Vom 12. November 2015
Deutscher Bundestag Drucksache 18/6756
18. Wahlperiode 12.11.2015
Kleine Anfrage
der Abgeordneten Jan Korte, Frank Tempel, Annette Groth, Dr. André Hahn,
Inge Höger, Andrej Hunko, Ulla Jelpke, Katrin Kunert, Harald Petzold (Havelland),
Martina Renner, Dr. Petra Sitte, Halina Wawzyniak und der Fraktion DIE LINKE.
Auswirkungen der Safe Harbor Entscheidung des Europäischen Gerichtshofs
Mit seinem Urteil vom 6. Oktober 2015 hat der Europäische Gerichtshof (EuGH)
die sogenannte Safe-Harbor-Entscheidung der Europäischen Kommission aus
dem Jahre 2000 (2000/520/EG) für ungültig erklärt. Während die darin geregelte
Selbstzertifizierung US-amerikanischer Unternehmen bisher als Grundlage für
Datenübermittlungen in die USA herangezogen wurde, ist dies mit Verkündung
des Urteils nicht mehr zulässig.
In seinem Urteil nimmt der EuGH Bezug auf Mitteilungen der Kommission an
das Europäische Parlament und den Rat vom November 2013, in denen die Kom-
mission diverse Schutzlücken ihrer Safe-Harbor-Entscheidung darstellt. Mit
Blick auf diese gravierenden Schutzlücken macht der EuGH in seinem Urteil
deutlich, dass die Safe-Harbor-Entscheidung ungültig ist, weil sie keine ausrei-
chende Begrenzung der Zugriffe von staatlichen Behörden bewirke. Ebenso fehle
es in der Safe-Harbor-Entscheidung an jeder Feststellung über ausreichende
Rechtsschutzmöglichkeiten für europäische Bürgerinnen und Bürger. Zudem
stellt der EuGH abstrakt fest, dass nationale Regelungen, die es generell gestatten,
auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des
Grundrechts auf Achtung des Privatlebens verletzen.
Das Urteil hat zur Folge, dass Transfers personenbezogener Daten in die USA auf
Grundlage des Safe-Harbor-Abkommens nicht mehr möglich sind. Für Unterneh-
men, die personenbezogene Daten bislang auf dieser Grundlage in die USA über-
mittelt haben, besteht daher akuter Handlungsbedarf, wenn sie sich nicht des per-
manenten Verstoßes gegen die Rechtsgrundsätze des Urteils schuldig machen
wollen.
Ab sofort müssen die Firmen überprüfen, ob von entsprechenden Transfers in die
USA abzusehen ist oder aber der Gebrauch anderer Instrumente, wie EU-Stan-
dardverträge oder Binding Corporate Rules (BCR), in Betracht kommen bzw. an-
gewandt werden müssen. Die Bundesbeauftragte für den Datenschutz und die In-
formationsfreiheit (BfDI), Andrea Voßhoff, fordert als Konsequenz aus dem
EuGH-Urteil zu Safe-Harbor, die jetzt bestehenden Chancen für eine nachhaltige
Stärkung des Datenschutzes für europäische Bürger zu nutzen (vgl. Pressemittei-
lung vom 26. Oktober 2015) und weist ausdrücklich darauf hin, dass die Daten-
schutzaufsichtsbehörden Deutschlands und in Europa sorgfältig prüfen werden,
inwieweit im Lichte der EuGH-Entscheidung zu Safe-Harbor von Standardver-
tragsklauseln und BCR weiterhin Gebrauch gemacht werden kann.
Drucksache 18/6756 – 2 – Deutscher Bundestag – 18. Wahlperiode
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
(HamBfDI), Prof. Dr. Johannes Caspar, kündigte stellvertretend für seine Lan-
deskollegen an, Firmen daraufhin zu kontrollieren, ob sie Daten weiter allein auf
Grundlage des vom EuGH für nichtig erklärten Safe-Harbor-Abkommens in die
USA übermitteln (vgl. www.spiegel.de vom 26. Oktober 2015). Laut „SPIEGEL
ONLINE“ teilte Prof. Dr. Johannes Caspar ferner mit, dass diese Prüfung insbe-
sondere bei den Tochterunternehmen von Safe-Harbor-gelisteten US-Unterneh-
men erfolgen werde. Untersagungsverfügungen könnten sich daran anschließen.
In dem 14 Punkte umfassenden Positionspapier der Datenschutzkonferenz der
Datenschutzbeauftragten des Bundes und der Länder (DSK) vom 26. Okto-
ber 2015 fordern die Datenschützer darüber hinaus u. a. die Bundesregierung auf,
in direkten Verhandlungen mit der US-Regierung auf die Einhaltung eines ange-
messenen Grundrechtsstandards hinsichtlich Privatsphäre und Datenschutz zu
drängen.
Nach § 4b BDSG ist die Übermittlung personenbezogener Daten in sog. Dritt-
staaten (d. h. Staaten, die nicht Mitglied der EU oder Vertragspartei des Europä-
ischen Wirtschaftsraums sind) – abgesehen von den Ausnahmen des § 4c BDSG
– insbesondere nur dann zulässig, wenn bei den jeweiligen Empfängern in den
Drittstaaten ein angemessenes Schutzniveau vorliegt.
Wir fragen die Bundesregierung:
1. Welche Auswirkungen und Konsequenzen hat die Safe-Harbor-Entschei-
dung des EuGH vom 6. Oktober 2015 konkret für die betroffenen Unterneh-
men?
2. Sieht die Bundesregierung insbesondere für kleinere und mittlere Unterneh-
men Probleme aufgrund der EuGH-Entscheidung, und wenn ja, welche sind
dies, und welche Pläne hat sie, diese zu beheben, und welche Kommunikati-
onsinstrumente (Gesprächskreise, Arbeitsgremien, Konferenzen o. Ä.) hat
die Bundesregierung zur Behebung der Probleme mit den betroffenen Unter-
nehmen bzw. ihren Verbänden vorbereitet oder schon eingesetzt?
3. Welche Auswirkungen und Konsequenzen hat die Safe-Harbor-Entschei-
dung des EuGH vom 6. Oktober 2015 konkret für die Kundinnen und Kun-
den betroffener Unternehmen?
4. Sieht die Bundesregierung Probleme für die Kundinnen und Kunden, und
wenn ja, welche sind dies, und welche Pläne hat sie, diese zu beheben?
5. Bestehen im Geschäftsbereich der Bundesregierung Geschäftsbeziehungen
zu US-Unternehmen, die bislang unter die Safe-Harbor-Regelung fielen (von
Stellen im Geschäftsbereich der Bundesregierung genutzte soziale Medien,
Auftragsdatenverarbeitung, data storing, etc.), und wie geht die Bundesre-
gierung nun damit um?
6. Wird die Bundesregierung das EuGH-Urteil zu Safe-Harbor für eine nach-
haltige Stärkung des Datenschutzes für die Bürgerinnen und Bürger der Bun-
desrepublik Deutschland und Europas nutzen, und wenn ja, in welcher Form?
7. Können nach Auffassung der Bundesregierung Datentransfers ohne Schutz-
lücken und Grundrechtseinschränkungen gewährleistet werden, solange die
geheimdienstliche Massenausforschung, die der EuGH als das zentrale Prob-
lem für die Datentransfers identifiziert hat, nicht beendet wurde?
Wenn ja, wie könnte der Grundrechtsschutz gewährleistet werden?
Wenn nein, würde dies nach Meinung der Bundesregierung dann zwangsläu-
fig jegliche Datentransfers in Frage stellen?
Deutscher Bundestag – 18. Wahlperiode – 3 – Drucksache 18/6756
8. Sieht die Bundesregierung die Notwendigkeit, auch die innereuropäischen
Datentransfers im Lichte des Urteils zu überprüfen, da auch EU-Mitglied-
staaten geheimdienstliche Massenausforschung betreiben?
9. Wie soll die Einhaltung der neuen Rechtsgrundlage einerseits bei den rund
5 500 Unternehmen, die sich als Safe-Harbor-Nutzer registriert hatten und
andererseits bei allen anderen Unternehmen, die auf anderer Rechtsgrund-
lage (z. B. Standardvertragsklauseln oder verbindliche Unternehmensrege-
lungen − BCR) transatlantischen Datentransfer betreiben, nach Kenntnis der
Bundesregierung konkret überprüft werden, und hält die Bundesregierung
die Datenschutzbehörden dafür ausreichend finanziell, personell und tech-
nisch ausgestattet?
10. Welche Schlussfolgerungen zieht die Bundesregierung aus dem EuGH-Ur-
teil für die Arbeit und Ausstattung der BfDI?
11. In welcher Form sollen nach Auffassung der Bundesregierung Unternehmen
ihre Verfahren zum Datentransfer datenschutzgerecht gestalten, und an wel-
chen Maßstäben oder Handlungsanleitungen sowie gesetzlichen Grundlagen
können und sollen sich die betroffenen Unternehmen dabei orientieren?
12. Kann nach Meinung der Bundesregierung eine formale Einwilligung zum
Transfer personenbezogener Daten eine tragfähige Grundlage für eine Neu-
regelung des transatlantischen Datentransfers sein, und wenn ja, unter wel-
chen Bedingungen und wie ausgestaltet könnte die Bundesregierung sich
eine solche Regelung vorstellen, welche Arten personenbezogener Daten
wären davon betroffen, und wie könnte verhindert werden, dass der Daten-
transfer im Einzelfall einer Einwilligungsregelung nicht wiederholt, massen-
haft oder routinemäßig erfolgt?
Wenn nein, warum nicht?
13. Teilt die Bundesregierung die Argumentation von US-Unternehmen, die
zum Teil bereits vor dem EuGH-Urteil Tochtergesellschaften in EU-Staaten,
vorwiegend in Irland, gegründet haben (z. B. Google Ireland Ltd), dass die
von ihnen erhobenen personenbezogenen Daten nur auf Servern in der EU
gespeichert würden und daher vor dem Zugriff US-amerikanischer Sicher-
heitsbehörden sicher seien vor dem Hintergrund, dass im Mai 2014 die
Microsoft Corporation von einem New Yorker Bezirksgericht zur Heraus-
gabe aller außerhalb den USA gespeicherter Daten verpflichtet wurde, da-
runter insbesondere auch diejenigen Daten, die in einem in Irland befindli-
chen Rechenzentrum gespeichert waren und welches von einer Tochterge-
sellschaft der Microsoft Corporation betrieben wird?
14. Teilt die Bundesregierung die Auffassung, dass bei einer letztinstanzlichen
Bestätigung des in Frage 13 angesprochenen Urteils, eine hiesigen Standards
entsprechende Regelung nicht mehr möglich wäre, weil Daten grundsätzlich
an US-Muttergesellschaften übertragbar und damit dortigen Standards unter-
worfen wären?
15. Welchen Drittländern hat die Europäische Kommission verbindlich für alle
EU-Mitgliedstaaten ein angemessenes Schutzniveau attestiert, und auf
Grundlage welcher Informationen erfolgte dies jeweils zu welchem Zeit-
punkt, und hat sie diese Regelungen im Lichte des EuGH-Urteils überprüft,
bzw. plant sie nach Kenntnis der Bundesregierung eine solche Überprüfung?
16. Plant die Bundesregierung eine Gesetzesinitiative, um dem Urteil des EuGH
folgend, den Datenschutzbehörden ein Klagerecht einzuräumen?
Drucksache 18/6756 – 4 – Deutscher Bundestag – 18. Wahlperiode
17. Teilt die Bundesregierung die Ansicht, dass im Lichte des Urteils des EuGH
auch die Zulässigkeit der Datentransfers in die USA auf der Grundlage der
anderen hierfür eingesetzten Instrumente, etwa Standardvertragsklauseln
und verbindliche Unternehmensregelungen (BCR), in Frage gestellt sei, und
wenn ja, welche Konsequenzen zieht sie daraus?
Wenn nein, warum nicht?
18. Wird sich die Bundesregierung dafür einsetzen, dass die Entscheidungen zu
den Standardvertragsklauseln zeitnah an die in dem EuGH-Urteil gemachten
Vorgaben angepasst werden, und wenn ja in welcher Form?
Wenn nein, warum nicht?
19. Welche Auswirkungen hat das Urteil des EuGH auf die Ausgestaltung der
europäischen Datenschutzgrundverordnung (DSGV) und welche Initiativen
hat die Bundesregierung unternommen, um die bisherigen Regelungen an die
Festlegungen des Urteils anzupassen?
20. Welche Konsequenzen ergeben sich aus dem Urteil für die Verhandlungen
über die DSGV, hinsichtlich von Standardvertragsklauseln und verbindli-
chen Unternehmensregelungen (BCR), die bislang ebenfalls als Instrumente
des Datenschutzes in der DSGV vorgesehen sein sollen?
21. Müssten nach Ansicht der Bundesregierung Verhandlungen über ein neues
Safe-Harbor-Abkommen bis zur Verabschiedung der Datenschutzgrundver-
ordnung suspendiert werden, um zu verhindern, dass durch die in der Daten-
schutzgrundverordnung vorgesehene Schutzklausel für bereits bestehende
Datenübereinkünfte mit Drittländern (Artikel 89a des VO-Entwurfs) zu-
gleich das dort festgelegte Schutzniveau unterlaufen wird?
22. Wie ist nach Kenntnis der Bundesregierung der Verhandlungsstand eines
Rahmenabkommens zwischen der EU und den USA für den Datenschutz, in
dem auch der Datenaustausch zu Strafverfolgungszwecken und der Gefah-
renabwehr Gegenstand ist?
23. Liegt der Entwurf des Rahmenabkommens vor, wann wird er in welcher
Form veröffentlicht werden, respektive warum ist eine Veröffentlichung bis-
lang nicht erfolgt und nicht in Planung?
24. Wird sich die Bundesregierung dafür einsetzen, dass die Kommission in ih-
ren Verhandlungen mit den USA auf die Schaffung ausreichend weitreichen-
der Garantien zum Schutz der Privatsphäre drängt, und wie lassen sich die
Eckpunkte der Verhandlungsposition der Bundesregierung beschreiben?
25. Wird die Bundesregierung in solchen direkten Verhandlungen mit der US-
Regierung ebenfalls auf die Einhaltung eines angemessenen Grundrechts-
standards hinsichtlich Privatsphäre und Datenschutz drängen, und wenn ja,
wann genau und in welcher Form?
Wenn nein, warum nicht?
26. Teilt die Bundesregierung die Meinung der für Justiz und Verbraucherschutz
zuständigen EU-Kommissarin Vĕra Jourová, wonach die vom EuGH festge-
stellte Grundrechtswidrigkeit des Safe-Harbour-Abkommens keinen Ein-
fluss auf die anderen Abkommen zum Datenaustausch mit US-Behörden
habe und daher Bank- und Passagierdaten europäischer Bürger auch weiter-
hin an die US-Behörden übermittelt werden dürften (vgl. Aussprache im In-
nenausschuss des EU-Parlaments am 26. Oktober 2015), und wenn ja, wa-
rum?
Deutscher Bundestag – 18. Wahlperiode – 5 – Drucksache 18/6756
Wenn nein, wird sie sich auf europäischer Ebene für ein Aussetzen der Über-
mittlungen von Bank- und Fluggastdaten einsetzen, und welche weiteren Re-
gelungen zum Datentransfer in die USA gedenkt sie, in eine solche Prüfung
einzubeziehen?
27. Welche Konsequenzen hat das Urteil nach Ansicht der Bundesregierung hin-
sichtlich der Datenübermittlung in die USA zur Abwicklung des internatio-
nalen Datenverkehrs (SWIFT) und zur Übermittlung von Flugpassagierda-
ten, bei denen jeweils eine streng zweckgebundene Verarbeitung der Daten
durch die US-Seite nicht sichergestellt werden kann (bitte ausführen)?
28. Welche konkreten Konsequenzen hat das Urteil des EuGH zum Schutz eu-
ropäischer Daten auf die Verhandlungen über die geplante Transatlantische
Handels- und Investitionspartnerschaft zwischen der Europäischen Union
und den USA (TTIP), und wie könnte nach Meinung der Bundesregierung
rein praktisch verhindert werden, dass das Freihandelsabkommen Auswir-
kungen auf den Datenschutz in der EU und in Deutschland hat?
29. Hat das Safe-Harbor-Urteil des EuGH aus Sicht der Bundesregierung Aus-
wirkungen auf das geplante Handelsabkommen zwischen der Europäischen
Union und Kanada (CETA), insbesondere vor dem Hintergrund, dass Kanada
als Mitglied der „Five Eyes“-Geheimdienstallianz zu einem umfassenden
Datenaustausch mit den US-Geheimdiensten verpflichtet ist, und wie könnte
nach Meinung der Bundesregierung rein praktisch verhindert werden, dass
das Freihandelsabkommen Auswirkungen auf den Datenschutz in der EU
und in Deutschland hat?
30. Wie können nach Ansicht der Bundesregierung Vereinbarungen zum Daten-
schutz zwischen der Bundesrepublik Deutschland und den Vereinigten Staa-
ten überhaupt aussehen, wenn das Verfassungsrecht der USA kein Recht auf
privacy kennt und die amerikanischen Verhandlungspartner demzufolge ei-
nen solchen Rechtsanspruch für nicht gewährbar halten?
Berlin, den 11. November 2015
Dr. Sahra Wagenknecht, Dr. Dietmar Bartsch und Fraktion
Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com
Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de
anzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de