Drucksache 17 / 17 525 Schriftliche Anfrage 17. Wahlperiode Schriftliche Anfrage der Abgeordneten Thomas Birk und Benedikt Lux (GRÜNE) vom 02. Dezember 2015 (Eingang beim Abgeordnetenhaus am 03. Dezember 2015) und Antwort Welche Folgen für das Land Berlin ergeben sich aus dem Urteil des Europäischen Gerichtshofs (EuGH) zur „Safe-Harbor-Regelung“? Die Drucksachen des Abgeordnetenhauses sind bei der Kulturbuch-Verlag GmbH zu beziehen. Hausanschrift: Sprosserweg 3, 12351 Berlin-Buckow · Postanschrift: Postfach 47 04 49, 12313 Berlin, Telefon: 6 61 84 84; Telefax: 6 61 78 28. Im Namen des Senats von Berlin beantworte ich Ihre Schriftliche Anfrage wie folgt: Vorbemerkung: Bei der Beantwortung der Schriftlichen Anfrage wird davon ausgegangen, dass sich die Fragestellung auf den behördlichen Datenschutz bezieht. 1. Am 6. Oktober 2015 urteilte der Europäische Gerichtshof in der Rechtssache C-362/14, dass die sogenannte „Safe-Harbor-Regelung“ der EU-Kommission (Entscheidung 2000/520/EG) ungültig sei und personenbezogene Daten nicht mehr von Unternehmen ins EU-Ausland übermittelt werden dürfen, wenn dieses keine der EU ebenbürtigen Datenschutzregelungen kennt. Welche Stellen im Land Berlin sind mit der Implementation des Urteils betraut und welche Strategien werden bei der Implementation verfolgt? Falls eine klare Zuständigkeitszuweisung nicht besteht, wie rechtfertigt dies der Senat und plant er, dies nachzuholen? 2. Inwieweit übernehmen die Bezirke Verantwortung bei der Umsetzung des Urteils? Welche Stellen in welchen Bezirken nehmen diese Aufgabe wahr, wie wird sie vollzogen und seit wann? Falls die Bezirke diesbezüglich nicht tätig sind, wie begründet der Senat diesen Umstand und plant er zukünftig eine Einbeziehung der Bezirke? 6. Welche Instanz des Senats von Berlin oder seiner nachgeordneten Behörden kontrollieren die Datenströme des Landes Berlin, um zu verhindern, dass personenbezogene Clouddaten der Berliner Verwaltung Deutschland bzw. die EU nicht verlassen? Wie findet diese Kontrolle statt und welche vertraglichen Regelungen hat der Senat hierfür getroffen? Zu 1., 2. und 6.: Nach § 19 Abs. 1 Berliner Datenschutzgesetz (BlnDSG) hat jede datenverarbeitende Stelle die Ausführung des BlnDSG sowie anderer Rechtsvorschriften über den Datenschutz sicherzustellen. Diese Aufgabe obliegt aufgrund der dezentralen Fach- und Ressourcenverantwortung in erster Linie den jeweiligen Fachverfahrensverantwortlichen. Zur Kontrolle müssen Behörden und die sonstigen öffentlichen Stellen des Landes Berlin (behördliche) Datenschutzbeauftragte sowie eine vertretende Dienstkraft bestellen. Diese unterstützen die Behörde nach § 19 Abs. 1 Nr. 4 BlnDSG bei der Sicherstellung des Datenschutzes. Zu den Aufgaben der behördlichen Datenschutzbeauftragten gehört es, die Ausführung des Berliner Datenschutzgesetzes sowie anderer Rechtsvorschriften über den Datenschutz für den jeweiligen Geschäftsbereich sicherzustellen . Dabei wird insbesondere die Zulässigkeit der Verarbeitung von personenbezogenen Daten geprüft. Den behördlichen Datenschutzbeauftragten wird hierbei eine übergeordnete, koordinierende und überwachende Funktion zugewiesen. Die datenverarbeitenden Stellen bleiben in der Verantwortung für die Beachtung datenschutzrechtlicher Bestimmungen. Es ist Aufgabe der behördlichen Datenschutzbeauftragten , die Einhaltung datenschutzrechtlicher Bestimmungen zu kontrollieren. Dazu führen die behördlichen Datenschutzbeauftragten u. a. die von den datenverarbeitenden Stellen zu meldenden Dateibeschreibungen und – verzeichnisse. Dadurch haben sie Kenntnis über Speicherart und Speicherort der Daten sowie über die jeweiligen Datenflüsse. 3. Seitens des Senats wurde verlautbart, bis Ostern 2016 eine vollständige Stellungnahme zum besagten Urteil und dessen Folgen für das Land Berlin vorzulegen. Inwiefern bewertet der Senat aktuell das genannte Urteil? Kann der Senat daraus bereits erste Konsequenzen für sein politisches Handeln ziehen und wenn ja, wie lauten diese? Zu 3.: Eine Verlautbarung des Senats, bis Ostern 2016 eine vollständige Stellungnahme zum besagten Urteil und Abgeordnetenhaus Berlin – 17. Wahlperiode Drucksache 17 / 17 525 2 dessen Folgen für das Land Berlin vorzulegen, ist hier nicht bekannt. Soweit auf den Punkt 1 der Tagesordnung der 63. Sitzung des Ausschusses für Digitale Verwaltung, Datenschutz und Informationsfreiheit vom 09.11.2015 referenziert wird (Aktuelle Viertelstunde), wurde ausweislich des Beschlussprotokolls von Herrn Staatssekretär Statzkowski eine rechtliche Prüfung der vorgelegten Stellungnahme des Berliner Beauftragten für Datenschutz und Informationsfreiheit zugesagt. Die zugesagte Prüfung befindet sich in Vorbereitung. Die Senatskanzlei hat eine erste Einschätzung der „Mitteilung der Kommission an das Europäische Parlament und den Rat zu der Übermittlung personenbezogener Daten aus der Europäischen Union (EU) in die Vereinigten Staaten von Amerika auf der Grundlage der Richtlinie 95/46/EG nach dem Urteil des Gerichtshofs in der Rechtssache C-362/14“ vom 06.11.2015 vorgenommen. Darin wurde festgestellt, dass sich die Positionen der Europäischen Kommission (KOM) teilweise nicht mit den tendenziell strengeren Positionen der Konferenz der Datenschutzbeauftragten aus Bund und Ländern (DSK) in Deutschland decken. Die DSK hatte unter anderem erklärt , vorerst keine Binding Corporate Rules (BCR – Regeln für die Datenübermittlungen innerhalb einer Unternehmensgruppe ) zu genehmigen und die Standardvertragsklauseln anhand der Vorgaben des Urteils zu prüfen. 4. Inwieweit hat der Senat und dessen nachgeordnete Behörden Kontaktaufnahmen mit kommerziellen IT- Unternehmen (z.B. Microsoft, Apple, Oracle, Google etc.) angestrengt, um eventuell bestehende Rahmenverträge zwischen den Unternehmen und dem Land Berlin zu ändern und an das Urteil anzupassen? Falls bislang keine diesbezüglichen Gespräche stattfanden, was hinderte den Senat hieran und ab wann plant er diesbezügliche Verhandlungen aufzunehmen? Zu 4.: Dezentrale Aktivitäten zur Kontaktaufnahmen mit kommerziellen IT-Unternehmen zur Anpassung bestehender Rahmenverträge sind dem Senat nicht bekannt. Das IT-Dienstleistungszentrum Berlin (ITDZ) hält in der Regel keine direkten Verträge mit kommerziellen IT- Unternehmen (z. B. Microsoft, Apple, Oracle, Google), sondern schließt für das Land Berlin und den Eigenbedarf Lizenz- und Rahmenverträge über Händlerverträge auf Basis EU-weiter Vorgaben und auf Basis der vom Bund bundesweit verhandelter Rahmenverträge ab. Auf dieser Basis hält das ITDZ nachstehende Lizenzverträge • Microsoft-Select-Vertrag des Bundesministeriums für Inneres mit Microsoft (Beitritt des ITDZ) • Unternehmens-License-Agreement (ULA) mit Oracle • Unternehmenslizenzvertrag (ELA) und dazugehörig einen Endbenutzer-Lizenzvertrag (EULA) mit McAfee (jetzt Intel Security). Das ITDZ nutzt generell die Ergänzende Vertragsbedingungen für die Beschaffung von Informationstechnik des Bundesministeriums des Inneren mit entsprechenden aktualisierten Vertragsbedingungen und Datenschutzklauseln , die explizit auch die National Security Agency (NSA) Diskussion aufgreifen. 5. Haben kommerzielle IT-Unternehmen dem Senat angeboten, mittels einer Änderung der Allgemeinen Geschäftsbedingungen eine Anpassung der Rahmenverträge an das EuGH-Urteil dahingehend vorzunehmen, dass Nutzer/-innen nun der Weitergabe ihrer persönlichen Daten zustimmen müssen? Wenn ja, wie bewertet der Senat derartige Vorschläge und wie geht er mit ihnen um? Zu 5.: Keines der benannten kommerziellen IT-Unternehmen hat dem ITDZ Berlin angeboten, Geschäfts- bzw. Vertragsbedingungen anzupassen/zu ändern. 7. Welche Konsequenzen zeichnen sich für den Senat aus dem Urteil für die Konzeption der elektronischen Aktenführung (»eAkte«) ab? 8. Welche Relevanz sieht der Senat vor dem Hintergrund des EuGH-Urteils für das Berliner E-Government- Gesetzes (EGovG Bln)? Zu 7. und 8.: Es ergeben sich zurzeit keine erkennbaren Auswirkungen auf die Konzeption der elektronischen Aktenführung und für das Berliner E-Government-Gesetz. Berlin, den 16. Dezember 2015 In Vertretung Andreas Statzkowski Senatsverwaltung für Inneres und Sport (Eingang beim Abgeordnetenhaus am 22. Dez. 2015)