Help Print this page 

Document 32016D2295

Title and reference
Durchführungsbeschluss (EU) 2016/2295 der Kommission vom 16. Dezember 2016 zur Änderung der Entscheidungen beziehungsweise Beschlüsse 2000/518/EG, 2002/2/EG, 2003/490/EG, 2003/821/EG, 2004/411/EG, 2008/393/EG, 2010/146/EU, 2010/625/EU, 2011/61/EU und Durchführungsbeschlüsse 2012/484/EU sowie 2013/65/EU über die Angemessenheit des Schutzes personenbezogener Daten in bestimmten Drittländern gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (Bekannt gegeben unter Aktenzeichen C(2016) 8353) (Text von Bedeutung für den EWR )

C/2016/8353
  • Date of entry into force unknown (pending notification) or not yet in force.
OJ L 344, 17.12.2016, p. 83–91 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

ELI: http://data.europa.eu/eli/dec_impl/2016/2295/oj
Languages, formats and link to OJ
BG ES CS DA DE ET EL EN FR GA HR IT LV LT HU MT NL PL PT RO SK SL FI SV
HTML html BG html ES html CS html DA html DE html ET html EL html EN html FR html HR html IT html LV html LT html HU html MT html NL html PL html PT html RO html SK html SL html FI html SV
PDF pdf BG pdf ES pdf CS pdf DA pdf DE pdf ET pdf EL pdf EN pdf FR pdf HR pdf IT pdf LV pdf LT pdf HU pdf MT pdf NL pdf PL pdf PT pdf RO pdf SK pdf SL pdf FI pdf SV
Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal
 To see if this document has been published in an e-OJ with legal value, click on the icon above (For OJs published before 1st July 2013, only the paper version has legal value).
Multilingual display
Text

17.12.2016   

DE

Amtsblatt der Europäischen Union

L 344/83


DURCHFÜHRUNGSBESCHLUSS (EU) 2016/2295 DER KOMMISSION

vom 16. Dezember 2016

zur Änderung der Entscheidungen beziehungsweise Beschlüsse 2000/518/EG, 2002/2/EG, 2003/490/EG, 2003/821/EG, 2004/411/EG, 2008/393/EG, 2010/146/EU, 2010/625/EU, 2011/61/EU und Durchführungsbeschlüsse 2012/484/EU sowie 2013/65/EU über die Angemessenheit des Schutzes personenbezogener Daten in bestimmten Drittländern gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates

(Bekannt gegeben unter Aktenzeichen C(2016) 8353)

(Text von Bedeutung für den EWR)

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (1), insbesondere auf Artikel 25 Absatz 6,

nach Anhörung des Europäischen Datenschutzbeauftragten,

in Erwägung nachstehender Gründe:

(1)

In seinem Urteil vom 6. Oktober 2015 in der Rechtssache C-362/14, Maximilian Schrems/Data Protection Commissioner  (2) hat der Gerichtshof der Europäischen Union festgestellt, dass die Kommission mit dem Erlass von Artikel 3 der Entscheidung 2000/520/EG (3) die ihr durch Artikel 25 Absatz 6 der Richtlinie 95/46/EG im Lichte der Charta übertragene Zuständigkeit überschritten hat, sodass dieser Artikel ungültig ist.

(2)

In Artikel 3 Absatz 1 Unterabsatz 1 der Entscheidung 2000/520/EG sind strenge Bedingungen festgelegt worden, unter denen nationale Kontrollstellen ungeachtet der Angemessenheitsfeststellung der Kommission beschließen könnten, die Datenübermittlung an ein selbstzertifiziertes US-Unternehmen auszusetzen.

(3)

Der Gerichtshof hat in seinem Urteil in der Rechtssache Schrems klargestellt, dass die nationalen Kontrollstellen weiterhin für die Überwachung der Übermittlung personenbezogener Daten an ein Drittland, das Gegenstand einer Angemessenheitsfeststellung der Kommission ist, zuständig bleiben und dass die Kommission nicht berechtigt ist, ihre Befugnisse nach Artikel 28 der Richtlinie 95/46/EG einzuschränken. Gemäß diesem Artikel verfügen diese Behörden u. a. über Untersuchungsbefugnisse wie etwa das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen, über wirksame Einwirkungsbefugnisse wie etwa die Befugnis, das vorläufige oder endgültige Verbot einer Verarbeitung von Daten anzuordnen, oder über das Klagerecht (4).

(4)

Der Gerichtshof befand in der Rechtssache Schrems zudem, dass entsprechend Artikel 25 Absatz 6 Unterabsatz 2 der Richtlinie 95/46/EG die Mitgliedstaaten und ihre Organe die notwendigen Maßnahmen treffen müssen, um Rechtsakte der Unionsorgane umzusetzen, denn für diese gilt grundsätzlich eine Vermutung der Rechtmäßigkeit, sodass sie Rechtswirkungen entfalten, solange sie nicht zurückgenommen, im Rahmen einer Nichtigkeitsklage für nichtig erklärt oder infolge eines Vorabentscheidungsersuchens oder einer Einrede der Rechtswidrigkeit für ungültig erklärt wurden.

(5)

Folglich ist eine Angemessenheitsfeststellung der Kommission gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG für alle Organe der Mitgliedstaaten (einschließlich ihrer unabhängigen Kontrollstellen), an die sie gerichtet ist, bindend, soweit sie die Übermittlung personenbezogener Daten aus den Mitgliedstaaten in das betreffende Drittland gestattet (5). Daraus folgt, dass die nationalen Kontrollstellen keine Maßnahmen erlassen dürfen, die im Widerspruch zu einer Angemessenheitsfeststellung der Kommission stehen, also beispielsweise Rechtsakte, durch die die Feststellung für ungültig erklärt wird oder durch die mit bindender Wirkung festgelegt werden soll, dass das von ihr abgedeckte Land kein angemessenes Schutzniveau gewährleistet. Wie im Schrems-Urteil klargestellt wurde, schließt dies nicht aus, dass eine nationale Kontrollstelle eine von einer Person gemachte Eingabe prüft, die sich auf das für personenbezogene Daten gewährleistete Schutzniveau in einem Drittland bezieht, welches einer Angemessenheitsfeststellung der Kommission unterliegt, und dass diese Kontrollstelle, falls sie die Eingabe für begründet hält, die nationalen Gerichte anrufen kann, damit diese, wenn sie die Zweifel der Kontrollstelle an der Gültigkeit der Feststellung der Kommission teilen, um eine Vorabentscheidung über deren Gültigkeit ersuchen (6).

(6)

Die Angemessenheitsentscheidungen beziehungsweise -beschlüsse 2000/518/EG (7), 2002/2/EG (8), 2003/490/EG (9), 2003/821/EG (10), 2004/411/EG (11), 2008/393/EG (12), 2010/146/EU (13), 2010/625/EU (14), 2011/61/EU (15) und Durchführungsbeschlüsse 2012/484/EU (16) sowie 2013/65/EU (17) der Kommission sehen eine ähnliche Einschränkung der Befugnisse der nationalen Kontrollstellen vor wie die in Artikel 3 Absatz 1 Unterabsatz 1 der Entscheidung 2000/520/EG vorgesehene Einschränkung, die der Gerichtshof für ungültig erklärt hat.

(7)

Im Lichte des Urteils in der Rechtssache Schrems sollten die in diesen Entscheidungen beziehungsweise Beschlüssen enthaltenen Bestimmungen zur Beschränkung der Befugnisse der nationalen Kontrollstellen daher in Übereinstimmung mit Artikel 266 des Vertrags ersetzt werden.

(8)

Der Gerichtshof hat in seinem Urteil in der Rechtssache Schrems ferner klargestellt, dass die Kommission in Anbetracht der Tatsache, dass das von einem Drittland gewährte Schutzniveau Veränderungen unterworfen sein kann, im Anschluss an die Annahme eines Beschlusses nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG in regelmäßigen Abständen zu prüfen hat, ob die Feststellungen zur Angemessenheit des von dem betreffenden Drittland gewährten Schutzniveaus noch sachlich und rechtlich gerechtfertigt sind (18). In Anbetracht der in diesem Urteil getroffenen Feststellungen in Bezug auf den Zugriff von Behörden auf personenbezogene Daten sollten auch deren Vorschriften und Verfahren für einen solchen Zugriff überwacht werden.

(9)

In Bezug auf die Länder, für die sie Angemessenheitsentscheidungen beziehungsweise -beschlüsse erlassen hat, wird die Kommission daher fortlaufend alle Entwicklungen sowohl auf rechtlichem Gebiet als auch in der Praxis überwachen, die sich nachteilig auf die Funktionsweise solcher Entscheidungen oder Beschlüsse auswirken könnten, darunter auch die Entwicklungen hinsichtlich des Zugriffs von Behörden auf personenbezogene Daten.

(10)

Um eine wirksame Überwachung der Funktionsweise der geltenden Angemessenheitsentscheidungen beziehungsweise -beschlüsse zu ermöglichen, sollten die Mitgliedstaaten die Kommission über einschlägige Maßnahmen ihrer Kontrollstellen unterrichten.

(11)

Die nach Artikel 29 der Richtlinie 95/46/EG eingesetzte Arbeitsgruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten hat diesbezüglich eine Stellungnahme abgegeben; diese Stellungnahme wurde bei der Erarbeitung des vorliegenden Beschlusses berücksichtigt.

(12)

Die in diesem Beschluss vorgesehenen Maßnahmen entsprechen der Stellungnahme des durch Artikel 31 Absatz 1 der Richtlinie 95/46/EG eingesetzten Ausschusses.

(13)

Die Entscheidungen beziehungsweise Beschlüsse 2000/518/EG, 2002/2/EG, 2003/490/EG, 2003/821/EG, 2004/411/EG, 2008/393/EG, 2010/146/EU, 2010/625/EU, 2011/61/EU und Durchführungsbeschlüsse 2012/484/EU sowie 2013/65/EU sollten daher entsprechend geändert werden —

HAT FOLGENDEN BESCHLUSS ERLASSEN:

Artikel 1

Die Entscheidung 2000/518/EG wird wie folgt geändert:

1.

Artikel 3 erhält folgende Fassung:

„Artikel 3

Wenn die zuständigen Behörden in den Mitgliedstaaten ihre Befugnisse gemäß Artikel 28 Absatz 3 der Richtlinie 95/46/EG ausüben und die Datenübertragungen an die Schweiz aussetzen oder endgültig verbieten, um Privatpersonen im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten zu schützen, setzt der betreffende Mitgliedstaat die Kommission unverzüglich davon in Kenntnis, die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet.“

2.

Folgender Artikel 3a wird eingefügt:

„Artikel 3a

(1)   Die Kommission überwacht laufend die Entwicklungen in der schweizerischen Rechtsordnung, die die Funktionsweise dieser Entscheidung beeinträchtigen könnten, einschließlich der Entwicklungen hinsichtlich des Zugriffs von Behörden auf personenbezogene Daten, um zu beurteilen, ob die Schweiz weiterhin einen angemessenen Schutz personenbezogener Daten gewährleistet.

(2)   Die Mitgliedstaaten und die Kommission unterrichten einander über Fälle, in denen die Maßnahmen der für die Einhaltung der Vorschriften verantwortlichen Stellen in der Schweiz nicht ausreichen, um ein angemessenes Schutzniveau zu gewährleisten.

(3)   Die Mitgliedstaaten und die Kommission unterrichten sich gegenseitig über Anhaltspunkte dafür, dass die Eingriffe schweizerischer Behörden, die für die nationale Sicherheit, die Strafverfolgung oder andere im öffentlichen Interesse liegende Aufgaben zuständig sind, in das Recht von Privatpersonen auf den Schutz ihrer personenbezogenen Daten über das absolut notwendige Maß hinausgehen und/oder dass kein wirksamer Rechtsschutz vor derartigen Eingriffen besteht.

(4)   Ergeben die gewonnenen Erkenntnisse, dass die Gewährleistung eines angemessenen Schutzniveaus insbesondere in den in den Absätzen 2 und 3 dieses Artikels genannten Fällen nicht sichergestellt ist, so benachrichtigt die Kommission die zuständige schweizerische Behörde und schlägt, wenn nötig, Maßnahmen gemäß dem in Artikel 31 Absatz 2 der Richtlinie 95/46/EG genannten Verfahren vor, die auf die Aufhebung oder Aussetzung dieser Entscheidung oder eine Beschränkung ihres Geltungsbereichs gerichtet sind.“

Artikel 2

Die Entscheidung 2002/2/EG wird wie folgt geändert:

1.

Artikel 3 erhält folgende Fassung:

„Artikel 3

Wenn die zuständigen Behörden in den Mitgliedstaaten ihre Befugnisse gemäß Artikel 28 Absatz 3 der Richtlinie 95/46/EG ausüben und die Datenübertragungen an einen Empfänger in Kanada, dessen Tätigkeiten unter das kanadische Personal Information Protection and Electronic Documents Act fallen, aussetzen oder endgültig verbieten, um Privatpersonen im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten zu schützen, setzt der betreffende Mitgliedstaat die Kommission unverzüglich davon in Kenntnis, die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet.“

2.

Folgender Artikel 3a wird eingefügt:

„Artikel 3a

(1)   Die Kommission überwacht laufend die Entwicklungen in der kanadischen Rechtsordnung, die die Funktionsweise dieser Entscheidung beeinträchtigen könnten, einschließlich der Entwicklungen hinsichtlich des Zugriffs von Behörden auf personenbezogene Daten, um zu beurteilen, ob Kanada weiterhin einen angemessenen Schutz personenbezogener Daten gewährleistet.

(2)   Die Mitgliedstaaten und die Kommission unterrichten einander über Fälle, in denen die Maßnahmen der für die Einhaltung der Vorschriften verantwortlichen Stellen in Kanada nicht ausreichen, um ein angemessenes Schutzniveau zu gewährleisten.

(3)   Die Mitgliedstaaten und die Kommission unterrichten sich gegenseitig über Anhaltspunkte dafür, dass die Eingriffe kanadischer Behörden, die für die nationale Sicherheit, die Strafverfolgung oder andere im öffentlichen Interesse liegende Aufgaben zuständig sind, in das Recht von Privatpersonen auf den Schutz ihrer personenbezogenen Daten über das absolut notwendige Maß hinausgehen und/oder dass kein wirksamer Rechtsschutz vor derartigen Eingriffen besteht.

(4)   Ergeben die gewonnenen Erkenntnisse, dass die Gewährleistung eines angemessenen Schutzniveaus insbesondere in den von den Absätzen 2 und 3 dieses Artikels abgedeckten Fällen nicht sichergestellt ist, so benachrichtigt die Kommission die zuständige kanadische Behörde und schlägt, wenn nötig, Maßnahmen gemäß dem in Artikel 31 Absatz 2 der Richtlinie 95/46/EG genannten Verfahren vor, die auf die Aufhebung oder Aussetzung dieser Entscheidung oder eine Beschränkung ihres Geltungsbereichs gerichtet sind.“

Artikel 3

Die Entscheidung 2003/490/EG wird wie folgt geändert:

1.

Artikel 3 erhält folgende Fassung:

„Artikel 3

Wenn die zuständigen Behörden in den Mitgliedstaaten ihre Befugnisse gemäß Artikel 28 Absatz 3 der Richtlinie 95/46/EG ausüben und die Datenübertragungen an Argentinien aussetzen oder endgültig verbieten, um Privatpersonen im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten zu schützen, setzt der betreffende Mitgliedstaat die Kommission unverzüglich davon in Kenntnis, die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet.“

2.

Folgender Artikel 3a wird eingefügt:

„Artikel 3a

(1)   Die Kommission überwacht laufend die Entwicklungen in der argentinischen Rechtsordnung, die die Funktionsweise dieser Entscheidung beeinträchtigen könnten, einschließlich der Entwicklungen hinsichtlich des Zugriffs von Behörden auf personenbezogene Daten, um zu beurteilen, ob Argentinien weiterhin einen angemessenen Schutz personenbezogener Daten gewährleistet.

(2)   Die Mitgliedstaaten und die Kommission benachrichtigen einander über Fälle, bei denen die Maßnahmen der für die Einhaltung der Vorschriften in Argentinien verantwortlichen Stellen nicht ausreichen, um die Einhaltung zu gewährleisten.

(3)   Die Mitgliedstaaten und die Kommission unterrichten sich gegenseitig über Anhaltspunkte dafür, dass die Eingriffe argentinischer Behörden, die für die nationale Sicherheit, die Strafverfolgung oder andere im öffentlichen Interesse liegende Aufgaben zuständig sind, in das Recht von Privatpersonen auf den Schutz ihrer personenbezogenen Daten über das absolut notwendige Maß hinausgehen und/oder dass kein wirksamer Rechtsschutz vor derartigen Eingriffen besteht.

(4)   Ergeben die gewonnenen Erkenntnisse, dass die Gewährleistung eines angemessenen Schutzniveaus insbesondere in den in den Absätzen 2 und 3 dieses Artikels genannten Fällen nicht sichergestellt ist, so benachrichtigt die Kommission die zuständige argentinische Behörde und schlägt, wenn nötig, Maßnahmen gemäß dem in Artikel 31 Absatz 2 der Richtlinie 95/46/EG genannten Verfahren vor, die auf die Aufhebung oder Aussetzung dieser Entscheidung oder eine Beschränkung ihres Geltungsbereichs gerichtet sind.“

Artikel 4

Die Artikel 3 und 4 der Entscheidung 2003/821/EG erhalten folgende Fassung:

„Artikel 3

Wenn die zuständigen Behörden in den Mitgliedstaaten ihre Befugnisse gemäß Artikel 28 Absatz 3 der Richtlinie 95/46/EG ausüben und die Datenübertragungen an die Vogtei Guernsey aussetzen oder endgültig verbieten, um Privatpersonen im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten zu schützen, setzt der betreffende Mitgliedstaat die Kommission unverzüglich davon in Kenntnis, die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet.

Artikel 4

(1)   Die Kommission überwacht laufend die Entwicklungen in der Rechtsordnung der Vogtei Guernsey, die die Funktionsweise dieser Entscheidung beeinträchtigen könnten, einschließlich der Entwicklungen hinsichtlich des Zugriffs von Behörden auf personenbezogene Daten, um zu beurteilen, ob die Vogtei Guernsey weiterhin einen angemessenen Schutz personenbezogener Daten gewährleistet.

(2)   Die Mitgliedstaaten und die Kommission benachrichtigen einander auch über Fälle, bei denen die Maßnahmen der für die Einhaltung der Vorschriften in der Vogtei Guernsey verantwortlichen Stellen nicht ausreichen, um die Einhaltung zu gewährleisten.

(3)   Die Mitgliedstaaten und die Kommission unterrichten sich gegenseitig über Anhaltspunkte dafür, dass die Eingriffe von Behörden der Vogtei Guernsey, die für die nationale Sicherheit, die Strafverfolgung oder andere im öffentlichen Interesse liegende Aufgaben zuständig sind, in das Recht von Privatpersonen auf den Schutz ihrer personenbezogenen Daten über das absolut notwendige Maß hinausgehen und/oder dass kein wirksamer Rechtsschutz vor derartigen Eingriffen besteht.

(4)   Ergeben die gewonnenen Erkenntnisse, dass die Gewährleistung eines angemessenen Schutzniveaus insbesondere in den in den Absätzen 2 und 3 dieses Artikels genannten Fällen nicht sichergestellt ist, so benachrichtigt die Kommission die zuständige Behörde der Vogtei Guernsey und schlägt, wenn nötig, Maßnahmen gemäß dem in Artikel 31 Absatz 2 der Richtlinie 95/46/EG genannten Verfahren vor, die auf die Aufhebung oder Aussetzung dieser Entscheidung oder eine Beschränkung ihres Geltungsbereichs gerichtet sind.“

Artikel 5

Die Artikel 3 und 4 der Entscheidung 2004/411/EG erhalten folgende Fassung:

„Artikel 3

Wenn die zuständigen Behörden in den Mitgliedstaaten ihre Befugnisse gemäß Artikel 28 Absatz 3 der Richtlinie 95/46/EG ausüben und die Datenübertragungen an die Insel Man aussetzen oder endgültig verbieten, um Privatpersonen im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten zu schützen, setzt der betreffende Mitgliedstaat die Kommission unverzüglich davon in Kenntnis, die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet.

Artikel 4

(1)   Die Kommission überwacht laufend die Entwicklungen in der Rechtsordnung der Insel Man, die die Funktionsweise dieser Entscheidung beeinträchtigen könnten, einschließlich der Entwicklungen hinsichtlich des Zugriffs von Behörden auf personenbezogene Daten, um zu beurteilen, ob die Insel Man weiterhin einen angemessenen Schutz personenbezogener Daten gewährleistet.

(2)   Die Mitgliedstaaten und die Kommission benachrichtigen einander auch über Fälle, bei denen die Maßnahmen der für die Einhaltung der Vorschriften auf der Insel Man verantwortlichen Stellen nicht ausreichen, um die Einhaltung zu gewährleisten.

(3)   Die Mitgliedstaaten und die Kommission unterrichten sich gegenseitig über Anhaltspunkte dafür, dass die Eingriffe von Behörden der Insel Man, die für die nationale Sicherheit, die Strafverfolgung oder andere im öffentlichen Interesse liegende Aufgaben zuständig sind, in das Recht von Privatpersonen auf den Schutz ihrer personenbezogenen Daten über das absolut notwendige Maß hinausgehen und/oder dass kein wirksamer Rechtsschutz vor derartigen Eingriffen besteht.

(4)   Ergeben die gewonnenen Erkenntnisse, dass die Gewährleistung eines angemessenen Schutzniveaus insbesondere in den in den Absätzen 2 und 3 dieses Artikels genannten Fällen nicht sichergestellt ist, so benachrichtigt die Kommission die zuständige Behörde der Insel Man und schlägt, wenn nötig, Maßnahmen gemäß dem in Artikel 31 Absatz 2 der Richtlinie 95/46/EG genannten Verfahren vor, die auf die Aufhebung oder Aussetzung dieser Entscheidung oder eine Beschränkung ihres Geltungsbereichs gerichtet sind.“

Artikel 6

Die Artikel 3 und 4 der Entscheidung 2008/393/EG der Kommission erhalten folgende Fassung:

„Artikel 3

Wenn die zuständigen Behörden in den Mitgliedstaaten ihre Befugnisse gemäß Artikel 28 Absatz 3 der Richtlinie 95/46/EG ausüben und die Datenübertragungen an Jersey aussetzen oder endgültig verbieten, um Privatpersonen im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten zu schützen, setzt der betreffende Mitgliedstaat die Kommission unverzüglich davon in Kenntnis, die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet.

Artikel 4

(1)   Die Kommission überwacht laufend die Entwicklungen in der Rechtsordnung von Jersey, die die Funktionsweise dieser Entscheidung beeinträchtigen könnten, einschließlich der Entwicklungen hinsichtlich des Zugriffs von Behörden auf personenbezogene Daten, um zu beurteilen, ob Jersey weiterhin einen angemessenen Schutz personenbezogener Daten gewährleistet.

(2)   Die Mitgliedstaaten und die Kommission unterrichten einander über Fälle, in denen die Maßnahmen der für die Einhaltung der Vorschriften in Jersey verantwortlichen Stellen nicht ausreichen, um ein angemessenes Schutzniveau zu gewährleisten.

(3)   Die Mitgliedstaaten und die Kommission unterrichten sich gegenseitig über Anhaltspunkte dafür, dass die Eingriffe von Behörden von Jersey, die für die nationale Sicherheit, die Strafverfolgung oder andere im öffentlichen Interesse liegende Aufgaben zuständig sind, in das Recht von Privatpersonen auf den Schutz ihrer personenbezogenen Daten über das absolut notwendige Maß hinausgehen und/oder dass kein wirksamer Rechtsschutz vor derartigen Eingriffen besteht.

(4)   Ergeben die gewonnenen Erkenntnisse, dass die Gewährleistung eines angemessenen Schutzniveaus insbesondere in den in den Absätzen 2 und 3 dieses Artikels genannten Fällen nicht sichergestellt ist, so benachrichtigt die Kommission die zuständige Behörde von Jersey und schlägt, wenn nötig, Maßnahmen gemäß dem in Artikel 31 Absatz 2 der Richtlinie 95/46/EG genannten Verfahren vor, die auf die Aufhebung oder Aussetzung dieser Entscheidung oder eine Beschränkung ihres Geltungsbereichs gerichtet sind.“

Artikel 7

Die Artikel 3 und 4 des Beschlusses 2010/146/EU erhalten folgende Fassung:

„Artikel 3

Wenn die zuständigen Behörden in den Mitgliedstaaten ihre Befugnisse gemäß Artikel 28 Absatz 3 der Richtlinie 95/46/EG ausüben und die Datenübertragungen an einen Empfänger auf den Färöer, dessen Tätigkeiten unter das färöische Gesetz über die Verarbeitung personenbezogener Daten fallen, aussetzen oder endgültig verbieten, um Privatpersonen im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten zu schützen, setzt der betreffende Mitgliedstaat die Kommission unverzüglich davon in Kenntnis, die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet.

Artikel 4

(1)   Die Kommission überwacht laufend die Entwicklungen in der färöischen Rechtsordnung, die die Funktionsweise dieses Beschlusses beeinträchtigen könnten, einschließlich der Entwicklungen hinsichtlich des Zugriffs von Behörden auf personenbezogene Daten, um zu beurteilen, ob die Färöer weiterhin einen angemessenen Schutz personenbezogener Daten gewährleisten.

(2)   Die Mitgliedstaaten und die Kommission unterrichten einander über Fälle, in denen die Maßnahmen der für die Einhaltung der Vorschriften auf den Färöer verantwortlichen Stellen nicht ausreichen, um ein angemessenes Schutzniveau zu gewährleisten.

(3)   Die Mitgliedstaaten und die Kommission unterrichten sich gegenseitig über Anhaltspunkte dafür, dass die Eingriffe von färöischen Behörden, die für die nationale Sicherheit, die Strafverfolgung oder andere im öffentlichen Interesse liegende Aufgaben zuständig sind, in das Recht von Privatpersonen auf den Schutz ihrer personenbezogenen Daten über das absolut notwendige Maß hinausgehen und/oder dass kein wirksamer Rechtsschutz vor derartigen Eingriffen besteht.

(4)   Ergeben die gewonnenen Erkenntnisse, dass die Gewährleistung eines angemessenen Schutzniveaus insbesondere in den in den Absätzen 2 und 3 dieses Artikels genannten Fällen nicht sichergestellt ist, so benachrichtigt die Kommission die zuständige färöische Behörde und schlägt, wenn nötig, Maßnahmen gemäß dem in Artikel 31 Absatz 2 der Richtlinie 95/46/EG genannten Verfahren vor, die auf die Aufhebung oder Aussetzung dieses Beschlusses oder eine Beschränkung seines Geltungsbereichs gerichtet sind.“

Artikel 8

Die Artikel 3 und 4 des Beschlusses 2010/625/EU erhalten folgende Fassung:

„Artikel 3

Wenn die zuständigen Behörden in den Mitgliedstaaten ihre Befugnisse gemäß Artikel 28 Absatz 3 der Richtlinie 95/46/EG ausüben und die Datenübertragungen an Andorra aussetzen oder endgültig verbieten, um Privatpersonen im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten zu schützen, setzt der betreffende Mitgliedstaat die Kommission unverzüglich davon in Kenntnis, die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet.

Artikel 4

(1)   Die Kommission überwacht laufend die Entwicklungen in der andorranischen Rechtsordnung, die die Funktionsweise dieses Beschlusses beeinträchtigen könnten, einschließlich der Entwicklungen hinsichtlich des Zugriffs von Behörden auf personenbezogene Daten, um zu beurteilen, ob Andorra weiterhin einen angemessenen Schutz personenbezogener Daten gewährleistet.

(2)   Die Mitgliedstaaten und die Kommission unterrichten einander über Fälle, in denen die Maßnahmen der für die Einhaltung der Vorschriften in Andorra verantwortlichen Stellen nicht ausreichen, um ein angemessenes Schutzniveau zu gewährleisten.

(3)   Die Mitgliedstaaten und die Kommission unterrichten sich gegenseitig über Anhaltspunkte dafür, dass die Eingriffe andorranischer Behörden, die für die nationale Sicherheit, die Strafverfolgung oder andere im öffentlichen Interesse liegende Aufgaben zuständig sind, in das Recht von Privatpersonen auf den Schutz ihrer personenbezogenen Daten über das absolut notwendige Maß hinausgehen und/oder dass kein wirksamer Rechtsschutz vor derartigen Eingriffen besteht.

(4)   Ergeben die gewonnenen Erkenntnisse, dass die Gewährleistung eines angemessenen Schutzniveaus insbesondere in den in den Absätzen 2 und 3 dieses Artikels genannten Fällen nicht sichergestellt ist, so benachrichtigt die Kommission die zuständige andorranische Behörde und schlägt, wenn nötig, Maßnahmen gemäß dem in Artikel 31 Absatz 2 der Richtlinie 95/46/EG genannten Verfahren vor, die auf die Aufhebung oder Aussetzung dieses Beschlusses oder eine Beschränkung seines Geltungsbereichs gerichtet sind.“

Artikel 9

Die Artikel 3 und 4 des Beschlusses 2011/61/EU erhalten folgende Fassung:

„Artikel 3

Wenn die zuständigen Behörden in den Mitgliedstaaten ihre Befugnisse gemäß Artikel 28 Absatz 3 der Richtlinie 95/46/EG ausüben und die Datenübertragungen an den Staat Israel aussetzen oder endgültig verbieten, um Privatpersonen im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten zu schützen, setzt der betreffende Mitgliedstaat die Kommission unverzüglich davon in Kenntnis, die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet.

Artikel 4

(1)   Die Kommission überwacht laufend die Entwicklungen in der israelischen Rechtsordnung, die die Funktionsweise dieses Beschlusses beeinträchtigen könnten, einschließlich der Entwicklungen hinsichtlich des Zugriffs von Behörden auf personenbezogene Daten, um zu beurteilen, ob der Staat Israel weiterhin einen angemessenen Schutz personenbezogener Daten gewährleistet.

(2)   Die Mitgliedstaaten und die Kommission benachrichtigen einander auch über Fälle, bei denen die Maßnahmen der für die Einhaltung der Vorschriften im Staat Israel verantwortlichen Stellen nicht ausreichen, um die Einhaltung der Datenschutzvorschriften zu gewährleisten.

(3)   Die Mitgliedstaaten und die Kommission unterrichten sich gegenseitig über Anhaltspunkte dafür, dass die Eingriffe israelischer Behörden, die für die nationale Sicherheit, die Strafverfolgung oder andere im öffentlichen Interesse liegende Aufgaben zuständig sind, in das Recht von Privatpersonen auf den Schutz ihrer personenbezogenen Daten über das absolut notwendige Maß hinausgehen und/oder dass kein wirksamer Rechtsschutz vor derartigen Eingriffen besteht.

(4)   Ergeben die gewonnenen Erkenntnisse, dass die Gewährleistung eines angemessenen Schutzniveaus insbesondere in den in den Absätzen 2 und 3 dieses Artikels genannten Fällen nicht sichergestellt ist, so benachrichtigt die Kommission die zuständige israelische Behörde und schlägt, wenn nötig, Maßnahmen gemäß dem in Artikel 31 Absatz 2 der Richtlinie 95/46/EG genannten Verfahren vor, die auf die Aufhebung oder Aussetzung dieses Beschlusses oder eine Beschränkung seines Geltungsbereichs gerichtet sind.“

Artikel 10

Die Artikel 2 und 3 des Durchführungsbeschlusses 2012/484/EU erhalten folgende Fassung:

„Artikel 2

Wenn die zuständigen Behörden in den Mitgliedstaaten ihre Befugnisse gemäß Artikel 28 Absatz 3 der Richtlinie 95/46/EG ausüben und die Datenübertragungen an die Republik Östlich des Uruguay aussetzen oder endgültig verbieten, um Privatpersonen im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten zu schützen, setzt der betreffende Mitgliedstaat die Kommission unverzüglich davon in Kenntnis, die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet.

Artikel 3

(1)   Die Kommission überwacht laufend die Entwicklungen in der uruguayischen Rechtsordnung, die die Funktionsweise dieses Beschlusses beeinträchtigen könnten, einschließlich der Entwicklungen hinsichtlich des Zugriffs von Behörden auf personenbezogene Daten, um zu beurteilen, ob die Republik Östlich des Uruguay weiterhin einen angemessenen Schutz personenbezogener Daten gewährleistet.

(2)   Die Mitgliedstaaten und die Kommission benachrichtigen einander auch über Fälle, bei denen die Maßnahmen der für die Einhaltung der Vorschriften in der Republik Östlich des Uruguay verantwortlichen Stellen nicht ausreichen, um die Einhaltung der Datenschutzvorschriften zu gewährleisten.

(3)   Die Mitgliedstaaten und die Kommission unterrichten sich gegenseitig über Anhaltspunkte dafür, dass die Eingriffe uruguayischer Behörden, die für die nationale Sicherheit, die Strafverfolgung oder andere im öffentlichen Interesse liegende Aufgaben zuständig sind, in das Recht von Privatpersonen auf den Schutz ihrer personenbezogenen Daten über das absolut notwendige Maß hinausgehen und/oder dass kein wirksamer Rechtsschutz vor derartigen Eingriffen besteht.

(4)   Ergeben die gewonnenen Erkenntnisse, dass die Gewährleistung eines angemessenen Schutzniveaus insbesondere in den in den Absätzen 2 und 3 dieses Artikels genannten Fällen nicht sichergestellt ist, so benachrichtigt die Kommission die zuständige uruguayische Behörde und schlägt, wenn nötig, Maßnahmen gemäß dem in Artikel 31 Absatz 2 der Richtlinie 95/46/EG genannten Verfahren vor, die auf die Aufhebung oder Aussetzung dieses Beschlusses oder eine Beschränkung seines Geltungsbereichs gerichtet sind.“

Artikel 11

Die Artikel 2 und 3 des Durchführungsbeschlusses 2013/65/EU erhalten folgende Fassung:

„Artikel 2

Wenn die zuständigen Behörden in den Mitgliedstaaten ihre Befugnisse gemäß Artikel 28 Absatz 3 der Richtlinie 95/46/EG ausüben und die Datenübertragungen an Neuseeland aussetzen oder endgültig verbieten, um Privatpersonen im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten zu schützen, setzt der betreffende Mitgliedstaat die Kommission unverzüglich davon in Kenntnis, die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet.

Artikel 3

(1)   Die Kommission überwacht laufend die Entwicklungen in der neuseeländischen Rechtsordnung, die die Funktionsweise dieses Beschlusses beeinträchtigen könnten, einschließlich der Entwicklungen hinsichtlich des Zugriffs von Behörden auf personenbezogene Daten, um zu beurteilen, ob Neuseeland weiterhin einen angemessenen Schutz personenbezogener Daten gewährleistet.

(2)   Die Mitgliedstaaten und die Kommission unterrichten einander über Fälle, in denen die Maßnahmen der für die Einhaltung der Vorschriften in Neuseeland verantwortlichen Stellen nicht ausreichen, um ein angemessenes Schutzniveau zu gewährleisten.

(3)   Die Mitgliedstaaten und die Kommission unterrichten sich gegenseitig über Anhaltspunkte dafür, dass die Eingriffe neuseeländischer Behörden, die für die nationale Sicherheit, die Strafverfolgung oder andere im öffentlichen Interesse liegende Aufgaben zuständig sind, in das Recht von Privatpersonen auf den Schutz ihrer personenbezogenen Daten über das absolut notwendige Maß hinausgehen und/oder dass kein wirksamer Rechtsschutz vor derartigen Eingriffen besteht.

(4)   Ergeben die gewonnenen Erkenntnisse, dass die Gewährleistung eines angemessenen Schutzniveaus insbesondere in den in den Absätzen 2 und 3 dieses Artikels genannten Fällen nicht sichergestellt ist, so benachrichtigt die Kommission die zuständige neuseeländische Behörde und schlägt, wenn nötig, Maßnahmen gemäß dem in Artikel 31 Absatz 2 der Richtlinie 95/46/EG genannten Verfahren vor, die auf die Aufhebung oder Aussetzung dieses Beschlusses oder eine Beschränkung seines Geltungsbereichs gerichtet sind.“

Artikel 12

Dieser Beschluss ist an die Mitgliedstaaten gerichtet.

Brüssel, den 16. Dezember 2016

Für die Kommission

Věra JOUROVÁ

Mitglied der Kommission


(1)  ABl. L 281 vom 23.11.1995, S. 31.

(2)  ECLI:EU:C:2015:650.

(3)  Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (ABl. L 215 vom 25.8.2000, S. 7).

(4)  Schrems, Rn. 40ff., 101-103.

(5)  Schrems, Rn. 51, 52 und 62.

(6)  Schrems, Rn. 52, 62 und 65.

(7)  Entscheidung 2000/518/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Schutzes personenbezogener Daten in der Schweiz (ABl. L 215 vom 25.8.2000, S. 1).

(8)  Entscheidung 2002/2/EG der Kommission vom 20. Dezember 2001 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzes, den das kanadische Personal Information Protection and Electronic Documents Act bietet (ABl. L 2 vom 4.1.2002, S. 13).

(9)  Entscheidung 2003/490/EG der Kommission vom 30. Juni 2003 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus in Argentinien (ABl. L 168 vom 5.7.2003, S. 19).

(10)  Entscheidung 2003/821/EG der Kommission vom 21. November 2003 über die Angemessenheit des Schutzes personenbezogener Daten in Guernsey (ABl. L 308 vom 25.11.2003, S. 27).

(11)  Entscheidung 2004/411/EG der Kommission vom 28. April 2004 über die Angemessenheit des Schutzes personenbezogener Daten auf der Insel Man (ABl. L 151 vom 30.4.2004, S. 48).

(12)  Entscheidung 2008/393/EG der Kommission vom 8. Mai 2008 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus in Jersey (ABl. L 138 vom 28.5.2008, S. 21).

(13)  Beschluss 2010/146/EU der Kommission vom 5. März 2010 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Schutzniveaus, den das färöische Gesetz über die Verarbeitung personenbezogener Daten bietet (ABl. L 58 vom 9.3.2010, S. 17).

(14)  Beschluss 2010/625/EU der Kommission vom 19. Oktober 2010 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus in Andorra (ABl. L 277 vom 21.10.2010, S. 27).

(15)  Beschluss 2011/61/EU der Kommission vom 31. Januar 2011 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus im Staat Israel im Hinblick auf die automatisierte Verarbeitung personenbezogener Daten (ABl. L 27 vom 1.2.2011, S. 39).

(16)  Durchführungsbeschluss 2012/484/EU der Kommission vom 21. August 2012 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus in der Republik Östlich des Uruguay im Hinblick auf die automatisierte Verarbeitung personenbezogener Daten (ABl. L 227 vom 23.8.2012, S. 11).

(17)  Durchführungsbeschluss 2013/65/EU der Kommission vom 19. Dezember 2012 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus in Neuseeland (ABl. L 28 vom 30.1.2013, S. 12).

(18)  Schrems, Rn. 76. Eine solche Überprüfung ist auf alle Fälle erforderlich, wenn die Kommission Kenntnisse erlangt, die in dieser Hinsicht begründete Zweifel aufkommen lassen.


Top