Vorläufige Fassung
URTEIL DES GERICHTS (Zehnte erweiterte Kammer)
3. September 2025(* )
„ Übermittlung personenbezogener Daten in die Vereinigten Staaten – Durchführungsbeschluss der Kommission über die Angemessenheit des von den Vereinigten Staaten gewährten Schutzniveaus für personenbezogene Daten – Recht auf einen wirksamen Rechtsbehelf – Recht auf Privat- und Familienleben – Entscheidungen, die ausschließlich auf der automatisierten Verarbeitung personenbezogener Daten beruhen – Sicherheit der Verarbeitung personenbezogener Daten “
In der Rechtssache T‑553/23,
Philippe Latombe, wohnhaft in Nantes (Frankreich), vertreten durch Rechtsanwältin N. Coutrelis sowie Rechtsanwälte J.‑B. Soufron und T. Lamballe,
Kläger,
gegen
Europäische Kommission, vertreten durch D. Calleja Crespo, A. Bouchagiar, H. Kranenborg und C. Ladenburger als Bevollmächtigte,
Beklagte,
unterstützt durch
Irland, vertreten durch M. Browne, S. Finnegan und A. Joyce als Bevollmächtigte im Beistand von S. Brittain, Barrister, und C. Donnelly, SC,
und durch
Vereinigte Staaten von Amerika, vertreten durch B. Walsh, S. Barton und A. Finlay, Solicitors, E. Barrington, SC, und D. Hardiman, Barrister,
Streithelfer,
erlässt
DAS GERICHT (Zehnte erweiterte Kammer)
unter Mitwirkung der Präsidentin O. Porchia sowie der Richter M. Jaeger (Berichterstatter), L. Madise, P. Nihoul und S. Verschuur,
Kanzler: I. Kurme, Verwaltungsrätin,
in Anbetracht des Beschlusses vom 12. Oktober 2023, Latombe/Kommission (T‑553/23 R, nicht veröffentlicht, EU:T:2023:621),
aufgrund des schriftlichen Verfahrens,
auf die mündliche Verhandlung vom 1. April 2025,
folgendes
Urteil
1 Mit seiner Klage nach Art. 263 AEUV beantragt der Kläger, Herr Philippe Latombe, im Wesentlichen die Nichtigerklärung des Durchführungsbeschlusses (EU) 2023/1795 der Kommission vom 10. Juli 2023 gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates über die Angemessenheit des Schutzniveaus für personenbezogene Daten nach dem Datenschutzrahmen EU-USA (ABl. 2023, L 231, S. 118, im Folgenden: angefochtener Beschluss).
I. Vorgeschichte des Rechtsstreits
2 Der Kläger ist französischer Staatsbürger und behauptet, verschiedene IT‑Plattformen zu nutzen, die seine personenbezogenen Daten sammeln und in die Vereinigten Staaten übermitteln.
3 Was die Übermittlung personenbezogener Daten aus der Europäischen Union in die Vereinigten Staaten betrifft, so erklärte der Gerichtshof zunächst mit Urteil vom 6. Oktober 2015, Schrems (C‑362/14, im Folgenden: Urteil Schrems I, EU:C:2015:650), die Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (ABl. 2000, L 215, S. 7), für ungültig.
4 Sodann erklärte der Gerichtshof mit Urteil vom 16. Juli 2020, Facebook Ireland und Schrems (C‑311/18, im Folgenden: Urteil Schrems II, EU:C:2020:559), den Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (ABl. 2016, L 207, S. 1, im Folgenden: Angemessenheitsbeschluss zum Schutzschild) für ungültig.
5 In den Urteilen Schrems I und Schrems II vertrat der Gerichtshof, der mit einem Ersuchen um Vorabentscheidung über die Gültigkeit befasst war, u. a. die Ansicht, dass das System des sicheren Hafens und das System des Datenschutzschilds (im Folgenden: Schutzschild), die die Übermittlung personenbezogener Daten regeln, entgegen der Beurteilung durch die Europäische Kommission, die sich aus den oben in den Rn. 3 und 4 erwähnten Angemessenheitsbeschlüssen ergibt, kein Schutzniveau der Freiheiten und Grundrechte gewährleisteten, das dem durch das Unionsrecht garantierten Niveau der Sache nach gleichwertig war.
6 Infolge des Urteils Schrems II nahm die Kommission Gespräche mit der US-Regierung auf, um gegebenenfalls einen neuen Angemessenheitsbeschluss zu verabschieden, der den Anforderungen von Art. 45 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, Berichtigung ABl. 2018, L 127, S. 2, im Folgenden: DSGVO) in ihrer Auslegung durch den Gerichtshof genügte.
7 Daher verabschiedeten die Vereinigten Staaten von Amerika am 7. Oktober 2022 die Executive Order 14086 (Durchführungsverordnung Nr. 14086, im Folgenden: E.O. 14086), mit der die für eine signalerfassende Aufklärung durch Nachrichtendienste mit Sitz in den Vereinigten Staaten geltenden Maßnahmen zum Schutz der Privatsphäre verschärft wurden. Diese Durchführungsverordnung wurde durch die Attorney General Order No. 5517-2022 (Erlass des US-Justizministers Nr. 5517-2022, im Folgenden: Erlass des US-Justizministers) ergänzt, mit der Teil 201 in Titel 28 des Code of Federal Regulations (CFR, Bundesgesetzbuch) hinzugefügt wurde, der die Einrichtung und Funktionsweise des Data Protection Review Court (Gericht für die Überprüfung des Datenschutzes, im Folgenden: DPRC) regelt.
8 Am 10. Juli 2023 erließ die Kommission nach Prüfung dieser regulatorischen Entwicklungen in den Vereinigten Staaten auf der Grundlage von Art. 45 Abs. 3 DSGVO den angefochtenen Beschluss, mit dem der neue transatlantische Rahmen für den Fluss personenbezogener Daten zwischen der Union und den Vereinigten Staaten geschaffen wird. In Art. 1 des Beschlusses wird festgestellt, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der Union an Organisationen in diesem Land übermittelt werden, die in der vom U.S. Department of Commerce (Handelsministerium) geführten und öffentlich zugänglichen Liste „Data Privacy Framework EU-USA“ (Datenschutzrahmen-Liste EU-USA, im Folgenden: Datenschutzrahmen) aufgeführt sind (im Folgenden: Organisationen des Datenschutzrahmens).
II. Anträge der Parteien
9 Der Kläger beantragt,
– den angefochtenen Beschluss im Wesentlichen in seiner Gesamtheit für nichtig zu erklären;
– der Kommission die Kosten aufzuerlegen.
10 Die Kommission, unterstützt durch Irland und die Vereinigten Staaten von Amerika, beantragt,
– die Klage als unzulässig zurückzuweisen;
– hilfsweise, die Klage als unbegründet abzuweisen;
– dem Kläger die Kosten aufzuerlegen.
III. Rechtliche Würdigung
A. Zur Unzulässigkeitseinrede
11 Mit gesondertem Schriftsatz, der am 1. Dezember 2023 bei der Kanzlei des Gerichts eingegangen ist, hat die Kommission eine Unzulässigkeitseinrede gemäß Art. 130 der Verfahrensordnung des Gerichts erhoben.
12 Die Kommission macht geltend, die Klage sei unzulässig, weil der Kläger weder eine Klagebefugnis noch ein Rechtsschutzinteresse habe und der Teil des angefochtenen Beschlusses, dessen Nichtigerklärung er beantrage, untrennbar mit dem Rest dieses Beschlusses verknüpft sei.
13 Der Kläger tritt dem Vorbringen der Kommission entgegen und trägt vor, seine Klage sei zulässig.
14 Es sei darauf hingewiesen, dass die Unionsgerichte berechtigt sind, je nach den Umständen im Einzelfall zu prüfen, ob eine geordnete Rechtspflege es rechtfertigt, eine Klage als unbegründet abzuweisen, ohne zuvor über ihre Zulässigkeit zu entscheiden (vgl. in diesem Sinne Urteil vom 26. Februar 2002, Rat/Boehringer, C‑23/00 P, EU:C:2002:118, Rn. 51 und 52).
15 Unter Berücksichtigung der Umstände der vorliegenden Rechtssache ist das Gericht daher der Ansicht, dass im Interesse einer geordneten Rechtspflege die Begründetheit der Klage zu prüfen ist, ohne zuvor über ihre Zulässigkeit zu entscheiden, da die Klage aus den unten in den Rn. 16 bis 204 dargelegten Gründen jedenfalls unbegründet ist (vgl. in diesem Sinne Urteile vom 10. Oktober 2014, Marchiani/Parlament, T‑479/13, nicht veröffentlicht, EU:T:2014:866, Rn. 23, und vom 20. Dezember 2023, Naturstrom/Kommission, T‑60/21, nicht veröffentlicht, EU:T:2023:839, Rn. 74).
B. Zur Begründetheit
16 Der Kläger stützt seine Klage auf fünf Gründe, mit denen Folgendes geltend gemacht wird:
– Erstens ein Verstoß gegen die Art. 3 und 4 der Verordnung Nr. 1/1958 des Rates vom 15. April 1958 zur Regelung der Sprachenfrage für die Europäische Wirtschaftsgemeinschaft (ABl. 1958, 17, S. 385);
– zweitens ein Verstoß gegen die Art. 7 und 8 der Charta der Grundrechte der Europäischen Union;
– drittens ein Verstoß gegen Art. 47 Abs. 2 der Charta und Art. 45 Abs. 2 DSGVO;
– viertens ein Verstoß gegen Art. 22 DSGVO;
– fünftens ein Verstoß gegen Art. 32 in Verbindung mit Art. 45 Abs. 2 DSGVO.
17 In der mündlichen Verhandlung hat der Kläger seinen ersten Klagegrund betreffend einen Verstoß gegen die Art. 3 und 4 der Verordnung Nr. 1/1958 zurückgenommen. Zu prüfen sind somit lediglich seine Klagegründe 2 bis 5.
1. Einleitende Bemerkungen
18 Als Erstes ist zu anzumerken, dass eine Übermittlung personenbezogener Daten an ein Drittland gemäß Art. 45 Abs. 1 DSGVO durch einen Beschluss der Kommission genehmigt werden kann, wonach das Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Land ein angemessenes Schutzniveau bieten. Die besagte Vorschrift ist in Kapitel V der Verordnung enthalten, das, worauf der Gerichtshof hingewiesen hat, den Fortbestand des unionsrechtlich durch diese Verordnung garantierten hohen Schutzniveaus bei der Übermittlung personenbezogener Daten in ein Drittland insgesamt gewährleisten soll (vgl. in diesem Sinne Urteil Schrems II, Rn. 93).
19 Der Gerichtshof hat insoweit klargestellt, dass der Ausdruck „angemessenes Schutzniveau“ in Art. 45 Abs. 1 DSGVO, auch wenn er nicht bedeutet, dass das betreffende Drittland ein Schutzniveau gewährleisten müsste, das mit dem in der Unionsrechtsordnung garantierten Niveau identisch ist, so zu verstehen ist, dass verlangt wird, dass das Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleistet, das dem in der Union durch die DSGVO im Licht der Charta der Grundrechte garantierten Niveau der Sache nach gleichwertig ist (vgl. in diesem Sinne Urteil Schrems II, Rn. 94 und 162).
20 Der Gerichtshof hat darüber hinaus entschieden, dass, auch wenn sich die Mittel, auf die das Drittland zurückgreift, um ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten, von denen unterscheiden können, die in der Union herangezogen werden, um die Wahrung der Anforderungen, die sich aus der Richtlinie 95/46 im Licht der Charta der Grundrechte ergeben, zu gewährleisten, sich diese Mittel gleichwohl in der Praxis als wirksam erweisen müssen, um einen Schutz zu gewährleisten, der dem in der Union garantierten der Sache nach gleichwertig ist (Urteil Schrems I, Rn. 74).
21 Außerdem hat der Gerichtshof die Auffassung vertreten, dass angesichts der besonderen Bedeutung des Schutzes personenbezogener Daten für das Grundrecht auf Achtung der Privatsphäre und der großen Zahl von Personen, deren Grundrechte im Fall der Übermittlung personenbezogener Daten in ein Drittland, das kein angemessenes Schutzniveau gewährleistet, verletzt werden können, der Wertungsspielraum der Kommission hinsichtlich der Angemessenheit des durch ein Drittland gewährleisteten Schutzniveaus eingeschränkt ist, so dass die Unionsgerichte die Rechtmäßigkeit eines Angemessenheitsbeschlusses strikt zu kontrollieren haben (Urteil Schrems I, Rn. 78).
22 Als Zweites ist darauf hinzuweisen, dass nach ständiger Rechtsprechung die Rechtmäßigkeit eines Rechtsakts der Union anhand der Sach- und Rechtslage zum Zeitpunkt seines Erlasses zu beurteilen ist, so dass Handlungen nach seinem Erlass seine Gültigkeit nicht beeinflussen können (vgl. Urteile vom 17. Oktober 2019, Alcogroup und Alcodis/Kommission, C‑403/18 P, EU:C:2019:870, Rn. 45 und die dort angeführte Rechtsprechung, sowie vom 28. Januar 2021, Qualcomm und Qualcomm Europe/Kommission, C‑466/19 P, EU:C:2021:76, Rn. 82 und die dort angeführte Rechtsprechung). Im vorliegenden Fall sind die von der Kommission vorgenommenen Beurteilungen hinsichtlich der Rechtmäßigkeit des angefochtenen Beschlusses daher ausschließlich anhand der ihr zum Zeitpunkt der Beurteilung vorliegenden Informationen zu untersuchen.
23 Vor diesem Hintergrund sind die vom Kläger vorgebrachten Klagegründe zu prüfen, wobei zunächst der dritte Klagegrund, dann der zweite Klagegrund, anschließend der vierte Klagegrund und schließlich der fünfte Klagegrund untersucht werden sollen.
2. Zum dritten Klagegrund: Verstoß gegen Art. 47 Abs. 2 der Charta der Grundrechte und Art. 45 Abs. 2 DSGVO
24 Mit seinem dritten Klagegrund trägt der Kläger vor, die Kommission habe gegen Art. 47 Abs. 2 der Charta der Grundrechte und Art. 45 Abs. 2 DSGVO verstoßen, da sie im angefochtenen Beschluss die Auffassung vertreten habe, dass das DPRC ein angemessenes Schutzniveau in Bezug auf das Recht der Unionsbürger auf Zugang zu einem unabhängigen, unparteiischen und zuvor durch Gesetz errichteten Gericht biete.
25 Einleitend ist festzuhalten, dass Art. 47 Abs. 2 der Charta der Grundrechte folgenden Wortlaut hat:
„Jede Person hat ein Recht darauf, dass ihre Sache von einem unabhängigen, unparteiischen und zuvor durch Gesetz errichteten Gericht in einem fairen Verfahren, öffentlich und innerhalb angemessener Frist verhandelt wird. Jede Person kann sich beraten, verteidigen und vertreten lassen.“
26 Nach den Erläuterungen zur Charta der Grundrechte (ABl. 2007, C 303, S. 17) entspricht Art. 47 Abs. 2 dieser Charta Art. 6 Abs. 1 der am 4. November 1950 in Rom unterzeichneten Konvention zum Schutz der Menschenrechte und Grundfreiheiten (im Folgenden: EMRK). In der letztgenannten Vorschrift heißt es wie folgt:
„Jede Person hat ein Recht darauf, dass über Streitigkeiten in Bezug auf ihre zivilrechtlichen Ansprüche und Verpflichtungen oder über eine gegen sie erhobene strafrechtliche Anklage von einem unabhängigen und unparteiischen, auf Gesetz beruhenden Gericht in einem fairen Verfahren, öffentlich und innerhalb angemessener Frist verhandelt wird.“
27 Insoweit ist darauf hinzuweisen, dass die EMRK, solange die Union ihr nicht beigetreten ist, nach der Rechtsprechung kein Rechtsinstrument darstellt, das formell in die Unionsrechtsordnung übernommen worden ist, und die Prüfung der Gültigkeit eines abgeleiteten Rechtsakts deshalb ausschließlich anhand der durch die Charta der Grundrechte garantierten Grundrechte vorzunehmen ist (Urteil vom 3. September 2015, Inuit Tapiriit Kanatami u. a./Kommission, C‑398/13 P, EU:C:2015:535, Rn. 45 und 46).
28 Die Rechtsprechung erkennt jedoch an, dass zum einen nach Art. 6 Abs. 3 EUV die von der EMRK anerkannten Grundrechte als allgemeine Grundsätze Teil des Unionsrechts sind und dass sich zum anderen aus Art. 52 Abs. 3 der Charta der Grundrechte ergibt, dass die in dieser enthaltenen Rechte, die den durch die EMRK garantierten Rechten entsprechen, die gleiche Bedeutung und Tragweite haben, wie sie ihnen in der EMRK verliehen wird (vgl. Urteil vom 31. Mai 2018, Korwin-Mikke/Parlament, T‑770/16, EU:T:2018:320, Rn. 38 und die dort angeführte Rechtsprechung).
29 Demnach müssen die in der Charta der Grundrechte enthaltenen Rechte, die den durch die EMRK garantierten Rechten entsprechen, nach der Rechtsprechung aus Gründen der Kohärenz auch im Licht der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (im Folgenden: EGMR) ausgelegt werden, ohne dass dadurch die Eigenständigkeit des Unionsrechts und des Gerichtshofs der Europäischen Union berührt wird (vgl. in diesem Sinne Urteile vom 9. November 2023, Staatssecretaris van Justitie en Veiligheid [Begriff „ernsthafter Schaden“], C‑125/22, EU:C:2023:843, Rn. 59, und vom 31. Mai 2018, Korwin-Mikke/Parlament, T‑770/16, EU:T:2018:320, Rn. 38).
30 Folglich muss der Gerichtshof nach der Rechtsprechung gemäß Art. 52 Abs. 3 der Charta der Grundrechte darauf achten, dass seine Auslegung von Art. 47 Abs. 2 dieser Charta ein Schutzniveau gewährleistet, das das in Art. 6 Abs. 1 EMRK in seiner Auslegung durch den EGMR garantierte Schutzniveau nicht verletzt (vgl. Urteil vom 6. Oktober 2021, W. Ż. [Kammer für außerordentliche Überprüfung und öffentliche Angelegenheiten des Obersten Gerichts – Ernennung], C‑487/19, EU:C:2021:798, Rn. 123 und die dort angeführte Rechtsprechung).
31 Darüber hinaus ist zu anzumerken, dass die Kommission gemäß Art. 45 Abs. 2 DSGVO bei der Prüfung der Angemessenheit des von einem Drittland gebotenen Schutzniveaus insbesondere das Folgende berücksichtigt:
„a) … wirksame und durchsetzbare Rechte der betroffenen Person und wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe für betroffene Personen, deren personenbezogene Daten übermittelt werden,
b) die Existenz und die wirksame Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden in dem betreffenden Drittland oder denen eine internationale Organisation untersteht und die für die Einhaltung und Durchsetzung der Datenschutzvorschriften, einschließlich angemessener Durchsetzungsbefugnisse, für die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Mitgliedstaaten zuständig sind“.
32 Anhand dieser Gesichtspunkte sind die beiden vom Kläger zur Stützung des vorliegenden Klagegrundes erhobenen Rügen zu prüfen.
a) Zur ersten Rüge des dritten Klagegrundes, wonach das DPRC kein unabhängiges und unparteiisches Gericht sei
33 Mit der ersten Rüge seines dritten Klagegrundes trägt der Kläger vor, das DPRC sei kein unabhängiges und unparteiisches Gericht im Sinne von Art. 47 Abs. 2 der Charta der Grundrechte, sondern eine quasi -gerichtliche Einrichtung, die der Exekutive unterstellt sei.
34 Die Kommission, unterstützt durch Irland und die Vereinigten Staaten von Amerika, tritt der Argumentation des Klägers entgegen.
35 Einleitend ist zu bemerken, dass die Anforderung der Unabhängigkeit der Gerichte, die dem Auftrag des Richters inhärent ist, nach der Rechtsprechung zum Wesensgehalt des Rechts auf wirksamen Rechtsschutz und des Grundrechts auf ein faires Verfahren gehört, dem als Garant für den Schutz sämtlicher dem Einzelnen aus dem Unionsrecht erwachsender Rechte und für die Wahrung der in Art. 2 EUV genannten Werte, die den Mitgliedstaaten gemeinsam sind, u. a. des Wertes der Rechtsstaatlichkeit, grundlegende Bedeutung zukommt (Urteil vom 15. Juli 2021, Kommission/Polen [Disziplinarordnung für Richter], C‑791/19, EU:C:2021:596, Rn. 58 und die dort angeführte Rechtsprechung). Nach dem für einen Rechtsstaat kennzeichnenden Grundsatz der Gewaltenteilung ist die Unabhängigkeit der Gerichte u. a. gegenüber der Legislative und der Exekutive zu gewährleisten (vgl. Urteil vom 18. Mai 2021, Asociaţia „Forumul Judecătorilor din România“ u. a., C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 und C‑397/19, EU:C:2021:393, Rn. 195 und die dort angeführte Rechtsprechung).
36 In der Rechtsprechung wird klargestellt, dass das Erfordernis der Unabhängigkeit der Gerichte zwei Aspekte umfasst. Der erste, das Außenverhältnis betreffende Aspekt verlangt, dass die betreffende Einrichtung ihre Funktionen in völliger Autonomie ausübt, ohne mit irgendeiner Stelle hierarchisch verbunden oder ihr untergeordnet zu sein und ohne von irgendeiner Stelle Anordnungen oder Anweisungen zu erhalten, so dass sie auf diese Weise vor Interventionen oder Druck von außen geschützt ist, die die Unabhängigkeit des Urteils ihrer Mitglieder gefährden und deren Entscheidungen beeinflussen könnten. Der zweite, das Innenverhältnis betreffende Aspekt steht mit dem Begriff der Unparteilichkeit in Zusammenhang und bezieht sich darauf, dass den Parteien des Rechtsstreits und ihren jeweiligen Interessen am Streitgegenstand mit dem gleichen Abstand begegnet wird. Der letztgenannte Aspekt verlangt, dass Sachlichkeit obwaltet und neben der strikten Anwendung der Rechtsnormen keinerlei Interesse am Ausgang des Rechtsstreits besteht (vgl. Urteil vom 21. Dezember 2021, Euro Box Promotion u. a., C‑357/19, C‑379/19, C‑547/19, C‑811/19 und C‑840/19, EU:C:2021:1034, Rn. 224 und die dort angeführte Rechtsprechung).
37 Die nach dem Unionsrecht erforderliche Gewähr für Unabhängigkeit und Unparteilichkeit setzt voraus, dass es Regeln insbesondere für die Zusammensetzung der Einrichtung, die Ernennung, die Amtsdauer und die Gründe für Enthaltung, Ablehnung und Abberufung ihrer Mitglieder gibt, die es ermöglichen, bei den Rechtsunterworfenen jeden berechtigten Zweifel an der Unempfänglichkeit dieser Einrichtung für äußere Faktoren und an ihrer Neutralität in Bezug auf die widerstreitenden Interessen auszuräumen (vgl. Urteil vom 15. Juli 2021, Kommission/Polen [Disziplinarordnung für Richter], C‑791/19, EU:C:2021:596, Rn. 59 und die dort angeführte Rechtsprechung).
38 Vor diesem Hintergrund sind die drei Argumente zu prüfen, die der Kläger zur Stützung der vorliegenden Rüge vorgebracht hat.
1) Zum ersten Argument, wonach das DPRC kein unabhängiges und unparteiisches Gericht sei, da seine Aufgabe darin bestehe, die Entscheidungen des Civil Liberties Protection Officer of the Director of National Intelligence zu überprüfen
39 Mit seinem ersten Argument macht der Kläger im Wesentlichen geltend, das DPRC sei kein unabhängiges und unparteiisches Gericht, da seine Aufgabe darin bestehe, die Entscheidungen des Civil Liberties Protection Officer of the Director of National Intelligence (Beauftragter für den Schutz der bürgerlichen Freiheiten des Direktors des Nationalen Nachrichtendienstes, im Folgenden: CLPO, Vereinigte Staaten), der dem Büro des Direktors des Nationalen Nachrichtendienstes der Vereinigten Staaten (im Folgenden: Direktor des Nationalen Nachrichtendienstes) unterstellt sei, zu überprüfen.
40 Die Kommission, unterstützt durch Irland und die Vereinigten Staaten von Amerika, tritt dem Argument des Klägers entgegen.
41 Der Klarheit halber ist darauf hinzuweisen, dass das erste Argument der ersten Rüge des dritten Klagegrundes dahin auszulegen ist, dass nach Ansicht des Klägers im Wesentlichen zum einen der CLPO bei der Bearbeitung einer Beschwerde über personenbezogene Daten, die von einer betroffenen Person in der Union eingereicht wird, die eine ihre Interessen im Bereich des Schutzes der Privatsphäre und der bürgerlichen Freiheiten beeinträchtigende Verletzung des für signalerfassende Aufklärungen geltenden US-Rechts geltend machen möchte (im Folgenden: Beschwerde über personenbezogene Daten), keine hinreichende Gewähr für seine Unabhängigkeit bietet, weil er dem Büro des Direktors des Nationalen Nachrichtendienstes unterstellt ist, und zum anderen das DPRC aufgrund der unzureichenden Garantien für den CLPO kein unabhängiges und unparteiisches Gericht ist.
42 Zunächst ist festzuhalten, dass die Prüfung der Garantien im Zusammenhang mit der Unabhängigkeit des CLPO für die Beurteilung der Frage, ob es sich beim DPRC um ein unabhängiges und unparteiisches Gericht handelt, irrelevant ist. Das DPRC ist nämlich als unabhängiges Kontrollorgan des CLPO eingerichtet worden, bei dem, wie aus dem 184. Erwägungsgrund des angefochtenen Beschlusses hervorgeht, die Person, die die Beschwerde über personenbezogene Daten eingereicht hat, und jeder Teil der Intelligence Community eine Überprüfung der Entscheidung des CLPO beantragen kann; zudem sind in der E.O. 14086 mehrere Garantien vorgesehen worden, damit die Entscheidungen des CLPO vom DPRC unabhängig und unparteiisch überprüft und gegebenenfalls abgeändert werden können.
43 Erstens geht aus den Erwägungsgründen 185 und 186 des angefochtenen Beschlusses hervor, ohne dass der Kläger dies bestreitet, dass das DPRC aus mindestens sechs Richtern besteht, die vom Attorney General (Justizminister, Vereinigte Staaten, im Folgenden: Justizminister) nach Absprache mit dem Privacy and Civil Liberties Oversight Board (Stelle zur Überwachung des Schutzes der Privatsphäre und der bürgerlichen Freiheiten, Vereinigte Staaten, im Folgenden: PCLOB), dem Secretary of Commerce (Handelsminister, Vereinigte Staaten) und dem Direktor des Nationalen Nachrichtendienstes für eine verlängerbare Amtszeit von vier Jahren unter Heranziehung der für Bundesrichter geltenden Kriterien und unter Berücksichtigung etwaiger richterlicher Vorerfahrungen ernannt werden. So müssen die Richter Rechtspraktiker sein, d. h. aktive Mitglieder der Anwaltskammer, die ordnungsgemäß zur Ausübung des Rechtsberufs zugelassen sind, und über angemessene Erfahrung im Bereich des Datenschutzes und der nationalen Sicherheit verfügen. Außerdem muss der Justizminister sicherstellen, dass mindestens die Hälfte der Richter über richterliche Erfahrung verfügt, und alle Richter müssen über eine Zugangsberechtigung zu vertraulichen Informationen über die nationale Sicherheit verfügen. Zum Mitglied des DPRC können nur Personen ernannt werden, die die oben genannten Voraussetzungen erfüllen und weder zum Zeitpunkt ihrer Ernennung noch in den zwei Jahren davor in der Exekutive beschäftigt waren. Ebenso dürfen die Richter des DPRC während ihrer Amtszeit kein offizielles Amt bzw. keine Anstellung bei der US-Regierung haben.
44 Zweitens ergibt sich aus den Erwägungsgründen 188 und 189 des angefochtenen Beschlusses, ohne dass der Kläger dies bestreitet, dass die Feststellungen des CLPO von einem dreiköpfigen Panel von Richtern des DPRC, die von einem Spezialanwalt unterstützt werden, vollständig überprüft werden. Bei dieser Überprüfung stützt sich das DPRC aber nicht nur auf die vom CLPO vorgelegten Unterlagen, sondern auch auf Informationen und Eingaben, die vom Beschwerdeführer, vom Spezialanwalt, der seine Richter unterstützt, und von den Nachrichtendiensten übermittelt werden, sowie gegebenenfalls auf zusätzliche Informationen, um die es im Laufe der Untersuchung der Beschwerde über personenbezogene Daten ersucht hat. Zudem muss es bei der Überprüfung die einschlägige Rechtsprechung des Supreme Court of the United States (Oberster Gerichtshof der Vereinigten Staaten) anwenden.
45 Drittens geht aus den Erwägungsgründen 190 und 191 des angefochtenen Beschlusses hervor, ohne dass der Kläger dies bestreitet, dass das DPRC über eine Abänderungsbefugnis verfügt, nicht an die Feststellungen des CLPO gebunden ist und im Falle einer Meinungsverschiedenheit mit diesem seine eigenen Feststellungen zur Beschwerde über personenbezogene Daten treffen kann. Zudem ist die Entscheidung des DPRC – unabhängig davon, wie sie ausfällt – bindend und endgültig. Daher sind sowohl die Nachrichtendienste als auch die US-Regierung verpflichtet, ihr nachzukommen.
46 Aus dem Vorstehenden folgt, dass die in der E.O. 14086 vorgesehenen Garantien hinsichtlich der Funktionsweise und der Befugnisse des DPRC eine unabhängige und unparteiische Überprüfung der vom CLPO getroffenen Feststellungen ermöglichen. Der Kläger kann somit nicht mit Erfolg geltend machen, dass unzureichende Garantien für den CLPO die Unabhängigkeit und Unparteilichkeit des DPRC beeinträchtigen.
47 In Bezug auf die angebliche Unzulänglichkeit der Garantien zur Gewährleistung der Unabhängigkeit des CLPO ist jedenfalls Folgendes zu beachten.
48 Wie aus den Erwägungsgründen 176 bis 181 des angefochtenen Beschlusses hervorgeht, ohne dass der Kläger dies bestreitet, ist mit der E.O. 14086, ergänzt durch den Erlass des US-Justizministers, eine spezifische Beschwerdestelle eingerichtet worden, die Beschwerden über personenbezogene Daten bearbeiten soll. Diese Beschwerden sind bei der in jedem Mitgliedstaat für die Überwachung der Verarbeitung personenbezogener Daten zuständigen Aufsichtsstelle einzureichen, die sie dann an den CLPO weiterleitet, sofern sie die im 178. Erwägungsgrund des angefochtenen Beschlusses genannten Angaben enthält, nämlich Informationen über die personenbezogenen Daten, die mutmaßlich in die USA übermittelt wurden, die Mittel, mit denen sie übermittelt wurden, die Identität (sofern bekannt) der US-Regierungsstellen, denen eine Beteiligung an dem mutmaßlichen Verstoß vorgeworfen wird, die Grundlage für die Behauptung, dass ein Verstoß gegen US-Recht vorliegt, und die Art der beantragten Maßnahme. In diesem Zusammenhang muss der CLPO feststellen, ob die Nachrichtendienste gegen geltendes US-Recht verstoßen haben, und kann gegebenenfalls die Umsetzung von Abhilfemaßnahmen anordnen. Die Entscheidung des CLPO über die Beschwerde ist bindend.
49 Zwar weist die Kommission im 179. Erwägungsgrund des angefochtenen Beschlusses darauf hin, dass der CLPO zum Büro des Direktors des Nationalen Nachrichtendienstes gehöre und sich neben seiner besonderen Zuständigkeit für die Prüfung von Beschwerden über personenbezogene Daten ganz allgemein zu vergewissern habe, dass der Schutz der bürgerlichen Freiheiten und der Privatsphäre angemessen in die Strategien und Verfahren des Büros und der Nachrichtendienste integriert werde und dass diese die geltenden Anforderungen an den Schutz der bürgerlichen Freiheiten und der Privatsphäre einhielten. Allerdings ist zum einen anzumerken, dass der CLPO, wie in diesem Erwägungsgrund erwähnt, zur Gewährleistung seiner Unabhängigkeit gemäß der E.O. 14086 nur aus wichtigem Grund von besagtem Direktor aufgelöst werden kann, d. h. wegen Fehlverhaltens, Amtsmissbrauchs, Verstoßes gegen Sicherheitsvorschriften, Pflichtversäumnis oder Unfähigkeit. Zum anderen ist es, wie aus dem 180. Erwägungsgrund des angefochtenen Beschlusses hervorgeht, den Nachrichtendiensten und dem Direktor des Nationalen Nachrichtendienstes untersagt, die Arbeit des CLPO, der die Rechtsvorschriften bei der Prüfung einer Beschwerde über personenbezogene Daten unparteiisch anwenden und dabei sowohl die nationalen Sicherheitsinteressen als auch den Schutz der Privatsphäre berücksichtigen muss, zu behindern oder in unzulässiger Weise zu beeinflussen.
50 Unter diesen Umständen ist das vorliegende Argument zurückzuweisen.
2) Zum zweiten Argument, wonach das DPRC kein unabhängiges und unparteiisches Gericht sei, da es aus Richtern bestehe, die vom Justizminister nach Absprache mit dem PCLOB ernannt würden
51 Mit seinem zweiten Argument trägt der Kläger im Wesentlichen vor, das DPRC sei kein unabhängiges und unparteiisches Gericht, da es aus Richtern bestehe, die vom Justizminister nach Absprache mit dem PCLOB, einer der Exekutive unterstellten Einrichtung, ernannt würden.
52 Die Kommission, unterstützt durch Irland und die Vereinigten Staaten von Amerika, tritt dem Argument des Klägers entgegen.
53 Als Erstes geht aus dem 110. Erwägungsgrund des angefochtenen Beschlusses hervor, dass es sich beim PCLOB um eine unabhängige Stelle innerhalb der Exekutive handelt. Die Unabhängigkeit dieser Stelle zeigt sich insbesondere in ihrer Zusammensetzung. Sie setzt sich nämlich aus einem aus fünf Mitgliedern bestehenden überparteilichen Gremium zusammen, das vom Präsidenten der Vereinigten Staaten mit Zustimmung des Senats für eine festgelegte Amtszeit von sechs Jahren ernannt wird. Die Mitglieder werden aufgrund ihrer beruflichen Qualifikation, ihrer Verdienste, ihres Ansehens in der Öffentlichkeit, ihres Sachverstands auf dem Gebiet der bürgerlichen Freiheiten und des Schutzes der Privatsphäre sowie ihrer Erfahrung und unabhängig von ihrer Parteizugehörigkeit ausgewählt. Es dürfen nicht mehr als drei Mitglieder der Stelle derselben politischen Partei angehören. Eine Person, die in die Stelle berufen wird, darf während ihrer Amtszeit im PCLOB kein Mandatsträger, Beamter oder Angestellter der Bundesregierung sein, außer in ihrer Eigenschaft als Mitglied des PCLOB.
54 Folglich ist das PCLOB zwar innerhalb der Exekutive eingerichtet, nach seinem Gründungsstatut aber als unabhängige Stelle konzipiert worden, deren Aufgabe darin besteht, die Arbeit der Exekutive zum Schutz insbesondere der Privatsphäre und der bürgerlichen Freiheiten unparteiisch zu überwachen. Wie im 194. Erwägungsgrund des angefochtenen Beschlusses ausgeführt wird, ohne dass der Kläger dies bestreitet, muss es daher jährlich überprüfen, ob der CLPO und das DPRC die eingegangenen Rechtssachen fristgerecht bearbeitet haben, ob sie Zugang zu allen erforderlichen Informationen hatten, ob sie alle in der E.O. 14086 vorgesehenen Garantien berücksichtigt haben und ob die Nachrichtendienste ihren Feststellungen nachgekommen sind. Im Anschluss an die Überprüfung muss es öffentlich bescheinigen, dass der CLPO und das DPRC diese Garantien beachtet haben. Zudem muss es dem Präsidenten der Vereinigten Staaten, dem Justizminister, dem Direktor des Nationalen Nachrichtendienstes, den Leitern der Nachrichtendienste, dem CLPO und den Nachrichtendienstausschüssen des United States Congress (US-Kongress) einen Bericht vorlegen. Dieser Bericht wird in einer nicht vertraulichen Fassung veröffentlicht. Der Justizminister, der Direktor des Nationalen Nachrichtendienstes, der CLPO und die Leiter der Nachrichtendienste sind verpflichtet, alle im Bericht enthaltenen Empfehlungen umzusetzen.
55 Unter diesen Umständen lässt die Tatsache, dass das PCLOB innerhalb der Exekutive eingerichtet worden ist, als solche nicht den Schluss zu, dass das DPRC aufgrund der Absprache mit dem PCLOB vor der Ernennung seiner Richter kein unabhängiges und unparteiisches Gericht ist.
56 Als Zweites ist anzumerken, dass der Justizminister gemäß der E.O. 14086 zur Gewährleistung der Unabhängigkeit der Richter des DPRC von der Exekutive bei deren Ernennung die oben in Rn. 43 genannten Kriterien und Bedingungen einhalten muss. Zudem können die Richter des DPRC, wie aus dem 187. Erwägungsgrund des angefochtenen Beschlusses hervorgeht, nur vom Justizminister und nur aus wichtigem Grund entlassen werden, d. h. wegen Fehlverhaltens, Amtsmissbrauchs, Verstoßes gegen Sicherheitsvorschriften, Pflichtversäumnis oder Unfähigkeit, jedoch nach gebührender Berücksichtigung der für Bundesrichter geltenden Standards, die in den Rules for Judicial-Conduct and Judicial-Disability Proceedings (Regeln für Verfahren im Zusammenhang mit richterlichem Verhalten und der Unfähigkeit von Richtern) festgelegt sind.
57 Folglich können die Vorschriften über die Ernennung und Abberufung der Richter des DPRC dessen Unabhängigkeit und Unparteilichkeit nicht in Frage stellen.
58 Als Drittes ist festzuhalten, dass die Kommission gemäß Art. 3 Abs. 1 des angefochtenen Beschlusses fortlaufend die Anwendung des Rechtsrahmens, der Gegenstand dieses Beschlusses ist, einschließlich der Bedingungen, unter denen Weiterübermittlungen personenbezogener Daten vorgenommen werden, individuelle Rechte ausgeübt werden und die US-Behörden Zugang zu Daten haben, die auf der Grundlage des Beschlusses übermittelt werden, zu überwachen hat, um zu prüfen, ob die Vereinigten Staaten von Amerika weiter ein angemessenes Schutzniveau gewährleisten. Liegen der Kommission Hinweise darauf vor, dass ein angemessenes Schutzniveau nicht länger gewährleistet ist, so unterrichtet sie im Einklang mit Art. 3 Abs. 5 die US-Behörden und beschließt erforderlichenfalls, den angefochtenen Beschluss auszusetzen, zu ändern, zu widerrufen oder seinen Anwendungsbereich einzuschränken. Ändert sich der zum Zeitpunkt des Erlasses des angefochtenen Beschlusses in den Vereinigten Staaten geltende Rechtsrahmen, der die Kommission dazu veranlasst hat, in diesem Beschluss festzustellen, dass das DPRC einen Rechtsschutz biete, der dem durch das Unionsrecht garantierten Rechtsschutz der Sache gleichwertig sei, beschließt die Kommission folglich erforderlichenfalls, den angefochtenen Beschluss auszusetzen, zu ändern oder zu widerrufen oder seinen Anwendungsbereich einzuschränken.
59 Nach alledem ist das vorliegende Argument zurückzuweisen.
3) Zum dritten Argument, wonach das DPRC kein unabhängiges und unparteiisches Gericht sei, da der Erlass des US-Justizministers nicht ausschließe, dass seine Richter einer über die tägliche Aufsicht hinausgehenden Kontrolle durch die Exekutive unterliegen könnten
60 Mit seinem dritten Argument macht der Kläger im Wesentlichen geltend, das DPRC sei kein unabhängiges und unparteiisches Gericht, da der Erlass des US-Justizministers nicht ausschließe, dass seine Richter einer über die tägliche Aufsicht hinausgehenden Kontrolle durch die Exekutive unterliegen könnten.
61 Die Kommission, unterstützt durch Irland und die Vereinigten Staaten von Amerika, tritt dem Argument des Klägers entgegen.
62 Aus den Akten ergibt sich, dass die Richter des DPRC gemäß Abschnitt 201.7(d) des Erlasses des US-Justizministers nicht der täglichen Aufsicht durch den Justizminister unterliegen dürfen; im 187. Erwägungsgrund des angefochtenen Beschlusses heißt es aber auch, dass die Nachrichtendienste und der Justizminister nach der E.O. 14086 nicht in die Arbeit des DPRC eingreifen oder diese unangemessen beeinflussen dürfen. Außerdem geht aus den Akten hervor, dass die E.O. 14086 und der Erlass des US-Justizministers die Möglichkeit der Exekutive, die Arbeit des DPRC zu beeinflussen, einschränken, indem sie festlegen, dass seine Richter nur vom Justizminister und nur aus den oben in Rn. 56 genannten Gründen entlassen werden können.
63 Vor diesem Hintergrund ist das vorliegende Argument und damit die erste Rüge des dritten Klagegrundes insgesamt zurückzuweisen.
b) Zur zweiten Rüge des dritten Klagegrundes, wonach das DPRC kein zuvor durch Gesetz errichtetes Gericht sei
64 Mit der zweiten Rüge seines dritten Klagegrundes macht der Kläger geltend, das DPRC sei nicht im Sinne von Art. 47 Abs. 2 der Charta der Grundrechte zuvor durch Gesetz errichtet worden, da es nicht durch ein vom US-Kongress verabschiedetes Gesetz, sondern durch einen Rechtsakt der Exekutive, nämlich einen Erlass des Justizministers, geschaffen worden sei.
65 Die Kommission, unterstützt durch Irland und die Vereinigten Staaten von Amerika, tritt der Argumentation des Klägers entgegen.
66 Als Erstes ergibt sich aus der Rechtsprechung des Gerichtshofs, die im Licht der Rechtsprechung des EGMR zu Art. 6 Abs. 1 EMRK (EGMR, 1. Dezember 2020, Guðmundur Andri Ástráðsson/Island, CE:ECHR:2020:1201JUD002637418, §§ 231 und 233) entwickelt worden ist, dass das Recht auf ein zuvor durch Gesetz errichtetes Gericht zwar ein eigenständiges Recht ist, aber dennoch sehr eng mit den in ebendieser Bestimmung enthaltenen Garantien der Unabhängigkeit und Unparteilichkeit verbunden ist. Insbesondere wird mit allen in diesen Begriffen aufgestellten Erfordernissen zwar jeweils ein konkretes Ziel verfolgt, das sie zu besonderen Garantien für ein faires Verfahren macht, doch zielen sie auf die Wahrung derselben grundlegenden Prinzipien der Rechtsstaatlichkeit und der Gewaltenteilung ab. Jedem dieser Erfordernisse liegt daher die Notwendigkeit zugrunde, das Vertrauen, das die Justiz beim Einzelnen wecken muss, und die Unabhängigkeit der Justiz gegenüber den anderen Staatsgewalten zu wahren (vgl. Urteile vom 22. Februar 2022, Openbaar Ministerie [Im Ausstellungsmitgliedstaat durch Gesetz errichtetes Gericht], C‑562/21 PPU und C‑563/21 PPU, EU:C:2022:100, Rn. 56 und die dort angeführte Rechtsprechung, sowie vom 29. März 2022, Getin Noble Bank, C‑132/20, EU:C:2022:235, Rn. 117 und die dort angeführte Rechtsprechung).
67 Wie der Gerichtshof darüber hinaus unter Verweis auf die Rechtsprechung des EGMR (EGMR, 8. Juli 2014, Biagioli/San Marino, CE:ECHR:2014:0708DEC000816213, §§ 72 bis 74; vgl. auch EGMR, 2. Mai 2019, Pasquini/San Marino, CE:ECHR:2019:0502JUD005095616, §§ 100 und 101 sowie die dort angeführte Rechtsprechung) klargestellt hat, soll der Ausdruck „zuvor durch Gesetz errichtetes Gericht“ verhindern, dass die Organisation des Justizsystems in das Ermessen der Exekutive gestellt wird, und dafür sorgen, dass dieser Bereich durch ein Gesetz geregelt wird, das von der Legislative im Einklang mit den Vorschriften über die Ausübung ihrer Zuständigkeit erlassen wurde. Dieser Ausdruck spiegelt daher das Rechtsstaatsprinzip wider und umfasst nicht nur die Rechtsgrundlage für die Existenz des Gerichts, sondern auch die Zusammensetzung des Spruchkörpers in der jeweiligen Rechtssache sowie alle weiteren Vorschriften des innerstaatlichen Rechts, deren Nichtbeachtung dazu führt, dass die Teilnahme eines oder mehrerer Richter an der Verhandlung über die Rechtssache eine Regelwidrigkeit darstellt, was insbesondere Vorschriften über die Unabhängigkeit und die Unparteilichkeit der Mitglieder des betreffenden Gerichts einschließt (vgl. Urteil vom 29. März 2022, Getin Noble Bank, C‑132/20, EU:C:2022:235, Rn. 121 und die dort angeführte Rechtsprechung).
68 In diesem Kontext hat der Gerichtshof entschieden, dass die Feststellung eines Verstoßes gegen das Erfordernis eines zuvor durch Gesetz errichteten Gerichts und seiner Folgen eine Gesamtwürdigung einer Reihe von Faktoren erfordert, die zusammen betrachtet dazu beitragen, bei den Rechtsunterworfenen berechtigte Zweifel an der Unabhängigkeit und Unparteilichkeit der Richter zu wecken (vgl. Urteil vom 22. Februar 2022, Openbaar Ministerie [Im Ausstellungsmitgliedstaat durch Gesetz errichtetes Gericht], C‑562/21 PPU und C‑563/21 PPU, EU:C:2022:100, Rn. 74 und die dort angeführte Rechtsprechung).
69 So kann der Umstand, dass eine Einrichtung wie ein Landesjustizrat, der in das Verfahren zur Ernennung von Richtern eingebunden ist, überwiegend aus Mitgliedern besteht, die von der Legislative ausgewählt werden, nach Auffassung des Gerichtshofs für sich genommen nicht zu Zweifeln an der Unabhängigkeit der am Ende dieses Verfahrens ernannten Richter führen; etwas anderes kann jedoch gelten, wenn derselbe Umstand in Verbindung mit anderen relevanten Gesichtspunkten und den Bedingungen, unter denen diese Entscheidungen getroffen wurden, zu solchen Zweifeln führt (vgl. Urteil vom 22. Februar 2022, Openbaar Ministerie [Im Ausstellungsmitgliedstaat durch Gesetz errichtetes Gericht], C‑562/21 PPU und C‑563/21 PPU, EU:C:2022:100, Rn. 75 und die dort angeführte Rechtsprechung).
70 Darüber hinaus ist der EGMR in seinem Urteil vom 1. Dezember 2020, Guðmundur Andri Ástráðsson/Island (CE:ECHR:2020:1201JUD002637418, §§ 207 und 212) der Ansicht gewesen, dass die Ernennung von Richtern durch die Exekutive oder den Gesetzgeber zulässig ist, sofern die so ernannten Richter bei der Ausübung ihrer richterlichen Tätigkeit frei von jeglichem Druck oder Einfluss sind.
71 Aus der vorstehend angeführten Rechtsprechung ergibt sich im Wesentlichen, dass bei der Beurteilung der Frage, ob die sich aus Art. 47 Abs. 2 der Charta der Grundrechte ergebenden Anforderungen erfüllt sind, nicht nur die formale Natur des Rechtstexts geprüft werden darf, mit dem ein Gericht errichtet und dessen Funktionsweise geregelt wird, sondern auch zu untersuchen ist, ob dieser Rechtstext hinreichende Garantien zur Gewährleistung seiner Unabhängigkeit und Unparteilichkeit gegenüber den anderen Gewalten, insbesondere der Exekutive, vorsieht.
72 Als Zweites ist daran zu erinnern, dass die Kommission, wie der Gerichtshof in den Urteilen Schrems I und Schrems II entschieden hat, im Rahmen eines Angemessenheitsbeschlusses nicht verpflichtet ist, sich zu vergewissern, dass die einschlägigen Bestimmungen des Drittlands mit den in der Union geltenden identisch sind, sondern dass sie den im Unionsrecht durch die DSGVO im Licht der Charta der Grundrechte garantierten Bestimmungen der Sache nach gleichwertig sind (siehe oben, Rn. 19 und 20). Folglich hat das Gericht im vorliegenden Fall die Richtigkeit der von der Kommission im angefochtenen Beschluss getroffenen Angemessenheitsfeststellung zu überprüfen, wonach die US-Rechtsvorschriften über die Errichtung und die Funktionsweise des DPRC Garantien böten, die den im Unionsrecht in Art. 47 Abs. 2 der Charta vorgesehenen der Sache nach gleichwertig seien. Solche Garantien werden insbesondere dann geboten, wenn der Rechtstext, mit dem das betreffende Gericht errichtet und dessen Funktionsweise festgelegt wird, die Unabhängigkeit und Unparteilichkeit dieses Gerichts gegenüber den anderen Gewalten, insbesondere der Exekutive, gewährleisten soll – ungeachtet der Tatsache, dass der Text in formaler Hinsicht kein Gesetz darstellt.
73 Im vorliegenden Fall geht aus dem 185. Erwägungsgrund des angefochtenen Beschlusses hervor, ohne dass der Kläger dies bestreitet, dass das DPRC durch den Erlass des US-Justizministers errichtet worden ist. Folglich ist es nicht durch ein von der Legislative, d. h. dem US-Kongress, verabschiedetes Gesetz, sondern durch einen Rechtsakt der Exekutive eingerichtet worden. Der Justizminister ist nämlich der Leiter des US-Justizministeriums und der Hauptverantwortliche für die Anwendung des Rechts innerhalb der US-Bundesregierung. Er ist der wichtigste Berater des Präsidenten der Vereinigten Staaten in allen rechtlichen Fragen und gehört dessen Kabinett an.
74 In diesem Kontext ist zu prüfen, ob die E.O. 14086 und der Erlass des US-Justizministers Garantien zur Gewährleistung der Unabhängigkeit und Unparteilichkeit des DPRC vorsehen, die dem Unionsrecht der Sache nach gleichwertig sind.
75 Insoweit ist erstens anzumerken, dass, wie aus den Akten unbestritten hervorgeht,
– der Justizminister seinen Erlass auf der Grundlage der ihm eingeräumten satzungsmäßigen Befugnis angenommen hat, bindende Entscheidungen zu Fragen des US-Rechts zu erlassen, einschließlich solcher, die die Übermittlung von Daten aus der Union gemäß der E.O. 14086 betreffen;
– der Justizminister seine Befugnis, über die Rechtmäßigkeit von Tätigkeiten im Bereich der Signalaufklärung, die von einem Unionsbürger beanstandet werden, zu entscheiden, mit der Einrichtung des DPRC an dieses delegiert hat; der Justizminister darf die delegierte Befugnis de jure daher nicht mehr ausüben, solange das DPRC besteht;
– der Oberste Gerichtshof der Vereinigten Staaten, worauf in Fn. 366 auf S. 63 des angefochtenen Beschlusses hingewiesen wird, dem Justizminister die Möglichkeit eingeräumt hat, unabhängige Gremien mit Entscheidungsbefugnis wie das DPRC einzurichten; zudem hat er festgestellt, dass eine vom Justizminister vorgenommene Befugnisübertragung auf seinen Bevollmächtigten für die Exekutive bindend sei; aus der Rechtsprechung des Obersten Gerichtshofs geht daher hervor, dass die Exekutive, solange der Erlass des US-Justizministers in Kraft bleibt, an diesen gebunden ist und weder die Nachrichtendienste noch die US-Regierung seine Entscheidungen überprüfen oder widerrufen können.
76 Zweitens ist zum einen in Erinnerung zu rufen, dass, wie aus dem angefochtenen Beschluss im Wesentlichen hervorgeht,
– die Richter des DPRC vom Justizminister auf der Grundlage der oben in Rn. 43 genannten Kriterien und unter Einhaltung der dort erwähnten Bedingungen ernannt werden;
– die Richter des DPRC nur vom Justizminister, nur aus den oben in Rn. 56 genannten Gründen und nur unter Einhaltung der in den Rules for Judicial-Conduct and Judicial-Disability Proceedings (Regeln für Verfahren im Zusammenhang mit richterlichem Verhalten und der Unfähigkeit von Richtern) festgelegten Standards für Bundesrichter entlassen werden können;
– Entscheidungen des DPRC bindend und endgültig sind. Sowohl die Exekutive als auch die Nachrichtendienste sind daher verpflichtet, ihnen nachzukommen;
– die Arbeit des DPRC vom PCLOB innerhalb der oben in Rn. 54 angegebenen Grenzen überwacht wird.
77 Zum anderen müssen die Richter des DPRC, wie aus den Erwägungsgründen 187 bis 189 des angefochtenen Beschlusses hervorgeht, bei der Erfüllung ihrer Aufgaben innerhalb dieses Gerichts folgende Verfahrensgarantien einhalten:
– Sie müssen Beschwerden über personenbezogene Daten in einem dreiköpfigen Panel von Richtern, einschließlich eines vorsitzenden Richters, prüfen; für jede Rechtssache wird die Zusammensetzung des dreiköpfigen Richterpanels vom Office of Privacy and Civil Liberties (Büro für Datenschutz und Bürgerrechte) des Justizministeriums, das für die administrative Unterstützung des DPRC zuständig ist, nach dem Rotationsprinzip ausgewählt, wobei darauf zu achten ist, dass in jedem Panel mindestens ein Richter mit richterlicher Erfahrung vertreten ist.
– Bei der Prüfung von Beschwerden über personenbezogene Daten werden sie von einem Spezialanwalt unterstützt, der vom Justizminister nach Absprache mit dem Handelsminister, dem Direktor des Nationalen Nachrichtendienstes und dem PCLOB für eine verlängerbare Amtszeit von zwei Jahren ernannt wird; der Spezialanwalt muss über einschlägige Erfahrungen auf dem Gebiet des Datenschutzes und des Rechts der nationalen Sicherheit verfügen sowie ein erfahrener Rechtsanwalt und ein aktives Mitglied der Anwaltskammer sein; zudem darf er zum Zeitpunkt seiner Ernennung in den vorangegangenen zwei Jahren nicht bei der Exekutive beschäftigt gewesen sein; der Spezialanwalt hat Zugang zu allen Informationen, einschließlich vertraulicher Informationen, und muss, obwohl er weder die Interessen des Beschwerdeführers verteidigt noch ein Mandatsverhältnis zu diesem hat, sicherstellen, dass die Interessen des Beschwerdeführers in jeder Rechtssache vertreten werden und das DPRC‑Panel über alle relevanten rechtlichen und sachlichen Fragen gut informiert ist.
– Bei ihrer Entscheidungsfindung müssen sie die Untersuchungsunterlagen sowie alle vom Beschwerdeführer, vom Spezialanwalt, von den Nachrichtendiensten und vom CLPO vorgelegten Informationen und Eingaben sowie gegebenenfalls die vom CLPO auf Aufforderung des DPRC übermittelten zusätzlichen Informationen berücksichtigen.
– Sie müssen eine Entscheidung über die Beschwerde über personenbezogene Daten schriftlich und mit der Mehrheit der Stimmen treffen.
78 Drittens ist festzuhalten, dass die vom Gerichtshof im Urteil Schrems II beanstandeten Mängel hinsichtlich des Fehlens von Garantien im Zusammenhang mit der Abberufung der Ombudsperson des Schutzschilds durch die Exekutive und der Unverbindlichkeit ihrer Entscheidungen behoben worden sind. Aus den Akten ergibt sich nämlich, dass die E.O. 14086 die Fälle begrenzt, in denen der Justizminister die Richter des DPRC entlassen kann, und die Verbindlichkeit seiner Entscheidungen vorsieht.
79 Vor diesem Hintergrund ist die zweite Rüge des dritten Klagegrundes zurückzuweisen.
80 Die vorstehende Schlussfolgerung kann nicht durch die Tatsache in Frage gestellt werden, dass das DPRC, wie aus den Akten hervorgeht, ebenso wie andere Gerichte des US-Rechtssystems zwar befugt ist, über Rechtsfragen zu entscheiden, aber keine gemäß Art. III der US-Verfassung eingerichtete Justizbehörde darstellt.
81 Im Urteil Schrems II hat der Gerichtshof nämlich die Ansicht vertreten, dass ein wirksamer Rechtsschutz nicht nur durch ein Gericht der ordentlichen Gerichtsbarkeit gewährleistet werden kann, sondern auch durch jedes andere „Organ“, das den Personen, deren Daten in die Vereinigten Staaten übermittelt werden, Garantien böte, die den nach Art. 47 der Charta der Grundrechte erforderlichen Garantien der Sache nach gleichwertig wären (Urteil Schrems II, Rn. 197).
82 Nach alledem ist der dritte Klagegrund in vollem Umfang zurückzuweisen.
3. Zum zweiten Klagegrund: Verstoß gegen die Art. 7 und 8 der Charta der Grundrechte
83 Mit seinem zweiten Klagegrund macht der Kläger geltend, die Kommission habe gegen die Art. 7 und 8 der Charta der Grundrechte verstoßen, da sie im angefochtenen Beschluss davon ausgegangen sei, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau in Bezug auf die Sammelerhebung personenbezogener Daten durch die Nachrichtendienste dieses Landes gewährleisteten.
a) Zum Gegenstand des zweiten Klagegrundes
84 Anzumerken ist, dass sich der Kläger auf den S. 2 und 23 der Klageschrift sowie auf S. 4 der Erwiderung bei der Wiedergabe des Wortlauts des zweiten Klagegrundes auf einen Verstoß gegen die Art. 7 und 8 der Charta der Grundrechte durch die Kommission bezieht, der nicht nur die nicht zielgerichtete, sondern auch die massive Erhebung personenbezogener Daten betrifft. In den Ausführungen, die auf die Wiedergabe des Wortlauts des Klagegrundes folgen, stellt der Kläger jedoch ausschließlich auf die nicht zielgerichtete Erhebung dieser Daten ab.
85 Aus Fn. 250 auf S. 46 des angefochtenen Beschlusses, dem – unbestrittenen – 141. Erwägungsgrund dieses Beschlusses sowie den Antworten der Verfahrensbeteiligten auf die im Wege einer prozessleitenden Maßnahme und in der mündlichen Verhandlung gestellten Fragen geht hervor, dass
– die Erhebung von Signalaufklärungsdaten für Zwecke der nationalen Sicherheit – auch von Daten, die aus der Union übermittelt werden – in den Vereinigten Staaten nur in Form einer „gezielten Erhebung“ erfolgen darf; dieser Ausdruck wird im US-Recht nicht definiert, im Allgemeinen aber verwendet, um die Erhebung von Daten über eine bestimmte Person, ein Kommunikationskonto oder ein anderes identifiziertes Ziel durch die Nachrichtendienste gemäß dem Foreign Intelligence Surveillance Act (Gesetz über die Überwachung der Auslandsgeheimdienste, im Folgenden: FISA) und der E.O. 14086 zu beschreiben;
– die Erhebung von Signalaufklärungsdaten für Zwecke der nationalen Sicherheit – auch wenn sich personenbezogene Daten auf dem Weg von der Union zu Organisationen des Datenschutzrahmens befinden – außerhalb der Vereinigten Staaten vorrangig im Wege einer gezielten Erhebung erfolgt; wenn es notwendig ist, eine validierte Aufklärungspriorität im Sinne von Abschnitt 2(b)(iii) der E.O. 14086 zu fördern, die durch eine gezielte Erhebung nicht in angemessener Weise erreicht werden kann, können die Nachrichtendienste aber eine „Sammelerhebung“ personenbezogener Daten durchführen; die Sammelerhebung wird im US-Recht in Abschnitt 4(b) der E.O. 14086 definiert als die genehmigte Sammlung großer Mengen von Signalaufklärungsdaten aus technischen oder operativen Gründen ohne Verwendung von Unterscheidungsmerkmalen, z. B. ohne Verwendung spezifischer Identifikatoren oder Auswahlbegriffe; Sammelerhebungen werden durch die E.O. 14086 und die Executive Order 12333, United States Intelligence Activities (Durchführungsverordnung Nr. 12333 „Aufklärung durch die USA“) in der Fassung der Executive Orders 13284 (2003), 13355 (2004) und 13470 (2008) (Durchführungsverordnungen Nrn. 13284/2003, 13355/2004 und 13470/2008), die sie mehreren Garantien und Beschränkungen unterwerfen, geregelt;
– die „massive Erhebung“ personenbezogener Daten, auf die sich die Kommission in Fn. 250 des angefochtenen Beschlusses als eine allgemeine und wahllose Erfassung ohne Einschränkungen und Garantien bezieht, in den Vereinigten Staaten nicht zulässig ist und weder innerhalb noch außerhalb ihres Hoheitsgebiets durchgeführt werden darf.
86 Aus dem Vorstehenden folgt, dass eine massive Erhebung in den Vereinigten Staaten nicht zulässig ist und eine Sammelerhebung nur außerhalb dieses Landes durchgeführt werden darf, weshalb sich der Gegenstand des zweiten Klagegrundes im vorliegenden Fall auf die Beurteilung der Frage beschränkt, ob die Kommission in Bezug auf die Sammelerhebung personenbezogener Daten, die sich auf dem Weg von der Union zu den Organisationen des Datenschutzrahmens befinden, durch die US-Nachrichtendienste – unter Ausschluss jeglicher Erhebung personenbezogener Daten, die gegebenenfalls auf dem Gebiet der Union durch die Nachrichtendienste der Vereinigten Staaten oder der Mitgliedstaaten erfolgt – gegen die Art. 7 und 8 der Charta der Grundrechte verstoßen hat.
b) Zur ersten Rüge des zweiten Klagegrun des, wonach die gemäß Abschnitt 702 FISA durchgeführten nachrichtendienstlichen Tä tigkeiten nicht den in der E.O. 14086 vorgesehenen Garantien unterlägen
87 Mit der ersten Rüge seines zweiten Klagegrundes macht der Kläger geltend, die Kommission habe gegen die Art. 7 und 8 der Charta der Grundrechte verstoßen, da sie im angefochtenen Beschluss im Wesentlichen die Auffassung vertreten habe, die Vereinigten Staaten von Amerika böten ein Schutzniveau, das dem im Unionsrecht durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig sei, obwohl Abschnitt 702 FISA den US-Nachrichtendiensten die Möglichkeit einräume, eine Sammelerhebung personenbezogener Daten von Staatsangehörigen anderer Länder durchzuführen.
88 Die Kommission, unterstützt durch Irland und die Vereinigten Staaten von Amerika, tritt der Argumentation des Klägers entgegen.
89 Zu bemerken ist, dass Abschnitt 702 FISA nicht die Sammelerhebung, sondern lediglich die gezielte Erhebung personenbezogener Daten gestattet.
90 Da sich Abschnitt 702 FISA nicht auf die Sammelerhebung personenbezogener Daten bezieht, ist er im vorliegenden Fall folglich irrelevant.
91 Daher ist die erste Rüge des zweiten Klagegrundes zurückzuweisen.
c) Zur zweiten Rüge des zweite n Klagegrundes, wonach die E.O. 14086 Sammelerhebung en personenbezogener Daten nicht der vorherigen Genehmigung durch eine Justiz- oder Verwaltungsbehörde unterwerfe
92 Mit der zweiten Rüge seines zweiten Klagegrundes macht der Kläger geltend, die Kommission habe gegen die Art. 7 und 8 der Charta der Grundrechte verstoßen, da sie im angefochtenen Beschluss davon ausgegangen sei, dass die Vereinigten Staaten von Amerika ein Schutzniveau böten, das dem im Unionsrecht durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig sei, obwohl die E.O. 14086 die US-Nachrichtendienste nicht dazu verpflichte, im Vorfeld einer Sammelerhebung personenbezogener Daten die vorherige Genehmigung einer Justiz- oder Verwaltungsbehörde einzuholen.
93 Die Kommission, unterstützt durch Irland und die Vereinigten Staaten von Amerika, tritt der Argumentation des Klägers entgegen.
94 Im vorliegenden Fall geht aus den Akten hervor, ohne dass dies von den Parteien bestritten wird, dass das US-Recht die Nachrichtendienste nicht dazu verpflichtet, vor einer Sammelerhebung personenbezogener Daten, die sich auf dem Weg von der Union zu den Organisationen des Datenschutzrahmens befinden, die vorherige Genehmigung einer Justiz- oder Verwaltungsbehörde einzuholen.
95 Festzustellen ist, ob dieses Fehlen einer vorherigen Genehmigung geeignet ist, die Rechtmäßigkeit des angefochtenen Beschlusses zu beeinträchtigen, soweit es die Schlussfolgerung in dessen Art. 1, wonach die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau für personenbezogene Daten bieten, in Frage stellen könnte.
96 Einleitend ist daran zu erinnern, dass bei der Beurteilung der Rechtmäßigkeit eines Angemessenheitsbeschlusses, wie der Gerichtshof im Urteil Schrems II entschieden hat, zu prüfen ist, ob das Recht des Drittlands ein Schutzniveau für Grundrechte und Grundfreiheiten gewährleistet, das dem in der Union durch die DSGVO im Licht der Charta der Grundrechte garantierten Niveau der Sache nach gleichwertig ist (siehe oben, Rn. 19).
97 Vor diesem Hintergrund sind die vier Argumente zu untersuchen, die der Kläger zur Stützung der vorliegenden Rüge vorgebracht hat.
1) Zum ersten Argument, das sich auf das Urteil Schrems II stützt
98 Mit seinem ersten Argument macht der Kläger im Wesentlichen geltend, die im vorliegenden Fall von den US-Nachrichtendiensten durchgeführte Sammelerhebung personenbezogener Daten sei – ebenso wie der vom Gerichtshof im Urteil Schrems II u. a. aufgrund des Fehlens einer gerichtlichen Kontrolle für nichtig erklärte Angemessenheitsbeschluss zum Schutzschild – weder einer gerichtlichen Überwachung unterstellt noch durch hinreichend klare und präzise Vorschriften geregelt.
99 Die Kommission, unterstützt durch Irland und die Vereinigten Staaten von Amerika, tritt dem Argument des Klägers entgegen.
100 Der Gerichtshof hat im Urteil Schrems II entschieden, dass die Art. 7 und 8 der Charta für Grundrechte, deren Einhaltung von der Kommission festgestellt werden muss, bevor sie einen Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 DSGVO erlässt, für das in der Union erforderliche Schutzniveau maßgebend sind. Nach seiner Auffassung berührt nämlich jede Verarbeitung personenbezogener Daten einer natürlichen Person – einschließlich ihrer Übermittlung in ein Drittland im Rahmen eines Angemessenheitsbeschlusses – sowohl das durch Art. 7 der Charta garantierte Grundrecht dieser Person auf Achtung des Privatlebens als auch ihr in Art. 8 der Charta enthaltenes Recht auf Schutz ihrer personenbezogenen Daten (Urteil Schrems II, Rn. 169 bis 171).
101 Der Gerichtshof hat jedoch klargestellt, dass die in den Art. 7 und 8 der Charta der Grundrechte niedergelegten Rechte keine uneingeschränkte Geltung beanspruchen können, sondern im Hinblick auf ihre gesellschaftliche Funktion gesehen werden müssen (Urteil Schrems II, Rn. 172).
102 Daher muss gemäß Art. 52 Abs. 1 Satz 1 der Charta der Grundrechte jede Einschränkung der Ausübung der in den Art. 7 und 8 der Charta anerkannten Rechte und Freiheiten gesetzlich vorgesehen sein und den Wesensgehalt dieser Rechte und Freiheiten achten. Zudem dürfen Einschränkungen dieser Rechte und Freiheiten unter Wahrung des Grundsatzes der Verhältnismäßigkeit nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen (Urteil Schrems II, Rn. 174).
103 In diesem Kontext hat der Gerichtshof entschieden, dass hinsichtlich der den US-Nachrichtendiensten durch die Durchführungsverordnung Nr. 12333 in der geänderten Fassung eingeräumten Möglichkeit, auf personenbezogene Daten während ihrer Übermittlung aus der Union zuzugreifen, ohne dass dieser Zugriff irgendeiner gerichtlichen Kontrolle unterläge, keine hinreichend klare und präzise Eingrenzung des Umfangs einer Sammelerhebung personenbezogener Daten durch die Nachrichtendienste besteht. Daher ist er davon ausgegangen, dass die besagte Durchführungsverordnung den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Mindestanforderungen nicht genügte und die auf der Grundlage dieser Verordnung durchgeführten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt waren (Urteil Schrems II, Rn. 183 und 184).
104 Zu klären ist, wie der Ausdruck „irgendeine gerichtliche Kontrolle“ in Rn. 183 des Urteils Schrems II auszulegen ist.
105 Insoweit ist zu bemerken, dass nichts im Urteil Schrems II, insbesondere in Rn. 183 dieses Urteils und im Ausdruck „irgendeine gerichtliche Kontrolle“, darauf hindeutet, dass Sammelerhebungen personenbezogener Daten zwingend einer vorherigen Genehmigung durch eine unabhängige Behörde unterliegen müssen. Vielmehr ergibt sich aus diesem Ausdruck in Verbindung mit den Rn. 186 bis 197 des Urteils, dass Entscheidungen, mit denen eine solche Erhebung genehmigt wird, zumindest einer nachträglichen gerichtlichen Kontrolle unterliegen müssen.
106 Im vorliegenden Fall unterstellen die E.O. 14086 und der Erlass des US-Justizministers, wie oben in den Rn. 24 bis 82 ausgeführt worden ist, die signalerfassende Aufklärung durch die US-Nachrichtendienste, auch wenn diese eine Sammelerhebung personenbezogener Daten durchführen, einer nachträglichen gerichtlichen Überwachung durch den DPRC, dessen Entscheidungen endgültig und bindend sind und sowohl für die US-Regierung als auch für die Nachrichtendienste gelten. Entgegen dem Vorbringen des Klägers kann demnach nicht davon ausgegangen werden, dass eine von den Nachrichtendiensten auf der Grundlage des angefochtenen Beschlusses durchgeführte Sammelerhebung personenbezogener Daten die diesbezüglichen Anforderungen aus dem Urteil Schrems II nicht erfüllt.
107 Zudem ist als Erstes darauf hinzuweisen, dass die Nachrichtendienste, wie aus dem 141. Erwägungsgrund des angefochtenen Beschlusses hervorgeht, ohne dass der Kläger dies bestreitet, nach der E.O. 14086 der gezielten Erhebung personenbezogener Daten den Vorzug geben müssen. Sammelerhebungen sind daher nur zulässig, um eine validierte Aufklärungspriorität zu fördern, die durch eine gezielte Erhebung nicht in angemessener Weise erreicht werden kann. Insoweit ist anzumerken, dass validierte Aufklärungsprioritäten, wie sich aus dem 135. Erwägungsgrund des angefochtenen Beschlusses ergibt, im Rahmen eines besonderen Verfahrens festgelegt werden, das die Einhaltung der geltenden Rechtsvorschriften, einschließlich der Bestimmungen zum Schutz der Privatsphäre und der bürgerlichen Freiheiten, gewährleisten soll. Konkret werden die Aufklärungsprioritäten vom Direktor des Nationalen Nachrichtendienstes entwickelt und dem Präsidenten der Vereinigten Staaten zur Genehmigung vorgelegt. Bevor der Direktor des Nationalen Nachrichtendienstes dem Präsidenten der Vereinigten Staaten Aufklärungsprioritäten vorschlägt, muss er für jede Priorität eine Bewertung des CLPO einholen. Im Rahmen dieser Bewertung hat der CLPO festzustellen, ob die in Rede stehende Priorität einem oder mehreren der in der E.O. 14086 aufgeführten legitimen Ziele dient, ob sie nicht dazu bestimmt ist, Signalaufklärungsdaten für ein verbotenes Ziel zu erheben, und ob sie unter gebührender Berücksichtigung der Privatsphäre und der bürgerlichen Freiheiten aller betroffenen Personen, ungeachtet ihrer Nationalität oder ihres Wohnorts, festgelegt wurde.
108 Als Zweites ist festzuhalten, dass die E.O. 14086, wie in den Erwägungsgründen 127 bis 131, 134 und 135 des angefochtenen Beschlusses hervorgehoben wird, ohne dass der Kläger dies bestreitet, weitreichende Anforderungen aufstellt, die für alle Tätigkeiten im Bereich der Signalaufklärung gelten, auch wenn diese durch eine Sammelerhebung personenbezogener Daten erfolgen.
109 Erstens müssen Tätigkeiten im Bereich der Signalaufklärung auf einem Gesetz oder einer Ermächtigung des Präsidenten beruhen und im Einklang mit den Rechtsvorschriften der Vereinigten Staaten, einschließlich ihrer Verfassung, durchgeführt werden.
110 Zweitens darf die signalerfassende Aufklärung nur durchgeführt werden, nachdem auf Grundlage einer angemessenen Bewertung aller relevanten Faktoren festgestellt wurde, dass die Maßnahme zur Förderung einer validierten Aufklärungspriorität erforderlich ist.
111 Drittens müssen Tätigkeiten im Bereich der Signalaufklärung in einem angemessenen Verhältnis zu der validierten Aufklärungspriorität stehen, für die sie genehmigt wurden, um ein angemessenes Gleichgewicht zwischen der Bedeutung der angestrebten Aufklärungspriorität und den Auswirkungen auf die Privatsphäre und die bürgerlichen Freiheiten der betroffenen Personen, unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnort, herzustellen.
112 Viertens listet die E.O. 14086 die allgemeinen Ziele auf, die nicht mittels signalerfassender Aufklärung verfolgt werden dürfen. Hierbei geht es u. a. um Ziele der Beeinträchtigung von Kritik, Dissens oder der freien Äußerung von Ideen oder politischen Meinungen durch Privatpersonen oder die Presse, der Diskriminierung von Personen aufgrund ihrer ethnischen Zugehörigkeit, Rasse, Geschlecht, Geschlechtsidentität, sexuellen Orientierung oder Religion oder der Verschaffung eines Wettbewerbsvorteils für Unternehmen mit Sitz in den Vereinigten Staaten.
113 Als Drittes geht aus dem 141. Erwägungsgrund des angefochtenen Beschlusses hervor, ohne dass der Kläger dies bestreitet, dass für Sammelerhebungen personenbezogener Daten nach der E.O. 14086 besondere Garantien gelten.
114 Zunächst sieht die E.O. 14086 vor, dass Methoden und technische Maßnahmen angewandt werden müssen, um die gesammelten Daten auf das zu beschränken, was für die Förderung einer validierten Aufklärungspriorität erforderlich ist, und um die Erhebung irrelevanter Informationen so gering wie möglich zu halten.
115 Sodann heißt es in der E.O. 14086, dass Sammelerhebungen personenbezogener Daten nur durchgeführt werden dürfen, um sechs spezifische Zwecke (im Folgenden: sechs spezifische Zwecke der Sammelerhebung) zu erreichen, nämlich Schutz vor Terrorismus, Spionage, Massenvernichtungswaffen, Cyberbedrohungen, Bedrohungen des Personals der Vereinigten Staaten oder ihrer Verbündeten und grenzüberschreitender Kriminalität. In ihr ist die Möglichkeit vorgesehen, dass der Präsident der Vereinigten Staaten die spezifischen Zwecke aktualisiert, wenn sich neue nationale Sicherheitsbedürfnisse ergeben, z. B. neue oder zunehmende Bedrohungen der nationalen Sicherheit, für die Sammelerhebungen personenbezogener Daten seiner Ansicht nach genutzt werden könnten. Solche Aktualisierungen sind vom Direktor des Nationalen Nachrichtendienstes grundsätzlich zu veröffentlichen, es sei denn, der Präsident der Vereinigten Staaten stellt fest, dass dies selbst eine Bedrohung für die nationale Sicherheit dieses Landes darstellen würde.
116 Schließlich sieht die E.O. 14086 vor, dass die Abfrage von Daten, die durch eine Sammelerhebung gewonnen wurden, nur dann erfolgen darf, wenn dies zur Förderung einer validierten Aufklärungspriorität erforderlich ist, und zwar in Verfolgung der spezifischen Zwecke der Sammelerhebung und in Übereinstimmung mit Strategien und Verfahren, die den Auswirkungen der Abfragen auf die Privatsphäre und die bürgerlichen Freiheiten aller betroffenen Personen, unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnort, gebührend Rechnung tragen.
117 Unter diesen Umständen kann nicht mit Erfolg geltend gemacht werden, die Durchführung einer Sammelerhebung sei nicht hinreichend klar und präzise geregelt.
118 Nach alledem ist das vorliegende Argument zurückzuweisen.
2) Zum zweiten Argument, das sich auf das Urteil vom 6. Oktober 2020, La Quadrature du Net u. a. (C ‑511/18, C ‑512/18 und C ‑520/18), stützt
119 Mit seinem zweiten Argument trägt der Kläger, der sich ausdrücklich auf Rn. 189 des Urteils vom 6. Oktober 2020, La Quadrature du Net u. a. (C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791), bezieht, vor, der Gerichtshof habe für Nachrichtendienste die Verpflichtung festgelegt, im Vorfeld der Erhebung von Verbindungsdaten bei den Betreibern, in deren Besitz sich diese Daten befänden, die vorherige Genehmigung einer Justiz- oder Verwaltungsbehörde einzuholen. US-Nachrichtendienste, die Sammelerhebungen personenbezogener Daten bei der Übermittlung aus der Union durchführten, unterlägen im vorliegenden Fall keiner solchen vorherigen Genehmigung.
120 Die Kommission, unterstützt durch Irland und die Vereinigten Staaten von Amerika, tritt dem Argument des Klägers entgegen.
121 Der Gerichtshof hat im Urteil vom 6. Oktober 2020, La Quadrature du Net u. a. (C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791), insbesondere die Auffassung vertreten, dass Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. 2002, L 201, S. 37) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 (ABl. 2009, L 337, S. 11) geänderten Fassung im Licht der Art. 7, 8 und 11 sowie von Art. 52 Abs. 1 der Charta der Grundrechte dahin auszulegen ist, dass er einer nationalen Regelung nicht entgegensteht, mit der den Betreibern elektronischer Kommunikationsdienste auferlegt wird, eine Erhebung in Echtzeit von Verkehrs- und Standortdaten vorzunehmen, sofern diese auf Personen beschränkt ist, bei denen ein triftiger Grund für den Verdacht besteht, dass sie in terroristische Aktivitäten verwickelt sind, und der vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterliegt (Rn. 192 des Urteils).
122 Folglich unterscheidet sich der Sachverhalt, um den es in der Rechtssache geht, in der das Urteil vom 6. Oktober 2020, La Quadrature du Net u. a. (C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791), ergangen ist, von dem hier in Rede stehenden Sachverhalt. Im vorliegenden Fall geht es nicht darum, zu prüfen, ob die Erhebung von Verkehrs- und Standortdaten von Nutzern, die verdächtigt werden, auf irgendeine Weise in terroristische Aktivitäten verwickelt zu sein, durch Betreiber elektronischer Kommunikationsdienste der vorherigen Kontrolle durch eine Justiz- oder Verwaltungsbehörde unterliegen muss, sondern um die Beurteilung der Frage, ob die Tatsache, dass das Recht der Vereinigten Staaten Nachrichtendienste nicht dazu verpflichtet, im Vorfeld einer Sammelerhebung personenbezogener Daten, die sich auf dem Weg in dieses Land befinden, die vorherige Genehmigung einer Justiz- oder Verwaltungsbehörde einzuholen, die Richtigkeit der von der Kommission im angefochtenen Beschluss getroffenen Angemessenheitsfeststellung in Frage stellt.
123 Daher ist der Schluss zu ziehen, dass die Bezugnahme auf das Urteil vom 6. Oktober 2020, La Quadrature du Net u. a. (C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791), im vorliegenden Fall irrelevant ist.
124 Diese Schlussfolgerung kann durch die Berücksichtigung des Urteils vom 30. April 2024, La Quadrature du Net u. a. (Personenbezogene Daten und Bekämpfung der Nachahmung) (C‑470/21, EU:C:2024:370), hinsichtlich dessen die Beteiligten des vorliegenden Verfahrens im Wege einer prozessleitenden Maßnahme um Stellungnahme gebeten worden sind, nicht in Frage gestellt werden.
125 In der Rechtssache, in der das Urteil vom 30. April 2024, La Quadrature du Net u. a. (Personenbezogene Daten und Bekämpfung der Nachahmung) (C‑470/21, EU:C:2024:370), ergangen ist, ging es um die Rechtmäßigkeit des Zugangs einer mit dem Schutz von Urheberrechten und verwandten Schutzrechten vor im Internet begangenen Verstößen betrauten nationalen Behörde zu von den Betreibern elektronischer Kommunikationsdienste auf Vorrat gespeicherten Identitätsdaten, die IP-Adressen zuzuordnen waren, zum Zweck der Bekämpfung der Nachahmung. Insbesondere war dieser Zugang gerechtfertigt, um den Inhaber einer IP-Adresse zu identifizieren, der eine das Urheberrecht oder verwandte Schutzrechte beeinträchtigende Aktivität entfaltet hatte, indem er geschützte Werke rechtswidrig im Internet zum Herunterladen durch andere Personen bereitgestellt hatte. Unter diesen Umständen hat der Gerichtshof entschieden, dass eine vorherige Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle
– nicht eingeführt werden darf, wenn die zuständige nationale Behörde Zugang zu den Identitätsdaten einer Person, die einer IP-Adresse zuzuordnen sind, allein zur Ermittlung des betreffenden Nutzers hat, ohne dass diese Daten mit Informationen über die erfolgte Kommunikation in Verbindung gebracht werden können, da der mit einem solchen Zugang verbundene Eingriff nicht als schwerwiegend eingestuft werden kann (Rn. 133 und 134 des Urteils);
– eingeführt werden muss, bevor die zuständige nationale Behörde die Identitätsdaten einer Person, die einer IP-Adresse zuzuordnen sind, mit der Datei über das Werk verknüpft, das rechtswidrig im Internet für andere Personen zum Herunterladen bereitgestellt wurde, und an die betreffende Person ein Schreiben versendet, mit dem festgestellt wird, dass diese Person unerlaubte Handlungen vorgenommen hat (vgl. in diesem Sinne Rn. 141 des Urteils).
126 Folglich bezieht sich die Rechtssache, in der das Urteil vom 30. April 2024, La Quadrature du Net u. a. (Personenbezogene Daten und Bekämpfung der Nachahmung) (C‑470/21, EU:C:2024:370), ergangen ist, auf den Zugang nationaler Behörden zu einer IP-Adresse zum Zweck der Bekämpfung der Nachahmung und hat damit einen anderen Gegenstand als die Sammelerhebung personenbezogener Daten bei der Übermittlung aus der Union durch Nachrichtendienste. In Anbetracht des genannten Urteils kann daher nicht davon ausgegangen werden, dass es einer vorherigen Genehmigung bedarf, wenn US-Nachrichtendienste eine Sammelerhebung personenbezogener Daten durchführen, die aus der Union übermittelt werden.
127 Das vorliegende Argument ist somit zurückzuweisen.
3) Zum dritten Argument, das sich auf das Urteil des EGMR vom 25. Mai 2021, Big Brother Watch u. a./Vereinigtes Königreich (CE:ECHR:2021:0525JUD005817013), stützt
128 Mit seinem dritten Argument macht der Kläger im Wesentlichen geltend, der EGMR habe im Urteil vom 25. Mai 2021, Big Brother Watch u. a./Vereinigtes Königreich (CE:ECHR:2021:0525JUD005817013, im Folgenden: Urteil Big Brother Watch), die Auffassung vertreten, dass das massenhafte Abfangen personenbezogener Daten der vorherigen Genehmigung durch eine unabhängige Behörde unterliegen müsse, sobald die Ziele und der Umfang der Überwachungsmaßnahme festgelegt seien. Für Sammelerhebungen auf dem Weg aus der Union befindlicher personenbezogener Daten durch die US-Nachrichtendienste brauche im vorliegenden Fall keine solche vorherige Genehmigung eingeholt zu werden.
129 Die Kommission, unterstützt durch Irland und die Vereinigten Staaten von Amerika, tritt dem Argument des Klägers entgegen.
130 Zu bemerken ist, dass sich die Rechtssache, in der das Urteil Big Brother Watch ergangen ist, insbesondere auf die Frage bezog, ob die britische Regelung zur geheimen Überwachung, die den Nachrichtendiensten die Befugnis einräumte, elektronische Kommunikation und damit verbundene Kommunikationsdaten, d. h. Verkehrsdaten betreffend die abgefangene Kommunikation, die grundsätzlich außerhalb der Britischen Inseln stattfand, massenhaft abzufangen, mit Art. 8 EMRK vereinbar ist.
131 Außerdem muss, da Art. 8 EMRK ebenso wie Art. 7 der Charta der Grundrechte das Recht auf Achtung des Privat- und Familienlebens verankert, die Rechtsprechung des EGMR zu Art. 8 EMRK, wie aus der oben in Rn. 29 angeführten Rechtsprechung hervorgeht, bei der Auslegung der Tragweite von Art. 7 der Charta berücksichtigt werden. Sollte das Gericht entscheiden, dass das Urteil Big Brother Watch im vorliegenden Fall relevant ist, wären die vom EGMR in diesem Urteil vorgebrachten Erwägungen zur Tragweite von Art. 8 EMRK folglich bei der Auslegung der Tragweite von Art. 7 der Charta zu berücksichtigen.
132 Insoweit sei daran erinnert, dass sich der EGMR im Urteil Big Brother Watch zur Rechtmäßigkeit des massenhaften Abfangens grundsätzlich außerhalb der Britischen Inseln stattfindender elektronischer Kommunikation und damit verbundener Kommunikationsdaten durch die britischen Nachrichtendienste geäußert hat.
133 Wie die Parteien des vorliegenden Verfahrens in ihrer Antwort auf die prozessleitende Maßnahme und in der mündlichen Verhandlung bemerkt haben, sind die Ausführungen des EGMR im Urteil Big Brother Watch hier relevant, da davon ausgegangen werden kann, dass das massenhafte Abfangen personenbezogener Daten, um das es in der Rechtssache ging, in der dieses Urteil ergangen ist, Sammelerhebungen, die Gegenstand des angefochtenen Beschlusses sind, mit einschließt.
134 Erstens ist festzuhalten, dass in der französischen Sprachfassung des Urteils Big Brother Watch der Ausdruck „interception en masse“ (massenhaftes Abfangen) gebraucht wird, während in der englischen Sprachfassung der Ausdruck „bulk interception“ verwendet wird, der eher dem französischen Begriff „interception en vrac“ (ungezieltes Abfangen) entspricht.
135 Zweitens hat der EGMR das Abfangen von Informationen, um das es im Urteil Big Brother Watch ging, anders als das gezielte Abfangen als eine Maßnahme definiert, die nicht auf bestimmte Personen abziele, weshalb sie eine große Zahl von Personen und damit verbundene Kommunikationsdaten betreffen und damit einen sehr weiten Anwendungsbereich haben könne, da sie insbesondere die Sammlung von Informationen im Rahmen der Auslandsaufklärung und die Aufdeckung neuer Bedrohungen durch bekannte oder unbekannte Akteure ermögliche. Zudem werde das massenhafte Abfangen wegen seines Zwecks im Zusammenhang mit dem Schutz der nationalen Sicherheit von den zuständigen Behörden in der Regel geheim durchgeführt, was bedeute, dass diese nur wenige oder gar keine Informationen über die Funktionsweise des Systems veröffentlichten (vgl. in diesem Sinne Urteil Big Brother Watch, § 322).
136 Drittens ist der EGMR im Urteil Big Brother Watch davon ausgegangen, dass, auch wenn nicht alle Massenüberwachungsprogramme nach dem gleichen Muster konzipiert seien und sich ihre Durchführungsmodalitäten ändern könnten, ohne immer einer strengen chronologischen Reihenfolge zu folgen, das massenhafte Abfangen ein schrittweiser Prozess sei, der im Wesentlichen nach den folgenden vier Schritten (im Folgenden: Überwachungsschritte) ablaufe:
a) massenhaftes Abfangen und vorläufige Speicherung der elektronischen Kommunikation einer großen Zahl von Personen und der damit verbundenen Kommunikationsdaten;
b) Anwendung spezifischer Selektoren auf eine ausgewählte Kommunikation und die damit verbundenen Kommunikationsdaten, um eine Kommunikation zu identifizieren, die für die Nachrichtendienste von Interesse sein könnte;
c) Prüfung einer ausgewählten Kommunikation und der damit verbundenen Kommunikationsdaten durch Analysten;
d) anschließende Speicherung der Daten und Verwendung zum Zweck ihrer Aufnahme in einen Nachrichtendienstbericht, ihrer Weitergabe an andere Nachrichtendienste des Landes oder ihrer Übermittlung an ausländische Nachrichtendienste (vgl. in diesem Sinne Urteil Big Brother Watch, §§ 325 bis 329).
137 Folglich fällt eine Sammelerhebung personenbezogener Daten wie diejenige, die Gegenstand des angefochtenen Beschlusses ist, in den Anwendungsbereich des ersten vom EGMR im Urteil Big Brother Watch identifizierten Überwachungsschritts, da sie in der Sammlung sich auf dem Weg aus der Union befindlicher personenbezogener Daten einer großen Zahl von Personen zum Zweck des Schutzes der nationalen Sicherheit besteht.
138 Vor diesem Hintergrund sind im Rahmen der Prüfung der Rechtmäßigkeit eines auf der Grundlage von Art. 45 Abs. 3 DSGVO ergangenen Angemessenheitsbeschlusses wie des angefochtenen Beschlusses die Konsequenzen aus dem Urteil Big Brother Watch zu ziehen.
139 Insoweit ist als Erstes anzumerken, dass Art. 8 EMRK, wie der EGMR im Urteil Big Brother Watch klargestellt hat, die Durchführung von Massenüberwachungsmaßnahmen zum Schutz der nationalen Sicherheit oder anderer wesentlicher nationaler Interessen vor schwerwiegenden externen Bedrohungen nicht verbietet und die Staaten über einen weiten Ermessensspielraum bei der Festlegung der Art der von ihnen benötigten Überwachungsregelung verfügen (Urteil Big Brother Watch, § 347).
140 Als Zweites hat der EGMR darauf hingewiesen, dass das massenhafte Abfangen personenbezogener Daten mit mehreren End-zu-End-Garantien einhergehen müsse, die zusammen genommen den Grundpfeiler jedes Massenüberwachungssystems bildeten, nämlich
– Einholung der Genehmigung einer unabhängigen Behörde, sobald Gegenstand und Umfang der betreffenden Überwachungsmaßnahme festgelegt seien (Urteil Big Brother Watch, § 350);
– Einführung eines Überwachungssystems und einer unabhängigen gerichtlichen Nachkontrolle (vgl. in diesem Sinne Urteil Big Brother Watch, §§ 336 und 347);
– Festlegung von Rechtsvorschriften, die es ermöglichten, für jeden einzelnen Überwachungsschritt die Notwendigkeit und Verhältnismäßigkeit der getroffenen Maßnahmen sicherzustellen (vgl. in diesem Sinne Urteil Big Brother Watch, § 350); der EGMR hat insoweit festgestellt, dass sich ein Eingriff in die durch Art. 8 EMRK garantierten Rechte im Hinblick auf Abs. 2 dieses Artikels nur dann rechtfertigen lasse, wenn er gesetzlich vorgesehen sei, einem oder mehreren der in diesem Absatz aufgeführten legitimen Ziele diene und in einer demokratischen Gesellschaft zur Erreichung dieser Ziele erforderlich sei; im Bereich der geheimen Überwachung setze die Vorhersehbarkeit der getroffenen Maßnahmen voraus, dass das innerstaatliche Recht hinreichend klar sei, um allen angemessen zu verdeutlichen, unter welchen Umständen und Bedingungen die öffentliche Gewalt zu solchen Maßnahmen befugt sei (Urteil Big Brother Watch, §§ 332 und 333).
141 Als Drittes hat der EGMR geltend gemacht, dass, auch wenn Art. 8 EMRK für jeden einzelnen Überwachungsschritt gelte, die Notwendigkeit von Garantien mit jedem weiteren Verfahrensschritt zunehme und somit auch die Intensität des Eingriffs in das Recht auf Achtung des Privatlebens. Am Ende des Prozesses, wenn Informationen über eine bestimmte Person analysiert würden oder der Inhalt einer Kommunikation durch einen Analysten geprüft werde, sei das Vorhandensein von Garantien daher mehr denn je erforderlich (vgl. in diesem Sinne Urteil Big Brother Watch, §§ 330 und 331).
142 Als Viertes hat der EGMR die Auffassung vertreten, dass es in der Praxis nicht machbar sei, alle von den Nachrichtendiensten zur Filterung der im Rahmen der vorherigen Genehmigung erhobenen Kommunikationsdaten verwendeten Selektoren einzubeziehen, weshalb der Umfang dieser Genehmigung eingeschränkt werden müsse, um zumindest die zu verwendenden Arten oder Kategorien von Selektoren einzubeziehen (Urteil Big Brother Watch, § 354).
143 Im vorliegenden Fall ist zum einen daran zu erinnern, dass die Kommission, wie der Gerichtshof in den Urteilen Schrems I und Schrems II entschieden hat, im Rahmen eines Angemessenheitsbeschlusses nicht verpflichtet ist, sich zu vergewissern, dass die einschlägigen Bestimmungen des Drittlands mit den in der Union geltenden identisch sind, sondern dass sie der Sache nach gleichwertig sind (siehe oben, Rn. 19 und 20).
144 Zum anderen ist davon auszugehen, dass die im Rahmen des vorliegenden Rechtsstreits beanstandete Sammelerhebung personenbezogener Daten durch die US-Nachrichtendienste mit dem Abfangen von Daten gleichgesetzt werden kann, das im Rahmen des ersten vom EGMR im Urteil Big Brother Watch genannten Überwachungsschritts erfolgt, und unter Berücksichtigung des Kontexts der Maßnahme deshalb eine geringere Notwendigkeit besteht, für diesen spezifischen Schritt der Sammelerhebung Garantien vorzusehen, die den Ermessensspielraum der Nachrichtendienste einschränken. Im vorliegenden Fall geht es nämlich ausschließlich um die anfängliche Sammelerhebung personenbezogener Daten durch Nachrichtendienste unter Ausschluss späterer Aktivitäten, die nicht Gegenstand des vorliegenden Klageverfahrens sind und gegebenenfalls in der Anwendung spezifischer Selektoren, der Prüfung der erhobenen Daten und ihrer Nutzung oder späteren Weitergabe bestehen könnten.
145 Folglich ist die Einholung einer vorherigen Genehmigung nicht die einzige Garantie, die mit dem massenhaften Abfangen personenbezogener Daten einhergehen muss, sondern stellt eines der Elemente dar, die zusammen genommen den Grundpfeiler jeder Regelung zur Massenüberwachung bilden. Insoweit ist daran zu erinnern, dass das geltende US-Recht Rechtsvorschriften enthält, die die Durchführung einer Sammelerhebung personenbezogener Daten durch die US-Nachrichtendienste hinreichend klar und präzise regeln (siehe oben, Rn. 107 bis 116), und den von einer Übermittlung ihrer Daten betroffenen Personen das Recht auf einen wirksamen Rechtsbehelf vor dem DPRC einräumt (siehe oben, Rn. 33 bis 63). Außerdem wird in den Erwägungsgründen 162 bis 169 des angefochtenen Beschlusses darauf hingewiesen, ohne dass der Kläger dies bestreitet, dass die nachrichtendienstlichen Tätigkeiten der Nachrichtendienste vom PCLOB kontrolliert werden, das, wie oben aus Rn. 54 hervorgeht, nach seinem Gründungsstatut als unabhängige Stelle konzipiert worden ist. Auch unterliegen diese Tätigkeiten der Aufsicht als Erstes von Beamten, die innerhalb jedes Nachrichtendienstes für Recht, Aufsicht und Compliance zuständig sind, als Zweites des unabhängigen Generalinspekteurs, der bei jedem Nachrichtendienst für die Kontrolle der vom fraglichen Dienst durchgeführten Auslandsaufklärung zuständig ist, als Drittes des Intelligence Oversight Board (Nachrichtendienstaufsichtsgremium, Vereinigte Staaten), das innerhalb des President’s Intelligence Advisory Board (Beratungsgremium des Präsidenten für Nachrichtendienste, Vereinigte Staaten) eingerichtet worden ist und die Einhaltung des Gesetzes durch die US-Behörden zu überwachen hat, sowie als Viertes der speziellen Ausschüsse des Kongresses der Vereinigten Staaten, die die gesamte Auslandsaufklärung dieses Landes überwachen.
146 In Anbetracht der vorstehenden Erwägungen kann nicht der Schluss gezogen werden, dass die Tatsache, dass für die erstmalige Sammelerhebung sich auf dem Weg aus der Union befindlicher personenbezogener Daten durch die US-Nachrichtendienste keine vorherige Genehmigung erforderlich ist, genügt, um zu der Ansicht zu gelangen, dass das US-Recht im Licht der Erkenntnisse aus dem Urteil Big Brother Watch keine Garantien bietet, die den im Unionsrecht vorgesehenen der Sache nach gleichwertig sind.
147 Daher ist das vorliegende Argument zurückzuweisen.
4) Zum vierten Argument, das sich auf die Stellungnahme 5/2023 des Europäischen Datenschutzausschusses stützt
148 Mit seinem vierten Argument macht der Kläger geltend, der Europäische Datenschutzausschuss (im Folgenden: EDSA) habe in seiner Stellungnahme 5/2023 vom 28. Februar 2023 zum Entwurf eines Durchführungsbeschlusses der Kommission über die Angemessenheit des Schutzes personenbezogener Daten im Rahmen des Datenschutzrahmens EU-USA (im Folgenden: Stellungnahme 5/2023) betont, wie wichtig es sei, die Sammelerhebung personenbezogener Daten einer vorherigen Genehmigung zu unterwerfen. Für Sammelerhebungen auf dem Weg aus der Union befindlicher personenbezogener Daten durch die US-Nachrichtendienste brauche im vorliegenden Fall keine vorherige Genehmigung eingeholt zu werden.
149 Die Kommission, unterstützt durch Irland und die Vereinigten Staaten von Amerika, tritt dem Argument des Klägers entgegen.
150 Anzumerken ist, dass der EDSA die Stellungnahme 5/2023 auf der Grundlage von Art. 70 Abs. 1 Buchst. s DSGVO abgegeben hat. Diese Vorschrift sieht vor, dass der EDSA von sich aus oder auf Ersuchen der Kommission für diese eine Stellungnahme zur Beurteilung der Angemessenheit des in einem Drittland gebotenen Schutzniveaus abgeben kann.
151 Wenn der EDSA auf der Grundlage von Art. 70 Abs. 1 DSGVO tätig wird, beschränkt er sich aber auf die Ausübung einer beratenden Funktion durch die Abgabe von Stellungnahmen, Leitlinien, Empfehlungen und Empfehlungen für bewährte Verfahren, die keine verbindlichen Rechtswirkungen haben (vgl. in diesem Sinne Beschluss des Präsidenten des Gerichtshofs vom 29. November 2023, EDSB/SRB, C‑413/23 P, nicht veröffentlicht, EU:C:2023:1036, Rn. 11). Für die Kommission, die weiterhin frei beurteilen kann, ob das Recht des betreffenden Drittlands insgesamt ein Schutzniveau bietet, das dem im Unionsrecht in Bezug auf die Sammelerhebung personenbezogener Daten garantierten Niveau der Sache nach gleichwertig ist, ist diese Stellungnahme daher nicht bindend. Der EDSA hat in seiner Stellungnahme jedenfalls nicht darauf hingewiesen, dass die Nichteinführung einer vorherigen Kontrolle im Zusammenhang mit der Sammelerhebung personenbezogener Daten eine positive Bewertung der Angemessenheit des vom Datenschutzrahmen gebotenen Schutzniveaus für personenbezogene Daten durch die Kommission zwangsläufig beeinträchtige. Vielmehr hat er in Rn. 165 derselben Stellungnahme festgestellt, dass diese Bewertung von allen Umständen des Falles abhänge, insbesondere von der Einführung einer nachträglichen gerichtlichen Kontrolle und eines Rechtsbehelfsmechanismus durch die USA.
152 Vor diesem Hintergrund lässt die Stellungnahme 5/2023 nicht die Annahme zu, dass Sammelerhebungen auf dem Weg aus der Union befindlicher personenbezogener Daten durch die Nachrichtendienste der Vereinigten Staaten einer vorherigen Genehmigung bedürfen und der in diesem Land gebotene Schutz dem im Unionsrecht garantierten Schutz der Sache nach nicht gleichwertig ist.
153 Daher ist das vorliegende Argument und damit die zweite Rüge des zweiten Klagegrundes insgesamt zurückzuweisen.
d) Zur dritten Rüge des zweiten Klage grundes, wonach die E.O. 14086 dem Präsidenten der Vereinigten Staaten die Befugnis einräum e , eine geheime Aktualisierung der spezifischen Zwecke der Sammel erhebung zu genehmigen
154 Mit der dritten Rüge seines zweiten Klagegrundes macht der Kläger geltend, die Kommission habe gegen die Art. 7 und 8 der Charta der Grundrechte verstoßen, als sie im angefochtenen Beschluss davon ausgegangen sei, dass die Vereinigten Staaten von Amerika ein Schutzniveau böten, das dem im Unionsrecht durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig sei, obwohl die E.O. 14086 dem Präsidenten der Vereinigten Staaten aus Gründen der nationalen Sicherheit die Befugnis einräume, eine geheime Aktualisierung der spezifischen Zwecke der Sammelerhebung zu genehmigen. Insbesondere hindere diese Befugnisübertragung die von einer Übermittlung personenbezogener Daten betroffenen Personen entgegen den Ausführungen im Urteil des EGMR vom 4. Dezember 2015, Roman Zakharov/Russland (CE:ECHR:2015:1204JUD004714306, im Folgenden: Urteil Zakharov), daran, den rechtlichen Rahmen für die Verarbeitung der Daten in den USA genau zu identifizieren.
155 Die Kommission, unterstützt durch Irland und die Vereinigten Staaten von Amerika, tritt der Argumentation des Klägers entgegen.
156 Der EGMR hat im Urteil Zakharov die Auffassung vertreten, dass ein Eingriff in das Grundrecht auf Achtung des Privat- und Familienlebens nur dann im Hinblick auf Art. 8 Abs. 2 EMRK gerechtfertigt sein könne, wenn er gesetzlich vorgesehen sei (Urteil Zakharov, § 227). Der Ausdruck „gesetzlich vorgesehen“ bedeute, dass die streitige Maßnahme für die betroffene Person zugänglich und hinsichtlich ihrer Auswirkungen vorhersehbar sein müsse (Urteil Zakharov, § 228). Im Bereich der Überwachung des Telekommunikationsverkehrs bedeute „Vorhersehbarkeit“ nicht, dass eine Person in der Lage sein müsse, vorherzusehen, wann die Behörden ihre Kommunikation überwachen könnten, sondern dass sich die Einschränkungen ihres Rechts auf Achtung des Privat- und Familienlebens im Wesentlichen aus klaren Regeln ergeben müssten (Urteil Zakharov, § 229).
157 Darüber hinaus sei daran erinnert, dass Art. 8 EMRK nach der oben in Rn. 29 angeführten Rechtsprechung ebenso wie Art. 7 der Charta der Grundrechte das Recht auf Achtung des Privat- und Familienlebens verankert und deshalb die Rechtsprechung des EGMR zu Art. 8 EMRK – und damit auch das Urteil Zakharov – zu berücksichtigen ist, wenn – wie im vorliegenden Fall – Art. 7 der Charta ausgelegt wird.
158 Aus Abschnitt 2(c)(ii) C) der E.O. 14086 geht insoweit hervor, dass die Befugnis des Präsidenten der Vereinigten Staaten, die Liste der spezifischen Zwecke der Sammelerhebung zu aktualisieren, nicht unbegrenzt, sondern auf Fälle beschränkt ist, in denen diese Aktualisierung aufgrund neuer nationaler Sicherheitserfordernisse, wie z. B. neuer oder zunehmender Bedrohungen der nationalen Sicherheit, für die Sammelerhebungen personenbezogener Daten genutzt werden könnten, erforderlich wird. Zudem ergibt sich aus dieser Vorschrift, was von den USA in der mündlichen Verhandlung bestätigt worden ist, dass die Aktualisierung der genannten spezifischen Zwecke durch den Präsidenten nicht geheim ist, sondern vom Direktor des Nationalen Nachrichtendienstes veröffentlicht wird, es sei denn, der Präsident stellt fest, dass diese Veröffentlichung selbst eine Bedrohung für die nationale Sicherheit seines Landes darstellt. Außerdem unterliegt die Sammelerhebung selbst in dem Fall allen in der E.O. 14086 vorgesehenen Garantien und Beschränkungen; reicht eine betroffene Person eine Beschwerde über personenbezogene Daten ein, wird diese vom CLPO überwacht und gegebenenfalls durch das DPRC überprüft.
159 Vor diesem Hintergrund kann nicht davon ausgegangen werden, dass die dem Präsidenten der Vereinigten Staaten eingeräumte Befugnis, die Liste der spezifischen Zwecke der Sammelerhebung zu aktualisieren, den vom EGMR im Urteil Zakharov festgelegten Anforderungen zuwiderläuft.
160 Daher ist die dritte Rüge des zweiten Klagegrundes und damit dieser Klagegrund insgesamt zurückzuweisen.
4. Zum vierten Klagegrund: Verstoß gegen Art. 22 DSGVO
161 Mit seinem vierten Klagegrund trägt der Kläger vor, die Kommission habe gegen Art. 22 DSGVO verstoßen, da sie im angefochtenen Beschluss keine Bestimmung vorgesehen habe, die den betroffenen Personen das Recht einräume, nicht ausschließlich auf der automatisierten Verarbeitung personenbezogener Daten – einschließlich Profiling – beruhenden Entscheidungen unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfalteten oder sie erheblich beeinträchtigten (im Folgenden: vollautomatisierte Entscheidungen).
162 In Art. 22 DSGVO heißt es wie folgt:
„(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
(2) Absatz 1 gilt nicht, wenn die Entscheidung
a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.“
163 Ferner ist anzumerken, dass der in Art. 22 Abs. 1 DSGVO enthaltene Begriff „Profiling“ in Art. 4 Nr. 4 derselben Verordnung definiert ist als „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“.
164 Daraus folgt, dass gemäß Art. 22 DSGVO jede betroffene Person das Recht hat, nicht einer ausschließlich auf einer automatisierten Verarbeitung personenbezogener Daten beruhenden Entscheidung unterworfen zu werden, und zwar auch dann, wenn diese Maßnahme darin besteht, bestimmte Aspekte ihres Verhaltens zu analysieren oder vorherzusagen.
165 Aus dem angefochtenen Beschluss geht hervor, dass er sich nicht speziell mit der Frage der vollautomatisierten Entscheidungen befasst.
166 Daher ist zu entscheiden, ob eine solche Unterlassung geeignet ist, die Rechtmäßigkeit des angefochtenen Beschlusses zu beeinträchtigen, da sie die Schlussfolgerung in Art. 1 dieses Beschlusses, wonach die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau für personenbezogene Daten bieten, in Frage stellen könnte.
167 Vor diesem Hintergrund sind die drei Rügen zu prüfen, die der Kläger zur Stützung seines vierten Klagegrundes erhoben hat, wobei mit der ersten und der dritten Rüge, die zusammen zu prüfen sind, begonnen werden soll.
a) Zur ersten und zur dritten Rüge des vierten Klagegrundes, wonach zum einen die Tatsache, dass vollautomatisierte Entscheidungen in der Regel von Verantwortlichen getroffen w ü rden, die in der Union niedergelassen seien und der DSGVO unterl ä gen, keine Gewähr für andere Fälle biete, und zum anderen der Umstand, dass im US- Recht sektor spezifische Schutz vorkehrungen in Fällen eingeführt worden seien , in denen der Erlass vollautomatis iert er Entscheidungen nicht in den Anwendungsbereich dieser Verordnung f alle , im vorliegenden Fall irrelevant sei
168 Mit der ersten und der dritten Rüge seines vierten Klagegrundes trägt der Kläger zum einen vor, die Tatsache, dass vollautomatisierte Entscheidungen in der Regel von Verantwortlichen getroffen würden, die in der Union niedergelassen seien und der DSGVO unterlägen, keine Gewähr für andere Fälle biete. Zum anderen sei der Umstand, wonach das US-Recht sektorspezifische Schutzvorkehrungen für den Fall vorsehe, dass der Erlass solcher Entscheidungen nicht in den Anwendungsbereich dieser Verordnung falle, im vorliegenden Fall irrelevant, da er nicht den Schluss zulasse, dass der Schutz, den die USA für alle vollautomatisierten Entscheidungen gewährleisteten, generell dem durch Art. 22 DSGVO garantierten Schutz gleichwertig sei.
169 Die Kommission, unterstützt durch Irland und die Vereinigten Staaten von Amerika, tritt der Argumentation des Klägers entgegen.
170 Aus dem 33. Erwägungsgrund des angefochtenen Beschlusses geht hervor, dass bei der Übermittlung personenbezogener Daten aus der Union in die Vereinigten Staaten in Bezug auf den Erlass vollautomatisierter Entscheidungen drei Fälle zu unterscheiden sind.
171 Erstens kann es sein, dass vollautomatisierte Entscheidungen von einem in der Union ansässigen Verantwortlichen getroffen werden, der in der Union personenbezogene Daten der betroffenen Personen erhoben hat. Insoweit ist anzumerken, dass Art. 4 Nr. 7 DSGVO den Verantwortlichen als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle definiert, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. In einem solchen Fall unterliegt der Verantwortliche gemäß Art. 3 Abs. 1 DSGVO dieser Verordnung und muss deshalb die in deren Art. 22 vorgesehenen Anforderungen an derartige Entscheidungen erfüllen.
172 Zweitens kann es vorkommen, dass vollautomatisierte Entscheidungen entweder von einem Auftragsverarbeiter mit Sitz in einem Drittland im Namen des in der Union ansässigen Verantwortlichen, der ihm die von ihm in der Union erhobenen personenbezogenen Daten übermittelt hat, oder von einem Unterauftragsverarbeiter im Namen des in der Union niedergelassenen Auftragsverarbeiters, der ihm die von ihm in der Union erhobenen Daten übermittelt hat, getroffen werden. Insoweit ist klarzustellen, dass Art. 4 Nr. 8 DSGVO den Auftragsverarbeiter als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle definiert, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. In solchen Fällen unterliegen ausländische Auftragsverarbeiter, soweit sie im Namen des Verantwortlichen oder des Auftragsverarbeiters in der Union handeln, gemäß Art. 3 Abs. 1 DSGVO dieser Verordnung. Bei derartigen Entscheidungen müssen der Verantwortliche und der Auftragsverarbeiter daher die in Art. 22 DSGVO vorgesehenen Anforderungen erfüllen.
173 Drittens kann es sein, dass vollautomatisierte Entscheidungen von einem nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter getroffen werden, der sich aber an betroffene Personen in der Union wendet, indem er ihnen Waren oder Dienstleistungen anbietet oder ihr Verhalten beobachtet. In einem solchen Fall unterliegen der Verantwortliche und der ausländische Auftragsverarbeiter gemäß Art. 3 Abs. 2 DSGVO dieser Verordnung. Bei vollautomatisierten Entscheidungen müssen sie daher die in Art. 22 DSGVO vorgesehenen Anforderungen erfüllen.
174 Folglich geht aus dem angefochtenen Beschluss hervor, dass Sachverhalte, in denen vollautomatisierte Entscheidungen nicht in den Anwendungsbereich von Art. 22 DSGVO fallen, selten sind und sich auf Fälle beschränken, in denen die Organisationen des Datenschutzrahmens die personenbezogenen Daten unmittelbar in der Union erheben, ohne den Unionsbürgern jedoch im Sinne von Art. 3 Abs. 2 dieser Verordnung Waren oder Dienstleistungen anzubieten und ohne ihr Verhalten zu beobachten.
175 Allerdings ergibt sich aus den Erwägungsgründen 35 und 36 des angefochtenen Beschlusses, ohne dass der Kläger dies bestreitet, dass das US-Recht in solchen Fällen sektorspezifische Schutzvorkehrungen bietet, die denjenigen ähneln, die in der DSGVO in Bereichen wie z. B. Kreditvergabe, Hypothekenangebote, Stellenbesetzung, Wohnungswesen und Versicherungen vorgesehen sind, in denen eine höhere Wahrscheinlichkeit besteht, dass die Organisationen des Datenschutzrahmens vollautomatisierte Entscheidungen treffen.
176 Im Bereich des Verbraucherkredits enthalten etwa der Fair Credit Reporting Act (Gesetz zur Regelung des Datenschutzes bei Konsumentenkrediten) und der Equal Credit Opportunity Act (Gesetz über die Chancengleichheit bei der Kreditvergabe) Schutzbestimmungen, die dem Verbraucher eine Art Erklärungs- und Widerspruchsrecht einräumen. Diese Gesetze sind für eine Vielzahl von Bereichen von Bedeutung, darunter Kredite, Stellenbesetzung, Wohnungswesen und Versicherungen. Darüber hinaus bieten Titel VII des Civil Rights Act (Gesetz zum Schutz der Bürgerrechte) und der Fair Housing Act (Gesetz über fairen Wohnraum) Privatpersonen Schutz vor Modellen, die bei vollautomatisierten Entscheidungen verwendet werden und zu Diskriminierung aufgrund bestimmter Merkmale führen können, und geben ihnen das Recht, solche Entscheidungen anzufechten. Zudem verlangen die von den US-Behörden in Anwendung des Health Insurance Portability and Accountability Act (Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen) erlassenen Vorschriften in Bezug auf Gesundheitsinformationen, dass medizinische Dienstleister Informationen erhalten, die sie in die Lage versetzen, Privatpersonen über Systeme zur vollautomatisierten Entscheidungsfindung zu informieren, die im medizinischen Bereich eingesetzt werden.
177 Vor diesem Hintergrund kann entgegen dem Vorbringen des Klägers nicht davon ausgegangen werden, dass die im US-Recht vorgesehenen sektorspezifischen Schutzvorkehrungen im vorliegenden Fall irrelevant sind, da sie nicht den gleichen allgemeinen Geltungsbereich wie Art. 22 DSGVO haben.
178 Insoweit sei daran erinnert, dass, wie der Gerichtshof in den Urteilen Schrems I und Schrems II entschieden hat, der Ausdruck „angemessenes Schutzniveau“ in Art. 45 Abs. 1 DSGVO, auch wenn er nicht bedeutet, dass das betreffende Drittland ein Schutzniveau gewährleisten müsste, das mit dem in der Unionsrechtsordnung garantierten Niveau identisch ist, so zu verstehen ist, dass verlangt wird, dass das Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleistet, das dem in der Union durch die DSGVO im Licht der Charta der Grundrechte garantierten Niveau der Sache nach gleichwertig ist (siehe oben, Rn. 19 und 20).
179 Zudem hat der Gerichtshof im Urteil Schrems I die Auffassung vertreten, dass, auch wenn sich die Mittel, auf die das Drittland zurückgreift, um ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten, von denen unterscheiden können, die in der Union herangezogen werden, sich diese Mittel gleichwohl in der Praxis als wirksam erweisen müssen, um einen Schutz zu gewährleisten, der dem in der Union garantierten der Sache nach gleichwertig ist (siehe oben, Rn. 20).
180 Nach alledem sind die erste und die dritte Rüge des vierten Klagegrundes zurückzuweisen.
b) Zur zweiten Rüge des vierten Klagegrundes, wonach die von der Kommission im Jahr 2018 in Auftrag gegebene Studie, die die geringe Zahl von Fälle n belege, in denen dem Schutzschild beigetreten e Organisationen mit Sitz in den Vereinigten Staaten vollautomatisierte Entscheidungen tr ä fen, im vorliegenden Fall irrelevant sei
181 Mit der zweiten Rüge seines vierten Klagegrundes trägt der Kläger vor, die Tatsache, dass die im 34. Erwägungsgrund des angefochtenen Beschlusses angeführte Studie über vollautomatisierte Entscheidungen, die die Kommission im Jahr 2018 in Auftrag gegeben habe und deren Ergebnisse in Nr. 4.1.5 des Berichts COM(2018) 860 final der Kommission an das Europäische Parlament und den Rat vom 19. Dezember 2018 zur zweiten jährlichen Überprüfung der Funktionsweise des Schutzschilds (im Folgenden: Studie von 2018) enthalten seien, zu dem Ergebnis gekommen sei, dass es keinen Nachweis für vollautomatisierte Entscheidungen dem Schutzschild beigetretener Organisationen mit Sitz in den Vereinigten Staaten gebe, sei im vorliegenden Fall irrelevant. Insbesondere macht er geltend, dass sich diese Studie auf den Angemessenheitsbeschluss zum Schutzschild beziehe, der vom Gerichtshof im Urteil Schrems II für nichtig erklärt worden sei, und die aktuelle Situation, die durch eine extrem schnelle Entwicklung vollautomatisierter Dienste auf Basis künstlicher Intelligenz gekennzeichnet sei, nicht berücksichtige.
182 Die Kommission, unterstützt durch Irland und die Vereinigten Staaten von Amerika, tritt der Argumentation des Klägers entgegen.
183 Aus der Studie von 2018 geht u. a. hervor, dass zum damaligen Zeitpunkt keine Daten vorlagen, die darauf hindeuteten, dass dem Schutzschild beigetretene Unternehmen mit Sitz in den Vereinigten Staaten vollautomatisierte Entscheidungen getroffen hatten, einerseits, und die USA sektorspezifische Rechtsvorschriften in Bereichen wie z. B. Verbraucherkredite, Stellenbesetzung, Wohnungswesen, Versicherungen und Gesundheit eingeführt hatten, in denen eine höhere Wahrscheinlichkeit bestand, dass vollautomatisierte Entscheidungen getroffen werden, andererseits.
184 Insoweit ist als Erstes anzumerken, dass die Studie von 2018 im Angemessenheitsbeschluss zum Schutzschild nicht angeführt wird und von der Kommission nach Inkrafttreten dieses Beschlusses in Auftrag gegeben worden ist. Auf die Tatsache, dass der Beschluss vom Gerichtshof im Urteil Schrems II für nichtig erklärt worden ist, kommt es im vorliegenden Fall somit nicht an. Außerdem hat der Gerichtshof den angefochtenen Beschluss im Urteil Schrems II nicht aufgrund der in der Studie angeführten Gesichtspunkte für nichtig erklärt.
185 Als Zweites hat die Studie von 2018 natürlich nicht die tatsächliche und rechtliche Situation in den Vereinigten Staaten im Jahr 2023 – dem Zeitpunkt des Erlasses des angefochtenen Beschlusses –, sondern die Situation im Jahr 2018 – dem Zeitpunkt ihrer Durchführung – berücksichtigt. Die geringe Zahl von Fällen, in denen dem Schutzschild beigetretene Organisationen mit Sitz in den Vereinigten Staaten vollautomatisierte Entscheidungen getroffen hatten, ist jedoch durch den Bericht COM(2019) 495 final der Kommission an das Europäische Parlament und den Rat vom 23. Oktober 2019 zur dritten jährlichen Überprüfung der Funktionsweise des Schutzschilds bestätigt worden. In diesem Bericht wurde nämlich u. a. darauf hingewiesen, dass nur eine begrenzte Zahl der am Schutzschild teilnehmenden Organisationen mit Sitz in den Vereinigten Staaten vollautomatisierte Entscheidungen getroffen hätten und diese Entscheidungen in der Regel keine rechtlichen oder sonstigen Wirkungen gegenüber den betroffenen Personen erzeugten.
186 Als Drittes ist anzumerken, dass der Kläger in seinen Schriftsätzen weder Beweise dafür vorgelegt hat, dass nach Durchführung der Studie von 2018 Organisationen mit Sitz in den Vereinigten Staaten vollautomatisierte Entscheidungen getroffen haben, noch rechtlich hinreichend begründet hat, weshalb die Studie aufgrund der Entwicklung der künstlichen Intelligenz ihre Relevanz verloren haben soll.
187 Vor diesem Hintergrund ist die zweite Rüge des vierten Klagegrundes und damit der Klagegrund insgesamt zurückzuweisen.
5. Zum fünften Klagegrund: Verstoß gegen Art. 32 in Verbindung mit Art. 45 Abs. 2 DSGVO
188 Mit seinem fünften Klagegrund trägt der Kläger vor, die Kommission habe gegen Art. 32 in Verbindung mit Art. 45 Abs. 2 DSGVO verstoßen, da sie im angefochtenen Beschluss davon ausgegangen sei, dass die Vereinigten Staaten von Amerika ein Schutzniveau böten, das dem in der Union garantierten Niveau in Bezug auf die Bereitstellung angemessener technischer und organisatorischer Mittel zur Gewährleistung der Sicherheit der Verarbeitung aus der Union in dieses Land übermittelter personenbezogener Daten durch Verantwortliche und Auftragsverarbeiter mit Sitz in den Vereinigten Staaten der Sache nach gleichwertig sei.
189 Hierzu macht der Kläger als Erstes geltend, Anhang I Abschnitt II.4 Buchst. a des angefochtenen Beschlusses beschränke sich auf den Hinweis, dass die Organisationen des Datenschutzrahmens angemessene und geeignete Sicherheitsvorkehrungen nur dann treffen müssten, wenn sie personenbezogene Daten erstellten, speicherten, verwendeten oder verbreiteten. Daher seien keine Sicherheitsvorkehrungen erforderlich, wenn diese Organisationen personenbezogene Daten aus der Union abfragten. Das Abfragen sei aber Teil der Vorgänge, die unter den Begriff „Verarbeitung“ personenbezogener Daten in Art. 4 Nr. 2 DSGVO subsumiert würden.
190 Als Zweites verpflichte Anhang I Abschnitt III.6 Buchst. f des angefochtenen Beschlusses Organisationen mit Sitz in den Vereinigten, die aus dem Datenschutzrahmen austräten, dazu, die in diesem Beschluss enthaltenen Grundsätze, einschließlich derjenigen betreffend die Sicherheit der Verarbeitung, so lange einzuhalten, wie sie aus der Union in die Vereinigten Staaten übermittelte personenbezogene Daten speicherten, verwendeten oder weitergäben, nicht aber dann, wenn sie personenbezogene Daten abfragten.
191 Die Kommission, unterstützt durch Irland und die Vereinigten Staaten von Amerika, tritt der Argumentation des Klägers entgegen.
192 In Art. 32 DSGVO heißt es wie folgt:
„(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“
193 Sodann wird der Begriff „Verarbeitung“ in Art. 32 DSGVO in deren Art. 4 Nr. 2 definiert als „jede[r] mit oder ohne Hilfe automatisierter Verfahren ausgeführte[] Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.
194 Nach der Rechtsprechung ergibt sich insbesondere aus dem Ausdruck „jeder Vorgang“ in Art. 4 Nr. 2 DSGVO, dass der Unionsgesetzgeber den Begriff „Verarbeitung“ weit fassen wollte, was dadurch bestätigt wird, dass die Aufzählung der Vorgänge in der genannten Bestimmung nicht abschließend ist, was durch die Wendung „wie“ zum Ausdruck kommt (vgl. Urteil vom 7. März 2024, Endemol Shine Finland, C‑740/22, EU:C:2024:216, Rn. 29 und die dort angeführte Rechtsprechung).
195 Schließlich ist zu bemerken, dass zu den Gesichtspunkten, die von der Kommission bei der Prüfung des von einem Drittland gebotenen Schutzniveaus gemäß Art. 45 Abs. 2 Buchst. a DSGVO zu berücksichtigen sind, auch die von diesem Land angewandten Sicherheitsvorschriften für personenbezogene Daten gehören.
196 Vor diesem Hintergrund sind die beiden Argumente, die der Kläger zur Stützung des vorliegenden Klagegrundes vorgebracht hat, zusammen zu prüfen.
197 Insoweit ist darauf hinzuweisen, dass Anhang I Abschnitt II.4 Buchst. a des angefochtenen Beschlusses folgenden Wortlaut hat:
„Organisationen, die personenbezogene Daten erstellen, verwalten, verwenden oder verbreiten, müssen angemessene und geeignete Maßnahmen ergreifen, um sie vor Verlust, Missbrauch und unbefugtem Zugriff, Weitergabe, Änderung und Zerstörung zu schützen; dabei sind insbesondere die Risiken bei der Verarbeitung und die Art der personenbezogenen Daten zu berücksichtigen.“
198 Zudem heißt es in Anhang I Abschnitt III.6 Buchst. f des angefochtenen Beschlusses:
„Eine Organisation muss alle personenbezogenen Daten, die sie aus der EU auf der Grundlage des [Datenschutzrahmens] erhält, den Grundsätzen unterwerfen. Die Verpflichtung auf die Grundsätze gilt ohne zeitliche Begrenzung für personenbezogene Daten, die der Organisation übermittelt wurden, während sie in den Genuss der Vorteile des [Datenschutzrahmens] gelangte. Diese Daten unterliegen den Grundsätzen so lange, wie die Organisation sie speichert, verarbeitet oder weitergibt, und das auch dann noch, wenn sie aus welchem Grund auch immer aus dem [Datenschutzrahmen] ausscheidet.“
199 Folglich betreffen die Abschnitte II.4 Buchst. a und III.6 Buchst. f von Anhang I des angefochtenen Beschlusses nicht jede Form der Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO. Zum einen beschränkt der erstgenannte Abschnitt die Verpflichtung der Organisationen des Datenschutzrahmens, Sicherheitsvorschriften zu erlassen, vielmehr auf Fälle, in denen sie personenbezogene Daten erstellen, verwalten, verwenden oder verbreiten. Zum anderen sieht der letztgenannte Abschnitt vor, dass Organisationen, die den Datenschutzrahmen verlassen, die im angefochtenen Beschluss enthaltenen Grundsätze so lange weiter anwenden müssen, wie sie aus der Union in die Vereinigten Staaten übermittelte personenbezogene Daten speichern, verwenden oder weitergeben.
200 Erstens ist aber daran zu erinnern, dass das Drittland, wie der Gerichtshof in den Urteilen Schrems I und Schrems II festgestellt hat, keinen Rechtsschutz gewährleisten muss, der mit dem in der Unionsrechtsordnung garantierten Schutz identisch ist (siehe oben, Rn. 19 und 20). Folglich muss der angefochtene Beschluss, auch wenn die Kommission darin die Ansicht vertritt, dass das zum Zeitpunkt seines Erlasses geltende US-Recht ein Schutzniveau garantiere, das dem im Unionsrecht vorgesehenen Niveau der Sache nach gleichwertig sei, nicht genau den gleichen Wortlaut enthalten wie die DSGVO.
201 Zweitens sind die Grundsätze in Anhang I Abschnitt II.4 Buchst. a des angefochtenen Beschlusses im Licht der Ausführungen im 23. Erwägungsgrund dieses Beschlusses auszulegen, der ähnlich wie Art. 32 DSGVO Folgendes vorsieht:
„Personenbezogene Daten müssen zudem in einer Weise verarbeitet werden, die ihre Sicherheit gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Zu diesem Zweck müssen Verantwortliche und Auftragsverarbeiter geeignete technische oder organisatorische Maßnahmen treffen, um personenbezogene Daten vor möglichen Bedrohungen zu schützen. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik, der mit ihnen verbundenen Kosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken für die Rechte des Einzelnen bewertet werden.“
202 Drittens ist festzuhalten, dass die Begriffe „erstellen“, „verwalten“, „verwenden“ und „verbreiten“ in Anhang I Abschnitt II.4 Buchst. a des angefochtenen Beschlusses sowie die Begriffe „speichern“, „verwenden“ und „weitergeben“ in Anhang I Abschnitt III.6 Buchst. f dieses Beschlusses spezifische Ausprägungen des Vorgangs der „Verarbeitung“ personenbezogener Daten im Sinne von Art. 32 DSGVO darstellen und ebenso wie dieser ein breites Spektrum von Vorgängen im Zusammenhang mit personenbezogenen Daten erfassen sollen.
203 Viertens ist der Begriff „verwenden“, der sich sowohl in Anhang I Abschnitt II.4 Buchst. a des angefochtenen Beschlusses als auch in Abschnitt III.6 Buchst. f dieses Anhangs findet, als Nutzung einer Sache für einen bestimmten Zweck oder Gebrauch definiert. In diesem Sinne schließt die Verwendung personenbezogener Daten deren Abfrage mit ein, da Daten, um auf sie zurückgreifen zu können, per Definition zuvor eingesehen und somit abgefragt werden müssen. Folglich ist das Argument des Klägers, wonach im angefochtenen Beschluss keine Sicherheitsvorkehrungen verlangt würden, wenn Organisationen des Datenschutzrahmens personenbezogene Daten aus der Union abfragten, unbegründet.
204 Nach alledem ist der fünfte Klagegrund zurück- und damit die Klage in vollem Umfang abzuweisen.
IV. Kosten
205 Nach Art. 134 Abs. 1 der Verfahrensordnung ist die unterliegende Partei auf Antrag zur Tragung der Kosten zu verurteilen.
206 Da die Kommission einen entsprechenden Antrag gestellt hat und der Kläger unterlegen ist, sind diesem neben seinen eigenen Kosten die Kosten der Kommission einschließlich der Kosten des Verfahrens des vorläufigen Rechtsschutzes aufzuerlegen.
207 Ferner tragen nach Art. 138 Abs. 1 der Verfahrensordnung die Mitgliedstaaten und die Organe, die dem Rechtsstreit als Streithelfer beitreten, ihre eigenen Kosten. Daher trägt Irland seine eigenen Kosten.
208 Außerdem kann das Gericht gemäß Art. 138 Abs. 3 der Verfahrensordnung entscheiden, dass ein anderer Streithelfer als die in den Abs. 1 und 2 dieses Artikels genannten seine eigenen Kosten trägt. Im vorliegenden Fall ist zu entscheiden, dass die Vereinigten Staaten von Amerika ihre eigenen Kosten tragen.
Aus diesen Gründen hat
DAS GERICHT (Zehnte erweiterte Kammer)
für Recht erkannt und entschieden:
1. Die Klage wird abgewiesen.
2. Herr Philippe Latombe trägt seine eigenen Kosten sowie die Kosten der Europäischen Kommission einschließlich der Kosten des Verfahrens des vorläufigen Rechtsschutzes.
3. Irland trägt seine eigenen Kosten.
4. Die Vereinigten Staaten von Amerika tragen ihre eigenen Kosten.
Verkündet in öffentlicher Sitzung in Luxemburg am 3. September 2025.
Unterschriften