URTEIL DES GERICHTSHOFS (Grosse Kammer)
16. Juli 2020
Rechtssache C-311/18 — Data Protection Commissioner gegen Facebook Ireland Ltd, Maximillian Schrems

TENOR:

1. Art. 2 Abs. 1 und 2 der Verordnung (EU) 2016/679 (DSGVO) ist dahin auszulegen, dass eine zu gewerblichen Zwecken erfolgende Uebermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansaessigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansaessigen Wirtschaftsteilnehmer in den Anwendungsbereich dieser Verordnung faellt, ungeachtet dessen, ob die Daten bei ihrer Uebermittlung oder im Anschluss daran von den Behoerden des betreffenden Drittlands fuer Zwecke der oeffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden koennen.

2. Art. 46 Abs. 1 und Art. 46 Abs. 2 Buchst. c der DSGVO sind dahin auszulegen, dass die nach diesen Vorschriften erforderlichen geeigneten Garantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe gewaehrleisten muessen, dass die Rechte der Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland uebermittelt werden, ein Schutzniveau geniessen, das dem in der EU durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist.

3. Art. 58 Abs. 2 Buchst. f und j der DSGVO ist dahin auszulegen, dass die zustaendige Aufsichtsbehoerde verpflichtet ist, eine auf Standarddatenschutzklauseln gestuetzte Uebermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden koennen und der nach dem Unionsrecht erforderliche Schutz nicht mit anderen Mitteln gewaehrleistet werden kann.

4. Die Pruefung des Beschlusses 2010/87/EU (Standardvertragsklauseln) anhand der Art. 7, 8 und 47 der Charta hat nichts ergeben, was seine Gueltigkeit beruehren koennte.

5. Der Durchfuehrungsbeschluss (EU) 2016/1250 (EU-US-Datenschutzschild / Privacy Shield) ist UNGUELTIG.

KERNAUSSAGEN:
- Privacy Shield (EU-US-Datenschutzschild) ist ungueltig
- US-Ueberwachungsprogramme (PRISM, UPSTREAM via Section 702 FISA + E.O. 12333) verstoessen gegen EU-Grundrechte
- Weder Section 702 FISA noch E.O. 12333 genuegen dem Verhaeltnismaessigkeitsgrundsatz
- PPD-28 verleiht betroffenen EU-Buergern keine durchsetzbaren Rechte
- Die Ombudsperson des Datenschutzschilds ist KEIN unabhaengiges Gericht i.S.v. Art. 47 Charta
- Standardvertragsklauseln (SCCs) bleiben gueltig, ABER:
  - Der Verantwortliche muss VOR der Uebermittlung pruefen ob das Drittland angemessenen Schutz bietet
  - Ggf. muessen zusaetzliche Massnahmen ergriffen werden
  - Wenn kein angemessener Schutz moeglich: Uebermittlung aussetzen/verbieten
- Aufsichtsbehoerden sind VERPFLICHTET Uebermittlungen zu verbieten wenn Schutz nicht gewaehrleistet
- DSGVO gilt auch wenn Drittland-Behoerden Daten fuer nationale Sicherheit nutzen koennten

RELEVANTE NORMEN:
- Art. 44-49 DSGVO (Uebermittlungen in Drittlaender)
- Art. 45 DSGVO (Angemessenheitsbeschluss)
- Art. 46 DSGVO (Geeignete Garantien / Standardvertragsklauseln)
- Art. 58 Abs. 2 DSGVO (Befugnisse der Aufsichtsbehoerden)
- Art. 7, 8, 47 EU-Grundrechtecharta
- Art. 52 Abs. 1 EU-Grundrechtecharta (Verhaeltnismaessigkeit)
- Section 702 FISA (US-Auslandsaufklaerung)
- Executive Order 12333 (US-Nachrichtendienste)
- PPD-28 (Presidential Policy Directive)

AUSWIRKUNGEN:
- Jede Datenuebermittlung in die USA muss einzeln geprueft werden (Transfer Impact Assessment)
- Zusaetzliche technische Massnahmen (z.B. Verschluesselung) erforderlich
- Nachfolger: EU-US Data Privacy Framework (2023)
