder Verpflichtung zur Unterrichtung der von einer Überwachungsmaßnahme erfassten Personen – selbst wenn die Mitteilung die Ziele nicht mehr gefährden würde – die Inanspruchnahme der im Recht der Vereinigten Staaten vorgesehenen Rechtsbehelfe in der Praxis außerordentlich erschwerten, wenn nicht unmöglich machten. Der DPC, Herr Schrems, die österreichische, die polnische und die portugiesische Regierung sowie der EDPB teilen diese Zweifel(200).
323. Ich beschränke mich insoweit auf den Hinweis, dass die Regeln betreffend die Klagebefugnis den wirksamen gerichtlichen Rechtsschutz nicht beeinträchtigen dürfen(201), und auf die Feststellung, dass im „Datenschutzschild“-Beschluss kein Erfordernis erwähnt wird, die betroffenen Personen davon zu unterrichten, dass sie Gegenstand einer Überwachungsmaßnahme waren(202). Das Fehlen einer Verpflichtung zur Mitteilung einer solchen Maßnahme an die betroffene Person, selbst wenn sie die Wirksamkeit der Maßnahme nicht mehr beeinträchtigen würde, könnte diese an der Inanspruchnahme der gerichtlichen Rechtsbehelfe hindern und erscheint deshalb angesichts der in Nr. 320 der vorliegenden Schlussanträge angeführten Rechtsprechung problematisch.
324. In Fn. 169 des „Datenschutzschild“-Beschlusses wird zudem eingeräumt, dass die verfügbaren Klagemöglichkeiten „entweder das Vorliegen eines Schadens voraus[setzen] … oder den Nachweis, dass die Regierung beabsichtigt, … aus der elektronischen Überwachung gewonnene Erkenntnisse in einem Gerichts- oder Verwaltungsverfahren gegen die betroffene Person zu verwenden“. Wie das vorlegende Gericht sowie der DPC und Herr Schrems ausgeführt haben, steht dieses Erfordernis im Widerspruch zur Rechtsprechung des Gerichtshofs, wonach es für die Feststellung eines Eingriffs in das Recht der betroffenen Person auf Achtung des Privatlebens nicht erforderlich ist, dass diese durch den Vorgang irgendwelche Nachteile erlitten hat(203).
325. Die von Facebook Ireland und von der Regierung der Vereinigten Staaten vertretene Ansicht, die Schwächen des gerichtlichen Rechtsschutzes für die Personen, deren Daten in die Vereinigten Staaten übermittelt werden, würden durch die vorherigen und nachträglichen Kontrollen durch den FISC und durch die verschiedenen innerhalb der Exekutive und der Legislative bestehenden Aufsichtsmechanismen ausgeglichen(204), überzeugt mich nicht.
326. Ich habe bereits darauf hingewiesen, dass zum einen nach den im „Datenschutzschild“-Beschluss getroffenen Feststellungen der FISC nicht die individuellen Überwachungsmaßnahmen vor ihrer Durchführung kontrolliert(205). Wie aus dem 109. Erwägungsgrund dieses Beschlusses hervorgeht und wie die Regierung der Vereinigten Staaten in ihrer schriftlichen Antwort auf die Fragen des Gerichtshofs bestätigt hat, soll mit der nachträglichen Kontrolle der Anwendung der Selektoren zum anderen geprüft werden, ob, wenn dem FISC durch einen Nachrichtendienst ein Vorfall betreffend eine mögliche Verletzung der Verfahren zur zielgenauen Erfassung und Minimisierung zur Kenntnis gebracht wird(206), die in der jährlichen Zertifizierung vorgesehenen Bedingungen für die Wahl der Selektoren eingehalten worden sind. Das Verfahren vor dem FISC scheint daher Personen, deren Daten in die Vereinigten Staaten übermittelt werden, keinen wirksamen gerichtlichen Rechtsschutz zu bieten.
327. Die in den Erwägungsgründen 95 bis 110 des „Datenschutzschild“-Beschlusses erwähnten außergerichtlichen Kontrollmechanismen könnten zwar gegebenenfalls eventuelle gerichtliche Rechtsbehelfe verstärken, sie reichen aber meines Erachtens nicht aus, um ein angemessenes Schutzniveau für das Recht der betroffenen Personen auf einen Rechtsbehelf sicherzustellen. Insbesondere bilden die Generalinspekteure, die der internen Struktur jedes Nachrichtendienstes angehören, keine unabhängigen Kontrollmechanismen. Auch die vom PCLOB und von den Ausschüssen für die Nachrichtendienste des amerikanischen Kongresses ausgeübte Aufsicht steht einem Mechanismus des Individualrechtsschutzes gegen Überwachungsmaßnahmen nicht gleich.
328. Somit ist zu prüfen, ob die Einrichtung der Ombudsperson diese Lücken ausgleicht, indem sie den betroffenen Personen einen wirksamen Rechtsbehelf vor einem unabhängigen und unparteiischen Organ zur Verfügung stellt(207).
329. Als Zweites ist darauf hinzuweisen, dass, wie bereits dargelegt, die Bestimmungen der DSGVO den Bezugsrahmen für die Beurteilung der Frage bilden, ob die im „Datenschutzschild“-Beschluss getroffene Angemessenheitsfeststellung in Anbetracht der Rechtsbehelfe, die den Personen zur Verfügung stehen, die meinen, Gegenstand einer auf die EO 12333 gestützten Überwachung gewesen zu sein, begründet ist.
330. Wie vorstehend dargelegt(208), prüft der EGMR für die Frage, ob eine Überwachungsmaßnahme den Voraussetzungen der „Vorhersehbarkeit“ und der „Notwendigkeit in einer demokratischen Gesellschaft“ im Sinne von Art. 8 Abs. 2 EMRK genügt(209), die Gesamtheit der Kontroll- und Überwachungsmechanismen „vor, während und nach“ ihrer Durchführung. Wird die Inanspruchnahme eines individuellen Rechtsbehelfs dadurch verhindert, dass die Mitteilung der Überwachungsmaßnahme nicht ohne Gefährdung ihrer Wirksamkeit möglich ist(210), kann dieser Mangel durch eine dieser Maßnahme vorausgehende unabhängige Kontrolle aufgewogen werden(211). Der EGMR hält demnach zwar eine solche Mitteilung für „wünschenswert“, wenn sie ohne Beeinträchtigung der Wirksamkeit der Überwachungsmaßnahme erfolgen kann, er hat sie jedoch nicht in den Rang eines Erfordernisses erhoben(212).
331. In dieser Hinsicht lässt der „Datenschutzschild“-Beschluss nicht erkennen, dass die Betroffenen von den auf die EO 12333 gestützten Überwachungsmaßnahmen unterrichtet würden oder dass für diese Maßnahmen in irgendeinem Stadium ihres Erlasses oder ihrer Durchführung unabhängige gerichtliche oder verwaltungsrechtliche Kontrollmechanismen gelten.
332. Unter diesen Umständen ist zu prüfen, ob mit der Befassung der Ombudsperson gleichwohl eine unabhängige Kontrolle der Überwachungsmaßnahmen, einschließlich der auf die EO 12333 gestützten, sichergestellt werden kann.
2) Zur Bedeutung des Ombudsmechanismus für das Niveau des Schutzes des Rechts auf einen wirksamen Rechtsbehelf
333. Dem 116. Erwägungsgrund des „Datenschutzschild“-Beschlusses zufolge soll der in Anhang III A dieses Beschlusses beschriebene Ombudsmechanismus den Lücken im gerichtlichen Rechtsschutz der Personen abhelfen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden.
334. Wie die Regierung der Vereinigten Staaten ausgeführt hat, hängt die Zulässigkeit einer Beschwerde bei der Ombudsperson nicht von der Einhaltung von Regeln betreffend die Klagebefugnis ab, die den für den Zugang zu den amerikanischen Gerichten geltenden ähneln. Nach dem 119. Erwägungsgrund dieses Beschlusses setzt die Befassung der Ombudsperson nicht den Nachweis durch den Betroffenen voraus, dass die Regierung der Vereinigten Staaten auf die ihn betreffenden personenbezogenen Daten zugegriffen hat.
335. Wie der DPC, Herr Schrems, die polnische und die portugiesische Regierung sowie das EPIC bezweifle auch ich, dass dieser Mechanismus die Unzulänglichkeiten des Rechtsschutzes ausgleichen kann, der den Personen geboten wird, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden.
336. Zunächst kann zwar ein außergerichtlicher Rechtsbehelfsmechanismus einen wirksamen Rechtsbehelf im Sinne von Art. 47 der Charta darstellen, doch ist dies insbesondere nur dann der Fall, wenn das fragliche Organ eine gesetzliche Grundlage hat und die Voraussetzung der Unabhängigkeit erfüllt(213).
337. Aus dem „Datenschutzschild“-Beschluss geht indes hervor, dass der auf der PPD 28(214) beruhende Ombudsmechanismus keine gesetzliche Grundlage hat. Die Ombudsperson wird vom Außenminister benannt und gehört dem Außenministerium der Vereinigten Staaten an(215). Dieser Beschluss enthält keinen Hinweis darauf, dass die Abberufung der Ombudsperson oder der Widerruf ihrer Benennung mit besonderen Garantien versehen wäre(216). Obwohl die Ombudsperson als unabhängig von der „Intelligence Community“ (Gemeinschaft der Nachrichtendienste) dargestellt wird, ist sie dem Außenminister unterstellt und daher nicht unabhängig von der Exekutive(217).
338. Sodann hängt die Wirksamkeit eines außergerichtlichen Rechtsbehelfs meines Erachtens ebenfalls davon ab, ob das betreffende Organ verbindliche und mit Gründen versehene Entscheidungen erlassen kann. Der „Datenschutzschild“-Beschluss enthält keinen Hinweis darauf, dass die Ombudsperson derartige Entscheidungen erlässt. In ihm wird nicht festgestellt, dass die Einrichtung der Ombudsperson den Beschwerdeführern erlaubt, Auskunft über die sie betreffenden Daten zu erhalten und sie berichtigen oder löschen zu lassen, und dass die Ombudsperson den durch eine Überwachungsmaßnahme geschädigten Personen eine Entschädigung gewährt. Insbesondere wird nach Anhang III A Abs. 4 Buchst. e dieses Beschlusses „[d]urch die Ombudsstelle … weder bestätigt noch bestritten, dass die betreffende Privatperson Ziel einer Überwachungsmaßnahme war, noch bestätigt die Ombudsstelle die spezielle Abhilfe, die geleistet wurde“(218). Die amerikanische Regierung hat sich zwar dazu verpflichtet, dass der betroffene Teil der Nachrichtendienste jeden von der Ombudsperson festgestellten Verstoß gegen die geltenden Bestimmungen abstellen muss(219), doch werden in diesem Beschluss keine gesetzlichen Garantien angeführt, die mit dieser Verpflichtung einhergehen und auf die sich die betroffenen Personen berufen könnten.
339. Folglich wird mit der Einrichtung der Ombudsperson meines Erachtens kein Rechtsbehelf vor einem unabhängigen Organ geschaffen, der den Personen, deren Daten übermittelt werden, eine Möglichkeit bietet, ihr Recht auf Auskunft über diese Daten geltend zu machen oder etwaige Verstöße der Nachrichtendienste gegen die geltenden Bestimmungen zu beanstanden.
340. Schließlich setzt nach der Rechtsprechung die Wahrung des in Art. 47 der Charta gewährleisteten Rechts voraus, dass die Entscheidung einer Verwaltungsbehörde, die die Voraussetzungen der Unabhängigkeit und Unparteilichkeit selbst nicht erfüllt, einer späteren Kontrolle durch ein Gericht unterliegt, das insbesondere befugt sein muss, sich mit allen relevanten Fragen zu befassen(220). Nach den Angaben im „Datenschutzschild“-Beschluss sind die Entscheidungen der Ombudsperson jedoch nicht Gegenstand einer unabhängigen gerichtlichen Kontrolle.
341. Unter diesen Umständen halte ich es, ebenso wie der DPC, Herr Schrems, das EPIC sowie die polnische und die portugiesische Regierung, für fraglich, ob der von der Rechtsordnung der Vereinigten Staaten gebotene gerichtliche Rechtsschutz für Personen, deren Daten aus der Union dorthin übermittelt werden, dem sich aus der DSGVO im Licht von Art. 47 der Charta und Art. 8 EMRK ergebenden Rechtsschutz der Sache nach gleichwertig ist.
342. Nach alledem habe ich Zweifel an der Vereinbarkeit des „Datenschutzschild“-Beschlusses mit Art. 45 Abs. 1 DSGVO im Licht der Art. 7, 8 und 47 der Charta sowie des Art. 8 EMRK.
V. Ergebnis
343. Ich schlage dem Gerichtshof vor, die vom High Court (Hoher Gerichtshof, Irland) zur Vorabentscheidung vorgelegten Fragen wie folgt zu beantworten:
Die Prüfung der Vorlagefragen hat nichts ergeben, was die Gültigkeit des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates in der durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember 2016 geänderten Fassung beeinträchtigen könnte.