ENTSCHLIESSUNGSANTRAG zur Angemessenheit des vom EU‑US‑Datenschutzschild gebotenen Schutzes
26.6.2018 - (2018/2645(RSP))
gemäß Artikel 123 Absatz 2 der Geschäftsordnung
Claude Moraes im Namen des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres
B8-0305/2018
Entschließung des Europäischen Parlaments zur Angemessenheit des vom EU‑US‑Datenschutzschild gebotenen Schutzes
Das Europäische Parlament,
– unter Hinweis auf den Vertrag über die Europäische Union (EUV), den Vertrag über die Arbeitsweise der Europäischen Union (AEUV) und die Artikel 6, 7, 8, 11, 16, 47 und 52 der Charta der Grundrechte der Europäischen Union,
– unter Hinweis auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)[1] und die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates[2],
– unter Hinweis auf das Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015 in der Rechtssache C‑362/14 Maximillian Schrems gegen Data Protection Commissioner[3],
– unter Hinweis auf das Urteil des Gerichtshofs der Europäischen Union vom 21. Dezember 2016 in den verbundenen Rechtssachen C-203/15 Tele2 Sverige AB gegen Post- och telestyrelsen und C-698/15 Secretary of State for the Home Department gegen Tom Watson und andere[4],
– unter Hinweis auf den Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes[5],
– unter Hinweis auf die Stellungnahme 4/2016 des Europäischen Datenschutzbeauftragten (EDSB) zu dem Thema „EU-US-Datenschutzschild – Entwurf einer Angemessenheitsentscheidung“[6],
– unter Hinweis auf die Stellungnahme 1/2016 der Artikel-29-Datenschutzgruppe vom 13. April 2016 zum Entwurf einer Angemessenheitsentscheidung im Zusammenhang mit dem EU-US-Datenschutzschild[7] und ihre Erklärung vom 26. Juli 2016[8],
– unter Hinweis auf den Bericht der Kommission an das Europäische Parlament und den Rat mit dem Titel „Erster Bericht zur jährlichen Überprüfung der Funktionsweise des EU-US-Datenschutzschilds“[9] und die dazugehörige Arbeitsunterlage der Kommissionsdienststellen[10],
– unter Hinweis auf das Dokument der Artikel-29-Datenschutzgruppe vom 28. November 2017 mit dem Titel „EU-U.S. Privacy Shield – First annual Joint Review“ (EU-US-Datenschutzschild – Erste gemeinsame jährliche Überprüfung)[11],
– unter Hinweis auf das Schreiben der Artikel-29-Datenschutzgruppe vom 11. April 2018, mit dem sie auf die Genehmigung der weiteren Anwendung von Abschnitt 702 des US-amerikanischen Gesetzes über die Auslandsaufklärung (Foreign Intelligence Surveillance Act, FISA) reagierte,
– unter Hinweis auf seine Entschließung vom 6. April 2017 zur Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes[12],
– gestützt auf Artikel 123 Absatz 2 seiner Geschäftsordnung,
A. in der Erwägung, dass der Gerichtshof der Europäischen Union in seinem Urteil vom 6. Oktober 2015 in der Rechtssache C‑362/14 Maximillian Schrems gegen Data Protection Commissioner die Safe-Harbor-Entscheidung für ungültig erklärte und klarstellte, dass ein angemessenes Schutzniveau in einem Drittland so zu verstehen ist, dass es dem in der Europäischen Union aufgrund der Richtlinie 95/46/EG im Licht der Charta garantierten Niveau „der Sache nach gleichwertig ist“, sowie darauf hinwies, dass Verhandlungen über eine neue Regelung abgeschlossen werden müssen, damit Rechtssicherheit über die Art und Weise, in der personenbezogene Daten aus der EU in die Vereinigten Staaten übermittelt werden sollten, besteht;
B. in der Erwägung, dass die Kommission im Zuge der Prüfung des Schutzes, den ein Drittland gewährt, verpflichtet ist, den Inhalt der in diesem Land geltenden Vorschriften, die sich aus dem nationalen Recht oder den internationalen Verpflichtungen ergeben, und die Verfahren, mit denen dafür gesorgt werden soll, dass diese Vorschriften eingehalten werden, zu bewerten, da sie gemäß Artikel 25 Absatz 2 der Richtlinie 95/46/EG alle Umstände berücksichtigen muss, die bei der Übermittlung personenbezogener Daten in ein Drittland eine Rolle spielen; in der Erwägung, dass sich diese Bewertung nicht nur auf die Rechtsvorschriften und die Verfahren im Zusammenhang mit dem Schutz personenbezogener Daten für die gewerbliche und private Nutzung erstrecken darf, sondern auch alle Aspekte des für dieses Land oder diese Branche geltenden Rahmens umfassen muss, insbesondere auch – aber nicht nur – die Bereiche Strafverfolgung, nationale Sicherheit und Achtung der Grundrechte;
C. in der Erwägung, dass die Übermittlung personenbezogener Daten zwischen Unternehmen der EU und der Vereinigten Staaten vor dem Hintergrund der immer stärkeren Digitalisierung der Weltwirtschaft ein wichtiger Bestandteil der transatlantischen Beziehungen ist; in der Erwägung, dass bei dieser Übermittlung das Recht auf den Schutz personenbezogener Daten und das Recht auf Privatsphäre uneingeschränkt gewahrt werden sollten; in der Erwägung, dass der in der Charta verankerte Schutz der Grundrechte eines der wichtigsten Ziele der EU darstellt;
D. in der Erwägung, dass Facebook, das sich dem Datenschutzschild angeschlossen hat, bestätigt hat, dass das Unternehmen Cambridge Analytica, das im Bereich der politischen Beratung tätig war, u. a. die Daten von 2,7 Millionen Unionsbürgern unrechtmäßig genutzt hat;
E. in der Erwägung, dass der Europäische Datenschutzbeauftragte (EDSB) in seiner Stellungnahme 4/2016 mehrere Bedenken über den Entwurf des Datenschutzschilds äußerte; in der Erwägung, dass der EDSB in derselben Stellungnahme die von sämtlichen Parteien unternommenen Bemühungen um eine Lösung für Übermittlungen personenbezogener Daten aus der EU in die Vereinigten Staaten zu kommerziellen Zwecken in einem System der Selbstzertifizierung begrüßt;
F. in der Erwägung, dass die Artikel-29-Datenschutzgruppe in ihrer Stellungnahme 1/2016 zum Entwurf der Angemessenheitsentscheidung im Zusammenhang mit dem EU-US-Datenschutzschild die mit dem Datenschutzschild einhergehenden Verbesserungen gegenüber der Safe-Harbor-Entscheidung begrüßte, aber auch starke Bedenken sowohl über die kommerziellen Aspekte als auch den Zugriff öffentlicher Stellen auf die unter dem Datenschutzschild übermittelten Daten äußerte;
G. in der Erwägung, dass die Kommission am 12. Juli 2016 im Anschluss an weitere Erörterungen mit der US-Regierung ihren Durchführungsbeschluss (EU) 2016/1250 erließ, in dem sie das Schutzniveau für personenbezogene Daten, die unter dem EU-US-Datenschutzschild aus der Union an Organisationen in den Vereinigten Staaten übermittelt werden, für angemessen erklärt;
H. in der Erwägung, dass zu dem EU-US-Datenschutzschild mehrere einseitige Verpflichtungen und Zusicherungen der US-Regierung gehören, in denen unter anderem die Datenschutzgrundsätze, die Funktionsweise der Kontrolle, Durchsetzung und Abhilfe und die Schutzmaßnahmen und Garantien, die von den Sicherheitsbehörden zu gewährleisten sind, wenn sie auf personenbezogene Daten zugreifen und diese verarbeiten, erläutert werden;
I. in der Erwägung, dass die Artikel-29-Datenschutzgruppe in ihrer Erklärung vom 26. Juli 2016 die mit dem EU-US-Datenschutzschild einhergehenden Verbesserungen gegenüber der Safe-Harbor-Regelung begrüßt und der Kommission und den staatlichen Stellen der Vereinigten Staaten Anerkennung dafür zollt, dass sie die Bedenken der Gruppe berücksichtigt haben; in der Erwägung, dass die Artikel-29-Datenschutzgruppe jedoch darauf hinweist, dass einige ihrer Bedenken sowohl mit Blick auf die kommerziellen Aspekte als auch auf den Zugang der öffentlichen Stellen der Vereinigten Staaten zu den aus der EU übermittelten Daten noch nicht ausgeräumt sind, wobei beispielsweise die Tatsache, dass es keine gesonderten Bestimmungen über automatisierte Entscheidungen und kein allgemeines Widerspruchsrecht gibt, das Erfordernis robusterer Garantien mit Blick auf die Unabhängigkeit und die Befugnisse des Ombudsmechanismus oder das Fehlen einer konkreten Zusicherung, dass personenbezogene Daten nicht massenweise und anlassunabhängig erhoben werden (Sammelerhebung), zu nennen sind;
J. in der Erwägung, dass das Europäische Parlament in seiner Entschließung vom 6. April 2017 zwar darauf hinweist, dass der EU-US-Datenschutzschild im Hinblick auf die Klarheit bei den Standards erhebliche Verbesserungen gegenüber der früheren EU-US-Safe-Harbor-Regelung mit sich bringt, dass es darin jedoch auch die Ansicht vertritt, dass noch erhebliche Fragen zu bestimmten kommerziellen Aspekten, der nationalen Sicherheit und der Rechtsdurchsetzung im Raum stehen; in der Erwägung, dass die Kommission darin auffordert wird, sämtliche Unzulänglichkeiten und Schwächen bei der ersten gemeinsamen jährlichen Überprüfung eingehend und gründlich zu analysieren, aufzuzeigen, wie diese Punkte angegangen wurden, damit sichergestellt ist, dass die Charta und das Unionsrecht eingehalten werden, und bis ins kleinste Detail zu bewerten, ob die in den Zusicherungen und Klarstellungen der US-Regierung genannten Mechanismen und Garantien wirksam und praxistauglich sind;
K in der Erwägung, dass die Kommission in ihrem Bericht an das Europäische Parlament und den Rat mit dem Titel „Erster Bericht zur jährlichen Überprüfung der Funktionsweise des EU-US-Datenschutzschilds“ und der dazugehörigen Arbeitsunterlage der Kommissionsdienststellen zwar feststellt, dass die US-Behörden die erforderlichen Strukturen und Verfahren geschaffen haben, damit der Datenschutzschild ordnungsgemäß funktioniert, und zu dem Ergebnis kommt, dass die Vereinigten Staaten weiterhin ein angemessenes Schutzniveau für personenbezogene Daten, die im Rahmen des EU-US-Datenschutzschilds übermittelt werden, gewährleisten, dass darin jedoch auch zehn Empfehlungen an die US-Behörden enthalten sind, mit denen erreicht werden soll, dass die Bedenken hinsichtlich der Aufgaben und Tätigkeiten des US-Handelsministeriums – als die für die Überwachung der Zertifizierung von Organisationen im Rahmen des Datenschutzschilds und die Durchsetzung der Grundsätze zuständige Stelle – sowie die Bedenken im Zusammenhang mit der nationalen Sicherheit, wie die Genehmigung der weiteren Anwendung von Abschnitt 702 des Gesetzes über die Auslandsaufklärung (Foreign Intelligence Surveillance Act, FISA), der dauerhaften Ernennung einer Ombudsperson und der Tatsache, dass die Mitglieder des Privacy Civil Liberties Oversight Board (PCLOB, Stelle zur Überwachung des Schutzes der Privatsphäre und der bürgerlichen Freiheiten) immer noch nicht im Amt sind, ausgeräumt werden;
L. in der Erwägung, dass in der im Anschluss an die erste jährliche Überprüfung angenommenen Stellungnahme der Artikel-29-Datenschutzgruppe vom 28. November 2017 mit dem Titel „EU-U.S. Privacy Shield – First annual Joint Review“ (EU-US-Datenschutzschild – Erste gemeinsame jährliche Überprüfung) festgestellt wird, dass mit dem Datenschutzschild gegenüber der für ungültig erklärten Safe-Harbor-Entscheidung Fortschritte erzielt wurden; in der Erwägung, dass die Artikel-29-Arbeitsgruppe die Bemühungen der US-Behörden und der Kommission um die Umsetzung des Datenschutzschilds zur Kenntnis nimmt;
M. in der Erwägung, dass die Artikel-29-Datenschutzgruppe eine Reihe von wichtigen ungelösten Fragen von erheblichem Belang ermittelt hat, sowohl was kommerzielle Fragen als auch was Fragen zum Zugang der US-Behörden zu den unter dem Datenschutzschild an das Land (entweder zu Strafverfolgungszwecken oder zu Zwecken der nationalen Sicherheit) übermittelten Daten betrifft, mit denen sich sowohl die Kommission als auch die US-Behörden befassen müssen; in der Erwägung, dass die Arbeitsgruppe die umgehende Erstellung eines Aktionsplans gefordert hat, um zu zeigen, dass sämtliche Bedenken angegangen werden, und zwar spätestens bei der zweiten gemeinsamen Überprüfung;
N. in der Erwägung, dass die Mitglieder der Artikel-29-Datenschutzgruppe, sollten die Bedenken dieser Arbeitsgruppe innerhalb des gegebenen Zeitrahmens nicht ausgeräumt werden, geeignete Maßnahmen ergreifen werden, wozu auch gehört, die nationalen Gerichte mit der Entscheidung über die Angemessenheit des Datenschutzschilds zu befassen, damit diese ein Vorabentscheidungsersuchen beim EuGH stellen;
O. in der Erwägung, dass der Europäische Gerichtshof mit einer Klage auf Nichtigerklärung (Rechtssache T-738/16 La Quadrature du Net u. a. / Kommission) und einer Verweisung durch den Obersten Gerichtshof Irlands in der Rechtssache zwischen dem irischen Datenschutzbeauftragten und Facebook Ireland Limited und Maximilian Schrems (Rechtssache Schrems II) befasst wurde; in der Erwägung, dass in der Verweisung festgestellt wird, dass eine Massenüberwachung weiterhin stattfindet, und untersucht wird, ob es im US-Recht einen wirksamen Rechtsbehelf für EU-Bürger gibt, deren personenbezogene Daten an die Vereinigten Staaten übermittelt werden;
P. in der Erwägung, dass der Kongress der Vereinigten Staaten am 11. Januar 2018 die weitere Anwendung von Abschnitt 702 des FISA für sechs Jahre genehmigt und diesen Abschnitt geändert hat, ohne auf die im gemeinsamen Überprüfungsbericht der Kommission und in der Stellungnahme der Artikel-29-Datenschutzgruppe angesprochenen Bedenken eingegangen zu sein;
Q. in der Erwägung, dass der Kongress der Vereinigten Staaten das Gesetz zur Regelung der Verwendung von Daten im Ausland („Clarifying Overseas Use of Data“ – CLOUD) als Teil der am 23. März 2018 verabschiedeten umfassenden Rechtsvorschriften im Haushaltsbereich erlassen hat; in der Erwägung, dass durch dieses Gesetz Strafverfolgungsbeamten der Zugang zu Kommunikationsinhalten und weiteren damit zusammenhängenden Daten ermöglicht wird, indem US-Strafverfolgungsbehörden die Erzeugung von Kommunikationsdaten erzwingen können, selbst wenn sie außerhalb der Vereinigten Staaten gespeichert werden, und bestimmte Länder Durchführungsabkommen mit den Vereinigten Staaten abschließen können, um US-amerikanischen Diensteanbietern zu ermöglichen, auf bestimmte Anordnungen aus dem Ausland zwecks Zugang zu Kommunikationsdaten zu reagieren;
R. in der Erwägung, dass es sich bei Facebook Inc., Cambridge Analytica und SCL Elections Ltd um Unternehmen handelt, die im Datenschutzschild-Rahmen zertifiziert sind und denen als solche die Angemessenheitsentscheidung als Rechtsgrundlage für die Übermittlung und Weiterverarbeitung personenbezogener Daten aus der Europäischen Union in die Vereinigten Staaten zugutekam;
S. in der Erwägung, dass die Kommission nach Artikel 45 Absatz 5 der Datenschutz-Grundverordnung ihre Angemessenheitsentscheidung widerrufen, ändern oder aussetzen muss, sollten Informationen dahingehend vorliegen, dass ein Drittland kein angemessenes Schutzniveau mehr gewährleistet;
1. hebt die anhaltenden Schwächen des Datenschutzschilds in Bezug auf die Achtung der Grundrechte betroffener Personen hervor; hebt das wachsende Risiko hervor, dass der Gerichtshof der Europäischen Union den Durchführungsbeschluss (EU) 2016/1250 der Kommission über den Datenschutzschild für ungültig erklären kann;
2. nimmt die Verbesserungen gegenüber dem Safe-Harbor-Abkommen zur Kenntnis, darunter die Einführung wichtiger Begriffsbestimmungen, strengere Verpflichtungen im Zusammenhang mit der Vorratsdatenspeicherung und der Weitergabe an Drittländer, die Schaffung des Amtes eines Bürgerbeauftragten, der als Anlaufstelle für individuelle Rechtsbehelfe dienen und als eine unabhängige Kontrollinstanz fungieren soll, Kontrollen und Gegenkontrollen zur Sicherung der Rechte betroffener Personen (PCLOB), externe und interne Überprüfungen der Einhaltung der Vorschriften, eine regelmäßigere und striktere Dokumentation und Überwachung, die Verfügbarkeit mehrerer Möglichkeiten zur Einlegung von Rechtsbehelfen und die herausragende Rolle von nationalen Datenschutzbehörden bei der Untersuchung von Beschwerden;
3. weist darauf hin, dass die Artikel-29-Datenschutzgruppe eine Frist zum 25. Mai 2018 gesetzt hat, um die noch offenen Fragen zu lösen, wobei sie bei deren Verstreichen beschließen kann, ein Verfahren zum Datenschutzschild vor nationalen Gerichten anzustrengen, damit diese die Angelegenheit an den Gerichtshof der Europäischen Union zwecks einer Vorabentscheidung verweisen[13];
Institutionelle Fragen/Benennungen
4. bedauert, dass die Benennung zweier weiterer Mitglieder zusammen mit der Benennung des Vorsitzes der PCLOB so viel Zeit in Anspruch genommen hat, und fordert den Senat nachdrücklich auf, deren Profile zu überprüfen, um die Benennung zu ratifizieren, damit die Beschlussfähigkeit der unabhängigen Agentur wiederhergestellt wird und diese ihre Aufgaben mit Blick auf die Terrorismusprävention und die Gewährleistung des notwendigen Schutzes der Privatsphäre und der bürgerlichen Freiheiten erfüllen kann;
5. zeigt sich besorgt darüber, dass durch den fehlenden Vorsitz und die fehlende Beschlussfähigkeit die Fähigkeit der PCLOB eingeschränkt wurde, zu handeln und ihren Verpflichtungen nachzukommen; betont, dass die PCLOB in dem Zeitraum, in dem sie beschlussunfähig ist, keine neuen Projekte zur Beratung oder Kontrolle auflegen oder Mitarbeiter einstellen darf; weist darauf hin, dass die PCLOB ihren seit Langem erwarteten Bericht über die Durchführung von Überwachungstätigkeiten gemäß dem Präsidialdekret 12333 noch immer nicht herausgegeben hat, um über die konkrete Funktionsweise dieses Präsidialdekrets und über dessen Notwendigkeit und Verhältnismäßigkeit zu informieren, was Eingriffe in den Datenschutz vor diesem Hintergrund betrifft; merkt an, dass dieser Bericht angesichts der Unsicherheit und Unvorhersehbarkeit in Bezug auf den Einsatz des Präsidialdekrets 12333 äußerst wünschenswert ist; bedauert, dass die PCLOB keinen neuen Bericht über Abschnitt 702 des FISA herausgegeben hat, bevor dessen weitere Anwendung im Januar 2018 genehmigt wurde; ist der Auffassung, dass die von den US-Behörden abgegebenen Garantien und Zusicherungen in Bezug auf die Einhaltung und Kontrolle durch die Beschlussunfähigkeit ernsthaft untergraben werden; fordert die US-Behörden daher eindringlich auf, die neuen Vorstandsmitglieder unverzüglich zu benennen und zu bestätigen;
6. fordert angesichts der Tatsache, dass die „Presidential Policy Directive 28“ (Grundsatzrichtlinie Nr. 28 des US-Präsidenten, PPD-28) zu den wichtigsten Elementen gehört, auf die der Schutzschild aufgebaut ist, die Herausgabe des PCLOB-Berichts über die PPD-28, der weiterhin Gegenstand eines präsidialen Privilegiums ist und daher noch nicht veröffentlicht wurde;
7. bekräftigt seinen Standpunkt, dass der vom US-Außenministerium eingerichtete Ombudsmechanismus nicht unabhängig genug und nicht mit ausreichenden wirksamen Befugnissen für die Wahrnehmung seiner Aufgaben und für die Bereitstellung eines wirksamen Rechtsbehelfs für EU-Bürger ausgestattet ist; betont, dass die genauen, mit dem Ombudsmechanismus einhergehenden Befugnisse geklärt werden müssen, insbesondere was die Befugnisse des Bürgerbeauftragten gegenüber den Nachrichtendiensten betrifft und ob wirksame Rechtsmittel gegenüber seinen Entscheidungen bestehen; bedauert, dass der Bürgerbeauftragte von den staatlichen Stellen der USA lediglich Maßnahmen und Informationen verlangen kann, ohne jedoch gegenüber den Behörden verfügen zu können, die rechtswidrige Überwachung einzustellen und aufzugeben oder die entsprechenden Informationen unwiederbringlich zu vernichten; weist darauf hin, dass es sich nicht beidseitig vertrauensfördernd auswirkt, dass es zwar einen amtierenden Bürgerbeauftragten gibt, die US-Regierung es bislang jedoch versäumt hat, einen neuen ständigen Bürgerbeauftragten zu ernennen; ist der Auffassung, dass die Zusicherung der Vereinigten Staaten, EU-Bürgern wirksame Rechtsbehelfe zur Verfügung zu stellen, als null und nichtig anzusehen ist, wenn kein unabhängiger, erfahrener und mit ausreichenden Befugnissen ausgestatteter Bürgerbeauftragter ernannt wird;
8. erkennt die unlängst erfolgte Bestätigung der Ernennung eines neuen Vorsitzes und von vier Mitgliedern der Federal Trade Commission (FTC) an; bedauert, dass bis zum Eingang der besagten Bestätigung vier der fünf Sitze in der FTC unbesetzt blieben, zumal es der Ansicht ist, dass die FTC als Agentur dafür zuständig ist, dafür zu sorgen, dass die Grundsätze des Datenschutzschilds von US-Organisationen durchgesetzt werden;
9. betont, dass durch die jüngsten Enthüllungen der Praktiken von Facebook und Cambridge Analytica deutlich wurde, dass es einer proaktiven Überwachung sowie Durchsetzungsmaßnahmen bedarf, die nicht nur bei Beschwerden greifen, sondern systematische Kontrollen vorsehen, ob Datenschutzbestimmungen in der Praxis eingehalten werden, wobei den Grundsätzen des Datenschutzschilds während der gesamten Dauer der Zertifizierung Rechnung zu tragen ist; fordert die zuständigen Datenschutzbehörden der EU auf, geeignete Maßnahmen zu ergreifen und die Übermittlung von Daten bei Nichteinhaltung auszusetzen;
Handelsaspekte
10. ist der Auffassung, dass das US-Handelsministerium es zur Sicherung der Transparenz und zur Vermeidung falscher Angaben über die Zertifizierung nicht zulassen sollte, dass US-Unternehmen öffentlich auf ihre Datenschutzschild-Zertifizierung verweisen, bevor das Ministerium das Zertifizierungsverfahren abgeschlossen und diese Unternehmen in die Datenschutzschild-Liste aufgenommen hat; ist besorgt darüber, dass das Handelsministerium die im Datenschutzschild vorgesehene Möglichkeit ungenutzt ließ, zur Sicherung der Einhaltung Kopien von den Vertragsbedingungen zu verlangen, die von zertifizierten Unternehmen bei ihren Verträgen mit Dritten zum Einsatz kommen; ist daher der Auffassung, dass es keine wirksame Kontrolle darüber gibt, ob zertifizierte Unternehmen die im Datenschutzschild vorgesehenen Bestimmungen tatsächlich einhalten; fordert das Handelsministerium auf, von Amts wegen proaktiv und regelmäßig die Einhaltung zu überwachen, um zu kontrollieren, ob Unternehmen die im Datenschutzschild vorgesehenen Vorschriften und Anforderungen auch tatsächlich einhalten;
11. hält es für möglich, dass sich die verschiedenen Rechtsbehelfsverfahren für EU-Bürger als zu komplex und schwer anwendbar und somit als weniger wirksam erweisen; merkt an, dass die meisten Beschwerden von Einzelpersonen, die allgemeine Informationen über den Datenschutzschild und über die Verarbeitung ihrer Daten erhalten wollen, direkt an die Unternehmen herangetragen werden, wie dies auch von Unternehmen herausgestellt wurde, die unabhängige Rechtsbehelfsmechanismen bereitstellen; empfiehlt daher, dass die US-Behörden auf der Website zum Datenschutzschild genauere Informationen in einer zugänglichen und leicht verständlichen Form für Einzelpersonen bereitstellen, was deren Rechte und verfügbaren Rechtsbehelfe und Rechtsmittel betrifft;
12. fordert die für die Durchsetzung des Datenschutzschilds zuständigen US-Behörden angesichts der jüngsten Enthüllungen über den Missbrauch personenbezogener Daten durch im Rahmen des Datenschutzschilds zertifizierte Unternehmen – etwa durch Facebook und Cambridge Analytica – auf, auf solche Enthüllungen unverzüglich und in vollem Einklang mit den abgegebenen Zusicherungen und Zusagen zur Beibehaltung der derzeitigen Datenschutzschild-Regelung zu reagieren und erforderlichenfalls solche Unternehmen aus der Datenschutzschild-Liste zu streichen; fordert auch die zuständigen EU-Datenschutzbehörden auf, solche Enthüllungen zu untersuchen und Datenübermittlungen unter dem Datenschutzschild gegebenenfalls auszusetzen oder zu verbieten; ist der Auffassung, dass mit den Enthüllungen klar aufgezeigt wird, dass im Rahmen des Datenschutzschild-Mechanismus kein geeigneter Schutz des Rechts auf Datenschutz gegeben ist;
13. ist ernsthaft besorgt über die Änderung der Dienstleistungsbedingungen von Facebook für Nutzer aus Drittländern außerhalb der Vereinigten Staaten und Kanadas, denen bislang Rechte gemäß dem Datenschutzrecht der EU zustanden und die nunmehr akzeptieren müssen, dass Facebook USA und nicht länger Facebook Irland für die Verarbeitung ihrer Daten verantwortlich ist; ist der Ansicht, dass dies eine Übermittlung personenbezogener Daten an ein Drittland darstellt, von der ungefähr 1,5 Milliarden Nutzer betroffen sind; hegt großen Zweifel daran, dass eine solche beispiellose und großflächige Einschränkung der Grundrechte von Nutzern einer De-Facto-Monopolplattform der Absicht entsprach, die bei der Errichtung des Datenschutzschilds verfolgt wurde; fordert die EU-Datenschutzbehörden auf, dieser Frage nachzugehen;
14. zeigt sich ernsthaft besorgt darüber, dass ein solcher Missbrauch personenbezogener Daten durch verschiedene Rechtsträger, die die politische Meinung oder das Wahlverhalten manipulieren wollen, für den demokratischen Prozess und die ihm zugrundeliegende Vorstellung, dass Wähler in der Lage sind, für sich selbst fundierte und faktenbasierte Entscheidungen zu treffen, eine Bedrohung darstellen kann, sollte das Problem nicht angegangen werden;
15. begrüßt und unterstützt die Forderung an den US-amerikanischen Gesetzgeber, ein umfassendes Gesetz über den Schutz der Privatsphäre und den Datenschutz auszuarbeiten;
16. weist erneut auf seine Bedenken hin, dass der Datenschutzschild keine besonderen Vorschriften und Garantien in Bezug auf Entscheidungen enthält, die auf automatisierter Verarbeitung bzw. Profilerstellung beruhen und rechtliche Wirkung haben oder von großer Tragweite für Einzelpersonen sind; nimmt die Absicht der Kommission zur Kenntnis, eine Studie in Auftrag zu geben, mit deren Hilfe Belege gesammelt werden sollen und die Relevanz der automatisierten Entscheidungsfindung für die Übermittlung von Daten gemäß dem Datenschutzschild eingehender geprüft werden soll; fordert die Kommission auf, besondere Vorschriften für die automatisierte Entscheidungsfindung zu schaffen, damit ausreichende Garantien vorhanden sind, falls dies in der Studie empfohlen wird; nimmt in diesem Zusammenhang die Informationen aus der gemeinsamen Überprüfung zur Kenntnis, denen zufolge eine automatisierte Entscheidungsfindung nicht auf der Grundlage personenbezogener Daten erfolgen darf, die gemäß dem Datenschutzschild übermittelt wurden; bedauert, dass der Artikel-29-Datenschutzgruppe zufolge die Rückmeldungen der Unternehmen sehr allgemein ausgefallen sind, so dass unklar bleibt, ob diese Aussagen der Realität in sämtlichen Unternehmen entsprechen, die den Datenschutzschild einhalten; betont außerdem, dass die Datenschutz-Grundverordnung unter den Bedingungen von Artikel 3 Absatz 2 der Datenschutz-Grundverordnung anwendbar ist;
17. betont, dass die Auslegung und Behandlung von Personaldaten weiter verbessert werden sollte, da der Begriff „Personaldaten“ durch die US-Regierung einerseits und die Kommission und die Artikel-Datenschutzgruppe andererseits unterschiedlich ausgelegt wird; stimmt der Aufforderung der Artikel-29-Datenschutzgruppe an die Kommission, Verhandlungen mit den US-Behörden aufzunehmen, um die Datenschutzschild-Regelung in dieser Hinsicht zu ändern, vorbehaltlos zu;
18. bringt erneut seine Sorge darüber zum Ausdruck, dass die Grundsätze des Datenschutzschilds nicht dem EU-Modell der auf Zustimmung beruhenden Verarbeitung entsprechen, sondern die Möglichkeit der Ablehnung bzw. des Einspruchs nur unter ganz bestimmten Umständen zulassen; fordert daher vor dem Hintergrund der gemeinsamen Überprüfung nachdrücklich, dass das Handelsministerium gemeinsam mit den EU-Datenschutzbehörden präzisere Leitlinien in Bezug auf wesentliche Grundsätze des Datenschutzschilds ausarbeitet, darunter der Grundsatz der Wahlmöglichkeit, der Grundsatz der Informationspflicht, die Weitergabe von Daten, die Beziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter sowie der Zugang, die wesentlich stärker an die Rechte der betroffenen Person gemäß der Verordnung (EU) 2016/679 angepasst sind;
19. bekräftigt erneut seine Besorgnis darüber, dass der Kongress im März 2017 die von der US-amerikanischen Federal Communications Commission vorgelegten Vorschriften über den Schutz der Privatsphäre von Kunden von Breitbanddiensten und weiteren Telekommunikationsdiensten abgelehnt hat, wodurch in der Praxis die Vorschriften für den Schutz der Privatsphäre bei der Nutzung von Breitbanddiensten abgeschafft werden, durch die die Internetdienstanbieter verpflichtet worden wären, die ausdrückliche Einwilligung der Internetnutzer einzuholen, bevor sie Browserdaten oder andere private Informationen verkaufen oder an Werbetreibende oder andere Unternehmen weitergeben; ist der Ansicht, dass dies eine weitere Bedrohung des Schutzes der Privatsphäre in den Vereinigten Staaten ist;
Strafverfolgung und Belange der nationalen Sicherheit
20. ist der Ansicht, dass der Begriff „nationale Sicherheit“ im Datenschutzschild-Mechanismus nicht so genau beschrieben ist, dass sichergestellt wäre, dass Verstöße gegen Datenschutzvorschriften vor Gericht wirksam überprüft werden können, indem durch eine strenge Prüfung dessen, was erforderlich und verhältnismäßig ist, für die Einhaltung der Vorschriften gesorgt wird; fordert daher eine klare Bestimmung des Begriffs „nationale Sicherheit“;
21. nimmt zur Kenntnis, dass die Zahl der Ziele gemäß Abschnitt 702 des FISA aufgrund von Änderungen der Technologie- und Kommunikationsmuster sowie der sich ändernden Bedrohungslage zugenommen hat;
22. bedauert, dass die USA die kürzlich erfolgte Genehmigung der weiteren Anwendung von Abschnitt 702 des FISA nicht dazu genutzt haben, die in der „Presidential Policy Directive 28“ (PPD 28) enthaltenen Garantien aufzunehmen; fordert Nachweise und rechtsverbindliche Verpflichtungen, durch die sichergestellt wird, dass die Datenerhebung gemäß Abschnitt 702 des FISA nicht anlassunabhängig erfolgt und kein genereller Zugang besteht (Sammelerhebung), was im Widerspruch zur Charta der Grundrechte der Europäischen Union stünde; nimmt Kenntnis von der Erläuterung der Kommission in ihrer Arbeitsunterlage der Kommissionsdienststellen, dass die Überwachung gemäß Abschnitt 702 des FISA stets auf Filtern beruht und daher keine Sammelerhebung erlaubt; schließt sich daher der Forderung der Artikel-29-Datenschutzgruppe nach einem aktualisierten Bericht der Stelle zur Überwachung des Schutzes der Privatsphäre und der bürgerlichen Freiheiten (PCLOB) über die Bestimmung der Begriffe „Ziele“ („targets“) und „Auswahl von Filtern“ („tasking of selectors“) sowie über das genaue Verfahrung der Anwendung von Filtern in Verbindung mit dem Programm UPSTREAM an, damit klargestellt und beurteilt wird, ob in diesem Zusammenhang ein Massenzugriff auf personenbezogene Daten erfolgt; bedauert, dass in der EU ansässige Einzelpersonen von dem zusätzlichen Schutz ausgenommen sind, der durch die Genehmigung der weiteren Anwendung von Abschnitt 702 des FISA geboten wird; bedauert, dass, wie auch von der Artikel-29-Datenschutzgruppe angesprochen, bei der Genehmigung der weiteren Anwendung von Abschnitt 702 mehrere Änderungen beschlossen wurden, die lediglich verfahrenstechnischen Charakter haben und mit denen nicht auf die schwerwiegendsten Probleme eingegangen wird; fordert die Kommission auf, die anstehende Untersuchung von Abschnitt 702 des FISA durch die Artikel-29-Datenschutzgruppe gebührend zu berücksichtigen und entsprechend zu handeln;
23. bekräftigt, dass die Rechtmäßigkeit des Datenschutzschilds durch die Genehmigung der weiteren Anwendung von Abschnitt 702 des FISA für sechs weitere Jahre infrage gestellt wird;
24. bekräftigt seine Bedenken in Bezug auf das Präsidialdekret 12333, durch das die NSA das Recht erhält, umfangreiche private Daten, die ohne Durchsuchungsbefehle, gerichtliche Anordnungen oder Ermächtigungen durch den Kongress erhoben wurden, an 16 andere Stellen, darunter das FBI, die Rauschgiftbehörde und das Heimatschutzministerium, weiterzugeben; bedauert, dass keinerlei gerichtliche Überprüfung der auf der Grundlage des Präsidialdekrets 12333 durchgeführten Überwachungstätigkeiten vorgesehen ist;
25. hebt hervor, dass sich aufgrund der gegenwärtigen Auslegung der verfahrensrechtlichen Anforderungen des Begriffs „Klagebefugnis“ durch die US-Gerichte Nicht-US-Bürger, die Gegenstand einer Überwachungsmaßnahme auf der Grundlage von Abschnitt 702 des FISA oder des Präsidialdekrets 12333 sind, in Bezug auf ihren Rechtsschutz nach wie vor Hindernissen gegenübersehen, wenn es gilt, vor US-Gerichten gegen Entscheidungen, die sie betreffen, Klage einzureichen;
26. bringt seine Besorgnis hinsichtlich der Folgen des Präsidialdekrets 13768 über die Verbesserung der öffentlichen Sicherheit im Innern der Vereinigten Staaten in Bezug auf gerichtliche und administrative Rechtsbehelfe für Einzelpersonen in den USA zum Ausdruck, da die Schutzvorkehrungen gemäß dem Gesetz zum Schutz der Privatsphäre (Privacy Act) nicht mehr für Nicht-US-Bürger gelten; nimmt den Standpunkt der Kommission zur Kenntnis, dass sich die Angemessenheitsbewertung nicht auf die Schutzvorkehrungen gemäß dem Privacy Act stützt und daher der Datenschutzschild durch das Präsidialdekret nicht berührt wird; ist der Auffassung, dass das Präsidialdekret 13768 jedoch die Absicht der US-Regierung deutlich macht, die den EU-Bürgern bisher gewährten Datenschutzgarantien aufzuheben und die während der Präsidentschaft von Barack Obama gegenüber der EU eingegangenen Verpflichtungen zurückzunehmen;
27. erklärt sich sehr besorgt angesichts der kürzlichen Verabschiedung des Gesetzes über die Klarstellung der Nutzung von Daten im Ausland (Clarifying Lawful Overseas Use of Data Act – CLOUD Act, H.R. 4943), durch das die US-amerikanischen und ausländischen Strafverfolgungsbehörden umfangreichere Möglichkeiten erhalten, über Staatsgrenzen hinweg auf die Daten von Personen zuzugreifen, ohne dabei auf Rechtshilfeabkommen zurückzugreifen, durch die für angemessene Garantien gesorgt und die gerichtliche Zuständigkeit der Länder geachtet wird, in denen die Informationen gespeichert sind; hebt hervor, dass der Cloud Act schwerwiegende Folgen für die EU haben könnte, da er einschneidenden Charakter trägt und sich Widersprüche zu den Datenschutzvorschriften der EU ergeben können;
28. ist der Ansicht, dass eine ausgewogenere Lösung darin bestanden hätte, das bestehende internationale System der Rechtshilfeabkommen so zu stärken, dass die internationale und justizielle Zusammenarbeit gefördert würde; weist erneut darauf hin, dass, wie beispielsweise in Artikel 48 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) festgelegt, Rechtshilfeabkommen und andere internationale Übereinkünfte die bevorzugten Mechanismen dafür sind, den Zugang zu personenbezogenen Daten zu ermöglichen;
29. bedauert, dass die US-Behörden ihrer Zusage nicht nachgekommen sind, die Kommission rechtzeitig und umfassend über Entwicklungen zu informieren, die für den Datenschutzschild von Bedeutung sein könnten, und die Kommission demgemäß auch nicht über Änderungen im Rechtsrahmen der USA in Kenntnis gesetzt haben, beispielsweise über das von Präsident Trump erlassene Dekret 13768 über die Verbesserung der öffentlichen Sicherheit im Innern der Vereinigten Staaten oder die Aufhebung der Datenschutzvorschriften für Anbieter von Internetdiensten;
30. bedauert, wie bereits in seiner Entschließung vom 6. April 2017 angeführt, dass weder die Grundsätze des Datenschutzschilds noch die Schreiben der US-Regierung Klarstellungen und Zusicherungen enthalten, durch die belegt wird, dass natürliche Personen in der EU im Hinblick auf die Nutzung ihrer personenbezogenen Daten durch US-Behörden für Zwecke der Strafverfolgung und des öffentlichen Interesses Anspruch auf einen wirksamen Rechtsbehelf haben, den der EuGH in seinem Urteil vom 6. Oktober 2015 als Wesensgehalt des durch Artikel 47 der EU-Grundrechtecharta garantierten Grundrechts hervorgehoben hat;
Schlussfolgerungen
31. fordert die Kommission auf, sämtliche Maßnahmen zu ergreifen, die erforderlich sind, damit der Datenschutzschild uneingeschränkt im Einklang mit der ab dem 25. Mai 2018 geltenden Verordnung (EU) 2016/679 und der EU-Grundrechtecharta steht, sodass das Kriterium der Angemessenheit nicht zu Schlupflöchern oder Wettbewerbsvorteilen für US-Unternehmen führt;
32. bedauert, dass die Kommission und die zuständigen US-Behörden die Gespräche über die Datenschutzschild-Regelung nicht wieder aufgenommen und keinen Aktionsplan aufgestellt haben, um die festgestellten Mängel so schnell wie möglich zu beheben, wie die Artikel-29-Datenschutzgruppe in ihrem Bericht vom Dezember über die gemeinsame Überprüfung gefordert hat; fordert die Kommission und die zuständigen US-Behörden auf, dies unverzüglich zu tun;
33. weist erneut darauf hin, dass der Schutz der Privatsphäre und der Datenschutz rechtlich durchsetzbare Grundrechte sind, die in den Verträgen, der Charta der Grundrechte und der Europäischen Menschenrechtskonvention sowie in Gesetzen und in der Rechtsprechung verankert sind; betont, dass sie so angewandt werden müssen, dass der Handel und die internationalen Beziehungen nicht unnötig behindert werden, aber nicht gegen wirtschaftliche oder politische Interessen „abgewogen“ werden dürfen;
34. vertritt die Auffassung, dass die derzeitige Datenschutzschild-Regelung nicht das angemessene Schutzniveau bietet, das nach dem EU-Datenschutzrecht und der EU-Charta gemäß der Auslegung durch den Europäischen Gerichtshof erforderlich ist;
35. ist der Ansicht, dass die Kommission nicht gemäß Artikel 45 Absatz 5 der Datenschutz-Grundverordnung tätig geworden ist, es sei denn, die USA erfüllen die Anforderungen bis zum 1. September 2018 vollständig; fordert die Kommission daher auf, den Datenschutzschild auszusetzen, bis die US-Behörden seine Bestimmungen einhalten;
36. beauftragt seinen Ausschuss für bürgerliche Freiheiten, Justiz und Inneres, die Entwicklungen in diesem Bereich, einschließlich der beim Gerichtshof anhängigen Rechtssachen, weiter zu beobachten und die Folgemaßnahmen zu den in der Entschließung ausgesprochenen Empfehlungen zu überwachen;
37. beauftragt seinen Präsidenten, diese Entschließung dem Rat, der Kommission, den Regierungen und Parlamenten der Mitgliedstaaten sowie dem Europarat zu übermitteln.
- [1] ABl. L 119 vom 4.5.2016, S. 1.
- [2] ABl. L 119 vom 4.5.2016, S. 89.
- [3] EU:C:2015:650.
- [4] EU:C:2016:970.
- [5] ABl. L 207 vom 1.8.2016, S. 1.
- [6] ABl. C 257 vom 15.7.2016, S. 8.
- [7] http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf.
- [8] http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2016/wp236_en.pdf.
- [9] COM(2017)0611 vom 18.10.2017.
- [10] SWD(2017)0344 vom 18.10.2017.
- [11] WP 255, abrufbar unter http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612621.
- [12] Angenommene Texte, P8_TA(2017)0131.
- [13] https://ec.europa.eu/newsroom/just/document.cfm?doc_id=48782.