Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern, für Bau und Heimat vom 28. Mai 2018 übermittelt. Die Drucksache enthält zusätzlich – in kleinerer Schrifttype – den Fragetext. Deutscher Bundestag Drucksache 19/2552 19. Wahlperiode 06.06.2018 Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Dr. Konstantin von Notz, Tabea Rößner, Katharina Dröge, weiterer Abgeordneter und der Fraktion BÜNDNIS 90/DIE GRÜNEN – Drucksache 19/1950 – Konsequenzen aus den massenhaften Datenabgriffen bei Facebook und mögliche Beeinflussung demokratischer Willensbildungsprozesse V o r b e m e r k u n g d e r F r a g e s t e l l e r Persönliche Informationen und Daten von nach heutigem Stand rund 87 Millionen Nutzerinnen und Nutzern von Facebook, davon mindestens 300 000 in Deutschland, sind ohne deren Kenntnis und Einwilligung bereits 2014 an die Politikberatungs- und Datenanalysefirma Cambridge Analytica gelangt und unter anderem offenbar auch zum Zwecke einer Beeinflussung des US-Wahlkampfes zugunsten des heutigen US-Präsidenten Donald Trump verwendet worden (vgl. „How Trump Consultants Exploited the Facebook Data of Millions , The New York Times 17. März 2018, abrufbar unter www.nytimes.com/ 2018/03/17/us/politics/cambridge-analytica-trump-campaign.html). Das Unternehmen selbst hat die Vorwürfe bestätigt und einmal mehr verbesserte Datenschutzvorkehrungen versprochen. Die Umsetzung würde jedoch nach Auskunft des Unternehmens mehrere Jahre in Anspruch nehmen (www.welt.de/ newsticker/dpa_nt/infoline_nt/brennpunkte_nt/article174789263/Facebook- Entschuldigung-nach-Datenskandal.html, www.br.de/nachrichten/faceboookchef -zuckerberg-werden-jahre-brauchen-um-probleme-zu-loesen-100.html). Der Fall wirft zum einen die Frage auf, in welchem Umfang, neben zahlreichen anderen rechtswidrigen Datenverarbeitungspraktiken, auch die rechtswidrige Weitergabe von Daten an Dritte zum Geschäftsmodell von Facebook und anderen Social-Media-Plattformen wie Google, VKontakte usw. gehörte oder noch gehört. Zum anderen stellt sich die Frage nach Ausmaß und Folgen intransparenter Beeinflussung demokratischer Willensbildungsprozesse, z. B. durch das sog. Microtargeting, einer Kombination aus Big-Data-Sammlung, Profilerstellung und Scoring zum Zwecke einer detaillierten Zuordnung Einzelner in bestimmte Interessengruppen, die mit zielgenauen Botschaften beeinflusst werden können. Insbesondere hinsichtlich der Möglichkeit der gezielten Beeinflussung (politischer und anderer) Meinungs- und Willensbildungsprozesse (wie etwa Wahlen) sind auch die Wirkungen anderer, algorithmengesteuerter, personalisierter Instrumente von sozialen Netzwerken sowie deren Missbrauch für Desinformation und politische Propaganda noch weitgehend unklar. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/2552 – 2 – Deutscher Bundestag – 19. Wahlperiode Klar ist jedoch: Bei Facebook und den konzernangehörigen Unternehmen wie z. B. WhatsApp und Instagram handelt es sich um global operierende Werbeunternehmen . Wesentlicher Baustein des Geschäftsmodells ist die Monetarisierung der Aktivitäten der Nutzerinnen und Nutzer durch eine weitreichende Erfassung und Speicherung zahlreicher persönlicher Daten und Informationen online und zunehmend auch offline (z. B. durch Offline-Tracking von Smartphones ) sowie eine eingehende Analyse, Verknüpfung und Profilerstellung mit dem Ziel der möglichst passgenauen Werbung im Auftrag der Werbekunden. In Deutschland verfügt Facebook über ca. 30 Millionen aktive Nutzerinnen und Nutzer. Die zum Unternehmen gehörenden Firmen WhatsApp nochmals über 37 Millionen und Instagram über 15 Millionen Nutzerinnen und Nutzer. Durch sogenannte Netzwerkeffekte kommt es zu einer erheblichen – auch durch fehlende Alternativen begünstigte – Marktmachtkonzentration, (www.welt.de/wirtschaft/ bilanz/article167511956/Willkommen-im-Land-der-Daten-Schizophrenie.html). Im Kontext des jüngsten Skandals um Facebook und die Kooperation mit Cambridge Analytica wurde deutlich, dass Facebook über Jahre Anbietern von Apps einen weitreichenden Zugang zu eigenen Datenbanken erlaubte. Für Anteile an den Erträgen der Drittanbieter ermöglichte das Unternehmen weitgehende Zugriffe auf Daten und Informationen der eigenen Nutzerinnen und Nutzer . Nach Aussagen ehemaliger Mitarbeiter haben tausende Externe über Jahre die Möglichkeit eines weitreichenden Datenzugriffs gehabt (vgl. „Utterly horrifying ': ex-Facebook insider says covert data harvesting was routine“, „The Guardian ” 20. März 2018, abrufbar unter www.theguardian.com/news/2018/mar/20/ facebook-data-cambridge-analytica-sandy-parakilas). Die Drittanbieter und die Nutzung der an sie übermittelten Daten und Informationen wurden von Seiten des Unternehmens nur unzureichend kontrolliert. Ob tatsächlich alle von der rechtswidrigen Datenweitergabe an Cambridge Analytica betroffenen Nutzerinnen und Nutzer (ausreichend) informiert worden sind, ist zum heutigen Zeitpunkt unklar. Bezüglich der Frage, ob die rechtswidrig erlangten Daten bei Cambridge Analytica und anderen Drittfirmen gelöscht wurden , besteht ebenfalls weiterhin Unklarheit. Einzelne Änderungen an der Praxis der Zusammenarbeit mit Drittanbietern wurden zwischenzeitlich vorgenommen. Allerdings bestehen ähnlich gelagerte Probleme wie im Fall von Cambridge Analytica durch eine bis heute weitgehend unkontrollierte und intransparente Datenübermittlung an Drittanbieter auch in anderen Datenerfassungskonzepten des Unternehmens bis heute fort. Facebook steht seit Jahren wegen seines mangelhaften Schutzes der persönlichen Informationen und Daten seiner Nutzerinnen und Nutzer in der Kritik. In zahlreichen behördlichen Aufsichts- und Gerichtsverfahren weltweit mussten deshalb grundlegende Datenschutzstandards gegen heftigen Widerstand des Unternehmens erst eingeklagt werden. In Europa ist das Unternehmen in Irland ansässig. Der dortigen Datenschutzbehörde wird vorgeworfen, ihrer Aufsichtsverantwortung für die europäischen Datenschutzvorgaben nicht ausreichend nachzukommen. So sollen die Möglichkeiten von App-Entwicklern, über offene Schnittstellen weitgehenden Zugriff auf Nutzerdaten zu bekommen, der Aufsichtsbehörde bereits 2011 im Rahmen einer förmlichen Eingabe bekannt gewesen sein (www.datenschutzzentrum.de/artikel/758-ULD-zum-Facebook- Audit-des-irischen-Datenschutzbeauftragten-Erkenntnisse-stuetzen-weiteres- Vorgehen-des-ULD.html). Immer klarer scheint, dass es sich bei den jüngsten Enthüllungen um Cambridge Analytica nur um die Spitze des Eisbergs bezüglich jahrelanger, weitreichender, rechtlich unzulässiger Datenweitergaben an Dritte durch Facebook handelt. Unklar ist zum gegenwärtigen Zeitpunkt, in welchem Umfang auch Bundesbürger Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 3 – Drucksache 19/2552 sowohl von dem konkreten als auch von anderen, vergleichbaren Vorfällen betroffen sind und welche Maßnahmen die Bundesregierung für den Grundrechtsschutz der Bürgerinnen und Bürger und gegen die Marktmachtkonzentration bei einigen wenigen großen Anbietern im Digitalen plant. V o r b e me r k u n g d e r B u n d e s r e g i e r u n g Die Weitergabe von 87 Millionen Facebook-Nutzerdaten an ein Datenanalyseunternehmen , die von diesem Unternehmen vorgenommene Verarbeitung und Nutzung dieser Daten zu Zwecken der Profilbildung und die mit den Daten möglicherweise erfolgte Beeinflussung des demokratischen Willensbildungsprozesses und von Wahlen bedarf einer detaillierten Aufklärung durch die zuständigen Behörden. US-amerikanische und britische Aufsichtsbehörden haben hinsichtlich der Datenabrufe bei Facebook und der Verarbeitung und Nutzung dieser Daten durch das Datenanalyseunternehmen Ermittlungen eingeleitet. Hinsichtlich der nach Angaben von Facebook möglicherweise ca. 310 000 betroffenen Facebook-Nutzerinnen und -Nutzer in Deutschland liegt die gesetzliche Zuständigkeit für die Überprüfung von Datenschutzverstößen bei den Datenschutzaufsichtsbehörden der Länder. Die Bundesregierung achtet die aus dem Grundrecht auf informationelle Selbstbestimmung folgende und aus Artikel 8 Absatz 3 der Charta der Grundrechte der Europäischen Union sich ergebende Unabhängigkeit der Datenschutzaufsichtsbehörden . Der Europäische Gerichtshof hat zudem klargestellt, dass die Datenschutzaufsichtsbehörden als Kontrollstellen mit einer Unabhängigkeit ausgestattet sein müssen, die nicht nur jegliche Einflussnahme seitens der kontrollierten Stellen, sondern auch jede sonstige äußere Einflussnahme ausschließt, durch welche die Aufgabenerfüllung der Kontrollstellen beeinträchtigt werden könnte (Urt. v. 9. März 2010, C-518/07). Den Datenschutzbehörden alleine sind durch die genannten rechtlichen Vorgaben die Möglichkeiten der Kontrolle und Überprüfung der Ausführung der Datenschutzgesetze, das Ziehen von entsprechenden rechtlichen Schlussfolgerungen und daraus abgeleitete Maßnahmen zur Sanktionierung zugewiesen. Auf die Tätigkeit der unabhängigen Datenschutzaufsichtsbehörden darf und wird die Bundesregierung keinen Einfluss nehmen. Die mögliche Nutzung von Datenprofilen von Bürgerinnen und Bürgern zur Beeinflussung des demokratischen Meinungs- und Willensbildungsprozesses hat eine verfassungsrechtliche und gesamtgesellschaftliche Dimension. Es ist ein Kernelement der freiheitlichen Demokratie des Grundgesetzes, dass die Wählerinnen und Wähler ihr politisches Urteil in einem freien und offenen Prozess der Meinungsbildung fällen können. Aus diesem Grund, aufgrund der Vielzahl der betroffenen deutschen Nutzerinnen und Nutzer, der Reichweite der Datenzugriffe und daraus folgenden etwaigen Handlungsnotwendigkeiten für den Gesetzgeber sieht die Bundesregierung neben den oben dargestellten datenschutzrechtlichen Zuständigkeiten die Notwendigkeit, Gespräche auf politischer Ebene zu führen. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/2552 – 4 – Deutscher Bundestag – 19. Wahlperiode 1. Welche Schritte hat die Bundesregierung bislang insgesamt veranlasst, um eine umfassende Aufklärung darüber zu erhalten, in welchem Umfang auch deutsche Staatsbürger von dem aktuellen Facebook-Datenskandal betroffen sind und wie hoch die konkrete Zahl der Betroffenen tatsächlich ist? Die Bundesministerin der Justiz und für Verbraucherschutz, Dr. Katarina Barley, hat am 26. März 2018 ein Gespräch mit Facebook-Vertretern zur Sachverhaltsaufklärung geführt und dabei insbesondere nach Erkenntnissen zur Betroffenheit deutscher Nutzerinnen und Nutzer gefragt. An dem Gespräch hat auch der für Facebook in Deutschland zuständige hamburgische Datenschutzbeauftragte teilgenommen. Im Anschluss an dieses Gespräch übermittelte Facebook die in der Vorbemerkung aufgeführten Zahlen von möglichen betroffenen Facebook- Nutzerinnen und Nutzern in Deutschland. Auch der Staatssekretär im Bundesministerium des Innern, für Bau und Heimat, Klaus Vitt, hat am 3. April 2018 ein Gespräch mit Facebook-Vertretern geführt, um sich selbst ein Bild über die Aufklärungspraxis von Facebook und über das Ausmaß der Betroffenheit deutscher Bürgerinnen und Bürger zu machen. Im Übrigen liegt die Sachverhaltsaufklärung in der Zuständigkeit der Datenschutzaufsichtsbehörden (siehe Vorbemerkung der Bundesregierung ). 2. Welche Schritte hat die Bundesregierung bislang veranlasst, um Facebook gegenüber die Zuständigkeit des hamburgischen Datenschutzbeauftragten für den aktuellen Facebook-Datenskandal hervorzuheben und diesem Zugang zu den Rechensystemen zu verschaffen, um eine Betroffenheit deutscher Nutzerinnen und Nutzer zu überprüfen und Verstöße gegen geltendes deutsches Recht festzustellen, um so eine Einhaltung der gesetzlichen Regelungen überprüfen zu können (www.heise.de/newsticker/meldung/ Datenschutzaufsicht-und-Bundeskartellamt-gemeinsam-gegen-Facebook- 3923455.html)? Die Zuständigkeit der Datenschutzaufsichtsbehörden im nicht-öffentlichen Bereich ergibt sich aus § 38 Absatz 1 und 6 des Bundesdatenschutzgesetzes (BDSG) und den jeweiligen Landesdatenschutzgesetzen. Die örtliche Zuständigkeit richtet sich nach dem Sitz der nicht-öffentlichen Stelle. Da Facebook eine deutsche Niederlassung in Hamburg hat, hat der hamburgische Datenschutzbeauftragte (HmbBfDI) den in Rede stehenden Sachverhalt bei Facebook überprüft und inzwischen auch ein Bußgeldverfahren eingeleitet. Aufgrund anderer Rechtsverfahren, in denen der HmbBfDI bereits Anordnungen gegen Facebook erlassen hat (z. B. im Jahr 2012 die Verwaltungsanordnung zur rechtskonformen Ausgestaltung der Gesichtserkennung bei Facebook), ging die Bundesregierung davon aus, dass dem Unternehmen die gesetzlichen Aufgaben und Befugnisse des HmbBfDI bekannt waren. Etwaiger Hinweise der Bundesregierung zur Zuständigkeit des HmbBfDI bedurfte es insofern nicht. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 5 – Drucksache 19/2552 3. Welche Schritte hat die Bundesregierung bislang insgesamt veranlasst, um neben den Ermittlungen des zuständigen hamburgischen Datenschutzbeauftragten selbst eine umfassende Aufklärung darüber zu erhalten, ob und in welchem Umfang vergleichbare Fälle eines Massenabgriffes von Daten bundesdeutscher Nutzerinnen und Nutzer bei Facebook oder bei anderen Social- Media-Anbietern durch Dritte erfolgt sein könnten, oder verlässt sie sich vollständig auf die angekündigten Auskünfte des Unternehmens? Auf die Vorbemerkung der Bundesregierung zur Zuständigkeit der unabhängigen Datenschutzaufsichtsbehörden für die Kontrolle der Datenschutzgesetze wird verwiesen. Umfangreiche Aufklärungsschritte und Ermittlungen durch die Bundesregierung sind hierdurch ausgeschlossen. Dem HmbBfDI stehen nach dem Bundesdatenschutzgesetz wirksame Aufklärungsbefugnisse (z. B. Betretungsrechte ) und Durchsetzungsbefugnisse (Erlass von Heranziehungsbescheiden zur Auskunftserteilung oder Verwaltungsanordnungen sowie Erlass von Bußgeldern) bei Datenschutzverstößen von Unternehmen zur Verfügung. 4. Teilt die Bundesregierung die Auffassung der Fragesteller, dass angesichts jahrelanger rechtlicher Auseinandersetzungen mit dem Werbeunternehmen Facebook, auch durch die Vorgängerregierungen sowie diverser Datenschutzaufsichts - und Verbraucherschutzstellen, erhebliche Zweifel angebracht sind, dass Facebook tatsächlich angemessene Konsequenzen im Sinne des Datenschutzes der Nutzerinnen und Nutzer ziehen wird, und wenn nein, weshalb nicht? Die Bundesregierung gibt keine Prognosen zum zukünftigen Verhalten eines Einzelunternehmens ab. Mit Geltung der Datenschutzgrundverordnung (DS-GVO) ab dem 25. Mai 2018 wird der datenschutzrechtliche Sanktionsrahmen erheblich verschärft. Aufgrund der Geltung des Marktortprinzips (Artikel 3 DS-GVO) findet die DS-GVO darüber hinaus auch auf datenverarbeitende Stellen außerhalb der Europäischen Union (EU) bei der Verarbeitung personenbezogener Daten Anwendung, sofern das jeweilige Angebot auf den europäischen Markt gerichtet ist. Es sind bei bestimmten Verstößen Geldbußen im Fall eines Unternehmens von bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs möglich (Artikel 83 DS-GVO). Diese Ausweitung des Geltungsbereichs und der verschärfte Sanktionsrahmen werden nach Einschätzung der Bundesregierung auch dazu beitragen, dass Unternehmen bei ihren wirtschaftlichen Tätigkeiten in Europa die europäischen Datenschutzregelungen beachten werden. 5. Wie gedenkt die Bundesregierung sicherzustellen, dass Facebook die angekündigten Konsequenzen zugunsten des Datenschutzes seiner Nutzerinnen und Nutzer auch tatsächlich zeitnah umsetzt, und wie bewertet die Bundesregierung die Ankündigung des Unternehmens, dass die Realisierung aller notwendigen datenschutzrechtlichen Änderungen mehrere Jahre in Anspruch nehmen wird? Die Bundesregierung erwartet, dass Unternehmen die gesetzlichen Regelungen zum Datenschutz und insbesondere der DS-GVO einhalten und sich rechtskonform verhalten. Ob diese Regelungen eingehalten werden, obliegt der gesetzlichen Kontrolle durch die Datenschutzaufsichtsbehörden (vgl. Vorbemerkung der Bundesregierung). Eine Übergangsfrist ab Geltung der DS-GVO am 25. Mai Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/2552 – 6 – Deutscher Bundestag – 19. Wahlperiode 2018 ist jedenfalls nicht vorgesehen. Die Bundesregierung wird beobachten, welche Fragestellungen bei der Anwendung und Wirkungsweise ggf. auftreten, um diese bei der vorgesehenen Evaluierung der DS-GVO in zwei Jahren in den Evaluierungsprozess einbringen zu können. 6. Teilt die Bundesregierung die Auffassung der Fragesteller, dass Facebook spätestens ab Kenntnis der unrechtmäßigen Datenweitergabe an Cambridge Analytica schon nach geltender Rechtslage verpflichtet war, sowohl die bundesdeutschen betroffenen Nutzerinnen und Nutzer als auch die zuständige Aufsichtsbehörde zu informieren und dies rechtswidrig über Jahre unterlassen hat, und wenn nein, weshalb nicht? Eine Anwendung des BDSG setzt zunächst voraus, dass deutsches Recht überhaupt anwendbar ist. Dies könnte in den Fällen, in denen deutsche Nutzerinnen und Nutzer die in Rede stehende App mit der API-Schnittstelle zu Facebook „thisisyourdigitallife “ heruntergeladen haben bzw. betroffen sind, der Fall sein. § 42a BDSG sieht bußgeldbewehrte Informationspflichten gegenüber der Datenschutzaufsichtsbehörde und den betroffenen Personen vor, wenn bestimmten Datenarten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der betroffenen Person drohen. Ob bei dem in Rede stehenden Sachverhalt die Voraussetzungen dieser Rechtsnorm erfüllt sind, kann auf Basis konkreter Sachverhaltskenntnis nur durch die zuständige Datenschutzaufsichtsbehörde beurteilt werden (vgl. Vorbemerkung der Bundesregierung ). 7. Wie bewertet die Bundesregierung, dass es jahrelang zu keinen Informationen der betroffenen deutschen Nutzerinnen und Nutzer durch Facebook gekommen ist, und welche Schritte unternimmt die Bundesregierung, um sicherzustellen , dass alle betroffenen deutschen Nutzerinnen und Nutzer tatsächlich zeitnah umfassend über die unrechtmäßige Weitergabe ihrer Daten informiert werden? Ob sich aus dem Nutzungsvertrag eine Pflicht des Unternehmens zur Information der betroffenen Nutzerinnen und Nutzer ergab, auch um weiteren möglichen Schaden abzuwenden, kann nur im Einzelfall beurteilt werden. Sollten Informationspflichten durch Facebook nach § 42a BDSG oder anderen Datenschutzvorschriften gegenüber deutschen Nutzerinnen und Nutzern von Facebook verletzt worden sein, obliegt es den unabhängigen Datenschutzaufsichtsbehörden die nach dem Gesetz notwendigen und allein ihnen gesetzlich vorbehaltenen Maßnahmen zu ergreifen (vgl. Vorbemerkung der Bundesregierung). 8. Welche Folgen bzw. Sanktionen ergeben sich aus Sicht der Bundesregierung für Facebook aus der unrechtmäßigen Weitergabe der Daten, und wie stellt die Bundesregierung sicher, dass es tatsächlich zu einer Sanktionierung kommt? Der HmbBfDI hat Presseberichten zufolge im April 2018 gegen Facebook wegen der in Rede stehenden Datenabgriffe ein Bußgeldverfahren eingeleitet. In diesem Verfahren prüft der HmbBfDI offenbar, ob unbefugt personenbezogene Daten, die nicht allgemein zugänglich waren, zum Abruf mittels automatisierten Verfahrens bereitgehalten worden sind (§ 43 Absatz 2 Nummer 3 BDSG). Das BDSG sieht für solche Fälle Bußgelder von bis zu 300 000 Euro vor. Es ist möglich, diesen Betrag zu überschreiten, wenn der wirtschaftliche Vorteil, den der Täter Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 7 – Drucksache 19/2552 aus der Ordnungswidrigkeit gezogen hat, überschritten wird (§ 17 Absatz 4 Gesetz über Ordnungswidrigkeiten – OWiG). Ein etwaig rechtswidrig erlangter Vermögensvorteil kann in einem Verfallsverfahren durch Abschöpfung des Gewinns auch dann geltend gemacht werden, wenn es zu einer Einstellung des Bußgeldverfahrens kommen sollte (§ 29a OWiG). Es ist im Übrigen nicht die Aufgabe der Bundesregierung, eine Sanktionierung durch eine unabhängige Aufsichtsbehörde gegenüber einer verantwortlichen Stelle sicherzustellen. Auf die Vorbemerkung der Bundesregierung zu den gesetzlichen Zuständigkeiten der Datenschutzaufsichtsbehörden für die Ausführung der Datenschutzgesetze und den Erlass von etwaigen Maßnahmen wird verwiesen . 9. Ist die von der Bundesregierung geplante Musterfeststellungsklage nach Ansicht der Bundesregierung ein geeignetes Instrument, damit die betroffenen Nutzerinnen und Nutzer (Verbraucher sowie Unternehmer) für die unrechtmäßige Weitergabe ihrer Daten entschädigt werden können (www.wiwo. de/politik/deutschland/verbraucherrechte-fdp-und-gruene-kritisierenverzoegerung -bei-der-musterfeststellungsklage/21207748.html)? Die Bundesregierung hat am 9. Mai 2018 den vom Bundesministerium der Justiz und für Verbraucherschutz vorgelegten Entwurf eines Gesetzes zur Einführung einer zivilprozessualen Musterfeststellungsklage beschlossen. Anschließend wird das parlamentarische Gesetzgebungsverfahren eingeleitet. Das Gesetz soll zum 1. November 2018 in Kraft treten. Der Gesetzentwurf der Bundesregierung sieht vor, dass anerkannte und besonders qualifizierte Verbraucherverbände gegenüber einem Unternehmen zentrale Haftungs- bzw. Anspruchsvoraussetzungen für alle vergleichbar betroffenen Verbraucher in einem einzigen Gerichtsverfahren verbindlich klären lassen können, ohne dass die Verbraucher zunächst selbst klagen müssen. Durch die Musterfeststellungsklage ergeben sich keine neuen Haftungstatbestände. Ob und ggf. in welcher Höhe Verbrauchern Entschädigungs- oder Schadensersatzansprüche zustehen, bestimmt sich nach dem materiellen Recht. 10. Welche Kriterien zieht die Bundesregierung zur Bemessung des individuellen Schadens der Nutzerinnen und Nutzer heran, deren Daten unrechtmäßig weitergegeben wurden? § 7 BDSG enthält u. a. eine Anspruchsgrundlage für Schadensersatzansprüche. Die Rechtsnorm sieht vor, dass eine verantwortliche Stelle, die der betroffenen Person einen nach dem BDSG oder nach anderen Vorschriften über den Datenschutz durch unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung personenbezogener Daten Schaden zufügt, diesen zu ersetzen hat. Daneben können betroffene Personen einen Schadensersatzanspruch auch auf die allgemeinen deliktsrechtlichen Anspruchsgrundlagen stützen (§§ 823 ff. des Bürgerlichen Gesetzbuches – BGB). Die Bemessung des Schadensersatzes richtet sich nach den allgemeinen zivilrechtlichen Regelungen zur Schadensberechnung (§§ 249 ff. BGB). Mit Geltung der DS-GVO ab dem 25. Mai 2018 ergeben sich die Kriterien des datenschutzrechtlichen Schadensersatzanspruches aus Artikel 82 DS-GVO. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/2552 – 8 – Deutscher Bundestag – 19. Wahlperiode 11. Teilt die Bundesregierung die Auffassung der Fragesteller, wonach die Eröffnung der technischen Zugriffsmöglichkeit für App-Entwickler auf eine Vielzahl von persönlichen Informationen auch der unbeteiligten Freunde von App-Nutzern bereits nach geltender datenschutzrechtlicher Rechtslage unzulässig war, und wenn nein, weshalb nicht? Soweit das BDSG Anwendung findet, haben nicht-öffentliche Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die im Bundesdatenschutzgesetz genannten Anforderungen zu gewährleisten (§ 9 Satz 1 BDSG). Hierzu gehören gemäß der Anlage zu § 9 Satz 1 BDSG u. a. die Zugangs-, Zugriffs - und Weitergabekontrolle. Inwiefern gegen diese Vorgaben verstoßen worden ist, obliegt der Kontrolle der zuständigen Datenschutzaufsichtsbehörde. Auf die Vorbemerkung der Bundesregierung zur gesetzlich zugewiesenen Zuständigkeit über die Ausführung der Datenschutzgesetze und den Erlass von etwaigen Maßnahmen an die unabhängigen Datenschutzaufsichtsbehörden wird verwiesen. 12. Teilt die Bundesregierung die Auffassung der Bundesministerin der Justiz und für Verbraucherschutz, Dr. Katarina Barley, der jetzt bekanntgewordene Vorgang belege eine Bedrohung von Demokratie und Rechtsstaatlichkeit, und wenn ja, mit welcher konkreten Begründung (vgl. „Barley empfängt Vertreter von Facebook“, tagesschau,de vom 26. März 2018, abrufbar unter www.tagesschau.de/inland/barley-facebook-101.html)? Soweit massenhaft personenbezogene Daten erhoben, ausgewertet und zu politischer Manipulation – etwa durch Microtargeting – verwendet werden, kann dies wegen der möglichen Beeinflussung der politischen Willensbildung und von Wahlen eine Bedrohung für Demokratie und Rechtsstaat darstellen. 13. Teilt die Bundesregierung die Auffassung, wonach für meinungsbildende Datenverarbeitungen, wie etwa personalisierte Newsfeeds, datenschutzrechtliche Beschränkungen wie z. B. Einschränkungen hinsichtlich der zu bewertenden persönlichen Daten, regelmäßige verpflichtende Löschungen von Daten oder wiederholte Informationspflichten geboten sein können (vgl. dazu Boris P. Paal/ Moritz Hennemann, Meinungsbildung im digitalen Zeitalter , JZ 13/2017, S. 648), und erwägt die Bundesregierung zusätzliche Regelungen dieser Art, und wenn nein, weshalb nicht? Der von den Fragestellern benannte Artikel enthält Vorschläge zu „(Eskalations-) Stufen“ einer möglichen datenschutzrechtlichen Regulierung, soweit eine „Meinungsbildungsrelevanz “ als Anknüpfungspunkt besteht. Dabei wird in dem Artikel konkret Folgendes vorgeschlagen: „Als (Eskalations-) Stufen einer Regulierung in Betracht kommen wiederholte (datenschutzrechtliche) Informationspflichten nach Ablauf eines bestimmten bzw. bestimmbaren Zeitraums, so genannte ‚cooling off‘-Perioden, Begrenzung(en) der Einwilligung auf einen bestimmten bzw. bestimmbaren Zeitraum und damit verbundenen Löschung(en) der Präferenzen - wobei zwischen einer automatische Löschung mit Erneuerungsfunktion und einer Erneuerung mit Löschungsoption unterschieden werden kann.“ (JZ 2017, 648 f.) Die in der Fragestellung skizzierten Vorschläge zielen auf eine datenschutzrechtliche Regulierung und betreffen zunächst die in der DS-GVO geregelte Einwilligung (Artikel 7 DS-GVO). Die DS-GVO sieht allerdings keine Öffnungsklausel vor, die dem nationalen Gesetzgeber von der DS-GVO abweichende Regelungen erlauben würden. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 9 – Drucksache 19/2552 Darüber hinaus machen die Autoren des in Rede stehenden Artikels auch Vorschläge zu Artikel 12 bis 22 DS-GVO. Diese Artikel der DS-GVO enthalten u. a. die Vorschriften zu Informationspflichten gegenüber der betroffenen Person sowie das Auskunftsrecht, das Recht auf Löschung, das Recht auf Forderung der einschränkenden Verarbeitung und dem Widerspruchsrecht der betroffenen Person . Die Bundesregierung hatte bei den Beratungen zur DS-GVO dafür plädiert, durch Artikel 23 DS-GVO auch Erweiterungen – und nicht nur Beschränkungsmöglichkeiten – der Betroffenenrechte durch nationale Vorschriften bei den Artikeln 12 bis 22 DS-GVO zuzulassen. Diesen Vorschlag hat der europäische Gesetzgeber jedoch nicht aufgegriffen. Die von den Fragestellern benannten Vorschläge können daher im nationalen Datenschutzrecht europarechtskonform nicht abgebildet werden, denn auch hierfür steht dem nationalen Gesetzgeber keine Öffnungsklausel in der DS-GVO zur Verfügung. 14. Bedeutet der Satz aus der Regierungserklärung der Bundeskanzlerin vom 21. März 2018, „Deshalb haben Europa und Deutschland durch die Erfahrung mit der sozialen Marktwirtschaft die einmalige Chance, hier wieder ein gerechtes, den Menschen in den Mittelpunkt stellendes System der Teilhabe an der Souveränität der Daten zu schaffen“, dass eine Verdrängung, Modifizierung , Relativierung, Umgehung oder anderweitige Form der Veränderung des bestehenden verfassungsrechtlich wie europarechtlich verbürgten Systems der Teilhabe am Umgang von Verwaltung und Unternehmen mit personenbezogenen Informationen und Daten, wie es unter anderem in den Datenschutzgesetzen des Bundes und der Länder festgelegt ist, geplant wird, und wenn ja, welche, und wenn nein, wie ist die Formulierung sonst zu verstehen? 15. Inwiefern soll, bezugnehmend auf den in Frage 14 genannten Satz der Bundeskanzlerin , zukünftig eine offenbar subjektlose „Souveränität der Daten“ realisiert werden, oder geht es weiterhin und vorrangig um eine Souveränität der vom Umgang Dritter mit ihren Informationen und Daten betroffenen natürlichen Personen, wie vom Grundgesetz vorgesehen? 16. Bedeuten die Formulierungen der Bundeskanzlerin in ihrer Regierungserklärung zur Sicherung des Eigentums, darunter die Frage, „Oder schaffen wir es, ein faires System des Dateneigentums aufzubauen?“, einen Dissens der Bundesregierung mit zentralen Aussagen des Bundesverfassungsgerichts (BverfG) im 65. Band, S. 1 ff.: (Volkszählungsurteil, ständige Rechtsprechung ) zur Schaffung des Datenschutzrechts, wonach der Einzelne nicht ein Recht im Sinne einer absoluten, uneinschränkbaren Herrschaft über „seine“ Daten hat? 17. Bezug nehmend auf Frage 15, heißt dies, dass die Bundesregierung nicht mehr mit dem BVerfG davon ausgeht, der Einzelne sei eine sich innerhalb der sozialen Gemeinschaft entfaltende, auf Kommunikation angewiesene Persönlichkeit und Information, auch soweit sie personenbezogen ist, demnach ein Abbild sozialer Realität, das nicht ausschließlich dem Betroffenen allein zugeordnet werden kann, und wenn nein, wie kann das Konzept des „Dateneigentums“ dann mit dem Konzept des bestehenden Datenschutzrechts in Einklang gebracht werden? 18. Muss die Passage in der Regierungserklärung der Bundeskanzlerin, auch vor dem Hintergrund ihrer Aussage „Wenn Daten der Rohstoff der Zukunft sind, dann entscheidet die Souveränität des Menschen über diese Daten und damit auch über die Frage des Eigentums und damit der Teilhabe jedes Einzelnen“, neben dem gerade modernisierten, vollharmonisierten EU-Datenschutzrecht, als Ankündigung einer weiteren, nationalen Parallelgesetzgebung, zum Beispiel für ein neues „Datenrecht“ verstanden werden? Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/2552 – 10 – Deutscher Bundestag – 19. Wahlperiode 19. Worin besteht konkret die auch von der Bundeskanzlerin stark beworbene Idee des Dateneigentums (vgl. www.golem.de/news/regierungserklaerung-merkelwarnt -vor-datenausbeutung-der-nutzer-1803-133484.html) angesichts der europäischen Vollharmonisierung des Umganges mit persönlichen Informationen und Daten und der auch von Spitzenverbänden der deutschen Wirtschaft (etwa des Bundesverbands Digitale Wirtschaft e. V.) ganz grundsätzlich bestrittenen Eigentumsfähigkeit von Informationen und/oder Daten? Die Fragen 14 bis 19 werden aufgrund ihres Sachzusammenhangs zusammen beantwortet : Für den Umgang mit Daten gibt es derzeit bereits eine Vielzahl von Regelungen, die unterschiedliche Anknüpfungspunkte und Zielrichtungen haben. Der Zugang zu Daten, die Nutzung von Daten, der Handel mit Daten und die Rechte an Daten werden unter anderem durch verfassungs-, urheber-, wettbewerbs-, zivil-, straf-, datenschutz- und verbraucherschutzrechtliche Rechtsvorschriften geregelt. Datenschutzrechtliche Vorgaben für die Verarbeitung personenbezogener Daten durch Unternehmen müssen im Rahmen der verfassungsmäßigen Ordnung die legitimen wirtschaftlichen Interessen an der Datennutzung angemessen und ausgewogen berücksichtigen. Die seit dem 25. Mai 2018 anwendbare EU-Datenschutz -Grundverordnung ist in diesem Zusammenhang eine wichtige Errungenschaft . Überdies wird der Rechtsrahmen kontinuierlich weiterentwickelt: Mit der Datenschutz-Grundverordnung (DS-GVO) und der Datenschutz- Richtlinie Polizei/Justiz sind erste zentrale Rechtsregeln für den Umgang mit Daten verabschiedet worden. Mit dem Vorschlag der Europäischen Kommission für eine ePrivacy-Verordnung (COM 2017/10) soll der Schutz der Vertraulichkeit der elektronischen Kommunikation neu geregelt werden. Sowohl die Ratsfassung eines Vorschlags für eine Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen als auch die Fassung des Europäischen Parlaments enthalten Regelungen, wenn statt eines Entgeltes personenbezogene Daten erbracht werden . Verbraucher erhalten hiernach auch dann die in der Richtlinie vorgesehenen Gewährleistungsrechte, wenn sie als Internetnutzer für vermeintlich kostenlose Dienste mit „ihren“ Daten „bezahlen“. In dem Vorschlag der Europäischen Kommission über die Rahmenbedingungen für den freien Verkehr nicht-personenbezogener Daten in der EU (COM 2017/0228) und in den von der EU zukünftig abzuschließenden Freihandelsabkommen sollen bestehende Datenlokalisierungsvorschriften in den Mitgliedstaaten abgebaut werden. Das von der Europäischen Kommission vorgeschlagene Paket zum „Aufbau eines gemeinsamen europäischen Datenraums“ (COM 2018/232) enthält unter anderem einen Vorschlag zur Überarbeitung der Richtlinie über die Weiterverwendung von Informationen des öffentlichen Sektors, eine Überarbeitung der Empfehlung über den Zugang zu wissenschaftlichen Informationen und deren Bewahrung und einen Leitfaden für die gemeinsame Nutzung von Daten des Privatsektors. Die Bundesregierung wirkt darauf hin, bei all diesen Regulierungsfragen einen angemessenen Ausgleich zwischen allen grundrechtlich geschützten Interessen und den Gemeinwohlinteressen herzustellen und konfligierende Interessen zu harmonisieren. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 11 – Drucksache 19/2552 Überdies prüft die Bundesregierung unter genauer Beachtung der Rechtsprechung des Bundesverfassungsgerichts, ob Regelungen über den Datenzugang und Ausschließlichkeitsrechte an Daten möglich, erforderlich und sinnvoll sind. Aufgrund der zahlreichen rechtlichen und ethischen Fragen, die der Umgang mit Daten aufwirft, wird die Bundesregierung in Kürze eine Datenethikkommission einsetzen. Diese Kommission soll ethische Leitlinien für den Schutz des Einzelnen , die Wahrung des gesellschaftlichen Zusammenlebens und die Sicherung des Wohlstands im Informationszeitalter entwickeln. Die Kommission soll der Bundesregierung auch Empfehlungen oder Regulierungsoptionen vorschlagen, wie die ethischen Leitlinien entwickelt, beachtet, implementiert und beaufsichtigt werden können. 20. Teilt die Bundesregierung die Auffassung, Erkenntnisse und Schlussfolgerungen des im Auftrag der Konferenz der Datenschutzbeauftragten des Bundes und der Länder erfolgten Rechtsgutachtens von Prof. Alexander Roßnagel, wonach angesichts der neuen Vorgaben des EU-Datenschutzrechts im Durchschnitt eine personelle Aufstockung der Landesbehörden um zwischen 12 und 19 Stellen geboten ist, um eine gesetzmäßige Aufsicht aufrecht zu erhalten (vgl. www.datenschutzzentrum.de/uploads/dsgvo/2017-Rossnagel- Gutachten-Aufwand-Datenschutzbehoerden.pdf, insbesondere S. 158 ff.), und welche Schlussfolgerungen zieht die Bundesregierung bezüglich der personellen Ausstattung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)? Die Bundesregierung erachtet eine angemessene Ausstattung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie der jeweiligen Datenschutzaufsichtsbehörden der Länder für wichtig und notwendig, damit die übertragenen gesetzlichen Aufgaben effizient und wirkungsvoll ausgeführt werden können. Die Bundesregierung hatte deshalb z. B. in der Begründung zum Entwurf des Datenschutz-Anpassungs- und Umsetzungsgesetzes EU (DSAnp UG-EU) die Forderung der BfDI, zehn Stellen für die Wahrnehmung der Funktion des gemeinsamen Vertreters im Europäischen Datenschutzausschuss und der zentralen Anlaufstelle zu erhalten, aufgenommen. Die Datenschutzaufsichtsbehörden des Bundes und der Länder sind unabhängige Behörden (siehe Vorbemerkung). Etwaigen Personalbedarf müssen sie selbständig bei dem für die Aufstellung des Haushaltsplanes jeweils zuständigen Finanzministerium anmelden. Für die Ausstattung der Datenschutzaufsichtsbehörden der Länder sind die Länder (und damit letztlich die Landesparlamente) zuständig. Die BfDI bringt als unabhängige oberste Bundesbehörde ihre Personal- und Sachmittelansätze in das Verfahren zur Aufstellung des Bundeshaushaltsplanes (Einzelplan 21) selbständig ein. Eine entsprechende Ausstattung der unabhängigen Datenschutzaufsichtsbehörden mit den erforderlichen Personal- und Sachmitteln muss der Bundestag als Haushaltsgesetzgeber bewilligen. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat im Haushalt 2017 in einem ersten Schritt zur Umsetzung der Datenschutz- Grundverordnung 32 neue Planstellen/Stellen bekommen. Für die Haushaltsjahre 2018 und 2019 wurden weitere Planstellen/Stellen für die Umsetzung der Datenschutz -Grundverordnung angemeldet. Darüber wird zurzeit mit der BfDI im Rahmen der Aufstellung der Bundeshaushalte 2018 und 2019 verhandelt. Es ist davon auszugehen, dass die BfDI hierfür weitere Planstellen/Stellen bekommen wird. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/2552 – 12 – Deutscher Bundestag – 19. Wahlperiode 21. Hält die Bundesregierung die bisherigen Aufsichtsmöglichkeiten bundesdeutscher Stellen zur Gewährleistung bundesdeutscher Gesetze und verfassungsrechtlicher Vorgaben angesichts des besonderen Geschäftsmodells, der Anzahl bundesdeutscher Nutzerinnen und Nutzer sowie den extensiven Datenverarbeitungspraktiken von Unternehmen wie Facebook für ausreichend, und wenn nein, wie will sie eine angemessene Aufsicht herstellen? Die bisherigen Aufsichtsmöglichkeiten der Datenschutzaufsichtsbehörden sind bereits umfassend nach § 38 BDSG ausgestaltet. Hierzu gehören: Erteilung von Hinweisen im Rahmen der Beratungs- und Unterstützungsfunktion gegenüber der verantwortlichen Stelle bzw. des betrieblichen Datenschutzbeauftragten durch Informationen (§ 38 Absatz 1 Satz 2 BDSG) Information gegenüber betroffenen Personen bei Datenschutzverstößen (§ 38 Absatz 1 Satz 6 BDSG) Anzeige von Verstößen gegenüber anderen für die Verfolgung und Ahndung zuständigen Stellen (§ 38 Absatz 1 Satz 6 BDSG) Unterrichtung der Gewerbeaufsicht bei schwerwiegenden Verstößen zur Durchführung gewerberechtlicher Maßnahmen (§ 38 Absatz 1 Satz 6 BDSG) Erlass von Heranziehungsbescheiden, soweit die erforderlichen Auskünfte von den der Kontrolle unterliegenden Stellen gegenüber der Datenschutzaufsichtsbehörde nicht erteilt werden (§ 38 Absatz 3 BDSG) Betretungsrechte von Grundstücken und Geschäftsräumen für Prüfungen und Besichtigungen während der Betriebs- und Geschäftszeiten sowie Einsichtsrechte in geschäftliche Unterlagen einschließlich Einsichtnahme in Datenverarbeitungsprogramme (§ 38 Absatz 4 BDSG) Erlass von verbindlichen Anordnungen zur zukünftigen Datenverarbeitung bei der verantwortlichen Stelle und bei schwerwiegenden Verstößen oder Mängeln auch die Untersagung der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten bei der verantwortlichen Stelle (§ 38 Absatz 5 BDSG) Erlass von Bußgeldbescheiden nach § 43 BDSG i. V. m. § 36 des Gesetzes über Ordnungswidrigkeiten Stellung von Strafanträgen bei Straftaten nach § 44 BDSG. Mit Geltung der DS-GVO werden die Befugnisse der Datenschutzaufsichtsbehörden weiter ausgeweitet (vgl. insofern Artikel 58 DS-GVO) und der Bußgeldrahmen mit Artikel 83 DS-GVO erheblich angehoben. Die Bundesregierung erachtet im Ergebnis die datenschutzrechtlichen Befugnisse der zuständigen Behörden als gegenwärtig ausreichend geregelt. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 13 – Drucksache 19/2552 22. Wie plant die Bundesregierung, zur Stärkung der Ressourcen, der Effektivität , der Fachlichkeit und der Unabhängigkeit datenschutzrechtlicher Aufsichtsstrukturen nicht allein im Bund bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), sondern auch der Länder, entsprechende Bemühungen für die dort beaufsichtigenden Datenschutzbehörden zu unterstützen, die ja dem Grundgesetz nach ohnehin die für die Aufsicht über die Privatwirtschaft maßgeblichen Behörden darstellen, angesichts eines grundlegend veränderten Rechtsrahmens (Datenschutz-Grundverordnung – DSGVO) und angesichts der in deren Verantwortungsbereich fallenden global agierenden, multinationalen Unternehmen mit Milliarden von Nutzerinnen und Nutzern? Auf die Antwort zu den Fragen 20 und 21 – insbesondere zur Zuständigkeit des Haushaltsgesetzgebers – sowie auf die Vorbemerkung der Bundesregierung wird verwiesen. 23. Welche konkreten Aufgaben soll die im Koalitionsvertrag zwischen CDU, CSU und SPD angekündigte, neue, bislang nicht näher definierte „Digitalagentur “ haben, und wie stellt die Bundesregierung eine rechtsklare Abgrenzung zu den bestehenden Aufsichtsstrukturen sicher? Die Bundesregierung setzt derzeit den im Koalitionsvertrag angekündigten Prüfauftrag zur möglichen Einrichtung einer Digitalagentur um. Im Rahmen dieser Prüfung können nur solche Optionen in Betracht kommen, die zu bestehenden Aufsichts- und Zuständigkeitsstrukturen komplementäre Aufgaben adressieren, deren Erledigung einen substanziellen Mehrwert im Hinblick auf die erfolgreiche digitale Transformation von Wirtschaft und Gesellschaft erwarten lassen. 24. Welche Vorschriften der am 25. Mai dieses Jahres in Kraft tretenden EU- Datenschutz-Grundverordnung sind nach Auffassung der Bundesregierung besonders geeignet, über die bereits bestehende Rechtslage hinaus die spezifisch aufgeworfenen Risiken des jetzt bekanntgewordenen Falles um Facebook und Cambridge Analytica besser rechtlich einzuhegen, und wo bestehen nach Ansicht der Bundesregierung etwaige, weitere Regelungslücken? Die ab 25. Mai 2018 geltende DS-GVO liefert ein erweitertes Instrumentarium und bringt mehr Transparenz. Es ist zu erwarten, dass das Vertrauen der Bürgerinnen und Bürger in einen hohen Schutz ihrer persönlichen Daten steigt bei gleichzeitig erhöhter Durchsetzbarkeit des Rechts durch die Aufsichtsbehörden. Konkret werden u. a. folgende Vorschriften der DS-GVO zu dieser Verbesserung auch im Kontext der spezifischen Risiken von Datenverarbeitungen durch soziale Netzwerke beitragen: Artikel 3 Absatz 2 DS-GVO: Es gilt das Marktortprinzip, sodass für Datenverarbeitungen von betroffenen Personen in Europa stets europäisches Datenschutzrecht anwendbar ist. Rechtsunsicherheiten werden damit beseitigt. Artikel 4 Nr. 11, Artikel 7 DS-GVO: Die DS-GVO sieht strenge Einwilligungsvoraussetzungen vor. Unverständliche, allgemein formulierte und seitenlange AGBs, die kaum auffindbar sind, genügen nicht. Artikel 5 Absatz 1 Buchstabe b und c DS-GVO: Die Zwecke der Datenverarbeitung müssen festgelegt, eindeutig und legitim sein und die Datenverarbeitung dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/2552 – 14 – Deutscher Bundestag – 19. Wahlperiode Artikel 12, 13 DS-GVO: Verantwortliche für die Datenverarbeitung müssen betroffene Personen in einfacher und verständlicher Form u. a. über Zwecke und Dauer der Verarbeitung, die Betroffenenrechte aber auch die Empfänger der Daten bei Weitergabe der Daten informieren. Dies gilt gemäß Artikel 14 DS-GVO grundsätzlich auch dann, wenn verantwortliche Stellen die Daten nicht bei der betroffenen Person, sondern bei Dritten erheben. Artikel 25 DS-GVO: Der Verantwortliche ist verpflichtet, werkseitig datenschutzfreundliche Produkte und Voreinstellungen vorzusehen („Privacy by Design“ und „Privacy by Default“). Voreinstellungen von Nutzerkonten können mithin nicht wie heute auf maximale Datenerhebung ausgerichtet sein und nach dem opt-out-Prinzip darauf abstellen, dass die betroffene Person sich gegen eine Verarbeitung entscheiden muss. Artikel 33 und 34 DS-GVO: Bei Datenmissbrauch oder einem Datenleck haben die Verantwortlichen binnen 72 Stunden die Aufsichtsbehörden und die Betroffenen zu informieren und unverzüglich Maßnahmen zu ergreifen, um den Missbrauch abzustellen. Artikel 35 und 36 DS-GVO: Verantwortliche müssen bei hohen Risiken für die Rechte und Freiheiten natürlicher Personen eine Datenschutzfolgeabschätzung durchführen und die Aufsichtsbehörden vor der Verarbeitung konsultieren oder alternativ Maßnahmen zur Eindämmung des Risikos ergreifen. Artikel 82 DS-GVO: Erstmalig sind Schadensersatzansprüche wegen immaterieller Schäden möglich. Artikel 83 DS-GVO: Bei Datenschutzverstößen drohen künftig deutlich höhere Bußgelder (bis zu 20 Mio. Euro bzw. bis zu 4 Prozent des globalen Umsatzes ). Die Bußgelder sind an kartellrechtliche Maßstäbe angelehnt. Die praktische Umsetzung der DS-GVO bleibt abzuwarten und zu beobachten. Im Rahmen der vorgesehenen Evaluierung der DS-GVO in zwei Jahren wird die Bundesregierung mögliche Praxisprobleme aufgreifen und in den europäischen Evaluierungsprozess einbringen. Dann wird beispielsweise über eine weitere Stärkung von Betroffenenrechten zu sprechen sein, sollte sich zeigen, dass hierfür eine Notwendigkeit besteht. 25. Teilt die Bundesregierung die Aussage der Staatsministerin Dorothee Bär, wonach „wir endlich eine smarte Datenkultur vor allem für Unternehmen bräuchten, tatsächlich in Deutschland aber ein Datenschutz wie im 18. Jahrhundert existiert“ (vgl. BILD-Interview vom 3. April 2018, abrufbar unter www.bild.de/politik/inland/dorothee-baer/im-interview-55009410.bild.html), und wenn ja, hält die Bundesregierung damit die verfassungsrechtlichen wie europarechtlichen Vorgaben und die konkrete Datenschutzgesetzgebung und Struktur der Durchsetzung für obsolet, und wenn ja, wie sehen ihre alternativen Vorstellungen konkret aus? Auf die Antwort zu den Fragen 14 bis 19 wird verwiesen. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 15 – Drucksache 19/2552 26. Teilt die Bundesregierung die Aussage der Staatsministerin Dorothee Bär, „wenn aber von der gut gemeinten, doch schlecht gemachten ePrivacy-Verordnung nur Google und Facebook profitieren und alle anderen Unternehmen leiden, ist das genau der falsche Weg“ (siehe BILD-Interview vom 5. März 2018, Quelle siehe Frage 2), obwohl die zitierte Verordnung bislang noch nicht verabschiedet wurde, sondern noch verhandelt wird, und inwiefern „profitieren Facebook und Google“ aufgrund welcher konkret geplanten Bestimmungen (bitte konkreten Verhandlungsstand samt Datum angeben)? Die E-Privacy-Verordnung wird derzeit noch in den Ratsgremien auf Fachebene verhandelt. Die derzeitige bulgarische Ratspräsidentschaft plant eine politische Aussprache auf dem Telekommunikationsrat am 8. Juni 2018. Die Bundesregierung hat sich politisch bisher noch nicht festgelegt. Die Vorschläge werden intensiv geprüft. Die Bundesregierung setzt sich für Regelungen ein, die von kleinen und mittleren Unternehmen genauso gut umsetzbar sind wie von großen Anbietern . 27. Wird sich die Bundesregierung im Rahmen des laufenden Prozesses des Rates zur Abstimmung der E-Privacy-Verordnung für eine am Kompromissvorschlag des Europäischen Parlaments orientierte verbraucherschutzfreundliche Linie verbesserten Datenschutzes für Online-Dienste und Online -Kommunikation einsetzen, bei der z. B. auch das von Facebook betriebene Verfolgen bzw. Erfassen von Nutzern über mehrere Webseiten hinweg (Online-Tracking) oder im analogen Alltag (etwa beim Einkauf, Offline-Tracking ) weiter im Sinne der Selbstentscheidung der Nutzerinnen und Nutzer eingeschränkt wird, und wenn nein, warum nicht? Die E-Privacy-Verordnung soll dem besonderen Schutz der Privatsphäre und des Datenschutzes in der elektronischen Kommunikation dienen. Die Bundesregierung unterstützt das Anliegen und setzt sich für ein hohes Schutzniveau für die Vertraulichkeit der Kommunikationsdaten bei der E-Privacy-Verordnung und zugleich für den Erhalt von Spielraum für Innovation und digitale Geschäftsmodelle ein. Dabei soll die Datensouveränität gestärkt werden. Das EU-Parlament hat im Oktober 2017 einen Bericht verabschiedet, der eine Vielzahl von Änderungswünschen enthält. Darüber werden der Rat, das Parlament und die Kommission in sog. „Trilog“-Gesprächen verhandeln. Diese Trilog-Gespräche werden voraussichtlich in der zweiten Jahreshälfte 2018 beginnen, nachdem der Rat zu einer gemeinsamen Linie gefunden haben wird. Im Rahmen der dann zu führenden Verhandlungen wird die Bundesregierung ihre Haltung zu den Änderungen des EU-Parlaments festlegen. 28. Wird sich die Bundesregierung im Rat dafür einsetzen, dass die E-Privacy- Verordnung die Einwilligung der Nutzerinnen und Nutzer für Online- und Offline-Tracking voraussetzt, wie es im Entwurf der EU-Kommission vorgesehen ist? Wenn nein, warum nicht? Die einzelnen Bestimmungen der E-Privacy-Verordnung sind nach wie vor Gegenstand einer intensiven Prüfung auf Fachebene innerhalb der Bundesregierung. Sie weist darauf hin, dass eine generelle Erlaubnis für Online- oder Offline-Tracking ohne Einwilligung des Endnutzers nach dem gegenwärtigen Stand der Verhandlungen im EU-Ministerrat in den vorliegenden Textvorschlägen der Ratspräsidentschaft nicht vorgesehen ist. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/2552 – 16 – Deutscher Bundestag – 19. Wahlperiode 29. Hält die Bundesregierung angesichts des Datenskandals um Facebook und Cambridge Analytica weiterhin den Verweis auf etwaige Ergebnisse einer nichtöffentlich tagenden, im Koalitionsvertrag festgehaltenen „Daten-Ethikkommission “ für ausreichend, um mit Blick auf die typischen, bereits heute bestehenden Risiken algorithmengesteuerter Prozesse auch und gerade bei sozialen Netzwerken zu Regelungsvorschlägen zu kommen, und wenn nein, wie will sie zu zügigeren, konkreten Regelungsvorschlägen kommen? Die Datenethikkommission wird eine interdisziplinär besetzte und unabhängig arbeitende Expertenkommission sein. Der Abschlussbericht der Datenethikkommission wird veröffentlicht. Die Bundesregierung will sich daher die Expertise der Datenethikkommission für die Erarbeitung etwaiger Regulierungsvorschläge zunutze machen. 30. Was ist der genaue Auftrag der von der Großen Koalition angestrebten „Daten -Ethikkommission“, und was konkret versteht die Bundesregierung unter einem „Entwicklungsrahmen für die Datenpolitik, den Umgang mit Algorithmen , künstlicher Intelligenz und digitalen Innovationen“? 31. Steht die Besetzung der von der Großen Koalition angestrebten „Daten- Ethikkommission“, die „Regierung und Parlament innerhalb eines Jahres einen solchen Entwicklungsrahmen vorschlagen soll“, bereits fest? Falls ja, wer wird alles Mitglied dieser Kommission sein? 32. Hält die Bundesregierung, auch vor dem Hintergrund, dass die „Daten- Ethikkommission“ ihre Arbeit bislang noch nicht aufgenommen hat und es sich um ein inhaltlich weit gestecktes und juristisch durchaus komplexes Feld handelt, an dem von ihr formulierten Ziel fest, einen neuen Entwicklungsrahmen für die Datenpolitik, den Umgang mit Algorithmen, künstlicher Intelligenz und digitalen Innovationen vorzulegen, und hält sie es tatsächlich für realistisch, einen solchen Vorschlag innerhalb eines Jahres vorzulegen? 33. Wie stehen die jüngsten Äußerungen von Bundesminister für besondere Aufgaben Helge Braun, der angesichts des Datenskandals um Facebook ankündigte , man werde innerhalb eines Jahres ein neues „modernes Datenrecht“ schaffen (vgl. Handelsblatt vom 22. März 2018 „Bundesregierung will innerhalb eines Jahres ein neues Datenrecht schaffen“, abrufbar unter www.handelsblatt.com/my/politik/deutschland/helge-braun-bundesregierungwill -nach-facebook-skandal-neues-datenrecht/21101366.html?ticket=ST-384 41-gpM1bnbyox56xRJ1g5qG-ap4) im Verhältnis zu der von der Großen Koalition geplanten „Ethik-Kommission“? Die Fragen 30 bis 33 werden aufgrund ihres Sachzusammenhangs zusammen beantwortet . Die regierungsinterne Abstimmung zur Aufgabenbeschreibung, Zusammensetzung und Arbeitsweise der Datenethikkommission findet derzeit noch statt. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 17 – Drucksache 19/2552 34. Welche Stelle trifft nach Auffassung der Bundesregierung momentan die Verantwortung, bereits bestehende Diskriminierungsverbote auch bei Algorithmen durchzusetzen, wie es etwa der Abgeordnete Thomas Jarzombek betont (vgl. Handelsblatt vom 28. März 2018 „Hamburger Datenschützer zweifelt an Facebooks Demutsgesten“, abrufbar unter www.handelsblatt.com/ politik/deutschland/datenskandal-hamburger-datenschuetzer-zweifelt-anfacebooks -demutsgesten/21121810.html), und mit welchen Mitteln und Instrumenten werden diese derzeit durchgesetzt? Soweit die Diskriminierungsverbote des Allgemeinen Gleichbehandlungsgesetzes (AGG) verletzt sind, haben Betroffene Beseitigungs- und Unterlassungsansprüche gegen die Benachteiligenden. Darüber hinaus kommen auch Schadensersatz - und Entschädigungsansprüche in Betracht. In gerichtlichen Verfahren können Betroffene sich durch Antidiskriminierungsverbände unterstützen lassen. Die Anti-Diskriminierungsstelle des Bundes unterstützt auf unabhängige Weise Personen bei der Durchsetzung ihrer Rechte zum Schutz von Benachteiligungen und kann hierzu über Ansprüche und Möglichkeiten des rechtlichen Vorgehens informieren, Beratung durch andere Stellen vermitteln, und eine gütliche Einigung zwischen den Beteiligten anstreben. Sie kann darüber hinaus Öffentlichkeits -, Präventions- und Forschungsarbeit leisten. Nach Artikel 22 DS-GVO soll zudem keine betroffene Person ungeprüft einer auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen werden, soweit diese Entscheidung rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Hierdurch soll vermieden werden, dass Menschen zum bloßen Objekt rein automatisierter Entscheidungen werden. Darüber hinaus soll mit dieser Regelung verhindert werden, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu Maßnahmen kommt, die eine solche Wirkung haben (vgl. Erwägungsgrund 71 Satz 6 DS-GVO). Für die Durchsetzung dieser Vorschrift sind die Datenschutzaufsichtsbehörden zuständig (vgl. Vorbemerkung der Bundesregierung). 35. Teilt die Bundesregierung die Auffassung des hamburgischen Datenschutzbeauftragten , Dr. Johannes Caspar, wonach für soziale Netzwerke zusätzliche „Transparenz- und Rechenschaftspflichten“ geschaffen werden sollten, die eine Manipulation von Menschen bei politischen Entscheidungen künftig verhindern (vgl. ebd.), und wenn ja, welche Schritte gedenkt die Bundesregierung konkret zu unternehmen, und wenn nein, warum nicht? Die Verhinderung der Manipulation von Menschen bei politischen Entscheidungen ist für Bundesregierung ein wichtiges Anliegen. Auf die Vorbemerkung der Bundesregierung wird verwiesen. Die Sicherstellung der Transparenz als eine Maßnahme wird daher nach den Vorstellungen der Bundesregierung ein wichtiges Themenfeld der Datenethikkommission sein. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/2552 – 18 – Deutscher Bundestag – 19. Wahlperiode 36. Was haben die letzten Bundesregierungen unter der Führung von Bundeskanzlerin Dr. Angela Merkel nach Auffassung der jetzigen Bundesregierung, vor allem auf nationaler Ebene, konkret dafür getan, dass die Datenverarbeitungspraxis von Facebook mehr Transparenz und Einhegung im Sinne bestehender rechtlicher Regelungen auf nationaler wie europäischer Ebene erfährt ? Die Bundesregierung bewertet nicht die Tätigkeiten früherer Bundesregierungen. Die Überprüfung der Datenverarbeitungspraxis bei Facebook und etwaige Maßnahmen obliegen der zuständigen Datenschutzaufsichtsbehörde (vgl. Vorbemerkung der Bundesregierung). Es ist jedoch darauf hinzuweisen, dass Deutschland als erster EU-Mitgliedstaat bereits im Jahr 2017 die erforderlichen Gesetzesänderungen des allgemeinen Datenschutzrechts des Bundes zur Anpassung an die DS-GVO vorgenommen hat. Damit sind die notwendigen gesetzlichen Schritte bereits erfolgt, um das Zusammenspiel der DS-GVO und dem Bundesrecht rechtssicher zu regeln. 37. Verfügt die Bundesregierung über Informationen bzw. bislang der Öffentlichkeit nicht bekannte Details bezüglich der weltweiten Aktivitäten von SCL, Cambridge Analytica, AggregateIQ, Palantir oder anderer assoziierter Unternehmen im Rahmen von Wahlen und womöglich anderweitigen demokratischen Entscheidungsprozessen weltweit, auch und vor allem in Deutschland, und wenn ja, über welche konkret? Die Produkte der Firma Palantir, hier insbesondere das „Big Data Analyse-Werkzeug GOTHAM“, sind als marktführende/-gängige Produkte im Bundesministerium der Verteidigung bekannt. Im Rahmen einer grundsätzlichen Marktanalyse/ -sichtung zu entsprechenden Produkten hat ein Gespräch mit Vertretern der Firma Palantir stattgefunden. Der Cyber Innovation Hub der Bundeswehr arbeitet nicht mit der Firma Palantir zusammen. Im Geschäftsbereich des Bundesministeriums der Verteidigung befinden sich keine Produkte der Firma Palantir in Nutzung. Weitere Informationen im Sinne der Fragestellungen liegen der Bundesregierung nicht vor. 38. Verfügt die Bundesregierung über Erkenntnisse, ob und in welchem Umfang öffentliche Stellen der Bundesrepublik Deutschland geschäftliche Verbindungen mit den genannten Unternehmen unterhalten bzw. unterhalten haben und/oder Produkte dieser Unternehmen einsetzen bzw. eingesetzt haben, und wenn ja, welche Stellen und/oder Parteien, und welcher Art sind nach Erkenntnis der Bundesregierung diese Verbindungen konkret? Es liegen keine Informationen im Sinne der Fragestellung vor. 39. Hat die Bundesregierung selbst geschäftliche Verbindungen mit den genannten Unternehmen unterhalten und/oder Produkte dieser Unternehmen eingesetzt , und wenn ja, welche Firmen und Produkte konkret? Auf die Antwort zu Frage 37 wird verwiesen. Im Übrigen unterhält die Bundesregierung keine derartigen Verbindungen und hat keine derartigen Produkte eingesetzt . Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 19 – Drucksache 19/2552 40. Ist nach Auffassung der Bundesregierung die gezielte Ansprache von Bundesbürgern im Rahmen von Wahlprozessen in Deutschland durch Cambridge Analytica oder ein vergleichbares Unternehmen als Element einer möglichen hybriden Bedrohungslage einzuordnen, und wenn nein, warum nicht? Eine gezielte Ansprache im Sinne der Fragestellung stellt nach Auffassung der Bundesregierung für sich allein gesehen noch kein Element einer hybriden Bedrohung dar. Im Kontext mit anderen Maßnahmen kann sie allerdings dazu beitragen . 41. Welche Stelle innerhalb der Bundesregierung bzw. der ihr unterstellten Behörden ist mit der systematischen Beobachtung von Unternehmen befasst, welche vorrangig im Bereich von Wahlmanipulationen, Desinformation, Destabilisierung und sogenannter schwarzer PR tätig sind, und mit welchen bislang vorliegenden Erkenntnissen über diese Unternehmen und des dazugehörigen politischen und wirtschaftlichen Umfeldes (bitte angeben, wie viele und welche Unternehmen tätig sind, Art der Aktivitäten, Fälle in Deutschland usw.)? Eine einzelne zuständige Stelle in der Bundesregierung, die sich mit der systematischen Beobachtung von gezielten Desinformationen, Fake News etc. beschäftigt , gibt es nicht. Innerhalb der Bundesregierung und der ihr unterstellten Behörden befassen sich verschiedene Stellen im Rahmen ihrer gesetzlichen Aufgaben mit den in der Frage genannten Phänomenen. Die Bundesregierung hat keine weiteren Erkenntnisse im Sinne der Fragestellung. 42. Teilt die Bundesregierung die Auffassung der Fragestellenden, wonach bereits nach heutiger Gesetzeslage ein gezieltes Scoring zur Ermittlung der mutmaßlichen politischen Einstellungen Einzelner allenfalls auf der Grundlage informierter und vorab erteilter schriftlicher Einwilligungen zulässig wäre, und wenn nein, warum nicht? Nach § 4 Absatz 1 BDSG ist die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten nur zulässig, soweit eine Rechtsgrundlage dies erlaubt oder anordnet oder die betroffene Person eingewilligt hat. An diesen Vorgaben ist auch ein Scoring zu messen. Bis zum 24. Mai 2018 ist die Verarbeitung von besonderen Arten personenbezogener Daten (hierzu gehören nach § 3 Absatz 9 BDSG auch Angaben zu politischen Meinungen, religiösen oder philosophischen Überzeugungen) unter den Voraussetzungen des § 28 Absatz 6 BDSG für eigene Geschäftszwecke auch ohne Einwilligung der betroffenen Person möglich. Eine Verarbeitung für eigene Geschäftszwecke ist demnach u. a. möglich, wenn es sich um Daten handelt, die die betroffene Person offenkundig öffentlich gemacht hat (§ 28 Absatz 6 Nummer 2 BDSG) bzw. zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person an dem Ausschluss der Erhebung, Verarbeitung und Nutzung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann (§ 28 Absatz 6 Nummer 4 BDSG). Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/2552 – 20 – Deutscher Bundestag – 19. Wahlperiode 43. Teilt die Bundesregierung die Auffassung der Fragestellenden, wonach auch nach der ab dem 25. Mai 2018 geltenden Rechtslage der EU-Datenschutz- Grundverordnung ein gezieltes Scoring zur Ermittlung der mutmaßlichen politischen Einstellungen Einzelner allenfalls auf der Grundlage informierter und vorab erteilter schriftlicher Einwilligungen zulässig wäre, und wenn nein, warum nicht? Eine Verarbeitung von personenbezogenen Daten für ein Scoring zur Ermittlung mutmaßlicher politischer Einstellungen kann aufgrund einer Einwilligung (Artikel 6 Absatz 1 Buchstabe a) DS-GVO) zulässig sein. Ob solch ein Scoring datenschutzrechtlich auch aufgrund anderer Rechtsgrundlagen zulässig ist, kann nur im Einzelfall anhand der konkreten Umstände entschieden werden. Die Entscheidung darüber liegt in der Zuständigkeit der Datenschutzaufsichtsbehörden (siehe Vorbemerkung der Bundesregierung ). 44. Teilt die Bundesregierung die Auffassung der Fragestellenden, wonach die potentielle Möglichkeit verdeckter Kampagnen auf Facebook und anderen Plattformen mit dem Ziel der Destabilisierung der demokratischen verfassungsrechtlichen Ordnung konkrete Gegenmaßnahmen erfordert, und wenn ja, welche konkret plant die Bundesregierung, und wenn nein, warum nicht? Hierzu wird auf die Vorbemerkung der Bundesregierung und die Antworten zu den Fragen 12, 35 und 45 verwiesen. 45. Plant die Bundesregierung zusätzliche konkrete Anstrengungen zur Stärkung der Medienkompetenz der Bürgerinnen und Bürger, etwa in Gestalt von Aufklärungskampagnen und Öffentlichkeitsarbeit, damit diese frei, selbstbestimmt und gut informiert entscheiden können, ob und in welchem Umfang sie entsprechende Angebote wahrnehmen, und wenn nein, warum nicht? Medienkompetenz ist eine Schlüsselkompetenz in der digitalen Welt und als gesamtgesellschaftliche Aufgabe in der gesamten Bevölkerung zu stärken. Die Bundesregierung fördert bereits zahlreiche Projekte und Angebote zur Vermittlung von Medienkompetenz. Beispielsweise stellt die Bundesregierung auf eigenen Webseiten – speziell auf der Plattform BSI-für-Bürger – Informationen zur selbstbestimmten und sicheren Nutzung von digitalen Angeboten bereit. Ebenfalls werden entsprechende Aktionen mit externen Partnern wie Deutschland sicher im Netz e. V. weitergeführt. Ferner nimmt die Bundesregierung im Rahmen mehrerer Projekte zur Vermittlung von Medienkompetenz bestimmte Ziel- und Altersgruppen in den Blick – beispielsweise im Projekt „Digital-Kompass“ des Bundesministeriums der Justiz und für Verbraucherschutz für ältere Menschen oder für Kinder und Jugendliche seit dem Jahr 2008 im Rahmen der Initiative „Ein Netz für Kinder“. Speziell für Erwachsene fördert die Bundesregierung das Initiativbüro „Gutes Aufwachsen mit Medien“. Das Projekt unterstützt pädagogische Fachkräfte und Eltern und stellt Informationen aus den Bereichen Medienerziehung sowie Medienbildung gebündelt und verständlich aufbereitet zur Verfügung. Daneben fördert die Bundesregierung den Medienratgeber „Schau Hin! Was Dein Kind mit Medien macht“, der Eltern und Erziehende informiert und eine Hilfestellung für einen kompetenten Umgang mit Medien bietet. Zum Thema Datenschutz und Falschnachrichten hat „Schau Hin!“ Beiträge auf der Webseite veröffentlicht (www. schau-hin.info/informieren/extrathemen/datenschutz.html und www.schau-hin. info/informieren/medien/surfen/wissenswertes/fake-news.html). Weiterhin fördert das Bundesministerium der Justiz und für Verbraucherschutz zur Stärkung der Medienkompetenz der Verbraucherinnen und Verbraucher insbesondere ein Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 21 – Drucksache 19/2552 Verbraucherinformationsprojekt der Digitalen Gesellschaft e. V. zur DS-GVO unter dem Titel „Die Verbraucherinnen und Verbraucher für das neue EU-Datenschutzrecht kompetent machen“. Die von der Digitalen Gesellschaft e. V. erarbeitete Webseite https://deinedatendeinerechte.de/ informiert über die Rechte aus der DS-GVO und soll die Kompetenz der Verbraucherinnen und Verbraucher durch Informationen und Musterformulare stärken, ihre Betroffenenrechte aus der DS-GVO wahrzunehmen und ihr informationelles Selbstbestimmungsrecht auszuüben. Politische Teilhabe in einer digitalen Mediengesellschaft setzt notwendigerweise digitale Bildung und Medienkompetenz voraus. Dementsprechend hält auch die Bundeszentrale für politische Bildung (BpB) zahlreiche Bildungsangebote zu diesem Themenfeld bereit. Hierzu gehören (Online-) Publikationen wie die Schriftenreihe Medienkompetenz (www.bpb.de/lernen/digitale-bildung/medienpaedagogik/medienkompetenzschriftenreihe ), Veranstaltungsangebote und Webvideoformate wie www.fakefilter .de, das Orientierungswissen zum Umgang mit Informationen und Falschnachrichten im Netz vermittelt. Die Medienkompetenz-Datenbank der BpB (www. bpb.de/lernen/digitale-bildung/medienpaedagogik/206263/medienkompetenzdatenbank ) bietet einen Überblick über die Vielfalt an länderübergreifenden, überregionalen und regionalen Angeboten zur Förderung der Medienkompetenz für Kinder, Jugendliche und Erwachsene. Das Bundesministerium für Bildung und Forschung wirkt überdies durch zahlreiche Verbundvorhaben und Fördermaßnahmen auf die Stärkung der digitalen Medienkompetenz in der beruflichen Qualifizierung hin und unterstützt die Entwicklung und Umsetzung von Konzepten zur Etablierung der digitalen Medienbildung in der beruflichen Bildung. Ein Fokus liegt auf berufsbegleitenden Qualifizierungsmaßnahmen . Dabei sollen insbesondere Wissen und Fähigkeiten über digitale Medien und den kompetenten Umgang mit ihnen vermittelt werden. 46. Teilt die Bundesregierung die vorläufige Einschätzung des Bundeskartellamtes , welches kürzlich ein Verfahren gegen Facebook eröffnet hat, wonach wegen datenschutzrechtlich unklarer Allgemeiner Geschäftsbedingungen und möglicherweise unwirksamer Einwilligungen der Verdacht des Missbrauches einer marktbeherrschenden Stellung gegeben sei (vgl. www. bundeskartellamt.de/SharedDocs/Meldung/DE/Pressemitteilungen/2017/ 19_12_2017_Facebook.html), und wenn nein, warum nicht? Die wettbewerbliche Prüfung und Bewertung, ob ein Unternehmen eine marktbeherrschende Stellung besitzt und diese missbräuchlich ausnutzt, fällt in die alleinige Zuständigkeit der Wettbewerbsbehörden und Gerichte. Die Bundesregierung greift den abschließenden Bewertungen dieser Stellen grundsätzlich nicht vor. 47. Prüft die Bundesregierung selbst weitere Änderungen des Wettbewerbs-, Fusions - und Kartellrechts hinsichtlich einer verbesserten Regulierung marktmächtiger Akteure auf digitalen Märkten, wenn ja, welche konkret? Eine Weiterentwicklung des Wettbewerbsrechts mit Blick auf die Digitalisierung der Wirtschaft und die Plattformökonomie ist im Koalitionsvertrag vereinbart. Die Missbrauchsaufsicht über marktmächtige Unternehmen soll modernisiert und einstweilige Maßnahmen des Bundeskartellamts sollen erleichtert werden. Es ist eine Studie zur Modernisierung der Missbrauchsaufsicht über marktbeherrschende Unternehmen vergeben worden, deren Ergebnisse im Sommer 2018 vorliegen . Ferner sieht der Koalitionsvertrag die Einrichtung einer Kommission Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/2552 – 22 – Deutscher Bundestag – 19. Wahlperiode „Wettbewerbsrecht 4.0“ vor. Die Experten-Kommission soll Handlungsempfehlungen zum digitalen Ordnungsrahmen und zur Wettbewerbsfähigkeit deutscher und europäischer Unternehmen in der digitalisierten Wirtschaft entwickeln. Die Bundesregierung wird auch die Beratungen zu dem Vorschlag der Europäischen Kommission für eine Verordnung zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online Vermittlungsdiensten konstruktiv begleiten . 48. Prüft die Bundesregierung als ultima ratio eine missbrauchsunabhängige Entflechtungsmöglichkeit im Gesetz gegen Wettbewerbsbeschränkungen einzuführen, und setzt sie sich gleichzeitig dafür ein, dass eine solche Regelung auch auf EU-Ebene eingeführt wird, um auf Märkten mit verfestigten nicht wettbewerblichen Strukturen Wettbewerbsprozesse in Gang zu setzen, um auf Märkten mit sehr komplexen und dynamischen Technologien, wo ein Missbrauch von Marktmacht nur sehr schwer nachweisbar ist, einem solchen Missbrauch vorzubeugen, bzw. um einer sehr hohen Konzentration von persönlichen Nutzerdaten innerhalb eines Unternehmens entgegenzuwirken, und wenn ja, welche, und wenn nein, warum nicht? Für die Bundesregierung haben der Schutz des Wettbewerbs, die Offenhaltung der Märkte und insbesondere ein wirksamer Schutz vor Missbrauch von Marktmacht höchste Priorität. Deshalb werden weitere geeignete Anpassungen des Wettbewerbsrechts geprüft. Auf die Antwort zu Frage 47 wird verwiesen. Für die Bundesregierung steht die Prüfung der Einführung einer missbrauchsunabhängigen Entflechtungsmöglichkeit weder auf nationaler noch auf europäischer Ebene derzeit im Fokus. Ein solches Entflechtungsinstrument muss hohen verfassungsrechtlichen Anforderungen vor allem im Hinblick auf die Verhältnismäßigkeit des schweren Eingriffs genügen. Deshalb sind derzeit vorrangig verhältnismäßigere Verbesserungsmöglichkeiten im Wettbewerbsrecht zu prüfen. 49. Prüft die EU-Kommission nach Kenntnis der Bundesregierung aktuell eine Rückabwicklung der Fusion bzw. Entflechtung von WhatsApp und Facebook , da Facebook entgegen der Zusage im Zusammenschlussverfahren Nutzerdaten zusammengeführt hat, und falls dies nicht der Fall ist, vertritt die Bundesregierung die Auffassung, dass die EU-Kommission auch angesichts des jüngsten Datenskandals um Cambridge Analytica eine solche Entflechtung bzw. Rückabwicklung der Fusion prüfen sollte (www.spiegel.de/ netzwelt/apps/was-facebook-mit-ihren-whatsapp-daten-macht-a-1148318.html)? Wenn nein, warum nicht? Nach Kenntnis der Bundesregierung prüft die EU-Kommission nicht, ob die im Jahr 2014 genehmigte Fusion von Facebook und WhatsApp rückabzuwickeln oder eine Entflechtung der Unternehmen anzuordnen ist. Die EU-Kommission hat im Jahr 2017 gegen Facebook eine Geldbuße in Höhe von 110 Mio. Euro verhängt (nach Artikel 14 Absatz 1a EG-Fusionskontrollverordnung), weil Facebook nach Feststellung der EU-Kommission bei der Anmeldung der Übernahme von WhatsApp und im Prüfverfahren unrichtige oder irreführende Angaben darüber gemacht hatte, inwieweit es zuverlässig möglich sein werde, einen automatischen Datenabgleich zwischen den Benutzerkonten beider Dienste einzurichten. Die EU-Kommission hat aber ausdrücklich in dieser Bußgeldentscheidung darauf hingewiesen, dass die irreführenden Informationen keinen Einfluss auf das Ergebnis der Vereinbarkeitsentscheidung gehabt hätten (Case M.8228 vom 17. Mai 2017, C (2017) 3192 endg., S. 22 f. Rz. 100). Nur wenn die Freigabeentscheidung Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 23 – Drucksache 19/2552 auf den unrichtigen Angaben beruht hätte, wäre einer der beiden Gründe gegeben, unter denen die EU-Kommission eine erteilte Freigabeentscheidung widerrufen darf (vgl. Artikel 8 Absatz 6 der Verordnung (EG) Nr. 139/2004 des Rates über die Kontrolle von Unternehmenszusammenschlüssen). Die andere gesetzliche Widerrufsmöglichkeit, weil die beteiligten Unternehmen einer in der Entscheidung vorgesehenen Auflage zuwiderhandeln, liegt nicht vor. Die Freigabe war nicht an eine Auflage/Zusage gebunden, dass Facebook keine Nutzerdaten der beiden Unternehmen zusammenführt. Vor diesem rechtlichen Hintergrund und der schon von der zuständigen EU-Kommission vorgenommenen Prüfung sieht die Bundesregierung keine Ansatzpunkte, die eine Entflechtungsprüfung durch die Kommission nahelegen würden. Dies gilt auch mit Blick auf den angesprochenen Daten-skandal und die Verwendung von Facebook- Daten durch Cambridge Analytica, ein nicht am Zusammenschluss Facebook/ WhatsApp beteiligtes Drittunternehmen. 50. Prüft die Bundesregierung bei monopolartigen Strukturen von digitalen Plattformen, wo technisch möglich und mit dem Datenschutzrecht vereinbar (beispielsweise bei Messenger-Diensten wie WhatsApp oder Threema), eine Verpflichtung zur Interoperabilität, und wenn nein, warum nicht? Die Bundesregierung prüft aktuell, ob und ggf. inwieweit eine Verpflichtung zur Interoperabilität – wie z. B. im Telekommunikationsbereich – oder ähnliche Instrumente sinnvoll sein können, um für mehr Wettbewerb zu sorgen und möglichen Lock-In-Effekten entgegen zu wirken. 51. Auf welche Art und Weise plant die Bundesregierung, die Regeln zur Datenportabilität aus Artikel 20 der Europäischen Datenschutz-Grundverordnung (DSGVO) in Deutschland konkret umzusetzen, um sogenannte „Lock- In“-Effekte im Markt digitaler Dienste abzuschwächen, den Wettbewerb zu stärken und die Wechselkosten für Nutzerinnen und Nutzer zu reduzieren? Die benannte Vorschrift bedarf keiner Umsetzung durch den nationalen Gesetzgeber , da sie in der unmittelbar geltenden DS-GVO enthalten ist. Europäische Verordnungen gelten unmittelbar und europaweit. Eine nationale Öffnungsklausel zur Befugnis zur Regelung durch den nationalen Gesetzgeber ist nicht vorgesehen . 52. Ist die Bundesregierung der Auffassung, dass die Datenschutzbehörden im Vorfeld von Zusammenschlussentscheidungen wie beispielsweise der von Facebook und WhatsApp, wodurch auch relevante Nutzerdaten zusammengeführt werden, vom Bundeskartellamt bzw. der EU-Kommission konsultiert werden sollten und ihre Stellungnahme von den Kartellbehörden bei der Entscheidung berücksichtigt werden sollte, und wenn nein, warum nicht? Das Bundeskartellamt kann mit anderen Behörden zusammenarbeiten, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist. Mit der 9. GWB-Novelle (Novelle des Gesetzes gegen Wettbewerbsbeschränkungen) wurde die Möglichkeit zur Zusammenarbeit speziell auch mit den Datenschutzbehörden im Gesetz gegen Wettbewerbsbeschränkungen aufgenommen. Die Bundesregierung geht davon aus, dass Stellungnahmen von den Kartellbehörden bei ihren Entscheidungen in eigener Zuständigkeit sachgerecht berücksichtigt werden. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/2552 – 24 – Deutscher Bundestag – 19. Wahlperiode 53. Ist die Bundesregierung der Auffassung, dass Nutzerzahlen neben Umsatzanteilen als zusätzlicher Indikator für Marktanteile bei der Bewertung von Marktbeherrschung, sonstigem wettbewerbsbeschränkendem Verhalten und bei der Zusammenschlusskontrolle berücksichtigt werden sollten, insbesondere in Märkten, in denen Verbraucherinnen und Verbraucher Dienste vorwiegend entgeltfrei im Gegenzug für die Weitergabe persönlicher Informationen nutzen, und wenn nein, warum nicht? Die Ermittlung der Marktanteile von Unternehmen ist gesetzlich nicht an bestimmte Indikatoren gebunden. Marktanteile ihrerseits sind nur eines der Kriterien , die in § 18 Absatz 3 und 3a des Gesetzes gegen Wettbewerbsbeschränkungen aufgezählt sind und bei der Bewertung der Marktstellung eines Unternehmens zu berücksichtigen sind. Diese Aufzählung ist nicht abschließend. Vorabfassung - w ird durch die lektorierte Version ersetzt. Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333