Beschluss des Bundesrates
Entschließung des Bundesrates zu dem geplanten Rahmenübereinkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über den Schutz personenbezogener Daten bei deren Übermittlung und Verarbeitung zum Zwecke der Strafverfolgung
(sog. Umbrella Agreement)

Der Bundesrat hat in seiner 944. Sitzung am 22. April 2016 beschlossen, die aus der Anlage ersichtliche Entschließung zu fassen.

Anlage
Entschließung des Bundesrates zu dem geplanten Rahmenübereinkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über den Schutz personenbezogener Daten bei deren Übermittlung und Verarbeitung zum Zwecke der Strafverfolgung (sog. Umbrella Agreement)

Begründung:

A. Allgemeines

Das Rahmenabkommen zwischen der Europäischen Union und den USA über den Schutz personenbezogener Daten bei deren Übermittlung und Verarbeitung zum Zwecke der Strafverfolgung (sogenanntes Umbrella Agreement) soll die datenschutzrechtlichen Anforderungen bestimmen, die sowohl die USA als auch die EU im Fall eines Datenaustauschs zwischen den zuständigen Behörden und einer Verarbeitung dieser Daten zum Zwecke der Verhütung, Aufdeckung, Ermittlung oder Verfolgung von Straftaten, einschließlich des Terrorismus, nach Inkrafttreten des Abkommens einzuhalten haben werden. Das vorgesehene Abkommen selbst ermächtigt nicht zum Datentransfer, sondern ist als Rahmenübereinkunft geplant, die andere, zwischen den beiden Parteien bestehende Abkommen entsprechend ergänzen wird. Soweit diese Abkommen spezielle datenschutzrechtliche Vorschriften enthalten, soll es diese jedoch nicht ersetzen.

Die Schaffung eines einheitlichen Rechtsrahmens für die Übermittlung personenbezogener Daten an die USA ist grundsätzlich zu begrüßen. Allerdings steht hinsichtlich des Rahmenabkommens weiterhin die Entschließung des Bundesrates vom 26. November 2010 im Raum, mit welcher einerseits die Bemühungen der Europäischen Kommission, Vorgaben für ein Rahmenabkommen mit den Vereinigten Staaten von Amerika zu entwickeln, das einen einheitlichen Schutzstandard für personenbezogene Daten bei der polizeilichen und justiziellen Zusammenarbeit in Strafsachen gewährleistet, begrüßt wurden, mit welcher andererseits aber auch Forderungen hinsichtlich der Ausgestaltung und Konkretisierung eines Verhandlungsmandates für die Europäische Kommission erhoben wurden.

Angesichts des Umstandes, dass am Rande einer Tagung am 8. September 2015 in Luxemburg ein ausgehandelter Text (http://ec.europa.eu/justice/dataprotection/files/dpumbrellaagreement_en.pdf ) von der Kommission und den USA paraphiert worden ist und sich die seit Ende 2010 dauernden Verhandlungen offenbar dem Ende zu nähern scheinen, erinnert der Bundesrat an die für die Festlegung des Verhandlungsmandats geforderten Eckpunkte. Denn die vom Bundesrat am 26. November 2010 beschlossenen Forderungen sind bislang inhaltlich nicht hinreichend umgesetzt. Der nunmehr bekannt gewordene Abkommenstext gibt zudem Anlass für die Bitte um Beachtung weiterer Forderungen. Die bestehenden Bedenken werden auch nicht durch die Unterrichtung seitens der Bundesregierung vom 4. Januar 2016 (BR-Drucksache 7/16) entkräftet.

B. Im Einzelnen

Zu Ziffer 4.1.:

Mit dieser Ziffer wird eine Forderung aus der Entschließung vom 26. November 2010 wiederholt. Denn gemäß Artikel 3 Ziffer 1 des Abkommenentwurfs ist zwar die Übermittlung personenbezogener Daten auf die Zwecke der polizeilichen und justiziellen Zusammenarbeit in Strafsachen begrenzt.

Diese strikte Zweckbindung gilt nach dem Abkommensentwurf allerdings nicht mehr im Falle einer Weitergabe übermittelter Daten durch die empfangende Behörde an andere Stellen, vergleiche Artikel 6 Ziffer 2 des Abkommenentwurfs.

Diese Ausnahmeregelung ist weiterhin kritisch zu würdigen. So sollen nicht nur Strafverfolgungsbehörden zu einer Weiterverarbeitung berechtigt sein, sondern auch Regulierungs- oder Verwaltungsbehörden. Zudem eröffnet Artikel 6 Ziffer 4 des Abkommenentwurfs die Möglichkeit, weitere Ausnahmen von der Zweckbindung in bereichsspezifischen Abkommen zu regeln, was zu einer Schwächung des Datenschutzniveaus führen könnte. Vor diesem Hintergrund und angesichts des Umstandes, dass eine hinreichende Kontrolle, für welche Zwecke und in welchem Umfang personenbezogene Daten von EU-Bürgerinnen und EU-Bürgern durch weitere Stellen verarbeitet werden, praktisch unmöglich ist, muss eine solche weitere Datenverarbeitung generell ausgeschlossen werden. Die bloße Möglichkeit, gemäß Artikel 6 Ziffer 3 des Abkommenentwurfs Bedingungen im Fall einer Weitergabe zu stellen, erscheint vor diesem Hintergrund nicht ausreichend.

Zu Ziffer 4.2.:

Ein wesentlicher Eckpunkt der Entschließung des Bundesrates vom 26. November 2010 war auch die Forderung, die Übermittlung personenbezogener Daten für solche Fälle auszuschließen, in denen das Risiko besteht, dass ihre Verwendung in einem Strafverfahren zur Verhängung der Todesstrafe führt. Diese Forderung ist im derzeitigen Abkommensentwurf nicht umgesetzt.

Zu Ziffer 4.3.:

Mit dieser Ziffer wird ebenfalls eine Forderung aus der Entschließung des Bundesrates vom 26. November 2010 wiederholt. Diese Bereichsausnahme gemäß Artikel 3 Ziffer 2 des Abkommenentwurfs ist weiterhin kritisch zu bewerten, da nicht auszuschließen ist, dass sie im Ergebnis zu einer Umgehung des im Rahmenabkommen festgelegten Schutzstandards führen wird. Denn der Begriff "nationale Sicherheit" kann sehr weit verstanden werden, so dass eine extensive Auslegung des dadurch eröffneten Ausnahmebereichs zu befürchten ist. Überdies ist die Bekämpfung des Terrorismus - ein Ziel, das im Regelfall nationale Sicherheitsinteressen berühren wird - nach Artikel 3 Ziffer 1 des Abkommenentwurfs gerade explizit als Zweck des Abkommens benannt, was weitere Fragen hinsichtlich des angedachten Anwendungsbereichs von Artikel 3 Ziffer 2 des Abkommenentwurfs aufwirft.

Nicht berücksichtigt ist auch die Forderung aus der Entschließung vom 26. November 2010, die Übermittlung an Drittstaaten auszuschließen. Auch wenn nach Artikel 7 des Abkommenentwurfs die Übermittlung an Drittstaaten nur bei Zustimmung des ursprünglichen Übermittlungsstaates möglich sein soll, ist die Regelung im Hinblick auf eine zu fordernde durchgängige Einhaltung des Datenschutzniveaus zu kritisieren. Zwar soll gemäß Artikel 7 Ziffer 2 des Abkommenentwurfs bei der Erteilung einer Zustimmung unter anderem berücksichtigt werden, ob der Drittstaat über ein "adäquates Datenschutzniveau" verfügt. Dies wiegt jedoch nicht die Ungewissheit über die Wege auf, die Daten nehmen, wenn sie erst einmal an die Drittstaaten übermittelt sind.

Insofern ist - wenn es bei der derzeitigen Regelung verbleibt - die weitere Datenverarbeitung kaum zu kontrollieren und es sind die damit einhergehenden Risiken für das Recht auf informationelle Selbstbestimmung nicht aufzuwiegen.

Zu Ziffer 5.1:.

Die in der derzeitigen Fassung des Abkommenentwurfs vorgesehenen datenschutzrechtlichen Anforderungen sehen keine Beschränkung der Datenübermittlung auf den Einzelfall vor, so dass durch die derzeitige Ausgestaltung des im geplanten Abkommen vorgesehenen Rahmens die anlasslose Übermittlung ganzer Datenpakete nicht begrenzt würde. Dieser Umstand gibt im Ergebnis auch Raum für eine Vorratsdatenspeicherung, für die durch das vorgesehene Abkommen schon keine Höchstspeicherfristen festgelegt sind. So bestimmt der Abkommensentwurf derzeit lediglich, dass die Speicherfristen nicht länger als notwendig oder angemessen sein dürfen, vergleiche Artikel 12 Ziffer 1 des Abkommenentwurfs. Eine Ausnahme von der Beschränkung, Datenübermittlungen nur im Einzelfall vornehmen zu können, soll lediglich unter der Voraussetzung möglich sein, dass die Einhaltung europäischer Datenschutzstandards sichergestellt wird, wie sie insbesondere auch im Urteil des Europäischen Gerichtshofs vom 8. April 2014 zur Nichtigkeit der Richtlinie 2006/24/EG zur Vorratsdatenspeicherung niedergelegt wurden.

Zu Ziffer 5.2.:

Die Rechte auf Zugang (Artikel 16) und Berichtigung (Artikel 17) unterliegen nach dem Abkommensentwurf potentiell weiten Ausnahmen; ein Anspruch auf Löschung soll nicht eingeräumt werden müssen, sondern die Löschung soll lediglich eine für die zuständige Behörde mögliche Maßnahme im Fall eines Anspruchs auf Berichtigung bleiben. Darüber hinaus sollte allgemein auch die Rechtmäßigkeit des Verfahrens der Datenverarbeitung einer gerichtlichen Überprüfung unterliegen.

Zu Ziffer 6.:

Es ist zu begrüßen, dass gemäß Artikel 19 Ziffer 1 des Abkommenentwurfs jedem Unionsbürger oder Staatsbürger der USA - nach Erschöpfung des behördlichen Rechtsweges (siehe dazu Artikel 18 des Abkommenentwurfs) gerichtliche Rechtsschutzmöglichkeiten zur Verfügung stehen sollen für den Fall, dass ihnen der Zugang zu den persönlichen Daten oder deren Berichtigung verweigert wird oder diese widerrechtlich offenbart werden. Allerdings ist - da diese Regelung unter dem Vorbehalt der Vereinbarkeit mit dem jeweiligen nationalen Recht steht - sicherzustellen, dass die Rechtsschutzmöglichkeiten völkerrechtlich verbindlich vereinbart werden, da nur so die unter Umständen erforderliche Verpflichtung der Vertragspartner zur Anpassung ihres Bestandes an Rechtsvorschriften erreicht werden kann.

Die Europäische Kommission will daher dem Rat empfehlen, die Unterzeichnung und die Annahme des Abkommens davon abhängig zu machen, dass die USA ihre Rechtslage zunächst durch Annahme des "Judicial Redress Act of 2015" ändert. Dieser am 18. März 2015 zur Änderung des "US Privacy Act of 1974" in den Kongress eingebrachte Gesetzesentwurf sieht unter anderem vor,

dass Bürgerinnen und Bürger bestimmter zugelassener Staaten oder der EU Zivilklagen gegen US-Bundesbehörden erheben können dürfen, sofern die Behörden den Zugang zu persönlichen Daten oder deren Berichtigung verweigern oder diese widerrechtlich (absichtlich oder willentlich) offenbart haben. Der Bundesrat begrüßt dieses Bestreben der Europäischen Kommission.