Hintergrund:
Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 - DSGVO) sieht wie die Richtlinie über die Verarbeitung personenbezogener Daten (Richtlinie 95/46/EG), an deren Stelle sie getreten ist, vor, dass personenbezogene Daten an ein Drittland übermittelt werden können, wenn dieses für die Daten ein angemessenes Schutzniveau sicherstellt. Liegt kein Beschluss der Kommission vor, mit dem die Angemessenheit des Schutzniveaus im betreffenden Drittland festgestellt wird, darf der für die Verarbeitung Verantwortliche die Übermittlung dennoch vornehmen, wenn er sie mit geeigneten Garantien versieht. Diese Garantien können u. a. die Form eines Vertrags zwischen dem Exporteur und dem Importeur der Daten annehmen, der die in einem Beschluss der Kommission vorgesehenen Standarddatenschutzklauseln enthält. Mit dem Beschluss 2010/87/EU3 hat die Kommission Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern festgelegt. Die vorliegende Rechtssache betrifft die Gültigkeit dieses Beschlusses.
Der Sachverhalt:
Zur Vorgeschichte des Ausgangsrechtsstreits gehört ein Verfahren, das von Maximilian Schrems, einem österreichischen Nutzer von Facebook, eingeleitet wurde und bereits zum Urteil des EuGH vom 6.10.2015 (C-362/14 - Urteil Schrems) geführt hat.
Die Daten der in der Union wohnhaften Nutzer von Facebook wie Herr Schrems werden von Facebook Ireland, der irischen Tochtergesellschaft der Facebook Inc., ganz oder teilweise an Server in den USA übermittelt und dort verarbeitet. 2013 hatte Herr Schrems bei der für die Überwachung der Anwendung der Vorschriften über den Schutz personenbezogener Daten zuständigen irischen Behörde (Kontrollstelle) eine Beschwerde eingelegt, mit der er geltend machte, dass angesichts der von Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der USA (insbesondere der NSA) das Recht und die Praxis der USA keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor den Überwachungstätigkeiten der Behörden gewährleisteten. Die Kontrollstelle wies die Beschwerde u. a. mit der Begründung zurück, dass die Kommission in ihrer Entscheidung vom 26.7.2000 (Entscheidung 2000/520/EG der Kommission) angenommen habe, dass die USA im Rahmen der sog. "Safe-Harbor-Regelung" (umfasst eine Reihe von Grundsätzen über den Schutz personenbezogener Daten, deren Einhaltung für Unternehmen freiwillig ist) ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten.
Mit dem Urteil Schrems hat der EuGH in Beantwortung einer Frage des Hohen Gerichtshofs in Irland die Safe-Harbor-Entscheidung für ungültig erklärt. Im Anschluss an das Urteil Schrems erklärte das vorlegende Gericht die Entscheidung, mit der die Kontrollstelle die Beschwerde von Herrn Schrems zurückgewiesen hatte, für nichtig und verwies sie zur Prüfung zurück an die Kontrollstelle. Diese leitete eine Untersuchung ein und forderte Herrn Schrems auf, seine Beschwerde in Anbetracht der Ungültigerklärung der Safe-Harbor-Entscheidung neu zu formulieren. Zu diesem Zweck bat Herr Schrems Facebook Ireland um Angabe der Rechtsgrundlagen, auf denen die Übermittlungen der personenbezogenen Daten der Nutzer von Facebook aus der Union in die USA beruhten. Facebook Ireland verwies auf ein Datenübertragungs- und -verarbeitungsabkommen (data transfer processing agreement) mit der Facebook Inc., das seit dem 20.11.2015 in Kraft sei, und berief sich auf den Beschluss 2010/87.
In seiner neu formulierten Beschwerde machte Herr Schrems zum einen geltend, dass die in dem Abkommen enthaltenen Klauseln nicht den Standardvertragsklauseln des Beschlusses 2010/87 entsprächen, und zum anderen, dass diese Standardvertragsklauseln jedenfalls keine Grundlage für die Übermittlung seiner personenbezogenen Daten in die USA sein könnten. Es gebe nämlich keinen Rechtsbehelf, mit dem die Betroffenen in den USA ihre Rechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten geltend machen könnten. Herr Schrems beantragte daher bei der Kontrollstelle, diese Übermittlung in Anwendung des Beschlusses 2010/87 auszusetzen.
Mit ihrer Untersuchung wollte die Kontrollstelle feststellen, ob die USA einen angemessenen Schutz für personenbezogene Daten der Unionsbürger sicherstellen und - sollte dies nicht der Fall sein - ob der Rückgriff auf Standardvertragsklauseln ausreichende Garantien für den Schutz ihrer Grundfreiheiten und Grundrechte bietet. Da die Kontrollstelle zu dem Ergebnis kam, dass die Bearbeitung der Beschwerde von Herrn Schrems von der Frage abhänge, ob der Beschluss 2010/87 gültig sei, leitete sie beim High Court ein Verfahren ein, damit dieser den EuGH hierzu befrage. Der High Court ist dem Antrag dieser Behörde auf Vorlage eines Ersuchens um Vorabentscheidung nachgekommen.
Die Gründe:
Generalanwalt Henrik Saugmandsgaard Øe schlägt dem EuGH vor, zu antworten, dass die Prüfung der Fragen nichts ergeben habe, was die Gültigkeit des Beschlusses 2010/87 beeinträchtigen könnte.
Im Ausgangsrechtsstreit geht es nur um die Feststellung, ob der Beschluss 2010/87 gültig ist, mit dem die Kommission die Standardvertragsklauseln festgelegt hat, die für die in der Beschwerde von Herrn Schrems genannten Übermittlungen geltend gemacht worden sind. Das Unionsrecht ist auf Übermittlungen personenbezogener Daten in ein Drittland anwendbar, wenn diese Übermittlungen zu gewerblichen Zwecken erfolgen, auch wenn die übermittelten Daten durch Behörden dieses Drittlands für Zwecke der nationalen Sicherheit verarbeitet werden können. Zudem bezwecken die Bestimmungen der DSGVO über Übermittlungen in Drittländer, ein kontinuierlich hohes Schutzniveau für personenbezogene Daten unabhängig davon sicherzustellen, ob die Daten auf der Grundlage einer Angemessenheitsentscheidung oder aufgrund geeigneter Garantien übermittelt werden, die vom Exporteur gegeben werden.
Dieses Ziel wird jedoch je nach der Rechtsgrundlage, die für die Übermittlung gilt, auf unterschiedliche Weise erreicht. Einerseits soll mit einer Angemessenheitsentscheidung festgestellt werden, ob ein bestimmtes Drittland aufgrund des dort geltenden Rechts und der dort geltenden Praxis für die Grundrechte der Personen, deren Daten übermittelt werden, ein Schutzniveau sicherstellt, das dem Niveau, das sich aus der im Licht der Charta der Grundrechte der Europäischen Union ausgelegten Datenschutz-Grundverordnung ergibt, im Wesentlichen gleichwertig ist. Andererseits müssen die vom Exporteur - insbesondere vertraglich - gegebenen geeigneten Garantien selbst ein solches Schutzniveau sicherstellen. Die Standardvertragsklauseln der Kommission für Übermittlungen sehen insoweit eine allgemeine Regelung vor, die unabhängig vom Bestimmungsland und dem dort sichergestellten Schutzniveau gilt.
Bei der Prüfung der Gültigkeit des Beschlusses 2010/87 anhand der Charta ergibt sich, dass der Umstand, dass der Beschluss und die darin enthaltenen Standardvertragsklauseln die Behörden des Drittbestimmungslandes nicht binden werden und diese durch ihn somit nicht daran gehindert sind, dem Importeur Pflichten aufzuerlegen, die mit der Beachtung dieser Klauseln unvereinbar sind, für sich allein nicht zur Ungültigkeit des Beschlusses führt. Die Vereinbarkeit des Beschlusses 2010/87 mit der Charta hängt davon ab, ob ausreichend wirksame Regelungen bestehen, mit denen sich sicherstellen lässt, dass die auf die Standardvertragsklauseln gestützten Übermittlungen ausgesetzt oder verboten werden, wenn diese Klauseln verletzt werden oder es unmöglich ist, sie einzuhalten. Dies ist dann der Fall, wenn eine Pflicht - der für die Datenverarbeitung Verantwortlichen und, bei deren Untätigkeit, der Kontrollstellen - besteht, eine Übermittlung auszusetzen oder zu verbieten, wenn aufgrund eines Konflikts zwischen den sich aus den Standardvertragsklauseln ergebenden Pflichten und den durch das Recht des Drittbestimmungslandes auferlegten Pflichten diese Klauseln nicht eingehalten werden können.
Das vorlegende Gericht stellt bestimmte Beurteilungen der Kommission im Beschluss vom 12.7.2016, dem sog. Datenschutzschild-Beschluss (Durchführungsbeschluss (EU) 2016/1250), indirekt in Frage. In diesem Beschluss hat die Kommission festgestellt, dass die USA ein angemessenes Schutzniveau für die Daten gewährleisten, die im Rahmen der mit diesem Beschluss aufgestellten Regelung aus der Union übermittelt werden, insbesondere in Anbetracht der Garantien, die bzgl. des Zugangs amerikanischer Nachrichtendienste zu diesen Daten bestehen, sowie des Rechtsschutzes, der Personen, deren Daten übermittelt werden, gewährt wird. Für die Entscheidung über den Ausgangsrechtsstreit scheint es nicht erforderlich, dass der EuGH über die Gültigkeit des Datenschutzschild-Beschlusses entscheidet, da der Rechtsstreit nur die Gültigkeit des Beschlusses 2010/87 betrifft. Gleichwohl führt der Generalanwalt hilfsweise aus, aus welchen Gründen sich für ihn im Hinblick auf die Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf Fragen bezüglich der Gültigkeit des Datenschutzschild-Beschlusses stellen.
Nach Ansicht von Generalanwalt Saugmandsgaard Øe ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig.