LANDTAG NORDRHEIN-WESTFALEN 16. Wahlperiode Drucksache 16/12710 17.08.2016 Datum des Originals: 17.08.2016/Ausgegeben: 22.08.2016 Die Veröffentlichungen des Landtags Nordrhein-Westfalen sind einzeln gegen eine Schutzgebühr beim Archiv des Landtags Nordrhein-Westfalen, 40002 Düsseldorf, Postfach 10 11 43, Telefon (0211) 884 - 2439, zu beziehen. Der kostenfreie Abruf ist auch möglich über das Internet-Angebot des Landtags Nordrhein-Westfalen unter www.landtag.nrw.de Antwort der Landesregierung auf die Kleine Anfrage 4972 vom 19. Juli 2016 des Abgeordneten Dr. Joachim Paul PIRATEN Drucksache 16/12557 Wie will die nordrhein-westfälische Landesregierung den Schutz personenbezogener Daten auf Basis der "Privacy Shield"-Vereinbarung gewährleisten? Wortlaut der Kleinen Anfrage Die Europäische Kommission hat Anfang Juli 2016 den Datenaustausch-Deal mit den USA namens „EU-US Privacy Shield" angenommen. Die Einigung zwischen der Europäischen Kommission und der US-amerikanischen Regierung soll zukünftig den Datenaustausch zwischen beiden Regionen regeln, insbesondere den Verkehr personenbezogener Kundendaten. In erster Linie sollte es der Kommission darum gehen, das Vertrauen der in der EU lebenden Menschen in den Schutz ihrer personenbezogenen Daten vor der anlasslosen Massenüberwachung durch US-amerikanische Sicherheitsbehörden, zurückzugewinnen. So wird es im Vergleich zur vom Europäischen Gerichtshof (EuGH) gekippten Safe Harbor- Entscheidung mit dem "Privacy Shield" strengere Auflagen für Unternehmen geben, die Daten verarbeiten. Der finale Text der Vereinbarung besagt, dass mit dem "Privacy Shield" vor allem die staatliche Kontrolle der geltenden Rechtslage in den USA sowie die Beschwerdemöglichkeiten betroffener Bürger verbessert werden sollen. Gleichzeitig wird in den Texten mehr als deutlich, dass die USA zu keinerlei echten Zugeständnissen bezüglich ihrer eigenen Aktivitäten zur Massenüberwachung bereit sind. Denn trotz der massiven Kritik der Artikel 29-Gruppe der EU-Datenschützer am ersten Entwurf und daraufhin vorgenommenen Nachbesserungen besteht nach einhelliger Meinung von Datenschützern auch in der finalen Version der Vereinbarung die Möglichkeit der unterschiedslosen Massenüberwachung personenbezogener Daten von in der EU lebenden Menschen durch US-Geheimdienste . Zwar hat die US-amerikanische Seite betont, Datensammlungen nur unter bestimmten Voraussetzungen und mit einer möglichst gezielten Ausrichtung zu erheben, dennoch haben nicht erst die Snowden-Enthüllungen gezeigt, dass geltendes US-Recht grundsätzlich nur auf US-Territorium, nicht aber für Geheimdienste, die in Europa operieren, gilt. LANDTAG NORDRHEIN-WESTFALEN - 16. Wahlperiode Drucksache 16/12710 2 Der zentrale Kritikpunkt des EuGH an der Safe Harbor-Entscheidung, nämlich dass man nicht von einem gleichwertigen Schutzniveau in der EU und den USA ausgehen kann, wird mit der finalen Version des "EU-US Privacy Shields" kaum ausgeräumt. Auch das Zustandekommen der neuen Vereinbarung wurde kritisiert: Über die finale Fassung des "Privacy Shields" wurde die Artikel 29-Gruppe durch die Kommission nicht erneut informiert. Vier EU-Mitgliedsstaaten haben sich zum "Privacy Shield" enthalten, die deutsche Bundesregierung war nicht darunter. Die Fraktion der PIRATEN hatte bereits März dieses Jahres einen Antrag (Drs. 16/11413) eingereicht, der sich kritisch mit dem "Privacy Shield"-Abkommen auseinandersetzt. Er fand keine parlamentarische Mehrheit. Der Minister für Inneres und Kommunales hat die Kleine Anfrage 4972 mit Schreiben vom 17. August 2016 namens der Landesregierung im Einvernehmen mit dem Minister für Bundesangelegenheiten , Europa und Medien und Chef der Staatskanzlei beantwortet. 1. Begrüßt die Landesregierung vor dem Hintergrund des seitens der EU-Datenschutzexperten attestierten ungenügenden Grundrechtsschutzes für in der EU lebende Menschen die nun abgeschlossene „Privacy Shield“-Vereinbarung grundsätzlich ? Bitte die zustimmende bzw. ablehnende Haltung begründen. Die Landesregierung begrüßt, dass es der Europäischen Union gelungen ist, eine Vereinbarung über einen gesicherten Datentransfer personenbezogener Daten von Europa in die USA mit den Vereinigten Staaten von Amerika abzustimmen. Die EU-Kommission hat daraufhin mit Angemessenheitsentscheidung vom 12.07.2016 das Datenschutzniveau in den USA sektoral als angemessen anerkannt und damit eine neue rechtliche Grundlage für den transatlantischen Datenverkehr geschaffen. Das EU-US Privacy Shield war notwendig geworden, weil der Europäische Gerichtshof durch Urteil vom 06.10.2015 (Rechtssache C-362/14) die Entscheidung der EU-Kommission zum bisherigen Safe Harbor-Abkommen für ungültig erklärt hatte. Das EU-US Privacy Shield weist gegenüber dem Safe Harbor-Abkommen eine Reihe von Verbesserungen auf, die dazu beitragen sollen, dass personenbezogene Daten in den USA besser geschützt werden. Hierzu gehören eine Selbstverpflichtung auf Seiten der USA, dass Sicherheitsbehörden nur eingeschränkt auf Daten zugreifen, die Schaffung einer Ombudsstelle beim US-Außenministerium, an die sich EU-Bürger wenden können, und ein kostenloses Verfahren der alternativen Streitbeilegung mit der Möglichkeit, die nationale Datenschutzbehörde einzuschalten. Weiterhin ist eine jährliche Überprüfung des EU-US Privacy Shield vorgesehen, bei der auch Sachverständige der europäischen Datenschutzbehörden hinzugezogen werden. Inwieweit das EU-US Privacy Shield in jeder Hinsicht sämtliche Vorgaben des europäischen Rechts beachtet, bleibt letztendlich einer möglichen Entscheidung des Europäischen Gerichtshofs vorbehalten. 2. In welcher Form war die Landesregierung in den Prozess des Zustandekommens des Datenschutz-Deals eingebunden bzw. hat sie auf eigene Initiative hin Einfluss auf den finalen Text des „Privacy Shields“ genommen? Die Landesregierung ist mangels eigener Zuständigkeit in das Verfahren zur Abstimmung des EU-US Privacy Shield unmittelbar nicht einbezogen gewesen. LANDTAG NORDRHEIN-WESTFALEN - 16. Wahlperiode Drucksache 16/12710 3 3. Wie genau will die nordrhein-westfälische Landesregierung den Schutz personenbezogener Daten auf Basis der „Privacy Shield“-Vereinbarung gewährleisten? Das EU-US Privacy Shield bietet eine Rechtsgrundlage für die Übertragung personenbezogener Daten von Europa in die USA. Schwerpunkt des Anwendungsbereichs dieser Vereinbarung werden davon betroffene Unternehmen sein, die selbst für die Einhaltung der Datenschutzvorschriften verantwortlich sind. Die Überwachung der Einhaltung des Datenschutzes im Zusammenhang mit der Übertragung von personenbezogenen Daten in die USA wird im Übrigen in Nordrhein-Westfalen von der Landesbeauftragten für Datenschutz und Informationsfreiheit wahrgenommen, die als unabhängige Aufsichtsbehörde nicht Teil der Landesregierung ist. Sofern die Landesregierung in Einzelfällen bei der Übertragung von personenbezogenen Daten in die USA berührt sein sollte, wird sie die Regelungen des EU-US Privacy Shield berücksichtigen . 4. Welche Regelungsbereiche des „Privacy Shields“ bewertet die Landesregierung aus Sicht der in NRW lebenden Schüler, Studenten, Kunden, Unternehmer, Aktivisten und Arbeitnehmer als besonders wichtig, um den Schutz ihrer personenbezogener Daten zu gewährleisten? Ein mögliches Beispiel: Die (in den USA legale und hierzulande unzulässige) weitere Verwendung von „Lerndaten“ von Studenten durch US-Anbieter von Massive Open Online Courses (MOOCs). Die Landesregierung erachtet die Verbesserungen gegenüber dem Safe-Harbor-Abkommen, die dazu beitragen sollen, dass der Datenschutz für den Betroffenen gewährleistet wird, für besonders wichtig. Eine Absicherung der Datenübertragung im Sinne von EU-US Privacy Shield setzt aber voraus, dass das die Daten verarbeitende Unternehmen in den USA in der Liste der teilnehmenden Unternehmen beim US-Handelsunternehmen aufgeführt ist und sich somit auf die Grundsätze dieser Regelung verpflichtet hat. 5. Ergibt sich aus Sicht der Landesregierung aus der „Privacy Shield“-Vereinbarung nun weiterer politischer und/oder rechtlicher Handlungsbedarf, beispielsweise bezüglich der Beschwerdemöglichkeiten bei der Landesbeauftragten (LDI)? Ein politischer oder rechtlicher Handlungsbedarf für die Landesregierung wird derzeit nicht gesehen. Ob die im EU-US Privacy Shield enthaltene Möglichkeit für den Betroffenen, sich an die nationale Aufsichtsbehörde im Zusammenhang mit dem Verfahren wenden zu können, eine nähere Ausgestaltung im nationalen Recht erfordert, bleibt abzuwarten. Die Landesregierung unterstützt Bestrebungen, auf Bundesebene den vom Europäischen Gerichtshof geforderten Rechtsweg für Datenschutzbehörden zur Überprüfung von Angemessenheitsentscheidungen zu schaffen. Nordrhein-Westfalen Drucksache 16/12710