Urteil : Safe Harbour bietet kein angemessenes Datenschutzniveau : aus der RDV 6/2015, Seite 313 bis 320
(Europäischer Gerichtshof, Urteil vom 6. Oktober 2015 – C-362/14 –)
- Art. 25 Abs. 6 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in der durch die Verordnung (EG) Nr. 1882/2003 des Europäischen Parlaments und des Rates vom 29. September 2003 geänderten Fassung ist im Licht der Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine aufgrund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46 über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, in der die Europäische Kommission feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, eine Kontrollstelle eines Mitgliedstaats im Sinne von Art. 28 der Richtlinie in geänderter Fassung nicht daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten, die aus einem Mitgliedstaat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleistet.
- Die Entscheidung 2000/520 ist ungültig.
Aus den Gründen:
Ausgangsverfahren und Vorlagefragen
Herr Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, nutzt seit 2008 das soziale Netzwerk Facebook (im Folgenden: Facebook).
Alle im Unionsgebiet wohnhaften Personen, die Facebook nutzen wollen, müssen bei ihrer Anmeldung einen Vertrag mit Facebook Ireland abschließen, einer Tochtergesellschaft der in den Vereinigten Staaten ansässigen Facebook Inc. Die personenbezogenen Daten der im Unionsgebiet wohnhaften Nutzer von Facebook werden ganz oder teilweise an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet.
Am 25. Juni 2013 legte Herr Schrems beim Commissioner eine Beschwerde ein, mit der er ihn im Wesentlichen aufforderte, in Ausübung der ihm übertragenen Befugnisse Facebook Ireland die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten zu untersagen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten gewährleisteten keinen ausreichenden Schutz der in diesem Land gespeicherten personenbezogenen Daten vor den Überwachungstätigkeiten der dortigen Behörden. Dabei verwies er auf die von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten, insbesondere der National Security Agency (im Folgenden: NSA).
Da sich der Commissioner nicht für verpflichtet hielt, die von Herrn Schrems in seiner Beschwerde gerügten Tatsachen zu untersuchen, wies er die Beschwerde als unbegründet zurück. Er war nämlich der Ansicht, dass es keine Beweise für einen Zugriff der NSA auf die personenbezogenen Daten von Herrn Schrems gebe. Er fügte hinzu, die von Herrn Schrems in seiner Beschwerde erhobenen Rügen könnten nicht mit Erfolg geltend gemacht werden, da alle die Angemessenheit des Schutzes personenbezogener Daten in den Vereinigten Staaten betreffenden Fragen im Einklang mit der Entscheidung 2000/520 zu klären seien und da die Kommission in dieser Entscheidung festgestellt habe, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau gewährleisteten.
Herr Schrems erhob gegen die im Ausgangsverfahren in Rede stehende Entscheidung Klage beim High Court. Dieser stellte nach Prüfung der von den Parteien des Ausgangsverfahrens vorgelegten Beweise fest, dass die elektronische Überwachung und Erfassung der aus der Union in die Vereinigten Staaten übermittelten personenbezogenen Daten notwendigen und unerlässlichen Zielen von öffentlichem Interesse diene. Die Enthüllungen von Herrn Snowden hätten jedoch gezeigt, dass die NSA und andere Bundesbehörden „erhebliche Exzesse“ begangen hätten.
Der High Court fügte hinzu, die Unionsbürger hätten keinen wirksamen Anspruch auf rechtliches Gehör. Die Überwachung der Handlungen der Nachrichtendienste finde ex parte und unter Geheimhaltung statt. Sobald die personenbezogenen Daten in die Vereinigten Staaten übermittelt worden seien, könnten die NSA und andere Bundesbehörden wie das Federal Bureau of Investigation (FBI) darauf im Rahmen der von ihnen praktizierten massenhaften und wahllosen Überwachung und Erfassung zugreifen.
Das irische Recht verbiete die Übermittlung personenbezogener Daten ins Ausland, es sei denn, das betreffende Drittland gewährleiste ein angemessenes Schutzniveau der Privatsphäre sowie der Grundrechte und Grundfreiheiten. Der Stellenwert der durch die irische Verfassung garantierten Rechte auf Privatsphäre und auf Unverletzlichkeit der Wohnung gebiete es, dass jeder Eingriff in diese Rechte verhältnismäßig sei und den gesetzlichen Anforderungen entspreche.
Der massenhafte und undifferenzierte Zugriff auf personenbezogene Daten verstoße offenkundig gegen den Grundsatz der Verhältnismäßigkeit und die durch die irische Verfassung geschützten Grundwerte. Die Erfassung elektronischer Kommunikation könne nur dann als verfassungsgemäß angesehen werden, wenn nachgewiesen werde, dass sie zielgerichtet sei, dass die Überwachung bestimmter Personen oder Personengruppen im Interesse der nationalen Sicherheit oder der Verbrechensbekämpfung objektiv gerechtfertigt sei und dass es angemessene und nachprüfbare Schutzmechanismen gebe. Wäre die Rechtssache des Ausgangsverfahrens allein anhand des irischen Rechts zu prüfen, wäre daher festzustellen, dass der Commissioner in Anbetracht ernster Zweifel daran, ob die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau der personenbezogenen Daten gewährleisteten, eine Untersuchung der von Herrn Schrems in seiner Beschwerde gerügten Tatsachen hätte vornehmen müssen und die Beschwerde zu Unrecht zurückgewiesen hätte.
Da diese Rechtssache jedoch die Durchführung des Rechts der Union im Sinne von Art. 51 der Charta betreffe, sei die Rechtmäßigkeit der im Ausgangsverfahren in Rede stehenden Entscheidung anhand des Unionsrechts zu beurteilen. Die Entscheidung 2000/520 genüge aber weder den Anforderungen der Art. 7 und 8 der Charta noch den vom Gerichtshof im Urteil Digital Rights Ireland u.a. (C-293/12 und C-594/12, EU:C:2014: 238) aufgestellten Grundsätzen. Das durch Art. 7 der Charta und durch die Grundwerte, die sich aus den gemeinsamen Verfassungstraditionen der Mitgliedstaaten ergäben, gewährleistete Recht auf Achtung der Privatsphäre würde seiner Tragweite völlig beraubt, wenn den Behörden gestattet würde, auf die elektronische Kommunikation in beliebiger und pauschaler Weise, ohne jede auf Erwägungen der nationalen Sicherheit oder der Verbrechensverhütung, die speziell mit den Betroffenen in Zusammenhang stünden, basierende objektive Rechtfertigung und ohne begleitende angemessene und nachprüfbare Schutzmechanismen zuzugreifen.
Im Übrigen stelle Herr Schrems mit seiner Klage de facto die Rechtmäßigkeit der durch die Entscheidung 2000/520 geschaffenen Safe-Harbor-Regelung in Frage, auf der die im Ausgangsverfahren in Rede stehende Entscheidung beruhe. Auch wenn er die Gültigkeit weder der Richtlinie 95/46 noch der Entscheidung 2000/520 förmlich angefochten habe, stelle sich daher die Frage, ob der Commissioner im Hinblick auf Art. 25 Abs. 6 der Richtlinie an die von der Kommission in ihrer Entscheidung getroffene Feststellung, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau gewährleisteten, gebunden gewesen sei oder ob Art. 8 der Charta ihn ermächtigt hätte, sich gegebenenfalls über eine solche Feststellung hinwegzusetzen.
Unter diesen Umständen hat der High Court beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. Ist ein unabhängiger Amtsträger, der von Rechts wegen mit der Handhabung und der Durchsetzung von Rechtsvorschriften über den Datenschutz betraut ist, bei der Prüfung einer bei ihm eingelegten Beschwerde, dass personenbezogene Daten in ein Drittland (im vorliegenden Fall in die Vereinigten Staaten von Amerika) übermittelt würden, dessen Recht und Praxis keinen angemessenen Schutz der Betroffenen gewährleisteten, im Hinblick auf die Art. 7, 8 und 47 der Charta, unbeschadet der Bestimmungen von Art. 25 Abs. 6 der Richtlinie 95/46, absolut an die in der Entscheidung 2000/520 enthaltene gegenteilige Feststellung der Union gebunden?
2. Oder kann und/oder muss der Amtsträger stattdessen im Licht tatsächlicher Entwicklungen, die seit der erstmaligen Veröffentlichung der Entscheidung der Kommission eingetreten sind, eigene Ermittlungen in dieser Sache anstellen?
Zu den Vorlagefragen
Mit seinen Vorlagefragen, die gemeinsam zu prüfen sind, möchte das vorlegende Gericht wissen, ob und inwieweit Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Art. 7, 8 und 47 der Charta dahin auszulegen ist, dass eine aufgrund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000/520, in der die Kommission feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, eine Kontrollstelle eines Mitgliedstaats im Sinne von Art. 28 der Richtlinie daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten, die aus einem Mitgliedstaat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten.
Zu den Befugnissen der nationalen Kontrollstellen im Sinne von Art. 28 der Richtlinie 95/46 bei Vorliegen einer nach Art. 25 Abs. 6 dieser Richtlinie ergangenen Entscheidung der Kommission
Zunächst ist darauf hinzuweisen, dass die Bestimmungen der Richtlinie 95/46, soweit sie die Verarbeitung personenbezogener Daten regeln, die zu Beeinträchtigungen der Grundfreiheiten und insbesondere des Rechts auf Achtung der Privatsphäre führen kann, notwendigerweise im Licht der durch die Charta garantierten Grundrechte auszulegen sind (vgl. Urteile Österreichischer Rundfunk u.a., C-465/00, C-138/01 und C-139/01, EU:C:2003:294, Rn. 68, Google Spain und Google, C-131/12, EU:C:2014:317, Rn. 68, sowie Ryneš, C-212/13, EU:C:2014:2428, Rn. 29).
Wie sich aus Art. 1 und aus den Erwägungsgründen 2 und 10 der Richtlinie 95/46 ergibt, soll diese nicht nur einen wirksamen und umfassenden Schutz der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere des Grundrechts auf Achtung der Privatsphäre, bei der Verarbeitung personenbezogener Daten gewährleisten, sondern auch ein hohes Niveau des Schutzes dieser Grundrechte und Grundfreiheiten. Die Bedeutung sowohl des durch Art. 7 der Charta gewährleisteten Grundrechts auf Achtung des Privatlebens als auch des durch ihren Art. 8 gewährleisteten Grundrechts auf Schutz personenbezogener Daten wird im Übrigen in der Rechtsprechung des Gerichtshofs hervorgehoben (vgl. Urteile Rijkeboer, C-553/07, EU:C:2009:293, Rn. 47, Digital Rights Ireland u.a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 53, sowie Google Spain und Google, C-131/12, EU:C:2014:317, Rn. 53, 66 und 74 sowie die dort angeführte Rechtsprechung).
Zu den Befugnissen, über die die nationalen Kontrollstellen hinsichtlich der Übermittlung personenbezogener Daten in Drittländer verfügen, ist festzustellen, dass Art. 28 Abs. 1 der Richtlinie 95/46 den Mitgliedstaaten vorschreibt, eine oder mehrere öffentliche Stellen damit zu beauftragen, in völliger Unabhängigkeit die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung solcher Daten zu überwachen. Dieses Erfordernis ergibt sich auch aus dem Primärrecht der Union, namentlich aus Art. 8 Abs. 3 der Charta und aus Art. 16 Abs. 2 AEUV (vgl. in diesem Sinne Urteile Kommission/Österreich, C-614/10, EU:C:2012:631, Rn. 36, und Kommission/Ungarn, C-288/12, EU:C:2014:237, Rn. 47).
Die Gewährleistung der Unabhängigkeit der nationalen Kontrollstellen soll die wirksame und zuverlässige Kontrolle der Einhaltung der Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sicherstellen und ist im Licht dieses Zwecks auszulegen. Sie wurde eingeführt, um die von den Entscheidungen der Kontrollstellen betroffenen Personen und Einrichtungen stärker zu schützen. Die Einrichtung unabhängiger Kontrollstellen in den Mitgliedstaaten stellt daher – wie dem 62. Erwägungsgrund der Richtlinie 95/46 zu entnehmen ist – ein wesentliches Element zur Wahrung des Schutzes der Personen bei der Verarbeitung personenbezogener Daten dar (vgl. Urteile Kommission/Deutschland, C-518/07, EU:C:2010:125, Rn. 25, und Kommission/Ungarn, C-288/12, EU:C:2014:237, Rn. 48 und die dort angeführte Rechtsprechung).
Um diesen Schutz zu gewährleisten, müssen die nationalen Kontrollstellen u.a. für einen angemessenen Ausgleich zwischen der Achtung des Grundrechts auf Privatsphäre und den Interessen sorgen, die einen freien Verkehr personenbezogener Daten gebieten (vgl. in diesem Sinne Urteile Kommission/Deutschland, C-518/07, EU:C:2010:125, Rn. 24, und Kommission/Ungarn, C-288/12, EU:C:2014:237, Rn. 51).
Zu diesem Zweck verfügen die Kontrollstellen über eine große Bandbreite von Befugnissen, die in Art. 28 Abs. 3 der Richtlinie 95/46 in nicht abschließender Weise aufgezählt werden und, wie im 63. Erwägungsgrund der Richtlinie hervorgehoben wird, notwendige Mittel für die Erfüllung ihrer Aufgaben darstellen. So verfügen sie u.a. über Untersuchungsbefugnisse wie etwa das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen, über wirksame Einwirkungsbefugnisse wie etwa die Befugnis, das vorläufige oder endgültige Verbot einer Verarbeitung von Daten anzuordnen, oder über das Klagerecht.
Zwar geht aus Art. 28 Abs. 1 und 6 der Richtlinie 95/46 hervor, dass die Befugnisse der nationalen Kontrollstellen die Verarbeitung personenbezogener Daten im Hoheitsgebiet ihres Mitgliedstaats betreffen, so dass Art. 28 ihnen keine Befugnisse in Bezug auf die Verarbeitung solcher Daten im Hoheitsgebiet eines Drittlands verleiht.
Die Übermittlung personenbezogener Daten aus einem Mitgliedstaat in ein Drittland stellt jedoch als solche eine Verarbeitung personenbezogener Daten im Sinne von Art. 2 Buchst. b der Richtlinie 95/46 dar (vgl. in diesem Sinne Urteil Parlament/Rat und Kommission, C-317/04 und C-318/04, EU:C:2006:346, Rn. 56), die im Hoheitsgebiet eines Mitgliedstaats vorgenommen wird. In dieser Bestimmung wird die „Verarbeitung personenbezogener Daten“ nämlich als „jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“ definiert und als Beispiel „die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung“ genannt.
Im 60. Erwägungsgrund der Richtlinie 95/46 heißt es, dass Übermittlungen personenbezogener Daten in Drittländer nur unter voller Einhaltung der Rechtsvorschriften erfolgen dürfen, die die Mitgliedstaaten gemäß dieser Richtlinie erlassen haben. Insoweit wurde in Kapitel IV der Richtlinie, in dem sich ihre Art. 25 und 26 befinden, eine Regelung geschaffen, die eine Kontrolle der Übermittlungen personenbezogener Daten in Drittländer durch die Mitgliedstaaten gewährleisten soll. Diese Regelung ergänzt die allgemeine Regelung in Kapitel II der Richtlinie über die allgemeinen Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten (vgl. in diesem Sinne Urteil Lindqvist, C-101/01, EU:C:2003:596, Rn. 63).
Da die nationalen Kontrollstellen gemäß Art. 8 Abs. 3 der Charta und Art. 28 der Richtlinie 95/46 die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu überwachen haben, ist jede von ihnen zu der Prüfung befugt, ob bei einer Übermittlung personenbezogener Daten aus ihrem Mitgliedstaat in ein Drittland die in der Richtlinie 95/46 aufgestellten Anforderungen eingehalten werden.
Im 56. Erwägungsgrund der Richtlinie 95/46 wird zwar anerkannt, dass die Übermittlung personenbezogener Daten aus den Mitgliedstaaten in Drittländer für die Entwicklung des internationalen Handels notwendig ist, doch gilt nach ihrem Art. 25 Abs. 1 der Grundsatz, dass eine solche Übermittlung nur zulässig ist, wenn die Drittländer ein angemessenes Schutzniveau gewährleisten.
Außerdem heißt es im 57. Erwägungsgrund der Richtlinie, dass Übermittlungen personenbezogener Daten in Drittländer, die kein angemessenes Schutzniveau bieten, zu untersagen sind.
Zum Zweck der Kontrolle der Übermittlungen personenbezogener Daten in Drittländer anhand des Schutzniveaus dieser Daten im jeweiligen Drittland werden den Mitgliedstaaten und der Kommission in Art. 25 der Richtlinie 95/46 eine Reihe von Verpflichtungen auferlegt. Insbesondere kann nach diesem Artikel, wie der Generalanwalt in Nr. 86 seiner Schlussanträge ausgeführt hat, die Feststellung, ob ein Drittland ein angemessenes Schutzniveau gewährleistet, sowohl von den Mitgliedstaaten als auch von der Kommission getroffen werden.
Die Kommission kann auf der Grundlage von Art. 25 Abs. 6 der Richtlinie 95/46 eine Entscheidung erlassen, in der sie feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet. Eine solche Entscheidung richtet sich nach Art. 25 Abs. 6 Unterabs. 2 an die Mitgliedstaaten, die die aufgrund der Feststellung gebotenen Maßnahmen treffen müssen. Nach Art. 288 Abs. 4 AEUV bindet sie alle Mitgliedstaaten und ist damit für alle Organe der Mitgliedstaaten verbindlich (vgl. in diesem Sinne Urteile Albako Margarinefabrik, 249/85, EU:C:1987:245, Rn. 17, und Mediaset, C-69/13, EU:C:2014:71, Rn. 23), soweit sie die Übermittlung personenbezogener Daten aus den Mitgliedstaaten in das betreffende Drittland gestattet.
Solange die Entscheidung der Kommission vom Gerichtshof nicht für ungültig erklärt wurde, können die Mitgliedstaaten und ihre Organe, zu denen ihre unabhängigen Kontrollstellen gehören, somit zwar keine dieser Entscheidung zuwiderlaufenden Maßnahmen treffen, wie etwa Rechtsakte, mit denen verbindlich festgestellt wird, dass das Drittland, auf das sich die Entscheidung bezieht, kein angemessenes Schutzniveau gewährleistet. Für die Rechtsakte der Unionsorgane gilt nämlich grundsätzlich eine Vermutung der Rechtmäßigkeit, so dass sie Rechtswirkungen entfalten, solange sie nicht zurückgenommen, im Rahmen einer Nichtigkeitsklage für nichtig erklärt oder infolge eines Vorabentscheidungsersuchens oder einer Einrede der Rechtswidrigkeit für ungültig erklärt wurden (Urteil Kommission/Griechenland, C-475/01, EU:C:2004:585, Rn. 18 und die dort angeführte Rechtsprechung).
Eine nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangene Entscheidung der Kommission wie die Entscheidung 2000/520 kann Personen, deren personenbezogene Daten in ein Drittland übermittelt wurden oder werden könnten, jedoch nicht daran hindern, die nationalen Kontrollstellen zum Schutz der diese Personen betreffenden Rechte und Freiheiten bei der Verarbeitung solcher Daten mit einer Eingabe im Sinne von Art. 28 Abs. 4 der Richtlinie zu befassen. Desgleichen kann eine derartige Entscheidung, wie der Generalanwalt insbesondere in den Nrn. 61, 93 und 116 seiner Schlussanträge ausgeführt hat, die den nationalen Kontrollstellen durch Art. 8 Abs. 3 der Charta und durch Art. 28 der Richtlinie ausdrücklich zuerkannten Befugnisse weder beseitigen noch beschränken.
Weder Art. 8 Abs. 3 der Charta noch Art. 28 der Richtlinie 95/46 schließt die Kontrolle der Übermittlungen personenbezogener Daten in Drittländer, die Gegenstand einer Entscheidung der Kommission nach Art. 25 Abs. 6 der Richtlinie waren, vom Zuständigkeitsbereich der nationalen Kontrollstellen aus.
Insbesondere sieht Art. 28 Abs. 4 Unterabs. 1 der Richtlinie 95/46, der bestimmt, dass sich jede Person „zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten“ mit einer Eingabe an die nationalen Kontrollstellen wenden kann, keine Ausnahme für den Fall vor, dass die Kommission eine Entscheidung nach Art. 25 Abs. 6 der Richtlinie erlassen hat.
Außerdem würde es dem durch die Richtlinie 95/46 geschaffenen System sowie dem Zweck ihrer Art. 25 und 28 zuwiderlaufen, wenn eine Entscheidung der Kommission nach Art. 25 Abs. 6 der Richtlinie eine nationale Kontrollstelle daran hindern würde, die Eingabe einer Person zum Schutz der sie betreffenden Rechte und Freiheiten bei der Verarbeitung ihrer personenbezogenen Daten zu prüfen, die aus einem Mitgliedstaat in ein Drittland, das Gegenstand dieser Entscheidung ist, übermittelt wurden oder werden könnten.
Art. 28 der Richtlinie 95/46 kommt vielmehr seinem Wesen nach bei jeder Verarbeitung personenbezogener Daten zur Anwendung. Auch wenn die Kommission eine Entscheidung nach Art. 25 Abs. 6 der Richtlinie getroffen hat, müssen die nationalen Kontrollstellen daher, wenn sich eine Person mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung ihrer personenbezogenen Daten an sie wendet, in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung dieser Daten die in der Richtlinie aufgestellten Anforderungen gewahrt werden.
Wäre dem nicht so, würde den Personen, deren personenbezogene Daten in das betreffende Drittland übermittelt wurden oder werden könnten, das durch Art. 8 Abs. 1 und 3 der Charta garantierte Recht vorenthalten, sich mit einer Eingabe zum Schutz ihrer Grundrechte an die nationalen Kontrollstellen zu wenden (vgl. entsprechend Urteil Digital Rights Ireland u.a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 68).
Eine Eingabe im Sinne von Art. 28 Abs. 4 der Richtlinie 95/46, mit der eine Person, deren personenbezogene Daten in ein Drittland übermittelt wurden oder werden könnten, wie im Ausgangsverfahren geltend macht, dass ungeachtet der Feststellungen der Kommission in einer nach Art. 25 Abs. 6 der Richtlinie ergangenen Entscheidung das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten, ist dahin zu verstehen, dass sie der Sache nach die Vereinbarkeit dieser Entscheidung mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen betrifft.
Insoweit ist auf die ständige Rechtsprechung des Gerichtshofs hinzuweisen, wonach die Union eine Rechtsunion ist, in der alle Handlungen ihrer Organe der Kontrolle daraufhin unterliegen, ob sie insbesondere mit den Verträgen, den allgemeinen Rechtsgrundsätzen und den Grundrechten im Einklang stehen (vgl. in diesem Sinne Urteile Kommission u.a./Kadi, C-584/10 P, C-593/10 P und C-595/10 P, EU:C:2013:518, Rn. 66, Inuit Tapiriit Kanatami u.a./Parlament und Rat, C-583/11 P, EU:C:2013:625, Rn. 91, und Telefónica/Kommission, C-274/12 P, EU:C:2013:852, Rn. 56). Die nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidungen der Kommission können daher einer solchen Kontrolle nicht entzogen sein.
Gleichwohl ist allein der Gerichtshof befugt, die Ungültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission festzustellen, wobei die Ausschließlichkeit dieser Zuständigkeit Rechtssicherheit gewährleisten soll, indem sie die einheitliche Anwendung des Unionsrechts sicherstellt (vgl. Urteile Melki und Abdeli, C-188/10 und C-189/10, EU:C:2010:363, Rn. 54, sowie CIVAD, C-533/10, EU:C:2012:347, Rn. 40).
Die nationalen Gerichte sind zwar berechtigt, die Gültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission zu prüfen; sie sind jedoch nicht befugt, selbst die Ungültigkeit eines solchen Rechtsakts festzustellen (vgl. in diesem Sinne Urteile Foto-Frost, 314/85, EU:C:1987:452, Rn. 15 bis 20, sowie IATA und ELFAA, C-344/04, EU:C:2006:10, Rn. 27). Erst recht sind die nationalen Kontrollstellen bei der Prüfung einer Eingabe im Sinne von Art. 28 Abs. 4 der Richtlinie, die die Vereinbarkeit einer nach Art. 25 Abs. 6 der Richtlinie ergangenen Entscheidung der Kommission mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen zum Gegenstand hat, nicht befugt, selbst die Ungültigkeit einer solchen Entscheidung festzustellen.
In Anbetracht der vorstehenden Erwägungen ist es, wenn sich eine Person, deren personenbezogene Daten in ein Drittland übermittelt wurden oder werden könnten, das Gegenstand einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission ist, mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung dieser Daten an eine nationale Kontrollstelle wendet und im Rahmen dieser Eingabe – wie im Ausgangsverfahren – die Vereinbarkeit der betreffenden Entscheidung mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen in Frage stellt, Sache der angerufenen Kontrollstelle, die Eingabe mit aller gebotenen Sorgfalt zu prüfen.
Falls die Kontrollstelle zu dem Ergebnis kommt, dass das Vorbringen, auf das sich eine solche Eingabe stützt, unbegründet ist, und die Eingabe deshalb zurückweist, muss der Person, von der die Eingabe stammt, nach Art. 28 Abs. 3 Unterabs. 2 der Richtlinie 95/46 im Licht von Art. 47 der Charta der Rechtsweg offenstehen, damit sie eine solche sie beschwerende Entscheidung vor den nationalen Gerichten anfechten kann. Angesichts der in den Rn. 61 und 62 des vorliegenden Urteils angeführten Rechtsprechung müssen diese Gerichte das Verfahren aussetzen und dem Gerichtshof ein Ersuchen um Vorabentscheidung über die Gültigkeit vorlegen, wenn sie der Auffassung sind, dass einer oder mehrere der von den Parteien vorgebrachten oder gegebenenfalls von Amts wegen geprüften Ungültigkeitsgründe durchgreifen (vgl. in diesem Sinne Urteil T & L Sugars und Sidul Açúcares/Kommission, C-456/13 P, EU:C:2015:284, Rn. 48 und die dort angeführte Rechtsprechung).
Hält die Kontrollstelle die Rügen der Person, die sich mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung ihrer personenbezogenen Daten an sie gewandt hat, dagegen für begründet, muss sie nach Art. 28 Abs. 3 Unterabs. 1 dritter Gedankenstrich der Richtlinie 95/46 im Licht insbesondere von Art. 8 Abs. 3 der Charta ein Klagerecht haben. Insoweit ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese, wenn sie die Zweifel der Kontrollstelle an der Gültigkeit der Entscheidung der Kommission teilen, um eine Vorabentscheidung über deren Gültigkeit ersuchen.
Nach alledem ist auf die vorgelegten Fragen zu antworten, dass Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Art. 7, 8 und 47 der Charta dahin auszulegen ist, dass eine aufgrund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000/520, in der die Kommission feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, eine Kontrollstelle eines Mitgliedstaats im Sinne von Art. 28 der Richtlinie nicht daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten, die aus einem Mitgliedstaat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten.
Zur Gültigkeit der Entscheidung 2000/520
Wie aus den Erläuterungen der vorgelegten Fragen durch das vorlegende Gericht hervorgeht, macht Herr Schrems im Ausgangsverfahren geltend, dass das Recht und die Praxis der Vereinigten Staaten kein angemessenes Schutzniveau im Sinne von Art. 25 der Richtlinie 95/46 gewährleisteten. Wie der Generalanwalt in den Nrn. 123 und 124 seiner Schlussanträge ausgeführt hat, äußert Herr Schrems Zweifel an der Gültigkeit der Entscheidung 2000/520, die das vorlegende Gericht im Übrigen der Sache nach zu teilen scheint. Unter diesen Umständen ist angesichts der Feststellungen in den Rn. 60 bis 63 des vorliegenden Urteils, um dem vorlegenden Gericht eine vollständige Antwort zu geben, zu prüfen, ob diese Entscheidung im Licht der Charta den Anforderungen der Richtlinie entspricht.
Zu den Anforderungen, die sich aus Art. 25 Abs. 6 der Richtlinie 95/46 ergeben
Wie bereits in den Rn. 48 und 49 des vorliegenden Urteils ausgeführt, verbietet Art. 25 Abs. 1 der Richtlinie 95/46 Übermittlungen personenbezogener Daten in ein Drittland, das kein angemessenes Schutzniveau gewährleistet.
In Bezug auf die Kontrolle solcher Übermittlungen bestimmt jedoch Art. 25 Abs. 6 Unterabs. 1 der Richtlinie, dass die Kommission „feststellen [kann], dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen … hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 [dieses Artikels] gewährleistet“.
Zwar enthält weder Art. 25 Abs. 2 der Richtlinie 95/46 noch eine andere Bestimmung der Richtlinie eine Definition des Begriffs des angemessenen Schutzniveaus. Insbesondere sieht Art. 25 Abs. 2 der Richtlinie lediglich vor, dass die Angemessenheit des Schutzniveaus, das ein Drittland bietet, „unter Berücksichtigung aller Umstände beurteilt [wird], die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen“, und enthält eine nicht abschließende Aufzählung der bei einer solchen Beurteilung zu berücksichtigenden Umstände.
Wie schon aus dem Wortlaut von Art. 25 Abs. 6 der Richtlinie 95/46 hervorgeht, verlangt diese Bestimmung jedoch zum einen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen ein angemessenes Schutzniveau „gewährleistet“. Zum anderen ist nach dieser Bestimmung die Angemessenheit des Schutzniveaus, das ein Drittland gewährleistet, „hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen“ zu beurteilen.
Somit setzt Art. 25 Abs. 6 der Richtlinie 95/46 die in Art. 8 Abs. 1 der Charta ausdrücklich vorgesehene Pflicht zum Schutz personenbezogener Daten um und soll, wie der Generalanwalt in Nr. 139 seiner Schlussanträge ausgeführt hat, den Fortbestand des hohen Niveaus dieses Schutzes im Fall der Übermittlung personenbezogener Daten in ein Drittland gewährleisten.
Zwar impliziert das Wort „angemessen“ in Art. 25 Abs. 6 der Richtlinie 95/46, dass nicht verlangt werden kann, dass ein Drittland ein dem in der Unionsrechtsordnung garantiertes identisches Schutzniveau gewährleistet. Wie der Generalanwalt in Nr. 141 seiner Schlussanträge ausgeführt hat, ist der Ausdruck „angemessenes Schutzniveau“ jedoch so zu verstehen, dass verlangt wird, dass das Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleistet, das dem in der Union aufgrund der Richtlinie 95/46 im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Ohne ein solches Erfordernis würde nämlich das in der vorstehenden Randnummer erwähnte Ziel missachtet. Außerdem könnte das durch die Richtlinie 95/46 im Licht der Charta garantierte hohe Schutzniveau leicht umgangen werden, indem personenbezogene Daten aus der Union in Drittländer übermittelt würden, um dort verarbeitet zu werden.
Aus dem ausdrücklichen Wortlaut von Art. 25 Abs. 6 der Richtlinie 95/46 geht hervor, dass es die Rechtsordnung des Drittlands, auf das sich die Entscheidung der Kommission bezieht, ist, die ein angemessenes Schutzniveau gewährleisten muss. Auch wenn sich die Mittel, auf die das Drittland insoweit zurückgreift, um ein solches Schutzniveau zu gewährleisten, von denen unterscheiden können, die in der Union herangezogen werden, um die Wahrung der Anforderungen, die sich aus der Richtlinie im Licht der Charta ergeben, zu gewährleisten, müssen sich diese Mittel gleichwohl in der Praxis als wirksam erweisen, um einen Schutz zu gewährleisten, der dem in der Union garantierten der Sache nach gleichwertig ist.
Unter diesen Umständen ist die Kommission bei der Prüfung des von einem Drittland gebotenen Schutzniveaus verpflichtet, den Inhalt der in diesem Land geltenden, aus seinen innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen resultierenden Regeln sowie die zur Gewährleistung der Einhaltung dieser Regeln dienende Praxis zu beurteilen, wobei sie nach Art. 25 Abs. 2 der Richtlinie 95/46 alle Umstände zu berücksichtigen hat, die bei einer Übermittlung personenbezogener Daten in ein Drittland eine Rolle spielen.
Desgleichen obliegt es der Kommission in Anbetracht der Tatsache, dass das durch ein Drittland gewährleistete Schutzniveau Veränderungen unterworfen sein kann, im Anschluss an den Erlass einer Entscheidung nach Art. 25 Abs. 6 der Richtlinie 95/46 in regelmäßigen Abständen zu prüfen, ob die Feststellung zur Angemessenheit des vom fraglichen Drittland gewährleisteten Schutzniveaus in sachlicher und rechtlicher Hinsicht nach wie vor gerechtfertigt ist. Eine solche Prüfung ist jedenfalls dann geboten, wenn Anhaltspunkte vorliegen, die Zweifel daran wecken.
Zudem sind, wie der Generalanwalt in den Nrn. 134 und 135 seiner Schlussanträge ausgeführt hat, bei der Prüfung der Gültigkeit einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission auch nach dem Erlass dieser Entscheidung eingetretene Umstände zu berücksichtigen.
Hierzu ist festzustellen, dass angesichts der besonderen Bedeutung des Schutzes personenbezogener Daten für das Grundrecht auf Achtung der Privatsphäre und der großen Zahl von Personen, deren Grundrechte im Fall der Übermittlung personenbezogener Daten in ein Drittland, das kein angemessenes Schutzniveau gewährleistet, verletzt werden können, der Wertungsspielraum der Kommission hinsichtlich der Angemessenheit des durch ein Drittland gewährleisteten Schutzniveaus eingeschränkt ist, so dass eine strikte Kontrolle der Anforderungen vorzunehmen ist, die sich aus Art. 25 der Richtlinie 95/46 im Licht der Charta ergeben (vgl. entsprechend Urteil Digital Rights Ireland u.a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 47 und 48).
Zu Art. 1 der Entscheidung 2000/520
Die Kommission ist in Art. 1 Abs. 1 der Entscheidung 2000/520 davon ausgegangen, dass die ihr als Anhang I beigefügten Grundsätze, die gemäß den Leitlinien in den dieser Entscheidung als Anhang II beigefügten FAQ umgesetzt würden, ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten, die von der Union an in den Vereinigten Staaten niedergelassene Organisationen übermittelt würden. Aus dieser Bestimmung geht hervor, dass sowohl die genannten Grundsätze als auch die FAQ vom amerikanischen Handelsministerium herausgegeben wurden.
Der Beitritt einer Organisation zu den Grundsätzen des „sicheren Hafens“ erfolgt auf der Grundlage eines Systems der Selbstzertifizierung, wie sich aus Art. 1 Abs. 2 und 3 der Entscheidung 2000/520 in Verbindung mit den FAQ 6 in ihrem Anhang II ergibt.
Auch wenn der Rückgriff eines Drittlands auf ein System der Selbstzertifizierung als solcher nicht gegen das Erfordernis in Art. 25 Abs. 6 der Richtlinie 95/46 verstößt, dass in dem betreffenden Drittland „aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen“ ein angemessenes Schutzniveau gewährleistet sein muss, beruht die Zuverlässigkeit eines solchen Systems im Hinblick auf dieses Erfordernis wesentlich auf der Schaffung wirksamer Überwachungs- und Kontrollmechanismen, die es erlauben, in der Praxis etwaige Verstöße gegen Regeln zur Gewährleistung des Schutzes der Grundrechte, insbesondere des Rechts auf Achtung der Privatsphäre sowie des Rechts auf den Schutz personenbezogener Daten, zu ermitteln und zu ahnden.
Im vorliegenden Fall sind die Grundsätze des „sicheren Hafens“ nach Abs. 2 von Anhang I der Entscheidung 2000/520 „ausschließlich für den Gebrauch durch US-Organisationen bestimmt, die personenbezogene Daten aus der Europäischen Union erhalten, um sich für den ‚sicheren Hafen‘ und die daraus erwachsende Vermutung der ‚Angemessenheit‘ des Datenschutzes zu qualifizieren“. Diese Grundsätze gelten somit nur für selbstzertifizierte US-Organisationen, die aus der Union personenbezogene Daten erhalten, ohne dass von den amerikanischen Behörden die Einhaltung der genannten Grundsätze verlangt wird.
Zudem betrifft die Entscheidung 2000/520 nach ihrem Art. 2 „nur die Angemessenheit des Schutzes, der in den Vereinigten Staaten nach den entsprechend den FAQ umgesetzten Grundsätzen [des ‚sicheren Hafens‘] gewährt wird, um die Anforderungen des Artikels 25 Abs. 1 der Richtlinie [95/46] zu erfüllen“; sie enthält dagegen keine hinreichenden Feststellungen zu den Maßnahmen, mit denen die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen im Sinne von Art. 25 Abs. 6 der Richtlinie ein angemessenes Schutzniveau gewährleisten.
Hinzu kommt, dass die Geltung der genannten Grundsätze nach Abs. 4 von Anhang I der Entscheidung 2000/520 begrenzt werden kann, und zwar u.a. „insoweit, als Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Rechnung getragen werden muss“, sowie „durch Gesetzesrecht, staatliche Regulierungsvorschriften oder Fallrecht, die unvereinbare Verpflichtungen oder ausdrückliche Ermächtigungen schaffen, vorausgesetzt, die Organisation kann in Wahrnehmung dieser Ermächtigungen nachweisen, dass die Nichteinhaltung der Grundsätze sich auf das Ausmaß beschränkte, das die Einhaltung übergeordneter berechtigter Interessen aufgrund eben dieser Ermächtigung erforderte“.
Hierzu wird in Abschnitt B von Anhang IV der Entscheidung 2000/520 hinsichtlich der Grenzen für die Geltung der Grundsätze des „sicheren Hafens“ Folgendes hervorgehoben: „Es steht jedoch eindeutig fest, dass, wenn aufgrund des US-amerikanischen Rechts eine den Grundsätzen des sicheren Hafens entgegenstehende Verpflichtung auferlegt wird, die US-Unternehmen die Gesetze einhalten müssen, und zwar ungeachtet dessen, ob sie auf die Grundsätze des sicheren Hafens verpflichtet sind oder nicht.“
In der Entscheidung 2000/520 wird somit den „Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen“ Vorrang vor den Grundsätzen des „sicheren Hafens“ eingeräumt; aufgrund dieses Vorrangs sind die selbstzertifizierten US-Organisationen, die aus der Union personenbezogene Daten erhalten, ohne jede Einschränkung verpflichtet, die Grundsätze des „sicheren Hafens“ unangewandt zu lassen, wenn sie in Widerstreit zu den genannten Erfordernissen stehen und sich deshalb als mit ihnen unvereinbar erweisen.
Angesichts ihres generellen Charakters ermöglicht die Ausnahme in Abs. 4 von Anhang I der Entscheidung 2000/520 es daher, gestützt auf Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder von Rechtsvorschriften der Vereinigten Staaten in die Grundrechte der Personen einzugreifen, deren personenbezogene Daten aus der Union in die Vereinigten Staaten übermittelt werden oder werden könnten. Für die Feststellung des Vorliegens eines Eingriffs in das Grundrecht auf Achtung der Privatsphäre kommt es nicht darauf an, ob die betreffenden Informationen über die Privatsphäre sensiblen Charakter haben oder ob die Betroffenen durch den Eingriff Nachteile erlitten haben könnten (Urteil Digital Rights Ireland u.a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 33 und die dort angeführte Rechtsprechung).
Überdies enthält die Entscheidung 2000/520 keine Feststellung dazu, ob es in den Vereinigten Staaten staatliche Regeln gibt, die dazu dienen, etwaige Eingriffe – zu denen die staatlichen Stellen dieses Landes in Verfolgung berechtigter Ziele wie der nationalen Sicherheit berechtigt wären – in die Grundrechte der Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, zu begrenzen.
Hinzu kommt, dass die Entscheidung 2000/520 keine Feststellung zum Bestehen eines wirksamen gerichtlichen Rechtsschutzes gegen derartige Eingriffe enthält. Wie der Generalanwalt in den Nrn. 204 bis 206 seiner Schlussanträge ausgeführt hat, beziehen sich die privaten Schiedsmechanismen und die Verfahren vor der Federal Trade Commission, deren insbesondere in den FAQ 11 in Anhang II der Entscheidung beschriebene Befugnisse auf Handelsstreitigkeiten beschränkt sind, auf die Einhaltung der Grundsätze des „sicheren Hafens“ durch die amerikanischen Unternehmen und können nicht im Rahmen von Streitigkeiten über die Rechtmäßigkeit von Eingriffen in Grundrechte, die sich aus Maßnahmen staatlichen Ursprungs ergeben, zur Anwendung kommen.
Die vorstehende Analyse der Entscheidung 2000/520 wird im Übrigen bestätigt durch die von der Kommission selbst vorgenommene Beurteilung der aus der Umsetzung dieser Entscheidung resultierenden Sachlage. Sie stellt nämlich insbesondere in den Abschnitten 2 und 3.2 der Mitteilung COM(2013) 846 final sowie in den Abschnitten 7.1, 7.2 und 8 der Mitteilung COM(2013) 847 final, die in den Rn. 13 bis 16 bzw. den Rn. 22, 23 und 25 des vorliegenden Urteils wiedergegeben werden, fest, dass die amerikanischen Behörden auf die aus den Mitgliedstaaten in die Vereinigten Staaten übermittelten personenbezogenen Daten zugreifen und sie in einer Weise verarbeiten konnten, die namentlich mit den Zielsetzungen ihrer Übermittlung unvereinbar war und über das hinausging, was zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig war. Desgleichen stellte die Kommission fest, dass es für die Betroffenen keine administrativen oder gerichtlichen Rechtsbehelfe gab, die es ihnen erlaubten, Zugang zu den sie betreffenden Daten zu erhalten und gegebenenfalls deren Berichtigung oder Löschung zu erwirken.
Zu dem innerhalb der Union garantierten Schutzniveau der Freiheiten und Grundrechte ist festzustellen, dass eine Unionsregelung, die einen Eingriff in die durch die Art. 7 und 8 der Charta garantierten Grundrechte enthält, nach ständiger Rechtsprechung des Gerichtshofs klare und präzise Regeln für die Tragweite und die Anwendung einer Maßnahme vorsehen und Mindestanforderungen aufstellen muss, so dass die Personen, deren personenbezogene Daten betroffen sind, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen. Das Erfordernis, über solche Garantien zu verfügen, ist umso bedeutsamer, wenn die personenbezogenen Daten automatisch verarbeitet werden und eine erhebliche Gefahr des unberechtigten Zugangs zu ihnen besteht (Urteil Digital Rights Ireland u.a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 54 und 55 sowie die dort angeführte Rechtsprechung).
Darüber hinaus verlangt der Schutz des Grundrechts auf Achtung des Privatlebens auf Unionsebene vor allem, dass sich die Ausnahmen vom Schutz personenbezogener Daten und dessen Einschränkungen auf das absolut Notwendige beschränken (Urteil Digital Rights Ireland u.a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 52 und die dort angeführte Rechtsprechung).
Nicht auf das absolut Notwendige beschränkt ist eine Regelung, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne ein objektives Kriterium vorzusehen, das es ermöglicht, den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit deren Nutzung verbundenen Eingriff zu rechtfertigen vermögen (vgl. in diesem Sinne, in Bezug auf die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG [ABl. L 105, S. 54], Urteil Digital Rights Ireland u.a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 57 bis 61).
Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens (vgl. in diesem Sinne Urteil Digital Rights Ireland u.a., C-293/12 und C-594/12, EU:C:2014:238, Rn. 39).
Desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz. Nach Art. 47 Abs. 1 der Charta hat nämlich jede Person, deren durch das Recht der Union garantierte Rechte oder Freiheiten verletzt worden sind, das Recht, nach Maßgabe der in diesem Artikel vorgesehenen Bedingungen bei einem Gericht einen wirksamen Rechtsbehelf einzulegen. Insoweit ist schon das Vorhandensein einer wirksamen, zur Gewährleistung der Einhaltung des Unionsrechts dienenden gerichtlichen Kontrolle dem Wesen eines Rechtsstaats inhärent (vgl. in diesem Sinne Urteile Les Verts/Parlament, 294/83, EU:C:1986:166, Rn. 23, Johnston, 222/84, EU:C:1986:206, Rn. 18 und 19, Heylens u.a., 222/86, EU:C:1987: 442, Rn. 14, sowie UGT-Rioja u.a., C-428/06 bis C-434/06, EU:C:2008:488, Rn. 80).
Nach den namentlich in den Rn. 71, 73 und 74 des vorliegenden Urteils getroffenen Feststellungen erfordert der Erlass einer Entscheidung der Kommission nach Art. 25 Abs. 6 der Richtlinie 95/46 die gebührend begründete Feststellung dieses Organs, dass das betreffende Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleistet, das dem in der Rechtsordnung der Union garantierten Niveau, wie es sich insbesondere aus den vorstehenden Randnummern des vorliegenden Urteils ergibt, der Sache nach gleichwertig ist.
Die Kommission hat jedoch in der Entscheidung 2000/520 nicht festgestellt, dass die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau „gewährleisten“.
Daher ist, ohne dass es einer Prüfung des Inhalts der Grundsätze des „sicheren Hafens“ bedarf, der Schluss zu ziehen, dass Art. 1 der Entscheidung 2000/520 gegen die in Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Charta festgelegten Anforderungen verstößt und aus diesem Grund ungültig ist.
Zu Art. 3 der Entscheidung 2000/520
Wie aus den Erwägungen in den Rn. 53, 57 und 63 des vorliegenden Urteils hervorgeht, müssen die nationalen Kontrollstellen nach Art. 28 der Richtlinie 95/46 im Licht insbesondere von Art. 8 der Charta jede Eingabe einer Person zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten in völliger Unabhängigkeit prüfen können. Dies gilt in besonderem Maß, wenn diese Person im Rahmen einer solchen Eingabe Fragen nach der Vereinbarkeit einer nach Art. 25 Abs. 6 der Richtlinie ergangenen Entscheidung der Kommission mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen aufwirft.
Art. 3 Abs. 1 Unterabs. 1 der Entscheidung 2000/520 sieht aber eine spezifische Regelung hinsichtlich der Befugnisse vor, über die die nationalen Kontrollstellen in Bezug auf eine von der Kommission zum angemessenen Schutzniveau getroffene Feststellung im Sinne von Art. 25 der Richtlinie 95/46 verfügen.
Nach dieser Bestimmung können die Kontrollstellen unter restriktiven Voraussetzungen, mit denen eine erhöhte Eingriffsschwelle geschaffen wird, „[u]ngeachtet ihrer Befugnisse, tätig zu werden, um die Einhaltung einzelstaatlicher Vorschriften, die gemäß anderen Bestimmungen als denjenigen des Artikels 25 der Richtlinie [95/46] erlassen wurden, zu gewährleisten, … die Datenübermittlung an eine Organisation [aussetzen], die den Grundsätzen [der Entscheidung 2000/520] beigetreten ist“. Diese Bestimmung beeinträchtigt zwar nicht die Befugnisse der Kontrollstellen, tätig zu werden, um die Einhaltung einzelstaatlicher Vorschriften zu gewährleisten, die gemäß der Richtlinie erlassen wurden, doch nimmt sie ihnen die Möglichkeit, Maßnahmen zu ergreifen, die die Einhaltung von Art. 25 der Richtlinie gewährleisten sollen.
Art. 3 Abs. 1 Unterabs. 1 der Entscheidung 2000/520 ist somit dahin zu verstehen, dass er den nationalen Kontrollstellen Befugnisse entzieht, die ihnen nach Art. 28 der Richtlinie 95/46 für den Fall zustehen, dass eine Person im Rahmen einer Eingabe aufgrund dieser Bestimmung Gesichtspunkte vorbringt, die geeignet sind, die Vereinbarkeit einer Entscheidung der Kommission, mit der auf der Grundlage von Art. 25 Abs. 6 der Richtlinie festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen in Frage zu stellen.
Die Durchführungsbefugnis, die der Unionsgesetzgeber der Kommission in Art. 25 Abs. 6 der Richtlinie 95/46 einräumt, berechtigt dieses Organ jedoch nicht, die in der vorstehenden Randnummer genannten Befugnisse der nationalen Kontrollstellen zu beschränken.
Unter diesen Umständen ist festzustellen, dass die Kommission mit dem Erlass von Art. 3 der Entscheidung 2000/520 die ihr durch Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Charta übertragene Zuständigkeit überschritten hat, so dass dieser Artikel ungültig ist.
Da die Art. 1 und 3 der Entscheidung 2000/520 untrennbar mit deren Art. 2 und 4 sowie deren Anhängen verbunden sind, berührt ihre Ungültigkeit die Gültigkeit der gesamten Entscheidung.
Aus den vorstehenden Erwägungen ist der Schluss zu ziehen, dass die Entscheidung 2000/520 ungültig ist.