17.12.2016   

DE

Amtsblatt der Europäischen Union

L 344/100


DURCHFÜHRUNGSBESCHLUSS (EU) 2016/2297 DER KOMMISSION

vom 16. Dezember 2016

zur Änderung der Entscheidung 2001/497/EG und des Beschlusses 2010/87/EU über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer sowie an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates

(Bekannt gegeben unter Aktenzeichen C(2016) 8471)

(Text von Bedeutung für den EWR)

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (1), insbesondere auf Artikel 26 Absatz 4,

nach Anhörung des Europäischen Datenschutzbeauftragten,

in Erwägung nachstehender Gründe:

(1)

In seinem Urteil vom 6. Oktober 2015 in der Rechtssache C-362/14, Maximilian Schrems gegen Data Protection Commissioner  (2) hat der Gerichtshof der Europäischen Union festgestellt, dass die Kommission mit dem Erlass von Artikel 3 der Entscheidung 2000/520/EG (3) die ihr durch Artikel 25 Absatz 6 der Richtlinie 95/46/EG im Licht der Charta der Grundrechte der Europäischen Union übertragene Zuständigkeit überschritten hat, und Artikel 3 dieser Entscheidung für ungültig erklärt.

(2)

In Artikel 3 Absatz 1 erster Unterabsatz der Entscheidung 2000/520/EG sind Bedingungen festgelegt, unter denen die nationalen Aufsichtsbehörden ungeachtet der Angemessenheitsfeststellung der Kommission beschließen können, die Datenübermittlungen an ein selbstzertifiziertes US-Unternehmen auszusetzen.

(3)

In seinem Schrems-Urteil hat der Gerichtshof klargestellt, dass die nationalen Aufsichtsbehörden weiterhin für die Kontrolle der Übermittlung personenbezogener Daten an ein Drittland, das Gegenstand einer Angemessenheitsentscheidung der Kommission ist, zuständig sind, und die Kommission nicht befugt ist, die Befugnisse dieser Behörden gemäß Artikel 28 der Richtlinie 95/46/EG zu beschneiden. Gemäß diesem Artikel verfügen diese Behörden insbesondere über Untersuchungsbefugnisse, wie das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen, wirksame Einwirkungsbefugnisse, wie beispielsweise die Befugnis, das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, sowie das Klagerecht oder eine Anzeigebefugnis (4).

(4)

Im selben Urteil verwies der Gerichtshof ferner darauf, dass die Mitgliedstaaten und ihre Organe im Einklang mit Artikel 25 Absatz 6 Unterabsatz 2 der Richtlinie 95/46/EG die notwendigen Maßnahmen treffen müssen, um Rechtsakte der Unionsorgane umzusetzen, denn für diese gilt grundsätzlich eine Vermutung der Rechtmäßigkeit, sodass sie Rechtswirkungen entfalten, solange sie nicht zurückgenommen, im Rahmen einer Nichtigkeitsklage für nichtig erklärt oder infolge eines Vorabentscheidungsersuchens oder einer Einrede der Rechtswidrigkeit für ungültig erklärt wurden.

(5)

Folglich ist eine gemäß Artikel 26 Absatz 4 der Richtlinie 95/46/EG angenommene Entscheidung der Kommission für alle Organe der Mitgliedstaaten bindend, an die sie gerichtet ist, einschließlich ihrer unabhängigen Aufsichtsbehörden, insoweit hiermit anerkannt wird, dass die Datenübermittlungen auf der Grundlage der in diesem Artikel genannten Standardvertragsklauseln ausreichende Garantien im Sinne von Artikel 26 Absatz 2 dieser Richtlinie bieten. Dies hindert eine nationale Aufsichtsbehörde jedoch nicht daran, Datenübermittlungen zu kontrollieren und unter anderem eine Übermittlung personenbezogener Daten auszusetzen oder zu verbieten, wenn sie feststellt, dass durch die Übermittlung EU- oder nationale Datenschutzvorschriften verletzt werden, beispielsweise wenn der Datenimporteur die Standardvertragsklauseln missachtet.

(6)

Die Entscheidung 2001/497/EG (5) der Kommission und der Beschluss 2010/87/EU (6) der Kommission schränken die Befugnisse der nationalen Aufsichtsbehörden in ähnlicher Weise ein wie Artikel 3 Absatz 1 Unterabsatz 1 der Entscheidung 2000/520/EG, der vom Gerichtshof für ungültig erklärt wurde.

(7)

Im Lichte des Schrems-Urteils und gemäß Artikel 266 des Vertrags sollten daher in jener Entscheidung und jenem Beschluss die Bestimmungen ersetzt werden, mit denen die Befugnisse der nationalen Aufsichtsbehörden eingeschränkt werden.

(8)

Um eine wirksame Überwachung der ordnungsgemäßen Anwendung der geltenden Rechtsakte über Standardvertragsklauseln zu erleichtern, sollte die Kommission von den Mitgliedstaaten über einschlägige Maßnahmen der nationalen Aufsichtsbehörden informiert werden.

(9)

Die mit Artikel 29 der Richtlinie 95/46/EG eingesetzte Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten hat eine Stellungnahme abgegeben, der bei der Ausarbeitung des vorliegenden Beschlusses Rechnung getragen wurde.

(10)

Die in diesem Beschluss vorgesehenen Maßnahmen entsprechen der Stellungnahme des durch Artikel 31 Absatz 1 der Richtlinie 95/46/EG eingesetzten Ausschusses.

(11)

Die Entscheidung 2001/497/EG und der Beschluss 2010/87/EU sollten daher entsprechend geändert werden —

HAT FOLGENDEN BESCHLUSS ERLASSEN:

Artikel 1

Artikel 4 der Entscheidung 2001/497/EG erhält folgende Fassung:

„Artikel 4

Wenn die zuständigen Behörden in den Mitgliedstaaten ihre Befugnisse gemäß Artikel 28 Absatz 3 der Richtlinie 95/46/EG ausüben und die Datenübertragungen an Drittstaaten aussetzen oder endgültig verbieten, um Privatpersonen im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten zu schützen, informiert der betreffende Mitgliedstaat unverzüglich die Kommission, die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet.“

Artikel 2

Artikel 4 des Beschlusses 2010/87/EU erhält folgende Fassung:

„Artikel 4

Wenn die zuständigen Behörden in den Mitgliedstaaten ihre Befugnisse gemäß Artikel 28 Absatz 3 der Richtlinie 95/46/EG ausüben und die Datenübertragungen an Drittstaaten aussetzen oder endgültig verbieten, um Privatpersonen im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten zu schützen, informiert der betreffende Mitgliedstaat unverzüglich die Kommission, die ihrerseits die Informationen an die anderen Mitgliedstaaten weiterleitet.“

Artikel 3

Dieser Beschluss ist an die Mitgliedstaaten gerichtet.

Brüssel, den 16. Dezember 2016

Für die Kommission

Věra JOUROVÁ

Mitglied der Kommission


(1)  ABl. L 281 vom 23.11.1995, S. 31.

(2)  ECLI:EU:C:2015:650.

(3)  Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (ABl. L 215 vom 25.8.2000, S. 7).

(4)  Schrems-Urteil, Randnrn. 40 ff. sowie 101 bis 103.

(5)  Entscheidung 2001/497/EG der Kommission vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG (ABl. L 181 vom 4.7.2001, S. 19).

(6)  Beschluss 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (ABl. L 39 vom 12.2.2010, S. 5).