Die Datenschutz-Grundverordnung1sieht wie die Richtlinie über die Verarbeitung personenbezogener Daten, an deren Stelle sie getreten ist, vor, dass personenbezogene Daten an ein Drittland übermittelt werden können, wenn diesesfür die Daten ein angemessenes Schutzniveau sicherstellt.

Liegt kein Beschluss der Kommission vor, mit dem die Angemessenheit des Schutzniveaus im betreffenden Drittland festgestellt wird, darf der für die Verarbeitung Verantwortliche die Übermittlung dennoch vornehmen, wenn er sie mit geeigneten Garantien versieht.

Diese Garantien können u.a. die Form eines Vertrags zwischen dem Exporteur und dem Importeur der Datenannehmen, der die in einem Beschluss der Kommission vorgesehenen Standarddatenschutzklauseln enthält. Mit dem Beschluss 2010/87/EU hat die Kommission Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern festgelegt.

Die vorliegende Rechtssache betrifft die Gültigkeit dieses Beschlusses.Sachverhalt und Vorgeschichte des Ausgangsrechtsstreits Zur Vorgeschichte des Ausgangsrechtsstreits gehört ein Verfahren, das von Herrn Maximilian Schrems, einem österreichischen Nutzer von Facebook, eingeleitet wurdeund bereits zum Urteil des Gerichtshofs vom 6.Oktober 2015 (Urteil Schrems) geführt hat.

Die Daten der in der Union wohnhaften Nutzer von Facebook wie HerrSchrems werden von Facebook Ireland, der irischen Tochtergesellschaft der Facebook Inc., ganz oder teilweise an Server in den Vereinigten Staaten übermittelt und dort verarbeitet. 2013 hatte HerrSchrems bei der für dieÜberwachung der Anwendung der Vorschriften über den Schutz personenbezogener Daten zuständigenirischen Behörde (im Folgenden: Kontrollstelle) eine Beschwerde eingelegt, mit der er geltend machte, dass angesichts der von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten (insbesondere der National Security Agency,NSA) das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor den Überwachungstätigkeiten der Behörden gewährleisteten.

Die Kontrollstelle wies die Beschwerde u.a. mit der Begründung zurück, dass die Kommission in ihrer Entscheidung vom 26.Juli 20005angenommen habe, dass die Vereinigten Staaten im Rahmen der sogenannten„Safe-Harbor-Regelung“6ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten.Mit dem Urteil Schrems hat der Gerichtshof in Beantwortung einer Frage des High Court (Hoher Gerichtshof, Irland) die Safe-Harbor-Entscheidung für ungültig erklärt.

Im Anschluss an dasUrteil Schrems erklärtedas vorlegende Gericht die Entscheidung, mit der die Kontrollstelle die Beschwerde von Herrn Schrems zurückgewiesen hatte, für nichtig und verwies sie zur Prüfung zurückan die Kontrollstelle. Diese leiteteeine Untersuchung ein und forderte Herrn Schrems auf, seine Beschwerde in Anbetracht der Ungültigerklärung der Safe-Harbor-Entscheidung neu zu formulieren.

Zu diesem Zweck bat Herr Schrems Facebook Irelandum Angabe derRechtsgrundlagen, auf denen die Übermittlungen der personenbezogenen Daten der Nutzer von Facebook ausder Union in die Vereinigten Staaten beruhten. Facebook Ireland verwies auf ein Datenübertragungs-und -verarbeitungsabkommen (data transfer processing agreement) mit der Facebook Inc., das seit dem 20.November 2015 in Kraft sei,und berief sich auf den Beschluss 2010/87.

In seiner neu formulierten Beschwerde machteHerr Schrems zum einen geltend, dass die in dem Abkommen enthaltenen Klauseln nicht den Standardvertragsklauseln des Beschlusses 2010/87 entsprächen,und zum anderen, dass diese Standardvertragsklauselnjedenfalls keine Grundlage fürdie Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten sein könnten. Es gebe nämlich keinen Rechtsbehelf, mit dem die Betroffenen in den Vereinigten Staaten ihre Rechte auf Achtung desPrivatlebensund auf Schutz der personenbezogenenDaten geltend machen könnten.

Herr Schrems beantragte daher bei der Kontrollstelle, diese Übermittlung in Anwendung des Beschlusses 2010/87 auszusetzen.Mit ihrer Untersuchung wollte die Kontrollstelle feststellen, ob die Vereinigten Staaten einenangemessenenSchutz für personenbezogene Daten der Unionsbürger sicherstellenund–solltedies nicht der Fall sein–ob der Rückgriff auf Standardvertragsklauselnausreichende Garantien fürdenSchutz ihrer Grundfreiheiten und Grundrechte bietet.

Da die Kontrollstelle zu dem Ergebnis kam, dass die Bearbeitung der Beschwerde von Herrn Schrems von der Frage abhänge, obderBeschluss 2010/87 gültig sei,leitetesie beim High Court ein Verfahren ein, damit dieserdenGerichtshof hierzu befrage. Der High Court ist demAntragdieser Behörde auf Vorlage eines Ersuchens umVorabentscheidung nachgekommen.In seinen heutigen Schlussanträgen schlägt Generalanwalt Henrik Saugmandsgaard Øe dem Gerichtshof vor, zu antworten, dass die Prüfung der Fragen nichts ergeben habe, was die Gültigkeit des Beschlusses 2010/87 beeinträchtigen könnte.

Der Generalanwalt stellt zunächst fest, dass es im Ausgangsrechtsstreit nur um die Feststellung gehe, ob der Beschluss 2010/87 gültig sei, mit dem die Kommission die Standardvertragsklauseln festgelegt habe, die für die in der Beschwerde von Herrn Schrems genannten Übermittlungen geltend gemacht wordenseien.

Der Generalanwalt ist erstens der Ansicht, dass das Unionsrecht auf Übermittlungen personenbezogener Daten in ein Drittland anwendbar sei, wenn diese Übermittlungen zu gewerblichen Zwecken erfolgten, auch wenn die übermittelten Daten durch Behörden dieses Drittlands für Zwecke der nationalen Sicherheit verarbeitet werden könnten.

Zweitens stellt der Generalanwalt fest, dass die Bestimmungen der Datenschutz-Grundverordnung über Übermittlungen in Drittländer bezweckten, ein kontinuierlichhohesSchutzniveau für personenbezogene Daten unabhängig davon sicherzustellen, ob die Daten auf der Grundlage einer Angemessenheitsentscheidung oder aufgrundgeeigneterGarantien übermittelt würden, die www.curia.europa.eu vom Exporteur gegebenwürden.

Dieses Ziel werde jedoch je nach der Rechtsgrundlage, diefür die Übermittlung gelte, auf unterschiedliche Weise erreicht. Einerseits solle mit einer Angemessenheitsentscheidung festgestellt werden,ob ein bestimmtes Drittland aufgrund desdort geltenden Rechts und der dort geltenden Praxis für die Grundrechte der Personen, deren Daten übermittelt würden, ein Schutzniveausicherstelle, das dem Niveau, das sichausder im Licht der Chartader Grundrechte der Europäischen Unionausgelegten Datenschutz-Grundverordnung ergebe,im Wesentlichengleichwertig sei.

Andererseits müssten die vom Exporteur –insbesondere vertraglich–gegebenen geeigneten Garantien selbstein solches Schutzniveau sicherstellen. Die Standardvertragsklauseln der Kommission für Übermittlungen sähen insoweit eine allgemeine Regelung vor, die unabhängig vom Bestimmungsland und dem dort sichergestellten Schutzniveau gelte.

Drittens prüft derGeneralanwalt die Gültigkeit des Beschlusses2010/87 anhand der Charta. SeinerAnsichtnach führtder Umstand, dass der Beschluss und die darin enthaltenen Standardvertragsklauseln die Behörden des Drittbestimmungslandes nicht binden würdenund diese durch ihn somit nicht daran gehindert seien, dem Importeur Pflichten aufzuerlegen, die mit der Beachtung dieser Klauseln unvereinbar seien, für sich allein nicht zur Ungültigkeit des Beschlusses.

Die Vereinbarkeit des Beschlusses 2010/87 mit der Charta hänge davon ab, ob ausreichend wirksameRegelungen bestünden, mit denen sich sicherstellen lasse, dass die auf die Standardvertragsklauseln gestütztenÜbermittlungen ausgesetzt oder verboten würden, wenn diese Klauseln verletzt würden oder es unmöglich sei, sie einzuhalten.Dies sei dann der Fall, wenneine Pflicht–der für die Datenverarbeitung Verantwortlichen und,bei deren Untätigkeit,derKontrollstellen –bestehe, eine Übermittlung auszusetzen oder zu verbieten, wenn aufgrund eines Konflikts zwischen den sich aus den Standardvertragsklauseln ergebenden Pflichten und den durch das Recht des Drittbestimmungslandesauferlegten Pflichten diese Klauseln nicht eingehalten werden könnten.

Der Generalanwalt stellt außerdem fest, dass das vorlegende Gericht bestimmte Beurteilungen der Kommission im Beschluss vom 12.Juli 2016, dem sog. Datenschutzschild-Beschluss, indirekt in Frage stelle. In diesem Beschluss hat die Kommission festgestellt, dassdie Vereinigten Staatenein angemessenes SchutzniveaufürdieDaten gewährleisteten, die im Rahmen der mitdiesemBeschluss aufgestellten Regelung aus der Union übermittelt würden, insbesondere in Anbetracht der Garantien, die bezüglich des Zugangs amerikanischer Nachrichtendienste zu diesen Daten bestünden, sowie des Rechtsschutzes, derPersonen, deren Daten übermittelt würden, gewährt werde.

Für die Entscheidung über den Ausgangsrechtsstreit hält der Generalanwaltes nicht für erforderlich, dass der Gerichtshof über die Gültigkeit des Datenschutzschild-Beschlussesentscheide, da der Rechtsstreit nur die Gültigkeit des Beschlusses 2010/87 betreffe.Gleichwohl führt der Generalanwalt hilfsweise aus, aus welchen Gründensichfür ihn im Hinblick auf die Rechte auf Achtung desPrivatlebens,auf Schutz personenbezogener Daten und auf einen wirksamen RechtsbehelfFragen bezüglichder Gültigkeit des Datenschutzschild-Beschlusses stellen.