Entschließung des Europäischen Parlaments vom 6. April 2017 zur Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (2016/3018(RSP))
Das Europäische Parlament,
– unter Hinweis auf den Vertrag über die Europäische Union (EUV), den Vertrag über die Arbeitsweise der Europäischen Union (AEUV) und die Artikel 6, 7, 8, 11, 16, 47 und 52 der Charta der Grundrechte der Europäischen Union,
– unter Hinweis auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(1) (Datenschutzrichtlinie),
– unter Hinweis auf den Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden(2),
– unter Hinweis auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)(3) und auf die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates(4),
– unter Hinweis auf das Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015 in der Rechtssache C‑362/14, Maximillian Schrems gegen Data Protection Commissioner(5),
– unter Hinweis auf die Mitteilung der Kommission an das Europäische Parlament und den Rat vom 6. November 2015 zu der Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten von Amerika auf der Grundlage der Richtlinie 95/46/EG nach dem Urteil des Gerichtshofs in der Rechtssache C‑362/14 (Schrems) (COM(2015)0566),
– unter Hinweis auf die Mitteilung der Kommission an das Europäische Parlament und den Rat vom 10. Januar 2017 mit dem Titel „Austausch und Schutz personenbezogener Daten in einer globalisierten Welt“ (COM(2017)0007),
– unter Hinweis auf das Urteil des Gerichtshofs der Europäischen Union vom 21. Dezember 2016 in den verbundenen Rechtssachen C‑203/15 Tele2 Sverige AB gegen Post- och telestyrelsen und C‑698/15 Secretary of State for the Home Department gegen Tom Watson und andere(6),
– unter Hinweis auf den Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes(7),
– unter Hinweis auf die Stellungnahme 4/2016 des Europäischen Datenschutzbeauftragten (EDSB) zu dem Thema „EU-US-Datenschutzschild – Entwurf einer Angemessenheitsentscheidung“(8),
– unter Hinweis auf die Stellungnahme der Artikel 29 Datenschutzgruppe vom 13. April 2016 zur Angemessenheitsentscheidung im Zusammenhang mit dem EU-US-Datenschutzschild(9) und ihre Erklärung vom 26. Juli 2016(10),
– unter Hinweis auf seine Entschließung vom 26. Mai 2016 zur transatlantischen Datenübermittlung(11),
– gestützt auf Artikel 123 Absatz 2 seiner Geschäftsordnung,
A. in der Erwägung, dass der Gerichtshof der Europäischen Union (EuGH) in seinem Urteil vom 6. Oktober 2015 in der Rechtssache C‑362/14 Maximillian Schrems gegen Data Protection Commissioner die Safe-Harbor-Entscheidung für ungültig erklärte und klarstellte, dass ein angemessenes Schutzniveau in einem Drittland so zu verstehen ist, dass es dem in der Europäischen Union aufgrund der Richtlinie 95/46/EG im Licht der Charta der Grundrechte der Europäischen Union (nachstehend „EU-Grundrechtecharta“) garantierten Niveau „der Sache nach gleichwertig ist“, und darauf hinwies, dass Verhandlungen über eine neue Regelung abgeschlossen werden müssen, damit Rechtssicherheit über die Art und Weise, in der personenbezogene Daten von der EU in die USA übermittelt werden sollten, besteht;
B. in der Erwägung, dass die Kommission im Zuge der Prüfung des Schutzes, den ein Drittland gewährt, verpflichtet ist, die in diesem Land geltenden Vorschriften, die sich aus dem nationalen Recht oder den internationalen Verpflichtungen ergeben, und die Verfahren, mit denen dafür gesorgt werden soll, dass diese Vorschriften eingehalten werden, inhaltlich zu bewerten, da sie gemäß Artikel 25 Absatz 2 der Richtlinie 95/46/EG alle Umstände berücksichtigen muss, die bei der Übermittlung personenbezogener Daten in ein Drittland eine Rolle spielen; in der Erwägung, dass sich diese Bewertung nicht nur auf die Rechtsvorschriften und die Verfahren im Zusammenhang mit dem Schutz personenbezogener Daten für die gewerbliche und private Nutzung erstrecken darf, sondern auch alle Aspekte des für dieses Land oder diese Bereiche geltenden Rahmens umfassen muss, insbesondere auch – aber nicht nur – die Bereiche Strafverfolgung, nationale Sicherheit und Achtung der Grundrechte;
C. in der Erwägung, dass die Übermittlung personenbezogener Daten zwischen Unternehmen der EU und der Vereinigten Staaten ein wichtiger Bestandteil der transatlantischen Beziehungen ist; in der Erwägung, dass bei dieser Übermittlung das Recht auf den Schutz personenbezogener Daten und das Recht auf Privatsphäre uneingeschränkt gewahrt werden sollten; in der Erwägung, dass der in der Charta verankerte Schutz der Grundrechte eines der zentralen Ziele der EU ist;
D. in der Erwägung, dass der Europäische Datenschutzbeauftragte (EDSB) in seiner Stellungnahme 4/2016 mehrere Bedenken über den Entwurf des Datenschutzschilds äußerte; in der Erwägung, dass der EDSB in derselben Stellungnahme die von sämtlichen Parteien unternommenen Bemühungen um eine Lösung für Übermittlungen personenbezogener Daten aus der EU in die Vereinigten Staaten zu kommerziellen Zwecken in einem System der Selbstzertifizierung begrüßt;
E. in der Erwägung, dass die Artikel 29 Datenschutzgruppe in ihrer Stellungnahme 1/2016 zum Entwurf der Angemessenheitsentscheidung im Zusammenhang mit dem EU-US-Datenschutzschild die mit dem Datenschutzschild einhergehenden erheblichen Verbesserungen gegenüber der Safe-Harbor-Entscheidung begrüßte, aber auch starke Bedenken sowohl über die kommerziellen Aspekte als auch den Zugriff öffentlicher Stellen auf die unter dem Datenschutzschild übermittelten Daten äußerte;
F. in der Erwägung, dass die Kommission am 12. Juli 2016 im Anschluss an weitere Erörterungen mit der US-Regierung ihren Durchführungsbeschluss (EU) 2016/1250 erließ, in dem sie das Schutzniveau für personenbezogene Daten, die unter dem EU-US-Datenschutzschild aus der Union an Organisationen in den Vereinigten Staaten übermittelt werden, für angemessen erklärt;
G. in der Erwägung, dass zu dem EU-US-Datenschutzschild mehrere Schreiben und unilaterale Erklärungen der US-Regierung gehören, in denen unter anderem die Datenschutzgrundsätze, die Funktionsweise der Kontrolle, Durchsetzung und Abhilfe und die Schutzmaßnahmen und Garantien, unter denen die Sicherheitsbehörden auf personenbezogene Daten zugreifen und diese verarbeiten können, erläutert werden;
H. in der Erwägung, dass die Artikel 29 Datenschutzgruppe in ihrer Erklärung vom 26. Juli 2016 die mit dem EU-US-Datenschutzschild einhergehenden Verbesserungen gegenüber der Safe-Harbor-Regelung begrüßt und der Kommission und den staatlichen Stellen der Vereinigten Staaten Anerkennung dafür zollt, dass sie ihre Bedenken berücksichtigt haben; in der Erwägung, dass die Artikel 29 Datenschutzgruppe jedoch darauf hinweist, dass einige ihrer Bedenken sowohl mit Blick auf die kommerziellen Aspekte als auch auf den Zugang der öffentlichen Stellen der Vereinigten Staaten zu den aus der EU übermittelten Daten noch nicht ausgeräumt sind, wobei beispielsweise die Tatsache, dass es keine gesonderten Bestimmungen über automatisierte Entscheidungen und kein allgemeines Widerspruchsrecht gibt, das Erfordernis robusterer Garantien mit Blick auf die Unabhängigkeit und die Befugnisse des Ombudsmechanismus oder das Fehlen einer konkreten Zusicherung, dass personenbezogene Daten nicht massenweise und anlassunabhängig erhoben werden (Sammelerhebung), zu nennen sind;
1. begrüßt die von der Kommission und der US-Regierung unternommenen Bemühungen um die Ausräumung der Bedenken des EuGH, der Mitgliedstaaten, des Europäischen Parlaments, der Datenschutzbehörden und der Interessenträger, sodass die Kommission den Durchführungsbeschluss erlassen konnte, in dem der EU-US-Datenschutzschild für angemessen erklärt wurde;
2. weist darauf hin, dass der EU-US-Datenschutzschild im Hinblick auf die Klarheit bei den Standards erhebliche Verbesserungen gegenüber der früheren EU-US-Safe-Harbor-Regelung mit sich bringt und dass US-Organisationen, die sich durch Selbstzertifizierung zur Einhaltung des EU-US-Datenschutzschildes verpflichtet haben, eindeutigere Datenschutzstandards einhalten müssen als noch im Rahmen der Safe-Harbor-Regelung;
3. nimmt zur Kenntnis, dass bis 23. März 2017 1 893 US-Organisationen dem EU-US-Datenschutzschild beigetreten waren; bedauert, dass das Datenschutzschild auf freiwilliger Selbstzertifizierung beruht und daher nur für US-Organisationen gilt, die ihm freiwillig beigetreten sind, und viele Unternehmen dadurch gar nicht unter die Regelung fallen;
4. weist darauf hin, dass der EU-US-Datenschutzschild die Übermittlung von Daten von KMU und Unternehmen der Union in die Vereinigten Staaten vereinfacht;
5. stellt fest, dass die Befugnisse der europäischen Datenschutzbehörden im Einklang mit dem Urteil des EuGH in der Rechtssache Schrems von der Angemessenheitsentscheidung nicht beeinträchtigt werden und dass diese Behörden somit ihre Befugnisse ausüben können, zu denen auch die Aussetzung oder das Verbot der Übermittlung von Daten an eine im Rahmen des EU-US-Datenschutzschilds registrierte Organisation gehören; begrüßt, dass den Datenschutzbehörden der Mitgliedstaaten im Datenschutzschild-Rahmen eine bedeutende Rolle eingeräumt wird, und zwar nicht nur bei der Prüfung und Untersuchung von Beschwerden im Zusammenhang mit dem Schutz der Rechte auf Privatsphäre und Familienleben gemäß der EU-Grundrechtecharta, sondern auch bei der Aussetzung der Übermittlung von Daten, wobei die Pflicht des US-Handelsministeriums, solche Beschwerden zu klären, natürlich gleichfalls zu begrüßen ist;
6. stellt fest, dass betroffenen EU-Bürgern mit dem Datenschutzschild-Rahmen mehrere rechtliche Möglichkeiten in den USA offenstehen: erstens können Beschwerden entweder direkt beim Unternehmen oder im Anschluss an eine Befassung einer Datenschutzbehörde über das Handelsministerium oder bei einer unabhängigen Schiedsstelle eingereicht werden, zweitens kann, sofern es zu einem Eingriff in die Grundrechte aus Gründen der der nationalen Sicherheit kommt, eine Zivilklage vor einem US-Gericht sowie vergleichbare Beschwerden bei der neuen unabhängigen Ombudsperson des Datenschutzschildes eingereicht werden und schließlich gibt es bei Beschwerden über einen Eingriff in die Grundrechte aus Gründen der Strafverfolgung und des öffentlichen Interesses noch die Möglichkeit, die Anfechtung von Anordnungen zu beantragen; fordert, dass die Kommission und die Datenschutzbehörden weitere Orientierungshilfe leisten, damit all diese Möglichkeiten leichter in Anspruch genommen werden können;
7. weist auf die eindeutige Zusage des US-Handelsministeriums hin, sorgsam darauf zu achten, dass die US-Organisationen die Grundsätze des EU-US-Datenschutzschilds einhalten, und verweist auf die Absicht der Organisationen, bei Verstößen Durchsetzungsmaßnahmen gegen die betreffenden Einrichtungen zu verhängen;
8. bekräftigt seine an die Kommission gerichtete Forderung, den rechtlichen Status der „schriftlichen Zusicherungen“ der Vereinigten Staaten zu klären und dafür Sorge zu tragen, dass alle im Rahmen des Datenschutzschilds vorgesehenen Zusagen oder Regelungen auch nach dem Amtsantritt einer neuen Regierung in den Vereinigten Staaten gültig sind;
9. ist der Ansicht, dass noch erhebliche Fragen zu bestimmten kommerziellen Aspekten, der nationalen Sicherheit und der Rechtsdurchsetzung im Raum stehen, obwohl die US-Regierung in den an die Datenschutzschild-Regelung angehängten Schreiben einige Zusagen und Zusicherungen gemacht hat;
10. verweist insbesondere auf den großen Unterschied zwischen dem mit Artikel 7 der Richtlinie 95/46/EG gewährten Schutz und den Grundsätzen der „Informationspflicht und Wahlmöglichkeit“ der Datenschutzschild-Regelung sowie die beträchtliche Diskrepanz zwischen Artikel 6 der Richtlinie 95/46/EG und dem Grundsatz der „Datenintegrität und Zweckbindung“ in der Datenschutzschild-Regelung; stellt fest, dass die Rechte der betroffenen Personen im Rahmen der Grundsätze des Datenschutzschilds nur für zwei eng gefasste Verarbeitungsvorgänge (Offenlegung und Änderung des Zwecks) gelten und ausschließlich das Recht auf Widerspruch („Opt-out“) umfassen und es keine Rechtsgrundlage (wie zum Beispiel Einwilligung oder Vertrag) gibt, die für alle Verarbeitungsvorgänge gilt und erforderlich wäre;
11. ist der Ansicht, dass diese zahlreichen Bedenken dazu führen könnten, dass die Entscheidung über die Angemessenheit des Schutzes in der Zukunft erneut vor den Gerichten angefochten wird; weist nachdrücklich auf die nachteiligen Folgen sowohl im Bereich der Wahrung der Grundrechte als auch mit Blick auf die von den Akteuren benötigte Rechtssicherheit hin;
12. weist unter anderem darauf hin, dass es keine gesonderten Vorschriften über automatisierte Entscheidungen und über ein allgemeines Widerspruchsrecht gibt und nicht eindeutig geklärt ist, wie die Grundsätze des Datenschutzschilds bei Auftragsverarbeitern (Beauftragten) angewendet werden;
13. stellt fest, dass Einzelpersonen zwar die Möglichkeit haben, beim EU-Verantwortlichen Widerspruch gegen eine Übermittlung ihrer personenbezogenen Daten in die Vereinigten Staaten und gegen eine Weiterverarbeitung dieser Daten in den in Vereinigten Staaten einzulegen, sofern das dem Datenschutzschild angeschlossene Unternehmen als Auftragsverarbeiter im Namen des EU-Verantwortlichen tätig ist, es jedoch im Datenschutzschild keine gesonderten Bestimmungen über ein allgemeines Recht auf Widerspruch gegenüber dem selbstzertifizierten US-Unternehmen gibt;
14. stellt fest, dass nur ein Bruchteil der US-Organisationen, die sich dem Datenschutzschild angeschlossen haben, eine EU-Datenschutzbehörde für den Streitbeilegungsmechanismus gewählt hat; ist beunruhigt darüber, dass dies den EU-Bürgern zum Nachteil gereichen könnte, wenn sie versuchen, ihre Rechte geltend zu machen;
15. stellt fest, dass es keine ausdrücklichen Grundsätze dazu gibt, inwieweit die Grundsätze des Datenschutzschilds für Auftragsverarbeiter (Beauftragte) gelten, und weist darauf hin, dass, „[s]ofern nicht anderweitig festgelegt“, sämtliche Grundsätze für die Verarbeitung von personenbezogenen Daten durch jedes selbstzertifizierte US-Unternehmen gelten und dass die Übermittlung zum Zwecke der Verarbeitung stets auf der Grundlage eines Vertrags mit dem EU-Verantwortlichen erfolgen muss, der über die Zwecke und Mittel der Verarbeitung und darüber, ob der Auftragsverarbeiter die Daten (beispielsweise zum Zweck der Unterauftragsverarbeitung) weitergeben darf, entscheidet;
16. betont mit Blick auf die nationale Sicherheit und die Überwachung, dass trotz der Klarstellungen, die das Office of the Director of National Intelligence (Amt des Direktors der nationalen Nachrichtendienste) in den dem Datenschutzschild-Rahmen beigefügten Schreiben machte, nach wie vor eine Sammelüberwachung möglich ist, auch wenn die US-Behörden hierfür eine andere Terminologie verwenden; bedauert, dass das Konzept der Sammelüberwachung nicht einheitlich definiert ist und die amerikanische Terminologie übernommen wurde, und fordert daher eine einheitliche, dem europäischen Verständnis verbundene Definition des Begriffs, in der die Bewertung nicht von Suchkriterien abhängig gemacht wird; betont, dass jede Art der Sammelüberwachung gegen die EU‑Grundrechtecharta verstößt;
17. stellt fest, dass in Anhang VI (Schreiben von Robert S. Litt, Office of the Director of National Intelligence – Amt des Direktors der nationalen Nachrichtendienste) klargestellt wird, dass die Sammelerhebung personenbezogener Daten und die Sammelerfassung der Kommunikation von Personen, die nicht Staatsangehörige der USA sind, gemäß der Presidential Policy Directive 28 („PPD-28“) in sechs Fällen nach wie vor zulässig sind; weist darauf hin, dass diese Sammelerhebung und -erfassung lediglich so zielgerichtet wie möglich („as tailored as feasible“) und zumutbar („reasonable“) sein muss, was nicht den in der Charta verankerten strengeren Kriterien der Notwendigkeit und der Verhältnismäßigkeit entspricht;
18. weist mit großer Besorgnis darauf hin, dass das Privacy and Civil Liberties Oversight Board (PCLOB) – das gemäß Anhang VI (Schreiben von Robert S. Litt, Office of the Director of National Intelligence – Amt des Direktors der nationalen Nachrichtendienste) ein unabhängiges, gesetzlich festgelegtes Gremium ist, dem die Analyse und Überprüfung von Programmen und Maßnahmen zur Terrorismusbekämpfung, einschließlich des Einsatzes signalerfassender Aufklärung, obliegt, um in diesem Zusammenhang den Schutz der Privatsphäre und der bürgerlichen Freiheiten sicherzustellen – am 7. Januar 2017 seine Beschlussfähigkeit verloren hat und beschlussunfähig sein wird, bis der Präsident der Vereinigten Staaten neue Vorstandsmitglieder ernannt und der US-Senat diese bestätigt hat; betont, dass ein beschlussunfähiges PCLOB in seinen Befugnissen eingeschränkter ist und bestimmte Maßnahmen nicht ergreifen kann, für die die Zustimmung des Vorstands erforderlich ist, zum Beispiel die Einleitung von Kontrollprojekten oder die Abgabe von Empfehlungen im Zusammenhang mit der Kontrolle, wodurch die Garantien und Zusicherungen der US Behörden, was die Einhaltung und Kontrolle in diesem Bereich betrifft, erheblich geschwächt werden;
19. bedauert, dass der EU-US-Datenschutzschild die massenhafte Erhebung von Daten zum Zweck der Strafverfolgung nicht untersagt;
20. betont, dass der EuGH in seinem Urteil vom 21. Dezember 2016 deutlich gemacht hat, dass die Charta der Grundrechte „dahin auszulegen ist, dass [sie] einer nationalen Regelung entgegensteht, die für Zwecke der Bekämpfung von Straftaten eine allgemeine und unterschiedslose Vorratsspeicherung sämtlicher Verkehrs- und Standortdaten aller Teilnehmer und registrierten Nutzer in Bezug auf alle elektronischen Kommunikationsmittel vorsieht“; weist darauf hin, dass die Sammelüberwachung in den Vereinigten Staaten somit kein im Wesentlichen gleichwertiges Maß an Schutz personenbezogener Daten und von Kommunikation gewährt;
21. ist beunruhigt über die aktuellen Enthüllungen, wonach ein US-Dienstleistungserbringer für elektronische Kommunikation auf Aufforderung des Amts für nationale Sicherheit (NSA) und des FBI noch 2015 sämtliche über seine Server übermittelten E-Mails überwacht habe, also noch ein Jahr, nachdem die Presidential Policy Directive 28 erlassen wurde, und während der Verhandlungen über den EU-US-Datenschutzschild; besteht darauf, dass die Kommission bei den US-Behörden uneingeschränkte Aufklärung einfordert und die Antworten dem Rat, dem Parlament und den nationalen Datenschutzbehörden zur Verfügung stellt; hält dies für einen Grund, die Zusicherungen des Office of the Director of National Intelligence massiv in Zweifel zu ziehen; ist sich bewusst, dass das EU-US-Datenschutzschild lediglich auf der PPD-28 beruht, die durch den Präsidenten erlassen wurde und ohne Zustimmung des Kongresses von jedem künftigen Präsidenten auch wieder aufgehoben werden kann;
22. weist mit Besorgnis darauf hin, dass am 23. und 28. März 2017 jeweils der US-Senat und das US-Repräsentantenhaus für die Ablehnung der Vorschriften über den Schutz der Privatsphäre von Kunden von Breitbanddiensten und weiteren Telekommunikationsdiensten gestimmt haben, die von der Federal Communications Commission vorgelegt worden waren, wodurch in der Praxis die Vorschriften über die Privatsphäre bei der Nutzung von Breitbanddiensten abgeschafft werden, die Internetdienstanbieter verpflichtet hätten, sich die ausdrückliche Einwilligung der Internetnutzer einzuholen, bevor sie Browserdaten oder andere private Informationen verkaufen oder an Werbende und andere Unternehmen weitergeben; ist der Ansicht, dass dies eine weitere Bedrohung für den Schutz der Privatsphäre in den Vereinigten Staaten ist;
23. ist sehr beunruhigt über die „Procedures for the Availability or Dissemination of Raw Signals Intelligence Information by the National Security Agency under Section 2.3 of Executive Order 12333“ (Verfahren für die Bereitstellung oder Weiterleitung von Rohdaten der Signalaufklärung durch die National Security Agency gemäß Abschnitt 2.3 des Präsidialerlasses 12333), die am 3. Januar 2017 von der Justizministerin genehmigt wurden und es der NSA ermöglichen, gewaltige Mengen ohne eine Ermächtigung, eine richterliche Anordnung oder eine Genehmigung des Kongresses erhobener privater Daten an 16 andere Stellen – darunter das FBI, die Rauschgiftbehörde und das Ministerium für innere Sicherheit – weiterzugeben; fordert die Kommission auf, unverzüglich der Frage nachzugehen, ob diese neuen Bestimmungen mit den im Rahmen des Datenschutzschilds abgegebenen Zusagen der US-Behörden vereinbar sind, und die Auswirkungen dieser neuen Bestimmungen auf das Maß des Schutzes personenbezogener Daten in den Vereinigten Staaten zu bewerten;
24. weist darauf hin, dass Einzelpersonen, einschließlich Betroffene in der EU, eine Reihe von Rechtsbehelfen zur Verfügung steht, wenn sie aus Gründen der nationalen Sicherheit in den Vereinigten Staaten rechtswidrig (elektronisch) überwacht wurden, dass jedoch auch feststeht, dass zumindest einige Rechtsgrundlagen, die US Nachrichtendienste nutzen können (z. B. Executive Order12333), nicht abgedeckt sind; betont des Weiteren, dass selbst wenn Nicht-US-Bürger im Prinzip auf gerichtliche Rechtsbehelfe zurückgreifen können, beispielsweise auf der Grundlage des FISA im Falle der Überwachung, die verfügbaren Klagemöglichkeiten begrenzt sind und Klagen von Einzelpersonen (auch US-Bürgern) abgewiesen werden, wenn diese ihre „Klagebefugnis“ nicht nachweisen können, was den Zugang zu den ordentlichen Gerichten einschränkt;
25. fordert die Kommission auf, die Auswirkungen des Präsidialerlasses (Executive Order) mit dem Titel „Enhancing Public Safety in the Interior of the United States“ (Verbesserung der öffentlichen Sicherheit in den Vereinigten Staaten) vom 25. Januar 2017 und insbesondere Absatz 14 – der den Ausschluss von Nichtstaatsangehörigen vom Schutz des Privacy Act im Hinblick auf personenbezogene Daten betrifft und im Widerspruch zu den schriftlichen Zusicherungen steht, wonach Einzelpersonen Mechanismen der gerichtlichen Rechtsbehelfe zur Verfügung stehen, wenn von den US Behörden auf ihre Daten zugegriffen wurde – zu bewerten; fordert die Kommission auf, eine detaillierte rechtliche Analyse über die Frage zu übermitteln, wie sich die Maßnahmen im Rahmen des Präsidialerlasses auf die Möglichkeiten der Europäer, in den Vereinigten Staaten auf Rechtsbehelfe zurückzugreifen, und ihr Recht auf gerichtliche Rechtsbehelfe in den Vereinigten Staaten auswirken;
26. bedauert, dass weder die Grundsätze des Datenschutzschilds noch die Schreiben der US-Regierung, in denen Klarstellungen und Zusicherungen übermittelt wurden, belegen, dass natürliche Personen in der EU, deren personenbezogene Daten gemäß den Grundsätzen des Datenschutzschilds an eine US-Organisation übermittelt und anschließend von öffentlichen Stellen in den USA zum Zweck der Strafverfolgung und des öffentlichen Interesses eingesehen und verarbeitet werden, Anspruch auf einen wirksamen Rechtsbehelf haben, den der EuGH in seinem Urteil vom 6. Oktober 2015 als Wesensgehalt des Grundrechts in Artikel 47 der EU-Grundrechtecharta hervorhob;
27. erinnert an seine Entschließung vom 26. Mai 2016, in der es die Auffassung vertrat, dass der vom US-Außenministerium eingerichtete Ombudsmechanismus nicht unabhängig genug und nicht mit ausreichenden wirksamen Befugnissen für die Wahrnehmung seiner Aufgaben und für die Bereitstellung eines wirksamen Rechtsbehelfs für natürliche Personen aus der EU ausgestattet ist; stellt fest, dass die neue US-Regierung bislang keine neue Ombudsperson ernannt hat, nachdem die Amtszeit der im Juli 2016 mit dieser Aufgabe betrauten Unterstaatssekretärin für Wirtschaftswachstum, Energie und Umwelt abgelaufen ist; vertritt die Auffassung, dass die Zusicherung der US-Seite, Einzelpersonen aus der EU wirksame Rechtsbehelfe zur Verfügung zu stellen, als null und nichtig anzusehen ist, wenn keine unabhängige und mit ausreichenden Befugnissen ausgestattete Ombudsperson ernannt wird; ist allgemein besorgt darüber, dass eine vom Verstoß gegen die Vorschriften betroffene Person nur die Auskunft und Löschung der Daten bzw. einen Weiterverarbeitungsstopp beantragen kann, aber keinen Anspruch auf Schadenersatz hat;
28. weist mit Besorgnis darauf hin, dass mit Stand vom 30. März 2017 bei der Federal Trade Commission, die den Datenschutzschild durchsetzt, drei der fünf Sitze unbesetzt sind;
29. bedauert, dass im Rahmen des Verfahrens zur Annahme einer Angemessenheitsentscheidung keine formelle Konsultation von einschlägigen Interessenträgern wie zum Beispiel Verbänden, die Unternehmen und insbesondere KMU vertreten, vorgesehen ist;
30. bedauert, dass die Kommission das Verfahren zum Erlass eines Durchführungsbeschlusses der Kommission in der Praxis so angewendet hat, dass das Parlament sein Recht auf die Kontrolle des Entwurfs des Durchführungsrechtsakts de facto nicht wirksam wahrnehmen konnte;
31. fordert die Kommission auf, sämtliche Maßnahmen zu ergreifen, die erforderlich sind, damit der Datenschutzschild uneingeschränkt im Einklang mit der ab 16. Mai 2018 geltenden Verordnung (EU) 2016/679 und der EU-Grundrechtecharta steht;
32. fordert die Kommission auf, insbesondere dafür Sorge zu tragen, dass personenbezogene Daten, die im Rahmen des Datenschutzschilds in die USA übermittelt wurden, nur unter der Voraussetzung in ein anderes Drittland übermittelt werden dürfen, dass diese Übermittlung mit dem Zweck, zu dem die Daten ursprünglich erhoben wurden, im Einklang steht und dass in dem Drittland dieselben Bestimmungen über einen konkreten und zielgerichteten Zugang zu Strafverfolgungszwecken gelten;
33. fordert die Kommission auf, zu beobachten, ob personenbezogene Daten, die für den Zweck, zu dem sie ursprünglich erhoben wurden, nicht mehr benötigt werden, unter anderem von den Strafverfolgungsbehörden gelöscht werden;
34. fordert die Kommission auf, sorgfältig zu überwachen, ob die Datenschutzbehörden im Rahmen des Datenschutzschilds allen ihren Befugnissen uneingeschränkt nachkommen können, und – sollte dies nicht der Fall sein – die Bestimmungen, die der Ausübung der Befugnisse der Datenschutzbehörden im Wege stehen, zu ermitteln;
35. fordert die Kommission auf, sämtliche Unzulänglichkeiten und Schwächen, die in dieser Entschließung und seiner Entschließung vom 26. Mai 2016 zur transatlantischen Datenübermittlung aufgeführt sind bzw. die von der Artikel 29 Datenschutzgruppe, dem EDSB und den Interessenträgern ermittelt wurden, bei der ersten gemeinsamen jährlichen Überprüfung eingehend und gründlich zu analysieren, aufzuzeigen, wie diese Punkte angegangen wurden, damit sichergestellt ist, dass die Charta und das Unionsrecht eingehalten werden, und bis ins kleinste Detail zu bewerten, ob die in den Zusicherungen und Klarstellungen der US-Regierung genannten Mechanismen und Garantien wirksam und praxistauglich sind;
36. fordert die Kommission auf, dafür zu sorgen, dass sämtliche an der gemeinsamen jährlichen Überprüfung Mitwirkende uneingeschränkten und ungehinderten Zugang zu allen Unterlagen und Räumlichkeiten haben, die für die Wahrnehmung ihrer Aufgaben erforderlich sind, und dass ihnen alle Informationen zur Verfügung stehen, die es ihnen ermöglichen, die Notwendigkeit und Verhältnismäßigkeit der Erhebung von und des Zugriffs auf Daten, die von Behörden entweder zum Zweck der Strafverfolgung oder im Interesse der nationalen Sicherheit übermittelt wurden, ordnungsgemäß zu prüfen;
37. betont, dass dafür gesorgt werden muss, dass jeder an der gemeinsamen Überprüfung Mitwirkende bei der Wahrnehmung seiner Aufgaben unabhängig und befugt ist, im Abschlussbericht der gemeinsamen Überprüfung eine eigene abweichende Stellungnahme abzugeben, die veröffentlicht und dem gemeinsamen Bericht als Anlage beigefügt wird;
38. fordert die Datenschutzbehörden der Union auf, das Funktionieren des EU-US-Datenschutzschilds zu überwachen und ihre Befugnisse auszuüben, zu denen auch die Aussetzung oder das endgültige Verbot der Übermittlung personenbezogener Daten an eine Organisation des EU-US-Datenschutzschilds gehört, wenn sie zu der Auffassung gelangen, dass die Grundrechte der Betroffenen in der Union auf Privatsphäre und auf den Schutz personenbezogener Daten nicht zweifelsfrei gewahrt sind;
39. betont, dass das Europäische Parlament uneingeschränkten Zugang zu allen einschlägigen Unterlagen im Zusammenhang mit der gemeinsamen jährlichen Überprüfung haben sollte;
40. beauftragt seinen Präsidenten, diese Entschließung der Kommission, dem Rat, den Regierungen und nationalen Parlamenten der Mitgliedstaaten sowie der Regierung und dem Kongress der Vereinigten Staaten von Amerika zu übermitteln.