Auswirkungen der Safe Harbor Entscheidung des Europäischen Gerichtshofs
der Abgeordneten Jan Korte, Frank Tempel, Annette Groth, Dr. André Hahn, Inge Höger, Andrej Hunko, Ulla Jelpke, Katrin Kunert, Harald Petzold (Havelland), Martina Renner, Dr. Petra Sitte, Halina Wawzyniak und der Fraktion DIE LINKE.
Vorbemerkung
Mit seinem Urteil vom 6. Oktober 2015 hat der Europäische Gerichtshof (EuGH) die sogenannte Safe-Harbor-Entscheidung der Europäischen Kommission aus dem Jahre 2000 (2000/520/EG) für ungültig erklärt. Während die darin geregelte Selbstzertifizierung US-amerikanischer Unternehmen bisher als Grundlage für Datenübermittlungen in die USA herangezogen wurde, ist dies mit Verkündung des Urteils nicht mehr zulässig.
In seinem Urteil nimmt der EuGH Bezug auf Mitteilungen der Kommission an das Europäische Parlament und den Rat vom November 2013, in denen die Kommission diverse Schutzlücken ihrer Safe-Harbor-Entscheidung darstellt. Mit Blick auf diese gravierenden Schutzlücken macht der EuGH in seinem Urteil deutlich, dass die Safe-Harbor-Entscheidung ungültig ist, weil sie keine ausreichende Begrenzung der Zugriffe von staatlichen Behörden bewirke. Ebenso fehle es in der Safe-Harbor-Entscheidung an jeder Feststellung über ausreichende Rechtsschutzmöglichkeiten für europäische Bürgerinnen und Bürger. Zudem stellt der EuGH abstrakt fest, dass nationale Regelungen, die es generell gestatten, auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzen.
Das Urteil hat zur Folge, dass Transfers personenbezogener Daten in die USA auf Grundlage des Safe-Harbor-Abkommens nicht mehr möglich sind. Für Unternehmen, die personenbezogene Daten bislang auf dieser Grundlage in die USA übermittelt haben, besteht daher akuter Handlungsbedarf, wenn sie sich nicht des permanenten Verstoßes gegen die Rechtsgrundsätze des Urteils schuldig machen wollen.
Ab sofort müssen die Firmen überprüfen, ob von entsprechenden Transfers in die USA abzusehen ist oder aber der Gebrauch anderer Instrumente, wie EU-Standardverträge oder Binding Corporate Rules (BCR), in Betracht kommen bzw. angewandt werden müssen. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff, fordert als Konsequenz aus dem EuGH-Urteil zu Safe-Harbor, die jetzt bestehenden Chancen für eine nachhaltige Stärkung des Datenschutzes für europäische Bürger zu nutzen (vgl. Pressemitteilung vom 26. Oktober 2015) und weist ausdrücklich darauf hin, dass die Datenschutzaufsichtsbehörden Deutschlands und in Europa sorgfältig prüfen werden, inwieweit im Lichte der EuGH-Entscheidung zu Safe-Harbor von Standardvertragsklauseln und BCR weiterhin Gebrauch gemacht werden kann.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HamBfDI), Prof. Dr. Johannes Caspar, kündigte stellvertretend für seine Landeskollegen an, Firmen daraufhin zu kontrollieren, ob sie Daten weiter allein auf Grundlage des vom EuGH für nichtig erklärten Safe-Harbor-Abkommens in die USA übermitteln (vgl. www.spiegel.de vom 26. Oktober 2015). Laut „SPIEGEL ONLINE“ teilte Prof. Dr. Johannes Caspar ferner mit, dass diese Prüfung insbesondere bei den Tochterunternehmen von Safe-Harbor-gelisteten US-Unternehmen erfolgen werde. Untersagungsverfügungen könnten sich daran anschließen.
In dem 14 Punkte umfassenden Positionspapier der Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) vom 26. Oktober 2015 fordern die Datenschützer darüber hinaus u. a. die Bundesregierung auf, in direkten Verhandlungen mit der US-Regierung auf die Einhaltung eines angemessenen Grundrechtsstandards hinsichtlich Privatsphäre und Datenschutz zu drängen.
Nach § 4b BDSG ist die Übermittlung personenbezogener Daten in sog. Drittstaaten (d. h. Staaten, die nicht Mitglied der EU oder Vertragspartei des Europäischen Wirtschaftsraums sind) – abgesehen von den Ausnahmen des § 4c BDSG – insbesondere nur dann zulässig, wenn bei den jeweiligen Empfängern in den Drittstaaten ein angemessenes Schutzniveau vorliegt.
Wir fragen die Bundesregierung:
Fragen30
Welche Auswirkungen und Konsequenzen hat die Safe-Harbor-Entscheidung des EuGH vom 6. Oktober 2015 konkret für die betroffenen Unternehmen?
Sieht die Bundesregierung insbesondere für kleinere und mittlere Unternehmen Probleme aufgrund der EuGH-Entscheidung, und wenn ja, welche sind dies, und welche Pläne hat sie, diese zu beheben, und welche Kommunikationsinstrumente (Gesprächskreise, Arbeitsgremien, Konferenzen o. Ä.) hat die Bundesregierung zur Behebung der Probleme mit den betroffenen Unternehmen bzw. ihren Verbänden vorbereitet oder schon eingesetzt?
Welche Auswirkungen und Konsequenzen hat die Safe-Harbor-Entscheidung des EuGH vom 6. Oktober 2015 konkret für die Kundinnen und Kunden betroffener Unternehmen?
Sieht die Bundesregierung Probleme für die Kundinnen und Kunden, und wenn ja, welche sind dies, und welche Pläne hat sie, diese zu beheben?
Bestehen im Geschäftsbereich der Bundesregierung Geschäftsbeziehungen zu US-Unternehmen, die bislang unter die Safe-Harbor-Regelung fielen (von Stellen im Geschäftsbereich der Bundesregierung genutzte soziale Medien, Auftragsdatenverarbeitung, data storing, etc.), und wie geht die Bundesregierung nun damit um?
Wird die Bundesregierung das EuGH-Urteil zu Safe-Harbor für eine nachhaltige Stärkung des Datenschutzes für die Bürgerinnen und Bürger der Bundesrepublik Deutschland und Europas nutzen, und wenn ja, in welcher Form?
Können nach Auffassung der Bundesregierung Datentransfers ohne Schutzlücken und Grundrechtseinschränkungen gewährleistet werden, solange die geheimdienstliche Massenausforschung, die der EuGH als das zentrale Problem für die Datentransfers identifiziert hat, nicht beendet wurde?
Wenn ja, wie könnte der Grundrechtsschutz gewährleistet werden?
Wenn nein, würde dies nach Meinung der Bundesregierung dann zwangsläufig jegliche Datentransfers in Frage stellen?
Sieht die Bundesregierung die Notwendigkeit, auch die innereuropäischen Datentransfers im Lichte des Urteils zu überprüfen, da auch EU-Mitgliedstaaten geheimdienstliche Massenausforschung betreiben?
Wie soll die Einhaltung der neuen Rechtsgrundlage einerseits bei den rund 5 500 Unternehmen, die sich als Safe-Harbor-Nutzer registriert hatten und andererseits bei allen anderen Unternehmen, die auf anderer Rechtsgrundlage (z. B. Standardvertragsklauseln oder verbindliche Unternehmensregelungen − BCR) transatlantischen Datentransfer betreiben, nach Kenntnis der Bundesregierung konkret überprüft werden, und hält die Bundesregierung die Datenschutzbehörden dafür ausreichend finanziell, personell und technisch ausgestattet?
Welche Schlussfolgerungen zieht die Bundesregierung aus dem EuGH-Urteil für die Arbeit und Ausstattung der BfDI?
In welcher Form sollen nach Auffassung der Bundesregierung Unternehmen ihre Verfahren zum Datentransfer datenschutzgerecht gestalten, und an welchen Maßstäben oder Handlungsanleitungen sowie gesetzlichen Grundlagen können und sollen sich die betroffenen Unternehmen dabei orientieren?
Kann nach Meinung der Bundesregierung eine formale Einwilligung zum Transfer personenbezogener Daten eine tragfähige Grundlage für eine Neuregelung des transatlantischen Datentransfers sein, und wenn ja, unter welchen Bedingungen und wie ausgestaltet könnte die Bundesregierung sich eine solche Regelung vorstellen, welche Arten personenbezogener Daten wären davon betroffen, und wie könnte verhindert werden, dass der Datentransfer im Einzelfall einer Einwilligungsregelung nicht wiederholt, massenhaft oder routinemäßig erfolgt?
Wenn nein, warum nicht?
Teilt die Bundesregierung die Argumentation von US-Unternehmen, die zum Teil bereits vor dem EuGH-Urteil Tochtergesellschaften in EU-Staaten, vorwiegend in Irland, gegründet haben (z. B. Google Ireland Ltd), dass die von ihnen erhobenen personenbezogenen Daten nur auf Servern in der EU gespeichert würden und daher vor dem Zugriff US-amerikanischer Sicherheitsbehörden sicher seien vor dem Hintergrund, dass im Mai 2014 die Microsoft Corporation von einem New Yorker Bezirksgericht zur Herausgabe aller außerhalb den USA gespeicherter Daten verpflichtet wurde, darunter insbesondere auch diejenigen Daten, die in einem in Irland befindlichen Rechenzentrum gespeichert waren und welches von einer Tochtergesellschaft der Microsoft Corporation betrieben wird?
Teilt die Bundesregierung die Auffassung, dass bei einer letztinstanzlichen Bestätigung des in Frage 13 angesprochenen Urteils, eine hiesigen Standards entsprechende Regelung nicht mehr möglich wäre, weil Daten grundsätzlich an US-Muttergesellschaften übertragbar und damit dortigen Standards unterworfen wären?
Welchen Drittländern hat die Europäische Kommission verbindlich für alle EU-Mitgliedstaaten ein angemessenes Schutzniveau attestiert, und auf Grundlage welcher Informationen erfolgte dies jeweils zu welchem Zeitpunkt, und hat sie diese Regelungen im Lichte des EuGH-Urteils überprüft, bzw. plant sie nach Kenntnis der Bundesregierung eine solche Überprüfung?
Plant die Bundesregierung eine Gesetzesinitiative, um dem Urteil des EuGH folgend, den Datenschutzbehörden ein Klagerecht einzuräumen?
Teilt die Bundesregierung die Ansicht, dass im Lichte des Urteils des EuGH auch die Zulässigkeit der Datentransfers in die USA auf der Grundlage der anderen hierfür eingesetzten Instrumente, etwa Standardvertragsklauseln und verbindliche Unternehmensregelungen (BCR), in Frage gestellt sei, und wenn ja, welche Konsequenzen zieht sie daraus?
Wenn nein, warum nicht?
Wird sich die Bundesregierung dafür einsetzen, dass die Entscheidungen zu den Standardvertragsklauseln zeitnah an die in dem EuGH-Urteil gemachten Vorgaben angepasst werden, und wenn ja in welcher Form?
Wenn nein, warum nicht?
Welche Auswirkungen hat das Urteil des EuGH auf die Ausgestaltung der europäischen Datenschutzgrundverordnung (DSGV) und welche Initiativen hat die Bundesregierung unternommen, um die bisherigen Regelungen an die Festlegungen des Urteils anzupassen?
Welche Konsequenzen ergeben sich aus dem Urteil für die Verhandlungen über die DSGV, hinsichtlich von Standardvertragsklauseln und verbindlichen Unternehmensregelungen (BCR), die bislang ebenfalls als Instrumente des Datenschutzes in der DSGV vorgesehen sein sollen?
Müssten nach Ansicht der Bundesregierung Verhandlungen über ein neues Safe-Harbor-Abkommen bis zur Verabschiedung der Datenschutzgrundverordnung suspendiert werden, um zu verhindern, dass durch die in der Datenschutzgrundverordnung vorgesehene Schutzklausel für bereits bestehende Datenübereinkünfte mit Drittländern (Artikel 89a des VO-Entwurfs) zugleich das dort festgelegte Schutzniveau unterlaufen wird?
Wie ist nach Kenntnis der Bundesregierung der Verhandlungsstand eines Rahmenabkommens zwischen der EU und den USA für den Datenschutz, in dem auch der Datenaustausch zu Strafverfolgungszwecken und der Gefahrenabwehr Gegenstand ist?
Liegt der Entwurf des Rahmenabkommens vor, wann wird er in welcher Form veröffentlicht werden, respektive warum ist eine Veröffentlichung bislang nicht erfolgt und nicht in Planung?
Wird sich die Bundesregierung dafür einsetzen, dass die Kommission in ihren Verhandlungen mit den USA auf die Schaffung ausreichend weitreichender Garantien zum Schutz der Privatsphäre drängt, und wie lassen sich die Eckpunkte der Verhandlungsposition der Bundesregierung beschreiben?
Wird die Bundesregierung in solchen direkten Verhandlungen mit der US-Regierung ebenfalls auf die Einhaltung eines angemessenen Grundrechtsstandards hinsichtlich Privatsphäre und Datenschutz drängen, und wenn ja, wann genau und in welcher Form?
Wenn nein, warum nicht?
Teilt die Bundesregierung die Meinung der für Justiz und Verbraucherschutz zuständigen EU-Kommissarin Vĕra Jourová, wonach die vom EuGH festgestellte Grundrechtswidrigkeit des Safe-Harbour-Abkommens keinen Einfluss auf die anderen Abkommen zum Datenaustausch mit US-Behörden habe und daher Bank- und Passagierdaten europäischer Bürger auch weiterhin an die US-Behörden übermittelt werden dürften (vgl. Aussprache im Innenausschuss des EU-Parlaments am 26. Oktober 2015), und wenn ja, warum?
Wenn nein, wird sie sich auf europäischer Ebene für ein Aussetzen der Übermittlungen von Bank- und Fluggastdaten einsetzen, und welche weiteren Regelungen zum Datentransfer in die USA gedenkt sie, in eine solche Prüfung einzubeziehen?
Welche Konsequenzen hat das Urteil nach Ansicht der Bundesregierung hinsichtlich der Datenübermittlung in die USA zur Abwicklung des internationalen Datenverkehrs (SWIFT) und zur Übermittlung von Flugpassagierdaten, bei denen jeweils eine streng zweckgebundene Verarbeitung der Daten durch die US-Seite nicht sichergestellt werden kann (bitte ausführen)?
Welche konkreten Konsequenzen hat das Urteil des EuGH zum Schutz europäischer Daten auf die Verhandlungen über die geplante Transatlantische Handels- und Investitionspartnerschaft zwischen der Europäischen Union und den USA (TTIP), und wie könnte nach Meinung der Bundesregierung rein praktisch verhindert werden, dass das Freihandelsabkommen Auswirkungen auf den Datenschutz in der EU und in Deutschland hat?
Hat das Safe-Harbor-Urteil des EuGH aus Sicht der Bundesregierung Auswirkungen auf das geplante Handelsabkommen zwischen der Europäischen Union und Kanada (CETA), insbesondere vor dem Hintergrund, dass Kanada als Mitglied der „Five Eyes“-Geheimdienstallianz zu einem umfassenden Datenaustausch mit den US-Geheimdiensten verpflichtet ist, und wie könnte nach Meinung der Bundesregierung rein praktisch verhindert werden, dass das Freihandelsabkommen Auswirkungen auf den Datenschutz in der EU und in Deutschland hat?
Wie können nach Ansicht der Bundesregierung Vereinbarungen zum Datenschutz zwischen der Bundesrepublik Deutschland und den Vereinigten Staaten überhaupt aussehen, wenn das Verfassungsrecht der USA kein Recht auf privacy kennt und die amerikanischen Verhandlungspartner demzufolge einen solchen Rechtsanspruch für nicht gewährbar halten?