URTEIL DES GERICHTSHOFS (Große Kammer)

6. Oktober 2015*

„Vorlage zur Vorab­ent­scheidung – Perso­nen­be­zogene Daten – Schutz natür­licher Personen bei der Verar­beitung dieser Daten – Charta der Grund­rechte der Europäi­schen Union – Art. 7, 8 und 47 – Richt­linie 95/46/EG – Art. 25 und 28 – Übermittlung perso­nen­be­zo­gener Daten in Dritt­länder – Entscheidung 2000/520/EG – Übermittlung perso­nen­be­zo­gener Daten in die Verei­nigten Staaten
– Unange­mes­senes Schutz­niveau – Gültigkeit – Beschwerde einer natür­lichen Person, deren Daten aus der Europäi­schen Union in die Verei­nigten Staaten übermittelt wurden – Befug­nisse der natio­nalen Kontrollstellen“

In der Rechts­sache C‑362/14

betreffend ein Vorab­ent­schei­dungs­er­suchen nach Art. 267 AEUV, einge­reicht vom High Court (Irland) mit Entscheidung vom 17. Juli 2014, beim Gerichtshof einge­gangen am 25. Juli 2014, in dem Verfahren

Maximillian Schrems

gegen

Data Protection Commis­sioner,

Betei­ligte:

Digital Rights Ireland Ltd,

erlässt

DER GERICHTSHOF (Große Kammer)

unter Mitwirkung des Präsi­denten V. Skouris, des Vizeprä­si­denten K. Lenaerts, des Kammer­prä­si­denten A. Tizzano, der Kammer­prä­si­dentin R. Silva de Lapuerta, der Kammer­prä­si­denten T. von Danwitz (Bericht­erstatter) und S. Rodin, der Kammer­prä­si­dentin K. Jürimäe, der Richter A. Rosas, E. Juhász, A. Borg Barthet,

* Verfah­rens­sprache: Englisch.

J. Malenovský und D. Šváby, der Richterin M. Berger sowie der Richter
F. Biltgen und C. Lycourgos, General­anwalt: Y. Bot,
Kanzler: L. Hewlett, Hauptverwaltungsrätin,

aufgrund des schrift­lichen Verfahrens und auf die mündliche Verhandlung vom
24. März 2015,

unter Berück­sich­tigung der Erklärungen

– von Herrn Schrems, vertreten durch N. Travers, SC, P. O’Shea, BL, und
G. Rudden, Solicitor, sowie durch Rechts­anwalt H. Hofmann,

– des Data Protection Commis­sioner, vertreten durch P. McDermott, BL, sowie S. More O’Ferrall und D. Young, Solicitors,

– der Digital Rights Ireland Ltd, vertreten durch F. Crehan, BL, sowie
S. McGarr und E. McGarr, Solicitors,

– Irlands, vertreten durch A. Joyce, B. Counihan und E. Creedon als Bevoll­mäch­tigte im Beistand von D. Fennelly, BL,

– der belgi­schen Regierung, vertreten durch J.-C. Halleux und C. Pochet als Bevollmächtigte,

– der tsche­chi­schen Regierung, vertreten durch M. Smolek und J. Vláčil als Bevollmächtigte,

– der italie­ni­schen Regierung, vertreten durch G. Palmieri als Bevoll­mäch­tigte im Beistand von P. Gentili, avvocato dello Stato,

– der öster­rei­chi­schen Regierung, vertreten durch G. Hesse und G. Kunnert als Bevollmächtigte,

– der polni­schen Regierung, vertreten durch M. Kamejsza, M. Pawlicka und
B. Majczyna als Bevollmächtigte,

– der slowe­ni­schen Regierung, vertreten durch A. Grum und V. Klemenc als Bevollmächtigte,

– der Regierung des Verei­nigten König­reichs, vertreten durch L. Christie und
J. Beeko als Bevoll­mäch­tigte im Beistand von J. Holmes, Barrister,

– des Europäi­schen Parla­ments, vertreten durch D. Moore, A. Caiola und
M. Pencheva als Bevollmächtigte,

– der Europäi­schen Kommission, vertreten durch B. Schima, B. Martenczuk,
B. Smulders und J. Vondung als Bevollmächtigte,

– des Europäi­schen Daten­schutz­be­auf­tragten (EDSB), vertreten durch
C. Docksey, A. Buchta und V. Pérez Asinari als Bevollmächtigte,

nach Anhörung der Schluss­an­träge des General­an­walts in der Sitzung vom 23.
September 2015 folgendes

Urteil

1 Das Vorab­ent­schei­dungs­er­suchen betrifft die Auslegung, anhand der Art. 7, 8 und 47 der Charta der Grund­rechte der Europäi­schen Union (im Folgenden: Charta), der Art. 25 Abs. 6 und 28 der Richt­linie 95/46/EG des Europäi­schen Parla­ments und des Rates vom 24. Oktober 1995 zum Schutz natür­licher Personen bei der Verar­beitung perso­nen­be­zo­gener Daten und zum freien Daten­verkehr (ABl. L 281, S. 31) in der durch die Verordnung (EG) Nr. 1882/2003 des Europäi­schen Parla­ments und des Rates vom 29. September 2003 (ABl. L 284, S. 1) geänderten Fassung (im Folgenden: Richt­linie 95/46) sowie, der Sache nach, die Gültigkeit der Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richt­linie 95/46 über die Angemes­senheit des von den Grund­sätzen des „sicheren Hafens“ und der diesbe­züg­lichen „Häufig gestellten Fragen“ (FAQ) gewähr­leis­teten Schutzes, vorgelegt vom Handels­mi­nis­terium der USA (ABl. L 215, S. 7).

2 Dieses Ersuchen ergeht im Rahmen eines Rechts­streits zwischen Herrn Schrems und dem Data Protection Commis­sioner (Daten­schutz­be­auf­tragter, im Folgenden: Commis­sioner) wegen dessen Weigerung, eine von Herrn Schrems einge­legte Beschwerde zu prüfen, die sich dagegen richtet, dass die Facebook Ireland Ltd (im Folgenden: Facebook Ireland) perso­nen­be­zogene Daten ihrer Nutzer in die Verei­nigten Staaten übermittelt und auf dort befind­lichen Servern speichert.

Recht­licher Rahmen

Richt­linie 95/46

3 Die Erwägungs­gründe 2, 10, 56, 57, 60, 62 und 63 der Richt­linie 95/46 lauten:

„(2) Die Daten­ver­ar­bei­tungs­systeme stehen im Dienste des Menschen; sie haben, ungeachtet der Staats­an­ge­hö­rigkeit oder des Wohnorts der natür­lichen Personen, deren Grund­rechte und ‑freiheiten und insbe­sondere deren Privat­sphäre zu achten und zum … Wohlergehen der Menschen beizutragen.

(10) Gegen­stand der einzel­staat­lichen Rechts­vor­schriften über die Verar­beitung perso­nen­be­zo­gener Daten ist die Gewähr­leistung der Achtung der Grund­rechte und ‑freiheiten, insbe­sondere des auch in Artikel 8 der [am 4. November 1950 in Rom unter­zeich­neten] Europäi­schen Konvention zum Schutze der Menschen­rechte und Grund­frei­heiten und in den allge­meinen Grund­sätzen des Gemein­schafts­rechts anerkannten Rechts auf die Privat­sphäre. Die Anglei­chung dieser Rechts­vor­schriften darf deshalb nicht zu einer Verrin­gerung des durch diese Rechts­vor­schriften garan­tierten Schutzes führen, sondern muss im Gegenteil darauf abzielen, in der Gemein­schaft ein hohes Schutz­niveau sicherzustellen.

(56) Grenz­über­schrei­tender Verkehr von perso­nen­be­zo­genen Daten ist für die Entwicklung des inter­na­tio­nalen Handels notwendig. Der in der Gemein­schaft durch diese Richt­linie gewährte Schutz von Personen steht der Übermittlung perso­nen­be­zo­gener Daten in Dritt­länder, die ein angemes­senes Schutz­niveau aufweisen, nicht entgegen. Die Angemes­senheit des Schutz­ni­veaus, das ein Drittland bietet, ist unter Berück­sich­tigung aller Umstände im Hinblick auf eine Übermittlung oder eine Kategorie von Übermitt­lungen zu beurteilen.

(57) Bietet hingegen ein Drittland kein angemes­senes Schutz­niveau, so ist die Übermittlung perso­nen­be­zo­gener Daten in dieses Land zu untersagen.

(60) Übermitt­lungen in Dritt­staaten dürfen auf jeden Fall nur unter voller Einhaltung der Rechts­vor­schriften erfolgen, die die Mitglied­staaten gemäß dieser Richt­linie, insbe­sondere gemäß Artikel 8, erlassen haben.

(62) Die Einrichtung unabhän­giger Kontroll­stellen in den Mitglied­staaten ist ein wesent­liches Element des Schutzes der Personen bei der Verar­beitung perso­nen­be­zo­gener Daten.

(63) Diese Stellen sind mit den notwen­digen Mitteln für die Erfüllung dieser Aufgabe auszu­statten, d. h. Unter­su­chungs- und Einwir­kungs­be­fug­nissen, insbe­sondere bei Beschwerden, sowie Klagerecht. …

4 Die Artikel 1, 2, 25, 26, 28 und 31 der Richt­linie 95/46 bestimmen:

„Artikel 1

Gegen­stand der Richtlinie

(1) Die Mitglied­staaten gewähr­leisten nach den Bestim­mungen dieser Richt­linie den Schutz der Grund­rechte und Grund­frei­heiten und insbe­sondere den Schutz der Privat­sphäre natür­licher Personen bei der Verar­beitung perso­nen­be­zo­gener Daten.

Artikel 2

Begriffs­be­stim­mungen

Im Sinne dieser Richt­linie bezeichnet der Ausdruck

a) ‚perso­nen­be­zogene Daten‘: alle Infor­ma­tionen über eine bestimmte oder bestimmbare natür­liche Person (‚betroffene Person‘); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identi­fi­ziert werden kann, insbe­sondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezi­fi­schen Elementen, die Ausdruck ihrer physi­schen, physio­lo­gi­schen, psychi­schen, wirtschaft­lichen, kultu­rellen oder sozialen Identität sind;

b) ‚Verar­beitung perso­nen­be­zo­gener Daten‘ (‚Verar­beitung‘) jeden mit oder ohne Hilfe automa­ti­sierter Verfahren ausge­führten Vorgang oder jede Vorgangs­reihe im Zusam­menhang mit perso­nen­be­zo­genen Daten wie das Erheben, das Speichern, die Organi­sation, die Aufbe­wahrung, die Anpassung oder Verän­derung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereit­stellung, die Kombi­nation oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;

d) ‚für die Verar­beitung Verant­wort­licher‘ die natür­liche oder juris­tische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verar­beitung von perso­nen­be­zo­genen Daten entscheidet. Sind die Zwecke und Mittel der Verar­beitung von perso­nen­be­zo­genen Daten in einzel­staat­lichen oder gemein­schaft­lichen Rechts- und Verwal­tungs­vor­schriften festgelegt, so können der für die Verar­beitung Verant­wort­liche bzw. die spezi­fi­schen Kriterien für seine Benennung durch einzel­staat­liche oder gemein­schaft­liche Rechts­vor­schriften bestimmt werden;

Artikel 25

Grund­sätze

(1) Die Mitglied­staaten sehen vor, dass die Übermittlung perso­nen­be­zo­gener Daten, die Gegen­stand einer Verar­beitung sind oder nach der Übermittlung verar­beitet werden sollen, in ein Drittland vorbe­haltlich der Beachtung der aufgrund der anderen Bestim­mungen dieser Richt­linie erlas­senen einzel­staat­lichen Vorschriften zulässig ist, wenn dieses Drittland ein angemes­senes Schutz­niveau gewährleistet.

(2) Die Angemes­senheit des Schutz­ni­veaus, das ein Drittland bietet, wird unter Berück­sich­tigung aller Umstände beurteilt, die bei einer Daten­über­mittlung oder einer Kategorie von Daten­über­mitt­lungen eine Rolle spielen; insbe­sondere werden die Art der Daten, die Zweck­be­stimmung sowie die Dauer der geplanten Verar­beitung, das Herkunfts- und das Endbe­stim­mungsland, die in dem betref­fenden Drittland geltenden allge­meinen oder sekto­ri­ellen Rechts­normen sowie die dort geltenden Standes­regeln und Sicher­heits­maß­nahmen berücksichtigt.

(3) Die Mitglied­staaten und die Kommission unter­richten einander über die Fälle, in denen ihres Erachtens ein Drittland kein angemes­senes Schutz­niveau im Sinne des Absatzes 2 gewährleistet.

(4) Stellt die Kommission nach dem Verfahren des Artikels 31 Absatz 2 fest, dass ein Drittland kein angemes­senes Schutz­niveau im Sinne des Absatzes 2 des vorlie­genden Artikels aufweist, so treffen die Mitglied­staaten die erfor­der­lichen Maßnahmen, damit keine gleich­artige Daten­über­mittlung in das Drittland erfolgt.

(5) Zum geeig­neten Zeitpunkt leitet die Kommission Verhand­lungen ein, um Abhilfe für die gemäß Absatz 4 festge­stellte Lage zu schaffen.

(6) Die Kommission kann nach dem Verfahren des Artikels 31 Absatz 2 feststellen, dass ein Drittland aufgrund seiner inner­staat­lichen Rechts­vor­schriften oder inter­na­tio­naler Verpflich­tungen, die es insbe­sondere infolge der Verhand­lungen gemäß Absatz 5 einge­gangen ist, hinsichtlich des Schutzes der Privat­sphäre sowie der Freiheiten und Grund­rechte von Personen ein angemes­senes Schutz­niveau im Sinne des Absatzes 2 gewährleistet.

Die Mitglied­staaten treffen die aufgrund der Feststellung der Kommission gebotenen Maßnahmen.

Artikel 26

Ausnahmen

(1) Abwei­chend von Artikel 25 sehen die Mitglied­staaten vorbe­haltlich entge­gen­ste­hender Regelungen für bestimmte Fälle im inner­staat­lichen Recht vor, dass eine Übermittlung oder eine Kategorie von Übermittlungen

perso­nen­be­zo­gener Daten in ein Drittland, das kein angemes­senes Schutz­niveau im Sinne des Artikels 25 Absatz 2 gewähr­leistet, vorge­nommen werden kann, sofern

a) die betroffene Person ohne jeden Zweifel ihre Einwil­ligung gegeben hat oder

b) die Übermittlung für die Erfüllung eines Vertrags zwischen der betrof­fenen Person und dem für die Verar­beitung Verant­wort­lichen oder zur Durch­führung von vorver­trag­lichen Maßnahmen auf Antrag der betrof­fenen Person erfor­derlich ist oder

c) die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erfor­derlich ist, der im Interesse der betrof­fenen Person vom für die Verar­beitung Verant­wort­lichen mit einem Dritten geschlossen wurde oder geschlossen werden soll, oder

d) die Übermittlung entweder für die Wahrung eines wichtigen öffent­lichen Inter­esses oder zur Geltend­ma­chung, Ausübung oder Vertei­digung von Rechts­an­sprüchen vor Gericht erfor­derlich oder gesetzlich vorge­schrieben ist oder

e) die Übermittlung für die Wahrung lebens­wich­tiger Inter­essen der betrof­fenen Person erfor­derlich ist oder

f) die Übermittlung aus einem Register erfolgt, das gemäß den Rechts- oder Verwal­tungs­vor­schriften zur Infor­mation der Öffent­lichkeit bestimmt ist und entweder der gesamten Öffent­lichkeit oder allen Personen, die ein berech­tigtes Interesse nachweisen können, zur Einsicht­nahme offen­steht, soweit die gesetz­lichen Voraus­set­zungen für die Einsicht­nahme im Einzelfall gegeben sind.

(2) Unbeschadet des Absatzes 1 kann ein Mitglied­staat eine Übermittlung oder eine Kategorie von Übermitt­lungen perso­nen­be­zo­gener Daten in ein Drittland geneh­migen, das kein angemes­senes Schutz­niveau im Sinne des Artikels 25 Absatz 2 gewähr­leistet, wenn der für die Verar­beitung Verant­wort­liche ausrei­chende Garantien hinsichtlich des Schutzes der Privat­sphäre, der Grund­rechte und der Grund­frei­heiten der Personen sowie hinsichtlich der Ausübung der damit verbun­denen Rechte bietet; diese Garantien können sich insbe­sondere aus entspre­chenden Vertrags­klauseln ergeben.

(3) Der Mitglied­staat unter­richtet die Kommission und die anderen Mitglied­staaten über die von ihm nach Absatz 2 erteilten Genehmigungen.

Legt ein anderer Mitglied­staat oder die Kommission einen in Bezug auf den Schutz der Privat­sphäre, der Grund­rechte und [der Grund­frei­heiten] der Personen

hinrei­chend begrün­deten Wider­spruch ein, so erlässt die Kommission die geeig­neten Maßnahmen nach dem Verfahren des Artikels 31 Absatz 2.

Die Mitglied­staaten treffen die aufgrund des Beschlusses der Kommission gebotenen Maßnahmen.

Artikel 28

Kontroll­stelle

(1) Die Mitglied­staaten sehen vor, dass eine oder mehrere öffent­liche Stellen beauf­tragt werden, die Anwendung der von den Mitglied­staaten zur Umsetzung dieser Richt­linie erlas­senen einzel­staat­lichen Vorschriften in ihrem Hoheits­gebiet zu überwachen.

Diese Stellen nehmen die ihnen zugewie­senen Aufgaben in völliger Unabhän­gigkeit wahr.

(2) Die Mitglied­staaten sehen vor, dass die Kontroll­stellen bei der Ausar­beitung von Rechts­ver­ord­nungen oder Verwal­tungs­vor­schriften bezüglich des Schutzes der Rechte und Freiheiten von Personen bei der Verar­beitung perso­nen­be­zo­gener Daten angehört werden.

(3) Jede Kontroll­stelle verfügt insbe­sondere über:

– Unter­su­chungs­be­fug­nisse, wie das Recht auf Zugang zu Daten, die Gegen­stand von Verar­bei­tungen sind, und das Recht auf Einholung aller für die Erfüllung ihres Kontroll­auf­trags erfor­der­lichen Informationen;

– wirksame Einwir­kungs­be­fug­nisse, wie beispiels­weise die Möglichkeit, im Einklang mit Artikel 20 vor der Durch­führung der Verar­bei­tungen Stellung­nahmen abzugeben und für eine geeignete Veröf­fent­li­chung der Stellung­nahmen zu sorgen, oder die Befugnis, die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verar­beitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verar­beitung Verant­wort­lichen zu richten oder die Parla­mente oder andere politische Insti­tu­tionen zu befassen;

– das Klage­recht oder eine Anzei­ge­be­fugnis bei Verstößen gegen die einzel­staat­lichen Vorschriften zur Umsetzung dieser Richtlinie.

Gegen beschwe­rende Entschei­dungen der Kontroll­stelle steht der Rechtsweg offen.

(4) Jede Person oder ein sie vertre­tender Verband kann sich zum Schutz der die Person betref­fenden Rechte und Freiheiten bei der Verarbeitung

perso­nen­be­zo­gener Daten an jede Kontroll­stelle mit einer Eingabe wenden. Die betroffene Person ist darüber zu infor­mieren, wie mit der Eingabe verfahren wurde.

Jede Kontroll­stelle kann insbe­sondere von jeder Person mit dem Antrag befasst werden, die Recht­mä­ßigkeit einer Verar­beitung zu überprüfen, wenn einzel­staat­liche Vorschriften gemäß Artikel 13 Anwendung finden. Die Person ist unter allen Umständen darüber zu unter­richten, dass eine Überprüfung statt­ge­funden hat.

(6) Jede Kontroll­stelle ist im Hoheits­gebiet ihres Mitglied­staats für die Ausübung der ihr gemäß Absatz 3 übertra­genen Befug­nisse zuständig, unabhängig vom einzel­staat­lichen Recht, das auf die jeweilige Verar­beitung anwendbar ist. Jede Kontroll­stelle kann von einer Kontroll­stelle eines anderen Mitglied­staats um die Ausübung ihrer Befug­nisse ersucht werden.

Artikel 31

(2) Wird auf diesen Artikel Bezug genommen, so gelten die Artikel 4 und 7 des Beschlusses 1999/468/EG [des Rates vom 28. Juni 1999 zur Festlegung der Modali­täten für die Ausübung der der Kommission übertra­genen Durch­füh­rungs­be­fug­nisse (ABl. L 184, S. 23)] unter Beachtung von dessen Artikel 8.

…“

Entscheidung 2000/520

5 Die Entscheidung 2000/520 wurde von der Kommission auf der Grundlage von Art. 25 Abs. 6 der Richt­linie 95/46 erlassen.

6 Die Erwägungs­gründe 2, 5 und 8 dieser Entscheidung lauten:

„(2) Die Kommission kann feststellen, dass ein Drittland ein angemes­senes Daten­schutz­niveau gewähr­leistet. In diesem Fall können perso­nen­be­zogene Daten aus den Mitglied­staaten übermittelt werden, ohne dass zusätz­liche Garantien erfor­derlich sind.

(5) Das durch diese Entscheidung anerkannte angemessene Schutz­niveau für die Übermittlung von Daten aus der Gemein­schaft in die Verei­nigten Staaten

sollte erreicht sein, wenn die Organi­sa­tionen die ‚Grund­sätze des ´sicheren Hafens´ zum Daten­schutz‘ für den Schutz perso­nen­be­zo­gener Daten, die aus einem Mitglied­staat in die Verei­nigten Staaten übermittelt werden (im Folgenden ‚die Grund­sätze‘ genannt) sowie die ‚Häufig gestellten Fragen‘ (‚Frequently Asked Questions‘, im Folgenden ‚FAQ‘ genannt) beachten, die Leitlinien für die Umsetzung der von der Regierung der Verei­nigten Staaten von Amerika am 21. Juli 2000 veröf­fent­lichten Grund­sätze darstellen. Die Organi­sa­tionen müssen ferner ihre Geschäfts­be­din­gungen zum Daten­schutz offen legen und der Zustän­digkeit der Federal Trade Commission (FTC) gemäß Abschnitt 5 des Federal Trade Commission Act, der unlautere und irrefüh­rende Handlungen und Praktiken, die im Handel erfolgen oder die den Handel beein­träch­tigen, verbietet, bzw. der Zustän­digkeit anderer gesetz­licher Organe unter­liegen, die die Einhaltung der entspre­chend den FAQ umgesetzten Grund­sätze effektiv gewährleisten.

(8) Im Interesse der Trans­parenz und um die Fähigkeit der zustän­digen Behörden in den Mitglied­staaten zu erhalten, den Schutz von Personen bei der Verar­beitung ihrer perso­nen­be­zo­genen Daten zu gewähr­leisten, ist es ungeachtet der Feststellung des angemes­senen Schutz­ni­veaus notwendig, in dieser Entscheidung die beson­deren Umstände zu nennen, unter denen die Aussetzung bestimmter Daten­über­mitt­lungen gerecht­fertigt sein sollte.“

7 Die Art. 1 bis 4 der Entscheidung 2000/520 lauten:

„Artikel 1

(1) Es wird davon ausge­gangen, dass die dieser Entscheidung als Anhang I beigefügten ‚Grund­sätze des ´sicheren Hafens´ zum Daten­schutz‘, im Folgenden
‚die Grund­sätze‘ genannt, die gemäß den in den vom US-Handels­mi­nis­terium am
21. Juli 2000 heraus­ge­ge­benen, dieser Entscheidung als Anhang II beigefügten,
‚Häufig gestellten Fragen‘ (FAQ) enthal­tenen Leitlinien umgesetzt werden, für alle unter die Richt­linie 95/46/EG fallenden Tätig­keiten ein im Sinne des Artikels 25 Absatz 2 dieser Richt­linie angemes­senes Schutz­niveau für perso­nen­be­zogene Daten gewähr­leisten, die von der Europäi­schen Union an in den Verei­nigten Staaten nieder­ge­lassene Organi­sa­tionen übermittelt werden, unter Berück­sich­tigung folgender vom US-Handels­mi­nis­terium veröf­fent­lichter Dokumente:

a) die ‚sicherer Hafen Durch­set­zungs­me­cha­nismen‘ (Anhang III),

b) ein Memorandum über Entschä­di­gungen für die Verletzung der Privat­sphäre und ausdrück­liche Ermäch­ti­gungen gemäß dem US-Recht (Anhang IV),

c) ein Schreiben der Federal Trade Commission (Anhang V),

d) ein Schreiben des US-Verkehrs­mi­nis­te­riums (Anhang VI).

(2) Im Hinblick auf jede Daten­über­mittlung müssen folgende Voraus­set­zungen erfüllt sein:

a) Die Organi­sation, die die Daten erhält, hat sich eindeutig und öffentlich verpflichtet, die Grund­sätze einzu­halten, die entspre­chend den FAQ umgesetzt wurden; und

b) die Organi­sation unter­liegt den gesetz­lichen Befug­nissen einer in Anhang VII dieser Entscheidung aufge­führten staat­lichen Einrichtung in den Verei­nigten Staaten, die berechtigt ist, im Fall der Nicht­be­achtung der Grund­sätze, die entspre­chend den FAQ umgesetzt wurden, Beschwerden zu prüfen und Abhilfe wegen unlau­terer und irrefüh­render Praktiken sowie Schaden­ersatz für Privat­per­sonen zu erwirken, und zwar ungeachtet des Landes, in dem sie ihren Wohnsitz haben, oder ihrer Nationalität.

(3) Die Voraus­set­zungen des Absatzes 2 gelten ab dem Zeitpunkt als erfüllt, zu dem die Organi­sation, die ihren Beitritt zu den entspre­chend den FAQ umgesetzten Grund­sätzen bescheinigt, dem Handels­mi­nis­terium der USA (oder der von ihm benannten Stelle) die öffent­liche Bekanntgabe ihrer Verpflichtung nach Absatz 2 Buchstabe a) und die Identität der staat­lichen Einrichtung nach Absatz 2 Buchstabe b) mitteilt.

Artikel 2

Die vorlie­gende Entscheidung betrifft nur die Angemes­senheit des Schutzes, der in den Verei­nigten Staaten nach den entspre­chend den FAQ umgesetzten Grund­sätzen gewährt wird, um die Anfor­de­rungen des Artikels 25 Absatz 1 der Richt­linie 95/46/EG zu erfüllen. Die Anwendung anderer Bestim­mungen der Richt­linie, die sich auf die Verar­beitung perso­nen­be­zo­gener Daten in den Mitglied­staaten beziehen, einschließlich Artikel 4, [bleibt] von dieser Entscheidung unberührt.

Artikel 3

(1) Ungeachtet ihrer Befug­nisse, tätig zu werden, um die Einhaltung einzel­staat­licher Vorschriften, die gemäß anderen Bestim­mungen als denje­nigen des Artikels 25 der Richt­linie 95/46/EG erlassen wurden, zu gewähr­leisten, können die zustän­digen Behörden in den Mitglied­staaten ihre bestehenden Befug­nisse ausüben, zum Schutz von Privat­per­sonen bei der Verar­beitung ihrer perso­nen­be­zo­genen Daten die Daten­über­mittlung an eine Organi­sation auszu­setzen, die den Grund­sätzen, die entspre­chend den FAQ umgesetzt wurden, beigetreten ist, wenn

a) die in Anhang VII dieser Entscheidung erwähnte staat­liche Einrichtung in den Verei­nigten Staaten oder eine unabhängige Instanz im Sinne von

Buchstabe a) des in Anhang I dieser Entscheidung erwähnten Durch­set­zungs­grund­satzes feststellt, dass die betref­fende Organi­sation die Grund­sätze, die entspre­chend den FAQ umgesetzt wurden, verletzt oder

b) eine hohe Wahrschein­lichkeit besteht, dass die Grund­sätze verletzt werden; wenn Grund zur Annahme besteht, dass die jeweilige Durch­set­zungs­in­stanz nicht recht­zeitig angemessene Maßnahmen ergreift bzw. ergreifen wird, um den Fall zu lösen; wenn die fortge­setzte Daten­über­mittlung für die betrof­fenen Personen das unmit­telbar bevor­ste­hende Risiko eines schweren Schadens schaffen würde und wenn die zustän­digen Behörden in den Mitglied­staaten die Organi­sation unter den gegebenen Umständen in angemes­sener Weise unter­richtet und ihr Gelegenheit zu Stellung­nahme gegeben haben.

Die Aussetzung ist zu beenden, sobald sicher­ge­stellt ist, dass die Grund­sätze, die entspre­chend den FAQ umgesetzt wurden, befolgt werden, und die zustän­digen Behörden in der EU davon in Kenntnis gesetzt sind.

(2) Die Mitglied­staaten infor­mieren die Kommission unver­züglich, wenn Maßnahmen gemäß Absatz 1 ergriffen wurden.

(3) Die Mitglied­staaten und die Kommission infor­mieren einander auch über Fälle, bei denen die Maßnahmen der für die Einhaltung der entspre­chend den FAQ umgesetzten Grund­sätze in den Verei­nigten Staaten verant­wort­lichen Einrich­tungen nicht ausreichen, um die Einhaltung zu gewährleisten.

(4) Ergeben die Infor­ma­tionen nach den Absätzen 1, 2 und 3, dass eine der für die Einhaltung der entspre­chend den FAQ umgesetzten Grund­sätze in den Verei­nigten Staaten verant­wort­lichen Einrich­tungen ihrer Aufgabe nicht wirkungsvoll nachkommt, so infor­miert die Kommission das Handels­mi­nis­terium der USA und schlägt, wenn nötig, gemäß dem Verfahren nach Artikel 31 der Richt­linie im Hinblick auf eine Aufhebung, Aussetzung oder Beschränkung des Geltungs­be­reichs dieser Entscheidung entspre­chende Maßnahmen vor.

Artikel 4

(1) Diese Entscheidung kann jederzeit im Licht der Erfah­rungen mit ihrer Anwendung angepasst werden und/oder dann, wenn das durch die Grund­sätze und die FAQ gewährte Schutz­niveau in die Rechts­vor­schriften der USA übernommen wird.

In jedem Fall nimmt die Kommission drei Jahre, nachdem sie die Mitglied­staaten von dieser Entscheidung in Kenntnis gesetzt hat, anhand der verfüg­baren Infor­ma­tionen eine Bewertung ihrer Umsetzung vor und unter­richtet den nach Artikel 31 der Richt­linie 95/46/EG einge­setzten Ausschuss über sämtliche relevanten Feststel­lungen, einschließlich aller Erkennt­nisse, die die Beurteilung der Verein­barung in Artikel 1 als zur Gewähr­leistung des Datenschutzes

angemessen im Sinne von Artikel 25 der Richt­linie 95/46/EG berühren könnten, sowie etwaiger Belege dafür, dass die vorlie­gende Entscheidung in diskri­mi­nie­render Weise angewandt wird.

(2) Die Kommission legt erfor­der­li­chen­falls gemäß dem Verfahren nach Artikel 31 der Richt­linie Vorschläge für Maßnahmen vor.“

8 In Anhang I der Entscheidung 2000/520 heißt es:

„Grund­sätze des ‚sicheren Hafens‘ zum Datenschutz

vorgelegt vom ameri­ka­ni­schen Handels­mi­nis­terium am 21. Juli 2000

… [D]as Handels­mi­nis­terium [legt] unter seiner gesetz­lichen Autorität, inter­na­tio­nalen Handel zu pflegen, zu fördern und zu entwi­ckeln, dieses Papier und so genannte ‚Häufig gestellte Fragen‘ – FAQs (‚die Grund­sätze‘) vor. Die Grund­sätze wurden in Absprache mit der Industrie und der breiten Öffent­lichkeit entwi­ckelt, um den Handel zwischen der Europäi­schen Union und den Verei­nigten Staaten zu erleichtern. Sie sind ausschließlich für den Gebrauch durch US-Organi­sa­tionen bestimmt, die perso­nen­be­zogene Daten aus der Europäi­schen Union erhalten, um sich für den ‚sicheren Hafen‘ und die daraus erwach­sende Vermutung der ‚Angemes­senheit‘ des Daten­schutzes zu quali­fi­zieren. Da die Grund­sätze ausschließlich für diesen spezi­fi­schen Zweck erarbeitet wurden, können sie für andere Zwecke ungeeignet sein. …

Die Entscheidung der einzelnen Organi­sa­tionen, sich für den ‚sicheren Hafen‘ zu quali­fi­zieren, ist vollkommen freiwillig, und die Organi­sa­tionen können sich für das Konzept des ‚sicheren Hafens‘ auf verschiedene Arten qualifizieren. …

Die Geltung dieser Grund­sätze kann begrenzt werden a) insoweit, als Erfor­der­nissen der natio­nalen Sicherheit, des öffent­lichen Inter­esses oder der Durch­führung von Gesetzen Rechnung getragen werden muss, b) durch Geset­zes­recht, staat­liche Regulie­rungs­vor­schriften oder Fallrecht, die unver­einbare Verpflich­tungen oder ausdrück­liche Ermäch­ti­gungen schaffen, voraus­ge­setzt, die Organi­sation kann in Wahrnehmung dieser Ermäch­ti­gungen nachweisen, dass die Nicht­ein­haltung der Grund­sätze sich auf das Ausmaß beschränkte, das die Einhaltung überge­ord­neter berech­tigter Inter­essen aufgrund eben dieser Ermäch­tigung erfor­derte, oder c) wenn die Richt­linie oder das nationale Recht Ausnah­me­re­ge­lungen vorsieht, sofern diese Ausnah­me­re­ge­lungen unter vergleich­baren Voraus­set­zungen getroffen werden. Im Hinblick auf das Ziel eines wirksa­meren Schutzes der Privat­sphäre sollen die Organi­sa­tionen die Grund­sätze in vollem Umfang und in trans­pa­renter Weise anwenden, unter anderem indem sie angeben, in welchen Fällen Abwei­chungen von den Grund­sätzen, die nach b) zulässig sind, bei ihren Daten­schutz­maß­nahmen regel­mäßig Anwendung finden werden. Aus demselben Grund wird, wenn die

Wahlmög­lichkeit nach den Grund­sätzen und/oder nach dem US-Recht besteht, von den Organi­sa­tionen erwartet, dass sie sich, sofern möglich, für das höhere Schutz­niveau entscheiden.

…“

9 In Anhang II der Entscheidung 2000/520 heißt es:

„Häufig gestellte Fragen (FAQ)

FAQ 6 – Selbstzertifizierung

F: Wie zerti­fi­ziert eine Organi­sation, dass sie die Grund­sätze des ‚sicheren Hafens‘ als verbindlich anerkennt?

A: In den Genuss der Vorteile des ‚sicheren Hafens‘ kommt eine Organi­sation ab dem Tag, an dem sie dem US-Handels­mi­nis­terium (oder einer von diesem benannten Stelle) gegenüber erklärt, dass sie entspre­chend den nachste­henden Leitlinien den Grund­sätzen des ‚sicheren Hafens‘ beitritt (Selbst­zer­ti­fi­zierung).

Um sich selbst zu zerti­fi­zieren, muss die Organi­sation dem US- Handels­mi­nis­terium (oder einer von diesem benannten Stelle) ein von einem leitenden Mitar­beiter im Namen der Organi­sation unter­zeich­netes Schreiben vorlegen, das mindestens folgende Angaben enthält:

1. Name der Organi­sation, Postan­schrift, E‑Mail-Adresse, Telefon- und Faxnummer;

2. Beschreibung der Tätigkeit der Organi­sation im Zusam­menhang mit perso­nen­be­zo­genen Daten aus der EU und

3. Beschreibung der Geschäfts­be­din­gungen für den Daten­schutz der Organi­sation, die folgende Angaben umfassen muss: a) Ort, an dem diese Beschreibung von der Öffent­lichkeit einge­sehen werden kann;
b) Tag, an dem diese Vorkeh­rungen in Kraft gesetzt wurden;
c) Kontakt­stelle, die für die Bearbeitung von Beschwerden, Auskunfts­er­suchen und anderen Angele­gen­heiten des sicheren Hafens zuständig ist; d) die gesetz­liche Aufsichts­be­hörde, die über Beschwerden gegen die Organi­sation wegen unlau­teren oder irrefüh­renden Geschäfts­ge­barens und wegen Verletzung von daten­schutz­recht­lichen Vorschriften entschei­dungs­befugt ist (und im Anhang zu den Grund­sätzen aufge­führt ist); e) die Bezeich­nungen aller Daten­schutz­pro­gramme, an denen die Organi­sation teilnimmt; f) die Art der anlass­un­ab­hän­gigen Kontrolle (z. B. intern oder extern) … und

g) das unabhängige Schieds­ver­fahren zur Behandlung ungelöster Beschwerdefälle.

Wenn die Organi­sation wünscht, dass ihr die Vorteile des sicheren Hafens auch bei Perso­nal­daten zuteil werden, die zur Verwendung im Rahmen von Beschäf­ti­gungs­ver­hält­nissen aus der EU übermittelt werden, muss es eine gesetz­liche Aufsichts­be­hörde geben, die über Beschwerden gegen die Organi­sation hinsichtlich Arbeit­neh­mer­daten beschwer­de­befugt ist; diese Stelle muss im Anhang zu den Grund­sätzen genannt sein. …

Das Minis­terium (oder die von ihm benannte Stelle) führt eine Liste aller Organi­sa­tionen, die sich selbst zerti­fi­zieren und denen damit die Vorteile des
‚sicheren Hafens‘ zustehen. Die Liste wird nach den jährlich einge­henden Selbst­zer­ti­fi­zie­rungs­schreiben und den nach FAQ 11 einge­gan­genen Mittei­lungen aktualisiert. …

FAQ 11 – Schieds­ver­fahren und Durchsetzungsprinzip

F: Wie sind die im Durch­set­zungs­prinzip enthal­tenen Anfor­de­rungen an die Behandlung von Beschwerden in die Praxis umzusetzen und was geschieht, wenn eine Organi­sation fortge­setzt gegen die Grund­sätze des ‚sicheren Hafens‘ verstößt?

A: Im Durch­set­zungs­prinzip ist festgelegt, wie den Grund­sätzen des sicheren Hafens Geltung zu verschaffen ist. Wie Punkt b) des Durch­set­zungs­grund­satzes zu entsprechen ist, wird in FAQ 7 (Kontrolle) ausge­führt. Diese FAQ 11 befasst sich mit den Punkten a) und c), die beide die Forderung nach unabhän­gigen Schieds­stellen enthalten. Das Beschwer­de­ver­fahren kann auf verschiedene Weise ausge­staltet werden, es muss aber die im Durch­set­zungs­grundsatz genannten Anfor­de­rungen erfüllen. Organi­sa­tionen können diese Forde­rungen des Durch­set­zungs­grund­satzes wie folgt erfüllen: 1. indem sie von der Privat­wirt­schaft entwi­ckelte Daten­schutz­pro­gramme befolgen, in deren Regeln die Grund­sätze des ‚sicheren Hafens‘ integriert sind und die wirksame Durch­set­zungs­me­cha­nismen vorsehen, wie sie im Durch­set­zungs­grundsatz beschrieben sind; 2. indem sie sich gesetzlich oder durch Rechts­ver­ordnung vorge­se­henen Kontroll­organen unter­werfen, die Beschwerden von Einzel­per­sonen nachgehen und Strei­tig­keiten schlichten;
3. indem sie sich verpflichten, mit den Daten­schutz­be­hörden in der Europäi­schen Union oder mit deren bevoll­mäch­tigten Vertretern zusam­men­zu­ar­beiten. Die hier angeführten Möglich­keiten sind Beispiele, es handelt sich nicht um eine abschlie­ßende Aufzählung. Die Privat­wirt­schaft kann auch andere Durch­set­zungs­me­cha­nismen einführen, sie müssen nur die Forde­rungen erfüllen, die im Durch­set­zungs­grundsatz und in den FAQ

nieder­gelegt sind. Zu beachten ist, dass die Forde­rungen des Durch­set­zungs­grund­satzes die Forderung ergänzen, die im dritten Absatz der Einführung zu den Grund­sätzen des sicheren Hafens formu­liert ist. Danach müssen auch bei Selbst­re­gu­lierung Verstöße gegen die Grund­sätze gemäß Abschnitt 5 des Federal Trade Commission Act oder einem ähnlichen Gesetz verfolgbar sein.

Anrufung unabhän­giger Beschwerdestellen:

Die Verbraucher sollen dazu angehalten werden, Beschwerden zunächst an die Organi­sation zu richten, die ihre Daten verar­beitet, ehe sie eine unabhängige Beschwer­de­stelle anrufen. …

Befassung der FTC:

Die FTC will Beschwerden wegen Verletzung der Grund­sätze des sicheren Hafens, die Selbst­re­gu­lie­rungs­organe für den Daten­schutz wie BBBOnline und TRUSTe und EU-Mitglied­staaten an sie verweisen, vorrangig behandeln, und feststellen, ob gegen Abschnitt 5 des FTC Act verstoßen wurde, der unlautere und irrefüh­rende Geschäfts­prak­tiken verbietet. …

…“

10 Anhang IV der Entscheidung 2000/520 sieht vor:

„Daten­schutz und Schaden­ersatz, recht­liche Ermäch­ti­gungen, Fusionen und Übernahmen im Rahmen des US-ameri­ka­ni­schen Rechts

Diese Stellung[nahme] nimmt Bezug auf das Ersuchen der Europäi­schen Kommission um Klärung des US-ameri­ka­ni­schen Rechts in Bezug auf
a) Schaden­er­satz­an­sprüche wegen Verletzung der Privat­sphäre, b) ‚ausdrück­liche Ermäch­ti­gungen‘ im Rahmen des US-ameri­ka­ni­schen Rechts für die Verwendung perso­nen­be­zo­gener Infor­ma­tionen auf eine Art und Weise, die nicht in Einklang mit den US-Grund­sätzen des sicheren Hafens steht, sowie c) die Auswir­kungen von Fusionen und Übernahmen auf nach Maßgabe der Grund­sätze des sicheren Hafens übernommene Verpflichtungen.

B. Ausdrück­liche recht­liche Ermächtigungen

Die Grund­sätze des sicheren Hafens sehen eine Ausnahme vor, wenn aufgrund der Gesetze, Rechts­vor­schriften oder des Fallrechts ‚wider­sprüch­liche Verpflich­tungen oder ausdrück­liche Ermäch­ti­gungen entstehen, stets voraus­ge­setzt, dass ein Unter­nehmen bei der Ausübung einer solchen

Ermäch­tigung demons­trieren kann, dass seine Nicht­be­folgung der Grund­sätze auf den Umfang beschränkt ist, der erfor­derlich ist, um den durch eine solche Ermäch­tigung geför­derten ausschlag­ge­benden legitimen Inter­essen nachzu­kommen‘. Es steht jedoch eindeutig fest, dass, wenn aufgrund des US- ameri­ka­ni­schen Rechts eine den Grund­sätzen des sicheren Hafens entge­gen­ste­hende Verpflichtung auferlegt wird, die US-Unter­nehmen die Gesetze einhalten müssen, und zwar ungeachtet dessen, ob sie auf die Grund­sätze des sicheren Hafens verpflichtet sind oder nicht. Während die Grund­sätze des sicheren Hafens darauf abzielen, die Unter­schiede zwischen dem US-ameri­ka­ni­schen und den europäi­schen Rechts­sys­temen für den Schutz der Privat­sphäre zu überbrücken, haben wir uns, was ausdrück­liche Ermäch­ti­gungen betrifft, den Vorrechten unserer gewählten Gesetz­geber zu fügen. Durch die in beschränktem Umfang mögliche Abwei­chung von einer strikten Befolgung der Grund­sätze des sicheren Hafens soll ein Gleich­ge­wicht geschaffen werden, um somit den berech­tigten Inter­essen beider Seiten nachzukommen.

Ausnahmen sind beschränkt auf Fälle, bei denen eine ausdrück­liche Ermäch­tigung vorliegt. Daher müssen in dieser Grenz­si­tuation die entspre­chenden Gesetze, Rechts­ver­ord­nungen oder Gerichts­ent­schei­dungen das spezi­fische Verhalten der auf die Grund­sätze des sicheren Hafens verpflich­teten Unter­nehmen ausdrücklich geneh­migen. Anders ausge­drückt, würde die Ausnahme nicht in Fällen gelten, hinsichtlich deren keine entspre­chende recht­liche Äußerung vorliegt. Darüber hinaus würde die Ausnahme nur gelten, wenn die ausdrück­liche Ermäch­tigung der Befolgung der Grund­sätze des sicheren Hafens entge­gen­steht. Auch in einem solchen Fall ‚beschränkt sich die Ausnahme auf das Maß, das erfor­derlich ist, um den durch eine solche Ermäch­tigung geför­derten ausschlag­ge­benden recht­mä­ßigen Inter­essen nachzu­kommen‘. So würde beispiels­weise in Fällen, bei denen das Recht eine Gesell­schaft lediglich ermächtigt, staat­lichen Stellen perso­nen­be­zogene Infor­ma­tionen zu liefern, die Ausnahme nicht gelten. Umgekehrt wäre jedoch in Fällen, bei denen das Recht eine Gesell­schaft explizit ermächtigt, staat­lichen Stellen ohne die jeweilige Zustimmung des Einzelnen perso­nen­be­zogene Infor­ma­tionen zu liefern, eine ‚ausdrück­liche Ermäch­tigung‘ gegeben, auf eine Art und Weise zu handeln, die den Grund­sätzen des sicheren Hafens entge­gen­steht. Oder aber spezi­fische Ausnahmen von den ausdrück­lichen Erfor­der­nissen, eine entspre­chende Mitteilung zu machen und die Zustimmung einzu­holen, würden in den Ausnah­me­be­reich fallen (da dies einer spezi­fi­schen Ermäch­tigung gleich­kommen würde, Infor­ma­tionen ohne entspre­chende Mitteilung und Zustimmung offen zu legen). So könnte beispiels­weise ein Gesetz, das Ärzten gestattet, die medizi­ni­schen Daten ihrer Patienten ohne die vorherige Zustimmung der Patienten an Beamte des Gesund­heitsamts weiter­zu­geben, eine Ausnahme vom Mittei­lungs- und Wahlmög­lich­keits­grundsatz gewähren. Diese Ermäch­tigung würde es einem Arzt nicht gestatten, dieselben medizi­ni­schen Daten an Gesund­heits­vor­sor­ge­ein­rich­tungen oder kommer­zielle pharma­zeu­tische Forschungs­labors weiter­zu­geben, was das Maß der von Rechts wegen erteilten Ermäch­tigung übersteigen und daher die Reich­weite des Ausnah­me­falls überschreiten würde. Bei der in Frage stehenden recht­lichen Ermäch­tigung kann

es sich um eine ‚einzelne‘ Ermäch­tigung handeln, bestimmte Dinge mit perso­nen­be­zo­genen Daten zu tun; wie die nachste­henden Beispiele jedoch zeigen, handelt es sich eher um eine Ausnahme im Hinblick auf ein weitrei­chen­deres Gesetz, das die Erhebung, Verwendung und Offen­legung perso­nen­be­zo­gener Infor­ma­tionen verbietet.

…“

Mitteilung COM(2013) 846 final

11 Am 27. November 2013 erließ die Kommission eine Mitteilung an das Europäische Parlament und den Rat mit dem Titel „Wieder­her­stellung des Vertrauens beim Daten­aus­tausch zwischen der EU und den USA“ (COM[2013] 846 final) (im Folgenden: Mitteilung COM[2013] 846 final). Begleitet wurde diese Mitteilung von einem ebenfalls vom 27. November 2013 datie­renden Bericht über die Ergeb­nisse der EU-Ko-Vorsit­zenden der Ad-hoc-Arbeits­gruppe EU-USA zum Daten­schutz („Report on the Findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection“). Dieser Bericht war, wie aus seinem Abschnitt 1 hervorgeht, in Zusam­men­arbeit mit den Verei­nigten Staaten von Amerika erstellt worden, nachdem bekannt geworden war, dass es dort mehrere Überwa­chungs­pro­gramme gibt, die auch die Sammlung und Verar­beitung perso­nen­be­zo­gener Daten in großem Umfang einschließen. Der Bericht enthält u. a. eine einge­hende Analyse der Rechts­ordnung der Verei­nigten Staaten, insbe­sondere in Bezug auf die Rechts­grund­lagen der Überwa­chungs­pro­gramme sowie der Sammlung und Verar­beitung perso­nen­be­zo­gener Daten durch die ameri­ka­ni­schen Behörden.

12 In Abschnitt 1 der Mitteilung COM(2013) 846 final führt die Kommission aus:
„Das Thema Handels­be­zie­hungen ist Gegen­stand der Entscheidung [2000/520]. Die Entscheidung bietet die Rechts­grundlage für die Übermittlung perso­nen­be­zo­gener Daten aus der EU an in den USA nieder­ge­lassene Unter­nehmen, die die Daten­schutz-Grund­sätze (‚Safe Harbor‘) beachten.“ Ferner hebt die Kommission in Abschnitt 1 den immer größeren Stellenwert des Austauschs perso­nen­be­zo­gener Daten hervor, der u. a. mit der Entwicklung der digitalen Wirtschaft zusam­men­hänge; diese habe nämlich „zu einem exponen­ti­ellen Anstieg der Quantität, Qualität, Vielfalt und Art der Tätig­keiten im Bereich der Daten­ver­ar­beitung geführt“.

13 In Abschnitt 2 dieser Mitteilung führt die Kommission aus, dass „die Bedenken mit Blick auf das Schutz­niveau für in die USA übertragene perso­nen­be­zogene Daten von EU-Bürgern immer weiter zu[nehmen]“ und dass „[a]ufgrund des freiwil­ligen und dekla­ra­to­ri­schen Charakters des [Safe-Harbor-]Systems … das Augenmerk verstärkt auf dessen Trans­parenz und Durch­setzung gelegt [wird]“.

14 Weiter heißt es in Abschnitt 2: „Die im Rahmen des ‚sicheren Hafens‘ an die USA übermit­telten perso­nen­be­zo­genen Daten von EU-Bürgern können durch die US-

Behörden in einer Weise einge­sehen und weiter­ver­ar­beitet werden, die mit dem eigent­lichen Zweck ihrer Erfassung in der EU und mit den Gründen für ihre Übermittlung in die USA unver­einbar ist. Die Mehrzahl der US-Inter­net­firmen, bei denen sich ein unmit­tel­barer Zusam­menhang zu den [Überwa­chungs­pro­grammen] herstellen lässt, ist den Safe-Harbor-Grund­sätzen beigetreten.“

15 In Abschnitt 3.2 der Mitteilung COM(2013) 846 final stellt die Kommission fest, dass es bei der Umsetzung der Entscheidung 2000/520 eine Reihe von Schwach­stellen gebe. Zum einen hielten sich ameri­ka­nische zerti­fi­zierte Unter­nehmen nicht an die in Art. 1 Abs. 1 der Entscheidung 2000/520 aufge­stellten Grund­sätze (im Folgenden: Grund­sätze des „sicheren Hafens“), so dass Verbes­se­rungen der Entscheidung erfor­derlich seien, die „sowohl auf die struk­tu­rellen Mängel bei der Trans­parenz und der Durch­setzung als auch auf die wichtigsten Grund­sätze des ‚sicheren Hafens‘ und die Ausnah­me­re­ge­lungen aus Gründen der natio­nalen Sicherheit“ ausge­richtet sein sollten. Zum anderen diene das System des sicheren Hafens „als Kanal für die Übertragung perso­nen­be­zo­gener Daten von EU-Bürgern von der EU in die USA durch Unter­nehmen, die zur Freigabe von Daten an US-Geheim­dienste im Rahmen der Daten­er­he­bungs­pro­gramme dieser Dienste aufge­fordert werden“.

16 Die Kommission zieht daraus in Abschnitt 3.2 folgenden Schluss: „Angesichts der festge­stellten Schwach­stellen kann das Safe-Harbor-System nicht wie bisher fortge­führt werden. Seine Aufhebung würde aller­dings den Inter­essen der betei­ligten Unter­nehmen in der EU und in den USA schaden.“ Schließlich fügt sie in Abschnitt 3.2 hinzu, sie werde „mit den US-Behörden unver­züglich Gespräche über die festge­stellten Mängel aufnehmen“.

Mitteilung COM(2013) 847 final

17 Am 27. November 2013 erließ die Kommission ferner eine Mitteilung an das Europäische Parlament und den Rat über die Funkti­ons­weise der Safe-Harbor- Regelung aus Sicht der EU-Bürger und der in der EU nieder­ge­las­senen Unter­nehmen (COM[2013] 847 final) (im Folgenden: Mitteilung COM[2013] 847 final). Wie sich aus Abschnitt 1 dieser Mitteilung ergibt, beruht sie u. a. auf Infor­ma­tionen der Ad-hoc-Arbeits­gruppe EU-USA und stützt sich auf zwei in den Jahren 2002 und 2004 veröf­fent­lichte Bewer­tungs­be­richte der Kommission.

18 Nach Abschnitt 1 der Mitteilung basiert die Funkti­ons­weise der Entscheidung 2000/520 „auf den Verpflich­tungs­er­klä­rungen und Selbst­zer­ti­fi­zie­rungen der betei­ligten Unter­nehmen“. Weiter heißt es dort: „Die Betei­ligung ist zwar freiwillig, jedoch sind die Unter­nehmen danach an die geltenden Vorschriften gebunden.“

19 Außerdem geht aus Abschnitt 2.2 der Mitteilung COM(2013) 847 final hervor, dass am 26. September 2013 insgesamt 3 246 Unter­nehmen zahlreicher Wirtschafts- und Dienst­leis­tungs­branchen zerti­fi­ziert waren. Dabei handelte es sich haupt­sächlich um Unter­nehmen, die auf dem Binnen­markt der Union Dienst­leis­tungen anboten, insbe­sondere um Inter­net­firmen; teilweise waren es Nieder­las­sungen von Unter­nehmen aus der Union mit Tochter­ge­sell­schaften in den Verei­nigten Staaten. Einige dieser Unter­nehmen verar­bei­teten Daten von Mitar­beitern in Europa, die zu perso­nal­tech­ni­schen Zwecken in die Verei­nigten Staaten übermittelt wurden.

20 In Abschnitt 2.2 hebt die Kommission überdies Folgendes hervor: „Ist seitens der USA keine ausrei­chende Trans­parenz oder Durch­setzung gewähr­leistet, liegt die Verant­wortung bei den europäi­schen Daten­schutz­be­hörden sowie bei den an der Safe-Harbor-Regelung betei­ligten Unternehmen.“

21 Wie insbe­sondere den Abschnitten 3 bis 5 und 8 der Mitteilung COM(2013) 847 final zu entnehmen ist, hielt eine erheb­liche Zahl zerti­fi­zierter Unter­nehmen die Grund­sätze des „sicheren Hafens“ nicht oder nicht vollständig ein.

22 Überdies weist die Kommission in Abschnitt 7 der Mitteilung darauf hin, dass
„alle Unter­nehmen, die am Programm PRISM [Programm zur umfas­senden Sammlung von Infor­ma­tionen] beteiligt sind und den US-Behörden den Zugriff auf in den USA gespei­cherte und verar­beitete Daten gestatten, der Safe-Harbor- Regelung beigetreten [sind]“, die damit „zu einem Infor­ma­ti­ons­kanal geworden [ist], über den die US-Nachrich­ten­dienste auf perso­nen­be­zogene Daten zugreifen können, die ursprünglich in der EU verar­beitet worden sind“. Hierzu stellt die Kommission in Abschnitt 7.1 der Mitteilung fest, dass „das US-ameri­ka­nische Recht die umfas­sende Erhebung und Verar­beitung perso­nen­be­zo­gener Daten zu[lässt], die von Unter­nehmen mit Sitz in den USA gespei­chert oder in anderer Weise verar­beitet werden. … Diese groß angelegten Programme können dazu führen, dass auf der Grundlage der Safe-Harbor-Regelung trans­fe­rierte Daten von US-Behörden über das Maß hinaus, das für den Schutz der natio­nalen Sicherheit (im Sinne der Ausnah­me­klausel in der [Entscheidung 2000/520]) unbedingt nötig und angemessen wäre, abgerufen und weiter­ver­ar­beitet werden.“

23 In Abschnitt 7.2 („Beschrän­kungen und Rechts­schutz­mög­lich­keiten“) der Mitteilung COM(2013) 847 final hebt die Kommission hervor, dass „die nach US- ameri­ka­ni­schem Recht verfüg­baren Garantien größten­teils nur US-Bürgern oder Personen mit recht­mä­ßigem Wohnsitz in den USA zu[stehen]. Auch gibt es weder für EU- noch für US-Bürger die Möglichkeit, Auskunft über ihre Daten, deren Berich­tigung oder Löschung zu erwirken, die im Rahmen der US- Überwa­chungs­pro­gramme erhoben und weiter­ver­ar­beitet werden. Adminis­trative oder gericht­liche Rechts­be­helfe stehen gleich­falls nicht zur Verfügung.“

24 Nach Abschnitt 8 der Mitteilung COM(2013) 847 final gehörten zu den zerti­fi­zierten Unter­nehmen „Web-Unter­nehmen wie Google, Facebook, Microsoft, Apple und Yahoo“ mit „mehreren Hundert Millionen Kunden in Europa“, die perso­nen­be­zogene Daten zur Verar­beitung in die Verei­nigten Staaten übermittelten.

25 Die Kommission kam in Abschnitt 8 zu folgendem Schluss: „Ernsthaft in Frage zu stellen ist …, ob die Daten­schutz­rechte europäi­scher Bürger, deren Daten in die USA übermittelt werden, angesichts des umfas­senden Zugriffs der Nachrich­ten­dienste auf Daten, die von Safe-Harbor-Unter­nehmen in die USA übermittelt werden, konti­nu­ierlich geschützt sind.“

Ausgangs­ver­fahren und Vorlagefragen

26 Herr Schrems, ein in Öster­reich wohnhafter öster­rei­chi­scher Staats­an­ge­hö­riger, nutzt seit 2008 das soziale Netzwerk Facebook (im Folgenden: Facebook).

27 Alle im Unions­gebiet wohnhaften Personen, die Facebook nutzen wollen, müssen bei ihrer Anmeldung einen Vertrag mit Facebook Ireland abschließen, einer Tochter­ge­sell­schaft der in den Verei­nigten Staaten ansäs­sigen Facebook Inc. Die perso­nen­be­zo­genen Daten der im Unions­gebiet wohnhaften Nutzer von Facebook werden ganz oder teilweise an Server der Facebook Inc., die sich in den Verei­nigten Staaten befinden, übermittelt und dort verarbeitet.

28 Am 25. Juni 2013 legte Herr Schrems beim Commis­sioner eine Beschwerde ein, mit der er ihn im Wesent­lichen auffor­derte, in Ausübung der ihm übertra­genen Befug­nisse Facebook Ireland die Übermittlung seiner perso­nen­be­zo­genen Daten in die Verei­nigten Staaten zu unter­sagen. Er machte geltend, das Recht und die Praxis der Verei­nigten Staaten gewähr­leis­teten keinen ausrei­chenden Schutz der in diesem Land gespei­cherten perso­nen­be­zo­genen Daten vor den Überwa­chungs­tä­tig­keiten der dortigen Behörden. Dabei verwies er auf die von Herrn Edward Snowden enthüllten Tätig­keiten der Nachrich­ten­dienste der Verei­nigten Staaten, insbe­sondere der National Security Agency (im Folgenden: NSA).

29 Da sich der Commis­sioner nicht für verpflichtet hielt, die von Herrn Schrems in seiner Beschwerde gerügten Tatsachen zu unter­suchen, wies er die Beschwerde als unbegründet zurück. Er war nämlich der Ansicht, dass es keine Beweise für einen Zugriff der NSA auf die perso­nen­be­zo­genen Daten von Herrn Schrems gebe. Er fügte hinzu, die von Herrn Schrems in seiner Beschwerde erhobenen Rügen könnten nicht mit Erfolg geltend gemacht werden, da alle die Angemes­senheit des Schutzes perso­nen­be­zo­gener Daten in den Verei­nigten Staaten betref­fenden Fragen im Einklang mit der Entscheidung 2000/520 zu klären seien und da die Kommission in dieser Entscheidung festge­stellt habe, dass die Verei­nigten Staaten von Amerika ein angemes­senes Schutz­niveau gewährleisteten.

30 Herr Schrems erhob gegen die im Ausgangs­ver­fahren in Rede stehende Entscheidung Klage beim High Court. Dieser stellte nach Prüfung der von den Parteien des Ausgangs­ver­fahrens vorge­legten Beweise fest, dass die elektro­nische Überwa­chung und Erfassung der aus der Union in die Verei­nigten Staaten übermit­telten perso­nen­be­zo­genen Daten notwen­digen und unerläss­lichen Zielen von öffent­lichem Interesse diene. Die Enthül­lungen von Herrn Snowden hätten jedoch gezeigt, dass die NSA und andere Bundes­be­hörden „erheb­liche Exzesse“ begangen hätten.

31 Der High Court fügte hinzu, die Unions­bürger hätten keinen wirksamen Anspruch auf recht­liches Gehör. Die Überwa­chung der Handlungen der Nachrich­ten­dienste finde ex parte und unter Geheim­haltung statt. Sobald die perso­nen­be­zo­genen Daten in die Verei­nigten Staaten übermittelt worden seien, könnten die NSA und andere Bundes­be­hörden wie das Federal Bureau of Inves­ti­gation (FBI) darauf im Rahmen der von ihnen prakti­zierten massen­haften und wahllosen Überwa­chung und Erfassung zugreifen.

32 Das irische Recht verbiete die Übermittlung perso­nen­be­zo­gener Daten ins Ausland, es sei denn, das betref­fende Drittland gewähr­leiste ein angemes­senes Schutz­niveau der Privat­sphäre sowie der Grund­rechte und Grund­frei­heiten. Der Stellenwert der durch die irische Verfassung garan­tierten Rechte auf Privat­sphäre und auf Unver­letz­lichkeit der Wohnung gebiete es, dass jeder Eingriff in diese Rechte verhält­nis­mäßig sei und den gesetz­lichen Anfor­de­rungen entspreche.

33 Der massen­hafte und undif­fe­ren­zierte Zugriff auf perso­nen­be­zogene Daten verstoße offen­kundig gegen den Grundsatz der Verhält­nis­mä­ßigkeit und die durch die irische Verfassung geschützten Grund­werte. Die Erfassung elektro­ni­scher Kommu­ni­kation könne nur dann als verfas­sungs­gemäß angesehen werden, wenn nachge­wiesen werde, dass sie zielge­richtet sei, dass die Überwa­chung bestimmter Personen oder Perso­nen­gruppen im Interesse der natio­nalen Sicherheit oder der Verbre­chens­be­kämpfung objektiv gerecht­fertigt sei und dass es angemessene und nachprüfbare Schutz­me­cha­nismen gebe. Wäre die Rechts­sache des Ausgangs­ver­fahrens allein anhand des irischen Rechts zu prüfen, wäre daher festzu­stellen, dass der Commis­sioner in Anbetracht ernster Zweifel daran, ob die Verei­nigten Staaten von Amerika ein angemes­senes Schutz­niveau der perso­nen­be­zo­genen Daten gewähr­leis­teten, eine Unter­su­chung der von Herrn Schrems in seiner Beschwerde gerügten Tatsachen hätte vornehmen müssen und die Beschwerde zu Unrecht zurück­ge­wiesen hätte.

34 Da diese Rechts­sache jedoch die Durch­führung des Rechts der Union im Sinne von Art. 51 der Charta betreffe, sei die Recht­mä­ßigkeit der im Ausgangs­ver­fahren in Rede stehenden Entscheidung anhand des Unions­rechts zu beurteilen. Die Entscheidung 2000/520 genüge aber weder den Anfor­de­rungen der Art. 7 und 8 der Charta noch den vom Gerichtshof im Urteil Digital Rights Ireland u. a. (C‑293/12 und C‑594/12, EU:C:2014:238) aufge­stellten Grund­sätzen. Das durch Art. 7 der Charta und durch die Grund­werte, die sich aus den gemeinsamen

Verfas­sungs­tra­di­tionen der Mitglied­staaten ergäben, gewähr­leistete Recht auf Achtung der Privat­sphäre würde seiner Tragweite völlig beraubt, wenn den Behörden gestattet würde, auf die elektro­nische Kommu­ni­kation in belie­biger und pauschaler Weise, ohne jede auf Erwägungen der natio­nalen Sicherheit oder der Verbre­chens­ver­hütung, die speziell mit den Betrof­fenen in Zusam­menhang stünden, basie­rende objektive Recht­fer­tigung und ohne beglei­tende angemessene und nachprüfbare Schutz­me­cha­nismen zuzugreifen.

35 Im Übrigen stelle Herr Schrems mit seiner Klage de facto die Recht­mä­ßigkeit der durch die Entscheidung 2000/520 geschaf­fenen Safe-Harbor-Regelung in Frage, auf der die im Ausgangs­ver­fahren in Rede stehende Entscheidung beruhe. Auch wenn er die Gültigkeit weder der Richt­linie 95/46 noch der Entscheidung 2000/520 förmlich angefochten habe, stelle sich daher die Frage, ob der Commis­sioner im Hinblick auf Art. 25 Abs. 6 der Richt­linie an die von der Kommission in ihrer Entscheidung getroffene Feststellung, dass die Verei­nigten Staaten von Amerika ein angemes­senes Schutz­niveau gewähr­leis­teten, gebunden gewesen sei oder ob Art. 8 der Charta ihn ermächtigt hätte, sich gegebe­nen­falls über eine solche Feststellung hinwegzusetzen.

36 Unter diesen Umständen hat der High Court beschlossen, das Verfahren auszu­setzen und dem Gerichtshof folgende Fragen zur Vorab­ent­scheidung vorzulegen:

1. Ist ein unabhän­giger Amtsträger, der von Rechts wegen mit der Handhabung und der Durch­setzung von Rechts­vor­schriften über den Daten­schutz betraut ist, bei der Prüfung einer bei ihm einge­legten Beschwerde, dass perso­nen­be­zogene Daten in ein Drittland (im vorlie­genden Fall in die Verei­nigten Staaten von Amerika) übermittelt würden, dessen Recht und Praxis keinen angemes­senen Schutz der Betrof­fenen gewähr­leis­teten, im Hinblick auf die Art. 7, 8 und 47 der Charta, unbeschadet der Bestim­mungen von Art. 25 Abs. 6 der Richt­linie 95/46, absolut an die in der Entscheidung 2000/520 enthaltene gegen­teilige Feststellung der Union gebunden?

2. Oder kann und/oder muss der Amtsträger statt­dessen im Licht tatsäch­licher Entwick­lungen, die seit der erstma­ligen Veröf­fent­li­chung der Entscheidung der Kommission einge­treten sind, eigene Ermitt­lungen in dieser Sache anstellen?

Zu den Vorlagefragen

37 Mit seinen Vorla­ge­fragen, die gemeinsam zu prüfen sind, möchte das vorle­gende Gericht wissen, ob und inwieweit Art. 25 Abs. 6 der Richt­linie 95/46 im Licht der Art. 7, 8 und 47 der Charta dahin auszu­legen ist, dass eine aufgrund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000/520, in der die Kommission feststellt, dass ein Drittland ein angemes­senes Schutz­niveau gewähr­leistet, eine Kontroll­stelle eines Mitglied­staats im Sinne von Art. 28 der

Richt­linie daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verar­beitung sie betref­fender perso­nen­be­zo­gener Daten, die aus einem Mitglied­staat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemes­senes Schutz­niveau gewährleisteten.

Zu den Befug­nissen der natio­nalen Kontroll­stellen im Sinne von Art. 28 der Richt­linie 95/46 bei Vorliegen einer nach Art. 25 Abs. 6 dieser Richt­linie ergan­genen Entscheidung der Kommission

38 Zunächst ist darauf hinzu­weisen, dass die Bestim­mungen der Richt­linie 95/46, soweit sie die Verar­beitung perso­nen­be­zo­gener Daten regeln, die zu Beein­träch­ti­gungen der Grund­frei­heiten und insbe­sondere des Rechts auf Achtung der Privat­sphäre führen kann, notwen­di­ger­weise im Licht der durch die Charta garan­tierten Grund­rechte auszu­legen sind (vgl. Urteile Öster­rei­chi­scher Rundfunk u. a., C‑465/00, C‑138/01 und C‑139/01, EU:C:2003:294, Rn. 68, Google Spain und Google, C‑131/12, EU:C:2014:317, Rn. 68, sowie Ryneš, C‑212/13, EU:C:2014:2428, Rn. 29).

39 Wie sich aus Art. 1 und aus den Erwägungs­gründen 2 und 10 der Richt­linie 95/46 ergibt, soll diese nicht nur einen wirksamen und umfas­senden Schutz der Grund­frei­heiten und Grund­rechte natür­licher Personen, insbe­sondere des Grund­rechts auf Achtung der Privat­sphäre, bei der Verar­beitung perso­nen­be­zo­gener Daten gewähr­leisten, sondern auch ein hohes Niveau des Schutzes dieser Grund­rechte und Grund­frei­heiten. Die Bedeutung sowohl des durch Art. 7 der Charta gewähr­leis­teten Grund­rechts auf Achtung des Privat­lebens als auch des durch ihren Art. 8 gewähr­leis­teten Grund­rechts auf Schutz perso­nen­be­zo­gener Daten wird im Übrigen in der Recht­spre­chung des Gerichtshofs hervor­ge­hoben (vgl. Urteile Rijkeboer, C‑553/07, EU:C:2009:293, Rn. 47, Digital Rights Ireland u. a., C‑293/12 und C‑594/12, EU:C:2014:238, Rn. 53, sowie Google Spain und Google, C‑131/12, EU:C:2014:317, Rn. 53, 66 und 74 sowie die dort angeführte Rechtsprechung).

40 Zu den Befug­nissen, über die die natio­nalen Kontroll­stellen hinsichtlich der Übermittlung perso­nen­be­zo­gener Daten in Dritt­länder verfügen, ist festzu­stellen, dass Art. 28 Abs. 1 der Richt­linie 95/46 den Mitglied­staaten vorschreibt, eine oder mehrere öffent­liche Stellen damit zu beauf­tragen, in völliger Unabhän­gigkeit die Einhaltung der Unions­vor­schriften über den Schutz natür­licher Personen bei der Verar­beitung solcher Daten zu überwachen. Dieses Erfor­dernis ergibt sich auch aus dem Primär­recht der Union, namentlich aus Art. 8 Abs. 3 der Charta und aus Art. 16 Abs. 2 AEUV (vgl. in diesem Sinne Urteile Kommission/Österreich, C‑614/10, EU:C:2012:631, Rn. 36, und Kommission/Ungarn, C‑288/12, EU:C:2014:237, Rn. 47).

41 Die Gewähr­leistung der Unabhän­gigkeit der natio­nalen Kontroll­stellen soll die wirksame und zuver­lässige Kontrolle der Einhaltung der Vorschriften zum Schutz

natür­licher Personen bei der Verar­beitung perso­nen­be­zo­gener Daten sicher­stellen und ist im Licht dieses Zwecks auszu­legen. Sie wurde einge­führt, um die von den Entschei­dungen der Kontroll­stellen betrof­fenen Personen und Einrich­tungen stärker zu schützen. Die Einrichtung unabhän­giger Kontroll­stellen in den Mitglied­staaten stellt daher – wie dem 62. Erwägungs­grund der Richt­linie 95/46 zu entnehmen ist – ein wesent­liches Element zur Wahrung des Schutzes der Personen bei der Verar­beitung perso­nen­be­zo­gener Daten dar (vgl. Urteile Kommission/Deutschland, C‑518/07, EU:C:2010:125, Rn. 25, und Kommission/Ungarn, C‑288/12, EU:C:2014:237, Rn. 48 und die dort angeführte Rechtsprechung).

42 Um diesen Schutz zu gewähr­leisten, müssen die natio­nalen Kontroll­stellen u. a. für einen angemes­senen Ausgleich zwischen der Achtung des Grund­rechts auf Privat­sphäre und den Inter­essen sorgen, die einen freien Verkehr perso­nen­be­zo­gener Daten gebieten (vgl. in diesem Sinne Urteile Kommission/Deutschland, C‑518/07, EU:C:2010:125, Rn. 24, und Kommission/Ungarn, C‑288/12, EU:C:2014:237, Rn. 51).

43 Zu diesem Zweck verfügen die Kontroll­stellen über eine große Bandbreite von Befug­nissen, die in Art. 28 Abs. 3 der Richt­linie 95/46 in nicht abschlie­ßender Weise aufge­zählt werden und, wie im 63. Erwägungs­grund der Richt­linie hervor­ge­hoben wird, notwendige Mittel für die Erfüllung ihrer Aufgaben darstellen. So verfügen sie u. a. über Unter­su­chungs­be­fug­nisse wie etwa das Recht auf Einholung aller für die Erfüllung ihres Kontroll­auf­trags erfor­der­lichen Infor­ma­tionen, über wirksame Einwir­kungs­be­fug­nisse wie etwa die Befugnis, das vorläufige oder endgültige Verbot einer Verar­beitung von Daten anzuordnen, oder über das Klagerecht.

44 Zwar geht aus Art. 28 Abs. 1 und 6 der Richt­linie 95/46 hervor, dass die Befug­nisse der natio­nalen Kontroll­stellen die Verar­beitung perso­nen­be­zo­gener Daten im Hoheits­gebiet ihres Mitglied­staats betreffen, so dass Art. 28 ihnen keine Befug­nisse in Bezug auf die Verar­beitung solcher Daten im Hoheits­gebiet eines Dritt­lands verleiht.

45 Die Übermittlung perso­nen­be­zo­gener Daten aus einem Mitglied­staat in ein Drittland stellt jedoch als solche eine Verar­beitung perso­nen­be­zo­gener Daten im Sinne von Art. 2 Buchst. b der Richt­linie 95/46 dar (vgl. in diesem Sinne Urteil Parlament/Rat und Kommission, C‑317/04 und C‑318/04, EU:C:2006:346, Rn. 56), die im Hoheits­gebiet eines Mitglied­staats vorge­nommen wird. In dieser Bestimmung wird die „Verar­beitung perso­nen­be­zo­gener Daten“ nämlich als
„jeder mit oder ohne Hilfe automa­ti­sierter Verfahren ausge­führte Vorgang oder jede Vorgangs­reihe im Zusam­menhang mit perso­nen­be­zo­genen Daten“ definiert und als Beispiel „die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereit­stellung“ genannt.

46 Im 60. Erwägungs­grund der Richt­linie 95/46 heißt es, dass Übermitt­lungen perso­nen­be­zo­gener Daten in Dritt­länder nur unter voller Einhaltung der Rechts­vor­schriften erfolgen dürfen, die die Mitglied­staaten gemäß dieser Richt­linie erlassen haben. Insoweit wurde in Kapitel IV der Richt­linie, in dem sich ihre Art. 25 und 26 befinden, eine Regelung geschaffen, die eine Kontrolle der Übermitt­lungen perso­nen­be­zo­gener Daten in Dritt­länder durch die Mitglied­staaten gewähr­leisten soll. Diese Regelung ergänzt die allge­meine Regelung in Kapitel II der Richt­linie über die allge­meinen Bedin­gungen für die Recht­mä­ßigkeit der Verar­beitung perso­nen­be­zo­gener Daten (vgl. in diesem Sinne Urteil Lindqvist, C‑101/01, EU:C:2003:596, Rn. 63).

47 Da die natio­nalen Kontroll­stellen gemäß Art. 8 Abs. 3 der Charta und Art. 28 der Richt­linie 95/46 die Einhaltung der Unions­vor­schriften über den Schutz natür­licher Personen bei der Verar­beitung perso­nen­be­zo­gener Daten zu überwachen haben, ist jede von ihnen zu der Prüfung befugt, ob bei einer Übermittlung perso­nen­be­zo­gener Daten aus ihrem Mitglied­staat in ein Drittland die in der Richt­linie 95/46 aufge­stellten Anfor­de­rungen einge­halten werden.

48 Im 56. Erwägungs­grund der Richt­linie 95/46 wird zwar anerkannt, dass die Übermittlung perso­nen­be­zo­gener Daten aus den Mitglied­staaten in Dritt­länder für die Entwicklung des inter­na­tio­nalen Handels notwendig ist, doch gilt nach ihrem Art. 25 Abs. 1 der Grundsatz, dass eine solche Übermittlung nur zulässig ist, wenn die Dritt­länder ein angemes­senes Schutz­niveau gewährleisten.

49 Außerdem heißt es im 57. Erwägungs­grund der Richt­linie, dass Übermitt­lungen perso­nen­be­zo­gener Daten in Dritt­länder, die kein angemes­senes Schutz­niveau bieten, zu unter­sagen sind.

50 Zum Zweck der Kontrolle der Übermitt­lungen perso­nen­be­zo­gener Daten in Dritt­länder anhand des Schutz­ni­veaus dieser Daten im jewei­ligen Drittland werden den Mitglied­staaten und der Kommission in Art. 25 der Richt­linie 95/46 eine Reihe von Verpflich­tungen auferlegt. Insbe­sondere kann nach diesem Artikel, wie der General­anwalt in Nr. 86 seiner Schluss­an­träge ausge­führt hat, die Feststellung, ob ein Drittland ein angemes­senes Schutz­niveau gewähr­leistet, sowohl von den Mitglied­staaten als auch von der Kommission getroffen werden.

51 Die Kommission kann auf der Grundlage von Art. 25 Abs. 6 der Richt­linie 95/46 eine Entscheidung erlassen, in der sie feststellt, dass ein Drittland ein angemes­senes Schutz­niveau gewähr­leistet. Eine solche Entscheidung richtet sich nach Art. 25 Abs. 6 Unterabs. 2 an die Mitglied­staaten, die die aufgrund der Feststellung gebotenen Maßnahmen treffen müssen. Nach Art. 288 Abs. 4 AEUV bindet sie alle Mitglied­staaten und ist damit für alle Organe der Mitglied­staaten verbindlich (vgl. in diesem Sinne Urteile Albako Marga­ri­ne­fabrik, 249/85, EU:C:1987:245, Rn. 17, und Mediaset, C‑69/13, EU:C:2014:71, Rn. 23), soweit sie die Übermittlung perso­nen­be­zo­gener Daten aus den Mitglied­staaten in das betref­fende Drittland gestattet.

52 Solange die Entscheidung der Kommission vom Gerichtshof nicht für ungültig erklärt wurde, können die Mitglied­staaten und ihre Organe, zu denen ihre unabhän­gigen Kontroll­stellen gehören, somit zwar keine dieser Entscheidung zuwider­lau­fenden Maßnahmen treffen, wie etwa Rechtsakte, mit denen verbindlich festge­stellt wird, dass das Drittland, auf das sich die Entscheidung bezieht, kein angemes­senes Schutz­niveau gewähr­leistet. Für die Rechtsakte der Unions­organe gilt nämlich grund­sätzlich eine Vermutung der Recht­mä­ßigkeit, so dass sie Rechts­wir­kungen entfalten, solange sie nicht zurück­ge­nommen, im Rahmen einer Nichtig­keits­klage für nichtig erklärt oder infolge eines Vorab­ent­schei­dungs­er­su­chens oder einer Einrede der Rechts­wid­rigkeit für ungültig erklärt wurden (Urteil Kommission/Griechenland, C‑475/01, EU:C:2004:585, Rn. 18 und die dort angeführte Rechtsprechung).

53 Eine nach Art. 25 Abs. 6 der Richt­linie 95/46 ergangene Entscheidung der Kommission wie die Entscheidung 2000/520 kann Personen, deren perso­nen­be­zogene Daten in ein Drittland übermittelt wurden oder werden könnten, jedoch nicht daran hindern, die natio­nalen Kontroll­stellen zum Schutz der diese Personen betref­fenden Rechte und Freiheiten bei der Verar­beitung solcher Daten mit einer Eingabe im Sinne von Art. 28 Abs. 4 der Richt­linie zu befassen. Desgleichen kann eine derartige Entscheidung, wie der General­anwalt insbe­sondere in den Nrn. 61, 93 und 116 seiner Schluss­an­träge ausge­führt hat, die den natio­nalen Kontroll­stellen durch Art. 8 Abs. 3 der Charta und durch Art. 28 der Richt­linie ausdrücklich zuerkannten Befug­nisse weder besei­tigen noch beschränken.

54 Weder Art. 8 Abs. 3 der Charta noch Art. 28 der Richt­linie 95/46 schließt die Kontrolle der Übermitt­lungen perso­nen­be­zo­gener Daten in Dritt­länder, die Gegen­stand einer Entscheidung der Kommission nach Art. 25 Abs. 6 der Richt­linie waren, vom Zustän­dig­keits­be­reich der natio­nalen Kontroll­stellen aus.

55 Insbe­sondere sieht Art. 28 Abs. 4 Unterabs. 1 der Richt­linie 95/46, der bestimmt, dass sich jede Person „zum Schutz der die Person betref­fenden Rechte und Freiheiten bei der Verar­beitung perso­nen­be­zo­gener Daten“ mit einer Eingabe an die natio­nalen Kontroll­stellen wenden kann, keine Ausnahme für den Fall vor, dass die Kommission eine Entscheidung nach Art. 25 Abs. 6 der Richt­linie erlassen hat.

56 Außerdem würde es dem durch die Richt­linie 95/46 geschaf­fenen System sowie dem Zweck ihrer Art. 25 und 28 zuwider­laufen, wenn eine Entscheidung der Kommission nach Art. 25 Abs. 6 der Richt­linie eine nationale Kontroll­stelle daran hindern würde, die Eingabe einer Person zum Schutz der sie betref­fenden Rechte und Freiheiten bei der Verar­beitung ihrer perso­nen­be­zo­genen Daten zu prüfen, die aus einem Mitglied­staat in ein Drittland, das Gegen­stand dieser Entscheidung ist, übermittelt wurden oder werden könnten.

57 Art. 28 der Richt­linie 95/46 kommt vielmehr seinem Wesen nach bei jeder Verar­beitung perso­nen­be­zo­gener Daten zur Anwendung. Auch wenn die Kommission eine Entscheidung nach Art. 25 Abs. 6 der Richt­linie getroffen hat, müssen die natio­nalen Kontroll­stellen daher, wenn sich eine Person mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verar­beitung ihrer perso­nen­be­zo­genen Daten an sie wendet, in völliger Unabhän­gigkeit prüfen können, ob bei der Übermittlung dieser Daten die in der Richt­linie aufge­stellten Anfor­de­rungen gewahrt werden.

58 Wäre dem nicht so, würde den Personen, deren perso­nen­be­zogene Daten in das betref­fende Drittland übermittelt wurden oder werden könnten, das durch Art. 8 Abs. 1 und 3 der Charta garan­tierte Recht vorent­halten, sich mit einer Eingabe zum Schutz ihrer Grund­rechte an die natio­nalen Kontroll­stellen zu wenden (vgl. entspre­chend Urteil Digital Rights Ireland u. a., C‑293/12 und C‑594/12, EU:C:2014:238, Rn. 68).

59 Eine Eingabe im Sinne von Art. 28 Abs. 4 der Richt­linie 95/46, mit der eine Person, deren perso­nen­be­zogene Daten in ein Drittland übermittelt wurden oder werden könnten, wie im Ausgangs­ver­fahren geltend macht, dass ungeachtet der Feststel­lungen der Kommission in einer nach Art. 25 Abs. 6 der Richt­linie ergan­genen Entscheidung das Recht und die Praxis dieses Landes kein angemes­senes Schutz­niveau gewähr­leis­teten, ist dahin zu verstehen, dass sie der Sache nach die Verein­barkeit dieser Entscheidung mit dem Schutz der Privat­sphäre sowie der Freiheiten und Grund­rechte von Personen betrifft.

60 Insoweit ist auf die ständige Recht­spre­chung des Gerichtshofs hinzu­weisen, wonach die Union eine Rechts­union ist, in der alle Handlungen ihrer Organe der Kontrolle daraufhin unter­liegen, ob sie insbe­sondere mit den Verträgen, den allge­meinen Rechts­grund­sätzen und den Grund­rechten im Einklang stehen (vgl. in diesem Sinne Urteile Kommission u. a./Kadi, C‑584/10 P, C‑593/10 P und C‑595/10 P, EU:C:2013:518, Rn. 66, Inuit Tapiriit Kanatami u. a./Parlament und Rat, C‑583/11 P, EU:C:2013:625, Rn. 91, und Telefónica/Kommission, C‑274/12 P, EU:C:2013:852, Rn. 56). Die nach Art. 25 Abs. 6 der Richt­linie 95/46 ergan­genen Entschei­dungen der Kommission können daher einer solchen Kontrolle nicht entzogen sein.

61 Gleichwohl ist allein der Gerichtshof befugt, die Ungül­tigkeit eines Unions­rechtsakts wie einer nach Art. 25 Abs. 6 der Richt­linie 95/46 ergan­genen Entscheidung der Kommission festzu­stellen, wobei die Ausschließ­lichkeit dieser Zustän­digkeit Rechts­si­cherheit gewähr­leisten soll, indem sie die einheit­liche Anwendung des Unions­rechts sicher­stellt (vgl. Urteile Melki und Abdeli, C‑188/10 und C‑189/10, EU:C:2010:363, Rn. 54, sowie CIVAD, C‑533/10, EU:C:2012:347, Rn. 40).

62 Die natio­nalen Gerichte sind zwar berechtigt, die Gültigkeit eines Unions­rechtsakts wie einer nach Art. 25 Abs. 6 der Richt­linie 95/46 ergangenen

Entscheidung der Kommission zu prüfen; sie sind jedoch nicht befugt, selbst die Ungül­tigkeit eines solchen Rechtsakts festzu­stellen (vgl. in diesem Sinne Urteile Foto-Frost, 314/85, EU:C:1987:452, Rn. 15 bis 20, sowie IATA und ELFAA, C‑344/04, EU:C:2006:10, Rn. 27). Erst recht sind die natio­nalen Kontroll­stellen bei der Prüfung einer Eingabe im Sinne von Art. 28 Abs. 4 der Richt­linie, die die Verein­barkeit einer nach Art. 25 Abs. 6 der Richt­linie ergan­genen Entscheidung der Kommission mit dem Schutz der Privat­sphäre sowie der Freiheiten und Grund­rechte von Personen zum Gegen­stand hat, nicht befugt, selbst die Ungül­tigkeit einer solchen Entscheidung festzustellen.

63 In Anbetracht der vorste­henden Erwägungen ist es, wenn sich eine Person, deren perso­nen­be­zogene Daten in ein Drittland übermittelt wurden oder werden könnten, das Gegen­stand einer nach Art. 25 Abs. 6 der Richt­linie 95/46 ergan­genen Entscheidung der Kommission ist, mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verar­beitung dieser Daten an eine nationale Kontroll­stelle wendet und im Rahmen dieser Eingabe – wie im Ausgangs­ver­fahren – die Verein­barkeit der betref­fenden Entscheidung mit dem Schutz der Privat­sphäre sowie der Freiheiten und Grund­rechte von Personen in Frage stellt, Sache der angeru­fenen Kontroll­stelle, die Eingabe mit aller gebotenen Sorgfalt zu prüfen.

64 Falls die Kontroll­stelle zu dem Ergebnis kommt, dass das Vorbringen, auf das sich eine solche Eingabe stützt, unbegründet ist, und die Eingabe deshalb zurück­weist, muss der Person, von der die Eingabe stammt, nach Art. 28 Abs. 3 Unterabs. 2 der Richt­linie 95/46 im Licht von Art. 47 der Charta der Rechtsweg offen­stehen, damit sie eine solche sie beschwe­rende Entscheidung vor den natio­nalen Gerichten anfechten kann. Angesichts der in den Rn. 61 und 62 des vorlie­genden Urteils angeführten Recht­spre­chung müssen diese Gerichte das Verfahren aussetzen und dem Gerichtshof ein Ersuchen um Vorab­ent­scheidung über die Gültigkeit vorlegen, wenn sie der Auffassung sind, dass einer oder mehrere der von den Parteien vorge­brachten oder gegebe­nen­falls von Amts wegen geprüften Ungül­tig­keits­gründe durch­greifen (vgl. in diesem Sinne Urteil T & L Sugars und Sidul Açúcares/Kommission, C‑456/13 P, EU:C:2015:284, Rn. 48 und die dort angeführte Rechtsprechung).

65 Hält die Kontroll­stelle die Rügen der Person, die sich mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verar­beitung ihrer perso­nen­be­zo­genen Daten an sie gewandt hat, dagegen für begründet, muss sie nach Art. 28 Abs. 3 Unterabs. 1 dritter Gedan­ken­strich der Richt­linie 95/46 im Licht insbe­sondere von Art. 8 Abs. 3 der Charta ein Klage­recht haben. Insoweit ist es Sache des natio­nalen Gesetz­gebers, Rechts­be­helfe vorzu­sehen, die es der betref­fenden natio­nalen Kontroll­stelle ermög­lichen, die von ihr für begründet erach­teten Rügen vor den natio­nalen Gerichten geltend zu machen, damit diese, wenn sie die Zweifel der Kontroll­stelle an der Gültigkeit der Entscheidung der Kommission teilen, um eine Vorab­ent­scheidung über deren Gültigkeit ersuchen.

66 Nach alledem ist auf die vorge­legten Fragen zu antworten, dass Art. 25 Abs. 6 der Richt­linie 95/46 im Licht der Art. 7, 8 und 47 der Charta dahin auszu­legen ist, dass eine aufgrund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000/520, in der die Kommission feststellt, dass ein Drittland ein angemes­senes Schutz­niveau gewähr­leistet, eine Kontroll­stelle eines Mitglied­staats im Sinne von Art. 28 der Richt­linie nicht daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verar­beitung sie betref­fender perso­nen­be­zo­gener Daten, die aus einem Mitglied­staat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemes­senes Schutz­niveau gewährleisteten.

Zur Gültigkeit der Entscheidung 2000/520

67 Wie aus den Erläu­te­rungen der vorge­legten Fragen durch das vorle­gende Gericht hervorgeht, macht Herr Schrems im Ausgangs­ver­fahren geltend, dass das Recht und die Praxis der Verei­nigten Staaten kein angemes­senes Schutz­niveau im Sinne von Art. 25 der Richt­linie 95/46 gewähr­leis­teten. Wie der General­anwalt in den Nrn. 123 und 124 seiner Schluss­an­träge ausge­führt hat, äußert Herr Schrems Zweifel an der Gültigkeit der Entscheidung 2000/520, die das vorle­gende Gericht im Übrigen der Sache nach zu teilen scheint. Unter diesen Umständen ist angesichts der Feststel­lungen in den Rn. 60 bis 63 des vorlie­genden Urteils, um dem vorle­genden Gericht eine vollständige Antwort zu geben, zu prüfen, ob diese Entscheidung im Licht der Charta den Anfor­de­rungen der Richt­linie entspricht.

Zu den Anfor­de­rungen, die sich aus Art. 25 Abs. 6 der Richt­linie 95/46 ergeben

68 Wie bereits in den Rn. 48 und 49 des vorlie­genden Urteils ausge­führt, verbietet Art. 25 Abs. 1 der Richt­linie 95/46 Übermitt­lungen perso­nen­be­zo­gener Daten in ein Drittland, das kein angemes­senes Schutz­niveau gewährleistet.

69 In Bezug auf die Kontrolle solcher Übermitt­lungen bestimmt jedoch Art. 25 Abs. 6 Unterabs. 1 der Richt­linie, dass die Kommission „feststellen [kann], dass ein Drittland aufgrund seiner inner­staat­lichen Rechts­vor­schriften oder inter­na­tio­naler Verpflich­tungen … hinsichtlich des Schutzes der Privat­sphäre sowie der Freiheiten und Grund­rechte von Personen ein angemes­senes Schutz­niveau im Sinne des Absatzes 2 [dieses Artikels] gewährleistet“.

70 Zwar enthält weder Art. 25 Abs. 2 der Richt­linie 95/46 noch eine andere Bestimmung der Richt­linie eine Definition des Begriffs des angemes­senen Schutz­ni­veaus. Insbe­sondere sieht Art. 25 Abs. 2 der Richt­linie lediglich vor, dass die Angemes­senheit des Schutz­ni­veaus, das ein Drittland bietet, „unter Berück­sich­tigung aller Umstände beurteilt [wird], die bei einer Daten­über­mittlung oder einer Kategorie von Daten­über­mitt­lungen eine Rolle spielen“, und enthält eine nicht abschlie­ßende Aufzählung der bei einer solchen Beurteilung zu berück­sich­ti­genden Umstände.

71 Wie schon aus dem Wortlaut von Art. 25 Abs. 6 der Richt­linie 95/46 hervorgeht, verlangt diese Bestimmung jedoch zum einen, dass ein Drittland aufgrund seiner inner­staat­lichen Rechts­vor­schriften oder inter­na­tio­naler Verpflich­tungen ein angemes­senes Schutz­niveau „gewähr­leistet“. Zum anderen ist nach dieser Bestimmung die Angemes­senheit des Schutz­ni­veaus, das ein Drittland gewähr­leistet, „hinsichtlich des Schutzes der Privat­sphäre sowie der Freiheiten und Grund­rechte von Personen“ zu beurteilen.

72 Somit setzt Art. 25 Abs. 6 der Richt­linie 95/46 die in Art. 8 Abs. 1 der Charta ausdrücklich vorge­sehene Pflicht zum Schutz perso­nen­be­zo­gener Daten um und soll, wie der General­anwalt in Nr. 139 seiner Schluss­an­träge ausge­führt hat, den Fortbe­stand des hohen Niveaus dieses Schutzes im Fall der Übermittlung perso­nen­be­zo­gener Daten in ein Drittland gewährleisten.

73 Zwar impli­ziert das Wort „angemessen“ in Art. 25 Abs. 6 der Richt­linie 95/46, dass nicht verlangt werden kann, dass ein Drittland ein dem in der Unions­rechts­ordnung garan­tiertes identi­sches Schutz­niveau gewähr­leistet. Wie der General­anwalt in Nr. 141 seiner Schluss­an­träge ausge­führt hat, ist der Ausdruck „angemes­senes Schutz­niveau“ jedoch so zu verstehen, dass verlangt wird, dass das Drittland aufgrund seiner inner­staat­lichen Rechts­vor­schriften oder inter­na­tio­naler Verpflich­tungen tatsächlich ein Schutz­niveau der Freiheiten und Grund­rechte gewähr­leistet, das dem in der Union aufgrund der Richt­linie 95/46 im Licht der Charta garan­tierten Niveau der Sache nach gleich­wertig ist. Ohne ein solches Erfor­dernis würde nämlich das in der vorste­henden Randnummer erwähnte Ziel missachtet. Außerdem könnte das durch die Richt­linie 95/46 im Licht der Charta garan­tierte hohe Schutz­niveau leicht umgangen werden, indem perso­nen­be­zogene Daten aus der Union in Dritt­länder übermittelt würden, um dort verar­beitet zu werden.

74 Aus dem ausdrück­lichen Wortlaut von Art. 25 Abs. 6 der Richt­linie 95/46 geht hervor, dass es die Rechts­ordnung des Dritt­lands, auf das sich die Entscheidung der Kommission bezieht, ist, die ein angemes­senes Schutz­niveau gewähr­leisten muss. Auch wenn sich die Mittel, auf die das Drittland insoweit zurück­greift, um ein solches Schutz­niveau zu gewähr­leisten, von denen unter­scheiden können, die in der Union heran­ge­zogen werden, um die Wahrung der Anfor­de­rungen, die sich aus der Richt­linie im Licht der Charta ergeben, zu gewähr­leisten, müssen sich diese Mittel gleichwohl in der Praxis als wirksam erweisen, um einen Schutz zu gewähr­leisten, der dem in der Union garan­tierten der Sache nach gleich­wertig ist.

75 Unter diesen Umständen ist die Kommission bei der Prüfung des von einem Drittland gebotenen Schutz­ni­veaus verpflichtet, den Inhalt der in diesem Land geltenden, aus seinen inner­staat­lichen Rechts­vor­schriften oder inter­na­tio­nalen Verpflich­tungen resul­tie­renden Regeln sowie die zur Gewähr­leistung der Einhaltung dieser Regeln dienende Praxis zu beurteilen, wobei sie nach Art. 25 Abs. 2 der Richt­linie 95/46 alle Umstände zu berück­sich­tigen hat, die bei einer Übermittlung perso­nen­be­zo­gener Daten in ein Drittland eine Rolle spielen.

76 Desgleichen obliegt es der Kommission in Anbetracht der Tatsache, dass das durch ein Drittland gewähr­leistete Schutz­niveau Verän­de­rungen unter­worfen sein kann, im Anschluss an den Erlass einer Entscheidung nach Art. 25 Abs. 6 der Richt­linie 95/46 in regel­mä­ßigen Abständen zu prüfen, ob die Feststellung zur Angemes­senheit des vom fraglichen Drittland gewähr­leis­teten Schutz­ni­veaus in sachlicher und recht­licher Hinsicht nach wie vor gerecht­fertigt ist. Eine solche Prüfung ist jeden­falls dann geboten, wenn Anhalts­punkte vorliegen, die Zweifel daran wecken.

77 Zudem sind, wie der General­anwalt in den Nrn. 134 und 135 seiner Schluss­an­träge ausge­führt hat, bei der Prüfung der Gültigkeit einer nach Art. 25 Abs. 6 der Richt­linie 95/46 ergan­genen Entscheidung der Kommission auch nach dem Erlass dieser Entscheidung einge­tretene Umstände zu berücksichtigen.

78 Hierzu ist festzu­stellen, dass angesichts der beson­deren Bedeutung des Schutzes perso­nen­be­zo­gener Daten für das Grund­recht auf Achtung der Privat­sphäre und der großen Zahl von Personen, deren Grund­rechte im Fall der Übermittlung perso­nen­be­zo­gener Daten in ein Drittland, das kein angemes­senes Schutz­niveau gewähr­leistet, verletzt werden können, der Wertungs­spielraum der Kommission hinsichtlich der Angemes­senheit des durch ein Drittland gewähr­leis­teten Schutz­ni­veaus einge­schränkt ist, so dass eine strikte Kontrolle der Anfor­de­rungen vorzu­nehmen ist, die sich aus Art. 25 der Richt­linie 95/46 im Licht der Charta ergeben (vgl. entspre­chend Urteil Digital Rights Ireland u. a., C‑293/12 und C‑594/12, EU:C:2014:238, Rn. 47 und 48).

Zu Art. 1 der Entscheidung 2000/520

79 Die Kommission ist in Art. 1 Abs. 1 der Entscheidung 2000/520 davon ausge­gangen, dass die ihr als Anhang I beigefügten Grund­sätze, die gemäß den Leitlinien in den dieser Entscheidung als Anhang II beigefügten FAQ umgesetzt würden, ein angemes­senes Schutz­niveau für perso­nen­be­zogene Daten gewähr­leis­teten, die von der Union an in den Verei­nigten Staaten nieder­ge­lassene Organi­sa­tionen übermittelt würden. Aus dieser Bestimmung geht hervor, dass sowohl die genannten Grund­sätze als auch die FAQ vom ameri­ka­ni­schen Handels­mi­nis­terium heraus­ge­geben wurden.

80 Der Beitritt einer Organi­sation zu den Grund­sätzen des „sicheren Hafens“ erfolgt auf der Grundlage eines Systems der Selbst­zer­ti­fi­zierung, wie sich aus Art. 1 Abs. 2 und 3 der Entscheidung 2000/520 in Verbindung mit den FAQ 6 in ihrem Anhang II ergibt.

81 Auch wenn der Rückgriff eines Dritt­lands auf ein System der Selbst­zer­ti­fi­zierung als solcher nicht gegen das Erfor­dernis in Art. 25 Abs. 6 der Richt­linie 95/46 verstößt, dass in dem betref­fenden Drittland „aufgrund seiner inner­staat­lichen Rechts­vor­schriften oder inter­na­tio­naler Verpflich­tungen“ ein angemes­senes Schutz­niveau gewähr­leistet sein muss, beruht die Zuver­läs­sigkeit eines solchen

Systems im Hinblick auf dieses Erfor­dernis wesentlich auf der Schaffung wirksamer Überwa­chungs- und Kontroll­me­cha­nismen, die es erlauben, in der Praxis etwaige Verstöße gegen Regeln zur Gewähr­leistung des Schutzes der Grund­rechte, insbe­sondere des Rechts auf Achtung der Privat­sphäre sowie des Rechts auf den Schutz perso­nen­be­zo­gener Daten, zu ermitteln und zu ahnden.

82 Im vorlie­genden Fall sind die Grund­sätze des „sicheren Hafens“ nach Abs. 2 von Anhang I der Entscheidung 2000/520 „ausschließlich für den Gebrauch durch US- Organi­sa­tionen bestimmt, die perso­nen­be­zogene Daten aus der Europäi­schen Union erhalten, um sich für den ‚sicheren Hafen‘ und die daraus erwach­sende Vermutung der ‚Angemes­senheit‘ des Daten­schutzes zu quali­fi­zieren“. Diese Grund­sätze gelten somit nur für selbst­zer­ti­fi­zierte US-Organi­sa­tionen, die aus der Union perso­nen­be­zogene Daten erhalten, ohne dass von den ameri­ka­ni­schen Behörden die Einhaltung der genannten Grund­sätze verlangt wird.

83 Zudem betrifft die Entscheidung 2000/520 nach ihrem Art. 2 „nur die Angemes­senheit des Schutzes, der in den Verei­nigten Staaten nach den entspre­chend den FAQ umgesetzten Grund­sätzen [des ‚sicheren Hafens‘] gewährt wird, um die Anfor­de­rungen des Artikels 25 Absatz 1 der Richt­linie [95/46] zu erfüllen“; sie enthält dagegen keine hinrei­chenden Feststel­lungen zu den Maßnahmen, mit denen die Verei­nigten Staaten von Amerika aufgrund ihrer inner­staat­lichen Rechts­vor­schriften oder inter­na­tio­naler Verpflich­tungen im Sinne von Art. 25 Abs. 6 der Richt­linie ein angemes­senes Schutz­niveau gewährleisten.

84 Hinzu kommt, dass die Geltung der genannten Grund­sätze nach Abs. 4 von Anhang I der Entscheidung 2000/520 begrenzt werden kann, und zwar u. a.
„insoweit, als Erfor­der­nissen der natio­nalen Sicherheit, des öffent­lichen Inter­esses oder der Durch­führung von Gesetzen Rechnung getragen werden muss“, sowie
„durch Geset­zes­recht, staat­liche Regulie­rungs­vor­schriften oder Fallrecht, die unver­einbare Verpflich­tungen oder ausdrück­liche Ermäch­ti­gungen schaffen, voraus­ge­setzt, die Organi­sation kann in Wahrnehmung dieser Ermäch­ti­gungen nachweisen, dass die Nicht­ein­haltung der Grund­sätze sich auf das Ausmaß beschränkte, das die Einhaltung überge­ord­neter berech­tigter Inter­essen aufgrund eben dieser Ermäch­tigung erforderte“.

85 Hierzu wird in Abschnitt B von Anhang IV der Entscheidung 2000/520 hinsichtlich der Grenzen für die Geltung der Grund­sätze des „sicheren Hafens“ Folgendes hervor­ge­hoben: „Es steht jedoch eindeutig fest, dass, wenn aufgrund des US-ameri­ka­ni­schen Rechts eine den Grund­sätzen des sicheren Hafens entge­gen­ste­hende Verpflichtung auferlegt wird, die US-Unter­nehmen die Gesetze einhalten müssen, und zwar ungeachtet dessen, ob sie auf die Grund­sätze des sicheren Hafens verpflichtet sind oder nicht.“

86 In der Entscheidung 2000/520 wird somit den „Erfor­der­nissen der natio­nalen Sicherheit, des öffent­lichen Inter­esses oder der Durch­führung von Gesetzen“ Vorrang vor den Grund­sätzen des „sicheren Hafens“ einge­räumt; aufgrund dieses

Vorrangs sind die selbst­zer­ti­fi­zierten US-Organi­sa­tionen, die aus der Union perso­nen­be­zogene Daten erhalten, ohne jede Einschränkung verpflichtet, die Grund­sätze des „sicheren Hafens“ unange­wandt zu lassen, wenn sie in Wider­streit zu den genannten Erfor­der­nissen stehen und sich deshalb als mit ihnen unver­einbar erweisen.

87 Angesichts ihres generellen Charakters ermög­licht die Ausnahme in Abs. 4 von Anhang I der Entscheidung 2000/520 es daher, gestützt auf Erfor­der­nisse der natio­nalen Sicherheit, des öffent­lichen Inter­esses oder von Rechts­vor­schriften der Verei­nigten Staaten in die Grund­rechte der Personen einzu­greifen, deren perso­nen­be­zogene Daten aus der Union in die Verei­nigten Staaten übermittelt werden oder werden könnten. Für die Feststellung des Vorliegens eines Eingriffs in das Grund­recht auf Achtung der Privat­sphäre kommt es nicht darauf an, ob die betref­fenden Infor­ma­tionen über die Privat­sphäre sensiblen Charakter haben oder ob die Betrof­fenen durch den Eingriff Nachteile erlitten haben könnten (Urteil Digital Rights Ireland u. a., C‑293/12 und C‑594/12, EU:C:2014:238, Rn. 33 und die dort angeführte Rechtsprechung).

88 Überdies enthält die Entscheidung 2000/520 keine Feststellung dazu, ob es in den Verei­nigten Staaten staat­liche Regeln gibt, die dazu dienen, etwaige Eingriffe – zu denen die staat­lichen Stellen dieses Landes in Verfolgung berech­tigter Ziele wie der natio­nalen Sicherheit berechtigt wären – in die Grund­rechte der Personen, deren Daten aus der Union in die Verei­nigten Staaten übermittelt werden, zu begrenzen.

89 Hinzu kommt, dass die Entscheidung 2000/520 keine Feststellung zum Bestehen eines wirksamen gericht­lichen Rechts­schutzes gegen derartige Eingriffe enthält. Wie der General­anwalt in den Nrn. 204 bis 206 seiner Schluss­an­träge ausge­führt hat, beziehen sich die privaten Schieds­me­cha­nismen und die Verfahren vor der Federal Trade Commission, deren insbe­sondere in den FAQ 11 in Anhang II der Entscheidung beschriebene Befug­nisse auf Handels­strei­tig­keiten beschränkt sind, auf die Einhaltung der Grund­sätze des „sicheren Hafens“ durch die ameri­ka­ni­schen Unter­nehmen und können nicht im Rahmen von Strei­tig­keiten über die Recht­mä­ßigkeit von Eingriffen in Grund­rechte, die sich aus Maßnahmen staat­lichen Ursprungs ergeben, zur Anwendung kommen.

90 Die vorste­hende Analyse der Entscheidung 2000/520 wird im Übrigen bestätigt durch die von der Kommission selbst vorge­nommene Beurteilung der aus der Umsetzung dieser Entscheidung resul­tie­renden Sachlage. Sie stellt nämlich insbe­sondere in den Abschnitten 2 und 3.2 der Mitteilung COM(2013) 846 final sowie in den Abschnitten 7.1, 7.2 und 8 der Mitteilung COM(2013) 847 final, die in den Rn. 13 bis 16 bzw. den Rn. 22, 23 und 25 des vorlie­genden Urteils wieder­ge­geben werden, fest, dass die ameri­ka­ni­schen Behörden auf die aus den Mitglied­staaten in die Verei­nigten Staaten übermit­telten perso­nen­be­zo­genen Daten zugreifen und sie in einer Weise verar­beiten konnten, die namentlich mit den Zielset­zungen ihrer Übermittlung unver­einbar war und über das hinausging,

was zum Schutz der natio­nalen Sicherheit absolut notwendig und verhält­nis­mäßig war. Desgleichen stellte die Kommission fest, dass es für die Betrof­fenen keine adminis­tra­tiven oder gericht­lichen Rechts­be­helfe gab, die es ihnen erlaubten, Zugang zu den sie betref­fenden Daten zu erhalten und gegebe­nen­falls deren Berich­tigung oder Löschung zu erwirken.

91 Zu dem innerhalb der Union garan­tierten Schutz­niveau der Freiheiten und Grund­rechte ist festzu­stellen, dass eine Unions­re­gelung, die einen Eingriff in die durch die Art. 7 und 8 der Charta garan­tierten Grund­rechte enthält, nach ständiger Recht­spre­chung des Gerichtshofs klare und präzise Regeln für die Tragweite und die Anwendung einer Maßnahme vorsehen und Mindest­an­for­de­rungen aufstellen muss, so dass die Personen, deren perso­nen­be­zogene Daten betroffen sind, über ausrei­chende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauchs­ri­siken sowie vor jedem unberech­tigten Zugang zu diesen Daten und jeder unberech­tigten Nutzung ermög­lichen. Das Erfor­dernis, über solche Garantien zu verfügen, ist umso bedeut­samer, wenn die perso­nen­be­zo­genen Daten automa­tisch verar­beitet werden und eine erheb­liche Gefahr des unberech­tigten Zugangs zu ihnen besteht (Urteil Digital Rights Ireland u. a., C‑293/12 und C‑594/12, EU:C:2014:238, Rn. 54 und 55 sowie die dort angeführte Rechtsprechung).

92 Darüber hinaus verlangt der Schutz des Grund­rechts auf Achtung des Privat­lebens auf Unions­ebene vor allem, dass sich die Ausnahmen vom Schutz perso­nen­be­zo­gener Daten und dessen Einschrän­kungen auf das absolut Notwendige beschränken (Urteil Digital Rights Ireland u. a., C‑293/12 und C‑594/12, EU:C:2014:238, Rn. 52 und die dort angeführte Rechtsprechung).

93 Nicht auf das absolut Notwendige beschränkt ist eine Regelung, die generell die Speicherung aller perso­nen­be­zo­genen Daten sämtlicher Personen, deren Daten aus der Union in die Verei­nigten Staaten übermittelt wurden, gestattet, ohne irgendeine Diffe­ren­zierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzu­nehmen und ohne ein objek­tives Kriterium vorzu­sehen, das es ermög­licht, den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit deren Nutzung verbun­denen Eingriff zu recht­fer­tigen vermögen (vgl. in diesem Sinne, in Bezug auf die Richt­linie 2006/24/EG des Europäi­schen Parla­ments und des Rates vom 15. März 2006 über die Vorrats­spei­cherung von Daten, die bei der Bereit­stellung öffentlich zugäng­licher elektro­ni­scher Kommu­ni­ka­ti­ons­dienste oder öffent­licher Kommu­ni­ka­ti­ons­netze erzeugt oder verar­beitet werden, und zur Änderung der Richt­linie 2002/58/EG [ABl. L 105, S. 54], Urteil Digital Rights Ireland u. a., C‑293/12 und C‑594/12, EU:C:2014:238, Rn. 57 bis 61).

94 Insbe­sondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektro­ni­scher Kommu­ni­kation zuzugreifen, den Wesens­gehalt des durch Art. 7 der Charta garan­tierten Grund­rechts auf Achtung des Privatlebens

(vgl. in diesem Sinne Urteil Digital Rights Ireland u. a., C‑293/12 und C‑594/12, EU:C:2014:238, Rn. 39).

95 Desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechts­be­helfs Zugang zu den ihn betref­fenden perso­nen­be­zo­genen Daten zu erlangen oder ihre Berich­tigung oder Löschung zu erwirken, den Wesens­gehalt des in Art. 47 der Charta veran­kerten Grund­rechts auf wirksamen gericht­lichen Rechts­schutz. Nach Art. 47 Abs. 1 der Charta hat nämlich jede Person, deren durch das Recht der Union garan­tierte Rechte oder Freiheiten verletzt worden sind, das Recht, nach Maßgabe der in diesem Artikel vorge­se­henen Bedin­gungen bei einem Gericht einen wirksamen Rechts­behelf einzu­legen. Insoweit ist schon das Vorhan­densein einer wirksamen, zur Gewähr­leistung der Einhaltung des Unions­rechts dienenden gericht­lichen Kontrolle dem Wesen eines Rechts­staats inhärent (vgl. in diesem Sinne Urteile Les Verts/Parlament, 294/83, EU:C:1986:166, Rn. 23, Johnston, 222/84, EU:C:1986:206, Rn. 18 und 19, Heylens u. a., 222/86, EU:C:1987:442, Rn. 14, sowie UGT-Rioja u. a., C‑428/06 bis C‑434/06, EU:C:2008:488, Rn. 80).

96 Nach den namentlich in den Rn. 71, 73 und 74 des vorlie­genden Urteils getrof­fenen Feststel­lungen erfordert der Erlass einer Entscheidung der Kommission nach Art. 25 Abs. 6 der Richt­linie 95/46 die gebührend begründete Feststellung dieses Organs, dass das betref­fende Drittland aufgrund seiner inner­staat­lichen Rechts­vor­schriften oder inter­na­tio­naler Verpflich­tungen tatsächlich ein Schutz­niveau der Grund­rechte gewähr­leistet, das dem in der Rechts­ordnung der Union garan­tierten Niveau, wie es sich insbe­sondere aus den vorste­henden Randnummern des vorlie­genden Urteils ergibt, der Sache nach gleich­wertig ist.

97 Die Kommission hat jedoch in der Entscheidung 2000/520 nicht festge­stellt, dass die Verei­nigten Staaten von Amerika aufgrund ihrer inner­staat­lichen Rechts­vor­schriften oder inter­na­tio­naler Verpflich­tungen tatsächlich ein angemes­senes Schutz­niveau „gewähr­leisten“.

98 Daher ist, ohne dass es einer Prüfung des Inhalts der Grund­sätze des „sicheren Hafens“ bedarf, der Schluss zu ziehen, dass Art. 1 der Entscheidung 2000/520 gegen die in Art. 25 Abs. 6 der Richt­linie 95/46 im Licht der Charta festge­legten Anfor­de­rungen verstößt und aus diesem Grund ungültig ist.

Zu Art. 3 der Entscheidung 2000/520

99 Wie aus den Erwägungen in den Rn. 53, 57 und 63 des vorlie­genden Urteils hervorgeht, müssen die natio­nalen Kontroll­stellen nach Art. 28 der Richt­linie 95/46 im Licht insbe­sondere von Art. 8 der Charta jede Eingabe einer Person zum Schutz ihrer Rechte und Freiheiten bei der Verar­beitung sie betref­fender perso­nen­be­zo­gener Daten in völliger Unabhän­gigkeit prüfen können. Dies gilt in beson­derem Maß, wenn diese Person im Rahmen einer solchen Eingabe Fragen

nach der Verein­barkeit einer nach Art. 25 Abs. 6 der Richt­linie ergan­genen Entscheidung der Kommission mit dem Schutz der Privat­sphäre sowie der Freiheiten und Grund­rechte von Personen aufwirft.

100 Art. 3 Abs. 1 Unterabs. 1 der Entscheidung 2000/520 sieht aber eine spezi­fische Regelung hinsichtlich der Befug­nisse vor, über die die natio­nalen Kontroll­stellen in Bezug auf eine von der Kommission zum angemes­senen Schutz­niveau getroffene Feststellung im Sinne von Art. 25 der Richt­linie 95/46 verfügen.

101 Nach dieser Bestimmung können die Kontroll­stellen unter restrik­tiven Voraus­set­zungen, mit denen eine erhöhte Eingriffs­schwelle geschaffen wird,
„[u]ngeachtet ihrer Befug­nisse, tätig zu werden, um die Einhaltung einzel­staat­licher Vorschriften, die gemäß anderen Bestim­mungen als denje­nigen des Artikels 25 der Richt­linie [95/46] erlassen wurden, zu gewähr­leisten, … die Daten­über­mittlung an eine Organi­sation [aussetzen], die den Grund­sätzen [der Entscheidung 2000/520] beigetreten ist“. Diese Bestimmung beein­trächtigt zwar nicht die Befug­nisse der Kontroll­stellen, tätig zu werden, um die Einhaltung einzel­staat­licher Vorschriften zu gewähr­leisten, die gemäß der Richt­linie erlassen wurden, doch nimmt sie ihnen die Möglichkeit, Maßnahmen zu ergreifen, die die Einhaltung von Art. 25 der Richt­linie gewähr­leisten sollen.

102 Art. 3 Abs. 1 Unterabs. 1 der Entscheidung 2000/520 ist somit dahin zu verstehen, dass er den natio­nalen Kontroll­stellen Befug­nisse entzieht, die ihnen nach Art. 28 der Richt­linie 95/46 für den Fall zustehen, dass eine Person im Rahmen einer Eingabe aufgrund dieser Bestimmung Gesichts­punkte vorbringt, die geeignet sind, die Verein­barkeit einer Entscheidung der Kommission, mit der auf der Grundlage von Art. 25 Abs. 6 der Richt­linie festge­stellt wird, dass ein Drittland ein angemes­senes Schutz­niveau gewähr­leistet, mit dem Schutz der Privat­sphäre sowie der Freiheiten und Grund­rechte von Personen in Frage zu stellen.

103 Die Durch­füh­rungs­be­fugnis, die der Unions­ge­setz­geber der Kommission in Art. 25 Abs. 6 der Richt­linie 95/46 einräumt, berechtigt dieses Organ jedoch nicht, die in der vorste­henden Randnummer genannten Befug­nisse der natio­nalen Kontroll­stellen zu beschränken.

104 Unter diesen Umständen ist festzu­stellen, dass die Kommission mit dem Erlass von Art. 3 der Entscheidung 2000/520 die ihr durch Art. 25 Abs. 6 der Richt­linie 95/46 im Licht der Charta übertragene Zustän­digkeit überschritten hat, so dass dieser Artikel ungültig ist.

105 Da die Art. 1 und 3 der Entscheidung 2000/520 untrennbar mit deren Art. 2 und 4 sowie deren Anhängen verbunden sind, berührt ihre Ungül­tigkeit die Gültigkeit der gesamten Entscheidung.

106 Aus den vorste­henden Erwägungen ist der Schluss zu ziehen, dass die Entscheidung 2000/520 ungültig ist.

Kosten

107 Für die Parteien des Ausgangs­ver­fahrens ist das Verfahren ein Zwischen­streit in dem beim vorle­genden Gericht anhän­gigen Rechts­streit; die Kosten­ent­scheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Betei­ligter für die Abgabe von Erklä­rungen vor dem Gerichtshof sind nicht erstattungsfähig.

Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt:

1. Art. 25 Abs. 6 der Richt­linie 95/46/EG des Europäi­schen Parla­ments und des Rates vom 24. Oktober 1995 zum Schutz natür­licher Personen bei der Verar­beitung perso­nen­be­zo­gener Daten und zum freien Daten­verkehr in der durch die Verordnung (EG) Nr. 1882/2003 des Europäi­schen Parla­ments und des Rates vom 29. September 2003 geänderten Fassung ist im Licht der Art. 7, 8 und 47 der Charta der Grund­rechte der Europäi­schen Union dahin auszu­legen, dass eine aufgrund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richt­linie 95/46 über die Angemes­senheit des von den Grund­sätzen des „sicheren Hafens“ und der diesbe­züg­lichen „Häufig gestellten Fragen“ (FAQ) gewähr­leis­teten Schutzes, vorgelegt vom Handels­mi­nis­terium der USA, in der die Europäische Kommission feststellt, dass ein Drittland ein angemes­senes Schutz­niveau gewähr­leistet, eine Kontroll­stelle eines Mitglied­staats im Sinne von Art. 28 der Richt­linie in geänderter Fassung nicht daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verar­beitung sie betref­fender perso­nen­be­zo­gener Daten, die aus einem Mitglied­staat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemes­senes Schutz­niveau gewährleisteten.

2. Die Entscheidung 2000/520 ist ungültig.