Vo ra bf as su ng - w ird d ur ch d ie le kt or ie rte V er si on e rs et zt . Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern vom 17. Dezember 2015 übermittelt. Die Drucksache enthält zusätzlich – in kleinerer Schrifttype – den Fragetext. Deutscher Bundestag Drucksache 18/7134 18. Wahlperiode 21.12.2015 Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Jan Korte, Frank Tempel, Annette Groth, weiterer Abgeordneter und der Fraktion DIE LINKE. – Drucksache 18/6756 – Auswirkungen der Safe Harbor Entscheidung des Europäischen Gerichtshofs V o r b e m e r k u n g d e r F r a g e s t e l l e r Mit seinem Urteil vom 6. Oktober 2015 hat der Europäische Gerichtshof (EuGH) die sogenannte Safe-Harbor-Entscheidung der Europäischen Kommission aus dem Jahre 2000 (2000/520/EG) für ungültig erklärt. Während die darin geregelte Selbstzertifizierung US-amerikanischer Unternehmen bisher als Grundlage für Datenübermittlungen in die USA herangezogen wurde, ist dies mit Verkündung des Urteils nicht mehr zulässig. In seinem Urteil nimmt der EuGH Bezug auf Mitteilungen der Kommission an das Europäische Parlament und den Rat vom November 2013, in denen die Kommission diverse Schutzlücken ihrer Safe-Harbor-Entscheidung darstellt. Mit Blick auf diese gravierenden Schutzlücken macht der EuGH in seinem Urteil deutlich, dass die Safe-Harbor-Entscheidung ungültig ist, weil sie keine ausreichende Begrenzung der Zugriffe von staatlichen Behörden bewirke. Ebenso fehle es in der Safe-Harbor-Entscheidung an jeder Feststellung über ausreichende Rechtsschutzmöglichkeiten für europäische Bürgerinnen und Bürger. Zudem stellt der EuGH abstrakt fest, dass nationale Regelungen, die es generell gestatten, auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzen. Das Urteil hat zur Folge, dass Transfers personenbezogener Daten in die USA auf Grundlage des Safe-Harbor-Abkommens nicht mehr möglich sind. Für Unternehmen , die personenbezogene Daten bislang auf dieser Grundlage in die USA übermittelt haben, besteht daher akuter Handlungsbedarf, wenn sie sich nicht des permanenten Verstoßes gegen die Rechtsgrundsätze des Urteils schuldig machen wollen. Ab sofort müssen die Firmen überprüfen, ob von entsprechenden Transfers in die USA abzusehen ist oder aber der Gebrauch anderer Instrumente, wie EU-Standardverträge oder Binding Corporate Rules (BCR), in Betracht kommen bzw. angewandt werden müssen. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff, fordert als Konsequenz aus dem EuGH-Urteil zu Safe-Harbor, die jetzt bestehenden Chancen für eine nachhaltige Stärkung des Datenschutzes für europäische Bürger zu nutzen (vgl. Pressemitteilung vom 26. Oktober 2015) und weist ausdrücklich darauf hin, dass die Datenschutzaufsichtsbehörden Deutschlands und in Europa sorgfältig prüfen werden, Vo ra bf as su ng - w ird d ur ch d ie le kt or ie rte V er si on e rs et zt . Drucksache 18/7134 – 2 – Deutscher Bundestag – 18. Wahlperiode inwieweit im Lichte der EuGH-Entscheidung zu Safe-Harbor von Standardvertragsklauseln und BCR weiterhin Gebrauch gemacht werden kann. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HamBfDI), Prof. Dr. Johannes Caspar, kündigte stellvertretend für seine Landeskollegen an, Firmen daraufhin zu kontrollieren, ob sie Daten weiter allein auf Grundlage des vom EuGH für nichtig erklärten Safe-Harbor-Abkommens in die USA übermitteln (vgl. www.spiegel.de vom 26. Oktober 2015). Laut „SPIEGEL ONLINE“ teilte Prof. Dr. Johannes Caspar ferner mit, dass diese Prüfung insbesondere bei den Tochterunternehmen von Safe-Harbor-gelisteten US-Unternehmen erfolgen werde. Untersagungsverfügungen könnten sich daran anschließen. In dem 14 Punkte umfassenden Positionspapier der Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) vom 26. Oktober 2015 fordern die Datenschützer darüber hinaus u. a. die Bundesregierung auf, in direkten Verhandlungen mit der US-Regierung auf die Einhaltung eines angemessenen Grundrechtsstandards hinsichtlich Privatsphäre und Datenschutz zu drängen. Nach § 4b BDSG ist die Übermittlung personenbezogener Daten in sog. Drittstaaten (d. h. Staaten, die nicht Mitglied der EU oder Vertragspartei des Europäischen Wirtschaftsraums sind) – abgesehen von den Ausnahmen des § 4c BDSG – insbesondere nur dann zulässig, wenn bei den jeweiligen Empfängern in den Drittstaaten ein angemessenes Schutzniveau vorliegt. V o r b e me r k u n g d e r B u n d e s r e g i e r u n g Die Safe Harbor-Entscheidung der Europäischen Kommission (KOM) vom 26. Juli 2000 (2000/520/EG) bildete bis zum Urteil des Europäischen Gerichtshofs (EuGH) vom 6. Oktober 2015 zum Vorabentscheidungsersuchen des High Court of Ireland (Maximillian Schrems, Rs. C-362/14) die zentrale Grundlage für Datenübermittlungen der Wirtschaft in die USA. Grundlage ist Artikel 25 Absatz 6 der Datenschutzrichtlinie 95/46/EG, wonach die Kommission feststellen kann, dass ein Drittstaat ein angemessenes Schutzniveau aufweist. Safe Harbor ist ein aufgrund der Entscheidung (2000/520/EG) in den USA etabliertes, von der US- Handels- und Verbraucherschutzbehörde überwachtes Selbstzertifizierungsmodell , nach dem sich Unternehmen verpflichten, bestimmte Grundsätze und Prinzipien einzuhalten. In seinem Urteil vom 6. Oktober 2015 hat der EuGH die Safe Harbor-Entscheidung der KOM für Datenübermittlungen in die USA für ungültig erklärt. Tragender Gesichtspunkt der Entscheidung des EuGH ist, dass die KOM bei Erlass der Safe Harbor-Entscheidung ein angemessenes Datenschutzniveau in USA angenommen habe, ohne die US-amerikanische Rechtslage umfassend geprüft zu haben. Da nach der Safe Harbor-Entscheidung die Regelungen des US-amerikanischen Rechts vorgehen und eine weite Ausnahme für Zugriffe, etwa zu Zwecken der nationalen Sicherheit, vorgesehen ist, hätte die KOM prüfen müssen, ob das US-amerikanische Recht und die Praxis aufgrund ihrer innerstaatlichen Rechtsvorschriften und internationalen Verpflichtungen einen dem europäischen Niveau „der Sache nach gleichwertigen“ Schutz von Freiheiten und Grundrechten bietet. Die KOM hätte analysieren und positiv feststellen müssen, welche Grenzen das US-amerikanische Recht den Zugriffsbefugnissen von Behörden auf personenbezogene Daten setzt und ob es für die Betroffenen wirksame Rechtsschutzmöglichkeiten gibt. Der EuGH stützt sich auf die Schlussanträge des Generalanwalts vom 23. September 2015 und nimmt Bezug auf Mitteilungen der KOM aus dem Jahr 2013 zu Vo ra bf as su ng - w ird d ur ch d ie le kt or ie rte V er si on e rs et zt . Deutscher Bundestag – 18. Wahlperiode – 3 – Drucksache 18/7134 den weitreichenden Zugriffsbefugnissen US-amerikanischer Behörden auf personenbezogene Daten und den fehlenden Rechtsschutzmöglichkeiten von Unionsbürgern . Er stellt fest, dass eine Regelung, die Behörden einen generellen Zugriff auf den Inhalt elektronischer Kommunikation gestatte, den Wesensgehalt des durch Artikel 7 der Charta der Grundrechte der Europäischen Union (GRCh) garantierten Grundrechts auf Achtung des Privatlebens verletze. Desgleichen verletze eine Regelung, die keine Rechtsbehelfe für Bürger vorsehe, den Wesensgehalt des Artikel 47 GRCh. Im Übrigen stellt der EuGH zur eigentlichen Vorlagefrage fest, dass die Befugnisse der Datenschutzaufsichtsbehörden zur Prüfung einer Eingabe eines Betroffenen durch eine Entscheidung der KOM nicht eingeschränkt werden. Über die Gültigkeit der Kommissionsentscheidung hingegen dürfe allerdings nur der EuGH entscheiden. Mit der Ungültigkeit der Entscheidung 2000/520/EG entfällt eine zentrale Grundlage für den Transfer personenbezogener Daten zwischen der Europäischen Union und den USA. Dies hat die KOM in ihrer Mitteilung vom 6. November 2015 (KOM (2015) 566 final) anerkannt und zugleich ihr Ziel, ein erneuertes mit dem Unionsrecht in Einklang stehendes Rahmenwerk für den transatlantischen Datenaustausch zu erreichen, bekräftigt. 1. Welche Auswirkungen und Konsequenzen hat die Safe-Harbor-Entscheidung des EuGH vom 6. Oktober 2015 konkret für die betroffenen Unternehmen ? Nachdem die Übermittlung personenbezogener Daten aus der Europäischen Union in die USA auf der Grundlage der Safe Harbor-Entscheidung nicht mehr zulässig ist, kommen für Datenübermittlungen in die USA allenfalls alternative Rechtsgrundlagen in Betracht. Dies sind neben vertraglichen Regelungen wie den Standardvertragsklauseln verbindliche Unternehmensregelungen oder die in der Richtlinie 95/46 EG bzw. § 4c des Bundesdatenschutzgesetzes (BDSG) genannten Ausnahmetatbestände. 2. Sieht die Bundesregierung insbesondere für kleinere und mittlere Unternehmen Probleme aufgrund der EuGH-Entscheidung, und wenn ja, welche sind dies, und welche Pläne hat sie, diese zu beheben, und welche Kommunikationsinstrumente (Gesprächskreise, Arbeitsgremien, Konferenzen o. Ä.) hat die Bundesregierung zur Behebung der Probleme mit den betroffenen Unternehmen bzw. ihren Verbänden vorbereitet oder schon eingesetzt? Der Bundesregierung ist bekannt, dass Unternehmen verschiedener Größe und mit unterschiedlichen Geschäftsmodellen durch die Annullierung der Safe Harbor -Entscheidung betroffen sind. Die Bundesregierung steht hierzu im Dialog mit Unternehmen und Verbänden. 3. Welche Auswirkungen und Konsequenzen hat die Safe-Harbor-Entscheidung des EuGH vom 6. Oktober 2015 konkret für die Kundinnen und Kunden betroffener Unternehmen? Mögliche Auswirkungen und Konsequenzen für Kundinnen und Kunden lassen sich nach Kenntnis der Bundesregierung zum jetzigen Zeitpunkt noch nicht abschließend beurteilen. Die Beantwortung dieser Frage hängt maßgeblich davon ab, wie sich die Annullierung der Safe-Harbor-Entscheidung auf bestehende Geschäftsmodelle , die auf transatlantische Datenflüsse angewiesen sind, auswirken Vo ra bf as su ng - w ird d ur ch d ie le kt or ie rte V er si on e rs et zt . Drucksache 18/7134 – 4 – Deutscher Bundestag – 18. Wahlperiode wird. Die Bundesregierung unterstützt vor diesem Hintergrund das Ziel der Europäischen Kommission, zeitnah ein neues Safe-Harbor-Abkommen zu erreichen , um Rechtssicherheit sowohl für Verbraucher als auch für die Wirtschaft zu schaffen. 4. Sieht die Bundesregierung Probleme für die Kundinnen und Kunden, und wenn ja, welche sind dies, und welche Pläne hat sie, diese zu beheben? Auf die Antwort zu Frage 3 wird verwiesen. 5. Bestehen im Geschäftsbereich der Bundesregierung Geschäftsbeziehungen zu US-Unternehmen, die bislang unter die Safe-Harbor-Regelung fielen (von Stellen im Geschäftsbereich der Bundesregierung genutzte soziale Medien, Auftragsdatenverarbeitung, data storing, etc.), und wie geht die Bundesregierung nun damit um? Die Bundesregierung und die Behörden im Geschäftsbereich der Bundesregierung nutzen verschiedene soziale Medien-Kanäle wie zum Beispiel Facebook, Twitter, YouTube, Vine oder Instagram. Die Kanäle werden zur allgemeinen Presse- und Öffentlichkeitsarbeit der Bundesregierung genutzt. Inwieweit Fanpage -Betreiber für die Erhebung und -Verarbeitung der personenbezogenen Daten der Fanpage-Besucher verantwortlich sind, ist nicht abschließend geklärt. Ein erstinstanzliches Urteil des Oberverwaltungsgerichts Schleswig vom 4. September 2014 hat dies jedenfalls verneint. Ein Verfahren vor dem Bundesverwaltungsgericht ist anhängig. 6. Wird die Bundesregierung das EuGH-Urteil zu Safe-Harbor für eine nachhaltige Stärkung des Datenschutzes für die Bürgerinnen und Bürger der Bundesrepublik Deutschland und Europas nutzen, und wenn ja, in welcher Form? Die Bundesregierung hat sich wiederholt für die Verbesserung des Safe-Harbor- Mechanismus eingesetzt und begrüßt, dass die Europäische Kommission die Verhandlungen mit den USA schon eine Woche nach dem Urteil wieder aufgenommen hat. Die Bundesregierung verfolgt die Verhandlungen der Europäischen Kommission mit der US-Regierung und steht mit beiden Verhandlungsparteien im Austausch. 7. Können nach Auffassung der Bundesregierung Datentransfers ohne Schutzlücken und Grundrechtseinschränkungen gewährleistet werden, solange die geheimdienstliche Massenausforschung, die der EuGH als das zentrale Problem für die Datentransfers identifiziert hat, nicht beendet wurde? Wenn ja, wie könnte der Grundrechtsschutz gewährleistet werden? Wenn nein, würde dies nach Meinung der Bundesregierung dann zwangsläufig jegliche Datentransfers in Frage stellen? Der EuGH hat festgestellt, dass die Safe Harbor-Entscheidung der Europäischen Kommission keine hinreichenden Feststellungen zu wirksamen Überwachungsund Kontrollmechanismen enthielt. Im Übrigen ist die Bundesregierung der Auffassung , dass eine Nachfolgeregelung für Safe Harbor möglich ist, die den Maßstäben der EuGH gerecht wird. Vo ra bf as su ng - w ird d ur ch d ie le kt or ie rte V er si on e rs et zt . Deutscher Bundestag – 18. Wahlperiode – 5 – Drucksache 18/7134 8. Sieht die Bundesregierung die Notwendigkeit, auch die innereuropäischen Datentransfers im Lichte des Urteils zu überprüfen, da auch EU-Mitgliedstaaten geheimdienstliche Massenausforschung betreiben? Das Urteil entfaltet unmittelbare Rechtswirkungen ausschließlich für die Safe Harbor-Entscheidung. Wesentliche Gründe für die Entscheidung des Gerichts waren fehlenden Feststellungen der Europäischen Kommission über einen angemessenen Grundrechtsstandard und hinreichende Rechtsschutzmöglichkeiten in den USA. Die Einhaltung der Grundrechte innerhalb der Europäischen Union ist im Rahmen der Anwendbarkeit der GRCh der Europäischen Union gerichtlich überprüfbar. 9. Wie soll die Einhaltung der neuen Rechtsgrundlage einerseits bei den rund 5 500 Unternehmen, die sich als Safe-Harbor-Nutzer registriert hatten und andererseits bei allen anderen Unternehmen, die auf anderer Rechtsgrundlage (z. B. Standardvertragsklauseln oder verbindliche Unternehmensregelungen − BCR) transatlantischen Datentransfer betreiben, nach Kenntnis der Bundesregierung konkret überprüft werden, und hält die Bundesregierung die Datenschutzbehörden dafür ausreichend finanziell, personell und technisch ausgestattet? Die Überprüfung und Durchsetzung des Datenschutzrechts erfolgt durch die nationalen Datenschutzaufsichtsbehörden in völliger Unabhängigkeit. Die Ausstattung der Landesdatenschutzbehörden ist Sache der Länder. Die Bundesbeauftragte für Datenschutz und die Informationsfreiheit hat im Haushalt für das Jahr 2016 Personalverstärkung im Hinblick auf die sich aus dem Safe-Harbor- Urteil des EuGH ergebenden Folgen erhalten. Die Bundesregierung ist der Ansicht , dass die Bundesbeauftragte für Datenschutz und die Informationsfreiheit finanziell, personell und technisch ausreichend ausgestattet ist. 10. Welche Schlussfolgerungen zieht die Bundesregierung aus dem EuGH-Urteil für die Arbeit und Ausstattung der BfDI? Auf die Antwort zu Frage 9 wird verwiesen. 11. In welcher Form sollen nach Auffassung der Bundesregierung Unternehmen ihre Verfahren zum Datentransfer datenschutzgerecht gestalten, und an welchen Maßstäben oder Handlungsanleitungen sowie gesetzlichen Grundlagen können und sollen sich die betroffenen Unternehmen dabei orientieren? Auf die Antwort zu Frage 1 wird verwiesen. 12. Kann nach Meinung der Bundesregierung eine formale Einwilligung zum Transfer personenbezogener Daten eine tragfähige Grundlage für eine Neuregelung des transatlantischen Datentransfers sein, und wenn ja, unter welchen Bedingungen und wie ausgestaltet könnte die Bundesregierung sich eine solche Regelung vorstellen, welche Arten personenbezogener Daten wären davon betroffen, und wie könnte verhindert werden, dass der Datentransfer im Einzelfall einer Einwilligungsregelung nicht wiederholt, massenhaft oder routinemäßig erfolgt? Wenn nein, warum nicht? Eine ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erteilte Einwilligung des Betroffenen ermöglicht eine Übermittlung personenbezogener Daten in Drittstaaten, bei denen kein angemessenes Datenschutzniveau gewährleistet ist, vgl. § 4c Absatz 1 Satz 1 Nummer 1 BDSG in Verbindung mit § 4a Vo ra bf as su ng - w ird d ur ch d ie le kt or ie rte V er si on e rs et zt . Drucksache 18/7134 – 6 – Deutscher Bundestag – 18. Wahlperiode BDSG sowie Artikel 2 Buchstabe h und Artikel 26 Absatz 1 Buchstabe a der Datenschutzrichtlinie 95/46/EG. Der EuGH hat sich in seinem Urteil vom 6. Oktober 2015 nicht zum Instrument der Einwilligung geäußert. Die Bundesregierung sieht deshalb keine Veranlassung , die gesetzlichen Reglungen über die Einwilligung bei der Übermittlung von personenbezogenen Daten in Drittstaaten zu ändern. 13. Teilt die Bundesregierung die Argumentation von US-Unternehmen, die zum Teil bereits vor dem EuGH-Urteil Tochtergesellschaften in EU-Staaten, vorwiegend in Irland, gegründet haben (z. B. Google Ireland Ltd), dass die von ihnen erhobenen personenbezogenen Daten nur auf Servern in der EU gespeichert würden und daher vor dem Zugriff US-amerikanischer Sicherheitsbehörden sicher seien vor dem Hintergrund, dass im Mai 2014 die Microsoft Corporation von einem New Yorker Bezirksgericht zur Herausgabe aller außerhalb den USA gespeicherter Daten verpflichtet wurde, darunter insbesondere auch diejenigen Daten, die in einem in Irland befindlichen Rechenzentrum gespeichert waren und welches von einer Tochtergesellschaft der Microsoft Corporation betrieben wird? 14. Teilt die Bundesregierung die Auffassung, dass bei einer letztinstanzlichen Bestätigung des in Frage 13 angesprochenen Urteils, eine hiesigen Standards entsprechende Regelung nicht mehr möglich wäre, weil Daten grundsätzlich an US-Muttergesellschaften übertragbar und damit dortigen Standards unterworfen wären? Die Fragen 13 und 14 werden wegen ihres inhaltlichen Zusammenhangs gemeinsam beantwortet. Die Microsoft Corporation hat sich gegen den Beschluss des New Yorker Bezirksgerichts über die Herausgabe von auf Microsoft-Servern außerhalb der USA gespeicherten E-Mail-Inhalten in einem Berufungsverfahren mit dem Ziel gewehrt, diesen Beschluss zu verhindern. Die Entscheidung in dieser Sache bleibt abzuwarten. 15. Welchen Drittländern hat die Europäische Kommission verbindlich für alle EU-Mitgliedstaaten ein angemessenes Schutzniveau attestiert, und auf Grundlage welcher Informationen erfolgte dies jeweils zu welchem Zeitpunkt , und hat sie diese Regelungen im Lichte des EuGH-Urteils überprüft, bzw. plant sie nach Kenntnis der Bundesregierung eine solche Überprüfung? Drittländer Zeitpunkt der Verabschiedung Andorra 19. Oktober 2010 Argentinien 30. Juni 2003 Kanada 20. Dezember 2001 Färöer 5. März 2010 Guernsey 21. November 2003 Vo ra bf as su ng - w ird d ur ch d ie le kt or ie rte V er si on e rs et zt . Deutscher Bundestag – 18. Wahlperiode – 7 – Drucksache 18/7134 Drittländer Zeitpunkt der Verabschiedung Isle of Man 28. April 2004 Israel 31. Januar 2011 Jersey 8. Mai 2008 Neuseeland 19. Dezember 2012 Schweiz 26. Juli 2000 Uruguay 21. August 2012 Der Bundesregierung liegen keine Informationen dazu vor, aufgrund welcher Tatsachen die Europäische Kommission ihre Entscheidungen jeweils getroffen hat. Die Europäische Kommission hat in ihrer Mitteilung KOM (2015) 566 vom 6. November 2015 angekündigt, auch weitere Angemessenheitsbeschlüsse zu prüfen und ggf. zu ändern, damit sie bezüglich der Befugnisse der Datenschutzbehörden der Mitgliedstaaten den Vorgaben des EuGH entsprechen. Das Verfahren zum Erlass von Angemessenheitsbeschlüsse ergibt sich aus Artikel 25 Absatz 2 und Absatz 6 der Datenschutzrichtlinie 95/46/EG. 16. Plant die Bundesregierung eine Gesetzesinitiative, um dem Urteil des EuGH folgend, den Datenschutzbehörden ein Klagerecht einzuräumen? Die Bundesregierung wird diese Frage, insbesondere im Zusammenhang mit den erforderlichen Rechtsänderungen nach dem Inkrafttreten der Datenschutz-Grundverordnung überprüfen. 17. Teilt die Bundesregierung die Ansicht, dass im Lichte des Urteils des EuGH auch die Zulässigkeit der Datentransfers in die USA auf der Grundlage der anderen hierfür eingesetzten Instrumente, etwa Standardvertragsklauseln und verbindliche Unternehmensregelungen (BCR), in Frage gestellt sei, und wenn ja, welche Konsequenzen zieht sie daraus? Wenn nein, warum nicht? Die Artikel 29-Datenschutzgruppe hat in ihrer Stellungnahme vom 16. Oktober 2015 angekündigt, ihre Untersuchung über die Auswirkungen des Safe-Harbor- Urteils auf die verbliebenen möglichen Rechtsgrundlagen der Datenübermittlung (Standard-Vertragsklauseln, Einwilligung, verbindliche Unternehmensregelungen (BCRs)) fortzusetzen. Während dieser Prüfungszeit sind sowohl die Datenschutzbehörden der Artikel 29-Gruppe als auch die Europäische Kommission der Auffassung, dass die EU-Standardvertragsklauseln sowie die verbindlichen Unternehmensregeln (BCRs) weiterhin als Rechtsgrundlage für einen legalen Datentransfer in die USA verwendet werden können. Diese Ansicht teilt die Bundesregierung . Die Standardvertragsklauseln können nur vom EuGH für ungültig Vo ra bf as su ng - w ird d ur ch d ie le kt or ie rte V er si on e rs et zt . Drucksache 18/7134 – 8 – Deutscher Bundestag – 18. Wahlperiode oder nichtig erklärt werden. Die Datenschutzbehörden der Mitgliedstaaten können die Rechtmäßigkeit einer Datenübermittlung auf der Grundlage alternativer Instrumente im Einzelfall jederzeit überprüfen. 18. Wird sich die Bundesregierung dafür einsetzen, dass die Entscheidungen zu den Standardvertragsklauseln zeitnah an die in dem EuGH-Urteil gemachten Vorgaben angepasst werden, und wenn ja in welcher Form? Wenn nein, warum nicht? Die Bundesregierung geht davon aus, dass die Europäische Kommission nach Erlass der Datenschutz-Grundverordnung die Standardvertragsklauseln überprüfen wird. Die Bundesregierung wird die Kommission im Rahmen des Verfahrens nach Artikel 31 der Datenschutzrichtlinie 95/46/EG eröffneten Möglichkeiten dabei unterstützen. 19. Welche Auswirkungen hat das Urteil des EuGH auf die Ausgestaltung der europäischen Datenschutzgrundverordnung (DSGV) und welche Initiativen hat die Bundesregierung unternommen, um die bisherigen Regelungen an die Festlegungen des Urteils anzupassen? 20. Welche Konsequenzen ergeben sich aus dem Urteil für die Verhandlungen über die DSGV, hinsichtlich von Standardvertragsklauseln und verbindlichen Unternehmensregelungen (BCR), die bislang ebenfalls als Instrumente des Datenschutzes in der DSGV vorgesehen sein sollen? Die Fragen 19 und 20 werden wegen ihres inhaltlichen Zusammenhangs gemeinsam beantwortet. Die derzeit laufenden Trilogverhandlungen zwischen dem Europäischen Parlament, dem Rat und der Europäischen Kommission sollen Ende 2015 abgeschlossen sein. Der EuGH hat nicht das Instrument der Adäquanzentscheidung als solches in Frage gestellt. Die Bundesregierung sieht – wie die weit überwiegende Mehrheit der Mitgliedstaaten – keinen Bedarf, Kapitel V (Drittstaatenübermittlung) der europäischen Datenschutz-Grundverordnung (DS- GVO) im Lichte des Urteils zu modifizieren. Die wichtigen Elemente des Urteils finden sich bereits in Kapiteln V und VI der DS-GVO. 21. Müssten nach Ansicht der Bundesregierung Verhandlungen über ein neues Safe-Harbor-Abkommen bis zur Verabschiedung der Datenschutzgrundverordnung suspendiert werden, um zu verhindern, dass durch die in der Datenschutzgrundverordnung vorgesehene Schutzklausel für bereits bestehende Datenübereinkünfte mit Drittländern (Artikel 89a des VO-Entwurfs) zugleich das dort festgelegte Schutzniveau unterlaufen wird? Nein. 22. Wie ist nach Kenntnis der Bundesregierung der Verhandlungsstand eines Rahmenabkommens zwischen der EU und den USA für den Datenschutz, in dem auch der Datenaustausch zu Strafverfolgungszwecken und der Gefahrenabwehr Gegenstand ist? Das so bezeichnete Umbrella-Agreement wurde Anfang September 2015 von den Verhandlungspartnern paraphiert. Im nächsten Verfahrensschritt muss der Rat nach Zustimmung des Europäischen Parlaments die Europäische Kommission ermächtigen , das Abkommen zu unterzeichnen. Vo ra bf as su ng - w ird d ur ch d ie le kt or ie rte V er si on e rs et zt . Deutscher Bundestag – 18. Wahlperiode – 9 – Drucksache 18/7134 23. Liegt der Entwurf des Rahmenabkommens vor, wann wird er in welcher Form veröffentlicht werden, respektive warum ist eine Veröffentlichung bislang nicht erfolgt und nicht in Planung? Der paraphierte Text des Abkommens ist im Internet zugänglich. Da es sich um ein zwischen der EU und den USA verhandeltes Abkommen handelt, obliegt die Entscheidung über eine Veröffentlichung auf Seiten der Europäischen Union der Europäischen Kommission. 24. Wird sich die Bundesregierung dafür einsetzen, dass die Kommission in ihren Verhandlungen mit den USA auf die Schaffung ausreichend weitreichender Garantien zum Schutz der Privatsphäre drängt, und wie lassen sich die Eckpunkte der Verhandlungsposition der Bundesregierung beschreiben? Die Bundesregierung hat sich im Zusammenhang mit der im Dezember 2010 erfolgten Erteilung des Verhandlungsmandats an die Europäische Kommission durch den Rat der Europäischen Union dafür eingesetzt, die Kommission aufzufordern , bei ihren Verhandlungen mit der US-Seite auf die Verankerung angemessener und praktikabler Datenschutzstandards zu achten. Sie hat dies auch im weiteren Verlauf der Verhandlungen getan. 25. Wird die Bundesregierung in solchen direkten Verhandlungen mit der US- Regierung ebenfalls auf die Einhaltung eines angemessenen Grundrechtsstandards hinsichtlich Privatsphäre und Datenschutz drängen, und wenn ja, wann genau und in welcher Form? Wenn nein, warum nicht? Auf die Antwort zu Frage 24 wird verwiesen. 26. Teilt die Bundesregierung die Meinung der für Justiz und Verbraucherschutz zuständigen EU-Kommissarin Vĕra Jourová, wonach die vom EuGH festgestellte Grundrechtswidrigkeit des Safe-Harbour-Abkommens keinen Einfluss auf die anderen Abkommen zum Datenaustausch mit US-Behörden habe und daher Bank- und Passagierdaten europäischer Bürger auch weiterhin an die US-Behörden übermittelt werden dürften (vgl. Aussprache im Innenausschuss des EU-Parlaments am 26. Oktober 2015), und wenn ja, warum ? Wenn nein, wird sie sich auf europäischer Ebene für ein Aussetzen der Übermittlungen von Bank- und Fluggastdaten einsetzen, und welche weiteren Regelungen zum Datentransfer in die USA gedenkt sie, in eine solche Prüfung einzubeziehen? Die Bundesregierung teilt die Auffassung von EU-Kommissarin Jourová. Die den Gegenstand des EuGH-Urteils bildende Safe Harbor Entscheidung der Europäischen Kommission enthielt keine Rechtsgrundlage für die Übermittlung von personenbezogenen Daten an US-Behörden, sondern für die Übermittlung personenbezogener Daten aus der Europäischen Union an die teilnehmenden Unternehmen in den USA. Demgegenüber existieren mit dem Abkommen zwischen der Europäischen Union und den USA über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der Europäischen Union an die Vereinigten Staaten von Amerika für die Zwecke des Programms zum Aufspüren der Finanzierung des Terrorismus aus dem Jahr 2010 (sog. TFTP-Abkommen) und dem PNR-Abkommen zwischen der Europäischen Union und den USA aus dem Jahr 2012 Rechtsgrundlagen für die Übermittlung von Bank- und Fluggastdaten. Vo ra bf as su ng - w ird d ur ch d ie le kt or ie rte V er si on e rs et zt . Drucksache 18/7134 – 10 – Deutscher Bundestag – 18. Wahlperiode Beide Abkommen enthalten − im Safe-Harbor-Mechanismus nicht vorgesehene − datenschutzrechtliche Garantien für die Verarbeitung der Daten durch die US-Behörden im jeweiligen Empfängerstaat (Vorgaben etwa zu Zweckgebundenheit / und -begrenzung, Löschung, Aufbewahrung, Höchstspeicherdauer, Betroffenenrechte wie Berichtigung, Löschung und Sperrung, sowie Rechtsbehelfe). 27. Welche Konsequenzen hat das Urteil nach Ansicht der Bundesregierung hinsichtlich der Datenübermittlung in die USA zur Abwicklung des internationalen Datenverkehrs (SWIFT) und zur Übermittlung von Flugpassagierdaten , bei denen jeweils eine streng zweckgebundene Verarbeitung der Daten durch die US-Seite nicht sichergestellt werden kann (bitte ausführen)? Auf die Antwort zu Frage 26 wird verwiesen. 28. Welche konkreten Konsequenzen hat das Urteil des EuGH zum Schutz europäischer Daten auf die Verhandlungen über die geplante Transatlantische Handels- und Investitionspartnerschaft zwischen der Europäischen Union und den USA (TTIP), und wie könnte nach Meinung der Bundesregierung rein praktisch verhindert werden, dass das Freihandelsabkommen Auswirkungen auf den Datenschutz in der EU und in Deutschland hat? Die Europäische Kommission hat in ihrer aktuellen handelspolitischen Strategie („Handel für alle“) bekräftigt, dass Vorschriften über die Verarbeitung personenbezogener Daten nicht Gegenstand der Verhandlungen über Handelsabkommen sind und von diesen nicht berührt werden. Die Bundesregierung unterstützt diese Vorgehensweise nachdrücklich. Insofern hat das Safe Harbor Urteil des EuGH keine konkreten Konsequenzen für die Verhandlungen über TTIP. 29. Hat das Safe-Harbor-Urteil des EuGH aus Sicht der Bundesregierung Auswirkungen auf das geplante Handelsabkommen zwischen der Europäischen Union und Kanada (CETA), insbesondere vor dem Hintergrund, dass Kanada als Mitglied der „Five Eyes“-Geheimdienstallianz zu einem umfassenden Datenaustausch mit den US-Geheimdiensten verpflichtet ist, und wie könnte nach Meinung der Bundesregierung rein praktisch verhindert werden, dass das Freihandelsabkommen Auswirkungen auf den Datenschutz in der EU und in Deutschland hat? Die in Antwort zu Frage 28 zitierte Position der KOM gilt auch für CETA. Das Abkommen befindet sich derzeit in der Rechtsförmlichkeitsprüfung. Unabhängig von CETA hat die Europäische Kommission in ihrer Mitteilung an das Europäische Parlament und den Rat zur Übermittlung personenbezogener Daten vom 6. November 2015 klargestellt, dass sie alle weiteren Entscheidungen zur Angemessenheit von Datenübermittlungen in Drittstaaten − einschließlich Kanada − im Licht des Safe Harbor-Urteils anpassen möchte und zudem bestehende und zukünftige Angemessenheitsentscheidungen regelmäßig überprüfen wird. 30. Wie können nach Ansicht der Bundesregierung Vereinbarungen zum Datenschutz zwischen der Bundesrepublik Deutschland und den Vereinigten Staaten überhaupt aussehen, wenn das Verfassungsrecht der USA kein Recht auf privacy kennt und die amerikanischen Verhandlungspartner demzufolge einen solchen Rechtsanspruch für nicht gewährbar halten? Die Frage basiert auf der Einschätzung der Fragesteller, dass „das Verfassungsrecht der USA kein Recht auf privacy kennt und die amerikanischen Verhand- Vo ra bf as su ng - w ird d ur ch d ie le kt or ie rte V er si on e rs et zt . Deutscher Bundestag – 18. Wahlperiode – 11 – Drucksache 18/7134 lungspartner demzufolge einen solchen Rechtsanspruch für nicht gewährbar halten “. Die Bundesregierung sieht sich nicht gehalten, eine Bewertung der US-amerikanischen Verfassungsrechtlage vorzunehmen. Vo ra bf as su ng - w ird d ur ch d ie le kt or ie rte V er si on e rs et zt . Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333