Skip to content

EU-Kommission: EU-US Data Privacy Framework - Angemessenheitsbeschluss für sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA

Die EU-Kommission hat einen neuen Angemessenheitsbeschluss für den sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA erlassen (EU-US Data Privacy Framework).

Die Pressemitteilung der EU-Kommission:
Datenschutz: Europäische Kommission erlässt neuen Angemessenheitsbeschluss für einen sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA

Die Europäische Kommission hat heute ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. In dem Beschluss wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten sicher aus der EU an US-Unternehmen übermittelt werden, die am Rahmen teilnehmen, ohne dass zusätzliche Datenschutzgarantien eingeführt werden müssen.

Mit dem Datenschutzrahmen EU-USA werden neue verbindliche Garantien eingeführt, um allen vom Europäischen Gerichtshof geäußerten Bedenken Rechnung zu tragen; so ist vorgesehen, dass der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt ist und ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) geschaffen wird, zu dem Einzelpersonen in der EU Zugang haben. Der neue Rahmen bringt erhebliche Verbesserungen gegenüber dem im Rahmen des Datenschutzschilds bestehenden Mechanismus mit sich. Stellt das Gericht zur Datenschutzüberprüfung beispielsweise fest, dass bei der Datenerhebung gegen die neuen Garantien verstoßen wurde, kann es die Löschung der Daten anordnen. Die neuen Garantien im Bereich des staatlichen Zugriffs auf Daten werden die Pflichten ergänzen, denen US-Unternehmen, die Daten aus der EU einführen, nachkommen müssen.

Präsidentin Ursula von der Leyen erklärte: „Der neue Datenschutzrahmen EU-USA wird einen sicheren Datenverkehr für die Europäerinnen und Europäer gewährleisten und den Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Nach der grundsätzlichen Einigung, die ich im vergangenen Jahr mit Präsident Biden erzielt habe, haben die USA beispiellose Zusagen zur Schaffung des neuen Rahmens gemacht. Heute kommen wir einen wichtigen Schritt dabei voran, den Bürgerinnen und Bürgern Vertrauen in die Sicherheit ihrer Daten zu geben, unsere wirtschaftlichen Beziehungen zwischen der EU und den USA zu vertiefen und gleichzeitig unsere gemeinsamen Werte zu stärken. Der Rahmen zeigt, dass wir durch Zusammenarbeit die komplexesten Fragen angehen können.“

US-Unternehmen können sich dem Datenschutzrahmen EU-USA anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten, darunter beispielsweise die Pflichten, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.

Den EU-Bürgerinnen und -Bürgern werden mehrere Rechtsbehelfe offen stehen, falls ihre Daten von US-Unternehmen nicht ordnungsgemäß behandelt werden. Dazu gehören kostenlose unabhängige Streitbeilegungsmechanismen und eine Schiedsstelle.

Darüber hinaus sieht der US-Rechtsrahmen bestimmte Garantien in Bezug auf den Zugang von US-Behörden zu innerhalb des Rahmens übermittelten Daten vor, insbesondere für Datenzugriffe zum Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu Daten ist auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt.

Einzelpersonen in der EU werden im Zusammenhang mit der Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren zurückgreifen können, das auch die Befassung eines neu geschaffenen Gerichts zur Datenschutzüberprüfung einschließt. Dieses Gericht soll etwaige Beschwerden unabhängig untersuchen und beilegen, unter anderem durch die Anordnung verbindlicher Abhilfemaßnahmen.

Die von den Vereinigten Staaten eingeführten Garantien werden zudem den transatlantischen Datenverkehr generell erleichtern, da sie auch für die Übermittlung von Daten unter Verwendung anderer Instrumente wie Standardvertragsklauseln und verbindliche unternehmensinterne Vorschriften gelten.

Nächste Schritte

Die Funktionsweise des Datenschutzrahmens EU-USA soll regelmäßig gemeinsam von der Europäischen Kommission und Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden überprüft werden.

Die erste Überprüfung soll binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses erfolgen, um zu ermitteln, ob alle einschlägigen Elemente vollständig im US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.

Hintergrund

Gemäß Artikel 45 Absatz 3 der Datenschutzgrundverordnung (DSGVO) kann die Kommission im Wege eines Durchführungsrechtsakts beschließen, dass ein Drittland ein „angemessenes Schutzniveau“ bietet, das heißt einen Schutz personenbezogener Daten, der dem in der EU gebotenen Schutz der Sache nach gleichwertig ist. Angemessenheitsbeschlüsse haben zur Folge, dass personenbezogene Daten aus der EU (sowie aus Norwegen, Liechtenstein und Island) in ein Drittland übermittelt werden können, ohne dass es weiterer Schutzmaßnahmen bedarf.

Nachdem der Gerichtshof der Europäischen Union den vorherigen Angemessenheitsbeschluss zum Datenschutzschild EU-USA für ungültig erklärt hatte, nahmen die Europäische Kommission und die US-Regierung Gespräche über einen neuen Rahmen auf, in dem die vom Gerichtshof erhobenen Bedenken angegangen wurden.

Im März 2022 gaben Präsidentin von der Leyen und Präsident Biden bekannt, dass sie im Anschluss an die Verhandlungen zwischen Kommissionsmitglied Reynders und US-Handelsministerin Raimondo eine grundsätzliche Einigung über einen neuen transatlantischen Rahmen für den Datenverkehr erzielt haben. Im Oktober 2022 unterzeichnete Präsident Biden ein einschlägiges Dekret („Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“), das durch Verordnungen des US-Generalstaatsanwalts Garland ergänzt wurde. Mit diesen beiden Instrumenten wurden die von den Vereinigten Staaten im Rahmen dieser grundsätzlichen Einigung eingegangenen Verpflichtungen in US-amerikanisches Recht umgesetzt und die Pflichten der US-amerikanischen Unternehmen innerhalb des Datenschutzrahmens EU‑USA ergänzt.

Ein wesentliches Element des US-Rechtsrahmens, in dem diese Garantien verankert sind, ist das US-Dekret zur Verbesserung der Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten der Vereinigten Staaten im Bereich Fernmelde- und elektronische Aufklärung („Enhancing Safeguards for United States Signals Intelligence Activities“), in dem die vom Gerichtshof der Europäischen Union im „Schrems II“-Urteil vom Juli 2020 angeführten Kritikpunkte aufgegriffen werden.

Der Rahmen wird vom US-Handelsministerium verwaltet und überwacht. Die US-amerikanische Federal Trade Commission wird die Einhaltung der Vorschriften durch US-Unternehmen durchsetzen.


Den Angemessenheitsbeschluss finden Sie hier:

EU-Kommission: Draft Adequacy decision for the EU-US Data Privacy Framework - Entwurf Angemessenheitsbeschluss für Datenübermittlung in die USA

Die EU-Kommission hat einen Entwurf des Angemessenheitsbeschluss für Datenübermittlung in die USA (Draft Adequacy decision for the EU-US Data Privacy Framework) vorgelegt.


EU-Kommission und USA haben sich auf Trans-Atlantic Data Privacy Framework verständigt - Privacy-Shield-Nachfolger

EU-Kommission und USA haben sich auf ein neues Trans-Atlantic Data Privacy Framework verständigt, welches die Nachfolge des des EU-US-Privacy-Shield antreten soll (dazu: EuGH: EU-US Privacy Shield genügt nicht den Vorgaben der DSGVO und ist ungültig).

Die Pressemitteilung der EU-Kommission:

The European Commission and the United States announce that they have agreed in principle on a new Trans-Atlantic Data Privacy Framework, which will foster trans-Atlantic data flows and address the concerns raised by the Court of Justice of the European Union in the Schrems II decision of July 2020.

The new Framework marks an unprecedented commitment on the U.S. side to implement reforms that will strengthen the privacy and civil liberties protections applicable to U.S. signals intelligence activities. Under the Trans-Atlantic Data Privacy Framework, the United States is to put in place new safeguards to ensure that signals surveillance activities are necessary and proportionate in the pursuit of defined national security objectives, establish a two-level independent redress mechanism with binding authority to direct remedial measures, and enhance rigorous and layered oversight of signals intelligence activities to ensure compliance with limitations on surveillance activities.

The Trans-Atlantic Data Privacy Framework reflects more than a year of detailed negotiations between the U.S. and E.U. led by Secretary of Commerce Gina Raimondo and Commissioner for Justice Didier Reynders. It will provide a durable basis for trans-Atlantic data flows, which are critical to protecting citizens' rights and enabling trans-Atlantic commerce in all sectors of the economy, including for small and medium enterprises. By advancing cross-border data flows, the new framework will promote an inclusive digital economy in which all people can participate and in which companies of all sizes from all of our countries can thrive.

The announcement is another demonstration of the strength of the U.S.-EU relationship, in that we continue to deepen our partnership as a community of democracies to ensure both security and respect for privacy and to enable economic opportunities for our companies and citizens. The new Framework will facilitate further U.S.-EU cooperation, including through the Trade and Technology Council and through multilateral fora, such as the Organisation for Economic Cooperation and Development, on digital policies.

The teams of the U.S. Government and the European Commission will now continue their cooperation with a view to translate this arrangement into legal documents that will need to be adopted on both sides to put in place this new Trans-Atlantic Data Privacy Framework. For that purpose, these U.S. commitments will be included in an Executive Order that will form the basis of the Commission's assessment in its future adequacy decision.


Fact Sheet:

The European Commission and the United States reached an agreement in principle for a Trans-Atlantic Data Privacy Framework.

Key principles
• Based on the new framework, data will be able to flow freely and safely between the EU and participating U.S. companies

• A new set of rules and binding safeguards to limit access to data by U.S. intelligence authorities to what is necessary and proportionate to protect national security; U.S. intelligence agencies will adopt procedures to ensure effective oversight of new privacy and civil liberties standards

• A new two-tier redress system to investigate and resolve complaints of Europeans on access of data by U.S. Intelligence authorities, which includes a Data Protection Review Court

• Strong obligations for companies processing data transferred from the EU, which will continue to include the requirement to self-certify their adherence to the Principles through the U.S. Department of Commerce

• Specific monitoring and review mechanisms

Benefits of the deal

• Adequate protection of Europeans’ data transferred to the US, addressing the ruling of the European Court of Justice (Schrems II)

• Safe and secure data flows

• Durable and reliable legal basis

• Competitive digital economy and economic cooperation

• Continued data flows underpinning €900 billion in cross-border commerce every year

Next steps: The agreement in principle will now be translated into legal documents. The U.S.
commitments will be included in an Executive Order that will form the basis of a draft adequacy
decision by the Commission to put in place the new Trans-Atlantic Data Privacy Framework.



EU-Kommission: Angemessenheitsbeschlüsse zur Übermittlung personenbezogener Daten nach der DSGVO in das Vereinigte Königreich und zum Datenschutz bei der Strafverfolgung

Die EU-Kommission hat die Angemessenheitsbeschlüsse zur Übermittlung personenbezogener Daten nach der DSGVO in das Vereinigte Königreich und zum Datenschutz bei der Strafverfolgung angenommen:

Durchführungsbeschluss zur Angemessenheit des Schutzes personenbezogener Daten durch das Vereinigte Königreich – Datenschutz-Grundverordnung

Durchführungsbeschluss zur Angemessenheit des Schutzes personenbezogener Daten durch das Vereinigte Königreich – Polizeirichtlinie

Die Pressemitteilung der EU-Kommission:

Datenschutz: Kommission nimmt Angemessenheitsbeschlüsse zum Vereinigten Königreich an

Die Kommission hat heute zwei Angemessenheitsbeschlüsse zum Vereinigten Königreich angenommen - einen im Rahmen der Datenschutzgrundverordnung (DSGVO) und einen im Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung. Beide Beschlüsse treten heute in Kraft. Personenbezogene Daten können nun ungehindert aus der Europäischen Union in das Vereinigte Königreich fließen, wo für sie dort ein Schutzniveau gilt, das dem nach dem EU-Recht garantierten Schutzniveau der Sache nach gleichwertig ist Die beiden Angemessenheitsbeschlüsse erleichtern zudem die ordnungsgemäße Umsetzung des Handels- und Kooperationsabkommens zwischen der EU und dem Vereinigten Königreich, welches den Austausch personenbezogener Daten (beispielsweise im Rahmen der justiziellen Zusammenarbeit) vorsieht. Datenübermittlungen für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle sind vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschlusses ausgenommen. Beide Angemessenheitsbeschlüsse enthalten starke Garantien für den Fall etwaiger künftiger Abweichungen, darunter eine Verfallsklausel, durch die ihre jeweilige Geltungsdauer auf vier Jahre begrenzt wird.

Věra Jourová (Vizepräsidentin für Werte und Transparenz) erklärte dazu: „Das Vereinigte Königreich ist zwar aus der EU ausgetreten, aber seine rechtlichen Bestimmungen zum Schutz personenbezogener Daten sind noch die alten. Aus diesem Grund haben wir heute diese beiden Angemessenheitsbeschlüsse angenommen. Zugleich haben wir die Bedenken, die vom Parlament, von den Mitgliedstaaten und vom Europäischen Datenschutzausschuss unter anderem hinsichtlich möglicher künftiger Abweichungen von unseren Standards im Datenschutzrahmen des Vereinigten Königreichs geäußert worden sind, sehr aufmerksam zur Kenntnis genommen. Es geht hier um ein Grundrecht der EU-Bürgerinnen und -Bürger, das wir schützen müssen. Aus diesem Grund haben wir umfangreiche Garantien vorgesehen, und falls sich auf Seiten des Vereinigten Königreichs die Gegebenheiten ändern, werden wir sofort eingreifen.“

Didier Reynders (Kommissar für Justiz) fügte hinzu: „Nach monatelanger sorgfältiger Prüfung können wir den EU-Bürgerinnen und -Bürgern heute die Gewissheit geben, dass ihre personenbezogenen Daten bei Übermittlungen in das Vereinigte Königreich geschützt sind. Dies ist ein wesentlicher Bestandteil unserer neuen Beziehungen zum Vereinigten Königreich. Er ist wichtig für einen reibungslosen Handel und eine wirksame Kriminalitätsbekämpfung. Die Kommission wird eng verfolgen, wie sich das System des Vereinigten Königreichs künftig entwickelt. Um dies zu ermöglichen und gegebenenfalls eingreifen zu können, haben wir unsere Beschlüsse verstärkt. Die EU hat die höchsten Standards auf dem Gebiet des Schutzes personenbezogener Daten, und diese dürfen nicht beeinträchtigt werden, wenn personenbezogene Daten ins Ausland übermittelt werden.“

Wichtigste Elemente der Angemessenheitsbeschlüsse

Das Datenschutzsystem des Vereinigten Königreichs basiert weiterhin auf denselben Regeln, die galten, als das Vereinigte Königreich noch Mitgliedstaat der EU war. Das Vereinigte Königreich hat die Grundsätze, Rechte und Pflichten der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung vollumfänglich in sein heutiges, seit dem Brexit geltendes Rechtssystem übernommen.
In Bezug auf den Zugriff auf personenbezogene Daten durch Behörden im Vereinigten Königreich (insbesondere aus Gründen der nationalen Sicherheit) sieht das System des Vereinigten Königreichs starke Garantien vor. Insbesondere die Datenerhebungen durch Nachrichtendienste unterliegen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan. Alle Maßnahmen müssen notwendig und im Hinblick auf das verfolgte Ziel verhältnismäßig sein. Wer sich unrechtmäßiger Überwachungsmaßnahmen ausgesetzt sieht, kann Klage beim Investigatory Powers Tribunal (Gericht für Ermittlungsbefugnisse) einreichen. Das Vereinigte Königreich unterliegt zudem der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention und dem Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, dem einzigen verbindlichen internationalen Übereinkommen auf dem Gebiet des Datenschutzes. Diese völkerrechtlichen Verpflichtungen sind ein wesentlicher Bestandteil des in den beiden Angemessenheitsbeschlüssen bewerteten Rechtsrahmens.
Die Angemessenheitsbeschlüsse enthalten erstmals eine Verfallsklausel, durch die ihre Geltungsdauer strikt begrenzt wird: Beide Beschlüsse laufen vier Jahre nach ihrem Inkrafttreten aus. Danach könnten sie erneuert werden, falls das Vereinigte Königreich weiterhin ein angemessenes Datenschutzniveau sicherstellt. Während dieser vier Jahre wird die Kommission die Rechtslage im Vereinigten Königreich weiterhin im Blick behalten und jederzeit eingreifen können, falls das Vereinigte Königreich von dem derzeit bestehenden Datenschutzniveau abweicht. Sollte die Kommission beschließen, die Angemessenheitsbeschlüsse zu erneuern, würde der Annahmeprozess erneut eingeleitet.
Datenübermittlungen für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle sind vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschlusses ausgenommen, um einer unlängst ergangenen Entscheidung des Berufungsgerichts von England und Wales über die Gültigkeit und die Auslegung bestimmter Einschränkungen der Datenschutzrechte in diesem Bereich Rechnung zu tragen. Sobald diese Situation nach dem Recht des Vereinigten Königreichs geklärt ist, wird die Kommission die Notwendigkeit dieses Ausschlusses neu prüfen.
Hintergrund

Die Kommission hat am 19. Februar zwei Entwürfe von Angemessenheitsbeschlüssen veröffentlicht und das Verfahren zu ihrer Annahme eingeleitet. In den vergangenen Monaten hat die Kommission die Rechtsvorschriften und die Praktiken des Vereinigten Königreichs auf dem Gebiet des Schutzes personenbezogener Daten einschließlich der Bestimmungen über den Datenzugriff von Behörden im Vereinigten Königreich gründlich bewertet. Die Kommission stand in engem Kontakt mit dem Europäischen Datenschutzausschuss, der seine einschlägige Stellungnahme am 13. April abgegeben hat, mit dem Europäischen Parlament und mit den Mitgliedstaaten. Nach dieser gründlichen Prüfung holte die Europäische Kommission im Rahmen des sogenannten Ausschussverfahrens die Zustimmung der Vertreter der Mitgliedstaaten zu den beiden Angemessenheitsbeschlüssen ein. Die heute erfolgte, an die Zustimmung der Vertreter der Mitgliedstaaten anschließende Annahme der Beschlüsse war der letzte Schritt dieses Verfahrens. Die beiden Angemessenheitsbeschlüsse treten heute in Kraft.

Das Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich enthält eine Selbstverpflichtung der EU und des Vereinigten Königreichs zur Aufrechterhaltung hoher Datenschutzstandards. Das Abkommen sieht zudem vor, dass jede im Zuge seiner Umsetzung durchzuführende Datenübermittlung im Einklang mit den maßgeblichen Datenschutzvorschriften der übermittelnden Vertragspartei (im Falle der EU sind dies die DSGVO und die Richtlinie zum Datenschutz bei der Strafverfolgung) stehen müssen. Die Annahme der beiden einseitigen und eigenständigen Angemessenheitsbeschlüsse ist eine wichtige Maßnahme zur Sicherstellung der ordnungsgemäßen Anwendung und des reibungslosen Funktionierens des Abkommens. Das Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich sieht ferner eine bedingte Übergangsregelung vor, in deren Rahmen Daten ungehindert aus der EU in das Vereinigte Königreich übermittelt werden können. Der Übergangszeitraum endet am 30. Juni 2021.



EU-Kommission: Neue Standardvertragsklauseln für Übermittlung personenbezogener Daten an Drittländer und zwischen Verantwortlichen und Auftragsverarbeitern angenommen - scc

Die EU-Kommission hat die neuen Standardvertragsklauseln angenommen. Ob diese den strengen rechtliche Anforderungen genügen, ist nach wie vor sehr fraglich.

DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679

Anhang des DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679

DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28(7) DS-GVO und Artikel 29(7) der Verordnung (EU) 2018/1725

Anhang des DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 (7) DS-GVO und Artikel 29(7) der Verordnung (EU) 2018/1725

Die Pressemitteilung des EU-Kommission:

European Commission adopts new tools for safe exchanges of personal data

Today, the European Commission adopted two sets of standard contractual clauses, one for use between controllers and processors and one for the transfer of personal data to third countries. They reflect new requirements under the General Data Protection Regulation (GDPR) and take into account the Schrems II judgement of the Court of Justice, ensuring a high level of data protection for citizens. These new tools will offer more legal predictability to European businesses and help, in particular, SMEs to ensure compliance with requirements for safe data transfers, while allowing data to move freely across borders, without legal barriers.

The new standard contractual clauses take into account the joint opinion of the European Data Protection Board and the European Data Protection Supervisor, feedback from stakeholders during a broad public consultation and the opinion of Member States' representatives.

Vice-President for Values and Transparency, Vera Jourová said: “In Europe, we want to remain open and allow data to flow, provided that the protection flows with it. The modernised Standard Contractual Clauses will help to achieve this objective: they offer businesses a useful tool to ensure they comply with data protection laws, both for their activities within the EU and for international transfers. This is a needed solution in the interconnected digital world where transferring data takes a click or two.”

Commissioner for Justice, Didier Reynders, said: “In our modern digital world, it is important that data can be shared with the necessary protection - inside and outside the EU. With these reinforced clauses, we are giving more safety and legal certainty to companies for data transfers. After the Schrems II ruling, it was our duty and priority to come up with user-friendly tools, which companies can fully rely on. This package will significantly help companies to comply with the GDPR.”

Main Innovations

The standard contractual clauses published today reflect new requirements under the General Data Protection Regulation and address the realities faced by modern business. Thanks to their standardisation and pre-approval, the SCCs provide companies with an easy-to-implement template. Companies know that when they use this template they meet data protection requirements.

Main innovations of the new standard contractual clauses:

Update in line with the General Data Protection Regulation (GDPR);

One single entry-point covering a broad range of transfer scenarios, instead of separate sets of clauses;
More flexibility for complex processing chains, through a ‘modular approach' and by offering the possibility for more than two parties to join and use the clauses;
Practical toolbox to comply with the Schrems II judgment; i.e. an overview of the different steps companies have to take to comply with the Schrems II judgment as well as examples of possible ‘supplementary measures', such as encryption, that companies may take if necessary
For controllers and processors that are currently using previous sets of standard contractual clauses, a transition period of 18 months is provided.

These standard contractual clauses are adopted at a moment where a number of regional organisations and third countries are developing or have issued their own standard contractual clauses on the basis of converging principles. The Commission will intensify its cooperation with these international partners to further facilitate data transfers between different regions of the world.

Background

The General Data Protection Regulation (GDPR) entered into force on 24 May 2016 and became applicable on 25 May 2018. The standard contractual clauses are standardised and pre-approved model data protection clauses that can be incorporated into contractual arrangements on a voluntary basis, providing an easy-to-implement tool to comply with data protection requirements.

The Commission can adopt standard contractual clauses for the relationship between controllers and processors, as a tool to help to demonstrate compliance with the GDPR. In addition, the Commission can adopt standard contractual clauses providing data protection safeguards for data to be transferred internationally.

On July 16, 2020, the Court of Justice confirmed the validity of the EU Standard Contractual Clauses for the transfer of personal data to processors outside the EU/EEA ("SCCs"), while invalidating the EU–U.S. Privacy Shield. Thus, the Court has ruled that international data flows under the European Union's comprehensive data protection regime, the General Data Protection Regulation (GDPR), can continue to be based on EU Standard Contractual Clauses, while also further clarifying the conditions under which they can be used.


EU-Kommission veröffentlicht Entwurf neuer Standardvertragsklauseln für den Transfer personenbezogener Daten in Drittländer - standard contractual clauses - scc

Die EU-Kommission hat einen Entwurf neuer Standardvertragsklauseln für den Transfer personenbezogener Daten in Drittländer veröffentlicht:

Entwurf - Standardvertragsklauseln - standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council

Entwurf - Dazugehörige Entscheidung der EU-Kommission


EuGH: EU-US Privacy Shield genügt nicht den Vorgaben der DSGVO und ist ungültig - Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln hingegen gültig

EuGH
Urteil vom 16.07.2020
C-311/18
Data Protection Commissioner / Maximillian Schrems und Facebook Ireland


Der EuGH hat entschieden, dass der EU-US Privacy Shield (Datenschutzschild) nicht den Vorhaben der DSGVO genügt und damit ungültig ist. Der Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln ist hingegen gültig

Die Pressemitteilung des EuGH

Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig

Der Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist hingegen gültig

Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Datengrundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Nach dieser Verordnung kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften
oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet . Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u. a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame
Rechtsbehelfe verfügen . Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen.

Herr Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, ist seit 2008 Nutzer von Facebook. Wie bei allen anderen im Unionsgebiet wohnhaften Nutzern werden seine personenbezogenen Daten ganz oder teilweise von Facebook Ireland an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Herr Schrems legte bei der irischen Aufsichtsbehörde eine Beschwerde ein, die im Wesentlichen darauf abzielte, diese Übermittlungen verbieten zu lassen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten. Seine Beschwerde wurde u. a. mit der Begründung zurückgewiesen, die Kommission habe in ihrer Entscheidung 2000/5205 (sogenannte „Safe-Harbour Entscheidung“) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten. Mit Urteil vom 6. Oktober 2015 erklärte der Gerichtshof auf ein Vorabentscheidungsersuchen des irischen High Court hin diese Entscheidung für ungültig (im Folgenden: Urteil Schrems I).

Nachdem das Urteil Schrems I ergangen war und der irische High Court daraufhin die Entscheidung, mit der die Beschwerde von Herrn Schrems zurückgewiesen worden war, aufgehoben hatte, forderte die irische Aufsichtsbehörde Herrn Schrems auf, seine Beschwerde unter Berücksichtigung der Ungültigerklärung der Safe-Harbour-Entscheidung durch den Gerichtshof umzuformulieren. Mit seiner umformulierten Beschwerde macht Herr Schrems geltend, dass die Vereinigten Staaten keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisteten. Er beantragt, die von Facebook Ireland nunmehr auf der Grundlage der Standardschutzklauseln im Anhang des Beschlusses 2010/877 vorgenommene Übermittlung seiner personenbezogenen Daten aus der Union in die Vereinigten Staaten für die Zukunft auszusetzen oder zu verbieten. Die irische Aufsichtsbehörde war der Auffassung, dass die Bearbeitung der Beschwerde von Herrn Schrems insbesondere von der Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln abhänge, und strengte daher ein Verfahren vor dem High Court an, damit er den Gerichtshof mit einem Vorabentscheidungsersuchen befassen möge. Nachdem dieses Verfahren eingeleitet worden war, erließ die Kommission den Beschluss (EU) 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes.

Mit seinem Vorabentscheidungsersuchen fragt der irische High Court den Gerichtshof nach der Anwendbarkeit der DSGVO auf Übermittlungen personenbezogener Daten, die auf die Standardschutzklauseln im Beschluss 2010/87 gestützt werden, sowie nach dem Schutzniveau, das diese Verordnung im Rahmen einer solchen Übermittlung verlangt, und den Pflichten, die den
Aufsichtsbehörden in diesem Zusammenhang obliegen. Des Weiteren wirft der High Court die Frage der Gültigkeit sowohl des Beschlusses 2010/87 über Standardvertragsklauseln als auch des Privacy Shield-Beschlusses 2016/1250 auf.

Mit seinem heute verkündeten Urteil stellt der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte. Den Privacy Shield-Beschluss 2016/1250 erklärt er hingegen für ungültig. Der Gerichtshof führt zunächst aus, dass das Unionsrecht, insbesondere die DSGVO, auf eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer Anwendung findet, auch wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.

Eine derartige Datenverarbeitung durch die Behörden eines Drittlands kann nicht dazu führen, dass eine solche Übermittlung vom Anwendungsbereich der DSGVO ausgenommen wäre. In Bezug auf das im Rahmen einer solchen Übermittlung erforderliche Schutzniveau entscheidet der Gerichtshof, dass die insoweit in der DSGVO vorgesehenen Anforderungen, die sich auf geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe beziehen, dahin auszulegen sind, dass die Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen müssen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf
die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes.

Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, befindet der Gerichtshof, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten
Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet. Sodann prüft der Gerichtshof die Gültigkeit des Beschlusses 2010/87 über
Standardvertragsklauseln. Er sieht sie nicht schon dadurch in Frage gestellt, dass die in diesem Beschluss enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Vielmehr hängt sie davon ab, ob der Beschluss wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof stellt fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht. Insoweit hebt er insbesondere hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.

Schließlich prüft der Gerichtshof die Gültigkeit des Privacy-Shield-Beschlusses 2016/1250 anhand der Anforderungen der DSGVO im Licht der Bestimmungen der Charta, die die Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Rechtsschutz verbürgen. Insoweit stellt er fest, dass in diesem Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit,
des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im PrivacyShield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der
Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. Gestützt auf die Feststellungen in diesem Beschluss weist der Gerichtshof darauf hin, dass die betreffenden Vorschriften hinsichtlich
bestimmter Überwachungsprogramme in keiner Weise erkennen lassen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen; genauso wenig ist ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, Garantien existieren. Der Gerichtshof fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.

In Bezug auf das Erfordernis des gerichtlichen Rechtsschutzes befindet der Gerichtshof, dass der im Privacy-Shield-Beschluss 2016/1250 angeführte Ombudsmechanismus entgegen den darin von der Kommission getroffenen Feststellungen den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären, d. h. Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen. Aus all
diesen Gründen erklärt der Gerichtshof den Beschluss 2016/1250 für ungültig.


Den Volltext der Entscheidung finden Sie hier:


EuGH: Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig - Facebook Ireland - Maximilian

EuGH-Generalanwalt
Schlussanträge vom 19.12.2019
C-311/18
Data Protection Commissioner / Facebook Ireland und Maximilian Schrems


Nach Ansicht des EuGH-Generalanwalts ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Pressemitteilung des EuGH:

Nach Ansicht von Generalanwalt Saugmandsgaard Øe ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Datenschutz-Grundverordnung sieht wie die Richtlinie über die Verarbeitung personenbezogener Daten, an deren Stelle sie getreten ist, vor, dass personenbezogene Daten an ein Drittland übermittelt werden können, wenn dieses für die Daten ein angemessenes Schutzniveau sicherstellt. Liegt kein Beschluss der Kommission vor, mit dem die Angemessenheit des Schutzniveaus im betreffenden Drittland festgestellt wird, darf der für die Verarbeitung Verantwortliche die Übermittlung dennoch vornehmen, wenn er sie mit geeigneten Garantien versieht. Diese Garantien können u. a. die Form eines Vertrags zwischen dem Exporteur und dem Importeur der Daten annehmen, der die in einem Beschluss der Kommission vorgesehenen Standarddatenschutzklauseln enthält. Mit dem Beschluss 2010/87/EU3 hat die Kommission Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern festgelegt. Die vorliegende Rechtssache betrifft die Gültigkeit dieses Beschlusses.

Sachverhalt und Vorgeschichte des Ausgangsrechtsstreits

Zur Vorgeschichte des Ausgangsrechtsstreits gehört ein Verfahren, das von Herrn Maximilian Schrems, einem österreichischen Nutzer von Facebook, eingeleitet wurde und bereits zum Urteil des Gerichtshofs vom 6. Oktober 2015 (Urteil Schrems) geführt hat.

Die Daten der in der Union wohnhaften Nutzer von Facebook wie Herr Schrems werden von Facebook Ireland, der irischen Tochtergesellschaft der Facebook Inc., ganz oder teilweise an Server in den Vereinigten Staaten übermittelt und dort verarbeitet. 2013 hatte Herr Schrems bei der für die Überwachung der Anwendung der Vorschriften über den Schutz personenbezogener
Daten zuständigen irischen Behörde (im Folgenden: Kontrollstelle) eine Beschwerde eingelegt, mit der er geltend machte, dass angesichts der von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten (insbesondere der National Security Agency, NSA) das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor den Überwachungstätigkeiten der Behörden gewährleisteten. Die
Kontrollstelle wies die Beschwerde u. a. mit der Begründung zurück, dass die Kommission in ihrer Entscheidung vom 26. Juli 20005 angenommen habe, dass die Vereinigten Staaten im Rahmen der sogenannten „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten.

Mit dem Urteil Schrems hat der Gerichtshof in Beantwortung einer Frage des High Court (Hoher Gerichtshof, Irland) die Safe-Harbor-Entscheidung für ungültig erklärt.

Im Anschluss an das Urteil Schrems erklärte das vorlegende Gericht die Entscheidung, mit der die Kontrollstelle die Beschwerde von Herrn Schrems zurückgewiesen hatte, für nichtig und verwies sie zur Prüfung zurück an die Kontrollstelle. Diese leitete eine Untersuchung ein und forderte Herrn Schrems auf, seine Beschwerde in Anbetracht der Ungültigerklärung der Safe-Harbor-Entscheidung neu zu formulieren.

Zu diesem Zweck bat Herr Schrems Facebook Ireland um Angabe der Rechtsgrundlagen, auf denen die Übermittlungen der personenbezogenen Daten der Nutzer von Facebook aus der Union in die Vereinigten Staaten beruhten. Facebook Ireland verwies auf ein Datenübertragungs- und -verarbeitungsabkommen (data transfer processing agreement) mit der Facebook Inc., das seit dem 20. November 2015 in Kraft sei, und berief sich auf den Beschluss 2010/87.

In seiner neu formulierten Beschwerde machte Herr Schrems zum einen geltend, dass die in dem Abkommen enthaltenen Klauseln nicht den Standardvertragsklauseln des Beschlusses 2010/87 entsprächen, und zum anderen, dass diese Standardvertragsklauseln jedenfalls keine Grundlage für die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten sein könnten. Es gebe nämlich keinen Rechtsbehelf, mit dem die Betroffenen in den Vereinigten Staaten ihre Rechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten geltend machen könnten. Herr Schrems beantragte daher bei der Kontrollstelle, diese Übermittlung in Anwendung des Beschlusses 2010/87 auszusetzen.

Mit ihrer Untersuchung wollte die Kontrollstelle feststellen, ob die Vereinigten Staaten einen angemessenen Schutz für personenbezogene Daten der Unionsbürger sicherstellen und – sollte dies nicht der Fall sein – ob der Rückgriff auf Standardvertragsklauseln ausreichende Garantien für den Schutz ihrer Grundfreiheiten und Grundrechte bietet. Da die Kontrollstelle zu dem Ergebnis kam, dass die Bearbeitung der Beschwerde von Herrn Schrems von der Frage abhänge, ob der
Beschluss 2010/87 gültig sei, leitete sie beim High Court ein Verfahren ein, damit dieser den Gerichtshof hierzu befrage. Der High Court ist dem Antrag dieser Behörde auf Vorlage eines Ersuchens um Vorabentscheidung nachgekommen.

In seinen heutigen Schlussanträgen schlägt Generalanwalt Henrik Saugmandsgaard Øe dem Gerichtshof vor, zu antworten, dass die Prüfung der Fragen nichts ergeben habe, was die Gültigkeit des Beschlusses 2010/87 beeinträchtigen könnte.

Der Generalanwalt stellt zunächst fest, dass es im Ausgangsrechtsstreit nur um die Feststellung gehe, ob der Beschluss 2010/87 gültig sei, mit dem die Kommission die Standardvertragsklauseln festgelegt habe, die für die in der Beschwerde von Herrn Schrems genannten Übermittlungen geltend gemacht worden seien.

Der Generalanwalt ist erstens der Ansicht, dass das Unionsrecht auf Übermittlungen personenbezogener Daten in ein Drittland anwendbar sei, wenn diese Übermittlungen zu gewerblichen Zwecken erfolgten, auch wenn die übermittelten Daten durch Behörden dieses Drittlands für Zwecke der nationalen Sicherheit verarbeitet werden könnten.

Zweitens stellt der Generalanwalt fest, dass die Bestimmungen der Datenschutz-Grundverordnung ber Übermittlungen in Drittländer bezweckten, ein kontinuierlich hohes Schutzniveau für personenbezogene Daten unabhängig davon sicherzustellen, ob die Daten auf der Grundlage einer Angemessenheitsentscheidung oder aufgrund geeigneter Garantien übermittelt würden, vom Exporteur gegeben würden. Dieses Ziel werde jedoch je nach der Rechtsgrundlage, die für die Übermittlung gelte, auf unterschiedliche Weise erreicht. Einerseits solle mit einer Angemessenheitsentscheidung festgestellt werden, ob ein bestimmtes Drittland aufgrund des dort geltenden Rechts und der dort geltenden Praxis für die Grundrechte der Personen, deren Daten
übermittelt würden, ein Schutzniveau sicherstelle, das dem Niveau, das sich aus der im Licht der Charta der Grundrechte der Europäischen Union ausgelegten Datenschutz-Grundverordnung ergebe, im Wesentlichen gleichwertig sei. Andererseits müssten die vom Exporteur – insbesondere vertraglich – gegebenen geeigneten Garantien selbst ein solches
Schutzniveau sicherstellen. Die Standardvertragsklauseln der Kommission für Übermittlungen sähen insoweit eine allgemeine Regelung vor, die unabhängig vom Bestimmungsland und dem dort sichergestellten Schutzniveau gelte.

Drittens prüft der Generalanwalt die Gültigkeit des Beschlusses 2010/87 anhand der Charta.

Seiner Ansicht nach führt der Umstand, dass der Beschluss und die darin enthaltenen Standardvertragsklauseln die Behörden des Drittbestimmungslandes nicht binden würden und diese durch ihn somit nicht daran gehindert seien, dem Importeur Pflichten aufzuerlegen, die mit der Beachtung dieser Klauseln unvereinbar seien, für sich allein nicht zur Ungültigkeit des Beschlusses. Die Vereinbarkeit des Beschlusses 2010/87 mit der Charta hänge davon ab, ob ausreichend wirksame Regelungen bestünden, mit denen sich sicherstellen lasse, dass die auf die Standardvertragsklauseln gestützten Übermittlungen ausgesetzt oder verboten würden, wenn diese Klauseln verletzt würden oder es unmöglich sei, sie einzuhalten.

Dies sei dann der Fall, wenn eine Pflicht – der für die Datenverarbeitung Verantwortlichen und, bei deren Untätigkeit, der Kontrollstellen – bestehe, eine Übermittlung auszusetzen oder zu verbieten, wenn aufgrund eines Konflikts zwischen den sich aus den Standardvertragsklauseln ergebenden Pflichten und den durch das Recht des Drittbestimmungslandes auferlegten Pflichten diese Klauseln nicht eingehalten werden könnten.

Der Generalanwalt stellt außerdem fest, dass das vorlegende Gericht bestimmte Beurteilungen der Kommission im Beschluss vom 12. Juli 2016, dem sog. Datenschutzschild-Beschluss, indirekt in Frage stelle. In diesem Beschluss hat die Kommission festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für die Daten gewährleisteten, die im Rahmen der mit diesem Beschluss aufgestellten Regelung aus der Union übermittelt würden, insbesondere in Anbetracht der Garantien, die bezüglich des Zugangs amerikanischer Nachrichtendienste zu diesen Daten bestünden, sowie des Rechtsschutzes, der Personen, deren Daten übermittelt würden, gewährt werde . Für die Entscheidung über den Ausgangsrechtsstreit hält der Generalanwalt es nicht für erforderlich, dass der Gerichtshof über die Gültigkeit des Datenschutzschild-Beschlusses entscheide, da der Rechtsstreit nur die Gültigkeit des Beschlusses 2010/87 betreffe. Gleichwohl führt der Generalanwalt hilfsweise aus, aus welchen Gründen sich für ihn im Hinblick auf die Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf Fragen bezüglich der Gültigkeit des Datenschutzschild-Beschlusses stellen.


Den Volltext der Schlussanträge finden Sie hier:

BVerwG: Klage gegen strategische E-Mail-Überwachung durch BND erfolglos - Speicherung und Nutzung von Metadaten im System VERAS muss weiter geklärt werden

BVerwG
Urteile vom 14.12.2016
6 A 9.14
6 A 2.15

Die Pressemitteilung des BVerwG

Klage gegen BND wegen strategischer Überwachung von E-Mail-Verkehr in den Jahren 2012 und 2013 erfolglos; weiterer Aufklärungsbedarf wegen einer Speicherung und Nutzung von Daten im System VERAS

Das Bundesverwaltungsgericht in Leipzig hat über die Zulässigkeit von Klagen verhandelt, mit denen sich ein Rechtsanwalt und der Verein „Reporter ohne Grenzen“ gegen die strategische Überwachung von E-Mail-Verkehr durch den Bundesnachrichtendienst (BND) und die Speicherung und Nutzung von Metadaten in dem System VERAS des BND gewandt haben. Das Bundesverwaltungsgericht ist für Klagen gegen den BND in erster und letzter Instanz zuständig.

Nach dem Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (Art. 10-Gesetz) ist der BND im Rahmen seiner Aufgaben berechtigt, die Telekommunikation zu überwachen und aufzuzeichnen. Bei der strategischen Fernmeldeüberwachung werden bestimmte internationale Telekommunikationsbeziehungen anhand vorher festgelegter Suchbegriffe durchsucht. Die Kläger haben die Feststellung beantragt, dass der BND durch die Überwachung von E-Mail-Verkehr im Rahmen der strategischen Fernmeldeüberwachung in den Jahren 2012 bzw. 2013 ihr Fernmeldegeheimnis aus Art. 10 GG verletzt hat. Das Bundesverwaltungsgericht hat diese Klagen als unzulässig abgewiesen und damit eine Entscheidung aus dem Jahr 2014 zu einem anderen Überwachungszeitraum im Ergebnis bestätigt.

Nach der Verwaltungsgerichtsordnung muss sich die Feststellungsklage auf einen konkreten, gerade den jeweiligen Kläger betreffenden Sachverhalt beziehen; ein solcher war nicht feststellbar. Unter den Verkehren, die der BND in den Jahren 2012 bzw. 2013 als nachrichtendienstlich relevant behandelt hat, befindet sich kein E-Mail-Verkehr der Kläger. Zwar ist nicht auszuschließen, dass zunächst E-Mail-Verkehre der Kläger erfasst worden sind. Der damit ggf. verbundene Eingriff in Art. 10 GG lässt sich aber nicht mehr feststellen. Selbst wenn solche E-Mails erfasst worden wären, wären sie wie alle anderen nachrichtendienstlich irrelevanten Mails im Einklang mit den Bestimmungen des Artikel 10-Gesetzes und den allgemeinen verfassungsrechtlichen Maßgaben für den Datenschutz unverzüglich und spurenlos gelöscht worden.

Der BND war verpflichtet solche E-Mails zu löschen, weil nach dem gesetzlichen Konzept eine Benachrichtigung der Betroffenen über die Erfassung dieser E-Mail-Verkehre nicht vorgesehen ist. Dies steht im Einklang mit Art. 10 GG i.V.m. Art. 19 Abs. 4 GG, weil dadurch eine Vertiefung von Grundrechtseingriffen durch Speicherung der Daten einer unübersehbaren Zahl von Grundrechtsträgern vermieden wird.

Die damit verbundene Erschwerung des gerichtlichen Rechtsschutzes ist auch deshalb hinnehmbar, weil die Kontrolltätigkeit der G10-Kommission dazu dient, kompensatorischen Grundrechtsschutz zu gewährleisten.

Die Klagen mit dem Ziel, eine Speicherung und Nutzung von Metadaten in dem System VERAS zu unterlassen, sind noch nicht entscheidungsreif. Die in VERAS gespeicherten Metadaten nutzt der BND zur Erstellung von Verbindungsanalysen. Nach dem in der mündlichen Verhandlung gewonnenen Erkenntnisstand werden in VERAS auch anonymisierte Telefonie-Metadaten von Trägern des Grundrechts aus Art. 10 GG aus der strategischen Fernmeldeüberwachung nach dem Artikel 10-Gesetz eingestellt. Dieses Vorgehen des BND bedarf weiterer gerichtlicher Aufklärung.

BGH: NSA-Unterschungsausschuss muss Bundesregierung um Vorladung von Edward Snowden ersuchen

BGH
Beschluss vom 11.11.2016
1 BGs 125/16


Der BGH hat auf Antrag von zwei Mitglieders des NSA-Untersuchungsausschusses entschieden, dass der NSA-Unterschungsausschuss die Bundesregierung um Vorladung von Edward Snowden ersuchen muss. Eine Verpflichtung der Bundesregierung, diesem Ersuchen auch nachzukommen, bedeutet der Beschluss nicht.

Die Pressemitteilung des BGH:

Bundesgerichtshof verpflichtet "NSA- Untersuchungsausschuss" zum Amtshilfeersuchen an die Bundesregierung

Die Abgeordneten M.R. und Dr. K.N. haben als Minderheit von einem Viertel der Mitglieder des "NSA-Untersuchungsausschusses" bei dem Ermittlungsrichter des Bundesgerichtshofs gemäß § 17 Abs. 4 Parlamentarisches Untersuchungs-ausschussgesetz beantragt, den Untersuchungsausschuss zu verpflichten, ein Amtshilfeersuchen an die Bundesregierung zu beschließen. Mit dem von den Antragstellern begehrten Amtshilfeersuchen solle die Bundesregierung ersucht werden, die Voraussetzungen, für eine Vernehmung des Zeugen S. in Deutschland zu schaffen, insbesondere dem Zeugen wirksamen Auslieferungsschutz zuzusichern.

Der Ermittlungsrichter des Bundesgerichtshofs hat diesem Antrag mit Beschluss vom 11. November 2016 stattgegeben. Eine Aussage dahingehend, dass die Bundesregierung verpflichtet ist, dem durch den Untersuchungsausschuss zu beschließenden Ersuchen nachzukommen, ist mit diesem Beschluss nicht verbunden. Der Beschluss verpflichtet den Untersuchungsausschuss lediglich ein entsprechendes Ersuchen an die Bundesregierung zu stellen.



BVerfG: Bundesregierung muss NSA-Sektorenliste dem Untersuchungsausschuss nicht zur Verfügung stellen - besondere politischen Interessen überwiegen Vorlageinteresse

BverfG
Beschluss vom 13. Oktober 2016
2 BvE 2/15


Das Bundesverfassungsgericht hat entschieden, dass die Bundesregierung die NSA-Sektorenliste dem Untersuchungsausschuss nicht zur Verfügung stellen muss. Das Bundesverfassungsgericht führt aus, dass besondere außen- und sicherheitspolitische Interessen das Vorlageinteresse des Untersuchsungsausschusses überwiegen.

Die Leitsätze des Bundesverfassungsgerichts:

1 .§ 18 Abs. 3 PUAG billigt nicht jeder Minderheit im Untersuchungsausschuss die Antragsbefugnis im Organstreitverfahren zu. Antragsbefugt ist vielmehr nur die von der konkreten oder potentiellen Einsetzungsminderheit im Deutschen Bundestag im Sinne des Art. 44 Abs. 1 Satz 1 GG getragene Ausschussminderheit.

2. Das Beweiserhebungsrecht eines parlamentarischen Untersuchungsaus-schusses unterliegt Grenzen, die, auch soweit sie einfachgesetzlich geregelt sind, ihren Grund im Verfassungsrecht haben müssen (vgl. BVerfGE 124, 78 <118>). Völkerrechtliche Verpflichtungen können demgemäß keine unmittelbare Schranke des parlamentarischen Beweiserhebungsrechts begründen, da sie als solche keinen Verfassungsrang besitzen.

3. Das aus dem Beweiserhebungsrecht des Untersuchungsausschusses grundsätzlich folgende Recht auf Vorlage der NSA-Selektorenlisten ist nicht durch die Einsetzung der sachverständigen Vertrauensperson und deren gutachterliche Stellungnahme erfüllt.

4. Dem Beweiserhebungsrecht des Untersuchungsausschusses steht das Interesse der Bundesregierung an funktionsgerechter und organadäquater Aufgabenwahrnehmung gegenüber. Zu diesen Aufgaben gehört auch die Zusammenarbeit der Nachrichtendienste zur Gewährleistung eines wirksamen Staats- und Verfassungsschutzes.

5. Hier:
Das Geheimhaltungsinteresse der Bundesregierung überwiegt das parlamentarische Informationsinteresse, weil die vom Beweisbeschluss erfassten NSA-Selektorenlisten aufgrund völkerrechtlicher Vereinbarungen nicht ihrer Verfügungsbefugnis unterfallen, ihre Einschätzung, eine nicht konsentierte Herausgabe dieser Listen könne die Funktions- und Kooperationsfähigkeit deutscher Nachrichtendienste erheblich beeinträchtigen, nachvollziehbar ist und sie dem Vorlageersuchen in Abstimmung mit dem Untersuchungsausschuss durch andere Verfahrensweisen so präzise, wie es ohne eine Offenlegung von Geheimnissen möglich gewesen ist, Rechnung getragen hat.

Den Volltext der Entscheidung finden Sie hier:

Die Pressemitteilung des Bundesverfassungsgerichts:

Im besonderen Fall der NSA-Selektorenlisten hat das Vorlageinteresse des Untersuchungsausschusses zurückzutreten

Mit heute veröffentlichtem Beschluss hat der Zweite Senat des Bundesverfassungsgerichts entschieden, dass die Bundesregierung die NSA-Selektorenlisten nicht an den NSA-Untersuchungsausschuss herausgeben muss. Zwar umfasst das Beweiserhebungsrecht des Untersuchungsausschusses dem Grunde nach auch die NSA-Selektorenlisten. Die Selektorenlisten berühren aber zugleich Geheimhaltungsinteressen der Vereinigten Staaten von Amerika und unterliegen deshalb nicht der ausschließlichen Verfügungsbefugnis der Bundesregierung. Eine Herausgabe unter Missachtung einer zugesagten Vertraulichkeit und ohne Einverständnis der Vereinigten Staaten von Amerika würde die Funktions- und Kooperationsfähigkeit der deutschen Nachrichtendienste und damit auch die außen- und sicherheitspolitische Handlungsfähigkeit der Bundesregierung nach verfassungsrechtlich nicht zu beanstandender Einschätzung der Regierung erheblich beeinträchtigen. Das Geheimhaltungsinteresse der Regierung überwiegt insoweit das parlamentarische Informationsinteresse, zumal die Bundesregierung dem Vorlageersuchen in Abstimmung mit dem NSA-Untersuchungsausschuss so präzise, wie es ohne eine Offenlegung von Geheimnissen möglich war, Rechnung getragen hat. Sie hat insbesondere Auskünfte zu den Schwerpunkten der Zusammenarbeit von Bundesnachrichtendienst (BND) und National Security Agency (NSA), zum Inhalt und zur Zusammenstellung der Selektoren, zur Filterung der Selektoren durch den BND sowie zur Anzahl der abgelehnten Selektoren erteilt. Insofern besteht nicht die Gefahr des Entstehens eines kontrollfreien Raumes und damit eines weitgehenden Ausschlusses des Parlaments von relevanter Information.

Sachverhalt:

Der BND betrieb gemeinsam mit der US-amerikanischen NSA eine Kooperation zur Fernmeldeaufklärung. Im Rahmen dieser Kooperation durchsuchte der BND die aus einem Internetknotenpunkt ausgeleiteten Daten nach von der NSA definierten Merkmalen, den sogenannte Selektoren. Nachdem im Sommer 2013 in der Presse berichtet worden war, dass EU-Vertretungen und auch deutsche Grundrechtsträger von der gemeinsamen Fernmeldeaufklärung durch BND und NSA betroffen seien, setzte der Deutsche Bundestag im März 2014 den sogenannten NSA-Untersuchungsausschuss ein. Der Untersuchungsausschuss verlangte von der Bundesregierung die Herausgabe sämtlicher Beweismittel, die Auskunft darüber geben, welche Erkenntnisse beim BND darüber vorlagen, inwiefern die NSA im Rahmen der Kooperation Aufklärung gegen deutsche Ziele oder deutsche Interessen betrieben hat. Die Bundesregierung stellte in der Folge Beweismaterial zur Verfügung; im Hinblick auf die NSA-Selektorenlisten gelangte sie hingegen zu der Einschätzung, dass eine Herausgabe an den Untersuchungsausschuss ohne Einverständnis der Vereinigten Staaten von Amerika einen Verstoß gegen die gegenseitig zugesagte Vertraulichkeit darstellen und die internationale Kooperationsfähigkeit Deutschlands beeinträchtigen würde.

Mit ihren Anträgen im Organstreitverfahren begehrten die Fraktion DIE LINKE im Deutschen Bundestag, die Fraktion BÜNDNIS 90/DIE GRÜNEN im Deutschen Bundestag sowie zwei Mitglieder des NSA-Untersuchungsausschusses, die den vorgenannten Fraktionen angehören, die Feststellung, dass die Bundesregierung und der Chef des Bundeskanzleramtes durch die Ablehnung der Herausgabe das Beweiserhebungsrecht des Bundestages aus Art. 44 GG verletzt haben.

Wesentliche Erwägungen des Senats:

Der Antrag ist - soweit zulässig - unbegründet.

1. Der Deutsche Bundestag hat das Recht und auf Antrag eines Viertels seiner Mitglieder die Pflicht, einen Untersuchungsausschuss einzusetzen (Art. 44 Abs. 1 Satz 1 GG). Der Untersuchungsausschuss ist als Aufklärungsinstrument im Rahmen der politischen Kontroverse dabei ein spezifisches Instrument parlamentarischer Kontrolle. Als Hilfsorgan des Deutschen Bundestages ist er gemäß Art. 44 Abs. 1 Satz 1 GG befugt, im Rahmen seines Untersuchungsauftrages diejenigen Beweise zu erheben, die er für erforderlich hält. Dabei gehört das Recht auf Aktenvorlage zum Kern des Untersuchungsrechts.

2. Allerdings unterliegt das Beweiserhebungsrecht eines parlamentarischen Untersuchungsausschusses auch Grenzen, die ihren Grund aber im Verfassungsrecht haben müssen.

a) Völkerrechtliche Verpflichtungen können keine unmittelbare Schranke des parlamentarischen Beweiserhebungsrechts begründen, da sie als solche keinen Verfassungsrang besitzen.

b) Gründe, einem Untersuchungsausschuss Informationen vorzuenthalten, können sich aber aus dem Gewaltenteilungsgrundsatz ergeben. Als Gebot der Unterscheidung zwischen gesetzgebender, vollziehender und rechtsprechender Gewalt dient er auch einer funktionsgerechten und aufgabenadäquaten Zuordnung hoheitlicher Befugnisse zu unterschiedlichen Trägern öffentlicher Gewalt.

Die verfassungsmäßige Ordnung, der Bestand und die Sicherheit des Bundes und der Länder sowie Leib, Leben und Freiheit der Person sind Schutzgüter von überragendem verfassungsrechtlichem Gewicht. Der Staat ist deshalb von Verfassungs wegen verpflichtet, das Leben, die körperliche Unversehrtheit und die Freiheit des Einzelnen zu schützen. Dieser Verpflichtung kommt er nach, indem er Gefahren etwa durch terroristische Bestrebungen entgegen tritt. Straftaten mit dem Gepräge des Terrorismus richten sich gegen die Grundpfeiler der verfassungsrechtlichen Ordnung und das Gemeinwesen als Ganzes. Die Bereitstellung von wirksamen Aufklärungsmitteln zu ihrer Abwehr ist ein legitimes Ziel und für die demokratische und freiheitliche Ordnung von großem Gewicht.

Zur Effektivierung der Beschaffung und Auswertung von Informationen von außen- und sicherheitspolitischer Bedeutung arbeiten die deutschen Nachrichtendienste mit ausländischen Nachrichtendiensten zusammen. Grundlage dieser Zusammenarbeit ist die Einhaltung von Vertraulichkeit. Hierfür sind völkerrechtliche Verpflichtungen einzugehen, die als Teil der Außen- und Sicherheitspolitik der Initiativ- und Gestaltungsbefugnis der Regierung obliegen.

3. Nach diesen Maßstäben verletzt die Verweigerung der Vorlage der NSA-Selektorenlisten das Beweiserhebungsrecht des Deutschen Bundestages aus Art. 44 GG nicht.

a) Das parlamentarische Informationsinteresse umfasst auch die NSA-Selektorenlisten. Dieses Recht auf Vorlage ist nicht durch die Einsetzung der sachverständigen Vertrauensperson und deren gutachterliche Stellungnahme erfüllt worden.

b) Dem Beweiserhebungsrecht des Untersuchungsausschusses steht aber das Interesse der Regierung an funktionsgerechter und organadäquater Aufgabenwahrnehmung entgegen. Im Rahmen eines Konsultationsverfahrens haben die Vereinigten Staaten von Amerika deutlich gemacht, dass der Untersuchungsausschuss als Außenstehender anzusehen und die Herausgabe der NSA-Selektorenlisten an ihn nicht vom Übermittlungszweck umfasst ist. Aufgrund weiterer Stellungnahmen der Vereinigten Staaten von Amerika ist die Bundesregierung zu der Überzeugung gelangt, dass die Herausgabe der NSA-Selektorenlisten ohne Einverständnis der Vereinigten Staaten von Amerika die Funktions- und Kooperationsfähigkeit der Nachrichtendienste und damit auch die außen- und sicherheitspolitische Handlungsfähigkeit der Bundesregierung erheblich beeinträchtigen würde. Angesichts einer solchermaßen konkretisierten Gefährdungslage für die äußere und innere Sicherheit der Bundesrepublik Deutschland seien zugleich im Staatswohl gründende Geheimhaltungsinteressen berührt. Diese tatsächliche und rechtliche Wertung des Verhältnisses zu ausländischen Nachrichtendiensten und Partnerstaaten unterliegt angesichts des Einschätzungs- und Prognosespielraums der Bundesregierung nur einer eingeschränkten verfassungsgerichtlichen Kontrolle und ist im Ergebnis verfassungsrechtlich nicht zu beanstanden. Selbst wenn man im Hinblick auf die Folgenschwere eines Vertrauensbruches relativierend davon ausginge, dass sich die Herausgabe der Selektorenlisten an den Untersuchungsausschuss nur vorübergehend auf den Umfang des internationalen Informationsaustauschs auswirkte, wäre hiermit eine nicht hinzunehmende temporäre Beeinträchtigung der Funktionsfähigkeit der Nachrichtendienste und damit eine Sicherheitslücke nahe liegend.

c) Das Interesse an der Erhaltung der außen- und sicherheitspolitischen Handlungsfähigkeit der Bundesregierung überwiegt das Recht des Untersuchungsausschusses auf Herausgabe der NSA-Selektorenlisten. Im Rahmen der Abwägung ist auch zu berücksichtigen, dass das Vorlageersuchen bezüglich der NSA-Selektorenlisten originäre Belange und Geheimhaltungsinteressen der Vereinigten Staaten von Amerika nachhaltig berührt. Ferner hat die Bundesregierung dem Untersuchungsausschuss Informationen zur Verfügung gestellt, weshalb ihm nicht der gesamte Sachverhaltskomplex der nachrichtendienstlichen Zusammenarbeit von NSA und BND vorenthalten wurde. Soweit es um die Herausgabe der Selektorenlisten selbst und damit um die konkrete Benennung, das heißt um die namentliche Erwähnung der als Erfassungsziele betroffenen natürlichen oder juristischen Personen sowie Institutionen und staatlichen Einrichtungen geht, ist deren Kenntnis eher von allgemeinem politischem Interesse. Für die Erfüllung des Untersuchungsauftrages und damit für die parlamentarische Kontrolle des Regierungshandelns ist die Kenntnis vom Inhalt der Selektorenlisten nicht in einem Maße zentral, um gegenüber den Belangen des Staatswohls und der Funktionsfähigkeit der Regierung Vorrang zu beanspruchen.


BVerfG: G 10-Kommisssion im Organstreitverfahren nicht parteifähig und Antrag auf Herausgabe der NSA-Selektorenlisten abzulehnen

BVerfG
Beschluss vom 20.09.2016
2 BvE 5/15


Das Bundesverfassungsgericht hat entschieden, dass die G 10-Kommisssion im Organstreitverfahren nicht parteifähig ist. Das Gericht hat den entsprechenden Antrag auf Herausgabe der NSA-Selektorenlisten abgelehnt.

Die Pressemitteilung des Bundesverfassungsgerichts:

G 10-Kommission ist im Organstreitverfahren nicht parteifähig und scheitert daher mit dem Antrag auf Herausgabe der NSA-Selektorenlisten

Die G 10-Kommission ist im Organstreitverfahren vor dem Bundesverfassungsgericht nicht parteifähig. Sie ist weder oberstes Bundesorgan, noch ein durch das Grundgesetz oder durch die Geschäftsordnung mit eigenen Rechten ausgestatteter Teil des Bundestages. Dies hat der Zweite Senat des Bundesverfassungsgerichts mit heute veröffentlichtem Beschluss entschieden und damit im Organstreitverfahren gestellte Anträge der G 10-Kommission, die sogenannte NSA-Selektorenlisten herauszugeben oder zur Einsichtnahme bereit zu stellen, verworfen.

Sachverhalt:

Der Bundesnachrichtendienst (BND) betrieb gemeinsam mit der US-amerikanischen National Security Agency (NSA) eine Kooperation zur Fernmeldeaufklärung. Im Rahmen dieser Kooperation durchsuchte der BND die aus einem Internetknotenpunkt ausgeleiteten Daten nach von der NSA definierten Merkmalen (sogenannte Selektoren). Nachdem im Sommer 2013 in der Presse berichtet worden war, dass EU-Vertretungen und auch Deutsche von der gemeinsamen Fernmeldeaufklärung durch BND und NSA betroffen seien, führte der BND eine interne Untersuchung durch. Dabei stellte sich heraus, dass trotz automatisierter Filterung kritische Selektoren eingesetzt worden waren, die entweder gegen deutsche Interessen verstießen oder Teilnehmer betrafen, die durch das Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (Gesetz zu Artikel 10 Grundgesetz - G 10) geschützt waren. Nachdem der Deutsche Bundestag den NSA-Untersuchungsausschuss eingesetzt hatte, wurden zur Aufklärung die vom BND ausgesonderten Selektoren in den sogenannten NSA-Selektorenlisten zusammengefasst. Im Folgenden verlangte die G 10-Kommission von der Bundesregierung und dem Chef des Bundeskanzleramts erfolglos die NSA-Selektorenlisten herauszugeben oder diese einsehen zu dürfen, um eventuelle Verstöße gegen Art. 10 GG festzustellen. Mit ihren Anträgen im Organstreitverfahren begehrte die G 10-Kommission die Feststellung, dass sie durch die Ablehnung der Herausgabe beziehungsweise die Verweigerung der Einsichtnahme in ihren Rechten aus Art. 10 Abs. 2 GG verletzt wurde.

Wesentliche Erwägungen des Senats:

Die Anträge sind unzulässig. Die G 10-Kommission ist im Organstreit nicht parteifähig.

1. Das Bundesverfassungsgericht entscheidet im Organstreitverfahren über die Auslegung des Grundgesetzes aus Anlass von Streitigkeiten über den Umfang der Rechte und Pflichten eines obersten Bundesorgans oder anderer Beteiligter, die durch das Grundgesetz oder in der Geschäftsordnung eines obersten Bundesorgans mit eigenen Rechten ausgestattet sind (Art. 93 Abs. 1 Nr. 1 GG, § 13 Nr. 5, §§ 63 ff. BVerfGG). Das Organstreitverfahren ist als Parteistreitigkeit ausgestaltet und dient maßgeblich der gegenseitigen Abgrenzung der Kompetenzen von Verfassungsorganen oder ihren Teilen. Die Beteiligten müssen in einem verfassungsrechtlichen Rechtsverhältnis zueinander stehen, aus dem sich Rechte und Pflichten ergeben, die zwischen ihnen streitig geworden sind.

2. Nach diesen Maßstäben ist die Antragstellerin nicht parteifähig.

a) Nach Art. 10 Abs. 2 Satz 1 GG dürfen Beschränkungen des Brief-, Post- und Fernmeldegeheimnisses nur auf Grund eines Gesetzes angeordnet werden. Dient die Beschränkung dem Schutz der freiheitlichen demokratischen Grundordnung oder des Bestandes oder der Sicherung des Bundes oder eines Landes, so kann das Gesetz bestimmen, dass sie dem Betroffenen nicht mitgeteilt wird und dass an die Stelle des Rechtsweges die Nachprüfung durch von der Volksvertretung bestellte Organe und Hilfsorgane tritt (Art. 10 Abs. 2 Satz 2 GG). Mit der G 10-Kommission hat der Gesetzgeber ein Organ geschaffen, das an die Stelle des Rechtswegs tritt, aber kein Gericht ist, das innerhalb des Funktionsbereichs der Exekutive agiert, aber nicht in diese inkorporiert ist, das Rechtskontrolle ausübt, aber auch Opportunitätserwägungen treffen kann. Es handelt sich um ein Kontrollorgan eigener Art außerhalb der rechtsprechenden Gewalt, das als Ersatz für den fehlenden gerichtlichen Rechtsschutz dient.

b) Vor diesem Hintergrund ist die G 10-Kommission nicht als oberstes Bundesorgan parteifähig. Sie wird nicht von der Verfassung in Existenz, Status und wesentlichen Kompetenzen konstituiert.

Art. 10 Abs. 2 Satz 2 GG kommt über seinen objektiven Aussagegehalt hinaus keine kompetenzschützende Wirkung zu Gunsten „der von der Volksvertretung bestellten Organe oder Hilfsorgane“ zu und enthält keinen verbindlichen Verfassungsauftrag. Die Vorschrift ermächtigt zu einer Beschränkung der Mitteilungspflicht, gebietet eine solche aber nicht. Würde der einfache Gesetzgeber eine Mitteilungspflicht gegenüber den Betroffenen begründen, entfiele das verfassungsrechtliche Bedürfnis der Existenz eines Kontrollorgans. Darüber hinaus verlangt Art. 10 Abs. 2 Satz 2 GG nur, dass das zu seiner Ausführung ergehende Gesetz „ein“ Organ vorsehen muss. Wie die Kontrolle auszugestalten ist, schreibt die Verfassung nicht vor. Folglich steht es dem Gesetzgeber auch frei, Status und wesentliche Kompetenzen des Organs zu definieren, soweit eine hinreichend wirksame Kontrolle gewährleistet ist. Überdies weist die Verfassung der G 10-Kommission keine eigenständigen Aufgaben im Bereich der politischen Staatsleitung zu. Sie hat keinen verfassungsunmittelbaren Status im Prozess demokratischer Willensbildung und staatlicher Entscheidungsfindung, so dass sie keinen Anteil an der Bildung des Staatswillens hat.

c) Die G 10-Kommission ist auch nicht als andere Beteiligte parteifähig.

Sie ist nicht als durch das Grundgesetz oder durch die Geschäftsordnung mit eigenen Rechten ausgestatteter Teil des Bundestages anzusehen. Ungeachtet des Umstandes, dass das Grundgesetz sie schon nicht explizit erwähnt, bezeichnet Art. 10 Abs. 2 Satz 2 GG das Hilfsorgan - anders als den Wehrbeauftragten in Art. 45b GG - nicht als eines „des Bundestages“. Auch wird die G 10-Kommission nicht wie das Parlamentarische Kontrollgremium in Art. 45d GG als Pflichtgremium des Deutschen Bundestages statuiert. Zwar wird das Organ oder Hilfsorgan nach Art. 10 Abs. 2 Satz 2 GG von der Volksvertretung bestellt. Allein die Tatsache, dass die Mitglieder der G 10-Kommission durch ein parlamentarisches Gremium gewählt werden, qualifiziert die G 10-Kommission aber noch nicht als Teil des Deutschen Bundestages, vielmehr wird dadurch die demokratische Legitimation der G 10-Kommission sichergestellt.

Die G 10-Kommission übt schließlich keine parlamentarische Kontrollfunktion aus. Im Anwendungsbereich des G 10 obliegt die politische Kontrolle dem Parlamentarischen Kontrollgremium. Die G 10-Kommission hingegen wird im Funktionsbereich der Exekutive tätig, indem sie über die Zulässigkeit und Notwendigkeit von konkreten Beschränkungsmaßnahmen entscheidet. Darüber hinaus wirkt sie nicht an der Erfüllung der Aufgaben des Bundestages im Bereich der Gesetzgebung, des Budgetrechts, des Kreations-, Informations- und Kontrollrechts mit und ist auch nicht an der Erörterung anstehender Probleme in öffentlicher Debatte beteiligt.

Einer Ausweitung des verfahrensrechtlichen Parteibegriffs steht entgegen, dass die G 10-Kommission keine verfassungsrechtlich notwendige Institution ist. Sie dient dem Grundrechtsschutz. Die Schutzdimension der Grundrechte kann aber nicht durch die G 10-Kommission im Organstreitverfahren geltend gemacht werden, sondern ist dem Verfassungsbeschwerdeverfahren vorbehalten.



VG Schwerin: Universität Rostock darf Edward Snowden keinen Ehrendoktortitel verleihen - keine ausreichende wissenschaftliche Leistung durch Übergabe der NSA-Daten

VG Schwerin
Urteil vom 15.06.2016
1 A 2088/15 SN
Philosophischen Fakultät der Universität Rostock gegen Rektor der Universität Rostock

Das VG Schwerin hat entschieden, dass die Universität Rostock Edward Snowden keinen Ehrendoktortitel verleihen darf. Die Voraussetzung für die Verleihung der Ehrendkotorwürde liegen nicht vor, da die Übergabe der NSA-Daten und die Auswertung durch die Medien keine, wie von der Promotonsordnung gefordert, hervorragende wissenschaftliche Leistung darstellt. Das Gericht bestätige den entsprechenden Beschluss des Rektors der Universität Rostock und wies die Klage der Philosophischen Fakultät ab.

FG Baden-Württemberg: ELSTER ist sicher - Pflicht zur elektronischen Datenübermittlung an das Finanzamt kann nicht aufgrund von Datenschutzbedenken verweigert werden

FG Baden-Württemberg
Urteil vom 23.03.2016
7 K 3192/15


Das FG Baden-Württemberg hat entschieden, dass die Pflicht zur elektronischen Datenübermittlung an das Finanzamt nicht aufgrund von Datenschutzbedenken verweigert werden. Die Software ELSTER ist - so das Gericht - ausreichend sicher.

Aus den Entscheidungsgründen:

"Sie können insbesondere nicht aus allgemeinen Bedenken gegen die Sicherheit der von § 25 Abs. 4 Satz 1 EStG vorgeschriebenen elektronischen Übermittlung nach amtlich vorgeschriebenem Datensatz durch eine Datenübertragung hergeleitet werden (BFH-Urteil vom 14. März 2012 XI R 33/09, BStBl II 2012, 477 m.w.N.; BFH-Beschluss vom 15. Dezember 2015 V B 102/15 - juris-; Urteil des Finanzgerichts Bremen vom 26. Juni 2014 2 K 12/14 (2), DStRE 2015, 612; Urteil des Finanzgerichts Rheinland-Pfalz vom 15. Juli 2015 1 K 2204/13, BB 2015, 2134).

Die von den Kl abstrakt geäußerten Bedenken gegen das Medium des Internets und seiner Gefahren in Bezug auf eine (ungeschützte) Datenübermittlung unter Benennung der NSA-Affäre, der Person des Edward Snowden oder des BSI wegen einer Gefahr für Internetnutzer sind nicht geeignet, an diesem Befund etwas zu ändern. Den Kl darf insoweit abverlangt werden, ein befürchtetes „Datenausspähen“ auf ihrem Rechner durch geeignete, handelsübliche Sicherheitssoftware zu unterbinden. Soweit sie der Auffassung sein sollten, dass die Datenübermittlung über die kostenlose Software „ELSTERBASIS“, die nur den Sicherheitsstandard „hoch“ trage (während die gebührenpflichtigen Versionen „ELSTERSPEZIAL“ und „ELSTERPLUS“ den Sicherheitsstandard „sehr hoch“ trügen), ihnen zu unsicher sei, schließt sich der erkennende Senat diesen Bedenken nicht an. Das kostenlose Produkt „ELSTERBASIS“ wurde vom BSI zertifiziert und gewährleistet ein hinreichendes Maß an Datensicherheit. Es bleibt den Kl jedoch unbenommen, zur Erhöhung der individuell empfundenen Datensicherheit auf die kostenpflichtigen Produkte „ELSTERSPEZIAL“ und „ELSTERPLUS“ zurückzugreifen. Konkrete Sicherheitslücken bei der Datenfernübertragung haben die Kl nicht vorgebracht und sind auch weder dem Bekl noch dem Gericht bekannt.

Ferner ist eine von den Kl angedachte Datenübermittlung mittels eines Datenträgers, sei es in Form einer CD oder eines USB-Sticks, als Zwischenform zur elektronischen Datenübermittlung nicht zulässig, weil dies durch die Steuergesetze weder vorgesehen noch verfassungsrechtlich geboten ist (BFH-Urteil vom 17. August 2015 I B 133/14, BFH/NV 2016, 72).

Im Übrigen verweist der erkennende Senat - zur Vermeidung von Wiederholungen - auf die zutreffenden detaillierten Ausführungen in der Einspruchsentscheidung des Bekl vom 04. August 2015, die sich mit den technischen Übertragungsparametern des ELSTER-Verfahrens auseinandersetzen.



Den Volltext der Entscheidung finden Sie hier:

Hamburgischer Datenschutzbeauftragter: Rechtskräftige Bußgelder gegen Unternehmen wegen Unwirksamkeit von Safe Harbor

Der Hamburgische Datenschutzbeauftragte hat nach der Safe Harbor-Entscheidung des EuGH (siehe EuGH: Safe-Harbor-Abkommen zwischen USA und EU ungültig - kein ausreichender Schutz in den USA für personenbezogene Daten vor Zugriff durch Behörden) gegen zahlreiche Unternehmen Bußgelder erlassen. Die Bußgeldbescheide sind teilweise schon rechtskräftig.

Die Pressemitteilung des Hamburgischen Datenschutzbeauftragten:

Unzulässige Datenübermittlungen in die USA - Erste Bußgelder rechtskräftig, weitere Verfahren noch offen

Der EuGH hat die Safe Harbor-Entscheidung im Oktober 2015 aufgehoben und damit einen wesentlichen Pfeiler für eine rechtmäßige Datenübermittlung an US-Unternehmen für unwirksam erklärt. Daraufhin wurden durch den Hamburgischen Datenschutzbeauftragten Prüfungen bei 35 international agierenden Hamburger Unternehmen durchgeführt.

Die Prüfungen haben ergeben, dass die überwiegende Mehrheit der Unternehmen den Datentransfer im Rahmen einer mehrmonatigen Umsetzungsfrist rechtzeitig auf sogenannte Standardvertragsklauseln umgestellt hat. Einige wenige Unternehmen hatten aber auch ein halbes Jahr nach Wegfall der Safe Harbor-Entscheidung keine zulässige Alternative geschaffen. Die Datenübermittlungen dieser Unternehmen in die USA erfolgten damit ohne rechtliche Grundlage und waren rechtswidrig.

Während einige der eingeleiteten Verfahren noch nicht abgeschlossen werden konnten und andere Prüfungen noch laufen, sind mittlerweile drei Bußgeldbescheide wegen der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA rechtskräftig geworden. Die betroffenen Unternehmen haben nach Einleitung des Bußgeldverfahrens ihre Übermittlungen rechtlich auf Standardvertragsklauseln umgestellt.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit:
„Dass die Unternehmen schließlich doch noch eine rechtliche Grundlage für die Übermittlung geschaffen haben, war bei der Bemessung der Bußgelder positiv zu berücksichtigen. Für künftig festgestellte Verstöße wird sicherlich ein schärferer Maßstab anzulegen sein.

Im weiteren Verlauf bleibt nun abzuwarten, ob die Nachfolgeregelung zu Safe Harbor, der Privacy Shield, den die EU-Kommission Ende Februar vorgelegt hat, ein angemessenes Datenschutzniveau herstellt. Daran waren nicht zuletzt seitens der Art. 29-Datenschutzgruppe, dem gemeinsamen Gremium der Datenschutzbehörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten, erhebliche Zweifel geäußert worden. EU-Kommission und US-Regierung sind hier aufgefordert, den Entwurf in wesentlichen Punkten nachzubessern. Vor diesem Hintergrund wird auch über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein."