Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern, für Bau und Heimat vom 19. Juni 2018 übermittelt. Die Drucksache enthält zusätzlich – in kleinerer Schrifttype – den Fragetext. Deutscher Bundestag Drucksache 19/2911 19. Wahlperiode 21.06.2018 Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Britta Katharina Dassler, Dr. Marcel Klinge, Daniela Kluckert, weiterer Abgeordneter und der Fraktion der FDP – Drucksache 19/2479 – Datensicherheit und Datenschutz im Anti-Doping-Kampf V o r b e m e r k u n g d e r F r a g e s t e l l e r Auch in einem effektiven Anti-Doping-Kampf müssen die Freiheits- und Persönlichkeitsrechte der Athletinnen und Athleten gewahrt werden. Zur Bekämpfung von Doping auf nationaler und internationaler Ebene unterhalten die Welt-Anti-Doping-Agentur (WADA) und die Nationale Anti Doping Agentur Deutschland (NADA) umfangreiche Datenbanken, in denen Athletinnen und Athleten aus Deutschland etwa drei Monate im Voraus ihre Termine und Aufenthaltsorte, die sogenannten Whereabouts, melden müssen, sofern sie dem Registered Testing Pool (RTP) und dem Nationalen Testpool (NTP) angehören . Kurzfristige Änderungen des Aufenthaltsorts sind ebenfalls mitzuteilen. RTP-Athletinnen und RTP-Athleten müssen jeden Tag zu einer bestimmten Zeit an einem bestimmten Ort für eine Dopingkontrolle angetroffen werden können. Neben den Whereabouts werden auch Krankheits- und Behandlungsdaten, Ergebnisse von Urin- und Blutproben bei Trainings- und Wettkampfkontrollen zu einem biologischen Profil des Sportlers zusammengeführt und gespeichert. Dieses Profil und die Whereabouts werden in der internetbasierten Datenbank ADAMS („Anti-Doping Administration and Management System“) gespeichert , die von der WADA in Kanada betrieben wird. Diese Daten erlauben weitreichende Rückschlüsse auf die Gesundheit, die Persönlichkeit und die Bewegungsprofile aller gespeicherten Athletinnen und Athleten , die nicht in unmittelbarem Zusammenhang zum Sport stehen müssen. Die Hackergruppe Fancy Bear/APT28, die als mutmaßlicher Urheber der Angriffe auf den Deutschen Bundestag 2015 und die Bundesregierung 2017/2018 gilt, hat sich 2016 auch Zugang zur Datenbank ADAMS und Zugriff auf Ausnahmeregeln zur Anwendung von Mitteln der Dopingliste (Therapeutic Use Exemptions – TUEs) verschaffen können. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/2911 – 2 – Deutscher Bundestag – 19. Wahlperiode 1. Wie viele deutsche Athletinnen und Athleten sind gegenwärtig nach Kenntnis der Bundesregierung in beiden Testpools (RTP bzw. NTP) registriert? Die Nationale Anti Doping Agentur (NADA) ist eine Stiftung des Privatrechts, welche die Registrierung der Athletinnen und Athleten in eigener Zuständigkeit vornimmt. Die Zahl variiert und ist abhängig von den Quartalsmeldungen der Sportverbände sowie sportlichen Großereignissen. Die beiden Testpools umfassen stets zwischen 1 500 und 2 500 Athletinnen und Athleten. 2. Wie viele Athletinnen und Athleten sind gegenwärtig nach Kenntnis der Bundesregierung insgesamt in den Datenbanken der WADA registriert? 3. Wie viele Personen und/oder Institutionen haben nach Kenntnis der Bundesregierung Zugriff auf die Whereabouts, den biologischen Athletenpass und die Therapeutic Use Exemptions (TUEs)? Die Fragen 2 und 3 werden gemeinsam beantwortet. Die Welt Anti Doping Agentur (WADA) ist eine juristische Person des Privatrechts mit Sitz in Kanada. Demzufolge hat die Bundesregierung keine Kenntnis darüber, wie viele Athletinnen und Athleten in den Datenbanken der WADA registriert sind und wie viele Personen und/oder Institutionen Zugriff auf die Datenbank der WADA haben. 4. Gibt es ein Berechtigungskonzept, das die Zugriffsrechte innerhalb von NADA, WADA und Dienstleistern, die Dopingkontrollen durchführen, definiert ? Wie sieht ein solches Berechtigungskonzept aus? Die NADA hat eine Benutzerverwaltung mit Rechte- und Rollenkonzept. Auf den öffentlichen Bericht des externen Datenschutzbeauftragten der NADA wird insoweit verwiesen (NADA-Jahresbericht 2017, Seite 18): www.nada.de/fileadmin/ user_upload/nada/Downloads/Jahresberichte/NADA_Jahresbericht_2017_DE.pdf. Der Bundesregierung ist ein Berechtigungskonzept der WADA nicht bekannt. Ebenso hat die Bundesregierung keine Kenntnis über die konkrete Ausgestaltung der Zugriffsrechte innerhalb von NADA, WADA und Dienstleistern, die Doping- Kontrollen durchführen. Privatrechtliche Unternehmen setzen geeignete technische und organisatorische Sicherheitsmaßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus in eigener Verantwortung um. Die datenschutzrechtliche Aufsicht über die NADA liegt dabei bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW). 5. Wie lange ist die Speicherungshöchstdauer der Daten nach Kenntnis der Bundesregierung? Gibt es einen automatischen Löschmechanismus für die Daten? Wie lange werden die Daten im Durchschnitt gespeichert? Die NADA hat in der Anlage 1 ihres Standards für Datenschutz Speicherfristen festgelegt. Die Speicherfristen werden dem Grunde nach in zwei Kategorien eingeteilt . In Abhängigkeit von dem jeweiligen Regelungsbereich ist eine Speicherfrist von 18 Monaten oder 10 Jahren festgelegt, welche im Falle eines anhängigen Verstoßes gegen Anti-Doping Bestimmungen unter Berücksichtigung der Gesamtumstände des Einzelfalls verlängert werden können (www.nada.de/fileadmin/ user_upload/nada/Recht/Regelwerke/2015_Standard_fuer_Datenschutz_Final.pdf). Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 3 – Drucksache 19/2911 Eine entsprechende Regel ist in Annex A des internationalen WADA-Standards „Protection of Privac y and Personal Information“ (ISPPPI) festgeschrieben (www.wada-ama.org/sites/default/files/resources/files/ispppi-_final_-_en.pdf). Die Bundesregierung hat keine Kenntnisse über einen automatischen Löschmechanismus und die durchschnittliche Speicherdauer. 6. Ist auf die Daten von europäischen Athleten nach Auffassung der Bundesregierung die Datenschutz-Grundverordnung (DSGVO) seit dem 25. Mai 2018 anwendbar, auch wenn sie außerhalb der EU verarbeitet werden, z. B. da die Verarbeitung im Zusammenhang mit der Beobachtung von Verhalten innerhalb der EU erfolgt (Artikel 3 Absatz 2 Buchstabe b DSGVO)? Wenn nein, welches Datenschutzrecht ist auf diese Daten anwendbar? Der räumliche Anwendungsbereich der Datenschutzgrundverordnung (DSGVO) richtet sich im Einzelnen nach Artikel 3 der DSGVO. Gemäß Artikel 3 Absatz 1 DSGVO findet die DSGVO Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt, unabhängig davon, ob die Verarbeitung in der EU stattfindet. Artikel 3 Absatz 2 DSGVO erweitert den räumlichen Anwendungsbereich darüber hinaus (Marktortprinzip). Gemäß Artikel 3 Absatz 2 Buchstabe a findet die DSGVO Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten , unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist. Gemäß Artikel 3 Absatz 2 Buchstabe b DSGVO findet die DSGVO Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen , die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht, das Verhalten betroffener Personen zu beobachten , soweit ihr Verhalten in der Union erfolgt. Erwägungsgrund 24 Satz 2 der DSGVO präzisiert Artikel 3 Absatz 2 Buchstabe b DSGVO, indem er bestimmt: „Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen Personen gilt, sollte daran festgemacht werden, ob ihre Internetaktivitäten nachvollzogen werden […].“ Eine weitere Erweiterung des räumlichen Anwendungsbereichs sieht Artikel 3 Absatz 3 DSGVO vor. Erfolgt die Verarbeitung personenbezogener Daten von Athletinnen und Athleten außerhalb der EU, ist die DSGVO nur anwendbar, wenn einer der von Artikel 3 DSGVO genannten Fälle vorliegt. Dies kann nicht pauschal beantwortet werden, sondern muss für jede einzelne Datenverarbeitung gesondert geprüft werden. Für die Verarbeitung personenbezogener Daten von Athletinnen und Athleten außerhalb der Europäischen Union bedeutet das Folgendes: Zunächst erfolgt die Datenverarbeitung der Nationalen Anti Doping Organisationen mit Sitz in den Mitgliedstaaten der Europäischen Union auf Grundlage der DSGVO, so dass für die Datenübermittlung an Empfänger in Drittländern die Artikel 44 ff. DSGVO maßgeblich sind. Die WADA ist eine juristische Person des Privatrechts mit Sitz in Kanada und verarbeitet personenbezogene Daten nach kanadischem Datenschutzrecht . Der räumliche Anwendungsbereich der DSGVO ist für die Verarbeitung personenbezogener Daten durch die WADA regelmäßig nicht eröffnet: Weder verarbeitet die WADA personenbezogene Daten im Rahmen der Tätigkeit einer Niederlassung in der EU, noch beobachtet die WADA das Verhalten von Athletinnen Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/2911 – 4 – Deutscher Bundestag – 19. Wahlperiode und Athleten im Sinne von Artikel 3 Absatz 2 Buchstabe b DSGVO in Verbindung mit Erwägungsgrund 24 Satz 2 DSGVO, da die WADA nicht die Internetaktivitäten der Athletinnen und Athleten nachvollzieht. 7. Wie sehen nach Kenntnis der Bundesregierung die Auskunfts- und Löschrechte von Daten über deutsche Athletinnen und Athleten der in Kanada gehosteten Daten aus? Die Bundesregierung hat hierzu keine Erkenntnisse. Die Bundesregierung geht jedoch davon aus, dass die WADA diesbezüglich nach kanadischem Datenschutzrecht und auf Basis des internationalen WADA-Standards „Protection of Privacy and Personal Information“ (ISPPPI) handelt (www.wada-ama.org/sites/ default/files/resources/files/ispppi-_final_-_en.pdf). 8. Wie sind die Zuständigkeiten zwischen NADA und WADA nach Kenntnis der Bundesregierung hinsichtlich der Auskunftsrechte und Löschungsersuchen von Athletinnen und Athleten? Die Bundesregierung geht davon aus, dass NADA und WADA jeweils in eigener Zuständigkeit handeln. 9. Mit welchen Maßnahmen werden nach Kenntnis der Bundesregierung die bei der NADA und WADA gespeicherten Daten der Athleten vor unberechtigtem Zugriff, Missbrauch und Manipulation geschützt? Der Bundesregierung ist bekannt, dass die NADA ein Datenschutz- und Datensicherheitsaudit durchgeführt hat und einen externen IT-Beauftragten für die Datensicherheit bestellt. Hinsichtlich der weiteren ergriffenen Maßnahmen wird auf den Bericht des externen Datenschutzbeauftragten der NADA verwiesen (NADA Jahresbericht 2017, Seite 18): www.nada.de/fileadmin/user_upload/nada/Downloads/ Jahresberichte/NADA_Jahresbericht_2017_DE.pdf. Hinsichtlich der von der WADA ergriffenen Maßnahmen wird auf die Pressemitteilung vom 5. Oktober 2016 verwiesen (www.wada-ama.org/en/media/news/ 2016-10/cyber-security-update-wadas-incident-response): Danach hat die WADA insbesondere nicht mehr genutzte Konten deaktiviert. Ebenso wurde die Rücksetzfunktion bei vergessenen Passwörtern deaktiviert. Die Überwachungs- und Protokollierungsfunktionen sowie das Monitoring des Netzwerks wurden erhöht. Ferner engagierte die WADA eine Sicherheits- und Beratungsfirma mit der Überprüfung des Netzwerks einschließlich ADAMS. Weitere wesentliche Maßnahmen zur Erhöhung der Datensicherheit sind nach Kenntnis der Bundesregierung beispielsweise die Einführung persönlicher Sicherheitsfragen bei der Anmeldung und die Einbindung eines als vertrauenswürdig geltenden Gerätes. 10. Wie schätzt die Bundesregierung die Sicherheit der Datenbanken von NADA und WADA nach dem Hackerangriff von 2016 ein? Die Einschätzung der Datensicherheit bei NADA und WADA obliegt nicht der Bundesregierung, sondern den zuständigen Aufsichtsbehörden. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 5 – Drucksache 19/2911 11. Gab es im Anschluss an den Hackerangriff von 2016 nach Kenntnis der Bundesregierung Maßnahmen zur Verbesserung der IT-Sicherheit bei NADA und WADA? Auf die Antwort zu Frage 9 wird verwiesen. 12. Gab es einen Informationsaustausch über die mutmaßlichen Urheber der Hackerangriffe in Deutschland und Kanada oder eine Zusammenarbeit kanadischer und deutscher Behörden in der Ermittlung oder Abwehr dieser oder anderer Hackergruppen? Der Generalbundesanwalt beim Bundesgerichtshof führt im Zusammenhang mit der Angriffskampagne „SOFACY“/APT 28 ein Ermittlungsverfahren gegen Unbekannt wegen des Verdachts geheimdienstlicher Agententätigkeit. Zur Ermittlung der technischen Infrastruktur der Angriffskampagne wurde ein Rechtshilfeersuchen an die kanadischen Behörden gerichtet. Ein Informationsaustausch über die Urheberschaft des elektronischen Angriffs auf die WADA mit kanadischen Behörden fand in diesem Rahmen nicht statt. Einen polizeilichen Informationsaustausch bzw. eine Zusammenarbeit zwischen dem Bundeskriminalamt und kanadischen Dienststellen gab es im Zusammenhang mit Ermittlungsverfahren im Bereich Cyberspionage bisher nicht. Zwischen dem Bundesamt für Sicherheit in der Informationstechnik und dem kanadischen Cyber Incident Response Centre (CCIRC) gibt es zur Abwehr von Hackergruppen einen technischen Austausch über Indikatoren zur Detektion und Abwehr von Schadcode-Angriffen. Ein Informationsaustausch über die Urheberschaft des elektronischen Angriffs auf die WADA mit kanadischen Behörden fand dabei nicht statt. Die Bundesregierung ist nach sorgfältiger Abwägung zwischen dem verfassungsrechtlich geschützten parlamentarischen Frage- und Informationsrecht einerseits und dem ebenfalls Verfassungsrang zukommenden Staatswohl zu der Auffassung gelangt, dass eine Beantwortung der Frage 12 in Teilen nicht offen erfolgen kann. Die jeweiligen Teilantworten werden mit folgender Begründung unterschiedlich eingestuft: a) In der Antwort zu der genannten Frage sind Auskünfte enthalten, die unter dem Aspekt des Schutzes der nachrichtendienstlichen Zusammenarbeit mit ausländischen Partnern besonders schutzbedürftig sind. Eine öffentliche Bekanntgabe von Informationen zu technischen Fähigkeiten von ausländischen Partnerdiensten und damit einhergehend die Kenntnisnahme durch Unbefugte hätte erhebliche nachteilige Auswirkungen auf die vertrauensvolle Zusammenarbeit . Würden in der Konsequenz eines Vertrauensverlustes Informationen von ausländischen Stellen entfallen oder wesentlich zurückgehen, entstünden signifikante Informationslücken mit negativen Folgewirkungen für die Genauigkeit der Abbildung der Sicherheitslage in der Bundesrepublik Deutschland sowie im Hinblick auf den Schutz deutscher Interessen im Ausland. Die künftige Aufgabenerfüllung der Nachrichtendienste des Bundes würde stark beeinträchtigt . Insofern könnte die Offenlegung der entsprechenden Informationen die Sicherheit der Bundesrepublik Deutschland gefährden oder ihren Interessen schweren Schaden zufügen; das Bekanntwerden der geheimhaltungsbedürftigen Informationen würde mithin das Wohl des Bundes (Staatswohl ) gefährden. Die notwendige Abwägung zwischen den Geheimhaltungs- Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/2911 – 6 – Deutscher Bundestag – 19. Wahlperiode interessen aufgrund des Staatswohls einerseits und dem grundsätzlich umfassenden parlamentarischen Fragerecht andererseits ergibt daher, dass vorliegend eine Antwort der Bundesregierung, die veröffentlicht würde, nicht in Betracht kommt. Jedoch ist eine Übermittlung der Informationen an die Geheimschutzstelle des Deutschen Bundestages möglich. Die Antwort zu der genannten Frage wird als Verschlusssache gemäß der Allgemeinen Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen (VS-Anweisung – VSA) mit dem Geheimhaltungsgrad „GEHEIM“ eingestuft.1 b) Arbeitsmethoden und Vorgehensweisen der Nachrichtendienste des Bundes sind im Hinblick auf die künftige Erfüllung ihres jeweiligen gesetzlichen Auftrags besonders schutzwürdig. Ebenso schutzbedürftig sind Einzelheiten zur nachrichtendienstlichen Erkenntnislage sowie zur nachrichtendienstlichen Zusammenarbeit mit ausländischen Partnern. Eine Veröffentlichung solcher Einzelheiten würde zu einer wesentlichen Schwächung der den Nachrichtendiensten des Bundes zur Verfügung stehenden Möglichkeiten der Informationsgewinnung führen. Dies könnte für die Interessen der Bundesrepublik Deutschland nachteilig sein. Daher sind die entsprechenden Informationen gemäß § 3 Nummer 4 der VSA mit dem VS-Grad „VS – Nur für den Dienstgebrauch“ eingestuft.2 13. Hat die Bundesregierung Erkenntnisse, ob durch den Hackerangriff Daten deutscher Athletinnen und Athleten gestohlen oder kopiert wurden? Im Zusammenhang mit dem Hackerangriff auf die WADA wurden Daten von deutschen Athletinnen und Athleten veröffentlicht. Auf die Pressemitteilung der NADA vom 15. September 2016 wird verwiesen (www.nada.de/fileadmin/user_upload/nada/Presse/17-PM_160915_NADA_reagiert_ auf_aktuelle_Cyber-Attacke_auf_WADA_und_ADAMS.pdf). Der Bundesregierung liegen keine Erkenntnisse vor, ob es sich dabei um gestohlene oder kopierte Daten handelt. 14. Hat die Bundesregierung Erkenntnisse, ob durch den Hackerangriff Daten von internationalen und/oder deutschen Athletinnen und Athleten manipuliert wurden? Im Zusammenhang mit dem Hackerangriff auf die WADA wurden auch Daten von internationalen Athletinnen und Athleten veröffentlicht. Auf die Pressemitteilung der WADA vom 23. September 2016 wird verwiesen (www.wada-ama. org/en/media/news/2016-09/cyber-hack-update-data-leak-concerning-41-athletesfrom -13-countries-and-17). Der Bundesregierung liegen keine Erkenntnisse über eine Manipulation der Daten von internationalen und/oder deutschen Athletinnen und Athleten vor. 1 Das Bundesministerium des Innern, für Bau und Heimat hat einen Teil der Antwort zu Frage 12 als „VS – Geheim“ eingestuft. Die Antwort ist in der Geheimschutzstelle des Deutschen Bundestages hinterlegt und kann dort nach Maßgabe der Geheimschutzordnung eingesehen werden. 2 Das Bundesministerium des Innern, für Bau und Heimat hat einen Teil der Antwort zu Frage 12 als „VS – Nur für den Dienstgebrauch“ eingestuft. Die Antwort ist im Parlamentssekretariat des Deutschen Bundestages hinterlegt und kann dort von Berechtigten eingesehen werden. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 7 – Drucksache 19/2911 15. Hält die Bundesregierung es für zulässig, die Mitwirkung der Sportler an ADAMS auszusetzen, solange die Datensicherheit in Kanada auch nach dem Hack nicht belegt ist? Die Mitwirkung der Athletinnen und Athleten an ADAMS ist verpflichtend. Der Bundesregierung sind derzeit keine Gründe bekannt, die ein Aussetzen rechtfertigen könnten. 16. Wie beurteilt die Bundesregierung das Datenschutzniveau in Kanada im Vergleich zu Deutschland nach dem Inkrafttreten der DSGVO? Die WADA wurde im Jahr 2015 datenschutzrechtlich in den Anwendungsbereich des kanadischen „Personal Information Protection and Electronic Documents Act“ (PIPEDA) einbezogen, für den eine Angemessenheitsentscheidung der EU- Kommission vorliegt (Entscheidung 2002/2/EG der Kommission vom 20. Dezember 2001 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzes, den das kanadische Personal Information Protection and Electronic Documents Act bietet, ABl. 2002, Nummer L 2, S. 13 f., geändert durch den Durchführungsbeschluss (EU) 2016/2295 der Kommission vom 16. Dezember 2016, ABl. 2016, Nummer L 344, S. 83 ff.). Die Entscheidung der EU-Kommission bleibt nach Artikel 45 Absatz 9 DSGVO so lange in Kraft, bis sie durch einen Beschluss der EU- Kommission geändert, ersetzt oder aufgehoben wird. Gemäß Artikel 45 Absatz 4 DSGVO überwacht die Kommission fortlaufend die Entwicklungen in den Drittländern , die die Wirkweise einer Angemessenheitsentscheidung beeinträchtigen können. Kanada ist derzeit als ein Land anzusehen, das ein angemessenes Schutzniveau bei der Übermittlung personenbezogener Daten aus der EU an Empfänger garantiert, die – wie die WADA – dem kanadischen PIPEDA unterliegen. Die Bundesregierung hat keine Erkenntnisse darüber, dass die Einschätzung nicht mehr zutrifft. 17. Aufgrund welcher Rechtsgrundlage werden nach Kenntnis der Bundesregierung Daten von und an die WADA und insbesondere in ein Drittland übermittelt ? Wie wird die Übertragung technisch umgesetzt? Im Anwendungsbereich der DSGVO benötigen Verantwortliche und Auftragsverarbeiter für jede Verarbeitung personenbezogener Daten (einschließlich der Übermittlung) eine Rechtsgrundlage nach Artikel 6 DSGVO. Auf welche Variante des Artikels 6 DSGVO die Verarbeitung (einschließlich der Übermittlung) konkret gestützt werden kann, muss für jeden Verarbeitungsvorgang einzeln beurteilt werden. Soweit besondere Kategorien personenbezogener Daten verarbeitet (also auch übermittelt) werden, sind zusätzlich die Anforderungen von Artikel 9 DSGVO zu beachten. Sollen personenbezogene Daten im Anwendungsbereich der DSGVO von einem Verantwortlichen oder Auftragsverarbeiter an einen Empfänger in einem Drittland – also auch an die WADA mit Sitz in Kanada – übermittelt werden, hat der Verantwortliche oder der Auftragsverarbeiter zusätzlich die Anforderungen von Kapitel V der DSGVO (Artikel 44 ff. DSGVO) zu beachten. Die WADA wurde im Jahr 2015 datenschutzrechtlich in den Anwendungsbereich des kanadischen PIPEDA einbezogen; daher stehen Übermittlungen personenbezogener Daten durch Verantwortliche oder Auftragsverarbeiter aus der EU an die WADA aufgrund der gültigen Angemessenheitsentscheidung der EU-Kommission (Entscheidung 2002/2/EG der Kommission vom 20. Dezember 2001, siehe Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/2911 – 8 – Deutscher Bundestag – 19. Wahlperiode dazu ausführlicher die Antwort zu Frage 16) im Einklang mit den Anforderungen von Kapitel V der DSGVO. Die DSGVO verlangt, dass die Sicherheit der Verarbeitung gemäß Artikel 32 DSGVO gewährleistet wird – dies betrifft auch die technische Umsetzung der Übermittlung personenbezogener Daten. Die Bundesregierung hat keine Kenntnisse darüber, auf welcher Rechtsgrundlage die WADA personenbezogene Daten übermittelt oder anderweitig verarbeitet. Die Bundesregierung hat auch keine Kenntnisse darüber, auf welche technische Art und Weise die WADA personenbezogene Daten überträgt. Da die Verarbeitung personenbezogener Daten durch die WADA jedoch von der Wirkung der Angemessenheitsentscheidung der EU-Kommission umfasst ist (siehe die obigen Ausführungen), geht die Bundesregierung davon aus, dass auch bei der technischen Übertragung personenbezogener Daten durch die WADA alle erforderlichen Schutzvorkehrungen getroffen werden, damit ein angemessenes Datenschutzniveau gewährleistet ist. 18. Hält die Bundesregierung eine Angabe über den Aufenthaltsort der Sportler drei Monate im Voraus für erforderlich zur Durchführung des Dopingkontrollsystems der NADA? Können effektive Dopingkontrollen auch geplant werden, wenn der Meldezeitraum für die Whereabouts unter drei, zwei oder einem Monat liegt? Die Bundesregierung kann die Frage nicht beantworten, da die Planung und Durchführung von Dopingkontrollen in der Zuständigkeit der Nationalen Anti Doping Organisationen liegen. Darüber hinaus weist die Bundesregierung darauf hin, dass die Fristen weltweit einheitlich in Annex I des internationalen WADA- Standards „Testing and Investigations“ (ISTI) geregelt sind (www.wada-ama.org/ sites/default/files/resources/files/2016-09-30_-_isti_final_january_2017.pdf). 19. Hält die Bundesregierung die durch das Meldesystem bedingten Eingriffe in die Persönlichkeitsrechte und die Berufsfreiheit der Athletinnen und Athleten für gerechtfertigt? Die Bundesregierung hält die beschriebenen Maßnahmen der Datenverarbeitung für rechtmäßig. Mit den §§ 9 und 10 des Gesetzes gegen Doping im Sport (Anti- Doping-Gesetz) ist in Deutschland im Jahr 2015 eine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten von Athletinnen und Athleten geschaffen worden. Der Staat hat vor dem Hintergrund der umfangreichen öffentlichen Sportförderung ein erhebliches Interesse daran, dass diese Mittel in einen dopingfreien Sport fließen. 20. Wie bewertet die Bundesregierung die Vereinbarkeit der Erhebung, Verarbeitung und Nutzung besonderer Arten persönlicher Daten der Athleten mit der DSGVO, insbesondere Gesundheitsdaten? Sieht die Bundesregierung die Erhebung, Speicherung und Weitergabe in den Datenbanken der WADA und NADA als vereinbar an mit der DSGVO? Im Anwendungsbereich der DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten von Athletinnen und Athleten (einschließlich der Verarbeitung von Gesundheitsdaten) nach Artikel 6 Absatz 1 Satz 1 Buchstabe c, Absatz 2 und 3 DSGVO in Verbindung mit Artikel 9 Absatz 2 Buchstabe g DSGVO erlaubt, wenn die Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist und auf der Grundlage des Rechts eines Mitgliedstaats erfolgt, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 9 – Drucksache 19/2911 Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Personen vorsieht. Die danach erforderliche Rechtsgrundlage liegt im Bundesrecht mit den §§ 9 und 10 des Anti-Doping-Gesetzes vor. Erwägungsgrund 112 der DSGVO hebt hervor, dass die Verringerung und/oder Beseitigung des Dopings einen wichtigen Grund des öffentlichen Interesses darstellt. Im Übrigen obliegt die Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften den zuständigen unabhängigen Datenschutzaufsichtsbehörden. Hinsichtlich der Verarbeitung personenbezogener Daten durch die WADA verweist die Bundesregierung auf die Antwort zu Frage 17. 21. Sieht die Bundesregierung Handlungsbedarf, das Anti-Doping-System, die ADAMS-Datenbank und die Whereabouts zugunsten der Persönlichkeitsrechte der Athletinnen und Athleten nachzubessern? 22. Hat die Bundesregierung Kenntnis von Plänen der NADA und der WADA, Änderungen an der ADAMS-Datenbank und den Whereabouts vorzunehmen , die zu mehr Datensicherheit, Datenschutz und weniger Eingriffen in die Privatsphäre der Athletinnen und Athleten führen? Sieht die Bundesregierung hier Handlungsbedarf? Die Fragen 21 und 22 werden gemeinsam beatwortet. Der Bundesregierung ist bekannt, dass die WADA derzeit das ADAMS-System überarbeitet und schrittweise in einer fortentwickelten Fassung zur Anwendung bringen will. Dabei soll beispielsweise ab Mitte 2018 eine so genannte Zwei-Faktor -Benutzerauthentifizierung eingeführt werden. Weitere konkrete Maßnahmen zur Datensicherheit und zum Datenschutz sind der Bundesregierung derzeit nicht bekannt. Die Bundesregierung sieht gegenwärtig keinen weitergehenden Handlungsbedarf . Aus rechtlicher Sicht ist es nicht geboten, das ADAMS-System und die Whereabouts im Kern grundlegend nachzubessern oder unter Einbeziehung von Ortungstechnologien neu zu konzipieren. Der Europäische Gerichtshof für Menschenrechte (EGMR) hat am 18. Januar 2018 entschieden, dass die Verpflichtung zur Meldung der Aufenthaltsdaten (Whereabouts) im Rahmen des ADAMS-Systems mit dem Menschenrecht auf Achtung des Privat- und Familienlebens (Artikel 8 EMRK) vereinbar ist (https://d3mjm6zw6cr45s.cloudfront. net/2018/01/Press-release-issued-by-European-Court-of-Human-Rights-on-Thursday- 18th-January.pdf). Auch hat die Ethikkommission der WADA sich im März 2018 unter Berufung auf den Datenschutz und die Datensicherheit derzeit gegen den verpflichtenden als auch den freiwilligen Einsatz von Ortungstechnologien im Rahmen des ADAMS-Systems ausgesprochen (www.ncbi.nlm.nih.gov/pmc/articles/PMC 5867440/). 23. Sind der Bundesregierung Alternativen zum bestehenden Anti-Doping-System bekannt? Worin sieht die Bundesregierung die Vor- und Nachteile dieser Alternativen ? Im Rahmen des vom Bundesministerium für Bildung und Forschung geförderten Projektes PARADISE wurden Techniken entwickelt, um den Schutz der Privatsphäre von Spitzensportlern im Dopingkontrollprozess zu verbessern. Mit Hilfe eines tragbaren Gerätes kann der Aufenthaltsort von Athleten in bestimmten Grenzen und nur zum Zweck einer Kontrolle ermittelt werden. Diese technische Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/2911 – 10 – Deutscher Bundestag – 19. Wahlperiode Lösung stellt potentiell eine Alternative zu dem gegenwärtig verwendeten Meldesystem ADAMS dar (https://privacy-paradise.de/). Vor- und Nachteile dieser Entwicklung sowie deren Nutzung müssen nun im Anschluss von den Anti-Doping Agenturen beurteilt werden. 24. Welche Maßnahmen oder Initiativen plant oder begleitet die Bundesregierung , um den Datenschutz und die Datensicherheit im bestehenden Anti- Doping-System zu verbessern? Derzeit hat die Bundesregierung keine konkreten Planungen. 25. Wie beurteilt die Bundesregierung die Effizienz des bestehenden WADA- Systems angesichts des russischen Staatsdopings? Der Dopingskandal in Russland hat gezeigt, dass die Instrumente der weltweiten Dopingbekämpfung weiterentwickelt werden mussten. Die Bundesregierung begrüßt es daher, dass die WADA auf die McLaren Berichte über das staatsgeleitete Doping in Russland reagiert und Maßnahmen zur Verbesserung der weltweiten Anti-Doping Arbeit auf den Weg gebracht hat. Hierzu zählen, die Einrichtung einer neuen Ermittlungsabteilung bei der WADA, die Einführung eines Hinweisgebersystems („Speak up“), die Einrichtung eines unabhängiges Komitees zur Überwachung der Einhaltung der Anti-Dopingvorschriften („Compliance Review Committee“) sowie die Einführung eines Überwachungs- und Sanktionsverfahrens („International Standard for Code Compliance by Signatories“). 26. Auf welcher Rechtsgrundlage beruht die Veröffentlichung von Dopingverstößen ? Sieht die Bundesregierung den hierdurch entstehenden Eingriff in das informationelle Selbstbestimmungsrecht der Sportler als gerechtfertigt an? Der NADA verarbeitet Daten von Athletinnen und Athleten auf Grundlage der §§ 9 und 10 Anti-Doping-Gesetz und auf der Basis von Einwilligungen der Athletinnen und Athleten. Die NADA prüft als verantwortliche datenverarbeitende Stelle, auf welche Variante von Artikel 6 DSGVO die Veröffentlichung von Dopingverstößen gestützt werden kann. Die Bunderegierung kann nicht pauschal beurteilen , ob und inwieweit der Eingriff in das informationelle Selbstbestimmungsrecht durch die Veröffentlichung von Dopingverstößen gerechtfertigt ist. Die Veröffentlichung ist von der NADA in jedem Einzelfall zu prüfen und abzuwägen . Im Übrigen obliegt die Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften der zuständigen unabhängigen LDI NRW. Artikel 14.3.2 in Verbindung mit Artikel 10.13 des Welt Anti-Doping Codes (WADC) und des Nationalen Anti-Doping Codes (NADC) sehen die vollständige Veröffentlichung des Vor- und Nachnamens vor. Die Bundesregierung begrüßt es, dass die NADA hierzu einen restriktiven Standpunkt vertritt und aus Gründen der datenschutzrechtlichen Verhältnismäßigkeit lediglich den Vornamen und den Anfangsbuchstaben des Familiennamens der sanktionierten Athletinnen und Athleten auf der NADA-Website veröffentlicht. Vorabfassung - w ird durch die lektorierte Version ersetzt. Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333