Entscheidungsstichwort (Thema)
Vorlage zur Vorabentscheidung. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Anwendungsbereich. Übermittlungen personenbezogener Daten zu gewerblichen Zwecken in Drittländer. Angemessenheitsbeschluss der Kommission. Datenübermittlung vorbehaltlich geeigneter Garantien. Befugnisse der Aufsichtsbehörden. Verarbeitung der übermittelten Daten für Zwecke der nationalen Sicherheit durch die Behörden eines Drittlands. Beurteilung der Angemessenheit des im Drittland gebotenen Schutzniveaus. Standardschutzklauseln für die Übermittlung personenbezogener Daten in Drittländer. Angemessene Garantien seitens des Verantwortlichen. Gültigkeit. Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes. Beschwerde einer natürlichen Person, deren Daten aus der Europäischen Union in die Vereinigten Staaten übermittelt wurden
Normenkette
Charta der Grundrechte der Europäischen Union Art. 7-8, 47; Durchführungsbeschluss (EU) 2016/1250; Beschluss 2010/87/EU; EUVO 679/2016 Art. 2 Abs. 2, Art. 45-46, 58
Beteiligte
Facebook Ireland und Schrems |
Data Protection Commissioner |
Tenor
1. Art. 2 Abs. 1 und 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer in den Anwendungsbereich dieser Verordnung fällt, ungeachtet dessen, ob die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.
2. Art. 46 Abs. 1 und Art. 46 Abs. 2 Buchst. c der Verordnung 2016/679 sind dahin auszulegen, dass die nach diesen Vorschriften erforderlichen geeigneten Garantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe gewährleisten müssen, dass die Rechte der Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen, das dem in der Europäischen Union durch diese Verordnung im Licht der Charta der Grundrechte der Europäischen Union garantierten Niveau der Sache nach gleichwertig ist. Bei der insoweit im Zusammenhang mit einer solchen Übermittlung vorzunehmenden Beurteilung sind insbesondere die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Europäischen Union ansässigen Verantwortlichen bzw. seinem dort ansässigen Auftragsverarbeiter und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, sowie, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten betrifft, die maßgeblichen Elemente der Rechtsordnung dieses Landes, insbesondere die in Art. 45 Abs. 2 der Verordnung 2016/679 genannten Elemente.
3. Art. 58 Abs. 2 Buchst. f und j der Verordnung 2016/679 ist dahin auszulegen, dass die zuständige Aufsichtsbehörde, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, verpflichtet ist, eine auf Standarddatenschutzklauseln, die von der Kommission erarbeitet wurden, gestützte Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn diese Behörde im Licht aller Umstände dieser Übermittlung der Auffassung ist, dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht, insbesondere nach den Art. 45 und 46 dieser Verordnung sowie nach der Charta der Grundrechte, erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Verantwortliche bzw. sein dort ansässiger Auftragsverarbeiter hat die Übermittlung selbst ausgesetzt oder beendet.
4. Die Prüfung des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates in der durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember 2016 geänderten Fassung anhand der Art. 7, 8 und 47 der Charta der Grundrechte hat nichts ergeben, was seine Gültigkeit berühren könnte.
5. Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ist ungültig.
Tatbestand
In der Rechtssache
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom High Court (Hoher Ger...