Navigation path

Left navigation

Additional tools

Wiederherstellung des Vertrauens beim Datenaustausch zwischen der EU und den USA – Häufig gestellte Fragen

European Commission - MEMO/13/1059   27/11/2013

Other available languages: EN FR

Europäische Kommission

MEMO

Brüssel, 27. November 2013

Wiederherstellung des Vertrauens beim Datenaustausch zwischen der EU und den USA – Häufig gestellte Fragen

Was beinhaltet das heute von der Kommission vorgelegte Paket?

Die Europäische Kommission hat heute Maßnahmen vorgestellt, mit denen das Vertrauen in die Datenströme zwischen der EU und den USA wiederhergestellt werden soll, nachdem die Enthüllungen über die umfangreichen Programme der US-Nachrichtendienste zur Sammlung von Informationen große Besorgnis ausgelöst und sich bereits negativ auf die transatlantischen Beziehungen ausgewirkt haben.

Das heute von der Kommission vorgelegte Paket umfasst

  • ein Strategiepapier (in Form einer Mitteilung) über die transatlantischen Datenströme, in dem die sich aus diesen Enthüllungen ergebenden Herausforderungen und Risiken beschrieben und die erforderlichen Maßnahmen zur Ausräumung von Bedenken dargelegt werden;

  • eine Analyse des Funktionierens des Safe-Harbor-Abkommens, das die zu gewerblichen Zwecken erfolgende Datenübermittlung zwischen der EU und den USA regelt;

  • einen Sachstandsbericht zu den Feststellungen der gemeinsamen Arbeitsgruppe EU-USA zu Fragen des Datenschutzes, die im Juli 2013 eingesetzt wurde;

  • eine Überprüfung der bestehenden Abkommen über die Verwendung von Fluggastdatensätzen (Passenger Name Records – PNR) (siehe MEMO/13/1054);

  • eine Überprüfung des Programms zum Aufspüren der Finanzierung des Terrorismus (Terrorist Finance Tracking Programme – TFTP), das den Datenaustausch für Strafverfolgungszwecke regelt (siehe MEMO/13/1164).

Damit die Datenströme zwischen der EU und den USA auch in Zukunft weiterfließen können, muss ein hohes Datenschutzniveau sichergestellt werden. Zu diesem Zweck hat die Kommission heute Maßnahmen in sechs Bereichen vorgeschlagen:

  • Rasche Verabschiedung der Datenschutzreform der EU

  • Konsolidierung der Safe-Harbor-Regelung

  • Verstärkung der Datenschutzgarantien im Strafverfolgungsbereich

  • Rückgriff auf das geltende Rechtshilfeabkommen und sektorbezogene Abkommen zum Zwecke der Datenübermittlung

  • Berücksichtigung europäischer Belange im Rahmen des laufenden Reformprozesses in den USA

  • Förderung von Datenschutzstandards auf internationaler Ebene

1. Die Datenschutzreform der EU: Reaktion der EU auf die Angst vor Überwachung

Wie begegnet die Datenschutzreform der EU der Angst vor Überwachung?

Die von der Kommission im Januar 2012 angeregte Reform der EU-Datenschutzvorschriften (IP/12/46) ist die zentrale Antwort mit Blick auf den Schutz personenbezogener Daten. Fünf Aspekte des vorgeschlagenen Reformpakets sind von besonderer Bedeutung:

  • Räumlicher Anwendungsbereich: Mit der Reform der EU-Datenschutzvorschriften wird sichergestellt, dass nichteuropäische Unternehmen das EU-Datenschutzrecht einhalten, wenn sie europäischen Verbrauchern Waren und Dienstleistungen anbieten. Das Grundrecht auf Datenschutz gilt unabhängig vom Sitz eines Unternehmens oder seines Verarbeitungsbetriebs.

  • Internationaler Datentransfer: In der vorgeschlagenen Verordnung werden klare Bedingungen für die Datenübermittlung in Drittländer festgelegt. Datentransfers sind nur zulässig, wenn diese Bedingungen, mit denen das Recht natürlicher Personen auf ein hohes Schutzniveau gewährleistet wird, erfüllt sind. Das Europäische Parlament hat bei seiner Abstimmung vom 21. Oktober sogar vorgeschlagen, diese Bedingungen noch zu verschärfen.

  • Durchsetzung: Die vorgeschlagenen Bestimmungen sehen abschreckende finanzielle Sanktionen in Höhe von bis zu 2 % des weltweiten Jahresumsatzes eines Unternehmens vor (das Europäische Parlament hat eine Anhebung der Höchststrafen auf 5 % vorgeschlagen), um die Einhaltung der EU-Rechtsvorschriften durch die Unternehmen sicherzustellen.

  • Cloud-Computing: Die Verordnung enthält eindeutige Bestimmungen zu den Verpflichtungen und zur Haftung von Datenverarbeitern wie Cloud-Anbietern, auch in Sachen Sicherheit. Wie die Enthüllungen über die Datenerhebungsprogramme der US-Geheimdienste gezeigt haben, ist dies ein entscheidender Punkt, da diese Programme in der Cloud gespeicherte Daten betreffen. Darüber hinaus können sich Unternehmen, die Speicherplatz in der Cloud anbieten und zur Herausgabe personenbezogener Daten an ausländische Behörden aufgefordert werden, nicht mit dem Verweis darauf, dass sie zwar Datenverarbeiter, aber nicht für die Datenverarbeitung verantwortlich sind, ihrer Verantwortung entziehen.

  • Strafverfolgung: Das Datenschutzpaket sieht die Festlegung umfassender Bestimmungen zum Schutz der für Strafverfolgungszwecke verarbeiteten personenbezogenen Daten vor.

Nächste Schritte: Über die vorgeschlagene Datenschutzverordnung und die vorgeschlagene Datenschutzrichtlinie wird derzeit im Europäischen Parlament und im Ministerrat beraten. Das Europäische Parlament hat bei seiner Abstimmung vom 21. Oktober die Kommissionsvorschläge ausdrücklich unterstützt und ist bereit, in Verhandlungen mit dem zweiten Gesetzgebungsorgan der EU, dem Rat der Europäischen Union, einzutreten. Ferner haben die europäischen Staats- und Regierungschefs auf dem Gipfel vom 24. und 25. Oktober 2013 unterstrichen, wie wichtig eine „zeitnahe” Verabschiedung der neuen Datenschutzvorschriften ist. Die Kommission möchte die Verhandlungen bis zum Frühjahr 2014 zum Abschluss bringen.

2. Konsolidierung der Safe-Harbor-Regelung

Worum handelt es sich bei der Safe-Harbor-Entscheidung?

Die EU-Datenschutzrichtlinie aus dem Jahr 1995 legt Vorschriften für die Weitergabe personenbezogener Daten aus der EU an Drittländer vor. Nach diesen Vorschriften kann die Kommission befinden, dass ein Drittland ein „angemessenes Schutzniveau“ gewährleistet. Entsprechende Beschlüsse werden gemeinhin als „Angemessenheitsbeschlüsse“ bezeichnet.

Auf der Grundlage der Datenschutzrichtlinie von 1995 hat die Europäische Kommission am 26. Juli 2000 eine Entscheidung (die „Safe-Harbor-Entscheidung“) erlassen, durch die anerkannt wurde, dass die Grundsätze des „sicheren Hafens“ und die „Häufig gestellten Fragen“ (FAQ), vorgelegt vom Handelsministerium der USA, einen angemessenen Schutz im Hinblick auf den Transfer personenbezogener Daten aus der EU gewährleisten.

Mit der Safe-Harbor-Entscheidung wird somit die ungehinderte Übermittlung personenbezogener Daten für gewerbliche Zwecke von Unternehmen in der EU an Unternehmen in den USA ermöglicht, die sich zur Einhaltung der Grundsätze verpflichtet haben. In Anbetracht der erheblichen Unterschiede zwischen den in der EU und in den USA geltenden Datenschutzregelungen wären derartige Transfers ohne Safe Harbor nicht denkbar.

Die Safe-Harbor-Regelung basiert auf dem Eingehen von Verpflichtungen und einer Selbstzertifizierung der beigetretenen Unternehmen. Der Beitritt erfolgt durch Meldung an das US-Handelsministerium. Für die Durchsetzung der Safe-Harbor-Regelung ist die U.S. Federal Trade Commission verantwortlich. Die Beteiligung ist zwar freiwillig, jedoch sind die Unternehmen in der Folge an die geltenden Vorschriften gebunden. Die wichtigsten Grundsätze der Regelung sind:

Transparenz der Datenschutzbestimmungen der beteiligten Unternehmen,

Übernahme der Safe-Harbor-Grundsätze in die Datenschutzbestimmungen der Unternehmen und

Durchsetzung der Grundsätze, auch durch staatliche Instanzen.

Ein US-amerikanisches Unternehmen, das dem Safe Harbor-Programm beitreten möchte, muss a) in seinen öffentlich zugänglichen Datenschutzbestimmungen erklären, dass es die Grundsätze befürwortet, und diese auch befolgen, und b) eine Selbstzertifizierung vornehmen, d. h. gegenüber dem US-Handelsministerium erklären, dass es im Einklang mit diesen Grundsätzen handelt. Die Selbstzertifizierung ist jedes Jahr erneut zu übermitteln.

Für die Durchsetzung der Safe-Harbor-Regelung in den USA sind das US-Handelsministerium und die U.S. Federal Trade Commission zuständig.

Wie viele Unternehmen wenden die Regelung an?

Bis Ende September 2013 waren 3246 Unternehmen Mitglied des Safe-Harbor-Abkommens (dies entspricht einer Verachtfachung gegenüber dem Jahr 2004, als es noch 400 Unternehmen waren).

Welche Bedeutung kommt der Safe-Harbor-Regelung mit Blick auf die Überwachung zu?

Es stellt sich die Frage, ob – angesichts der Tatsache, dass im Rahmen von Safe Harbour Einschränkungen der Datenschutzbestimmungen möglich sind, wenn sich dies aus Gründen der nationalen Sicherheit als notwendig erweist – die umfassende Erfassung und Verarbeitung personenbezogener Informationen im Rahmen von US-Überwachungsprogrammen zum Schutz nationaler Sicherheitsinteressen notwendig und angemessen ist. Das Safe-Harbor-System dient als Kanal für die Übertragung personenbezogener Daten von EU-Bürgern von der EU in die USA durch Unternehmen, die zur Freigabe von Daten an US-Geheimdienste im Rahmen der Datenerhebungsprogramme dieser Dienste aufgefordert werden.

Wie würde sich eine Überprüfung der Safe-Harbor-Regelung in der Praxis gestalten?

Rechtlich gesehen obliegt die Überarbeitung der Safe-Harbor-Entscheidung der Europäischen Kommission. Die Kommission kann an der Entscheidung festhalten, sie aussetzen oder sie – im Lichte der bei der Umsetzung gewonnenen Erfahrungen –anpassen. Dies gilt insbesondere im Falle einer systemimmanenten Nichteinhaltung seitens der USA, z. B. wenn eine Stelle, die die Einhaltung der Safe-Harbor-Grundsätze in den USA gewährleisten soll, dieser Pflicht nicht ordnungsgemäß nachkommt oder wenn die Safe-Harbor-Grundsätze durch Rechtsvorschriften der USA verdrängt werden.

Was sehen die heute vorgelegten Vorschläge der Europäischen Kommission im Hinblick auf die Safe-Harbor-Regelung vor?

Auf der Grundlage einer heute veröffentlichten eingehenden Analyse sowie einer Konsultation der Unternehmen spricht die Europäische Kommission 13 Empfehlungen aus, die auf ein besseres Funktionieren der Safe-Harbor-Regelung abzielen. Die Kommission fordert die US-Behörden auf, bis zum Sommer 2014 geeignete Lösungen zu finden. Anschließend wird die Kommission das Funktionieren der Safe-Harbor-Regelung auf der Grundlage der umgesetzten 13 Empfehlungen überprüfen.

Die 13 Empfehlungen lauten wie folgt:

Transparenz

  1. Selbstzertifizierte Unternehmen sollten ihre Datenschutzbestimmungen öffentlich bekanntmachen.

  2. Die Datenschutzbestimmungen auf den Websites selbstzertifizierter Unternehmen sollten stets einen Link zur Safe-Harbor-Website des Handelsministeriums enthalten, auf der eine Liste aller derzeitigen Mitglieder des Safe-Harbor-Programms abgerufen werden kann.

  3. Selbstzertifizierte Unternehmen sollten die Datenschutzbestimmungen aller mit Unterauftragnehmern, z. B. Cloud-Computing-Diensten, geschlossenen Verträge veröffentlichen.

  4. Auf der Website des Handelsministeriums sollten alle Unternehmen benannt werden, die derzeit nicht Mitglied des Systems sind.

Rechtsschutz

  1. Die Datenschutzerklärungen auf den Websites von Unternehmen sollten einen Link zu einem Anbieter alternativer Streitbeilegungsdienste enthalten.

  2. Der alternative Streitbeilegungsmechanismus sollte leicht zugänglich und seine Inanspruchnahme erschwinglich sein.

  3. Das Handelsministerium sollte Anbieter alternativer Streitbeilegungsdienste systematischer überwachen, was die Transparenz und Zugänglichkeit der von ihnen bereitgestellten Informationen über das angewandte Verfahren und die Behandlung von Beschwerden betrifft.

Durchsetzung

  1. Nach einer Zertifizierung oder Neuzertifizierung von Unternehmen im Rahmen der Safe-Harbor-Regelung sollten für einen bestimmten Prozentsatz dieser Unternehmen von Amts wegen Untersuchungen zur effektiven Einhaltung ihrer Datenschutzbestimmungen vorgenommen werden (die über eine bloße Kontrolle der Erfüllung formaler Anforderungen hinausgehen).

  2. Wird aufgrund einer Beschwerde oder einer Untersuchung festgestellt, dass die einschlägigen Bestimmungen nicht eingehalten werden, sollte das betreffende Unternehmen nach einem Jahr einer gezielten Folgeuntersuchung unterworfen werden.

  3. Bestehen Zweifel daran, ob ein Unternehmen die Bestimmungen einhält, oder liegen Beschwerden vor, sollte das Handelsministerium die zuständige EU-Datenschutzbehörde unterrichten.

  4. Im Falle falscher Erklärungen zum Safe-Harbor-Beitritt sollten weitergehende Ermittlungen durchgeführt werden.

Zugang für US-Behörden

  1. Die Datenschutzbestimmungen selbstzertifizierter Unternehmen sollten Informationen darüber enthalten, inwieweit das US-Recht es öffentlichen Stellen gestattet, die im Rahmen der Safe-Harbor-Regelung übermittelten Daten zu sammeln und zu verarbeiten. Insbesondere sollten Unternehmen dazu angehalten werden, in ihren Datenschutzbestimmungen anzugeben, ob sie aus Gründen der nationalen Sicherheit, des öffentlichen Interesses oder der Rechtsdurchsetzung Ausnahmen von den Grundsätzen anwenden.

  2. Es muss sichergestellt sein, dass die in der Safe-Harbor-Entscheidung vorgesehenen Ausnahmeregelungen aus Gründen der nationalen Sicherheit nur zur Anwendung gelangen, wenn dies unbedingt notwendig bzw. angemessen ist.

Einige dem Safe-Harbor-Abkommen beigetretene europäische Unternehmen liefern diesbezüglich relativ transparente Informationen. Nokia beispielsweise, das auch in den USA tätig und Safe-Harbor-Mitglied ist, hat in seine Datenschutzbestimmungen folgenden Passus aufgenommen: „Wir können gesetzlich verpflichtet sein, Ihre personenbezogenen Daten an bestimmte Behörden oder sonstige Dritte weiterzugeben, z. B. an Vollstreckungsbehörden in Ländern, in denen wir oder Dritte, die in unserem Namen handeln, tätig sind.“

Anhand welcher Beispiele lässt sich die Funktionsweise der Safe-Harbor-Regelung verdeutlichen?

Die Safe-Harbor-Regelung ermöglicht Lösungen für den Transfer personenbezogener Daten in Situationen, in denen andere Mittel nicht zur Verfügung stehen oder nicht praktikabel wären.

Orange France nimmt für Zwecke der Datenspeicherung die Cloud-Computing-Dienste von Amazon U.S. in Anspruch. Damit die personenbezogenen Daten der Kunden von Orange France in Nicht-EU-Länder transferiert werden können, verpflichtet sich Amazon U.S. zur Einhaltung der Safe-Harbor-Grundsätze. Dies ist eine Alternative zum Abschluss einer vertraglichen Vereinbarung zwischen beiden Unternehmen über die Behandlung von in die USA übermittelten personenbezogenen Daten.

Ein weltweit operierendes Unternehmen wie Mastercard, das seinen Sitz in den USA hat, aber auch in der EU eine Vielzahl von Kunden hat, kann zur Weiterleitung der im Rahmen seiner Tätigkeiten anfallenden riesigen Mengen personenbezogener Daten nicht auf verbindliche unternehmensinterne Datenschutzregelungen (Binding Corporate Rules –BCR) zurückgreifen, da diese ausschließlich für Datentransfers innerhalb ein und derselben Unternehmensgruppe gelten. Auch Datentransfers auf der Grundlage von Verträgen wären nicht möglich, weil es tausender Verträge mit unterschiedlichen Finanzinstituten bedürfte. Die Safe-Harbor-Regelung bietet die Flexibilität, die eine solche weltweit tätige Organisation für die Abwicklung ihrer Geschäfte benötigt, und ermöglicht gleichzeitig den freien Fluss von Daten außerhalb der EU, vorausgesetzt, dass die Safe-Harbor-Grundsätze eingehalten werden.

3. Verstärkung der Datenschutzgarantien im Strafverfolgungsbereich

Worum geht es in den Verhandlungen über ein Rahmendatenschutzabkommen für Strafverfolgungszwecke zwischen der EU und den USA? Welche Ziele werden damit verfolgt?

Die EU und die USA stehen gegenwärtig in Verhandlungen über den Abschluss eines Rahmenabkommens über den Datenschutz auf dem Gebiet der polizeilichen und justiziellen Zusammenarbeit („Rahmenabkommen“) (IP/10/1661). Ziel der EU bei diesen Verhandlungen ist es, für Bürger, deren Daten über den Atlantik hinweg transferiert werden, ein hohes Datenschutzniveau im Einklang mit dem EU-Besitzstand in Sachen Datenschutz zu gewährleisten und auf diese Weise die Zusammenarbeit zwischen EU und USA bei der Bekämpfung von Kriminalität und Terrorismus zu verstärken.

Mit dem Abschluss eines solchen Abkommens, mit dem ein hohes Schutzniveau für personenbezogene Daten verbunden wäre, würde ein wichtiger Beitrag zur Stärkung des Vertrauens beiderseits des Atlantiks geleistet. Im Anschluss an das Treffen der Justiz- und Innenminister der EU und der USA vom 18. November haben sich die EU und die USA verpflichtet, „die Verhandlungen über das Abkommen bis zum Sommer 2014 zum Abschluss zu bringen“.

Was sind die Forderungen der EU in den Verhandlungen?

Das für personenbezogene Daten geltende hohe Schutzniveau sollte seinen Niederschlag in der Festlegung von Vorschriften und Garantien in verschiedenen Bereichen finden:

Gewährleistung einklagbarer Rechte, insbesondere des Zugangs zu Rechtsmitteln, für nicht in den USA ansässige EU-Bürger. Derzeit kommen Europäer, die keinen Wohnsitz in den USA haben, nach US-Recht nicht in den Genuss der Schutzbestimmungen des US-Gesetzes zum Schutz der Privatsphäre von 1974, das die Möglichkeit des Einlegens von Rechtsmitteln allein US-Bürgern und Personen vorbehält, die einen rechtmäßigen ständigen Wohnsitz in den USA haben.

Im Hinblick auf die Lösung dieses Problems wurde beim Treffen der Justiz- und Innenminister der EU und der USA folgende Erklärung abgegeben: „Wir sind daher angesichts der Dringlichkeit darum bemüht, die Verhandlungen über ein richtungweisendes und umfassendes Rahmenabkommen zum Datenschutz im Bereich der Strafverfolgung rasch voranzubringen. Mit dem Abkommen könnte durch die Gewährleistung eines hohen Schutzniveaus für die personenbezogenen Daten von EU- und US-Bürgern die Grundlage für die erleichterte Übertragung von Daten im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen geschaffen werden. Wir sind um Klärung der auf beiden Seiten ausstehenden Fragen auch mit Blick auf den Rechtsschutz bemüht (eine zentrale Frage für die EU). Ziel ist es, die Verhandlungen über das geplante Abkommen bis zum Sommer 2014 zum Abschluss zu bringen.“

Zweckbegrenzung: Auf welche Weise und für welche Zwecke dürfen Daten weitergegeben und verarbeitet werden?

Bedingungen und Dauer der Aufbewahrung der Daten

Gewährleistung einer engen Auslegung von Ausnahmeregelungen aus Gründen der nationalen Sicherheit

Mit einem Rahmenabkommen, das sich auf diese Vorgaben stützt, dürfte die erforderliche allgemeine Grundlage für die Gewährleistung eines hohen Niveaus des Schutzes personenbezogener Daten bei der Übertragung in die USA zum Zwecke der Prävention oder Bekämpfung von Kriminalität und Terrorismus geschaffen werden. Das Abkommen würde keine Rechtsgrundlage für konkrete Fälle einer Übermittlung personenbezogener Daten zwischen der EU und den USA bieten. Für derartige Datentransfers wäre stets eine spezifische Rechtsgrundlage wie etwa ein Datentransferabkommen oder ein nationales Gesetz in einem EU-Mitgliedstaat erforderlich.

4. Rückgriff auf das geltende Rechtshilfeabkommen zum Zwecke der Datenübermittlung

Was ist ein gegenseitiges Rechtshilfeabkommen?

Abkommen über gegenseitige Rechtshilfe regeln die Zusammenarbeit zwischen verschiedenen Ländern zum Zwecke der Sammlung und des Austausches von Informationen und zum Zwecke der Anforderung und Übermittlung von in einem anderen Land verfügbaren Nachweisen und Belegen. Dies beinhaltet auch Ersuchen von Strafverfolgungsbehörden zur gegenseitigen Unterstützung bei grenzüberschreitenden strafrechtlichen Ermittlungen oder Verfahren. Sowohl in der EU als auch in den USA wurden Mechanismen zur Steuerung dieses Austausches eingerichtet.

Das Abkommen zwischen der EU und den USA über Rechtshilfe besteht seit 2010. Es erleichtert und beschleunigt die Unterstützung in Strafsachen zwischen der EU und den USA, unter anderem durch den Austausch personenbezogener Daten.

Wenn US-Behörden das Rechtshilfeabkommen umgehen und sich für die Zwecke strafrechtlicher Ermittlungen (über privatwirtschaftliche Unternehmen) direkt Zugang zu Daten verschaffen, entstehen dadurch für die beteiligten Unternehmen beiderseits des Atlantiks erhebliche rechtliche Risiken. Diese Unternehmen verstoßen – je nachdem, wie sie auf ein solches Ersuchen reagieren – unter Umständen gegen Rechtsvorschriften der EU oder der USA: gegen Rechtsvorschriften der USA (beispielsweise den Patriot Act), wenn sie den Zugang zu den Daten verweigern, und gegen Rechtsvorschriften der EU, wenn sie den Zugang gewähren. Eine Lösung des Problems wäre, dass die US-amerikanischen Strafverfolgungsbehörden den offiziellen Weg wählen und z. B. das Rechtshilfeabkommen nutzen, wenn sie Zugang zu personenbezogenen Daten wünschen, die sich im Besitz privater Unternehmen in der EU befinden.

Die Verhandlungen über das Rahmenabkommen bieten die Gelegenheit, in Vorschriften festzulegen, dass Strafverfolgungsbehörden auf personenbezogene Daten, die sich im Besitz privater Einrichtungen befinden, nicht auf einem anderen als dem in der offiziellen Zusammenarbeit (z. B. im Rechtshilfeabkommen) vorgesehenen Weg zugreifen dürfen. Der Zugang über andere Wege wäre nur in klar festgelegten und gerichtlich überprüfbaren Ausnahmefällen gestattet.

Was ist der Patriot Act?

Der Patriot Act ist ein US-amerikanisches Bundesgesetz, das vom Kongress verabschiedet und am 26. Oktober 2001 vom Präsidenten der USA, George W. Bush, unterzeichnet wurde. Es ermächtigt das Federal Bureau of Investigation (FBI), eine richterliche Anordnung dafür zu erwirken, dass ein Unternehmen oder eine andere Einrichtung „materielle Dinge“ wie Bücher, Aufzeichnungen oder Dokumente vorlegt, wenn die benötigten Informationen für Ermittlungen relevant sind, bei denen es darum geht, nicht US-Bürger betreffende ausländische Geheimdienstinformationen zu beschaffen oder das Land vor internationalem Terrorismus oder fremden geheimdienstlichen Aktivitäten zu schützen. Die Anordnung ist vertraulich und darf nicht offengelegt werden.

Im Rahmen der Sitzungen der Arbeitsgruppe EU-USA bestätigten die USA, dass auf der Grundlage dieses Gesetzes geheimdienstliche Informationen eingeholt werden können, die je nach Programm Telefon-Metadaten (beispielsweise angewählte Telefonnummern, Datum, Uhrzeit und Dauer der Gespräche) oder auch den Inhalt der Mitteilungen umfassen können.

5. Berücksichtigung europäischer Belange im Rahmen des laufenden Reformprozesses in den USA

Wie kommt die Reform der US-amerikanischen Überwachungsprogramme den Bürgern der EU zugute?

US-Präsident Obama hat eine Überprüfung der Tätigkeiten der nationalen Sicherheitsbehörden auch mit Blick auf den geltenden Rechtsrahmen angekündigt. Dieser Prozess bietet eine gute Gelegenheit, auf die Bedenken der EU angesichts der jüngsten Enthüllungen zu Datenerhebungsprogrammen der US-Geheimdienste zu reagieren. Zu den am dringendsten nötigen Änderungen würden die Ausweitung der für US-Bürger und Gebietsansässige geltenden Garantien auf nicht in den USA ansässige EU-Bürger, mehr Transparenz bei den Tätigkeiten der Nachrichtendienste und eine Stärkung der Aufsicht gehören.

Mehr Transparenz ist sowohl in Bezug auf den Rechtsrahmen für die Datenerhebungsprogramme der US-Geheimdienste und seine Auslegung durch die US-amerikanischen Gerichte als auch in Bezug auf die quantitative Dimension dieser Programme erforderlich. Von entsprechenden Änderungen würden auch die EU-Bürger profitieren.

Die Aufsicht über die Datenerhebungsprogramme der US-Geheimdienste ließe sich durch eine Stärkung der Rolle des Gerichts zur Überwachung der Auslandsgeheimdienste (US Foreign Intelligence Surveillance Court) sowie durch die Einführung von Rechtsmitteln für natürliche Personen verbessern. Mit den genannten Mechanismen könnte die Verarbeitung von für nationale Sicherheitsbelange irrelevanten personenbezogenen Daten von Europäern eingeschränkt werden.

Diese Neuerungen könnten das Vertrauen in den Datenaustausch zwischen der EU und den USA und in die digitale Wirtschaft wiederherstellen.

Wie schützt das US-amerikanische Bundesrecht die Privatsphäre?

Im März vergangenen Jahres, unmittelbar nachdem die Reformvorschläge der Kommission angenommen wurden, kündigte das Weiße Haus an, es werde mit dem Kongress einen Rechtekanon für den Verbraucherdatenschutz (Consumer Privacy Bill of Rights) ausarbeiten.

Die jüngsten Diskussionen im Kongress belegen, dass dem Schutz der Privatsphäre nun auch in den USA mehr Bedeutung beigemessen wird. Einer im Januar 2013 veröffentlichten Umfrage des Meinungsforschungsinstituts IPSOS zufolge sind 45 % der Erwachsenen in den USA der Auffassung, dass sie nur wenig oder gar keine Kontrolle über ihre personenbezogenen Daten im Internet haben. Zudem gibt es in den USA kein bundesweit geltendes Datenschutzgesetz, sondern nur eine Ansammlung von Gesetzen der einzelnen Bundesstaaten, die einen unterschiedlichen Grad an Schutz und Sicherheit bieten. In Florida findet man in keinem Gesetz eine Definition des Begriffs „personenbezogene Daten“. In Arizona gibt es fünf. Das Gleiche gilt für Vorschriften über Sicherheitsverletzungen: Einige Staaten haben welche, andere nicht.

Sobald wir in Europa einheitliche, kohärente Datenschutzvorschriften eingeführt haben, werden wir von den USA Gleiches erwarten. Um eine stabile Grundlage für den Austausch personenbezogener Daten zwischen der EU und den USA zu schaffen, ist dies unbedingt notwendig. Interoperabilität und ein System der Selbstregulierung reichen nicht aus. Das Bestehen eines Katalogs strenger und durchsetzbarer Datenschutzvorschriften in der EU und in den USA würde eine solide Grundlage für den grenzüberschreitenden Datenverkehr bilden.

6. Förderung von Datenschutzstandards auf internationaler Ebene

Was kann weltweit getan werden?

Die Schwierigkeiten, die sich im Zusammenhang mit modernen Datenschutzverfahren ergeben, sind nicht allein auf den Datentransfer zwischen der EU und den USA beschränkt. Ein hohes Schutzniveau für personenbezogene Daten sollte auch für jede natürliche Person gewährleistet sein. Es sollten Anstrengungen unternommen werden, um die Verbreitung der EU-Rechtsvorschriften für die Erfassung, Verarbeitung und Weitergabe von Daten international zu fördern.

Die USA sollten, nachdem sie bereits dem Übereinkommen des Europarats über die Cyber-Kriminalität von 2001 beigetreten sind, nun auch dem Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten („Übereinkommen Nr. 108“) beitreten.

Werden die Datenschutzstandards Teil der laufenden Verhandlungen über eine transatlantische Handels- und Investitionspartnerschaft sein?

Nein. Die Kommission hat in ihrer heutigen Mitteilung klargestellt, dass die Datenschutzstandards nicht Teil der laufenden Verhandlungen über ein transatlantisches Handels- und Investitionsabkommen sein werden.

Dies wurde auch von Vizepräsidentin Reding und Kommissar De Gucht bei verschiedenen Gelegenheiten bestätigt. Vizepräsidentin Reding erklärte hierzu in einer vor Kurzem gehaltenen Ansprache: „Datenschutz ist weder eine bürokratische Vorschrift noch ein Zolltarif. Er ist ein Grundrecht und als solches nicht verhandelbar.“ (SPEECH/13/867)

7. Arbeitsgruppe EU-USA „Datenschutz“

Wann wurde die gemeinsame Arbeitsgruppe EU-USA zu Fragen des Datenschutzes eingerichtet?

Die Ad-hoc-Arbeitsgruppe EU-USA wurde im Juli 2013 eingerichtet, um die Fragen zu analysieren, die sich infolge der Enthüllungen über die umfassende Erfassung und Verarbeitung personenbezogener Daten im Rahmen mehrerer US-Überwachungsprogramme stellen. Ziel war es, die Sachverhalte im Zusammenhang mit den US-Überwachungsprogrammen und ihre Konsequenzen für die personenbezogenen Daten der EU-Bürger zu klären.

Der Rat der Europäischen Union beschloss, zusätzlich eine zweite Ebene zu schaffen, auf der die Mitgliedstaaten Fragen im Zusammenhang mit der nationalen Sicherheit und der mutmaßlichen Abhörung von EU-Organen und diplomatischen Vertretungen mit den US-Behörden bilateral erörtern können.

Wie viele Sitzungen haben bisher stattgefunden?

Bisher haben vier Sitzungen stattgefunden. Am 8. Juli 2013 fand in Washington D.C. eine erste vorbereitende Sitzung statt. Anschließend tagte die Gruppe am 22. und 23. Juli 2013 in Brüssel, am 19. und 20. September 2013 in Washington D.C. und am 6. November 2013 in Brüssel.

Wer wirkt in der Arbeitsgruppe mit?

Aufseiten der EU wird der Vorsitz der Ad-hoc-Arbeitsgruppe von der Europäischen Kommission und dem Ratsvorsitz gemeinsam wahrgenommen. Der Arbeitsgruppe gehören folgende Mitglieder an: Vertreter des Ratsvorsitzes, der Kommissionsdienststellen (GD Justiz und GD Inneres), des Europäischen Auswärtigen Dienstes sowie des nächsten Ratsvorsitzes, der EU-Koordinator für die Terrorismusbekämpfung, der Vorsitzende der „Artikel 29“-Datenschutzgruppe (in der die nationalen Datenschutzbehörden vertreten sind) und zehn Sachverständige aus den Mitgliedstaaten für die Bereiche Datenschutz, Strafverfolgung und Sicherheit. Auf US-amerikanischer Seite setzt sich die Gruppe aus hochrangigen Beamten des Justizministeriums, des Büros des Direktors der nationalen Nachrichtendienste (Office of the Director of National Intelligence), des Außenministeriums und des Ministeriums für innere Sicherheit (Department of Homeland Security) zusammen.

Was sind die wichtigsten Ergebnisse der Arbeitsgruppe?

Die wichtigsten Ergebnisse der Arbeitsgruppe sind folgende:

Eine Reihe US-amerikanischer Rechtsvorschriften ermöglichen die umfassende Erhebung und Verarbeitung personenbezogener Daten, die in die USA übermittelt wurden oder von US-amerikanischen Unternehmen verarbeitet werden, im Rahmen auslandsgeheimdienstlicher Ermittlungen. Die USA bestätigten die Existenz dieser Programme, in deren Rahmen Daten auf der Grundlage der im US-amerikanischen Recht festgelegten spezifischen Bedingungen und Schutzklauseln erhoben und verarbeitet werden, sowie die wesentlichen Fakten hinsichtlich bestimmter Aspekte dieser Programme.

In Bezug auf die Verarbeitung personenbezogener Daten gelten für US-Bürger andere Schutzklauseln als für EU-Bürger. EU-Bürger genießen einen geringeren Schutz und für sie gelten niedrigere Schwellen für die Erhebung personenbezogener Daten. Außerdem gibt es Verfahrensregeln, die die Zielsetzung von Datenerhebungen und die Datensparsamkeit betreffen und für US-Bürger, nicht aber für EU-Bürger gelten, auch wenn in Bezug auf diese keine Anhaltspunkte für terroristische, kriminelle oder andere rechtswidrige oder gefährliche Tätigkeiten vorliegen. Während für US-Bürger verfassungsrechtliche Schutzklauseln gelten (1. und 4. Änderung), sind diese auf EU-Bürger ohne Wohnsitz in den USA nicht anwendbar.

Noch nicht ausreichend geklärt sind der Rückgriff auf bestimmte US-Rechtsvorschriften, die eine Datenerhebung erlauben (z. B. die Executive Order (Präsidialerlass) Nr. 12333), die Existenz anderer Überwachungsprogramme sowie die für diese Programme geltenden Beschränkungen.

Da die Anordnungen des Gerichts zur Überwachung der Auslandsgeheimdienste (US Foreign Intelligence Surveillance Court) vertraulich sind und Unternehmen gehalten sind, hinsichtlich der Unterstützung, die sie bereitstellen müssen, Stillschweigen zu bewahren, gibt es für EU- und US-Bürger keine (gerichtlichen oder außergerichtlichen) Möglichkeiten, Auskunft darüber zu erlangen, ob sie betreffende personenbezogene Daten erhoben oder verarbeitet werden. Es gibt für natürliche Personen keine Möglichkeit, den Zugang zu oder die Berichtigung oder Löschung von Daten zu verlangen oder administrative oder gerichtliche Rechtsbehelfe einzulegen.

Zwar besteht in bestimmten Fällen eine gewisse Aufsicht durch die drei Staatsgewalten (Legislative, Exekutive, Judikative), unter anderem eine gerichtliche Aufsicht über Tätigkeiten, die die Befugnis einschließen, Daten einzufordern, doch es gibt keine gerichtliche Kontrolle über die Art und Weise, wie die erhobenen Daten ausgewertet werden: Die Richter urteilen nicht über die „Selektoren“ und Kriterien, die für die Untersuchung der Daten und zum Auffinden verwendbarer Informationen zum Einsatz kommen. Auch für die auslandsgeheimdienstlichen Erhebungen außerhalb der USA, die unter die ausschließliche Zuständigkeit der Exekutive fallen, gibt es keine gerichtliche Aufsicht.

Weitere Informationen:

Pressemitteilung zu Datenströmen zwischen der EU und den USA:

IP/13/1166


Side Bar

My account

Manage your searches and email notifications


Help us improve our website