ENTSCHLIESSUNGSANTRAG zur Angemessenheit des vom EU‑US‑Datenschutzschild gebotenen Schutzes
3.4.2017 - (2016/3018(RSP))
gemäß Artikel 123 Absatz 2 der Geschäftsordnung
Axel Voss, Anna Maria Corazza Bildt, Barbara Kudrycka im Namen der PPE-Fraktion
Helga Stevens im Namen der ECR-Fraktion
B8-0244/2017
Entschließung des Europäischen Parlaments zur Angemessenheit des vom EU‑US‑Datenschutzschild gebotenen Schutzes
Das Europäische Parlament,
– gestützt auf den Vertrag über die Europäische Union (EUV), den Vertrag über die Arbeitsweise der Europäischen Union (AEUV) und die Charta der Grundrechte der Europäischen Union,
– unter Hinweis auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie)[1],
– unter Hinweis auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)[2] und auf die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates[3],
– unter Hinweis auf das Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015 in der Rechtssache C‑362/14, Maximillian Schrems gegen Data Protection Commissioner[4],
– unter Hinweis auf die Mitteilung der Kommission an das Europäische Parlament und den Rat vom 6. November 2015 zu der Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten von Amerika auf der Grundlage der Richtlinie 95/46/EG nach dem Urteil des Gerichtshofs in der Rechtssache C‑362/14 (Schrems) (COM(2015)0566),
– unter Hinweis auf den Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU‑US‑Datenschutzschild gebotenen Schutzes[5],
– unter Hinweis auf die Stellungnahme 4/2016 des Europäischen Datenschutzbeauftragten (EDSB) zu dem Thema „EU‑US‑Datenschutzschild – Entwurf einer Angemessenheitsentscheidung“[6],
– unter Hinweis auf die Stellungnahme der Artikel-29-Datenschutzgruppe vom 13. April 2016 zur Angemessenheitsentscheidung im Zusammenhang mit dem EU-US-Datenschutzschild[7] und auf ihre Erklärung vom 26. Juli 2016[8],
– unter Hinweis auf seine Entschließung vom 26. Mai 2016 zur transatlantischen Datenübermittlung[9],
– gestützt auf Artikel 123 Absatz 2 seiner Geschäftsordnung,
A. in der Erwägung, dass der Gerichtshof der Europäischen Union (EuGH) 2015 die Safe-Harbour-Entscheidung über den Austausch personenbezogener Daten zwischen der EU und den Vereinigten Staaten für ungültig erklärte, da die Datenschutzrechte der EU‑Bürger durch sie nicht ausreichend geschützt werden; in der Erwägung, dass die Kommission daraufhin 2016 eine neue Vereinbarung aushandelte, und zwar den EU-US-Datenschutzschild;
B. in der Erwägung, dass das Parlament in die Verhandlungen nicht direkt einbezogen war, dass es jedoch im Mai 2016 eine Entschließung zur transatlantischen Datenübermittlung annahm, in der es begrüßte, dass im Datenschutzschild im Vergleich zur Safe-Harbour-Entscheidung „wesentliche Verbesserungen“ erzielt wurden, jedoch auch weitere Verbesserungen forderte;
C. in der Erwägung, dass die Kommission in Kürze ihre erste jährliche Bewertung des Datenschutzschildes durchführen und die Ergebnisse veröffentlichen wird;
1. begrüßt, dass die Verhandlungen zwischen der EU und den Vereinigten Staaten über den EU-US-Datenschutzschild nach über zwei Jahren Verhandlungen zwischen der Kommission und dem US‑Handelsministerium abgeschlossen sind und der Beschluss über den EU-US-Datenschutzschild am 12. Juli 2016 angenommen wurde;
2. stellt fest, dass Unternehmen dem EU-US-Datenschutzschild beim US‑Handelsministerium beitreten können, das dann überprüft, ob ihre Datenschutzbestimmungen den vom Datenschutzschild geforderten hohen Datenschutzstandards entsprechen;
3. nimmt zur Kenntnis, dass bislang 1 937 Unternehmen dem EU-US-Datenschutzschild beigetreten sind;
4. begrüßt, dass der US-Kongress den Judicial Redress Act verabschiedet hat, und weist darauf hin, dass das Parlament lange ein derartiges Gesetz als Voraussetzung für den Abschluss des Rahmenabkommens zwischen der EU und den Vereinigten Staaten und den Abschluss der Verhandlungen über den Datenschutzschild gefordert hatte;
5. weist darauf hin, dass sich der EU-US-Datenschutzschild erheblich vom Safe-Harbour-Rahmen unterscheidet und eine weitaus ausführlichere Dokumentation umfasst, nach der Unternehmen, die dem Rahmen beitreten möchten, konkretere Auflagen erfüllen müssen und in der auch neue Kontrollen und Gegenkontrollen vorgesehen sind, mit denen sichergestellt wird, dass EU-Bürger ihre Rechte geltend machen können, wenn ihre Daten in den Vereinigten Staaten verarbeitet werden;
6. begrüßt, dass die Artikel-29-Datenschutzgruppe anerkannt hat, dass durch den Datenschutzschild im Vergleich zur Safe-Harbour-Entscheidung erhebliche Verbesserungen erzielt worden sind;
7. nimmt die Bedenken der Artikel-29-Datenschutzgruppe sowie ihren konstruktiven Ansatz zur Kenntnis und weist außerdem mit Nachdruck darauf hin, dass der in der Stellungnahme genannte Grundsatz der begrenzten Speicherungsdauer zunächst in der Europäischen Union konkret definiert werden muss, da die Lage und die Standards in der EU infolge des Urteils des EuGH von 2014 noch unklar sind;
8. nimmt die Erklärung des Vorsitzes der Artikel-29-Datenschutzgruppe zur Kenntnis, nach der die von der Gruppe als wesentlich ermittelten Garantien auch für die EU-Mitgliedstaaten gelten sollten;
9. bedauert, dass im Rahmen des Verfahrens zur Annahme einer Angemessenheitsentscheidung keine förmliche Konsultation von einschlägigen Interessenträgern wie zum Beispiel Organisationen, die Unternehmen und insbesondere KMU vertreten, vorgesehen ist;
10. weist darauf hin, dass der Safe-Harbour-Rahmen keine konkreten Beschränkungen für den Zugang der US-Regierung auf in die Vereinigten Staaten übermittelte Daten vorsah, während die Unterlagen im Rahmen des EU-US-Datenschutzschildes jetzt verbindliche Zusagen der US-Regierung in Form von Schreiben des Direktors der nationalen Nachrichtendienste (Director of National Intelligence), des US-Außenministers und des US-Justizministeriums umfassen;
11. betont, dass der US-Kongress und die US-Regierung seit 2013 über zwei Dutzend Reformen der Überwachungsgesetze und ‑programme durchgeführt haben, darunter der USA Freedom Act, wonach die Sammelerhebung von Daten untersagt ist, die Presidential Policy Directive 28 (Grundsatzrichtlinie des US-Präsidenten), wonach der Schutz der Privatsphäre und der bürgerlichen Freiheiten von Einzelpersonen außerhalb der Vereinigten Staaten integraler Bestandteil der Überwachungspolitik der Vereinigten Staaten ist, die Änderungen am Foreign Intelligence Act und der Judicial Redress Act, mit dem Datenschutzmaßnahmen auf EU-Bürger ausgeweitet werden; hält diese Reformen für wesentlich bei der Beurteilung der Frage, ob gegen die Grundrechte der Privatsphäre und des Datenschutzes verstoßen wird, die in Artikel 7 und 8 der EU-Charta der Grundrechte verankert sind;
12. erkennt die Initiativen der US-Regierung und des US-Kongresses an und begrüßt diese, wie zum Beispiel den Entwurf eines Gesetzes über die Privatsphäre bei E-Mails, der im April 2016 zur Änderung des Electronic Communications Privacy Act (ECPA) von 1986 einstimmig vom Repräsentantenhaus angenommen wurde, sowie das Gesetz zur Verbesserung der Informationsfreiheit (Freedom of Information Improvement Act (FOIA)), das im Januar 2016 vom Repräsentantenhaus und im März 2016 vom Senat angenommen wurde, und begrüßt, dass das Gesetz durch Unterzeichnung Rechtsgültigkeit erhielt, da die Vereinigten Staaten dadurch den Nachweis erbringen, dass sie erhebliche politische Anstrengungen unternehmen, um den Schutz der Privatsphäre für alle Einzelpersonen zu verbessern;
13. begrüßt, dass im Außenministerium ein Ombudsmechanismus geschaffen wurde, der von den nationalen Sicherheitsdiensten unabhängig ist und als Anlaufstelle für individuelle Rechtsbehelfe dienen und darüber hinaus als unabhängige Kontrollinstanz fungieren wird; fordert, dass die erste Ombudsperson zügig ernannt wird;
14. weist darauf hin, dass im US-Recht in Bereichen, in denen Unternehmen mit großer Wahrscheinlichkeit auf eine automatische Verarbeitung zurückgreifen (beispielsweise Beschäftigung und Kreditvergabe), zwar gesonderte Schutzmechanismen gegen nachteilige Entscheidungen vorgesehen sind, der EU-US-Datenschutzschild jedoch keine gesonderten Regelungen über automatisierte Entscheidungen umfasst, und fordert die Kommission daher auf, die Sachlage unter anderem im Rahmen der jährlichen gemeinsamen Überprüfungen zu überwachen;
15. stellt mit Zufriedenheit fest, dass betroffenen EU-Bürgern mit dem EU-US-Datenschutzschild mehrere Möglichkeiten offenstehen, in den Vereinigten Staaten Rechtsbehelfe einzulegen: erstens können Beschwerden entweder direkt beim Unternehmen oder im Anschluss an eine Befassung einer Datenschutzbehörde über das Handelsministerium oder bei einer unabhängigen Stelle für die Streitbeilegung eingereicht werden, zweitens können, sofern es zu einem Eingriff in die Grundrechte aus Gründen der nationalen Sicherheit kommt, Zivilklage vor einem US-Gericht sowie vergleichbare Beschwerden bei der neuen unabhängigen Ombudsperson eingereicht werden, und schließlich gibt es bei einem Eingriff in die Grundrechte aus Gründen der Strafverfolgung und des öffentlichen Interesses noch die Möglichkeit, die Anfechtung von Anordnungen zu beantragen; fordert, dass die Kommission und die Datenschutzbehörden weitere Leitlinien herausgeben, damit diese Rechtsmittel leichter in Anspruch genommen werden können;
16. stellt fest, dass Einzelpersonen zwar die Möglichkeit haben, beim EU-Verantwortlichen Widerspruch gegen jede Übermittlung ihrer personenbezogenen Daten in die Vereinigten Staaten und gegen die Weiterverarbeitung dieser Daten in den Vereinigten Staaten einzulegen, sofern das dem EU-US-Datenschutzschild angeschlossene Unternehmen als Auftragsverarbeiter im Namen des EU-Verantwortlichen tätig ist, es jedoch im EU-US-Datenschutzschild keine gesonderten Regelungen über ein allgemeines Recht auf Widerspruch gegenüber selbstzertifizierten US-Unternehmen gibt;
17. stellt fest, dass es keine ausdrücklichen Regelungen dazu gibt, inwieweit die Grundsätze des EU-US-Datenschutzschilds für Auftragsverarbeiter (Beauftragte) gelten, weist jedoch darauf hin, dass, sofern nichts anderes festgelegt ist, sämtliche Grundsätze für die Verarbeitung von personenbezogenen Daten durch jedes selbstzertifizierte US-Unternehmen gelten und dass die Übermittlung zum Zwecke der Verarbeitung stets auf der Grundlage eines Vertrags mit dem EU-Verantwortlichen erfolgen muss, in dem festgelegt ist, welches die Zwecke und Mittel der Verarbeitung sind und ob der Auftragsverarbeiter die Daten (beispielsweise zum Zweck der Unterauftragsverarbeitung) weitergeben darf;
18. weist darauf hin, dass die Kommission einen Leitfaden für Bürger veröffentlicht hat, in dem erläutert wird, wie die Datenschutzrechte von Einzelpersonen im Rahmen des EU-US-Datenschutzschildes sichergestellt werden und welche Rechtsbehelfe Einzelpersonen zur Verfügung stehen, wenn sie der Ansicht sind, dass ihre Daten missbräuchlich genutzt und ihre Datenschutzrechte nicht geachtet wurden; empfiehlt, dass für diesen Leitfaden geworben wird, damit die Bürger für die Vorteile des Datenschutzschildes sensibilisiert werden;
19. begrüßt, dass den Datenschutzbehörden der Mitgliedstaaten im Datenschutzschild-Rahmen eine bedeutende Rolle eingeräumt wird, und zwar nicht nur bei der Prüfung und Untersuchung von Beschwerden im Zusammenhang mit dem Schutz der Rechte auf Privatsphäre und Familienleben gemäß der EU‑Charta der Grundrechte, sondern auch bei der Aussetzung der Übermittlung von Daten, wobei die Pflicht des US‑Handelsministeriums, solche Beschwerden zu klären, natürlich gleichfalls zu begrüßen ist;
20. weist darauf hin, dass eines der grundlegenden Ziele der EU in dieser Angelegenheit der Schutz personenbezogener Daten sein sollte, wenn sie an ihren wichtigsten Partner im internationalen Handel übermittelt werden, und dass der Datenschutzschild dazu beitragen wird, dass die Grundrechte der EU-Bürger auch nach der Übermittlung ihrer Daten gewahrt bleiben;
21. begrüßt, dass sich Unternehmen nun nicht mehr in einer rechtlichen Grauzone bewegen, da der EU-US-Datenschutzschild eine Rechtsgrundlage für die Übermittlung von Daten bietet;
22. weist ferner darauf hin, dass Rechtssicherheit und insbesondere eindeutige und einheitliche Vorschriften eine grundlegende Voraussetzung dafür sind, dass sich Unternehmen und insbesondere KMU weiterentwickeln und wachsen können, und warnt daher vor jedem Versuch, den angenommenen EU-US-Datenschutzschild zu gefährden, zumal dies für Tausende von Unternehmen unterschiedlichster Branchen und Größen sowohl in der Europäischen Union als auch in den Vereinigten Staaten Unsicherheit bedeuten würde und sich auch erheblich auf ihre Tätigkeit sowie auf ihre Möglichkeiten, auf der anderen Seite des Atlantiks Geschäfte zu machen, auswirken würde;
23. betont, dass 60 % der Unternehmen, die das Safe-Harbour-Abkommen in Anspruch nahmen, KMU waren und dass diese den größten Nutzen aus dem neuen EU‑US‑Datenschutzschild ziehen können, und fordert die Kommission auf, in enger Zusammenarbeit mit den Datenschutzbehörden dafür zu sorgen, dass diesen Unternehmen mehr Klarheit, Genauigkeit und Zugänglichkeit geboten wird, was die Umsetzung und Funktionsweise des Datenschutzschildes angeht;
24. hält den Datenschutzschild für außerordentlich wichtig, damit die Kluft zwischen dem europäischen und dem amerikanischen Verständnis des Begriffs Privatsphäre geschlossen werden kann, und hält ihn deshalb für unbedingt erforderlich, wenn das transatlantische Vertrauen wiederhergestellt werden soll; ist zuversichtlich, dass der EU‑US‑Datenschutzschild, sobald er als Rahmenwerk für die Einhaltung der Vorschriften etabliert ist, engmaschig von den Regulierungsbehörden und der Kommission im Rahmen des jährlichen gemeinsamen Überprüfungsmechanismus kontrolliert wird, sodass die Stabilität und die Rechtsgültigkeit dieses Instruments gewährleistet sind;
25. fordert die Kommission auf, ihrer Verantwortung im Rahmen des EU-US-Datenschutzschildes, wonach sie ihre Ergebnisse in Bezug auf die Angemessenheit sowie die diesbezüglichen rechtlichen Begründungen regelmäßig überprüfen muss, uneingeschränkt nachzukommen, damit sichergestellt ist, dass personenbezogene Daten angemessen geschützt werden und der Datenschutzschild effizient funktioniert, ohne dass die anderen Grundrechte wie zum Beispiel das Recht auf Privatsphäre und Sicherheit, das Recht, Informationen entgegenzunehmen und weiterzugeben, und das Recht auf unternehmerische Freiheit unnötig beeinträchtigt werden, und dem Parlament jährlich über die genauen Ergebnisse und entsprechenden Abhilfemaßnahmen zu berichten;
26. fordert die Kommission auf, dafür zu sorgen, dass die Anzahl der registrierten Beschwerden von Bürgern, die Wirksamkeit von Rechtsbehelfsmechanismen, zu denen auch die Ombudsperson gehört, und der Zugang der EU-Bürger zu ihnen, die Fortschritte bei Reformen der Überwachungsgesetze in den Vereinigten Staaten, die Zusammenarbeit zwischen den Datenschutzbehörden der EU und dem US-Handelsministerium bzw. der Federal Trade Commission, die Überwachungs-/Durchsetzungsfunktion des US-Handelsministeriums bzw. der Federal Trade Commission bei der Einhaltung des Datenschutzschildes durch US-Unternehmen bzw. ihrer Datenschutzbestimmungen und die Anzahl der beigetretenen Unternehmen im Mittelpunkt der jährlichen gemeinsamen Überprüfung stehen;
27. stellt fest, dass sich der EU-US-Datenschutzschild in einen breitgefächerten Dialog der EU mit Drittländern – auch mit den Vereinigten Staaten – einfügt, bei dem es um Datenschutz, Handel, Sicherheit und die damit zusammenhängenden Rechte und Ziele von gemeinsamem Interesse geht; fordert daher alle Beteiligten auf, gemeinsam auf die Schaffung und dauerhafte Verbesserung praktikabler internationaler Rahmen und innerstaatlicher Rechtsvorschriften, mit denen diese Ziele verwirklicht werden können, hinzuarbeiten;
28. bedauert, dass diese Aussprache verfrüht geführt wird, und ist der Ansicht, dass die Vorlage der ersten gemeinsamen jährlichen Überprüfung ein besser geeigneter Zeitpunkt wäre, um erste Schlussfolgerungen über das Funktionieren des EU-US-Datenschutzschildes zu ziehen;
29. beauftragt seinen Präsidenten, diese Entschließung der Kommission, dem Rat, den nationalen Parlamenten der Mitgliedstaaten sowie dem Kongress und der Regierung der Vereinigten Staaten von Amerika zu übermitteln.
- [1] ABl. L 281 vom 23.11.1995, S. 31.
- [2] ABl. L 119 vom 4.5.2016, S. 1.
- [3] ABl. L 119 vom 4.5.2016, S. 89.
- [4] ECLI:EU:C:2015:650.
- [5] ABl. L 207 vom 1.8.2016, S. 1.
- [6] ABl. C 257 vom 15.7.2016, S. 8.
- [7] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf
- [8] http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf
- [9] Angenommene Texte, P8_TA(2016)0233.