Datenschutzkonflikte zwischen der EU und den USA: Angemessenheit des Datenschutzniveaus am Beispiel der PNR-Abkommen [1 ed.] 9783428547838, 9783428147830

Citation preview

Beiträge zum Informationsrecht Band 37

Datenschutzkonflikte zwischen der EU und den USA Angemessenheit des Datenschutzniveaus am Beispiel der PNR-Abkommen Von Bastian Baumann

Duncker & Humblot · Berlin

BASTIAN BAUMANN

Datenschutzkonflikte zwischen der EU und den USA

Beiträge zum Informationsrecht Herausgegeben von Prof. Dr. Hansjürgen Garstka, Prof. Dr. Michael Kloepfer, Prof. Dr. Eva Inés Obergfell, Prof. Dr. Friedrich Schoch

Band 37

Datenschutzkonflikte zwischen der EU und den USA Angemessenheit des Datenschutzniveaus am Beispiel der PNR-Abkommen

Von Bastian Baumann

Duncker & Humblot · Berlin

Die Rechtswissenschaftliche Fakultät der Albert-Ludwigs-Universität Freiburg hat diese Arbeit im Jahr 2015 als Dissertation angenommen.

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Alle Rechte vorbehalten

© 2016 Duncker & Humblot GmbH, Berlin

Fremddatenübernahme: Textforma(r)t Daniela Weiland, Göttingen Druck: CPI buchbücher.de, Birkach Printed in Germany ISSN 1619-3547 ISBN 978-3-428-14783-0 (Print) ISBN 978-3-428-54783-8 (E-Book) ISBN 978-3-428-84783-9 (Print & E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706

Internet: http://www.duncker-humblot.de

Meiner Familie

Vorwort Die vorliegende Arbeit wurde von der Rechtswissenschaftlichen Fakultät der Albert-Ludwigs-Universität Freiburg im Sommersemester 2015 als Dissertation angenommen. Rechtsprechung und Literatur konnten bis März 2015 berücksichtigt werden. Die Dissertation entstand während meiner Tätigkeit als wissenschaftlicher Mitarbeiter am Institut für Öffentliches Recht der Albert-Ludwigs-Universität Freiburg. Sehr herzlich danken möchte ich zunächst meinem Doktorvater, Herrn Prof. Dr. Friedrich Schoch, für die Betreuung und stetige Förderung dieser Doktorarbeit sowie die sehr schönen und lehrreichen Jahre an seinem Lehrstuhl, die meine juristische Ausbildung nachhaltig geprägt haben. Stellvertretend für alle meine Kolleginnen und Kollegen vom Lehrstuhl möchte ich Frau Walburga Büchel für die immer äußerst angenehme und freundschaftliche Zusammenarbeit herzlich danken. Herrn PD Dr. Eike Michael Frenzel, Dr. Conrad Neumann und Thomas Neumann danke ich zudem für Rat, Motivation und Diskussion während des Entstehens dieser Dissertation. Herrn Prof. Dr. Jens-Peter Schneider danke ich für die zügige Erstellung des Zweitgutachtens. Den Herausgebern sowie dem Verlag Duncker & Humblot sei für die Aufnahme in die Schriftenreihe „Beiträge zum Informationsrecht“ gedankt. Ein Teil dieser Arbeit entstand während meines Forschungsaufenthaltes an der University of California Berkeley School of Law. Herrn Prof. Paul M. Schwartz danke ich für die Ermöglichung dieses Aufenthaltes. Mein Dank gilt zudem der Erich-Becker-Stiftung der Fraport AG, die diesen Forschungsaufenthalt durch ein Stipendium gefördert hat. Die Fertigstellung dieser Arbeit wäre ohne die stetige Unterstützung durch meine Familie und meine Freunde nicht möglich gewesen. Für ihren Rat, zahlreiche Anregungen zu dieser Arbeit sowie die Übernahme des Korrekturlesens möchte ich mich herzlich bei Lisa Alp, Lena Schröer, Michael Fischer und Markus Kring bedanken. Mein herzlichster Dank gilt meinen Eltern Regine und Dr. Götz Baumann. Sie haben mich während meines gesamten Studiums und auch sonst in allen Lebenslagen stets unterstützt und gefördert und standen mir mit Rat und Tat zur Seite. Für ihre immerwährende Unterstützung und unaufhörliche Ermutigung während der Anfertigung meiner Dissertation gilt mein allergrößter Dank meiner Freundin Lisa Alp. Frankfurt am Main, im Juni 2015

Bastian Baumann

Inhaltsübersicht Einleitung

37

§ 1 Gegenstand der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 § 2 Gang der Darstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Teil 1

Datenfluss im internationalen Kontext

41

§ 3 Grundlagen zum Datenfluss im internationalen Kontext . . . . . . . . . . . . . . . . . . . . . 41 § 4 Realbereichsanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 § 5 Allgemeiner Regelungsrahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 § 6 Die bestehenden Regelungen in der EU und den USA . . . . . . . . . . . . . . . . . . . . . . . 88 § 7 Ausblick auf Herausforderungen des Datenflusses im internationalen Kontext . . . 200

Teil 2

Datenschutzkonflikte zwischen der EU und den USA

203

§ 8 „Right to Privacy“ und der Umgang mit Daten und Datenschutz in den USA . . . . . 203 § 9 Ursachen für unterschiedlichen Datenschutz in der EU und den USA . . . . . . . . . . . 233 § 10 Datenschutzkonflikte und Lösungsansätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268

Teil 3

Die Übermittlung von PNR-Daten in die USA

284

§ 11 PNR-Daten – Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 § 12 Nutzung von PNR-Daten zu kommerziellen Zwecken . . . . . . . . . . . . . . . . . . . . . . . 290 § 13 Nutzung von PNR-Daten und weiteren Datenarten zu Sicherheitszwecken . . . . . . 309 § 14 Grundlagen der Datenauswertung und Auswertungssysteme . . . . . . . . . . . . . . . . . . 377

10

Inhaltsübersicht

§ 15 Die PNR-Abkommen zwischen der EU und den USA . . . . . . . . . . . . . . . . . . . . . . . 412 § 16 Rechtliche Würdigung der PNR-Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506 § 17 Optimierungsmöglichkeiten zur Herstellung einer Interessenbalance . . . . . . . . . . . 575



Zusammenfassung und Schlussbetrachtung

612

Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614 Sachwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654

Inhaltsverzeichnis Einleitung 37 § 1 Gegenstand der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 § 2 Gang der Darstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Teil 1

Datenfluss im internationalen Kontext

41

§ 3 Grundlagen zum Datenfluss im internationalen Kontext . . . . . . . . . . . . . . . . . . . . . 41 A. Terminologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 I.

Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

II.

Fluss von Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

III. Internationaler Kontext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 B. Datenfluss im internationalen Kontext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 I.

Punkt zu Punkt Übermittlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

II.

Globale Netzwerke, Cloud Computing und soziale Netzwerke . . . . . . . . . 48

III. Transit von Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 IV. Hochladen von Inhalten in das Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 1. Die Rechtssache Lindqvist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 2. Tatsächliche Komponente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 3. Eine Entscheidung im politischen Kontext . . . . . . . . . . . . . . . . . . . . . . 52 § 4 Realbereichsanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 A. Dimensionen des Datenflusses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 B. Unlimitierte Gründe für Datenfluss und Feststellung eines Informationsbedarfs 55 C. Internationale Dimension des Datenflusses . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 D. Akteure im Bereich des Datenflusses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 I.

Natürliche Personen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

II.

Unternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

III. Hoheitsträger wie Staaten und Staatenverbund . . . . . . . . . . . . . . . . . . . . . . 59 IV. Internationale Organisationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 V.

Mögliche Bildung weiterer Kategorien . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

12

Inhaltsverzeichnis E. Individuelle und wechselseitige Komponente des Datenflusses . . . . . . . . . . . . . 60 F. Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

§ 5 Allgemeiner Regelungsrahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 A. Historische Einordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 B. Gründe für Regelungen des Datenflusses im internationalen Kontext . . . . . . . . 64 I.

Regelungen zum Zwecke des Datenschutzes . . . . . . . . . . . . . . . . . . . . . . . 64 1. Daten und Datenverarbeitung als Regelungsgegenstand . . . . . . . . . . . 64 2. Datenschutz als Regelungszweck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 a) Verhinderung der Umgehung nationaler Datenschutzgesetze . . . . . 65 b) Schutz gegen Risiken der Datenverarbeitung in anderen Ländern . 66 c) Schwierigkeiten bei der Durchsetzung von Datenschutzrechten im Ausland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 d) Förderung des Vertrauens von Konsumenten und Individuen . . . . . 67 3. Rechtsverbindliche Regelung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 4. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

II. Regelungen zum Zwecke der Ermöglichung und Verhinderung von Datenflüssen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 1. Datenfluss auch ohne Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 2. Ermöglichung im Zusammenhang mit sachbezogenen Daten . . . . . . . 68 3. Ermöglichung im Zusammenhang mit personenbezogenen Daten . . . . 69 4. Verhinderung des Datenflusses im internationalen Kontext . . . . . . . . . 70 a) Protektionistische Gründe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 b) Schutz der staatlichen Souveränität . . . . . . . . . . . . . . . . . . . . . . . . . 70 c) Politische Gründe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 5. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 III. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 C. Zusammenhang von Regelungen und Akteuren . . . . . . . . . . . . . . . . . . . . . . . . . 72 D. Risiken und Herausforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 I.

Unterschiedliche Arten von Datenschutzregelungen . . . . . . . . . . . . . . . . . 73

II.

Probleme durch das Outsourcen von Datenverarbeitungen . . . . . . . . . . . . 74

III. Herausforderungen durch Datenbanken und Data-Mining . . . . . . . . . . . . . 75 IV. Sicherheitsgesetze als Herausforderung für den Datenschutz . . . . . . . . . . 75 V.

Herausforderungen in Bezug auf das anwendbare Recht und Extraterritorialität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

VI. Herausforderungen durch Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . 79 VII. Weitere Risiken des Datenflusses im internationalen Kontext . . . . . . . . . . 81 E. Arten von Regelungen des Datenflusses im internationalen Kontext . . . . . . . . . 82

Inhaltsverzeichnis I.

13

Explizite und implizite Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 1. Explizite Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 2. Implizite Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

II.

Rechtsverbindliche und unverbindliche Regelungen . . . . . . . . . . . . . . . . . 84 1. Rechtsverbindliche Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 2. Unverbindliche bzw. freiwillige Regelungen . . . . . . . . . . . . . . . . . . . . 84

III. Hoheitliche Regelungen und privatrechtliche Regelungen . . . . . . . . . . . . . 85 1. Hoheitliche Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 2. Privatrechtliche Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 IV. Unilaterale, bilaterale und multilaterale Regelungen . . . . . . . . . . . . . . . . . 85 1. Unilaterale Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 2. Bilaterale Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 3. Multilaterale Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 V.

Geographiebasierte und organisationsbasierte Regelungen . . . . . . . . . . . . 86 1. Geographiebasierte Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 2. Organisationsbasierte Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

VI. Regelungen zum Grundrechtsschutz und für sonstige Zwecke . . . . . . . . . 88 VII. Kombination der unterschiedlichen Kriterien . . . . . . . . . . . . . . . . . . . . . . . 88 § 6 Die bestehenden Regelungen in der EU und den USA . . . . . . . . . . . . . . . . . . . . . . . 88 A. Recht der EU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 I.

Primärrechtliche Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

II. Sekundärrechtliche Regelungen zum Datenfluss im internationalen Kontext de lege lata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 1. EU-Datenschutzrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 a) Entstehungsgeschichte der Datenschutzrichtlinie . . . . . . . . . . . . . . 91 b) Zweck und Anwendungsbereich der Datenschutzrichtlinie . . . . . . 93 c) Art. 25 DSRL: Grundsätze – Die Bedeutung des Kriteriums der Angemessenheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 aa) Ziele und Funktionen des Art. 25 DSRL . . . . . . . . . . . . . . . . 95 bb) Art. 25 I DSRL: Die Angemessenheit des Schutzniveaus . . . 96 cc) Art. 25 II DSRL: Kriterien zur Bestimmung der Angemessenheit des Schutzniveaus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 dd) Art. 25 III DSRL: Unterrichtung über nicht bestehendes angemessenes Schutzniveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 ee) Art. 25 IV DSRL: Reaktion der Mitgliedstaaten bei fehlendem angemessenem Schutzniveau . . . . . . . . . . . . . . . . . . . . . . . . . 105 ff)

Art. 25 V DSRL: Reaktion der Kommission bei fehlendem angemessenem Schutzniveau . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

gg) Art.  25 VI DSRL: Möglichkeit der Feststellung eines angemessenen Schutzniveaus . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

14

Inhaltsverzeichnis (1) Bisher ergangene Angemessenheitsentscheidungen . . . . 108 (2) Safe Harbor-Vereinbarung . . . . . . . . . . . . . . . . . . . . . . . . 109 (3) Angemessenheitsentscheidung zur Übermittlung von Fluggastdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 d) Art. 26 DSRL: Ausnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 aa) Ziele und Funktionen des Art. 26 DSRL . . . . . . . . . . . . . . . . 117 bb) Art. 26 I lit. a DSRL: Einwilligung des Betroffenen . . . . . . . 118 cc) Art. 26 I lit. b DSRL: Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen . . . . . . . . . . . . . . . . . . . . . 119 dd) Art. 26 I lit. c DSRL: Abschluss oder Erfüllung eines Vertrags im Interesse der betroffenen Person . . . . . . . . . . . . . . . . . . . . 120 ee) Art. 26 I lit. d DSRL: Wahrung eines wichtigen öffentlichen Interesses oder Durchsetzung von Rechtsansprüchen . . . . . . 120 ff)

Art. 26 I lit. e DSRL: Wahrung lebenswichtiger Interessen . . 121

gg) Art. 26 I lit. f DSRL: Übermittlung aus einem Register . . . . 122 hh) Art. 26 II DSRL: Ausreichende Garantien . . . . . . . . . . . . . . . 122 (1) Standardvertragsklauseln . . . . . . . . . . . . . . . . . . . . . . . . . 125 (2) Verbindliche Unternehmensregelungen . . . . . . . . . . . . . . 127 ii)

Art. 26 III DSRL: Unterrichtungspflicht . . . . . . . . . . . . . . . . 129

jj)

Art. 26 IV DSRL: Standardvertragsklauseln . . . . . . . . . . . . . 130

e) Gleichwertiges Schutzniveau innerhalb der EU . . . . . . . . . . . . . . . 130 2. Datenschutz-Rahmenbeschluss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 a) Entstehungsgeschichte des Datenschutz-Rahmenbeschlusses . . . . 132 b) Zweck und Anwendungsbereich des Datenschutz-Rahmenbeschlusses 133 c) Art. 13 DSRB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 aa) Ziele und Funktionen des Art. 13 DSRB . . . . . . . . . . . . . . . . 134 bb) Art. 13 I lit. a-c, II DSRB – Voraussetzungen für eine Übermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 cc) Art. 13 I lit. d, III lit. a, b, IV DSRB – Das Kriterium der Angemessenheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 3. Weitere exemplarische Regelungen auf EU-Ebene . . . . . . . . . . . . . . . 139 a) Verordnung zum Datenschutz durch die Organe und Einrichtungen der Gemeinschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 b) Eurojust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 c) Europol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 III. Sekundärrechtliche Regelungen zum Datenfluss im internationalen Kontext de lege ferenda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 1. Kommissionsvorschlag für eine Datenschutzgrundverordnung . . . . . . 143 a) Zweck der Verordnung und Referenzen zum Datenfluss im internationalen Kontext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

Inhaltsverzeichnis

15

b) Art. 40 DSGVO: Allgemeine Grundsätze der Datenübermittlung . 145 aa) Ziele und Funktionen des Art. 40 DSGVO . . . . . . . . . . . . . . 145 bb) Inhalt des Art. 40 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 c) Art. 41 DSGVO: Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 aa) Ziele und Funktionen des Art. 41 DSGVO . . . . . . . . . . . . . . 146 bb) Inhalt des Art. 41 I DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . 147 cc) Inhalt des Art. 41 II DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . 147 dd) Inhalt des Art. 41 III–IV DSGVO . . . . . . . . . . . . . . . . . . . . . 149 ee) Inhalt des Art. 41 V–VI DSGVO . . . . . . . . . . . . . . . . . . . . . . 150 ff)

Inhalt des Art. 41 VII DSGVO . . . . . . . . . . . . . . . . . . . . . . . . 151

gg) Inhalt des Art. 41 VIII DSGVO . . . . . . . . . . . . . . . . . . . . . . . 151 d) Art. 42 DSGVO: Datenübermittlung auf der Grundlage geeigneter Garantien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 aa) Ziele und Funktionen des Art. 42 DSGVO . . . . . . . . . . . . . . 152 bb) Inhalt des Art. 42 I–IV DSGVO . . . . . . . . . . . . . . . . . . . . . . . 153 cc) Inhalt des Art. 42 V DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . 154 e) Art.  43 DSGVO: Datenübermittlung auf der Grundlage verbindlicher unternehmensinterner Vorschriften . . . . . . . . . . . . . . . . . . . . 154 aa) Ziele und Funktionen des Art. 43 DSGVO . . . . . . . . . . . . . . 154 bb) Inhalt des Art. 43 I–II DSGVO . . . . . . . . . . . . . . . . . . . . . . . 155 cc) Inhalt des Art. 43 III–IV DSGVO . . . . . . . . . . . . . . . . . . . . . 156 f) Art. 44 DSGVO: Ausnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 aa) Ziele und Funktionen des Art. 44 DSGVO . . . . . . . . . . . . . . 157 bb) Inhalt des Art. 44 I lit. a DSGVO . . . . . . . . . . . . . . . . . . . . . . 158 cc) Inhalt des Art. 44 I lit. b, IV DSGVO . . . . . . . . . . . . . . . . . . . 158 dd) Inhalt des Art. 44 I lit. c; IV DSGVO . . . . . . . . . . . . . . . . . . . 158 ee) Inhalt des Art. 44 I lit. d, V, VII DSGVO . . . . . . . . . . . . . . . . 159 ff)

Inhalt des Art. 44 I lit. e DSGVO . . . . . . . . . . . . . . . . . . . . . . 159

gg) Inhalt des Art. 44 I lit. f DSGVO . . . . . . . . . . . . . . . . . . . . . . 159 hh) Inhalt des Art. 44 I lit. g, II DSGVO . . . . . . . . . . . . . . . . . . . 160 ii)

Inhalt des Art. 44 I lit. h, III, IV, VI, VII DSGVO . . . . . . . . . 160

g) Art. 45 DSGVO: Internationale Zusammenarbeit zum Schutz personenbezogener Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 aa) Ziele und Funktionen des Art. 45 DSGVO . . . . . . . . . . . . . . 162 bb) Inhalt des Art. 45 I–II DSGVO . . . . . . . . . . . . . . . . . . . . . . . 163 h) Die (Wieder-)Einführung des ursprünglich geplanten Art. 42 DSGVO als Art. 43a DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 2. Kommissionsvorschlag für eine Richtlinie für die Datenverarbeitung bei Polizei und Justiz in Europa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

16

Inhaltsverzeichnis a) Zweck der Verordnung und Referenzen zum Datenfluss im internationalen Kontext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 b) Art. 33 DSRL-PJ: Allgemeine Grundsätze für die Übermittlung personenbezogener Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 aa) Ziele und Funktionen des Art. 33 DSRL-PJ . . . . . . . . . . . . . . 168 bb) Inhalt des Art. 33 DSRL-PJ . . . . . . . . . . . . . . . . . . . . . . . . . . 168 c) Art. 34 DSRL-PJ: Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 aa) Ziele und Funktionen des Art. 34 DSRL-PJ . . . . . . . . . . . . . . 170 bb) Inhalt des Art. 34 I DSRL-PJ . . . . . . . . . . . . . . . . . . . . . . . . . 170 cc) Inhalt des Art. 34 II DSRL-PJ . . . . . . . . . . . . . . . . . . . . . . . . 171 dd) Inhalt des Art. 34 III–IV DSRL-PJ . . . . . . . . . . . . . . . . . . . . . 172 ee) Inhalt des Art. 34 V–VI DSRL-PJ . . . . . . . . . . . . . . . . . . . . . 172 ff)

Inhalt des Art. 34 VII DSRL-PJ . . . . . . . . . . . . . . . . . . . . . . . 174

gg) Inhalt des Art. 34 VIII DSRL-PJ . . . . . . . . . . . . . . . . . . . . . . 174 d) Art. 35 DSRL-PJ: Datenübermittlung auf der Grundlage geeigneter Garantien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 aa) Ziele und Funktionen des Art. 35 der Richtlinie . . . . . . . . . . 174 bb) Inhalt des Art. 35 I–II DSRL-PJ . . . . . . . . . . . . . . . . . . . . . . . 175 e) Art. 36 DSRL-PJ: Ausnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 aa) Ziele und Funktionen des Art. 36 DSRL-PJ . . . . . . . . . . . . . . 176 bb) Inhalt des Art. 36 lit. a DSRL-PJ . . . . . . . . . . . . . . . . . . . . . . 177 cc) Inhalt des Art. 36 lit. b DSRL-PJ . . . . . . . . . . . . . . . . . . . . . . 177 dd) Inhalt des Art. 36 lit. c DSRL-PJ . . . . . . . . . . . . . . . . . . . . . . 177 ee) Inhalt des Art. 36 lit. d DSRL-PJ . . . . . . . . . . . . . . . . . . . . . . 177 ff)

Inhalt des Art. 36 lit. e DSRL-PJ . . . . . . . . . . . . . . . . . . . . . . 179

f) Art.  37 DSRL-PJ: Besondere Bedingungen für die Übermittlung personenbezogener Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 aa) Ziele und Funktionen des Art. 37 DSRL-PJ . . . . . . . . . . . . . . 179 bb) Inhalt des Art. 37 DSRL-PJ . . . . . . . . . . . . . . . . . . . . . . . . . . 179 g) Art. 38 DSRL-PJ: Internationale Zusammenarbeit zum Schutz personenbezogener Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 aa) Ziele und Funktionen des Art. 38 DSRL-PJ . . . . . . . . . . . . . . 180 bb) Inhalt des Art. 38 DSRL-PJ . . . . . . . . . . . . . . . . . . . . . . . . . . 181 B. Recht der USA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 I. II.

Keine allgemeinen Regelungen zum Datenfluss im internationalen Kontext 182 Explizite und implizite sektorielle Regelungen . . . . . . . . . . . . . . . . . . . . . 182 1. Explizite Regelung: Internal Revenue Service Rule . . . . . . . . . . . . . . . 183 2. Beispiel für eine implizite Regelung: Gramm-Leach-Bliley Act of 1999 185

Inhaltsverzeichnis

17

III. Gesetzesinitiativen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 1. Privacy Act of 1974 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 a) Inhalt des Privacy Act of 1974 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 b) Entwurf einer Regelung zum Datenfluss im internationalen Kontext 189 c) Vereinzelte positive Stellungnahme zum Datenfluss im internationalen Kontext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 d) Ablehnende Haltung von Seiten der Privatwirtschaft . . . . . . . . . . . 191 e) Ablehnende Haltung von Seiten des öffentlichen Sektors . . . . . . . . 192 2. Der erste Entwurf eines SAFE-ID Act of 2004 . . . . . . . . . . . . . . . . . . 193 3. Der zweite Entwurf eines SAFE-ID Act of 2004 . . . . . . . . . . . . . . . . . 195 4. Personal Data Offshoring Protection Act of 2004 . . . . . . . . . . . . . . . . 196 5. Increasing Notice of Foreign Outsourcing Act of 2004 . . . . . . . . . . . . 198 6. Weitere Initiativen im Jahr 2005 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 § 7 Ausblick auf Herausforderungen des Datenflusses im internationalen Kontext . . . . . 200

Teil 2

Datenschutzkonflikte zwischen der EU und den USA

203

§ 8 „Right to Privacy“ und der Umgang mit Daten und Datenschutz in den USA . . . . . . 203 A. Privacy, Privatheit, Privatsphäre, Datenschutz – eine terminologische Abgrenzung 204 B. Grundlagen und Entwicklung eines „Right to Privacy“ . . . . . . . . . . . . . . . . . . . 205 I.

Der Aufsatz von Warren/Brandeis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

II.

Deliktsrecht (Common Law Torts) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206

III. Verfassungsrechtliche Vorgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 1. Bundesebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 a) 4. Verfassungszusatz – Orientierung am Eigentumsrecht . . . . . . . . 208 b) 4. Verfassungszusatz – Orientierung an der Person . . . . . . . . . . . . . 209 2. Ebene der Bundesstaaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 C. Verschiedene Ausformungen des Right to Privacy . . . . . . . . . . . . . . . . . . . . . . . 211 I.

The right to be let alone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

II.

Limited Access to the Self . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214

III. Secrecy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 IV. Control over personal Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 V.

Personhood (Decisional privacy) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216

VI. Intimacy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 VII. Kombination der Ansätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 D. Insbesondere: Information Privacy Law . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218

18

Inhaltsverzeichnis I. II.

Verfassungsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 Einfachgesetzliche Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 1. Fair Credit Reporting Act of 1970 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 2. Privacy Act of 1974 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 3. Family Educational Rights and Privacy Act of 1974 . . . . . . . . . . . . . . 224 4. Cable Communication Policy Act of 1984 . . . . . . . . . . . . . . . . . . . . . . 224 5. Electronic Communications Privacy Act of 1986 . . . . . . . . . . . . . . . . . 224 6. Video Privacy Protection Act of 1988 . . . . . . . . . . . . . . . . . . . . . . . . . . 225 7. Driver’s Privacy Protection Act of 1994 . . . . . . . . . . . . . . . . . . . . . . . . 225 8. Children’s Online Privacy Protection Act of 1998 . . . . . . . . . . . . . . . . 225

III. Common Law . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 IV. Selbstregulierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 1. Das Konzept der Selbstregulierung in den USA . . . . . . . . . . . . . . . . . . 228 2. Die Rolle der FTC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 3. Datenschutzerklärungen – Privacy Statements . . . . . . . . . . . . . . . . . . . 232 4. Privacy Seals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 § 9 Ursachen für unterschiedlichen Datenschutz in der EU und den USA . . . . . . . . . . . . 233 A. Untersuchungsgegenstand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 I.

Untersuchungsobjekt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

II.

Fragestellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234

III. Untersuchungstechnik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 IV. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 V.

Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236

B. Ähnliche Ausgangslage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 C. Gründe für die vorgenommenen Regelungen in der EU . . . . . . . . . . . . . . . . . . . 238 I.

Bestehende Be- und Empfindlichkeiten im Umgang mit Daten und Datenschutz in der EU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 1. Der Zusammenhang zwischen rechtlichen Regelungen und Positionen 239 2. Unterschiedliche Hintergründe innerhalb der EU . . . . . . . . . . . . . . . . . 240 3. Der Einfluss der DSRL und weiterer EU-Regelungen zum Datenschutz 240 4. Be- und Empfindlichkeiten im Umgang mit Daten in der EU . . . . . . . 241

II.

Die Bedeutung der „Würde“ in Europa . . . . . . . . . . . . . . . . . . . . . . . . . . . 246

III. Die Bedeutung von Vorsorge und Vorbeugung in der EU . . . . . . . . . . . . . . 249 IV. Verfassungsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 1. Interpretationsoffene Verfassungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 2. Detaillierte und moderne Grundrechtskataloge mit positiven Schutzpflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251

Inhaltsverzeichnis

19

3. Normierung des Datenschutzes in Verfassungstexten . . . . . . . . . . . . . . 251 4. Die Rolle eines Verfassungsgerichts . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 V.

Einfluss der Erfahrungen mit dem Nationalsozialismus und anderen autoritären Regimen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252

VI. Die Entscheidung für eine bestimmte Strategie zur Rechtsdurchsetzung . . 254 VII. Die anfängliche Entscheidung für einen allumfassenden Datenschutz . . . 255 D. Gründe für die vorgenommenen Regelungen in den USA . . . . . . . . . . . . . . . . . 255 I.

Bestehende Be- und Empfindlichkeiten im Umgang mit Daten und Datenschutz in den USA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255

II. Die anfängliche Auffassung zur Rolle des Privatsektors bei der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 III. Die Bedeutung der „Freiheit“ in den USA als Freiheit gegenüber dem Staat 258 IV. Verfassungsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 1. Keine Normierung des Datenschutzes in der Bundesverfassung . . . . . 260 2. Grundrechte als staatsgerichtete Abwehrrechte . . . . . . . . . . . . . . . . . . 260 3. Befugnisse der Exekutive und Sicherheitsgesetze nach dem 11.  September 2001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 V. Die Bedeutung der Selbstregulierung des Marktes und der Entwicklung von Technologieunternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264 VI. Die Entscheidung für eine bestimmte Strategie zur Rechtsdurchsetzung . . 264 1. Rechtsdurchsetzung durch Privatklagen . . . . . . . . . . . . . . . . . . . . . . . . 265 2. Das weitgehende Fehlen von Aufsichts- und Kontrollorganen . . . . . . . 266 VII. Die anfängliche Entscheidung für begrenzte Datenschutzregelungen . . . . 266 E. Unterschiedliche Herangehensweisen und deren Folgen . . . . . . . . . . . . . . . . . . 267 § 10 Datenschutzkonflikte und Lösungsansätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 A. Datenschutzkonflikte zwischen der EU und den USA . . . . . . . . . . . . . . . . . . . . 268 I.

Konfliktbereich I: Übermittlung von Daten an Unternehmen aus kommerziellen Interessen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 1. Gegenstand des Konflikts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 2. Lösungsansätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268

II.

Konfliktbereich II: Übermittlung von Passagierdaten zu Sicherheitszwecken 270 1. Gegenstand des Konflikts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 2. Bewältigung des Konflikts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270

III. Konfliktbereich III: SWIFT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 1. Gegenstand des Konflikts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 2. Bewältigung des Konflikts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 IV. Konfliktbereich IV: Die bestehenden Datenverarbeitungspraktiken ameri­ kanischer Unternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272 1. Gegenstand des Konflikts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272

20

Inhaltsverzeichnis 2. Bewältigung des Konflikts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 V.

Konfliktbereich V: E-Discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 1. Gegenstand des Konflikts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 2. Bewältigung des Konflikts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275

VI. Konfliktbereich VI: Die NSA-Affäre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 1. Gegenstand des Konflikts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 2. Bewältigung des Konflikts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 VII. Weitere Konfliktbereiche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 B. Lösungsansätze und Interessenbalance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 I.

Problem einer Lösungsfindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280

II.

Notwendigkeit einer Interessenbalance . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

Teil 3

Die Übermittlung von PNR-Daten in die USA

284

§ 11 PNR-Daten – Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 A. Begriffsbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 B. Nutzung von PNR-Daten zu kommerziellen Zwecken . . . . . . . . . . . . . . . . . . . . 286 C. Nutzung von PNR-Daten zu Sicherheitszwecken . . . . . . . . . . . . . . . . . . . . . . . . 287 I.

Reaktive Nutzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289

II.

Nutzung in Echtzeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289

III. Proaktive Nutzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 § 12 Nutzung von PNR-Daten zu kommerziellen Zwecken . . . . . . . . . . . . . . . . . . . . . . . 290 A. Entwicklung von der manuellen Flugbuchung zu Globalen Distributionssystemen 290 I.

Manuelle Flugbuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291

II.

Airline-Reservierungssysteme (ARS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292

III. Computer Reservierungssysteme (CRS) . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 1. Entwicklung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 2. Akteure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 a) Systemteilnehmer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 b) Systembetreiber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 c) Systemnutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 3. Bedeutung der Deregulierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 IV. Globale Distributionssysteme (GDS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 1. Entwicklung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 2. Charakteristika von GDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297

Inhaltsverzeichnis

21

a) Eigentumsverhältnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 b) Systembeteiligte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 c) Produktpalette . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 d) Verbreitungsgrad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 B. Einzelne Funktionen der Globalen Distributionssysteme . . . . . . . . . . . . . . . . . . 298 I.

Darstellung der angebotenen Produkte . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299

II.

Darstellung und Berechnung der erhältlichen Tarife . . . . . . . . . . . . . . . . . 299

III. Reservierungen und Erhebung von PNR-Daten . . . . . . . . . . . . . . . . . . . . . 299 IV. Hilfe bei der Abwicklung von Flügen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300 V.

Inventarmanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300

VI. Datenquelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 VII. Gewährleistung technischer Funktionalität . . . . . . . . . . . . . . . . . . . . . . . . . 301 VIII. Weitere Zusatzfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 C. Aufbau eines PNR-Datensatzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 I.

Kopfteil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302

II.

Leistungsteil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303

III. Informationsteil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 IV. Nachverfolgungsmöglichkeit von Änderungen . . . . . . . . . . . . . . . . . . . . . . 304 V.

Transitional Stored Ticket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304

D. Fluggesellschaften und CRS bzw. GDS als verantwortliche Stellen . . . . . . . . . . 304 § 13 Nutzung von PNR-Daten und weiteren Datenarten zu Sicherheitszwecken . . . . . . 309 A. PNR-Daten und weitere Datenarten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 I.

API-Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 1. API-Daten in der EU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 2. API-Daten in den USA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312

II.

Daten auf Beobachtungslisten (watchlists) . . . . . . . . . . . . . . . . . . . . . . . . . 314

III. Secure Flight-Passagierdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 IV. Electronic System for Travel Authorization-Daten . . . . . . . . . . . . . . . . . . . 317 B. Die Position der USA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 I.

Die Nutzung von PNR-Daten und weiteren Datenarten vor den Anschlägen des 11. September 2001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319

II. Die Nutzung von PNR-Daten und weiteren Datenarten nach den Anschlägen des 11. September 2001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320 1. Gesetze und Entwicklungen nach dem 11. September 2001 . . . . . . . . 321 a) Der Aviation and Transportation Security Act . . . . . . . . . . . . . . . . . 321 b) Der USA Patriot Act of 2001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 c) Der Enhanced Border Security and Visa Entry Reform Act of 2002 323

22

Inhaltsverzeichnis d) Der Homeland Security Act of 2002 . . . . . . . . . . . . . . . . . . . . . . . . 324 e) Die Homeland Security Presidential Directive 6 . . . . . . . . . . . . . . . 324 f) Der National Intelligence Reform and Terrorism Prevention Act of 2004 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 g) Der Implementing Recommendations of the 9/11 Commission Act of 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 2. Verantwortliche Stellen nach den Anschlägen des 11. September 2001 326 a) Department of Homeland Security (DHS) . . . . . . . . . . . . . . . . . . . 326 aa) Custom and Border Protection (CBP) . . . . . . . . . . . . . . . . . . 327 bb) Transportation Security Administration (TSA) . . . . . . . . . . . 328 b) Terrorist Screening Center als Teil der National Security Branch . . 329 C. Die Position der EU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 I.

Die API-Richtlinie von 2004 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331

II.

PNR-Systeme in den Mitgliedstaaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331

III. Initiativen für ein einheitliches PNR-System in der EU . . . . . . . . . . . . . . . 333 1. Vorschlag eines Rahmenbeschlusses des Rates zur Speicherung von Passagierdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 2. Vorschlag einer Richtlinie zur Speicherung von Passagierdaten 2011 . . 335 3. Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 IV. Abkommen zwischen der EU und Drittländern . . . . . . . . . . . . . . . . . . . . . 342 1. Abkommen mit den USA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 2. Abkommen mit Australien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 3. Abkommen mit Kanada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 4. Mögliche Abkommen mit weiteren Drittländern . . . . . . . . . . . . . . . . . 345 V.

EU-Konzepte für die Übermittlung von Fluggastdaten . . . . . . . . . . . . . . . 346 1. EU-Konzept für die Übermittlung von Fluggastdaten 2003 . . . . . . . . . 346 2. EU-Konzept für die Übermittlung von Fluggastdaten 2010 . . . . . . . . . 348 a) Ziele des Konzepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 aa) Ausführungen der Kommission . . . . . . . . . . . . . . . . . . . . . . . 349 bb) Stellungnahme des EU-Datenschutzbeauftragten . . . . . . . . . 350 cc) Stellungnahme der Art. 29-Datenschutzgruppe . . . . . . . . . . . 351 b) Grundprinzipien zum Schutz personenbezogener Daten . . . . . . . . . 351 aa) Angemessenheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352 (1) Ausführungen der Kommission . . . . . . . . . . . . . . . . . . . . 352 (2) Stellungnahme des EU-Datenschutzbeauftragten . . . . . . 352 (3) Stellungnahme der Art. 29-Datenschutzgruppe . . . . . . . . 352 bb) Verwendung von Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 (1) Ausführungen der Kommission . . . . . . . . . . . . . . . . . . . . 353 (2) Stellungnahme des EU-Datenschutzbeauftragten . . . . . . 354

Inhaltsverzeichnis

23

cc) Umfang der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354 (1) Ausführungen der Kommission . . . . . . . . . . . . . . . . . . . . 355 (2) Stellungnahme des EU-Datenschutzbeauftragten . . . . . . 355 dd) Sensible Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356 (1) Ausführungen der Kommission . . . . . . . . . . . . . . . . . . . . 356 (2) Stellungnahme des EU-Datenschutzbeauftragten . . . . . . 356 (3) Stellungnahme der Art. 29-Datenschutzgruppe . . . . . . . . 357 ee) Datensicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 (1) Ausführungen der Kommission . . . . . . . . . . . . . . . . . . . . 357 (2) Stellungnahme des EU-Datenschutzbeauftragten . . . . . . 357 ff)

Beaufsichtigung und Rechenschaft . . . . . . . . . . . . . . . . . . . . 358 (1) Ausführungen der Kommission . . . . . . . . . . . . . . . . . . . . 358 (2) Stellungnahme des EU-Datenschutzbeauftragten . . . . . . 359

gg) Transparenz und Bekanntmachung . . . . . . . . . . . . . . . . . . . . 359 hh) Zugriff, Berichtigung und Löschung der Daten . . . . . . . . . . . 359 (1) Ausführungen der Kommission . . . . . . . . . . . . . . . . . . . . 359 (2) Stellungnahme des EU-Datenschutzbeauftragten . . . . . . 360 ii)

Rechtsbehelf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360

jj)

Automatisierte Einzelentscheidungen . . . . . . . . . . . . . . . . . . 361

kk) Vorhaltezeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361 (1) Ausführungen der Kommission . . . . . . . . . . . . . . . . . . . . 361 (2) Stellungnahme des EU-Datenschutzbeauftragten . . . . . . 362 (3) Stellungnahme der Art. 29-Datenschutzgruppe . . . . . . . . 362 ll)

Weiterübermittlung an andere Behörden . . . . . . . . . . . . . . . . 363 (1) Ausführungen der Kommission . . . . . . . . . . . . . . . . . . . . 363 (2) Stellungnahme des EU-Datenschutzbeauftragten . . . . . . 364

mm) Weiterübermittlung an Drittländer . . . . . . . . . . . . . . . . . . . . . 364 (1) Ausführungen der Kommission . . . . . . . . . . . . . . . . . . . . 364 (2) Stellungnahme des EU-Datenschutzbeauftragten . . . . . . 365 (3) Stellungnahme der Art. 29-Datenschutzgruppe . . . . . . . . 365 c) Grundprinzipien in Bezug auf Übermittlungsmodalitäten . . . . . . . 366 aa) Art der Übermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367 (1) Ausführungen der Kommission . . . . . . . . . . . . . . . . . . . . 367 (2) Stellungnahme des EU-Datenschutzbeauftragten . . . . . . 367 (3) Stellungnahme der Art. 29-Datenschutzgruppe . . . . . . . . 367 bb) Häufigkeit der Übermittlung . . . . . . . . . . . . . . . . . . . . . . . . . 368 (1) Ausführungen der Kommission . . . . . . . . . . . . . . . . . . . . 368 (2) Stellungnahme des EU-Datenschutzbeauftragten . . . . . . 369 (3) Stellungnahme der Art. 29-Datenschutzgruppe . . . . . . . . 369

24

Inhaltsverzeichnis cc) Keine Verpflichtung zur Erhebung zusätzlicher Daten . . . . . 369 d) Übergeordnete Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370 aa) Geltungsdauer und Überprüfung . . . . . . . . . . . . . . . . . . . . . . 370 (1) Ausführungen der Kommission . . . . . . . . . . . . . . . . . . . . 370 (2) Stellungnahme der Art. 29-Datenschutzgruppe . . . . . . . . 370 bb) Überwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371 (1) Ausführungen der Kommission . . . . . . . . . . . . . . . . . . . . 371 (2) Stellungnahme des EU-Datenschutzbeauftragten . . . . . . 371 (3) Stellungnahme der Art. 29-Datenschutzgruppe . . . . . . . . 371 cc) Streitbeilegung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 dd) Gegenseitigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 e) Zusammenfassende Stellungnahmen . . . . . . . . . . . . . . . . . . . . . . . . 373 aa) Stellungnahme des EU-Datenschutzbeauftragten . . . . . . . . . 373 bb) Stellungnahme der Art. 29-Datenschutzgruppe . . . . . . . . . . . 374 f) Bedeutung und Aussagegehalt des EU-Konzepts – Kriterien der Angemessenheit? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374

§ 14 Grundlagen der Datenauswertung und Auswertungssysteme . . . . . . . . . . . . . . . . . . 377 A. Data-Mining . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377 B. Datenauswertung für den Sicherheitsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . 379 I.

Anfänge der Auswertung von Fluggastdaten . . . . . . . . . . . . . . . . . . . . . . . 379

II.

CAPS bzw. CAPPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380

III. CAPPS-II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383 IV. Secure Flight-System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386 V.

APIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392

VI. ESTA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395 VII. ATS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 C. Nutzen der Systeme für den Sicherheitsbereich . . . . . . . . . . . . . . . . . . . . . . . . . 405 I.

Fehlen von passenden Rastern und Verhaltensmustern . . . . . . . . . . . . . . . . 405

II.

Fehlerfreiheit der vorhandenen Daten und Zuverlässigkeit der Auswertungssysteme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407

III. Wahrscheinlichkeit falscher Treffer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408 1. Fehler 1. Art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408 2. Fehler 2. Art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408 3. Ausgleich zwischen den Fehlerarten . . . . . . . . . . . . . . . . . . . . . . . . . . 409 4. Überlegungen zu möglichen Kosten . . . . . . . . . . . . . . . . . . . . . . . . . . . 410 D. Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411 § 15 Die PNR-Abkommen zwischen der EU und den USA . . . . . . . . . . . . . . . . . . . . . . . 412

Inhaltsverzeichnis

25

A. Die Situation vor dem Erlass konkreter Regelungen . . . . . . . . . . . . . . . . . . . . . . 413 I. II.

Die Ausgangssituation nach dem 11. September 2001 und die Situation der Fluggesellschaften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413 Kritik an den Forderungen der USA durch die Art. 29-Datenschutzgruppe 414 1. Grundsatz der Zweckbindung und Grundsatz der Verarbeitung sensibler Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415 2. Übermittlung in Drittländer und das Kriterium der Angemessenheit . . 415 3. Schlussfolgerungen der Art. 29-Datenschutzgruppe . . . . . . . . . . . . . . . 417

B. Vorläufige Regelung in Form einer Verpflichtungserklärung der USA . . . . . . . . 418 C. Aktualisierung der Verpflichtungserklärung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421 I.

Zugeständnisse durch eine Verpflichtungserklärung seitens der USA . . . . 421

II.

Stellungnahme der Art. 29-Datenschutzgruppe . . . . . . . . . . . . . . . . . . . . . 423

III. Inhalt der aktualisierten Verpflichtungserklärung . . . . . . . . . . . . . . . . . . . . 423 D. Die Angemessenheitsentscheidung und das PNR-Abkommen zwischen der EU und den USA 2004 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424 I.

Erlass einer Angemessenheitsentscheidung . . . . . . . . . . . . . . . . . . . . . . . . 425 1. Beginn der Verhandlungen zum Erlass einer Angemessenheitsentscheidung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425 2. Stellungnahme der Art. 29-Datenschutzgruppe . . . . . . . . . . . . . . . . . . 425 3. Übermittlung des Entwurfs der Angemessenheitsentscheidung an das Parlament . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426 4. Erlass der Angemessenheitsentscheidung . . . . . . . . . . . . . . . . . . . . . . . 427

II.

Abschluss des PNR-Abkommens zwischen der EU und den USA 2004 . . 427 1. Gründe für den zusätzlichen Abschluss eines Abkommens . . . . . . . . . 427 2. Beginn der Verhandlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428 3. Anhörung des Parlaments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429 4. Abschluss der Verhandlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431

III. Nichtigkeitsklagen des EU-Parlaments . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 1. Klagegegenstände der Nichtigkeitsklagen . . . . . . . . . . . . . . . . . . . . . . 432 a) Nichtigkeitsklage gegen die Angemessenheitsentscheidung der Kommission (Rs. C-318/04) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432 b) Nichtigkeitsklage gegen den Ratsbeschluss über den Abschluss des Abkommens (Rs. C-317/04) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432 2. Schlussanträge des Generalanwalts Léger . . . . . . . . . . . . . . . . . . . . . . 433 a) Stellungnahme zur Klage gegen die Angemessenheitsentscheidung der Kommission . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433 aa) Klagegrund 1: Befugnisüberschreitung der Kommission . . . 433 bb) Klagegrund 2: Verstoß gegen die wesentlichen Grundsätze der DSRL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434

26

Inhaltsverzeichnis cc) Klagegründe 3 und 4: Verstoß gegen Grundrechte und den Verhältnismäßigkeitsgrundsatz . . . . . . . . . . . . . . . . . . . . . . . . 435 b) Stellungnahme zur Klage gegen den Ratsbeschluss über den Abschluss des Abkommens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435 aa) Klagegrund 1: Fehlerhafte Entscheidung für Art. 95 EGV als Rechtsgrundlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435 bb) Klagegrund 2: Verstoß gegen das Zustimmungserfordernis des Parlaments bei Änderung der DSRL . . . . . . . . . . . . . . . . . . . 438 cc) Klagegründe 3 und 4: Verstoß gegen Grundrechte und den Verhältnismäßigkeitsgrundsatz . . . . . . . . . . . . . . . . . . . . . . . . 439 (1) Vorbringen der Beteiligten . . . . . . . . . . . . . . . . . . . . . . . . 439 (2) Ausführungen des Generalanwalts . . . . . . . . . . . . . . . . . 440 dd) Klagegrund 5: Fehlende hinreichende Begründung . . . . . . . . 444 ee) Klagegrund 6: Verstoß gegen den Grundsatz des Art. 10 EGV 444 c) Ergebnis der Schlussanträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445 3. Urteil des EuGH hinsichtlich der Angemessenheitsentscheidung und des Abkommens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446 a) Urteil in Bezug auf die Angemessenheitsentscheidung . . . . . . . . . . 446 b) Urteil in Bezug auf den Ratsbeschluss . . . . . . . . . . . . . . . . . . . . . . 447 c) Auswirkung des Urteils auf die Regelungen . . . . . . . . . . . . . . . . . . 447 d) Auswirkung des Urteils auf die Rechtsgrundlage von PNR-Ab­ kommen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447 E. Das vorläufige PNR-Abkommen zwischen der EU und den USA 2006 . . . . . . . 452 I.

Initiative zur Verhandlung des Abkommens . . . . . . . . . . . . . . . . . . . . . . . . 452

II.

Rechtsgrundlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452

III. Versuch des Parlaments, an den Verhandlungen beteiligt zu werden . . . . . 454 IV. Positionen des Parlaments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455 V. Abschluss des Abkommens ohne spürbare Berücksichtigung der Parla­ mentspositionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456 VI. Neuinterpretation der Verpflichtungserklärungen durch ein Schreiben des US Department of Homeland Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457 VII. Antwort der EU auf die Neuinterpretation der Verpflichtungserklärung . . 460 F. Das Abkommen zwischen der EU und den USA 2007 . . . . . . . . . . . . . . . . . . . . 461 I.

Zweck und Rechtsgrundlage des Abkommens . . . . . . . . . . . . . . . . . . . . . . 461

II.

Verhandlung und Vorgehensweise bei der Regelung . . . . . . . . . . . . . . . . . 461

III. Einfluss des Parlaments auf die Verhandlungen . . . . . . . . . . . . . . . . . . . . . 463 IV. Brief des EU-Datenschutzbeauftragten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466 V.

Die Regelungskonstruktion aus Abkommen und Briefwechsel . . . . . . . . . 467 1. Abkommen zwischen der EU und den USA . . . . . . . . . . . . . . . . . . . . . 467 2. Schreiben der USA an die EU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468

Inhaltsverzeichnis

27

3. Antwortschreiben der EU an die USA . . . . . . . . . . . . . . . . . . . . . . . . . 468 VI. Stellungnahme der Art. 29-Datenschutzgruppe . . . . . . . . . . . . . . . . . . . . . 469 VII. Briefwechsel zur Vertraulichkeit der Verhandlungsdokumente . . . . . . . . . 471 1. Anfrage der USA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471 2. Antwort der EU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472 VIII. Bedeutung der vorläufigen Geltung des Abkommens . . . . . . . . . . . . . . . . 473 IX. Ratifikation in den Mitgliedstaaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475 G. Das Abkommen zwischen der EU und den USA 2012 . . . . . . . . . . . . . . . . . . . . 476 I.

Auswirkungen des Vertrages von Lissabon auf bestehende Abkommen . . 476 1. Neue Rechtsgrundlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476 2. Zustimmungsaufforderung an das Parlament . . . . . . . . . . . . . . . . . . . . 476 3. Entschließung des Parlaments mit Mindestanforderungen an PNR-Abkommen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477 4. Anwendbares Datenschutzrecht und das Kriterium der Angemessenheit 478

II.

Position der USA zu erneuten Verhandlungen . . . . . . . . . . . . . . . . . . . . . . 482

III. Beginn der Verhandlungen zu einem neuen Abkommen . . . . . . . . . . . . . . 484 IV. Erste Version des Abkommensentwurfs . . . . . . . . . . . . . . . . . . . . . . . . . . . 485 1. Leak des Abkommensentwurfs durch den Guardian . . . . . . . . . . . . . . 485 2. Inhalt der ersten Version des Abkommensentwurfs . . . . . . . . . . . . . . . 485 3. Stellungnahme des Juristischen Dienstes zur ersten Version des Abkommensentwurfs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486 V.

Zweite Version des Abkommensentwurfs . . . . . . . . . . . . . . . . . . . . . . . . . . 488 1. Die gewählte Regelungskonstruktion . . . . . . . . . . . . . . . . . . . . . . . . . . 488 a) Das eigentliche Abkommen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 488 b) Die Erklärung der EU zum Abkommen . . . . . . . . . . . . . . . . . . . . . . 489 2. Der Inhalt des Kommissionsvorschlags . . . . . . . . . . . . . . . . . . . . . . . . 489 a) Das eigentliche Abkommen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489 b) Die Erklärung der EU zum Abkommen . . . . . . . . . . . . . . . . . . . . . . 490

VI. Stellungnahme des Europäischen Datenschutzbeauftragten zu dem Vorschlag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491 VII. Beschluss des Rates über die Unterzeichnung . . . . . . . . . . . . . . . . . . . . . . 494 VIII. Verfahren im Parlament . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494 1. Beratung im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres 494 a) Entwurf einer Empfehlung des Ausschusses durch die Berichterstatterin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494 b) Stellungnahme des Ausschusses für auswärtige Angelegenheiten . 497 c) Empfehlung des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498 d) Minderheitsansicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499

28

Inhaltsverzeichnis 2. Plenardebatte zum PNR-Abkommen 2012 . . . . . . . . . . . . . . . . . . . . . . 499 a) Stellungnahme der Berichterstatterin Sophia in ’t Veld . . . . . . . . . . 500 b) Stellungnahme von Justizminister Morten Bødskov als Vertreter der dänischen Ratspräsidentschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501 c) Stellungnahme von Innenkommissarin Cecilia Malmström . . . . . . 501 aa) Grund 1 für den Abschluss des Abkommens: Notwendigkeit 502 bb) Grund 2 für den Abschluss des Abkommens: Verbesserung . 502 cc) Grund 3 für den Abschluss des Abkommens: Alternativlosigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503 3. Abstimmung über die Legislative Entschließung des Parlaments . . . . 504 IX. Formelle Annahme durch den Rat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505

§ 16 Rechtliche Würdigung der PNR-Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506 A. Grundrecht auf Datenschutz aus Art. 8 GRCh bzw. Art. 8 EMRK . . . . . . . . . . . 506 I.

Schutzbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507

II.

Eingriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507

III. Rechtfertigung gemäß Art. 52 I 1 GRCh . . . . . . . . . . . . . . . . . . . . . . . . . . 508 1. Eingriff in das Grundrecht gesetzlich vorgesehen . . . . . . . . . . . . . . . . 508 2. Gemeinwohlziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509 3. Verhältnismäßigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509 a) Prüfungsmaßstab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509 b) Objektiv-rechtliche Bindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510 c) Prüfungsdichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514 d) Anzahl und Art der erhobenen Datenelemente . . . . . . . . . . . . . . . . 519 aa) Geeignetheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520 bb) Erforderlichkeit – Problematik . . . . . . . . . . . . . . . . . . . . . . . . 521 cc) Erforderlichkeit der Übermittlung des PNR-Buchungscodes 522 dd) Erforderlichkeit der Übermittlung des Datums der Buchung 523 ee) Erforderlichkeit der Übermittlung des Datums des geplanten Fluges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523 ff)

Erforderlichkeit der Übermittlung des Namens des Reisenden 523

gg) Erforderlichkeit der Übermittlung von Vielflieger- und Bonusdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524 hh) Erforderlichkeit der Übermittlung von anderen im PNR-Datensatz enthaltenen Namen . . . . . . . . . . . . . . . . . . . . . . . . . . . 525 ii)

Erforderlichkeit der Übermittlung von sämtlichen verfügbaren Kontaktinformationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525

jj) Erforderlichkeit der Übermittlung von Zahlungs- bzw. Abrechnungsinformationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526 kk) Erforderlichkeit der Übermittlung der Reiseroute . . . . . . . . . 526

Inhaltsverzeichnis ll)

29

Erforderlichkeit der Übermittlung von Informationen über das Reisebüro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527

mm) Erforderlichkeit der Übermittlung von Code-Sharing-Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527 nn) Erforderlichkeit der Übermittlung von Informationen über Buchungssplitting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528 oo) Erforderlichkeit der Übermittlung des Reisestatus des Fluggastes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528 pp) Erforderlichkeit der Übermittlung von Flugscheininformationen 529 qq) Erforderlichkeit der Übermittlung von Informationen zum Gepäck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530 rr)

Erforderlichkeit der Übermittlung von Sitzplatzinformationen 530

ss) Erforderlichkeit der Übermittlung von allgemeinen Eintra­ gungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531 tt)

Erforderlichkeit der Übermittlung von APIS-Informationen . 533

uu) Erforderlichkeit der Übermittlung der Historie aller Ände­ rungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539 vv) Ausblick hinsichtlich Anzahl und Art der erhobenen Daten . 540 e) Speicherungsdauer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541 aa) Geeignetheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543 bb) Erforderlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543 IV. Rechtfertigung gemäß Art. 8 II GRCh . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546 1. Prüfungsmaßstab – Komponenten der Zweckbindung . . . . . . . . . . . . . 546 a) Bestimmung des Zwecks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547 b) Verbot der mit dem Zweck unvereinbaren Weiterverarbeitung . . . . 547 2. Bestimmung des Prüfungsgegenstandes . . . . . . . . . . . . . . . . . . . . . . . . 548 3. Bestimmung der Zwecke der Datenverwendung . . . . . . . . . . . . . . . . . 549 4. Übermittlung der Daten innerhalb der USA sowie an Drittländer . . . . 552 V.

Verstoß gegen Rechte der Betroffenen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556 1. Recht auf Auskunft (Zugang von Einzelpersonen) . . . . . . . . . . . . . . . . 557 2. Recht auf Berichtigung, Sperrung und Löschung . . . . . . . . . . . . . . . . . 559 3. Rechtsbehelfe für Einzelpersonen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561 a) Der Fall Hasbrouck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563 b) Das DHS-System TRIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569

VI. Aufsicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572 B. Angemessenheit und Optimierungspotenzial . . . . . . . . . . . . . . . . . . . . . . . . . . . 574 § 17 Optimierungsmöglichkeiten zur Herstellung einer Interessenbalance . . . . . . . . . . . 575 A. Überwachungs- und Spionageaffäre 2013 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577 B. Evaluierung des Abkommens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 578

30

Inhaltsverzeichnis I.

Ablauf der Evaluierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 578

II.

Zusammenfassung der Evaluierungsergebnisse . . . . . . . . . . . . . . . . . . . . . 579

III. Vorschläge der EU zur Verbesserung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582 C. Optimierungsmöglichkeiten im tatsächlichen Sinne . . . . . . . . . . . . . . . . . . . . . . 584 I.

Auswertung weniger grundrechtsrelevanter Daten anstelle von PNR-Daten 584

II. Stärkung des Bewusstseins für unterschiedliche Herangehensweisen im Umgang mit Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585 III. Notwendigkeit eines gemeinsamen Vorgehens innerhalb der EU . . . . . . . . 586 IV. Einrichtung einer Schlichtungsstelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586 V.

Verbesserung der Informationspolitik für Passagiere . . . . . . . . . . . . . . . . . 587

VI. Verhinderung von Umgehungsmöglichkeiten der Abkommen . . . . . . . . . . 588 D. Optimierungsmöglichkeiten im rechtlichen Sinne . . . . . . . . . . . . . . . . . . . . . . . 590 I.

Optimierungsmöglichkeiten im Hinblick auf ein neues PNR-Abkommen mit den USA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590 1. Anzahl und Art der erhobenen Datenelemente . . . . . . . . . . . . . . . . . . . 590 2. Speicherungsdauer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 593 3. Bestimmung der Datenverwendung . . . . . . . . . . . . . . . . . . . . . . . . . . . 593 4. Übermittlung der Daten innerhalb der USA sowie an Drittländer . . . . 595 5. Recht auf Auskunft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596 6. Recht auf Berichtigung, Sperrung und Löschung . . . . . . . . . . . . . . . . . 597 7. Rechtsbehelfe bei Gericht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598 8. Aufsichtsstrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598 9. Rechtsverbindlichkeit von Abkommen . . . . . . . . . . . . . . . . . . . . . . . . . 599 10. Stärkere Einbindung der Fluggesellschaften . . . . . . . . . . . . . . . . . . . . 601 11. Institutionalisierung von Gesprächen und Evaluierungen . . . . . . . . . . 602

II.

Stärkung internationaler Standards für den Datenaustausch . . . . . . . . . . . 602

III. Schaffung rechtlicher Grundlagen für eine Übermittlung von API- und ­ Secure Flight-Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606 IV. Schaffung expliziter rechtlicher Grundlagen für die Tätigkeit von DHS-­ Beamten in Europa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607 E. Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610



Zusammenfassung und Schlussbetrachtung

612

Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614 Sachwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654

Abkürzungsverzeichnis a. E. am Ende American Law Institute A. L. I. A4A Airlines for America Abl. Amtsblatt ADIS Arrival and Departure Information System AEA Association of European Airlines Vertrag über die Arbeitsweise der Europäischen Union AEUV ALDE Allianz der Liberalen und Demokraten für Europa APEC Asia-Pacific Economic Cooperation/Asiatisch-pazifische Wirtschafts­ gemein­­schaft API Advanced Passenger Information Advanced Passenger Information System APIS AQQ APIS Quick Query Aeronautical Radio Incorporated ARINC ARS Airline-Reservation System/Airline-Reservierungssystem Art. Artikel ATA Air Transport Association of America ATS Automated Targeting System ATSA Aviation Transportation Security Act of 2001 ATS-A Automated Targeting System-Antiterrorism ATS-L Automated Targeting System-Land ATS-N Automated Targeting System-N Automated Targeting System-Passenger ATS-P Automated Targeting System-Targeting Framework ATS-TF Border Crossing Information BCI BCR Binding Corporate Rules/verbindliche Unternehmensregelungen BDSG Bundesdatenschutzgesetz BfDI Bundesbeauftragte(r) für den Datenschutz und die Informationsfreiheit BGB Bürgerliches Gesetzbuch BGBl. Bundesgesetzblatt BPolG Bundespolizeigesetz bspw. beispielsweise BT-Drs. Bundestagsdrucksache BVerfSchG Bundesverfassungsschutzgesetz C. F. R. Code of Federal Regulations CAPPS Computer Assisted Passenger Prescreening System Computer Assisted Passenger Screening System CAPS CBP Customs and Border Protection CBPA Cross Border Privacy Arrangements CBPR Cross Border Privacy Rules CCD Consular Consolidated Database

32

Abkürzungsverzeichnis

Cable Communication Policy Act of 1984 Counterintelligence Division Department of Health and Human Services Centers for Disease Control and Prevention CDCJ Europäisches Komitee für Juristische Zusammenarbeit Ch. Chapter COP Common Operating Picture COPPA US Children’s Online Privacy Protection Act Computer Reservation System/Central Reservation System/ComputerCRS reservierungssystem Counterterrorism Division CTD DDR Deutsche Demokratische Republik DG Directorate General DHS Department of Homeland Security DI Directorate of Intelligence DIN Deutsche Industrienorm DMV Department of Motor Vehicle DNS Desoxyribonukleinsäure DSGVO Entwurf einer Datenschutzgrundverordnung der EU DSRB Datenschutz-Rahmenbeschluss DSRL EU-Datenschutzrichtlinie Entwurf für eine Richtlinie für die Datenverarbeitung bei Polizei und DSRL-PJ Justiz exempli gratia/zum Beispiel e. g. Enhanced Border and Visa Entry Reform Act of 2002 EBSVERA Economic Community Of West African States/Westafrikanische Wirt­ ECOWAS schafts­gemeinschaft ECR Europäische Konservative und Reformisten Elektronische Datenverarbeitung EDV EFD Europa der Freiheit und der Demokratie Europäische Gemeinschaft EG EGMR Europäischer Gerichtshof für Menschenrechte EGV Vertrag zur Gründung der Europäischen Gemeinschaft Europäische Menschenrechtskonvention EMRK ESTA Electronic System for Travel Authorization Europäische Union EU EuGH Gerichtshof der Europäischen Union Vertrag über die Europäische Union EUV EVP Europäische Volkspartei EWG Europäische Wirtschaftsgemeinschaft f. folgend FAA Federal Aviation Administration FAQ Frequently Asked Questions FBI Federal Bureau of Investigation FCRA Fair Credit Reporting Act of 1970 FERPA Family Educational Rights and Privacy Act of 1974 ff. folgende FISA Foreign Intelligence Surveillance Act CCPA CD CDC

Abkürzungsverzeichnis

33

Freedom of Information Act Federal Trade Commission Gemeinsame Außen- und Sicherheitspolitik General Agreement on Trade in Services/Allgemeines Abkommen über den Handel mit Dienstleistungen Global Distribution System/Globales Distributionssystem GDS gem. gemäß GG Grundgesetz Gramm-Leach-Bliley Act of 1999 GLBA GO Geschäftsordnung GRCh Grundrechtecharta GUE/NGL Vereinte Europäische Linke/Nordische Grüne Linke House of Representatives H. R. HEW Department of Housing, Education, and Welfare High-Value Detainee Interrogation Group HIG HIPAA Health Insurance Portability and Accountability Act of 1996 Homeland Security Presidential Directive HSPD Office of Intelligence and Analysis I&A im Sinne i. S. i. S. d. im Sinne des/der IAP Immigration Advisory Program IATA International Air Transport Association IBE Internet Booking Engines International Business Machines Corporation IBM ICAO Internationale Zivilluftfahrtorganisation United States Immigration and Customs Enforcement ICE Automated Biometric Identification System IDENT IFG Informationsfreiheitsgesetz insb. insbesondere IP Internet-Protokoll IRS Internal Revenue Service im Vergleich iVgl. JI Justiz und Inneres Landesbeauftragter für Datenschutz und Informationsfreiheit LDI LIBE-Ausschuss Ausschuss für bürgerliche Freiheiten, Justiz und Inneres lit. Buchstabe m. w. Nachw. mit weiteren Nachweisen National Crime Information Center NCIC NCTC National Intelligence Reform and Terrorism Prevention Act of 2004 National Counterterrorism Center NDC National Data Center NGO Non Governmental Organisation National Insurance Crime Bureau NICB NIIS Nonimmigrant Information System No. Number Nr. Nummer NRW Nordrhein-Westfalen NSA National Security Agency FOIA FTC GASP GATS

34

Abkürzungsverzeichnis

National Targeting Center Origins & Destinations Organization of American States/Organisation Amerikanischer Staaten Organisation for Economic Co-operation and Development/Organisation für wirtschaftliche Zusammenarbeit und Entwicklung Office of Inspector General OIG OSI Other Service related Information PARS Programmed Airline Reservation System Passenger Analytical Unit PAU PNR Passenger Name Records/Passagiernamensregister Pub. L./P. L. Public Law ResMon Airline Reservation Monitoring System RL Richtlinie Rn. Randnummer S&D Socialists and Democrats S. Seite/siehe/Senate Semi-Automatic Business Research Environments SABRE Sec. section/§ SEVIS Student Exchange and Visitor Information System SFPD Secure Flight Passenger Data SIS Schengener Informationssystem SITA Société Internationale de Télécommunications Aéronautiques Slg. Sammlung sog. sogenannt/sogenannte/sogenanntes SORN System of Records Notice SSI Special Service Information Special Service Request SSR SWIFT Society for Worldwide Interbank Financial Telecommunication Treasury Enforcement Communications System TECS TFTP Terrorist Finance Tracking Program TPF Transaction Processing Facility Transportation Security Administration TSA TSC Terrorist Screening Center Terrorist Screening Database TSDB TST Transitional Stored Ticket Terrorist Threat Integration Center TTIC u. a. unter anderem United States Code U. S. C. u. U. unter Umständen UIG Umweltinformationsgesetz UN United Nations US/U. S. United States USA United States of America v. von/vom/versus vgl. Vergleiche VIG Verbraucherinformationsgesetz VIS Visa-Informationssystem VO Verordnung NTC O & Ds OAS OECD

Abkürzungsverzeichnis VPPA WCO WMDD WTO z. B.

Video Privacy Protection Act of 1988 World Customs Organization Weapons of Mass Destruction Directorate World Trade Organisation zum Beispiel

35

Einleitung § 1 Gegenstand der Untersuchung Zwischen der Europäischen Union und den Vereinigten Staaten von Amerika besteht eine Vielzahl an Konflikten, die mit dem Datenschutz im Zusammenhang stehen. Diese Datenschutzkonflikte sind bspw. im Zusammenhang mit sozialen Netzwerken, beim Abschluss von Verträgen mit Vertragspartnern in den USA oder der Übermittlung von Passagierdaten in die USA zu Sicherheits­zwecken auszu­machen. Ein Grund für derartige Datenschutzkonflikte  – nicht nur zwischen der EU und den USA – ist stets das Bedürfnis bzw. Erfordernis, Daten von einer Rechtsordnung in eine andere Rechtsordnung zu transferieren. Datenfluss über bestehende Landesgrenzen hinaus, zwischen Privaten und staatlichen Stellen oder zwischen verschiedenen nationalen, supranationalen und internationalen Behörden ist heutzutage an der Tagesordnung. Datenfluss ist in seiner Ausprägung sehr vielschichtig und für den Einzelnen in seiner Dimension nicht mehr erfassbar. Beispielhaft genannt seien der Abschluss eines Kaufvertrages über das Internet mit einem Händler in einem anderen Land, die Übermittlung von Daten über Verstöße im Straßenverkehr zwischen zwei Ländern, Terroristenlisten im Rahmen einer Resolution der Vereinten Nationen oder der Informationsaustausch im Umweltbereich. Eine Aufzählung kann jedoch nur in dem Bewusstsein erfolgen, dass diese stets defizitär ist und bleiben wird, da stetig neue Beispiele für den Datenfluss im internationalen Kontext gefunden werden können. Als Grundlage setzt sich die vorliegende Arbeit zunächst mit dieser Dimension des Datenflusses im internationalen Kontext auseinander, damit einhergehenden rechtlichen Herausforderungen sowie mit der Frage, wie und warum Datenfluss im internationalen Kontext in verschiedenen Rechtsordnungen durch (rechtliche) Regelungen umgesetzt wird. Regelungen zum Datenfluss im internationalen Kontext stellen die Voraussetzungen auf, die erfüllt werden müssen, um Daten rechtskonform in eine andere Rechtsordnung zu übermitteln. Referenzgebiete sind im Rahmen dieser Arbeit vor allem die Europäische Union und die Vereinigten Staaten von Amerika, zwei Rechtsordnungen, die diesbezüglich unterschiedliche Ansätze verfolgen. Die EU verfügt über eine Vielzahl der vorgenannten Regelungen, in den USA finden sich hingegen kaum Regelungen zum grenzüberschreitenden Datenfluss. Problematisch ist aus Sicht der EU der Datenfluss in Rechtsordnungen, die – wie die USA – kein im Vergleich zu EU-Datenschutzregelungen „angemessenes Daten­ schutzniveau“ gewährleisten können. Für einen rechtmäßigen Datentransfer von der EU in ein Drittland muss – wie bspw. Art. 25 DSRL bestimmt – ein solches „angemessenes Datenschutzniveau“ im Drittland vorliegen. Regelungen zum Da-

38

Einleitung

tenfluss im internationalen Kontext führen oftmals dazu, dass eine Rechtsordnung einen Anspruch darauf erhebt, ihren bestehenden Datenschutzregelungen auch beim Export von Daten weiterhin Geltung zu verschaffen. Dies mündet vor allem bei unterschiedlichen Datenschutzvorstellungen zwangsläufig in die genannten Konflikte, bei denen eine Vielzahl an Interessen datenschutzrechtlicher, wirtschaftlicher oder sicherheitspolitischer Art eine Rolle spielt. Die EU und die USA haben unterschiedliche Vorstellungen in Bezug auf den Datenschutz. Die verschiedenen Herangehensweisen an das Thema Datenschutz werden aufgezeigt und damit einhergehende Datenschutzkonflikte zwischen der EU und den USA erläutert. Bedeutend ist die Frage nach Lösungen für diese Konflikte. Die vorliegende Arbeit spricht sich für bereichsspezifische, auf den jeweiligen Datenschutzkonflikt abgestimmte, Lösungen aus. Einer der bereits genannten Datenschutzkonflikte ist die Übermittlung von Passagierdaten (PNR-Daten, auch Passagiernamensregister und Fluggastdatensätze genannt) von der EU in die USA. Dieser Datenschutzkonflikt soll im Rahmen dieser Arbeit genau erläutert und ein Lösungsvorschlag zu einer Konfliktlösung unterbreitet werden. Anhand dieses Beispiels soll ebenfalls die Bedeutung des Kriteriums der Angemessenheit für das EU-Datenschutzrecht aufgezeigt werden. PNR-Daten werden vor allem von Fluggesellschaften bei der Buchung eines Fluges von jedem Passagier erhoben. Durch die Erhebung von bis zu 35 verschiedenen Datenelementen wie bspw. Name, Kreditkartennummer, spezielle Essenswünsche, Reiseroute oder Mobilitätshilfen können die Fluggesellschaften die vorgenommenen Buchungen besser und effizienter bearbeiten und somit auf die Wünsche der Passagiere eingehen, aber auch den Flugablauf planen. Durch PNR-Daten wird die Fluglinie bspw. darüber informiert, wie viele vegetarische, koschere oder Halal Essen auf einem Flug benötigt werden, welchen Passagieren zum Einstieg ins Flugzeug eine Mobilitätshilfe wie bspw. ein Rollstuhl zur Verfügung gestellt werden muss oder welche Gepäckstücke das Flugzeug am schnellsten verlassen sollten, weil sie auf einen in Kürze abfliegenden Anschlussflug verladen werden müssen. Nach den Terroranschlägen des 11.  September 2001 in den USA begannen vor allem die Sicherheitsbehörden in den USA, diese Daten elektronisch auszuwerten. Durch die Auswertung der von den Fluggesellschaften über ihre Passagiere erhobenen Daten erhoffen sich die Sicherheitsbehörden, potentielle Gefahren für die nationale Sicherheit aufzudecken, die von manchen, mit dem Flugzeug in die USA einreisenden Passagieren ausgehen könnten. Auffällige Passagiere könnten dann genauer überprüft werden. Zudem sollen die aus den Daten gewonnenen Rückschlüsse bei der Aufdeckung bereits begangener Straftaten helfen. Die USA fordern diese Daten auch von Passagieren aus der EU, wodurch der bereits genannte Datenschutzkonflikt entstand, der den Hauptteil dieser Arbeit darstellt.

§ 2 Gang der Darstellung

39

§ 2 Gang der Darstellung Die vorliegende Arbeit besteht aus drei Teilen. Der erste Teil behandelt den Datenfluss im internationalen Kontext und seine rechtlichen Voraussetzungen insbesondere in der EU und den USA. Der zweite Teil hat den rechtlichen Umgang mit Daten und Datenschutz in der EU und den USA sowie damit einhergehende Konflikte und mögliche Lösungen für diese Konflikte zum Gegenstand. Der dritte Teil beschäftigt sich ausführlich mit einem dieser Konflikte, der Übermittlung von PNR-Daten von Passagieren aus der EU durch Fluggesellschaften an die Sicherheitsbehörden der USA. Im ersten Teil der Arbeit wird nach einer kurzen Einführung in das Thema, in der u. a. eine Bestimmung der für diese Arbeit relevanten Begriffe erfolgt (§ 3), eine Realbereichsanalyse vorgenommen, die auf die tatsächlichen Vorkommnisse des Datenflusses mit ihrer Vielschichtigkeit und ihren Akteuren eingeht (§ 4). Der folgende Teil behandelt Gründe für Regelungen des Datenflusses im internationalen Kontext, damit einhergehende Risiken und Herausforderungen sowie die verschiedenen Arten von Regelungen (§ 5). Die daraus geschlossenen Erkenntnisse sind essentiell für die folgenden Darstellungen von ausgewählten Regelungen des Datenflusses im internationalen Kontext, wobei der Schwerpunkt auf den umfassenden Regelungen der EU und den kaum vorhandenen Regelungen der USA liegt (§ 6). Der erste Teil schließt mit einem Ausblick auf Herausforderungen des Datenflusses im internationalen Kontext (§ 7). Der zweite Teil der Arbeit hat zunächst das „Right to Privacy“ und den Umgang mit Daten und Datenschutz in den USA zum Gegenstand (§ 8). Dabei werden bestehende Regelungen und ihre Ursprünge dargestellt. Daraufhin wird die Frage behandelt, warum in der EU und den USA unterschiedliche Regelungen und eine­ unterschiedliche Regelungsdichte in Bezug auf den Datenschutz bestehen (§ 9). Des Weiteren werden sich aus den verschiedenen Ansätzen der beiden Rechtsordnungen zum Thema Datenschutz ergebende Datenschutzkonflikte erläutert sowie vorhandene Lösungsmöglichkeiten aufgezeigt (§ 10). Im dritten Teil der Arbeit wird einer der bestehenden Datenschutzkonflikte – die Übermittlung von PNR-Daten von Fluggesellschaften an die Sicherheitsbehörden der USA – genau erläutert und es werden Lösungsmöglichkeiten aufgezeigt. Dabei wird nach einer Erörterung der Grundlagen (§ 11), die ursprüngliche Nutzung von PNR-Daten zu kommerziellen Zwecken behandelt (§ 12). Daraufhin wird auf die Nutzung von PNR-Daten und weiteren Datenarten zu Sicherheitszwecken eingegangen (§ 13). Im Folgenden werden die Grundlagen der Datenauswertung und der einzelnen Auswertungssysteme aufgezeigt (§ 14). Des Weiteren sind die verschiedenen, bisher abgeschlossenen PNR-Abkommen zwischen der EU und den USA, die Datenfluss legitimieren sollen, Gegenstand der Analyse (§ 15). Anschließend erfolgt eine rechtliche Würdigung der PNR-Regelungen (§ 16). Schließlich wird vor einer abschließenden Schlussbetrachtung eine Diskussion von Optimierungs-

40

Einleitung

möglichkeiten zur Herstellung einer Interessenbalance hinsichtlich dieses Datenschutzkonflikts vorgenommen (§ 17). Stets Beachtung findet in den jeweiligen Abschnitten der Arbeit das Kriterium der Angemessenheit des Datenschutzniveaus und seine Bedeutung als ein essentielles Kriterium des EU-Datenschutzrechts. Es wird aufgezeigt, wie das Kriterium ursprünglich verstanden wurde, wie es sich mittlerweile verändert zu haben scheint und welche Konsequenzen dies für das EU-Datenschutzrecht haben könnte.

Teil 1

Datenfluss im internationalen Kontext § 3 Grundlagen zum Datenfluss im internationalen Kontext A. Terminologie Von Bedeutung im ersten Teil dieser Arbeit ist der Datenfluss im internationalen Kontext. Bei diesem Begriff geht es um die Übertragung von Daten durch Private oder öffentliche Stellen an ebensolche Stellen im internationalen Kontext. Dies ist genauer zu definieren. Für die Beschreibung dieses Phänomens werden in der L ­ ite­ ratur verschiedene ähnliche, jedoch in ihrem Aussagegehalt mehr oder weniger passende, Bezeichnungen verwendet. So wird bspw. von „grenzüberschreitendem Datenaustausch“1, „grenzüberschreitendem Datenfluss“2 bzw. „Transborder Data Flows“3, „Transnational Data Flows“4, „grenzüberschreitendem Daten­verkehr“5 oder „International Data Flow“6 gesprochen. Dabei ist nicht davon auszugehen, dass die unterschiedlichen Begriffe unterschiedliche Phänomene beschreiben.7 Dies ist daran erkennbar, dass die genannten Begriffe nicht immer einheitlich und durchgehend verwendet werden.8 Sie sind austauschbar, um das Phänomen zu verdeutlichen. Der eine oder andere Begriff mag lediglich ermöglichen, nuancierte Unterschiede zu verdeutlichen. Die bereits im Titel dieses Kapitels verwendete Bezeichnung „Datenfluss im internationalen Kontext“ besteht aus drei determinierenden und im Folgenden näher zu definierenden Begriffen: Daten, Fluss (von Daten) und internationaler Kontext. 1

Simitis, in: Ferid/Heldrich/Henrich/Sonnenberger, Konflikt und Ordnung, 1978. Bergmann, Grenzüberschreitender Datenschutz. 3 Kuner, Transborder data flows and data privacy law; Fishman, Stan. J. Int’l L. 16 (1980), 1; Novotny, Stan. J. Int’l L. 16 (1980), 141; Beling, B. C. Int’l & Comp. L. Rev. 6 (1983), 591; Kirby, Stan. J. Int’l L. 27 (1980), 27; Weber, International Data Privacy Law 2013, 1; Bothe/­ Kilian, Rechtsfragen grenzüberschreitender Datenflüsse. 4 Hondius, Emerging data protection in Europe. 5 Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr; Hahn, Datenschutzrecht und grenzüberschreitender Datenverkehr; Wochner, Der Persönlichkeitsschutz im grenzüberschreitenden Datenverkehr. 6 Freese, International data flow. 7 Bergmann, Grenzüberschreitender Datenschutz, S. 21; Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 46 f. 8 Bergmann, Grenzüberschreitender Datenschutz, S. 21; Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 46 f. 2

42

Teil 1: Datenfluss im internationalen Kontext

I. Daten Übertragungsobjekt beim Datenfluss im internationalen Kontext sind „Daten“. Oftmals wird der Begriff „Information“ verwendet.9 In der Informationstechnologie sind Daten „in erkennungsfähiger Form dargestellte Elemente einer Information, die in Systemen verarbeitet werden können“.10 Nach DIN 44300 sind Daten „Zeichen oder kontinuierliche Funktionen, die aufgrund von bekannten oder unterstellten Abmachungen dem Zwecke der Verarbeitung dienen“.11 In der Rechtswissenschaft wird der Begriff der „Daten“ kontrovers im Zusammenhang mit dem Begriff der „Information“ diskutiert. Dies erfolgt vor allem im Rahmen einer Abgrenzung der Begriffe: In den wenigen vorhanden Legaldefinitionen zum Begriff der „Information“ werden die Begriffe „Daten“ und „Informationen“ meist gleichgesetzt (vgl. bspw. § 1 I 1 VIG, § 2 III UIG).12 Einen einheitlichen Informationsbegriff gibt es in der Bundesgesetzgebung nicht, vielmehr wird der Informa­ tionsbegriff für den Geltungsbereich des jeweiligen Gesetzes geregelt, sodass nur bereichsspezifische Begriffe existieren.13 Im Bundesdatenschutzgesetz (BDSG) wird der dort verwendete Begriff der „personenbezogenen Daten“ als alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person verstanden. Wie das BDSG verwenden die meisten Gesetze den Begriff „Daten“; Gesetze wie das Bundesverfassungsschutzgesetz (BVerfSchG) beziehen sich darüber hinaus auch auf den Begriff der „Information“, das Informationsfreiheitsgesetz des Bundes (IFG) hingegen spricht überwiegend nur von „Informationen“.14 Eine gesetzliche Gleichsetzung der Begriffe überzeugt jedoch nicht15 und es ist anerkannt, dass die beiden Begriffe „Information“ und „Daten“ abzugrenzen sind16. Als Grund dafür wird angegeben, dass nur durch eine solche Differenzierung Schutzerfordernisse von betroffenen Personen angemessen verortet werden können.17 Daten werden in der Literatur bspw. als „Zeichen, die auf einem Datenträger festgehalten sind und als Informa­tionsgrundlagen fungieren können“ definiert, sind daher auf Grund ihrer Gegenständlichkeit als solche fassbar und können somit „einen wichtigen Anknüpfungspunkt für die

9

Bergmann, Grenzüberschreitender Datenschutz, S. 24 ITWissen, Daten, http://www.itwissen.info/definition/lexikon/Daten-data.html (zuletzt geprüft am 15.03.2015). 11 ITWissen, Daten. 12 Vergleiche aber auch § 2 I IFG zum Begriff der „amtlichen Information“. 13 Schoch, Informationsfreiheitsgesetz, § 2 Rn. 9. 14 Albers, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle, Grundlagen des Verwaltungsrechts – Band II, 2. Aufl. 2012, § 22 Rn. 8. 15 Schoch, Informationsfreiheitsgesetz, § 2 Rn. 13. 16 Schoch, Informationsfreiheitsgesetz, § 2 Rn.  13; Albers, in: Hoffmann-Riem/Schmidt-­ Aßmann/Voßkuhle, Grundlagen des Verwaltungsrechts – Band II, 2. Aufl. 2012, § 22 Rn. 10. 17 Albers, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle, Grundlagen des Verwaltungsrechts – Band II, 2. Aufl. 2012, § 22 Rn. 10. 10

§ 3 Grundlagen

43

rechtliche Steuerung der Verwaltung als Kommunikationssystem“ bieten.18 Der Datenträger vergegenständlicht die Daten erst.19 Informationen hingegen sind „Sinnelemente, die in einem bestimmten sozialen Kontext aus Beobachtungen, Mitteilungen oder Daten erzeugt und dann genutzt werden“.20 Sie haben eine zweigliedrige Struktur: Einerseits „knüpfen die erzeugten Informationsinhalte an das Beobachtete, an Mitteilungsinhalte oder an Daten an“, andererseits „werden sie erst durch die Interpretationsleistungen der empfangenden Person oder Stelle vollendet, die das Beobachtete, die Mitteilungsinhalte oder die Daten sinnhaft verstehen muss“.21 Daten stellen folglich die Rohelemente von Informationen dar und sind daher das „Grundmaterial“, aus dem Informationen herausgefiltert werden können.22 Unabhängig von jeglichen Kontroversen um die Abgrenzung zwischen Infor­ mationen und Daten auf nationaler Ebene bzw. in der deutschen Rechtswissenschaft ist zu berücksichtigen, dass sich im internationalen Kontext weitere Schwierigkeiten ergeben. So legt jeder Staat bzw. jede Rechtsordnung seine eigene Definition von Daten bzw. Informationen zu Grunde, um sie in den jeweiligen Gesetzen zu verarbeiten und dabei möglicherweise ein Verständnis der Begriffe mit aufzunehmen, das andere Staaten bzw. Rechtsordnungen nicht teilen.23 Da sich diese Arbeit mit dem Datenfluss im internationalen Kontext beschäftigt und daher mit einem unterschiedlichen Verständnis der Begriffe in den verschiedenen Staaten und Rechtsordnungen zu rechnen ist, soll der Datenbegriff möglichst allumfassend determiniert werden, um möglichst vielen Anforderungen verschiedener Staaten und Rechtsordnungen gerecht zu werden. Zu berücksichtigen ist, dass sich gerade auf Grund der noch zu zeigenden bestehenden Vielschichtigkeit des Datenflusses im internationalen Kontext eine Beschränkung auf personenbezogene Daten – wie es in Datenschutzgesetzen der Fall ist – zumindest im Rahmen dieser Arbeit verbietet. Zwar stellen die meisten in dieser Arbeit behandelten Daten personenbezogene Daten dar und bestimmen den Hauptteil der Arbeit, jedoch würde das tatsächliche Vorkommen des Datenflusses im internationalen Kontext nicht zutreffend beschrieben, wenn nur auf personenbezogene Daten Bezug genommen würde. Eine weitere Schwierigkeit besteht darin, dass der Begriff der personenbezogenen Daten in verschiedenen Rechtsordnungen unterschiedliche Arten von

18 Albers, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle, Grundlagen des Verwaltungsrechts – Band II, 2. Aufl. 2012, § 22 Rn. 11. 19 Schoch, Informationsfreiheitsgesetz, § 2 Rn. 14. 20 Albers, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle, Grundlagen des Verwaltungsrechts – Band II, 2. Aufl. 2012, § 22 Rn. 12 m. w. Nachw. 21 Albers, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle, Grundlagen des Verwaltungsrechts – Band II, 2. Aufl. 2012, § 22 Rn. 12. 22 Bergmann, Grenzüberschreitender Datenschutz, S. 25; Kloepfer/Neun, Informationsrecht, S.  26, § 1 Rn.  58; Albers, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle, Grundlagen des Verwaltungsrechts – Band II, 2 Aufl. 2012, § 22 Rn. 11. 23 Bergmann, Grenzüberschreitender Datenschutz, S. 25.

44

Teil 1: Datenfluss im internationalen Kontext

Daten umfassen kann.24 Auf Grund der genannten – vor allem terminologischen – Kontroversen und im Bewusstsein der eigentlich gebotenen Unterscheidung sollen für Zwecke dieser Arbeit die Begriffe „Daten“ und „Informationen“ jedoch austauschbar verwendet werden. II. Fluss von Daten In dieser Arbeit soll für das darzustellende Phänomen der Begriff „Fluss“ von Daten verwendet werden. Neben diesem Begriff werden auch andere Begriffe wie „Verkehr“, „Transport“ oder „(Aus-)Tausch“ von Daten verwendet, die eine weniger treffende Beschreibung darstellen. Das in der Literatur verwendete Wort „Verkehr“ hat drei Bedeutungen: sozio­lo­ gisch sind darunter „alle Formen und Arten sozialer Kontakte (daher z. B. Verkehrsformen, verkehrsüblich, Geschäftsverkehr)“25, wirtschaftstheoretisch der „Austausch ökonomischer Sach- und Dienstleistungen zwischen Marktteilnehmern (daher z. B. Handelsverkehr, Verkehrssteuern)“26 und verkehrswissenschaftlich die „technischen, organisatorischen, informatorischen und ökonomischen Maßnahmen, um Personen, Güter und Nachrichten zu befördern“27 zu verstehen. Bei Übertragung dieser Definitionen auf das Phänomen ist das Moment des sozialen Kontakts – zumindest für die begriffliche Abgrenzung  – zunächst nicht relevant.28 Es geht lediglich um die Daten, die „verkehren“ und nicht um die hinter einer Transaktion stehenden natürlichen Personen, sodass der soziale Kontakt für eine technische Betrachtung nicht von Bedeutung ist. Der wirtschaftstheoretische Ansatz hat treffende Bezüge, da oftmals das hier beschriebene Phänomen aus rein wirtschaftlichem Interesse geschieht oder einen wirtschaftlichen Hintergrund hat.29 Jedoch sind, wie noch zu zeigen ist, nicht nur rein wirtschaftliche Motive denkbar, sondern ebenso soziale, politische, wissenschaftliche oder sicherheitsrelevante Interessen zu berücksichtigen.30 Das im Begriff „Verkehr“ nach der verkehrswissenschaftlichen Definition enthaltene Element der „Beförderung“ beschreibt das Phänomen jedoch treffend.31 Auf Grund des über die rein wirtschaftliche Erscheinung hinausgehenden Vorkommens des Phänomens trifft die Bezeichnung „Verkehr“ somit 24 Siehe dazu Kuner, Transborder data flows and data privacy law, S. 18 m. w. Nachw.; sowie zum Mangel an Einheitlichkeit Schwartz/Solove, N. Y. U. L. Rev. 86 (2011), 1814; dazu auf Deutsch Schwartz, ZD 2011, 97 sowie unter besonderer Berücksichtigung der Unterschiede zwischen der EU und den USA sowie Lösungsansätzen Schwartz/Solove, California Law Review 102 (2014), 877 ff. 25 Gabler Verlag (Hrsg.), Gabler Wirtschaftslexikon, Stichwort: Verkehr, http://wirtschafts lexikon.gabler.de/Archiv/55416/verkehr-v6.html (zuletzt geprüft am 15.03.2015). 26 Gabler Verlag (Hrsg.), Gabler Wirtschaftslexikon, Stichwort: Verkehr. 27 Gabler Verlag (Hrsg.), Gabler Wirtschaftslexikon, Stichwort: Verkehr. 28 Vgl. Bergmann, Grenzüberschreitender Datenschutz, S. 22. 29 Bergmann, Grenzüberschreitender Datenschutz, S. 22. 30 Vgl. Bergmann, Grenzüberschreitender Datenschutz, S. 22. 31 Vgl. Bergmann, Grenzüberschreitender Datenschutz, S. 22.

§ 3 Grundlagen

45

nicht in vollem Umfang zu.32 Jedoch muss das Wort „Verkehr“ nicht zwingend mit wirtschaftlicher Betätigung in Verbindung stehen; so können mit diesem Begriff auch Kontakte beschrieben werden, die – wie beim Austausch zwischen Behörden verschiedener Staaten – nicht zwingend wirtschaftlichen Zwecken dienen müssen.33 Unter dem ebenfalls verwendeten Begriff „Transport“ wird die Beförderung von Menschen, Sachgütern und Nachrichten an einen anderen Ort verstanden.34 Zum Teil wird in dem Transport ein „Teil eines Produktionsprozesses“35 gesehen und dass mit dem Transport eine „Wertsteigerung“36 einhergeht. Dies mag zwar teilweise zutreffend sein, ist aber nicht immer der Fall. Richtig daran ist jedoch, dass der Begriff „Transport“ zwar auch eine wirtschaftliche Komponente hat und daher ähnlich wie der Begriff „Verkehr“ nicht vollumfänglich passend ist.37 In der deutschen Rechtswissenschaft ist der „Tausch“ in § 480 BGB geregelt und beschreibt einen „gegenseitigen Vertrag über den Umsatz eines individuellen Werts gegen einen anderen individuellen Wert oder eine Gattungssache“.38 Wesentlich ist das Fehlen eines Kaufpreises in Geld.39 „Tauschen“ wird im Duden als „etwas geben, um etwas anderes dafür zu bekommen“40 definiert. Charakteristisch ist somit das Element der Gegenseitigkeit und zudem in der juristischen Betrachtungsweise noch das Element der Unentgeltlichkeit. Jedoch ist zu beachten, dass gerade bei dem Phänomen oftmals das Element der Gegenseitigkeit bzw. Wechselseitigkeit fehlt.41 Die Daten werden häufig nur in eine Richtung übertragen und zudem wird oft ein Preis für die erlangten Daten gezahlt, was ebenfalls mit dem Begriff des Tausches, der Unentgeltlichkeit impliziert, nicht zu vereinbaren ist.42 Es könnte jedoch auch darauf abgestellt werden, dass „Austausch“ nicht im juristischen oder auch alltäglichen Sprachgebrauch als Wechselseitigkeit bzw. Gegenseitigkeit verstanden werden sollte, sondern lediglich als „Bewegung von Daten in ein Land hinein und aus einem Land heraus“43 definiert werden könnte. Aber auch dieses Verständnis des Begriffes ist zu eng gewählt, da die Bewegung von Daten in ein Land hinein nicht notwendigerweise auch eine­ Bewegung von Daten aus einem Land heraus nach sich ziehen muss. Die Verwendung des Wortes „Fluss“ hinsichtlich der Daten scheint das Phänomen am besten zu beschreiben. Neben der geographischen Bedeutung des „grö 32

Vgl. Bergmann, Grenzüberschreitender Datenschutz, S. 22. Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr. 34 Vgl. Bergmann, Grenzüberschreitender Datenschutz, S. 22 m. w. Nachw. 35 Bergmann, Grenzüberschreitender Datenschutz, S. 22. 36 Bergmann, Grenzüberschreitender Datenschutz, S. 22. 37 Bergmann, Grenzüberschreitender Datenschutz, S. 22. 38 Weidenkaff, in: Palandt, Bürgerliches Gesetzbuch, 2010 Rn. 1. 39 Weidenkaff, in: Palandt, Bürgerliches Gesetzbuch, 2010 Rn. 1. 40 Duden, Der Duden in zwölf Bänden, S. 881. 41 So auch Bergmann, Grenzüberschreitender Datenschutz, S. 23. 42 Bergmann, Grenzüberschreitender Datenschutz, S. 23. 43 Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 46. 33

46

Teil 1: Datenfluss im internationalen Kontext

ßeren, fließenden Gewässers“44 wird zudem darunter eine „stetige, fließende Bewegung“ bzw. ein „ununterbrochener Vorgang“ verstanden.45 Somit beschreibt der Begriff des „Flusses“ in Bezug auf Daten das hier zugrunde liegende Phänomen am neutralsten und zugleich am allumfassendsten. Zudem werden in der französisch- und englischsprachigen Literatur die Begriffe verwendet („flux de données transfrontalières“ bzw. „transborder data flow“).46 Da die Wörter „Verkehr“ und „Transport“ vor allem auf wirtschaftliche Aspekte abstellen und somit zwar treffend aber nicht weitgehend genug sind und das Wort „(Aus-)Tausch“ zu sehr auf die Gegenseitigkeit und Unentgeltlichkeit abstellt, ist der Begriff des „Flusses“ vorzugswürdiger, da er bedeutend weitgehender als die vorausgenannten Begriffe ist und zudem nicht auf die Gegenseitigkeit abstellt.47 Obwohl der Begriff des „Flusses“ wohl am treffendsten zu sein scheint, sind die anderen Begriffe durchaus auch zu verwenden, da sie keinen signifikanten Bedeutungsunterschied machen, was sich ebenso daran zeigt, dass sie in einzelnen Publikationen nebeneinander verwendet werden.48 Der Fluss von Daten beinhaltet „die Übermittlung von Daten durch eine übermittelnde Stelle an einen Empfänger“49. Der Fluss von Daten kann dabei durch die physische Überbringung eines Datenträgers an den Empfänger erfolgen.50 Weitaus häufiger findet der Datenfluss jedoch per Telefon oder durch das Medium des Internets, bspw. durch E-Mails, Datennetze oder das „Ablegen“ von Daten in sogenannten Clouds statt. Datenschutzrechtlich spielt es keine Rolle, ob die Daten manuell oder automatisch verarbeitet werden.51 III. Internationaler Kontext Essentiell für den Datenfluss im „internationalen Kontext“ ist, dass die Daten die Rechtsordnung, der die übermittelnde Stelle unterworfen ist, verlassen, weil der Empfänger (zumindest auch) einer anderen Rechtsordnung unterliegt.52 In mindestens einer ihrer Phasen erfolgt die vor allem aus Erhebung, Speicherung, Veränderung, Übermittlung oder Löschung bestehende Datenverarbeitung somit in einer anderen Rechtsordnung als die übrigen Phasen.53 Der Begriff des „inter 44

Duden, Der Duden in zwölf Bänden, S. 373 f. Duden, Der Duden in zwölf Bänden, S. 374. 46 Bergmann, Grenzüberschreitender Datenschutz, S. 23 m. w. Nachw. 47 So auch Bergmann, Grenzüberschreitender Datenschutz, S. 23 f. 48 So auch Bergmann, Grenzüberschreitender Datenschutz, S. 21 m. w. Nachw.; Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 46 f. 49 Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 51. 50 Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 51. 51 Simitis, in: Simitis, BDSG, 8. Aufl. 2014, § 1 Rn. 69 ff.; siehe auch die Definition in § 3 IV BDSG: „ungeachtet der dabei angewendeten Verfahren“. 52 Vgl. Bergmann, Grenzüberschreitender Datenschutz, S. 15. 53 Vgl. Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 51. 45

§ 3 Grundlagen

47

nationalen Kontexts“ ist weitergehender als lediglich eine „Grenzüberschreitung“. Für den „Datenfluss im internationalen Kontext“ muss nicht zwingend eine geographische Staatengrenze überschritten werden, um die Voraussetzung des „internationalen Kontexts“ zu erfüllen. Zwar wird dies in der Regel der Fall sein, jedoch gibt es Konstellationen, in denen der Datenfluss an eine supranationale Stelle bzw. internationale Organisation erfolgt, die ihren Sitz in demselben Staat wie die übermittelnde Stelle hat.54 Durch die Transferierung in eine andere Rechtsordnung ergeben sich datenschutzrechtliche Probleme, da unter Umständen die bestehenden Schutzniveaus nicht gleichwertig sind. Die Bezeichnung des Datenflusses im „internationalen Kontext“ scheint folglich passender und exakter als bspw. die Bezeichnung der „Grenzüberschreitung“55.

B. Datenfluss im internationalen Kontext Zu klären ist jedoch auch, welche Vorgänge des Datenflusses im internationalen Kontext geregelt sind und Gegenstand dieser Arbeit sein sollen. Grundsätzlich ist eine geringe Definitionsdichte zu erkennen, welche Datenflüsse Gegenstand von Regelungen sind. Manche Datenflüsse sind explizit von einer (rechtlichen) Regelung als solche definiert, manche nicht. Die in Regelungen des Datenflusses im internationalen Kontext genutzte Terminologie ist verschieden und definiert das beschriebene Phänomen oftmals nicht.56 So bezieht sich bspw. der Entwurf der Datenschutzgrundverordnung der EU (DSGVO) in Kapitel V auf die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen, bestimmt jedoch nicht, was darunter zu verstehen ist. Es bestehen somit Divergenzen darüber, ob Datenflüsse, die in tatsächlicher Hinsicht Datenflüsse im internationalen Kontext sind, auch den geltenden Regelungen unterworfen sind oder sein können. Welche Arten von Datenflüssen im internationalen Kontext daher Gegenstand dieser Arbeit sein sollen, ist zu klären. I. Punkt zu Punkt Übermittlungen Vom Datenfluss im internationalen Kontext sind Punkt zu Punkt Übermittlungen von Daten zwischen einem Sender und einem Empfänger in verschiedenen Staaten umfasst.57

54 Vgl. Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 52; Simitis, in: Ferid/Heldrich/Henrich/Sonnenberger, Konflikt und Ordnung, 1978, S. 364. 55 So Bergmann, Grenzüberschreitender Datenschutz, S. 15. 56 Siehe für eine Übersicht mit Beispielen Kuner, Transborder data flows and data privacy law, S. 11. 57 Weber, International Data Privacy Law 2013, 1 (2), der den Begriff „transborder data flow“ verwendet.

48

Teil 1: Datenfluss im internationalen Kontext

Gleiches gilt für Punkt zu Punkt Datenübermittlungen, die keine Grenzen überschreiten, aber innerhalb eines Landes von nationalen Stellen an internationale Stellen wie bspw. UN-Einrichtungen erfolgen.58 Dabei ist vor allem an die aktive, bewusste Übermittlung im Einzelfall, aber auch an die automatisierte, kontinuierliche Datenübermittlung zu denken. So wurden bereits in den 1970er Jahren unter „grenzüberscheitenden Datenflüssen“ Punkt zu Punkt Übermittlungen verstanden.59 II. Globale Netzwerke, Cloud Computing und soziale Netzwerke Neben den bereits in den Anfangsjahren der Datenschutzgesetzgebung bekannten Punkt zu Punkt Übermittlungen, die auch heute noch in unvorstellbarem Ausmaß bestehen, sind weitere, „neuere“ Arten von Datenfluss im internationalen Kontext auszumachen, die auch den Datenschutzgesetzen unterfallen. So sind globale Netzwerke, Cloud Computing oder soziale Netzwerke von entsprechenden Regelungen umfasst.60 Cloud Computing Dienstleister, deren Server sich in verschiedenen Staaten befinden, müssen in einer Vielzahl von Fällen die von der EU vorgesehenen Sicherheiten für einen rechtmäßigen Datentransfer erfüllen und auch soziale Netzwerke wie Facebook bedienen sich Instrumentarien wie einer Safe Harbor-Zertifizierung, um für einen gesetzmäßigen Datenfluss im internationalen Kontext zu sorgen61. III. Transit von Daten Ebenso ist zu klären, ob der reine Transit durch ein Land als Datenfluss im internationalen Kontext zu verstehen ist und Gegenstand dieser Arbeit sein soll. Eine tatsächliche Betrachtung lässt einen solchen Datenfluss erkennbar international erscheinen, erfolgt die Übermittlung doch durch Server, die in Territorien verschiedener Staaten liegen. Von (rechtlichen) Regelungen werden diese Vorkommnisse jedoch – soweit ersichtlich – nicht umfasst. So bestimmt bspw. Art. 4 I lit. c DSRL, dass die auf Grundlage der DSRL erlassenen Vorschriften auf alle Verarbeitungen 58 Vgl. Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 52; Simitis, in: Ferid/Heldrich/Henrich/Sonnenberger, Konflikt und Ordnung, 1978, S. 364. 59 Vgl. Carroll, in: OECD, Policy issues in data protection and privacy, 1976, S. 201 f., der als Beispiele u. a. sowohl den Austausch international operierenden Unternehmen als auch den Austausch durch Regierungen nennt; siehe auch Kuner, Transborder data flows and data privacy law, S. 2. 60 Weber, International Data Privacy Law 2013, 1 (2); siehe auch Nebel/Richter, ZD 2012, 407 (411). 61 Siehe Facebook, Safe Harbor  – Rechtshinweis, https://www.facebook.com/safeharbor. php (zuletzt geprüft am 15.03.2015).

§ 3 Grundlagen

49

personenbezogener Daten angewandt werden, die „von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht im Gebiet der Gemeinschaft niedergelassen ist und zum Zweck der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaates belegen sind, es sei denn, daß diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der Europäischen Gemeinschaft verwendet werden“.62 Ein solcher Fall liegt bspw. bei „(kabelgebundenen) Kommunikationsnetzen bei Postdiensten, die lediglich die Durchfuhr von Mitteilungen durch EU-Gebiet auf ihrem Weg zu Drittländern sicherstellen“ vor.63 Ein weiteres Beispiel für einen reinen Transit ist das Weiterleiten von Daten im Internet, das in der Weise erfolgt, dass ein Router (Datenweiterleitungsstation) den besten Weg für ein Datenpaket „sucht“ und es daraufhin weiterleitet.64 Das Motiv hinter dieser Ausnahme ist, dass „in diesem Fall die Rechte und Freiheiten von Gemeinschaftsbürgern nicht in spezifischer Weise tangiert werden“.65 Zudem scheint im Falle des Transits von Daten eine Einwirkungsmöglichkeit von regelnder Stelle tatsächlich schwer möglich. Eine Abgrenzung zwischen dem reinen Transit und dem Datentransfer, der von den Datenschutzgesetzen umfasst ist, bleibt jedoch oftmals schwierig.66 In dem Bewusstsein, dass die Abgrenzung nicht immer trennscharf vorzunehmen ist, soll der reine Transit nicht im Rahmen dieser Arbeit behandelt werden. IV. Hochladen von Inhalten in das Internet Die Tatsache, dass Daten nicht nur durch den aktiven Transfer, sondern auch durch das Zugänglichmachen für Empfänger in anderen Staaten Grenzen überschreiten können, führt zu weiteren Definitionsschwierigkeiten.67 So ist streitig, ob die Zurverfügungstellung von personenbezogenen Daten, bspw. im Internet, als Datenfluss im internationalen Kontext bzw. grenzüberschreitenden Datenfluss gesehen wird oder ob dafür eine aktive oder automatische Datenübermittlung notwendig ist.68 Für diese Frage ist vor allem die Entscheidung des EuGH in der Rechtssache Lindqvist von Interesse, da hier auf Art. 25 der EG-Datenschutzrichtlinie (DSRL) Bezug genommen wurde, der Vorschrift der Datenschutzrichtlinie, die neben Art. 26 DSRL die Übermittlung von Daten in ein Drittland zum Gegenstand hat. 62

Hervorhebung durch den Autor. Art.  29-Datenschutzgruppe, Stellungnahme 8/2010 zum anwendbaren Recht, WP 179, 16.12.2010, S. 28, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp179_de.pdf (zuletzt geprüft am 15.03.2015), die sich für eine enge Auslegung der Bestimmung ausspricht. 64 So Kuner, Transborder data flows and data privacy law, S. 16. 65 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 4 Rn. 9. 66 Vgl. Kuner, Transborder data flows and data privacy law, S. 16. 67 Kuner, Transborder data flows and data privacy law, S. 11 m. w. Nachw. 68 So Kuner, Transborder data flows and data privacy law, S. 12. 63

50

Teil 1: Datenfluss im internationalen Kontext

1. Die Rechtssache Lindqvist In der Rechtssache Bodil Lindqvist vor dem EuGH ging es u. a. darum, „ob eine ‚Übermittlung von Daten in ein Drittland‘ im Sinne von Artikel 25 der Richtlinie 95/46 (DSRL) vorliegt, wenn eine Person, die sich in einem Mitgliedstaat befindet, in eine Internetseite, die bei einer in demselben oder einem anderen Mitgliedstaat ansässigen natürlichen oder juristischen Person gespeichert ist, die die Website unterhält, auf der diese Seite abgerufen werden kann (im Folgenden: Host-ServiceProvider), personenbezogene Daten aufnimmt und sie damit jeder Person, die eine Verbindung zum Internet herstellt, einschließlich Personen in Drittländern, zugänglich macht“.69 Zudem wurde geklärt, „ob die Frage genauso zu beantworten wäre, wenn sich zeigt, dass tatsächlich kein Angehöriger eines Drittlands von diesen Daten Kenntnis erlangt hat oder dass sich der Server, auf dem die Seite gespeichert ist, rein räumlich in einem Drittland befindet“.70 Der EuGH beantwortete die Frage in seinem Urteil mit Verweisen auf die technischen Komponenten des in Frage stehenden Vorgangs sowie der Systematik des Kapitels IV der DSRL (Übermittlung personenbezogener Daten in Drittländer). In seiner Begründung führt der EuGH zunächst aus, dass Informationen aus dem Internet von jedermann, jederzeit und quasi überall abgerufen werden können, sowie, dass die technischen Mittel dazu relativ einfach und günstig seien.71 Bei der Veröffentlichung von Informationen auf einer Internetseite würden die Daten zunächst an einen Host-Service-Provider übermittelt, der die technischen Mittel dafür vorhalte, die Informationen den Nutzern des Internets zugänglich zu machen.72 Dabei könnten die Rechner, die dies ermöglichen, in verschiedenen Staaten stehen, ohne dass der Ersteller der Webseite davon weiß oder es überhaupt wissen könne.73 Personen, die hochgeladene Inhalte einsehen möchten, müssten die dafür notwendigen Schritte selbst unternehmen (Verbindung zum Internet herstellen und auf die jeweilige Seite „surfen“); die Daten würden nicht automatisch ohne bewusste Entscheidung des Empfängers diesen zugänglich gemacht.74 Eine Übermittlung der Daten erfolge somit nicht unmittelbar zwischen dem Ersteller der Webseite und einer Person in einem Drittland, sondern lediglich über die EDVSysteme des Host-Service-Providers, auf dem die Webseite gespeichert ist.75 Nach der Stellungnahme zu den technischen Voraussetzungen setzte sich der EuGH genauer mit Kapitel IV der DSRL (Übermittlung personenbezogener Daten in Drittländer) auseinander und stellte zunächst nochmals klar, dass die Aus 69

EuGH, Urt. v. 06.11.2003, Rs. C-101/01, „Lindqvist“, Slg. 2003, I-12992 Rn. 52. EuGH, Urt. v. 06.11.2003, Rs. C-101/01, „Lindqvist“, Slg. 2003, I-12992 Rn. 52. 71 EuGH, Urt. v. 06.11.2003, Rs. C-101/01, „Lindqvist“, Slg. 2003, I-12992 Rn. 58. 72 EuGH, Urt. v. 06.11.2003, Rs. C-101/01, „Lindqvist“, Slg. 2003, I-12992 Rn. 59. 73 EuGH, Urt. v. 06.11.2003, Rs. C-101/01, „Lindqvist“, Slg. 2003, I-12992 Rn. 59. 74 Vgl. EuGH, Urt. v. 06.11.2003, Rs. C-101/01, „Lindqvist“, Slg. 2003, I-12992 Rn. 60. 75 Vgl. EuGH, Urt. v. 06.11.2003, Rs. C-101/01, „Lindqvist“, Slg. 2003, I-12992 Rn. 61. 70

§ 3 Grundlagen

51

führungen nur für den Fall gelten würden, dass personenbezogene Daten auf eine Webseite hochgeladen werden, nicht jedoch für die Handlungen der Host-­Service-­ Provider.76 Kapitel IV enthalte Sonderregelungen und eine Ergänzung für die Übertragung von Daten in Drittländer sowie die Regeln aus Kapitel II der DSRL (Allgemeine Bedingungen für die Rechtmäßigkeit der Verarbeitung Personenbezogener Daten).77 Zudem nahm der EuGH auf die Begründungserwägungen 56 bis 60 der DSRL Bezug, in denen es heißt, „dass der in der Gemeinschaft durch diese Richtlinie garantierte Schutz von Personen der Übermittlung personenbezogener Daten in Drittländer, die ein angemessenes Schutzniveau aufweisen, zwar nicht entgegensteht, dass jedoch die Angemessenheit dieses Schutzniveaus unter Berücksichtigung aller Umstände hinsichtlich einer Übermittlung oder einer Kategorie von Übermittlungen zu beurteilen ist“ und somit bei Nichterfüllung dieser Voraussetzungen die Übermittlung zu untersagen sei.78 Nach diesen Ausführungen zu den Verpflichtungen des Art. 25 DSRL für die Mitgliedstaaten und die Kommission, stellte der EUGH fest, dass die DSRL über die „Benutzung des Internets“ keine Aussage treffe und somit auch nicht die Frage regele, „ob für die unter Vermittlung von Host-Service-Providern ausgeführten Vorgänge auf den Ort der Niederlassung oder des beruflichen Sitzes des Providers oder aber auf den oder die Orte abzustellen ist, an denen sich die Rechner befinden, die die EDV- Infrastruktur des Providers ausmachen“.79 In den darauffolgenden entscheidungsrelevanten Ausführungen erklärte der EuGH, warum die hier in Frage stehende Tätigkeit des Hochladen personenbezogener Informationen auf eine Webseite nicht den Voraussetzungen des Art. 25 DSRL entsprechen müsse: „Angesichts des Entwicklungsstands des Internets zur Zeit der Ausarbeitung der Richtlinie 95/46 und des Fehlens von Kriterien für die Internetbenutzung in Kapitel IV dieser Richtlinie kann nicht angenommen werden, dass der Gemeinschaftsgesetzgeber unter den Begriff ‚Übermittlung von Daten in ein Drittland‘ im Vorgriff auch den Vorgang fassen wollte, dass eine Person […] Daten in eine Internetseite aufnimmt, auch wenn diese Daten dadurch Personen aus Drittländern zugänglich gemacht werden, die über die technischen Mittel für diesen Zugang verfügen“.80 Würde nämlich Art.  25 DSRL so ausgelegt, „dass immer dann, wenn personenbezogene Daten auf eine Internetseite hochgeladen werden, eine ‚Übermittlung von Daten in ein Drittland‘ vorliegt, so wäre diese Übermittlung notwendig eine solche in alle Drittländer, in denen die für einen Zugang zum Internet notwendigen technischen Mittel vorliegen“.81 Konsequenz

76

Siehe EuGH, Urt. v. 06.11.2003, Rs. C-101/01, „Lindqvist“, Slg. 2003, I-12992 Rn. 62. EuGH, Urt. v. 06.11.2003, Rs. C-101/01, „Lindqvist“, Slg. 2003, I-12992 Rn. 63. 78 EuGH, Urt. v. 06.11.2003, Rs. C-101/01, „Lindqvist“, Slg. 2003, I-12992 Rn. 64. 79 EuGH, Urt. v. 06.11.2003, Rs. C-101/01, „Lindqvist“, Slg. 2003, I-12992 Rn. 65 ff. und insb. Rn. 67. 80 EuGH, Urt. v. 06.11.2003, Rs. C-101/01, „Lindqvist“, Slg. 2003, I-12992 Rn. 68. 81 EuGH, Urt. v. 06.11.2003, Rs. C-101/01, „Lindqvist“, Slg. 2003, I-12992 Rn. 69. 77

52

Teil 1: Datenfluss im internationalen Kontext

daraus wäre, dass für den Bereich des Internets die als „Sonderregelung“ ausgestalteten Vorschriften des Kapitels IV zu einer „allgemeinen Regelung“ werden würden und – für den Fall, dass die Kommission feststelle, dass in einem Land kein angemessenes Schutzniveau vorliege – die Mitgliedstaaten verpflichtet wären, „jede Aufnahme personenbezogener Daten in das Internet zu unterbinden“.82 Zusammenfassend führte der EuGH schließlich aus, „dass keine ‚Übermittlung von Daten in ein Drittland‘ im Sinne von Art.  25 der Richtlinie 95/46 vorliegt, wenn eine sich in einem Mitgliedstaat aufhaltende Person in eine Internetseite, die bei ihrem in demselben oder einem anderen Mitgliedstaat ansässigen Host-­ Service-Provider gespeichert ist, personenbezogene Daten aufnimmt und diese damit jeder Person, die eine Verbindung zum Internet herstellt, einschließlich Personen in Drittländern, zugänglich macht“.83 Auf die Fragen, ob eine sich in einem Drittland befindliche Person überhaupt Zugang zu der in Frage stehenden Webseite hat und ob sich der Server in einem Drittland befinden muss, ging der EuGH im Folgenden nicht mehr ein. 2. Tatsächliche Komponente Anders ist die tatsächliche Komponente zu beurteilen. Der in Frage stehende Sachverhalt stellt tatsächlich betrachtet einen Datenfluss im internationalen Kontext dar. Sollte bspw. ein Nutzer X im Aufenthaltsstaat A auf eine Webseite von Y im Aufenthaltsstaat B zugreifen, besteht zweifelsfrei ein Datenfluss im internationalen Kontext. Dies gilt erst recht, wenn – wie der EuGH ausführt –84 die technischen Voraussetzungen berücksichtigt werden und die Übermittlung der Daten nicht unmittelbar zwischen dem Ersteller der Webseite und einer Person in einem Drittland, sondern lediglich über die EDV-Systeme des Host-Service-­Providers, auf dem die Webseite gespeichert ist, erfolgt. Zwar ist es möglich, dass sich auch dieser Host-Service-Provider in dem jeweiligen Mitgliedstaat selbst befindet, von dem aus die Internetseite aufgerufen wird, sodass tatsächlich kein Datenfluss im internationalen Kontext vorliegt, jedoch scheint dies bei der Reichweite des Internets konstruiert und nur für die geringste Anzahl der Fälle zutreffend zu sein. 3. Eine Entscheidung im politischen Kontext Die rechtliche und die tatsächliche Komponente des Datenflusses im internationalen Kontext divergieren. Es ist offensichtlich, dass der EuGH hier eine Rechtsentscheidung im politischen Kontext getroffen hat. Hätte er anders entschieden, wäre Europa quasi vom Internet abgeschnitten worden, da jeglicher Datenfluss 82

EuGH, Urt. v. 06.11.2003, Rs. C-101/01, „Lindqvist“, Slg. 2003, I-12992 Rn. 69. EuGH, Urt. v. 06.11.2003, Rs. C-101/01, „Lindqvist“, Slg. 2003, I-12992 Rn. 71. 84 Vgl. EuGH, Urt. v. 06.11.2003, Rs. C-101/01, „Lindqvist“, Slg. 2003, I-12992 Rn. 61. 83

§ 3 Grundlagen

53

im Internet den Regeln der EU zur Übermittlung von Daten in ein Drittland unterfallen wäre.85 Das Internet vollständig den Voraussetzungen von Art. 25 und 26 DSRL zu unterwerfen, hätte zu unlösbaren Problemen geführt. Entsprechende Bedenken sind kein Einzelfall. Der Wunsch, dass Datenschutzbestimmungen nicht automatisch auf das gesamte Internet Anwendung finden sollten, bestand bspw. auch in Norwegen im Rahmen der Erneuerung der dortigen Datenschutzbestimmungen.86 Die Entscheidung des EuGH in der Rechtssache Lindqvist scheint auch auf pragmatischen Erwägungen zu beruhen, nämlich der Tatsache, dass es keine Beweise dafür gab, dass auf die personenbezogenen Daten tatsächlich von einem Staat außerhalb der EU aus zugegriffen worden ist.87 Kritik kann an der Vorgehensweise des EuGH geübt werden, da es nicht darauf ankommen kann, ob die Daten tatsächlich abgerufen worden sind, sondern lediglich entscheidend ist, ob es zumindest möglich war, die Daten abzurufen.88 Die Auffassung des EuGH berücksichtigt auch nicht, dass Daten in bestimmten Fällen gerade mit der Intention ins Internet gestellt wurden, dass sie von einem Drittstaat aus abgerufen werden; in einem solchen Fall würden die im Fall Lindqvist aufgestellten Kriterien nicht greifen.89 Die Entscheidung wird jedoch durchaus auch gelobt und als visionär („visionary“) bezeichnet, da sie die möglichen internationalen Auswirkungen des Urteils berücksichtigt und die von der EU aufgestellten Einschränkungen des Datenflusses nicht über das zumutbare Maß hinaus ausweitet.90 Der Auffassung des EuGH in der Rechtssache Lindqvist soll auch im Rahmen dieser Arbeit gefolgt werden, obwohl die gegen die Entscheidung vorgetragenen Argumente durchaus Gewicht haben. Insbesondere die Tatsache, dass der Anwendungsbereich von Datenschutzregelungen wie der DSRL oder ihrem Nachfolger der DSGVO ansonsten quasi uferlos wäre, spricht für ein eher engeres Verständnis des Datenflusses im internationalen Kontext.91 85

Vgl. oben EuGH, Urt. v. 06.11.2003, Rs. C-101/01, „Lindqvist“, Slg. 2003, I-12992 Rn. 69. Vgl. Kuner, Transborder data flows and data privacy law, S. 12; Wiese Schartum, in: Blume, Nordic Data Protection Law, 2001, S. 103 f. mit Bezug auf das Umsetzungsgesetz zur DSRL. 87 Brühann, DuD 2004, 201 (203); Kuner, Transborder data flows and data privacy law, S. 12. 88 Kuner, Transborder data flows and data privacy law, S. 13 m. w. Nachw. 89 Siehe dazu die Ausführungen des Datenschutzbeauftragten des Vereinigten Königreichs ICO – Information Commissioner’s Office, Data Protection Act 1998 – The eighth data protection principle and international data transfers, S. 5, http://www.ico.org.uk/upload/documents/ library/data_protection/detailed_specialist_guides/international_transfers_legal_guidance_ v2.0_300606.pdf (zuletzt geprüft am 15.03.2015); vgl. auch Kuner, Transborder data flows and data privacy law, S. 13. 90 So Kuner, Transborder data flows and data privacy law, S. 13 mit Verweis auf weiterhin bestehende Unklarheiten in der Definition und dem Hinweis auf die Abhängigkeit vom jeweiligen Sachverhalt. 91 Anders wohl Kuner, Transborder data flows and data privacy law, S. 14, der sich für eine weite Auffassung ausspricht; siehe auch die Ausführungen von Kuner auf S. 155, 168, 174, 177, 181, 182, 186. 86

54

Teil 1: Datenfluss im internationalen Kontext

Datenfluss im internationalen Kontext kommt in einer Vielzahl verschiedener Sachverhalte vor.92 Im Rahmen dieser Arbeit sollen nur bestimmte Arten von Datenflüssen berücksichtigt werden. Nach den vorangegangenen Ausführungen werden Punkt zu Punkt Übermittlungen zwischen verschiedenen Akteuren in der dargestellten Weise sowie die Nutzung globaler Netzwerke, Cloud Computing und sozialer Netzwerke umfasst sein. Nicht als Datenflüsse im internationalen Kontext im Rahmen dieser Arbeit werden der Transit von Daten sowie das Hochladen von Inhalten behandelt.

§ 4 Realbereichsanalyse Datenfluss ist Gegenstand (rechtlicher) Regelungen sowohl auf internationaler und europäischer als auch auf nationaler Ebene. Ausgangspunkt der Regelungen ist das tatsächliche Vorkommen des Datenflusses. Dieses tatsächliche Vorkommen des Datenflusses ist Gegenstand der Realbereichsanalyse. Eine solche Betrachtung ermöglicht Rückschlüsse für die normative Absicherung des Datenflusses, der vor allem in seiner internationalen Dimension von Interesse ist.

A. Dimensionen des Datenflusses Datenfluss stellt ein Phänomen dar, das äußerst vielschichtig ist. Lediglich von Vielschichtigkeit zu sprechen, wäre jedoch eine Untertreibung und würde der Realität nicht gerecht. Die Vielschichtigkeit geht nämlich so weit, dass es für den Menschen überhaupt nicht mehr möglich erscheint, den Datenfluss in seinen Dimensionen tatsächlich zu erfassen. Das amerikanische Unternehmen Cisco, das auf Rechennetze und Telekommunikation spezialisiert ist, geht in seiner 2012 erschienenen Studie Cisco Visual Networking Index: Forecast and Methodology, 2011–201693, mit der jährlich u. a. Wachstumsaussichten des weltweiten Datenverkehrs über das Internet-Protokoll (IP) ermittelt werden sollen, davon aus, dass im Jahr 2016 allein durch die weltweiten Computernetze 1.300.000.000.000.000.000.000 Byte (sprich 1,3 Zettabyte oder 1 Zettabyte 300 Exabyte) fließen werden und somit 109,5 Exabytes pro Monat.94 Hinzu kommt – wenn auch im Vergleich zu den genannten Zahlen als marginal anzusehen – die physische Überbringung von Datenträgern sowie 92

Siehe dazu unten S. 55. Cisco, Cisco Visual Networking Index: Forecast and Methodology, 2011–2016, http:// www.cisco.com/en/US/solutions/collateral/ns341/ns525/ns537/ns705/ns827/white_paper_ c11-481360.pdf (zuletzt geprüft am 15.03.2015), für eine Beschreibung der Berechnungsmethoden und -parameter siehe S. 3 ff. der Studie; siehe auch Cisco, The Zettabyte Era, http:// www.cisco.com/en/US/solutions/collateral/ns341/ns525/ns537/ns705/ns827/VNI_Hyper connectivity_WP.pdf (zuletzt geprüft am 15.03.2015). 94 Cisco, Cisco Visual Networking Index: Forecast and Methodology, 2011–2016, S. 1; sowie Spiegel online, Datenverkehrsprognose für 2016  – 1.300.000.000.000.000.000.000 Byte, 93

§ 4 Realbereichsanalyse

55

der Datenfluss durch Telefon bzw. Faxverbindungen, die jedoch mittlerweile auch zu einem großen Teil  über das Internet abgewickelt werden.95 Um diese Datenmenge, die durch Computernetze fließen, zumindest annähernd greifbar und vorstellbar zu machen, werden Vergleiche angestellt: So entspricht ein Byte in etwa der Datenmenge von einem Buchstaben, 1.000.000 Bytes (106 Bytes = 1 Megabyte (MB)) der Datenmenge von einem kleinen Foto, 1.000.000.000.000.000.000 Bytes (1018 Bytes = 1 Exabyte (EB)) der fünffachen Datenmenge aller jemals gedruckten Bücher und 1.300.000.000.000.000.000.000 Byte (1021 Bytes = 1 Zettabyte (ZB)) – zumindest nach den Berechnungen von cisco – der Menge des erwarteten Datenverkehrs im Jahr 2016.96 Der globale IP-Verkehr ist – vom Jahr 2011 ausgehend – um das achtfache gestiegen und wird von 2011 bis 2016 abermals um das dreifache ansteigen, was einer Wachstumsrate von 29 Prozent pro Jahr entspricht.97 Maßgeblichen Anteil an der Zunahme des Datenverkehrs haben bspw. die Internettelefonie (VoIP) und das Web-Fernsehen (IPTV); so würden über sechs Millionen Jahre benötigt, um alle Videos anzusehen, die 2016 die weltweiten IP-Netze jeden Monat durchqueren.98 Trotz der genannten Beispiele bleibt der Datenfluss in seinen Dimensionen – zumindest für Laien in der Informationstechnologie – schwer vorstellbar, nachvollziehbar und erfassbar.

B. Unlimitierte Gründe für Datenfluss und Feststellung eines Informationsbedarfs Ähnlich wie mit dem Datenfluss verhält es sich mit den Gründen für den Datenfluss. Die Gründe für den (internationalen) Datenfluss sind mittlerweile unlimitiert und eine Kategorisierung oder enumerative Aufzählung somit nicht abschließend möglich. Mag es vor dem sprunghaften Anstieg der informationstechnischen Entwicklung noch möglich gewesen sein, Hauptgründe für den Datenfluss zu nennen, so ist dies – schon allein wegen der schwer vorstellbaren Dimensionen des Datenflusses – heute nicht mehr möglich. In seiner Monographie von 1981 nennt­ Wochner als Gründe für den „grenzüberschreitenden Datenverkehr“ neben der 03.06.2012, http://www.spiegel.de/netzwelt/web/weltweiter-datenverkehr-soll-sich-bis-2016-ver vierfachen-a-836495.html (zuletzt geprüft am 15.03.2015) mit einer Präsentation der Ergebnisse auf Deutsch. 95 Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Abhöraktivitäten US-amerikanischer Nachrichtendienste in Deutschland – Bericht an den Deutschen Bundestag gemäß § 26 Absatz 2 des Bundesdatenschutzgesetzes, 15.11.2013, http://dip21.bundestag.de/ dip21/btd/18/000/1800059.pdf (zuletzt geprüft am 15.03.2015). 96 Bohn/Short, How Much Information? 2009 Report on American Consumers, 2009, S. 2, http:// hmi.ucsd.edu/pdf/HMI_2009_ConsumerReport_Dec9_2009.pdf (zuletzt geprüft am 15.03.2015); Spiegel online, Datenverkehrsprognose für 2016  – 1.300.000.000.000.000.000.000 Byte, 03.06.2012; Cisco, Cisco Visual Networking Index: Forecast and Methodology, 2011–2016, S. 1. 97 Cisco, Cisco Visual Networking Index: Forecast and Methodology, 2011–2016, S. 1. 98 Cisco, Cisco Visual Networking Index: Forecast and Methodology, 2011–2016, S. 2; Spiegel online, Datenverkehrsprognose für 2016 – 1.300.000.000.000.000.000.000 Byte, 03.06.2012.

56

Teil 1: Datenfluss im internationalen Kontext

internationalen Öffnung und dem Bedürfnis nach speziellen Informationsquellen auch wirtschaftliche und technische Gründe sowie Sicherheitsgründe und die Möglichkeit der Umgehung von Datenschutzstandards verschiedener Staaten.99­ Bergmann spricht in seiner Monographie von 1985 von der „Verschiedenartigkeit der Ziele“ und legt einen besonderen Fokus auf wirtschaftliche Gründe.100 Ellger hingegen stellt verschiedene Interessenten und Interessen an „Freiheit und Regulierung des grenzüberschreitenden Datenverkehrs“ dar.101 Carroll nennt den Informationstransfer innerhalb von Unternehmen, den internationalen Informationstransfer und das Bedürfnis nach transnationalen Informationsquellen.102 Ein Versuch, heute enumerativ möglichst abschließend Gründe für den Datenfluss zu nennen, kann nicht gelingen. Zwar könnten bedeutende Gründe wie die informationstechnische Entwicklung, die Gesellschaftsentwicklung und dabei die Zunahme multinationaler Unternehmen, gesteigerte Mobilität, das Bedürfnis nach globaler Sicherheit, das zunehmende politische Zusammenwachsen, der Umwelt- und Naturschutz oder sich ständig verändernde Kommunikationsgewohnheiten herausgestellt werden, jedoch dies nur in dem Bewusstsein der Unzulänglichkeit und Unvollständigkeit. Eine solche Aufzählung wäre stets defizitär und es ließe sich fortwährend ein weiterer, möglicherweise für einen anderen Betrachter wichtigerer und bedeutenderer Grund finden. Festgestellt werden kann lediglich, dass es Gründe für den Datenfluss gibt, die als unlimitiert anzusehen sind. Zur Verdeutlichung kann herausgestellt werden, dass Datenfluss häufig mit Informationsbedarf einhergeht. Die beiden Begriffe stehen in einem engen Zusammenhang. Informationsbedarf ist mitverantwortlich für Datenfluss. Dem könnte – nachvollziehbar und zu Recht – entgegengehalten werden, dass „Informationsbedarf“ auch nur einer der nicht abschließend aufzählbaren Gründe für Datenfluss darstellt. Datenfluss ist auch ohne konkreten Informationsbedarf möglich und existent, sodass der Informationsbedarf nur einen Teil des Datenflusses begründen kann. Unbestreitbar ist jedoch, dass der „Informationsbedarf“ eine Vielzahl der Gründe für den Datenfluss auf sich vereint und somit zumindest – wie sicherlich andere auffindbare Kategorien auch – als eine übergeordnete Kategorie bezeichnet werden kann. Der Informationsbedarf ist gleichsam nicht mehr erfassbar, individuell, unlimitiert und einer strikten Kategorisierung ebenfalls nicht mehr zugänglich. Selbst für eine bestimmte Kategorie wie den Informationsbedarf, der sich für einen Teil des Datenflusses verantwortlich zeigt, ließe sich eine unlimitierte weitere Subkategorisierung an Gründen vornehmen, was nochmals die Unendlichkeit der Gründe für den Datenfluss verdeutlicht.

99

Siehe Wochner, Der Persönlichkeitsschutz im grenzüberschreitenden Datenverkehr, S. 1 ff. Siehe Bergmann, Grenzüberschreitender Datenschutz, S. 46 ff. 101 Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 107 f. 102 Siehe Carroll, in: OECD, Policy issues in data protection and privacy, 1976, S. 201. 100

§ 4 Realbereichsanalyse

57

C. Internationale Dimension des Datenflusses In dem Bewusstsein der unlimitierten Gründe für den Datenfluss ist offensichtlich, dass Datenfluss im tatsächlichen Bereich nicht durch nationale Grenzen aufgehalten wird und somit schnell zwangsläufig eine internationale Dimension er­ reichen muss: Datenfluss ist nicht auf eine sendende und eine empfangende Stelle in einem einzigen Land beschränkt. Daten können zwischen verschiedenen Stellen in verschiedenen Ländern fließen oder in sogenannten „Clouds“ gespeichert werden, wobei für den Nutzer der Standort des Cloud-Servers oftmals nicht erkennbar ist. Somit ist für den Einzelnen – zumindest ohne ein bewusstes Informieren – häufig nicht ersichtlich, wo die Datenverarbeitung überhaupt stattfindet und ob überhaupt ein Datenfluss im internationalen Kontext vorliegt. Gerade für die tatsächliche Betrachtungsweise des Datenflusses im Rahmen der Realbereichsanalyse macht es daher keinen Unterschied, ob von Datenfluss allein im Territorium eines Landes oder im internationalen Kontext gesprochen wird. Der Unterschied ist jedoch in rechtlicher Hinsicht umso bedeutender, sodass der Datenfluss im internationalen Kontext spezifischer Regelungen bedarf, die auf internationaler, europäischer und nationaler Ebene vorgenommen worden ist. Diese rechtliche Ausformung des Datenflusses im internationalen Kontext ergibt sich vor allem aus unterschiedlichen Vorstellungen, wie mit Daten – seien sie personenbezogen oder nicht – umgegangen werden sollte. Gäbe es diese unterschiedlichen Auffassungen nicht, wären auch Regelungen, die Voraussetzungen für Datenübermittlungen im internationalen Kontext aufstellen, verzichtbar. Die einzelnen Staaten und verschiedenen Rechtssysteme verfügen – auch in Bezug auf die Regelungsgegenstände – über unterschiedliche Stufen von Regelungen. Dies kann ein Grund für Konflikte sein und dadurch wiederum Einfluss auf den tatsächlichen Datenfluss nehmen. Für die Untersuchung der rein tatsächlichen Vorkommnisse kann jedoch – vor allem im Hinblick auf die häufig nicht offensichtlich erscheinende Erkennbarkeit einer internationalen Komponente des Datenflusses für das Individuum – auf eine Unterscheidung verzichtet werden.

D. Akteure im Bereich des Datenflusses An dem Phänomen des Datenflusses ist eine Vielzahl an Akteuren beteiligt. Datenfluss ist sowohl für natürliche Personen als auch für Unternehmen sowie für Hoheitsträger und internationale Organisationen essentiell und findet zwischen diesen Akteuren in den unterschiedlichsten Konstellationen statt.103 Eine Auf 103 Siehe dazu bspw. bereits Wochner, Der Persönlichkeitsschutz im grenzüberschreitenden Datenverkehr, S. 4 ff., der von „Benutzer des grenzüberschreitenden Datenverkehrs“ spricht; sowie Bergmann, Grenzüberschreitender Datenschutz, S.  28 ff. und 32 ff., der „Grenzüberschreitende Datenflüsse im privaten Bereich“ und „Grenzüberschreitende Datenflüsse im­ öffentlichen Bereich“ unterscheidet; zudem Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S.  75 ff., der sich auf „Beteiligte Interessenten“ bezieht und Novotny, Stan. J. Int’l L. 16 (1980), 141 (150): „Actors and Participants in Transborder Data Flows“.

58

Teil 1: Datenfluss im internationalen Kontext

stellung, wer als Hauptakteur im Datenfluss gilt und wer eine eher untergeordnete Rolle einnimmt, kann nicht vorgenommen werden. Dies hinge jeweils von der Definition und Betrachtungsweise des Datenflusses ab, kann sich zudem täglich ändern und ist vor allem – auf Grund der schier unendlichen Vorkommnisse – empirisch, wenn überhaupt, äußerst schwer festzustellen und zu beziffern. Von entscheidender Bedeutung ist die Differenzierung der jeweiligen Akteure im Hinblick auf eine (rechtliche) Regelung des (internationalen) Datenflusses. So richtet es sich nach dem jeweiligen Akteur, in welchem Maße Datenfluss Gegenstand rechtlicher Regelungen ist. Dies kann bereits an der – historisch überkommenen – normativen Absicherung bei der Trennung zwischen öffentlichen und nicht-öffentlichen Stellen in § 2 BDSG gesehen werden. Folgende Akteure sind am Datenfluss beteiligt. I. Natürliche Personen Zu den Akteuren im Bereich des Datenflusses zählen die natürlichen Personen. Nach Ellger sind sie jedoch nur als „Interessenten“ und „kaum als Akteure“ anzusehen.104 Novotny stellt in einer Abhandlung von 1980 fest: „Very little computer communication results from private individuals engaging in private communication or artistic expression“.105 Dies ist jedoch spätestens seit der Nutzung von E-Mails als Kommunikationsmittel nicht mehr zutreffend. Natürliche Personen sind heute essentiell an der Verursachung von Datenfluss beteiligt. Exemplarisch sei nur die Nutzung elektronischer Kommunikationsformen oder die Nutzung sozialer Netzwerke genannt. II. Unternehmen Wochner stellte 1980 fest: „Die dominierenden Benutzer und Anwender des grenzüberschreitenden Datenverkehrs sind die multinationalen Gesellschaften“.106 Auch Ellger machte eine ähnliche Feststellung, indem er erklärte: „Wirtschaftunternehmen gehören zu den wichtigsten und intensivsten Nutzern des grenzüberschreitenden Datenverkehrs.“107 Bergmann hingegen stellte allgemein fest: „Obwohl keine einschlägigen empirischen Untersuchungen vorliegen, kann ohne weiteres davon ausgegangen werden, daß der qualitativ wesentliche Teil grenzüberschreitender In-

104

Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 78. Novotny, Stan. J. Int’l L. 16 (1980), 141 (165). 106 Wochner, Der Persönlichkeitsschutz im grenzüberschreitenden Datenverkehr, S.  4 mit Verweis auf Freese, International data flow, S. 29; siehe zur OECD Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 528. 107 Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 76; siehe auch bereits Hentschel/Schomerus, Der Arbeitgeber 1976, 149. 105

§ 4 Realbereichsanalyse

59

formationsbewegungen in einem wirtschaftlichen Kontext steht.“108 Unternehmen – gesellschaftsrechtlich oftmals in der Rechtsform einer juristischen Person des Privatrechts in den jeweiligen nationalen Ausprägungen organisiert – sind auch heute noch essentiell am Datenfluss im internationalen Kontext beteiligt. Eine Reihenfolge bzw. eine Einteilung der jeweiligen Akteure in Haupt- und Nebenakteure soll und kann heutzutage in Folge der genannten Gründe nicht mehr vorgenommen werden. III. Hoheitsträger wie Staaten und Staatenverbund Nachdem erklärt wurde, dass Wirtschaftsunternehmen „zu den wichtigsten und intensivsten Nutzern des grenzüberschreitenden Datenverkehrs“ zählen, stellte Ellger in seiner Monographie in Bezug auf Staaten fest: „Staaten sind die wohl wichtigsten Akteure im grenzüberschreitenden Datenverkehr“.109 Auch Novotny führte in seiner Abhandlung Entsprechendes aus und bemerkte: „States are and will remain the most significant actors in transborder data flows“.110 Lediglich von einem Staat als Akteur zu sprechen, würde jedoch nicht mehr der heutigen Realität gerecht. Die EU ist bspw. kein Staat und hat dennoch als Staatenverbund erhebliche Hoheitsbefugnisse. Dass Staaten – wie noch in früheren Arbeiten genannt – die wichtigsten Akteure sind, gilt heute nicht mehr. Dass Hoheitsträger wie Staaten und Staatenverbund mit ihren jeweiligen Untergliederungen zumindest zu bedeutenden Akteuren im Bereich des internationalen Datenflusses gehören, ist hingegen offensichtlich. IV. Internationale Organisationen Als weitere Akteure können internationale Organisationen angesehen werden. Diese – so Ellger – befinden sich in „einer den Staaten vergleichbaren Lage gegenüber den grenzüberschreitenden Datenflüssen befinden“.111 Ob dies so ist, kann dahinstehen. Sie stellen jedenfalls signifikante Akteure im Bereich des Datenflusses im internationalen Kontext dar. V. Mögliche Bildung weiterer Kategorien Neben den genannten Akteuren ließen sich weitere Akteure des Datenflusses im internationalen Kontext finden und weiter nuancierte Kategorien herausbilden. So könnten als weitere Kategorien internationale nichtstaatliche Organisationen 108

Bergmann, Grenzüberschreitender Datenschutz, S. 46; im Folgenden werden transnationale Konzerne, weltweit kooperierende Banken, Fluggesellschaft und andere Unternehmen genannt, aber auch darauf hingewiesen, dass auch internationale Organisationen Daten weitergeben. 109 Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 76. 110 Novotny, Stan. J. Int’l L. 16 (1980), 141 (151). 111 Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 77.

60

Teil 1: Datenfluss im internationalen Kontext

(NGO), also private Vereinigungen genannt werden, die einerseits wie Private behandelt werden könnten, andererseits sich vor allem im Fall des Roten Kreuzes stark internationalen Organisationen annähern. Jedoch würde eine weitere Unterteilung zur Unübersichtlichkeit beitragen. Vollständigkeit kann nicht erreicht werden, das Bewusstsein sollte aber bestehen, dass die aufgeführten Kategorien nicht abschließend sein können.

E. Individuelle und wechselseitige Komponente des Datenflusses Das Interesse an Datenfluss ist äußerst vielschichtig und kann nicht beziffert werden. Die zu nennenden Vorkommnisse können immer nur einen Bruchteil der Vorkommnisse verdeutlichen, sind stets erweiterbar und können den Status der Vollständigkeit nicht erreichen. Datenfluss hat oftmals eine individuelle Komponente, indem lediglich ein Akteur agiert und sich bspw. im Internet informiert. Datenfluss erhält jedoch schnell eine wechselseitige Komponente, indem ein Akteur in einen Austausch mit anderen Akteuren  – sei es durch Konversation, Datenerhebung oder Informations­ austausch – tritt. Dieser Austausch ist in den denkbaren Konstellationen sehr unterschiedlich geprägt.

F. Ausblick Datenfluss ist in seiner Quantität quasi unendlich oder zumindest unvorstellbar. Datenfluss erhält zwangsläufig eine internationale Komponente. Im internationalen Kontext ist Datenfluss vor allem auf Grund der technischen Entwicklungen zu einem Phänomen geworden, bei dem vom Individuum bis zur internationalen Organisation mittlerweile die verschiedensten Akteure beteiligt sind. Die agierenden Akteure wirken in den verschiedensten Konstellationen zusammen. Fraglich ist, wie dieses tatsächliche Phänomen Gegenstand (rechtlicher) Regelungen sein kann. Dies ist im Folgenden zu klären.

§ 5 Allgemeiner Regelungsrahmen Datenfluss an sich und auch Datenfluss im internationalen Kontext existieren tatsächlich. Sie sind in verschiedensten Vorkommnissen erkennbar und können losgelöst von jeglichem Bezug zu (rechtlichen) Regelungen wahrgenommen werden. Dennoch sind es gerade diese Regelungen, die neben technischen Voraussetzungen wesentlich zur Existenz und zur Reichweite des Datenflusses und insbesondere zum Datenfluss im internationalen Kontext beitragen können. Datenfluss im inter-

§ 5 Allgemeiner Regelungsrahmen

61

nationalen Kontext ist zwar ohne Regelungen möglich, für einen rechtmäßigen und kontinuierlichen Datenfluss sind Regelungen jedoch oftmals essentiell. So gäbe es bspw. ohne regelnde Steuerung bedeutend mehr Unsicherheiten für Personen und zudem wären manche Vorkommnisse des Datenflusses überhaupt nicht vorhanden, da die Regelungen – bspw. Vereinbarungen über Datenübermittlungen – sie erst ermöglichen. Regelungen sind dabei oftmals rechtsverbindlich, was jedoch – wie noch zu zeigen ist – nicht notwendigerweise der Fall zu sein hat. Regelungen haben zudem Einfluss auf Akteure im Rahmen des Datenflusses und stehen im Zusammenhang mit verschiedenen Risiken und Herausforderungen. Die Erscheinungsformen des Datenflusses im internationalen Kontext können nicht ohne ihre Regelungsrahmen – bestehend aus meist rechtsverbindlichen Regelungen wie Gesetzen  – betrachtet werden. Dabei sind nach einer kurzen historischen Einordnung (A) die Gründe für Regelungen des Datenflusses im internationalen Kontext (B) von Interesse. Des Weiteren ist der damit einhergehende Zusammenhang zwischen Regelungen und den bereits im Rahmen der Real­ bereichsanalyse dargestellten Akteuren zu verdeutlichen (C). Die sich im Zusammenhang mit Regelungen zum Datenfluss im internationalen Kontext ergebenden Risiken und Herausforderungen sind im Folgenden aufzuzeigen (D). Zudem erfolgt eine Darstellung der möglichen Regelungskonstruktionen (E).

A. Historische Einordnung In den 1970er und 1980er Jahren wurden in vielen Staaten erstmals Datenschutzgesetze erlassen.112 In Deutschland traten erste Datenschutzgesetze bereits vor der verfassungsrechtlichen Anerkennung des Rechts auf informationelle Selbstbestimmung in Kraft.113 Als Anlass für die Forderung nach rechtlichen Regelungen kann „die ständig zunehmende und damit für den einzelnen nicht mehr kontrollierbare Bearbeitung personenbezogener Informationen“114 gesehen werden. Diese Gefahr einer nicht mehr kontrollierbaren Bearbeitung ergibt sich umso mehr, wenn die räumlichen Grenzen einer Nutzung nicht mehr nur auf das Territorium eines Landes beschränkt sind.115 Besteht Datenaustausch im internationalen Kontext, ist es umso schwieriger, den Datenfluss zu verfolgen. Wegen dieser Problematik muss – wenn eine gesetzliche Regelung zum Schutz personenbezo-

112 Siehe dazu bspw. Bull, Datenschutz oder Die Angst vor dem Computer, S. 135 ff.; Hondius, Netherlands International Law Review 30 (1983), 103 (103 ff.); zur Geschichte der Datenschutzgesetzgebung von Lewinski, in: Arndt/Betz, Freiheit  – Sicherheit  – Öffentlichkeit, 2009. 113 Siehe bspw. Bundesdatenschutzgesetz vom 27.01.1977, BGBl I v. 01.02.1977, 201; Hessisches Datenschutzgesetz vom 07.10.1970, GVBl. I 1970, 625. 114 Simitis, in: Ferid/Heldrich/Henrich/Sonnenberger, Konflikt und Ordnung, 1978, S. 358. 115 Simitis, in: Ferid/Heldrich/Henrich/Sonnenberger, Konflikt und Ordnung, 1978, S. 358.

62

Teil 1: Datenfluss im internationalen Kontext

gener Daten erfolgt – zwingend auch der internationale Kontext mit bedacht werden; dies folgt schon aus der Tatsache, dass das Interesse an einer Kontrolle von Informationsverarbeitung auch fortbesteht, wenn die Verarbeitung eine internationale Komponente mit einbezieht.116 So wird die stetig zunehmende Übermittlung personenbezogener Daten als solche schon als Grund für die Erforderlichkeit von internationalen Regelungen gesehen.117 Ob der internationale Datenfluss aber auch explizit geregelt wird oder hinsichtlich der Datenschutzstandards die für die Verarbeitung im innerstaatlichen Bereich anwendbaren Vorschriften der Datenschutzgesetze herangezogen werden, ist Sache des Gesetzgebers.118 Zwar bestanden vormals durchaus Bedenken bzgl. der Übermittlung personenbezogener Daten, jedoch war in tatsächlicher Hinsicht der Transfer von personenbezogenen Daten eher die Ausnahme als die Regel.119 In den 1970er und 1980er Jahren erfolgte mit grenzüberschreitendem Bezug vor allem die Übermittlung sachbezogener Daten technischer, wirtschaftlicher oder wissenschaftlicher Natur (bspw. Statistiken oder Informationen über das Wetter).120 Das Land Hessen erließ 1970 das erste Datenschutzgesetz der Welt.121 Dieses enthielt jedoch noch keine expliziten Regelungen zum Datenfluss im internationalen Kontext.122 Im Rahmen der ersten nationalen Datenschutzgesetze wurde schließlich auch der Datenfluss im internationalen Kontext Gegenstand expliziter rechtlicher Regelungen.123 Die nationalen Regelungen wurden daher zunächst geschaffen, „damit den inländischen Behörden die Kontrolle darüber erhalten blieb, was mit den übermittelten Daten geschieht, und so dem Schutz der betroffenen Personen Geltung verschafft werden kann“.124 Jedoch wurden mit den Regelungen auch Interessen verfolgt, die über den Schutz betroffener Personen hinausgingen: So wurden entsprechende Regelungen des Datenflusses im internationa-

116

Simitis, in: Ferid/Heldrich/Henrich/Sonnenberger, Konflikt und Ordnung, 1978, S. 358. Simitis, in: Ferid/Heldrich/Henrich/Sonnenberger, Konflikt und Ordnung, 1978, S. 355: „Erst in dem Augenblick, in dem die Übermittlung derartiger Angaben aus einem mehr oder weniger singulären Fall zur Routineerscheinung wird, macht sich die Erforderlichkeit von Konventionen bemerkbar. Sie sind untrügliche Indikatoren für die Häufigkeit mit der solche Informationen benötigt werden.“ 118 Vgl. Simitis, in: Ferid/Heldrich/Henrich/Sonnenberger, Konflikt und Ordnung, 1978, S. 363. 119 Siehe Kuner, Transborder data flows and data privacy law, S. 27. 120 Siehe Kuner, Transborder data flows and data privacy law, S. 27 mit Verweis auf Freese, International data flow; Hondius, Emerging data protection in Europe. 121 GVBl. I 1970, 625. 122 So auch Kuner, OECD Digital Economy Papers, No. 187 2011 (14); Kuner, Transborder data flows and data privacy law, S. 26. 123 Für einen Überblick über erste Regelungen mit besonderem Fokus auf Deutschland siehe Bothe/Kilian, Rechtsfragen grenzüberschreitender Datenflüsse, S. 529 ff.; für bestehende Regelungen und unterschiedliche Vorgehensweisen vor Inkrafttreten der DSRL siehe Schwartz, Iowa L. Rev 80 (1994–95), 471 (473 ff.). 124 Henke, Die Datenschutzkonvention des Europarates, S. 31. 117

§ 5 Allgemeiner Regelungsrahmen

63

len Kontext auch dazu genutzt, protektionistische Interessen durchzusetzen und somit durch eine Beschränkung des Datenflusses möglichen Arbeitsplatzverlusten vorzubeugen, die durch eine Verlagerung von Datenverarbeitungsverfahren ins Ausland möglich geworden wären.125 Ein weiterer protektionistischer Grund war die Hinderung von ausländischen Konkurrenzunternehmen, ihre Wettbewerbsposition auszubauen, indem der Datenfluss beschränkt wurde, weniger Informationen an ausländische Unternehmen übermittelt werden konnten und damit ein möglicher Erkenntnisgewinn erschwert wurde.126 Neben den ökonomischen Hindernissen, die die jeweiligen einzelstaatlichen Regelungen mit sich brachten, ergaben sich bereits damals auch Nachteile, die unmittelbar den Einzelnen betrafen: Die Abgrenzung der Geltungsbereiche von verschiedenen in Betracht kommenden Datenschutznormen war teilweise schwierig.127 Zudem war es möglich, dass sich Anwendungsbereiche verschiedener nationaler Datenschutzgesetze überschnitten und für denselben Datenverarbeitungsprozess einschlägig waren.128 Ein weiteres Problem konnte in der teilweise schwierigen Feststellung gesehen werden, ob Datenverkehr durch ein bestimmtes Land stattfand und somit ein nationales Datenschutzgesetz überhaupt anwendbar war.129 Erste nationale Regelungen des Datenflusses im internationalen Kontext stellten dabei oft eine Kombination von verschiedenen Regelungstypen dar und reichten vom absoluten Exportverbot von Daten über ein Exportverbot mit Erlaubnisvorbehalt und einen „beschränkt freien“ Datenexport mit Verbotsvorbehalt bis zu einem freien Export von Daten.130 Zudem gab es Regelungen, die sich wortwörtlich an internationalen Verträgen wie der Konvention 108 des Europarates orientierten, das Einverständnis der Person voraussetzten, deren Daten übermittelt werden sollten, oder ein­ ähnliches Schutzniveau im die Daten importierenden Staat forderten.131 Mit der Zeit haben immer mehr Staaten, aber auch internationale Organisationen und supranationale Stellen Regelungen zum Datenfluss im internationalen Kontext erlassen. Auf die dazu führenden Gründe ist nochmals genauer einzugehen.

125

Henke, Die Datenschutzkonvention des Europarates, S. 32 m. w. Nachw. Henke, Die Datenschutzkonvention des Europarates, S. 32 m. w. Nachw.; siehe zu diesem weiterhin aktuellen Problem unten S. 70 ff. 127 Henke, Die Datenschutzkonvention des Europarates, S. 32. 128 Vgl. Henke, Die Datenschutzkonvention des Europarates, S. 32 m. w. Nachw.; zur Problematik des Transits siehe bereits oben S. 48. 129 Henke, Die Datenschutzkonvention des Europarates, S. 32. 130 So ausführlich Wochner, Der Persönlichkeitsschutz im grenzüberschreitenden Datenverkehr, S. 220 ff.; siehe dazu auch Hondius, Netherlands International Law Review 30 (1983), 103 (109 ff.). 131 So Kuner, Transborder data flows and data privacy law, S. 26 f., der zudem die explizite Erlaubnis der Datenschutzbehörde nennt. 126

64

Teil 1: Datenfluss im internationalen Kontext

B. Gründe für Regelungen des Datenflusses im internationalen Kontext Die Gründe für Regelungen des Datenflusses im internationalen Kontext sind vielschichtig, lassen sich jedoch auf wenige übergeordnete Kategorien reduzieren. Regelungen haben dabei zum einen den Zweck, beim Datenfluss im internationalen Kontext Datenschutz und somit oftmals sogar Grundrechtsschutz sicherzustellen. Zum anderen bestehen Regelungen auch, um den Datenfluss im internationalen Kontext überhaupt zu ermöglichen oder aber zu verhindern. Mit Hilfe der Regelungen soll wiederum eine Vielzahl verschiedener Ziele verfolgt werden, die sich jeweils in die genannten Hauptgründe einordnen lassen. Entscheidenden Einfluss auf den Zweck der Regelung hat dabei u. a. die Art der Daten. I. Regelungen zum Zwecke des Datenschutzes Eine Regelung des internationalen Datenflusses  – oftmals eine verbindliche rechtliche Regelung – erfolgt zum einen zum Zwecke des Schutzes. Der Aspekt des Schutzes ist dabei vor allem im Zusammenhang mit personenbezogenen Daten als Datenschutz von Bedeutung. Mit Regelungen soll der Schutz vor den Folgen sichergestellt werden, die eine Verarbeitung personenbezogener Daten für die Betroffenen und andere nach sich ziehen kann.132 Wie weit dabei der Schutz geht, ist in den jeweiligen Rechtsordnungen verschieden: Er erstreckt sich von einem reinen Schutz der Privatsphäre bis hin zum Schutz des Persönlichkeitsrechts mit seinen Ausprägungen. Datenschutz kann somit auf Grundrechtsschutz in unterschiedlicher Intensität gerichtet sein. Auch hängt es von der jeweiligen Rechtsordnung ab, wer sich auf den Schutz seiner personenbezogenen Daten berufen darf – so sind dies in einigen Rechtsordnungen nur natürliche Personen, teilweise aber auch juristische Personen des Privatrechts. 1. Daten und Datenverarbeitung als Regelungsgegenstand Als Grundlage der Regelung des internationalen Datenflusses ist zunächst festzustellen, dass Daten bzw. Datenverarbeitungen an sich Gegenstand rechtlicher Regelungen sind. § 1 I BDSG nennt als Zweck der rechtlichen Regelung durch das BDSG, „den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird“.133 Die DSRL führt in Art.  1 I zum Gegenstand der Richtlinie aus: „Die Mitglied-

132

Siehe Simitis, in: Simitis, BDSG, 8. Aufl. 2014, Einleitung Rn. 2, m. w. Nachw. Siehe zum Zweck des BDSG ausführlich: Simitis, in: Simitis, BDSG, 8. Aufl. 2014, § 1 Rn. 23 ff. 133

§ 5 Allgemeiner Regelungsrahmen

65

staaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten“. Der kanadische Privacy Act legt in section 2 bspw. dar, dass es Zweck der Regelung sei „to extend the present laws of Canada that protect the privacy of individuals with respect to personal information about themselves held by a government institution and that provide individuals with a right of access to that information“.134 Datenschutzgesetze anderer Rechtsordnungen führen ähnliche Zwecke an. 2. Datenschutz als Regelungszweck Ausgehend von Daten als Regelungsgegenstand und den Zwecken der jeweiligen Datenschutzgesetze ist auch der internationale Datenfluss in Datenschutzgesetzen näher geregelt worden. Der Erhalt des im Ursprungsland bestehenden Datenschutzes war zusammengefasst ein Grundgedanke hinter dem Erlass von Regelungen zum Datenfluss im internationalen Kontext.135 Weitere speziellere Motivationen hinter Regelungen, die sich in den größeren Kontext zum Zweck des Datenschutzes einordnen lassen, sind speziell die Verhinderung der Umgehung nationaler Datenschutzgesetze, der Schutz gegen Risiken der Datenverarbeitung in anderen Ländern, Schwierigkeiten bei der Durchsetzung von Datenschutzrechten im Ausland sowie die Förderung des Vertrauens von Konsumenten und Individuen.136 a) Verhinderung der Umgehung nationaler Datenschutzgesetze Spezieller betrachtet wurden Regelungen in Bezug auf grenzüberschreitende Datenflüsse zum einen geschaffen, um einer Umgehung nationaler Datenschutzgesetze vorzubeugen.137 Zu Zeiten der ersten Gesetze in Bezug auf den Datenfluss im internationalen Kontext gab es weltweit nur wenige Datenschutzgesetze, sodass diese Befürchtung der Umgehung durchaus gerechtfertigt war.138 Diese Befürchtung verlor jedoch nach und nach an Bedeutung, da es in immer mehr Ländern Datenschutzgesetze gab.139 Zu beachten ist jedoch die sehr unterschiedliche

134

Privacy Act, zuletzt geändert am 16.03.2012, R. S. C., 1985, c. P-21, abrufbar unter http:// laws-lois.justice.gc.ca/PDF/P-21.pdf (zuletzt geprüft am 15.03.2015). 135 Siehe Kuner, Transborder data flows and data privacy law, S. 28 m. w. Nachw. 136 So die von Kuner, OECD Digital Economy Papers, No. 187 2011 (7) gebildeten Kategorien; ebenso darauf bezugnehmend Weber, International Data Privacy Law 2013, 1 (14). 137 So Kuner, OECD Digital Economy Papers, No. 187 2011 (7, 8, 23). 138 So Kuner, OECD Digital Economy Papers, No. 187 2011 (23) mit Bezug darauf, was als „Umgehung“ angesehen werden kann. 139 So Kuner, OECD Digital Economy Papers, No. 187 2011 (23).

66

Teil 1: Datenfluss im internationalen Kontext

Art, Datenschutz zu regeln. Dabei ist neben unterschiedlichen Regelungen auch eine unterschiedliche Regelungsdichte auszumachen, sodass die Befürchtungen durchaus heute noch aktuell sind. b) Schutz gegen Risiken der Datenverarbeitung in anderen Ländern Der Schutz gegen Risiken der Datenverarbeitung in anderen Ländern steht ebenfalls im Kontext der Regelung zu Datenschutzzwecken. Beispielsweise wurden spezielle Regelungen zum Schutz vor Zugriff auf Daten von manchen kanadischen Provinzen als Reaktion auf den US Patriot Act erlassen oder die Befürchtungen von Dienstleistern angeführt, Daten gegenüber chinesischen Strafverfolgungsbehörden offenlegen zu müssen.140 c) Schwierigkeiten bei der Durchsetzung von Datenschutzrechten im Ausland Die Schwierigkeiten bei der Durchsetzung von Datenschutzrechten im Ausland sind ebenfalls zu nennen: Diese sind dadurch bedingt, dass im Gegensatz zur EU weltweit keine vergleichbaren Kooperationsmechanismen zur Durchsetzung von Datenschutzregelungen bestehen.141 Diese Motivation kann somit vor allem in Bezug auf die EU Geltung beanspruchen. Jedoch gibt es mittlerweile zahlreiche informelle Kooperationsmechanismen wie das Global Privacy Enforcement Network142 oder das APEC Cross-border Privacy Enforcement Arrangement143 sowie auch interne Streitbeilegungsmechanismen144 sowohl im privaten als auch im öffentlichen Bereich, die dazu beitragen, dass das Individuum sein Recht in anderen Ländern durchsetzen kann.145

140

So Kuner, OECD Digital Economy Papers, No. 187 2011 (23) m. w. Nachw. So Kuner, OECD Digital Economy Papers, No. 187 2011 (23) mit Verweis auf Anfragen von Datenschutzbeauftragten der Mitgliedstaaten untereinander und die Verordnung (EG) Nr. 44/2001 des Rates vom 22. Dezember 2000 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen, ABl. L 12 v. 16.01.2001, S. 1 ff. 142 Siehe https://www.privacyenforcement.net (zuletzt geprüft am 15.03.2015). 143 Siehe APEC  Secretariat, APEC launches new Cross-border Data Privacy Initiative, 16.07.2010, http://www.apec.org/press/news-releases/2010/0716_ecsg_cpea.aspx (zuletzt geprüft am 15.03.2015). 144 Siehe die Aufzählung bei OECD – Working Party on Information Security and Privacy, Report on Compliance with, and Enforcement of, Privacy Protection Online, 12.02.2003, S.  14, http://search.oecd.org/officialdocuments/displaydocumentpdf/?doclanguage=en&cote= dsti/iccp/reg%282002 %295/final (zuletzt geprüft am 15.03.2015). 145 So Kuner, OECD Digital Economy Papers, No. 187 2011 (23). 141

§ 5 Allgemeiner Regelungsrahmen

67

d) Förderung des Vertrauens von Konsumenten und Individuen Schließlich gilt auch die Förderung des Vertrauens von Konsumenten und Individuen als weiteres Motiv, das sich in den Kontext der Regelung zu Zwecken des Datenschutzes einordnen lässt: Durch Regelungen könnte dieses Vertrauen vergrößert werden.146 Gerade die zunehmende Komplexität von Datenverarbeitungen macht es schwierig für Individuen, in Erfahrung zu bringen, wo ihre personen­bezogenen Daten verarbeitet und gespeichert werden: Dies kann zu einem Vertrauensverlust führen, dem durch Regelungen entgegengewirkt werden kann.147 3. Rechtsverbindliche Regelung Die Regelung des Datenflusses im internationalen Kontext zu Zwecken des Datenschutzes erfolgt meist durch spezifische rechtsverbindliche Regelungen, wobei – wie noch zu zeigen sein wird – auch weitere Regelungskonstruktionen denkbar sind.148 Auf EU-Ebene ist eine Regelung u. a. durch Art.  25 und 26 DSRL erfolgt. Eine vergleichbare Regelung findet sich in Art. 13 des Datenschutz-Rahmenbeschlusses. In Deutschland ist der Datenfluss im internationalen Kontext auf Bundesebene in den §§ 4b und 4c BDSG normiert.149 Diese Regelungen dienen u. a. ebenfalls dem Schutz in verschiedenen, je nach Rechtsordnung unterschiedlichen Ausprägungen. Für den rechtlich zulässigen internationalen Datenfluss werden dabei bestimmte Voraussetzungen geregelt. 4. Zusammenfassung Datenfluss im internationalen Kontext im Zusammenhang mit personenbezogenen Daten ist oftmals zum Zwecke des Datenschutzes geregelt worden. Eine Regelung des Datenflusses im internationalen Kontext erfüllt eine schützende Funktion, indem sie eine Umgehung fundamentaler Prinzipien des Datenschutzes verhindert.150 Es kommt somit zu einer gewissen Fortgeltung des Datenschutzes. Die Regelung des Datenflusses im internationalen Kontext stellt jedoch nicht selbst ein fundamentales Prinzip des Datenschutzrechts dar.151

146

So Kuner, OECD Digital Economy Papers, No. 187 2011 (23) mit Verweis auf Studien der OECD über Beschwerden von Individuen über den Transfer von Daten ins Ausland. 147 Vgl. dazu Kuner, OECD Digital Economy Papers, No. 187 2011 (23) m. w. Nachw. 148 Siehe dazu unten S. 82. 149 Siehe dazu bspw. Simitis, in: Simitis, BDSG, 8.  Aufl. 2014, § 4b; Gola/Klug/Körffer/­ Schomerus, BDSG § 4b, § 4c; Simitis, in: Simitis, BDSG, 8. Aufl. 2014, § 4c. 150 So Kuner, OECD Digital Economy Papers, No. 187 2011 (7) m. w. Nachw. 151 So Kuner, OECD Digital Economy Papers, No. 187 2011 (7) m. w. Nachw.

68

Teil 1: Datenfluss im internationalen Kontext

II. Regelungen zum Zwecke der Ermöglichung und Verhinderung von Datenflüssen Regelungen zum Datenfluss im internationalen Kontext werden zudem zur Ermöglichung des internationalen Datenflusses sowie zu seiner Verhinderung erlassen. So können im Folgenden weitergehende Ziele verfolgt werden, die nicht notwendigerweise mit dem Datenschutz in Verbindung stehen müssen. Die Ermöglichung steht beim Zweck der Regelung zunächst im Vordergrund, weil ohne sie die primär verfolgten Ziele überhaupt nicht erreicht werden könnten. Ein Ziel, das bspw. die OECD mit ihren Regelungen verfolgt, ist die Ausweitung des Welthandels.152 Ein Ziel, das die EU mit der DSRL verfolgt, ist die Verwirklichung des gemeinsamen Marktes. Weitere beispielhaft zu nennende Ziele sind die Förderung des e-commerce oder der wirtschaftlichen und sozialen Entwicklung.153 Die Ziele der jeweiligen Regelungen sind höchst vielseitig. Sie könnten jedoch nicht erreicht werden, wenn nicht zuerst der Datenfluss auf Grund von Regelungen überhaupt ermöglicht wird. Dasselbe gilt für die Verhinderung von Datenflüssen. So können in anderen Fällen innerstaatliche Ziele bspw. politischer oder wirtschaftlicher Art durch eine Verhinderung besser erreicht werden. 1. Datenfluss auch ohne Regelungen Zu beachten ist, dass Datenfluss im internationalen Kontext auch ohne jegliche Art von Regelung möglich ist und stattfinden würde. Zu denken ist bspw. an den Skandal um wikileaks oder gewisse Spionagetätigkeiten im Zusammenhang mit der NSA-Affäre. Dennoch kann die Ermöglichung bzw. die Verhinderung von Datenflüssen als ein Regelungszweck gesehen werden. Gerade um geordneten, oftmals auch rechtmäßigen und kontinuierlichen Datenfluss im internationalen Kontext durchführen zu können, bedarf es entsprechender Regelungen. 2. Ermöglichung im Zusammenhang mit sachbezogenen Daten Im Zusammenhang mit sachbezogenen Daten154 spielt der Zweck der Ermög­ lichung eine entscheidende Rolle. Der Zweck der Ermöglichung ist dabei eng verknüpft mit einer Sachmaterie, die geregelt werden soll oder von Interesse ist und zu deren Verwirklichung Datenfluss im internationalen Kontext notwendig ist. Ohne vorherige Abkommen zwischen verschiedenen Staaten oder Regelungen auf EU-Ebene in vielen Gebieten erfolgt nämlich kein Datenfluss. Er ist vorher zwar technisch möglich, gerade aber die Regelung als solche ermöglicht den tatsäch 152

So Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 515. So einige der Beispiele von Kuner, OECD Digital Economy Papers, No. 187 2011 (7, 18). 154 Zur Abgrenzung von sach- und personenbezogenen Daten Karg, ZD 2012, 255. 153

§ 5 Allgemeiner Regelungsrahmen

69

lichen Datenfluss zwischen den Stellen. Im Zusammenhang mit sachbezogenen Daten ist es oftmals das Interesse verschiedener Länder am Austausch bestimmter Daten, die zu rechtlichen Regelungen wie Verträgen oder Abkommen mit gegenseitigen Informationspflichten führen. Dabei sind bspw. Umweltdaten oder Daten in Betracht zu ziehen, die der Sicherheit und Gesundheit der Bevölkerung dienen wie Daten im Rahmen des Katastrophenschutzes.155 3. Ermöglichung im Zusammenhang mit personenbezogenen Daten Auch im Zusammenhang mit personenbezogenen Daten werden rechtliche Regelungen geschaffen, um den Datenfluss im internationalen Kontext überhaupt zu ermöglichen. Die Regelungen sind dabei oftmals – im Gegensatz zu dem Fall der sachbezogenen Daten – nicht genuin zur Ermöglichung geschaffen worden, sondern weisen eine zweigliedrige Regelungsstruktur auf: Einerseits ist die Ermöglichungskomponente entscheidend, andererseits zusätzlich die Datenschutzkomponente und somit oftmals eine Regelung zur Verwirklichung des Grundrechtsschutzes. Die beiden Regelungszwecke sind eng verknüpft und oftmals sogar in einer einzigen Regelung bzw. einem einzigen Regelungswerk normiert.156 Von Interesse sind vor allem zwei Arten von Regelungen. Eine Art betrifft solche Regelungen, die grundsätzlich normieren, unter welchen Voraussetzungen Datenfluss im internationalen Kontext überhaupt möglich ist. Zu denken ist dabei bspw. an die Regelungen der Art. 25 und 26 DSRL. Die zweite Art von Regelungen umfasst solche, die diese Voraussetzungen aufgreifen und versuchen, sie zu erfüllen. Zu berücksichtigen sind dabei Abkommen zwischen verschiedenen Rechtsordnungen, wie bspw. die Abkommen zwischen der EU und den USA, die die Übertragung von PNR-Daten oder Bankdaten zum Gegenstand haben oder auch Standardvertragsklauseln oder bindende Unternehmensregelungen. In beiden Arten von Regelungen sind sowohl der Zweck des Datenschutzes als auch der Zweck der Ermöglichung auszumachen. Von Interesse sind ferner die Regelungen, die in einzelnen Rechtsordnungen erlassen werden und einen Datenfluss von personenbezogenen Daten im internationalen Kontext fordern. Sie stehen quasi am Ausgangspunkt sämtlicher Regelungen zur Ermöglichung und sind mit den Regelungen, die zur Ermöglichung des Datenflusses von sachbezogenen Daten geschaffen werden, vergleichbar. Zwar werden diese Regelungen auch den Datenschutz berücksichtigen (müssen), ihr Hauptzweck besteht jedoch in der Ermöglichung des Datenflusses im internationalen Kontext. Im Folgenden werden weitere Ziele wie die Terrorismusbekämpfung verfolgt. Als Beispiel können die amerikanischen nationalen Regelungen genannt werden, die überhaupt die Nutzung von PNR- bzw. Bank-Daten und ihre Auswertung vorsehen. 155

Zur Entwicklung der Umweltinformationspflichten siehe ausführlich Klein, Umweltinformation im Völker- und Europarecht, S. 35–71. 156 So bspw. die DSRL, mit den zwei Zielrichtungen Grundrechtsschutz und Ermöglichung des gemeinsamen Marktes.

70

Teil 1: Datenfluss im internationalen Kontext

4. Verhinderung des Datenflusses im internationalen Kontext Ein weiterer Aspekt ist die Verhinderung des Datenflusses im internationalen Kontext, wenn durch (rechtliche) Regelungen gerade diese Art von Datenfluss bewusst unterbunden wird. Die hinter diesem generellen Zweck stehenden Gründe sind wiederum vielschichtig und überschneiden sich teilweise. Die Ursache kann bspw. in der Verhinderung ungewünschter politischer, wirtschaftlicher, sozialer und kultureller Effekte des Datenflusses im internationalen Kontext liegen.157 Dabei sind vor allem Gründe anzusprechen, die nicht im Zusammenhang mit dem Datenschutz stehen. a) Protektionistische Gründe So wurden Regelungen erlassen, um protektionistische Interessen durchzusetzen und somit durch eine Beschränkung des Datenflusses bspw. möglichen Arbeitsplatzverlusten vorzubeugen, die durch eine Verlagerung von Datenverarbeitungsverfahren ins Ausland möglich geworden wären.158 Ein weiteres Beispiel eines protektionistischen Grundes ist die Hinderung von ausländischen Konkurrenzunternehmen, ihre Wettbewerbsposition auszubauen, indem der Datenfluss beschränkt wird, weniger Informationen an ausländische Unternehmen übermittelt werden könnten und damit ein möglicher Erkenntnisgewinn erschwert wird.159 b) Schutz der staatlichen Souveränität Ein Grund für Regelungen des Datenflusses im internationalen Kontext kann auch in der Sorge um den Verlust der Souveränität bzw. „informatorischen Souveränität“ eines Staates durch unkontrollierten Fluss von personenbezogenen Daten liegen.160 Dieser Grund ist eng verbunden mit den genannten protektionistischen Gründen; eine Unterscheidung scheint marginal und vor allem terminologischer Natur zu sein. So forderte bspw. eine vom kanadischen Minister für Kommunikationsangelegenheiten eingesetzte Kommission 1979 „immediate action in the information sector to safeguard Canadian sovereignty“ und rief die kanadische Regierung auf, sie solle sofort handeln „to ensure that we do not loose [sic] control of information 157

Vgl. Mengel, Internationale Organisationen und transnationaler Datenschutz, S. 202. Henke, Die Datenschutzkonvention des Europarates, S. 32 m. w. Nachw. 159 Henke, Die Datenschutzkonvention des Europarates, S. 32 m. w. Nachw. 160 So Kuner, Transborder data flows and data privacy law, S. 28 ff. m .w. Nachw., der dies als eigenständigen Grund neben dem Datenschutz sieht; siehe auch Mengel, Internationale Organisationen und transnationaler Datenschutz, S. 28 m. w. Nachw. 158

§ 5 Allgemeiner Regelungsrahmen

71

vital to the maintenance of national sovereignty“.161 Die Angst vor der Aufgabe der Souveränität bezog sich dabei u. a. auf die Gefahr, von anderen Staaten in informationstechnischen Fragen bspw. in Bezug auf ein Datenverarbeitungs­system abhängig zu sein und damit auch ökonomisch in eine Abhängigkeit von anderen Staaten zu geraten.162 So führte bspw. Brasilien 1976 ein System ein, bei dem die Nutzung internationaler Computernetzwerke, ausländischer Datenbanken und Computersysteme, die zu grenzüberschreitenden Datenflüssen führten, vorher durch eine Regierungskommission erlaubt werden musste, was jedoch nur selten geschah.163 Im Jahr 1979 erfolgte zudem in Brasilien die Schaffung einer speziellen Behörde, die den Datenfluss neben wirtschaftlicher und datenschutzrechtlicher Perspektive auch in Bezug auf den Schutz der Souveränität untersuchte und daraufhin eine Genehmigung, eine Genehmigung unter Auflagen oder die Untersagung des Datenflusses verfügte.164 Derartige Maßnahmen sind jedoch nicht nur in der Vergangenheit existent gewesen: Auch in Bezug auf Cloud Computing gibt es heute Regelungen, die den Datenfluss verhindern sollen, bspw. durch Regelungen zur Schaffung der sog. Bundescloud bzw. European Cloud, die Daten nur auf Servern innerhalb Deutschlands bzw. der EU speichern.165 c) Politische Gründe Des Weiteren ist an Regelungen zu denken, die im Rahmen einer Zensur den Datenfluss im internationalen Kontext aus politischen Gründen verhindern. So erfolgt bspw. in China die Sperrung von Webseiten, um die Machtposition der­ Regierung zu festigen und in Ägypten wurde während des arabischen Frühlings teilweise der Zugang zum Internet komplett gesperrt.166 In China wird Internetnutzern der Zugang zu Seiten untersagt, die sich mit Themen beschäftigen, die die Regierung als sensibel einstuft (bspw. Tibet oder Niederschlagung von Studentendemonstrationen), oder auch auf Grund tagespolitischer Ereignisse der Zugang zu internationalen Medienseiten untersagt und der Zugang zu sozialen Netzwerken wie Facebook gesperrt.167 161

Mengel, Internationale Organisationen und transnationaler Datenschutz, S. 28. Vgl. Kuner, Transborder data flows and data privacy law, S. 28 ff. m. w. Nachw. 163 Kuner, Transborder data flows and data privacy law, S. 30 m. Verweis auf Mengel, Internationale Organisationen und transnationaler Datenschutz, S. 201. 164 Kuner, Transborder data flows and data privacy law, S. 30 m. w. Nachw. 165 Vgl. Kuner, Transborder data flows and data privacy law, S. 31; heise online, Bericht: Innenministerium plant sichere „Bundes-Cloud“, 19.12.2011, http://www.heise.de/security/mel dung/Bericht-Innenministerium-plant-sichere-Bundes-Cloud-1398081.html (zuletzt geprüft am 15.03.2015). 166 Siehe auch Kuner, Transborder data flows and data privacy law, S. 30, der dies als Durchsetzung von Regierungsinteressen unter der Prämisse der „informatorischen Souveränität“ behandelt. 167 Edelbauer, KAS-Auslandsinformationen 2010, 89 (93), sowie ausführlich Becker, Internet­ zensur in China, insbesondere S. 99 ff. 162

72

Teil 1: Datenfluss im internationalen Kontext

5. Zusammenfassung Im Zusammenhang mit sowohl sachbezogenen als auch personenbezogenen Daten ist somit einerseits die Ermöglichung, andererseits aber auch die Verhinderung ein Zweck für Regelungen in Bezug auf den Datenfluss im internationalen Kontext. Dahinter stehen jedoch oftmals weitere Ziele, die sowohl in Bezug auf die Ermöglichung als auch die Verhinderung u. a. wirtschaftliche oder politische Hintergründe haben können, sich jedoch jeweils in eine der Oberkategorien einordnen lassen. III. Zusammenfassung Wie zu erkennen ist, findet eine Verrechtlichung des Datenflusses im internationalen Kontext zum einen dann statt, wenn es um personenbezogene Daten geht. In diesem Bereich sind rechtliche Regelungen unerlässlich und dienen vor allem dem Schutz des Individuums (Datenschutzregelungen). Zudem dienen die rechtlichen Regelungen der Ermöglichung des Datenflusses im internationalen Kontext, wobei die Ermöglichung sowohl personenbezogene als auch sachbezogene Daten betrifft. Ein weiterer Grund für die Regelung des Datenflusses im internationalen Kontext ist zudem die Verhinderung des Datenflusses u. a. zu wirtschaftlichen und politischen Zwecken.

C. Zusammenhang von Regelungen und Akteuren Es besteht zudem ein gewisser Zusammenhang zwischen den vorgenommenen Regelungen und den Akteuren. Beispielsweise ist der Akteur ein Parameter dafür, in welchem Maße seine Daten geschützt sind. In Bezug auf Regelungen ist der Datenfluss im Bereich von natürlichen Personen oftmals juristisch harmlos und wird sogar teilweise vom Anwendungsbereich von Datenschutzgesetzen explizit ausgenommen.168 Im Bereich von Unternehmen ist eine Regelung und Kontrolle schon in stärkerem Maße ausgeprägt. Bei Hoheitsträgern kann oftmals von einem klassischen Grundrechtseingriff gesprochen werden, der entsprechend strenge rechtliche Voraussetzungen stellt. Im Bereich von internationalen Organisationen und Staaten ist wiederum eine geringere Regelungsdichte des Datenflusses in Bezug auf den Datenschutz zu erkennen, da Staaten in diesem Bereich die entscheidende Rolle spielen und Berührungspunkte mit Daten von Individuen seltener sind, sodass Datenschutz nicht derart erforderlich ist. Erfolgt eine Regelung des Datenflusses im internationalen Kontext zum ­Zwecke seiner Ermöglichung oder Verhinderung, ist die Intensität der Regelung nicht in dem Maße vom jeweiligen Akteur abhängig wie beim Zweck des Datenschutzes. Daten 168

So bspw. Art. 3 II a. E. DSRL.

§ 5 Allgemeiner Regelungsrahmen

73

fluss im internationalen Kontext ist in verschiedensten Bereichen Gegenstand von Regelungen, sei es in Bezug auf sachbezogene oder personenbezogene Daten. Wie gezeigt wurde, werden Regelungen oftmals auf Grund der erläuterten Zwecke erlassen. Eine Steigerung der Regelungsdichte abhängig vom jeweiligen Akteur ließe sich deshalb grundsätzlich nicht feststellen. Eine Steigerung der Regelungsdichte ließe sich nur ausmachen, wenn die Regelungen betrachtet werden, die sowohl den Zweck des Datenschutz als auch den Zweck der Ermöglichung oder Verhinderung verfolgen: Da die Regelungsdichte bei natürlichen Personen auf Grund des Datenschutzes am ausgeprägtesten ist, ist dies – vermittelt über den Datenschutz – folglich auch bei Regelungen zum Zweck der Ermöglichung oder Verhinderung der Fall.

D. Risiken und Herausforderungen Es bestehen weiterhin Risiken und Herausforderungen im Zusammenhang mit dem Datenfluss im internationalen Kontext, die trotz der vorhandenen Regelungen auf diesem Gebiet nicht immer zufriedenstellend gelöst werden können.169 Regelungen führen teilweise selbst zu den Herausforderungen. Eine gewisse Überschneidung der darzustellenden Risiken und Herausforderungen ist dabei durchaus möglich. I. Unterschiedliche Arten von Datenschutzregelungen Eine der entscheidenden Herausforderungen im Zusammenhang mit dem Datenfluss im internationalen Kontext ist der unterschiedliche Regelungsbereich von Datenschutzregelungen. Der in der EU vorherrschende Anwendungsbereich von Datenschutzgesetzen auf den öffentlichen und den privaten Bereich ist in dieser Weise bei weitem nicht durchgehend in Datenschutzgesetzen anderer Länder zu finden. Manche Länder wie bspw. die USA verfügen nur über Datenschutzgesetze für den öffentlichen Bereich und lassen den Privatsektor – abgesehen von Ausnahmen – unreguliert.170 Zudem ist auch eine unterschiedliche Regelungsdichte der Datenschutzgesetze zu finden. In Europa umfassen die Datenschutzgesetze quasi im „Voraus“ alle erdenklichen Fälle von Datenverarbeitungen, sodass es im Prinzip keine Schutzlücken geben kann. Andere Länder wie die USA reagieren hingegen sektoriell auf im Rahmen der Datenverarbeitung aufkommende Datenschutzkonflikte und er­ lassen entsprechende Regelungen. 169

Siehe zum Folgenden vor allem Gunasekara, Int J Law Info Tech 17 (2009), 147 (154–163) mit zum Teil identischer Kategorienbildung; darauf bezugnehmend Weber, International Data Privacy Law 2013, 1 (2); Kuner, OECD Digital Economy Papers, No. 187 2011 (22). 170 Siehe dazu unten die Ausführungen zu den USA, S. 218 ff.

74

Teil 1: Datenfluss im internationalen Kontext

Ein dritter Aspekt, der die unterschiedlichen Arten von Datenschutzregelungen verdeutlicht, ist die ungleiche Rechtsverbindlichkeit der jeweiligen Datenschutzregelungen. Manche Länder wie bspw. die EU-Staaten verfügen über rechtsverbindliche Regelungen zum Datenschutz. Andere Länder setzen hingegen mehr auf Selbstregulierung – bspw. die USA – oder verfügen lediglich über Empfehlungen, deren Umsetzung auf freiwilliger Basis geschieht. Auf Grund dieser unterschiedlichen Arten von Datenschutzregelungen ergeben sich Herausforderungen und Probleme, die trotz vorhandener Regelungen zum Datenfluss im internationalen Kontext nicht immer zufriedenstellend gelöst werden können. II. Probleme durch das Outsourcen von Datenverarbeitungen Eine weitere Herausforderung ist im Outsourcen von Datenverarbeitungen in Länder bzw. Rechtsordnungen zu sehen, in denen kein oder nur ein geringer Schutz von personenbezogenen Daten erfolgt.171 Vor allem der technologische Fortschritt sowie die Liberalisierung des Welthandels ermöglichen den Fluss von personenbezogenen Daten in Länder wie bspw. China oder Indien zur dortigen Verarbeitung.172 Die Datenverarbeitung in diesen Ländern ist weitaus günstiger als im Ursprungsland der Daten. Ein oftmals entscheidender – jedoch wie am Beispiel China erkennbar, nicht zwingend notwendiger – Hintergrund ist dabei der Faktor „Sprache“. Datenverarbeitungen können nämlich häufig nur in Ländern vorgenommen werden, in denen die Sprache des Industrielandes gesprochen wird. Neben Indien für Datenverarbeitungen auf Englisch kommen für Datenverarbeitungen auf Französisch bspw. afrikanische Staaten wie Marokko oder für Spanisch Staaten Lateinamerikas in Betracht.173 Die bestehenden Probleme in Bezug auf den Datenschutz sollen gerade mit Regelungen zum Datenfluss adressiert werden. Dabei sind positive Entwicklungen für den Datenschutz erkennbar. Instrumentarien wie Standardvertragsklauseln werden angewandt, um Datenverarbeitungen in Drittländern zu ermöglichen.174 Jedoch erfolgt ein solches Vorgehen vor allem wegen der gesetzlichen Notwendigkeit in Ländern mit hohen Datenschutzstandards wie den EUMitgliedstaaten. Die Anforderungen tragen jedoch auch zu einem gewissen Umdenken in den datenverarbeitenden Ländern bei.175 So können Änderungen in den Gesetzen der datenverarbeitenden Ländern bis hin zum Erlass von Regelungen 171 Siehe dazu ausführlich Gunasekara, Int J Law Info Tech 17 (2009), 147 (154 f.) mit detaillierten Ausführungen von Beispielen und Reaktionen sowie auch Weber, International Data­ Privacy Law 2013, 1 (2). 172 Gunasekara, Int J Law Info Tech 17 (2009), 147 (154 f.). 173 Vgl. Gunasekara, Int J Law Info Tech 17 (2009), 147 (155). 174 Dazu unten S. 125 ff. 175 Vgl. Gunasekara, Int J Law Info Tech 17 (2009), 147 (155).

§ 5 Allgemeiner Regelungsrahmen

75

führen, die sehr der DSRL ähneln und im Folgenden eine EU-Angemessenheitsentscheidung, die den Datenschutz im Drittland anerkennt, oder ein Freihandelsabkommen nach sich ziehen.176 Dieser Prozess und die damit einhergehende Verbesserung des Datenschutzniveaus sind jedoch nicht abgeschlossen, sodass sich stets beim Outsourcen von Datenverarbeitungen Konflikte ergeben können. III. Herausforderungen durch Datenbanken und Data-Mining Entscheidende weitere Risiken und Herausforderungen in Bezug auf den Datenfluss im internationalen Kontext sind im Zusammenhang mit Datenbanken und Data-Mining zu sehen.177 Der technische Fortschritt ermöglicht die Anhäufung riesiger Datenmengen zu geringen Kosten und erlaubt im Folgenden neben der Datenerhebung die Datenanalyse, den Austausch der Daten mit Unternehmen und anderen Akteuren sowie den Datenabgleich nach bestimmten Kriterien.178 Auch im öffentlichen Bereich zwischen Behörden verschiedener Länder erfolgt eine zunehmende Auswertung von Daten zu Überwachungs- und Sicherheitszwecken.179 In diesem Kontext ist vor allem die Tatsache relevant, dass die Analyse von personenbezogenen Daten zu neuen, möglicherweise auch negativen Informationen über eine Person führen kann.180 Sicherheiten gegen derartige Datenauswertungen bieten jedoch wenige Rechtsordnungen: So stellt bspw. Art. 15 DSRL eine Rechtsgrundlage dar, die durch das Aufstellen bestimmter Anforderungen an den nationalen Gesetzgeber einen gewissen Schutz gegen auf Grundlage vollautomatisierter Datenauswertung getroffene Entscheidungen bietet.181 IV. Sicherheitsgesetze als Herausforderung für den Datenschutz Nach den Anschlägen des 11. September 2001 erließen die USA und weitere Staaten eine Vielzahl an Sicherheitsgesetzen mit dem Ziel der Erhöhung der Sicherheit gegen Terrorismus und andere Bedrohungen.182 Jedoch erlauben diese Sicherheitsgesetze oftmals den Zugriff auf Daten von privaten Unternehmen zur 176 Vgl. Gunasekara, Int J Law Info Tech 17 (2009), 147 (155); siehe auch Heisenberg, Negotiating privacy, S. 111 ff. 177 Siehe dazu Weber, International Data Privacy Law 2013, 1 (2) sowie Gunasekara, Int J Law Info Tech 17 (2009), 147 (156 ff.). 178 Weber, International Data Privacy Law 2013, 1 (2). 179 Siehe Weber, International Data Privacy Law 2013, 1 (2) sowie Gunasekara, Int J Law Info Tech 17 (2009), 147 (156 ff.) vor allem mit Bezug zu Neuseeland und den USA. 180 Gunasekara, Int J Law Info Tech 17 (2009), 147 (158) m. w. Nachw., Weber, International Data Privacy Law 2013, 1 (2). 181 Vgl. Gunasekara, Int J Law Info Tech 17 (2009), 147 (157). 182 Gunasekara, Int J Law Info Tech 17 (2009), 147 (160).

76

Teil 1: Datenfluss im internationalen Kontext

anschließenden Datenauswertung. Aus diesem Grund werden die amerikanischen Regelungen zur Erhöhung der Sicherheit auch als „Trojanisches Pferd“ bezeichnet, das vor allem versucht, die europäischen „Datenschutzfestungen“ anzugreifen.183 So regelt bspw. der US Patriot Act bestimmte Befugnisse zur Beschlagnahme von Unterlagen bei Unternehmen und ihren Tochterfirmen, die lediglich in den USA registriert sind.184 Des Weiteren können Sicherheitsbehörden Kundendaten von Unternehmen durch sog. „national security letters“ anfordern.185 Da durch den ­Patriot Act sowie weitere Gesetze auch die Möglichkeit bestehen kann, auf Daten von Personen zuzugreifen, die sich nicht in den USA befinden, sind darin weitere Herausforderungen zu erkennen. V. Herausforderungen in Bezug auf das anwendbare Recht und Extraterritorialität In verschiedenen Rechtsordnungen besteht auf Grund unterschiedlicher Datenschutzgesetze mit unterschiedlichem Regelungsgehalt und unterschiedlicher Regelungsdichte keine Einheitlichkeit.186 Wegen der bestehenden Uneinheitlichkeit stellt sich bei der Datenverarbeitung von personenbezogenen Daten mit einem internationalen Bezug die Frage, welches Datenschutzrecht auf die Verarbeitung anwendbar ist.187 Mit dieser Frage ist eine Vielzahl weiterer Fragen verbunden: So ist u. a. von Interesse, ob eine Datenverarbeitung zulässig ist, wer Rechte geltend machen kann, welche Ansprüche bestehen, unter welchen Voraussetzungen Ansprüche geltend gemacht werden können, welche Arten der Datenverarbeitungen von den Datenschutzgesetzen umfasst sind oder an wen Beschwerden zu richten sind.188 In früheren Untersuchungen wurde der Fall als besonders problematisch angesehen, in dem der in Frage stehende Sachverhalt Bezug zu zwei Rechtsordnungen hat, von denen die eine über Datenschutzgesetze verfügt und die andere aber nicht.189 183

Gunasekara, Int J Law Info Tech 17 (2009), 147 (162). Siehe Gunasekara, Int J Law Info Tech 17 (2009), 147 (160 f.) mit einer guten Zusammenfassung der relevanten Bestimmungen des Patriot Acts, Pub. L. No. 107–56, 115 Stat. 272 (2001) und Verweis auf weitere Sicherheitsgesetze in Australien und Neuseeland. 185 Siehe Gunasekara, Int J Law Info Tech 17 (2009), 147 (160 f.). 186 Ähnlich bereits Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 579; Bergmann, Grenzüberschreitender Datenschutz, S. 223. 187 Siehe dazu ausführlich Bergmann, Grenzüberschreitender Datenschutz, S. 223 ff.; ­Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S.  579 ff. insbesondere zum BDSG vor Umsetzung der DSRL; sehr überzeugend Kuner, Transborder data flows and data privacy law, S. 121 ff., auf dessen Ausführungen dieser Abschnitt zum größten Teil beruht; ferner Gunasekara, Int J Law Info Tech 17 (2009), 147 (168 ff.); Kuner, OECD Digital Economy Papers, No. 187 2011 (25 u. 28). 188 Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 579. 189 Vgl. Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 579; Bergmann, Grenzüberschreitender Datenschutz, S. 223. 184

§ 5 Allgemeiner Regelungsrahmen

77

Heute, im Zeitalter des Internets, seiner mittlerweile bestehenden Ubiquität sowie der Verarbeitung von Daten online scheint vor allem die Frage relevant zu sein, wann überhaupt ein Datenfluss im internationalen Kontext vorliegt und wo sich die Daten befinden.190 Die Unsicherheit hinsichtlich des Ortes, an dem sich die Daten befinden, kann durch verschiedene Faktoren verursacht sein: So ist einerseits möglich, dass sich die verantwortliche Stelle weigert, den Speicherungsort offenzulegen, sei es auch nur aus Bedenken über die Sicherheit der Daten.191 Zudem kann sich durch die Vielzahl an beteiligten Datenverarbeitern die Bestimmung des aktuellen Speicherungsortes als schwierig gestalten.192 Diese Unsicherheiten spiegeln sich auch bei der Anwendung des jeweiligen Datenschutzrechts wider. Zu unterscheiden ist zwischen materiellen Regelungen, die lediglich die Voraus­ setzungen festlegen, die für einen rechtmäßigen Datenfluss im internationalen Kontext erfüllt werden müssen, und den Regelungen, die keine sachliche Entscheidung der Rechtsfrage betreffen, sondern bestimmen, welcher Rechtsordnung die sachliche Entscheidung zu entnehmen ist.193 In Bezug auf den Datenschutz werden letztere auch als Datenschutzkollisionsnormen bezeichnet.194 Oftmals besteht jedoch ein enger Zusammenhang zwischen Regelungen des grenzüberschreitenden Datenverkehrs und Regelungen, die sich mit dem anwendbaren Recht und auch der Frage des Gerichtsstandes befassen: Regelungen zum anwendbaren Recht werden nämlich zum Schutz von im Ausland verarbeiteten Daten genutzt, wenn Regelungen zum grenzüberschreitenden Datenverkehr nicht verfügbar sind.195 Somit verfolgen Kollisionsregelungen und materielle Regelungen im Fall des Datenflusses im internationalen Kontext – auch wenn beide Arten vorhanden sind – teilweise die gleichen Ziele: erstens, zu verhindern, dass das Recht der jeweiligen Rechtsordnung umgangen wird und zweitens, sicherzustellen, dass das Recht der jeweiligen Rechtsordnung weiterhin Anwendung findet.196 Kuner bezeichnet die beiden Regelungsarten daher auch prägnant als „[…] two weapons in the same arsenal to protect the processing of data outside the individual’s home jurisdiction“.197 Auf EU-Ebene wird Kollisionsrecht in Art.  4 DSRL behandelt und Regelungen zum Datenfluss im internationalen Kontext sind Gegenstand der Art. 25 und 26 DSRL, wobei die genannten Ziele in beiden Normen zu erkennen sind.198 Auch 190

Vgl. Kuner, Transborder data flows and data privacy law, S. 122 f. Vgl. Kuner, Transborder data flows and data privacy law, S. 122 f. 192 Vgl. Kuner, Transborder data flows and data privacy law, S. 122 f. 193 Vgl. Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 580. 194 So Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 580. 195 So Kuner, OECD Digital Economy Papers, No. 187 2011 (28). 196 Vgl.Kuner, Transborder data flows and data privacy law, S. 126, sowie zur Bedeutung des Datenschutzes als Grundrecht und seine extraterritoriale Anwendung in diesem Zusammenhang, S. 129 ff. 197 Kuner, Transborder data flows and data privacy law, S. 128. 198 Siehe zum anwendbaren Recht bspw. Art. 29-Datenschutzgruppe, Stellungnahme 8/2010 zum anwendbaren Recht, WP 179, 16.12.2010. 191

78

Teil 1: Datenfluss im internationalen Kontext

der Vorschlag für eine DSGVO Anfang 2012 behandelte die beiden Aspekte in einem Gliederungspunkt unter der Überschrift „Datenschutz in einer globalisierten Welt“.199 Andere Rechtsordnungen verfolgen ähnliche Ansätze. So bestimmt der APEC Privacy Framework, dass der Schutzgehalt des vor dem Transfer einschlägigen Datenschutzrechts an den Daten quasi „angeheftet“ ist und auch bei einem Transfer ins Ausland weiterhin Anwendung findet.200 Auch Datenschutzgesetze in den USA verfolgen ähnliche Ansätze: So bestimmt bspw. der US ­Children’s­ Online Privacy Protection Act (COPPA), dass er Anwendung auf jede Webseite überall auf der Welt findet, die personenbezogene Daten von Kindern in den USA sammelt und insbesondere auf Webseiten, die außerhalb der USA betrieben werden und Daten von Kindern in den USA erheben.201 Unabhängig davon, ob die Vorgehensweise der Rechtsordnungen nun als Anwendung des Personalitätsprinzips, des Auswirkungsprinzips oder einer anderen juristischen Theorie gesehen wird, ist der dahinter stehende Zweck derselbe, nämlich der Schutz personenbezogener Daten von Bürgern und Personen, die ihren Aufenthalt in dem Land haben und deren Daten ins Ausland übermittelt werden.202 Kuner fasst die Vorgehensweise der Rechtsordnungen wie folgt zusammen: „Countries and regional organizations seem to be striving to use a combination of applicable law rules and transborder data flow regulation to ensure that personal data are protected under their own standards no matter where in the world they are processed“.203 Er weist jedoch auch darauf hin, das dies zur Anwendung von Datenschutzbestimmungen führen kann, die wenig oder keine Verbindung zu dem Staat haben, der seine Rechtsordnung anwenden möchte.204 Gerade diese Vorgehensweise einer Vielzahl von Rechtsordnungen führt zu Herausforderungen in Bezug auf das anwendbare Recht: So besteht das Risiko, unrealistische Erwartungen bei Individuen auszulösen, dass ihre Daten denselben rechtlichen Schutz erfahren können, wenn sie außerhalb der eigenen Rechtsordnung verarbeitet werden.205 Zudem bestehen auch Herausforderungen für Unternehmen, wenn sie sich bei Datenverarbeitung der Rechtsordnung verschiedener

199

Siehe Kuner, Transborder data flows and data privacy law, S. 126 m. w. Nachw. Kuner, Transborder data flows and data privacy law, S. 126, siehe auch mit Beispielen aus Australien und Neuseeland Gunasekara, Int J Law Info Tech 17 (2009), 147 (168 f.). 201 Kuner, Transborder data flows and data privacy law, S. 127 m. w. Nachw. sowie weiteren Beispielen aus dem US-Recht. 202 So Kuner, Transborder data flows and data privacy law, S. 127. 203 Kuner, Transborder data flows and data privacy law, S. 127. 204 So Kuner, Transborder data flows and data privacy law, S. 127 mit Bezug auf online Technologien wie Cloud Computing sowie Lösungsvorschlägen. 205 Kuner, Transborder data flows and data privacy law, S. 128 und 131 f. m. w. Nachw., der eine substantielle Verbindung fordert und vorschlägt, die Anwendung auf einen Datenfluss nicht vorzunehmen, wenn dies nicht sinnvoll bzw. begründet („reasonable“) bzw. verhältnismäßig („proportionate“) wäre. Zudem sollte auf globale Standards hingearbeitet werden, vgl. S. 141 ff. 200

§ 5 Allgemeiner Regelungsrahmen

79

Staaten unterworfen sehen oder auch für die Staaten selbst, wenn sie bspw. verschiedenen internationalen Verträgen beitreten und sich die jeweiligen Regelungen nicht decken.206 Die bestehende Anwendung der Datenschutzgesetze verschiedener Staaten führt somit zu einer Vielzahl an Regelung und einer Vielzahl an Konflikten, für die eine passende, zufriedenstellende Lösung noch nicht gefunden worden zu sein scheint. Insgesamt kann die derzeitige Situation daher wie folgt zusammengefasst werden: „There are three types of losers in conflicts: individuals, who become confused about which regulation applies to the processing of their data; data controllers, which are placed in the middle of contradictory requirements; and the law itself, which can lose respect when it makes contradictory demands or has no practical chance of being enforced. The increasing extraterritorial application of data protection law is another sign of the fragmentation of transborder data flow regulation“.207 VI. Herausforderungen durch Cloud Computing Eine weitere Herausforderung für den Datenfluss im internationalen Kontext stellt das Cloud Computing dar.208 Unter Cloud Computing wird ein Geschäftsmodell im Informationstechnologie-Sektor verstanden, das Kunden IT-Leistungen anbietet, ohne dass die Kunden selbst die dafür erforderliche Infrastruktur (Software oder Hardware) vorhalten müssen, sondern diese vom Cloud-Anbieter über das Internet bzw. ein Intranet quasi „aus der Steckdose“ zur Verfügung gestellt wird.209 Der Kunde selbst muss lediglich ein netzwerkfähiges Gerät vorhalten, mit dem er Cloud-Angebote wie kostengünstigeren und größeren externen Speicherplatz, Anwendungsprogramme oder Programmierumgebungen nutzen kann.210 Im

206 Vgl. Kuner, Transborder data flows and data privacy law, S. 135 f. mit weiteren Beispielen wie dem Konflikt für ein Unternehmen zwischen den eigenen Datenschutzbestimmungen und rechtlichen Verpflichtungen durch die Staatsgewalt. 207 Kuner, Transborder data flows and data privacy law, S. 142. 208 Monographisch zum Cloud Computing Brennscheidt, Cloud Computing und Datenschutz und Jotzo, Der Schutz personenbezogener Daten in der Cloud sowie Schmidt-Bens, CloudComputing-Technologien und Datenschutz; zudem bspw. Art.  29-Datenschutzgruppe, Stellungnahme 05/2012 zum Cloud Computing, WP 196, 01.07.2012, http://ec.europa.eu/justice/ data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_de.pdf (zuletzt geprüft am 15.03.2015); Rath/Rothe, K&R 2013, 623; zu technischen Hintergründen Lehmann/Giedke, CR 2013, 608; zu den Auswirkungen der EU Datenschutzreform auf das Cloud Computing Hornung/Sädtler, CR 2012, 638. 209 Lehmann/Giedke, CR 2013, 608 (608) m. w. Nachw. 210 Lehmann/Giedke, CR 2013, 608 (608) m. w. Nachw.; zur Definition von Cloud Computing aus juristischer, betriebswirtschaflicher und informationstechnologischer Sicht siehe S. 610 f.; zur Begriffsbestimmung siehe auch ausführlich Brennscheidt, Cloud Computing und Datenschutz, S. 19 ff.

80

Teil 1: Datenfluss im internationalen Kontext

Rahmen des Cloud Computing finden vor allem die Regelungen zur Auftragsdatenverarbeitung Anwendung.211 Datenschutzrechtlich besonders relevant und Gegenstand umfassender Diskussion ist die Speicherung von Daten auf externen Servern. Eine pauschalisierte Betrachtung oder Einstufung von Cloud Computing als grundsätzlich „datenschutzrechtlich unzulässig“ verbietet sich; hingegen muss unterschieden werden zwischen deutschen, europäischen und außereuropäischen Clouds.212 Eine Unterscheidung zwischen deutschen und europäischen Clouds ist angezeigt, da bspw. nach deutschem Steuerrecht die digitale Archivierung von Steuerdaten im Inland zu erfolgen hat und nur auf schriftlichen Antrag eine Verlagerung ins Ausland vorgenommen werden kann.213 Datenschutzrechtlich relevant ist jedoch vor allem die Unterscheidung zwischen der Speicherung in europäischen und außereuropäischen Clouds. In europäischen Clouds kann als Folge der Harmonisierung durch die DSRL von einem gleichwertigen Schutzniveau ausgegangen werden, sodass vor allem die Speicherung in Clouds außerhalb der EU datenschutzrechtliche Probleme aufweist. Die Nutzung solcher Clouds stellt zwangsläufig einen Datenfluss im internationalen Kontext dar. Die mit dem Cloud Computing einhergehenden Probleme und damit als solche des Datenflusses im internationalen Kontext zu identifizierenden Probleme sind vielfältig. Die Art. 29-Datenschutzgruppe nennt in ihrer Stellungnahme zum Cloud Computing zwei Hauptkategorien von Problemen, zum einen die fehlende Kontrolle über die Daten und zum anderen die unzureichenden Informationen über die Verarbeitung selbst (Transparenz).214 In Bezug auf die fehlende Kontrolle ist die Art. 29-­ Datenschutzgruppe der Ansicht, Cloud-Anwender könnten „die technischen und organisatorischen Maßnahmen nicht ergreifen, die zur Sicherstellung der Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Isolierung, Intervenierbarkeit und Portabilität der Daten erforderlich sind“.215 Ein Beispiel für diese fehlende Kontrolle ist die Möglichkeit, dass ausländische Behörden auf Daten zugreifen, die im Rahmen des Cloud Computings auf Servern in den jeweiligen Ländern hinterlegt sind.216 211 Dazu bspw. Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 80 ff.; Brennscheidt, Cloud Computing und Datenschutz, S. 67 ff., für Ausnahmen davon siehe S. 137 ff.; Schmidt-Bens, Cloud-Computing-Technologien und Datenschutz, S. 27 ff.; Rath/Rothe, K&R 2013, 623 (623). 212 Rath/Rothe, K&R 2013, 623 (624). 213 Siehe § 146 II S. 1, IIa AO; Beispiel bei Rath/Rothe, K&R 2013, 623 (624). 214 Art.  29-Datenschutzgruppe, Stellungnahme 05/2012 zum Cloud Computing, WP 196, 01.07.2012, S. 6 ff. 215 Art.  29-Datenschutzgruppe, Stellungnahme 05/2012 zum Cloud Computing, WP 196, 01.07.2012, S. 6 f. mit umfassenden Ausführung im Einzelnen. 216 Siehe dazu Becker/Nikolaeva, CR 2012, 170; Rath/Rothe, K&R 2013, 623 (628 f.); Schröder/ Haag, ZD-Aktuell 2012, 3132 mit Verweis auf eine Studie des Instituts für Informationsrecht der Universität Amsterdam zum Zugriff amerikanischer Behörden aufgrund von Befugnissen des PATRIOT Act; aus deutscher Sicht Süptitz/Utz/Eymann, DuD 2013, 307; Schröder/Haag, ZD-Aktuell 2012, 3132.

§ 5 Allgemeiner Regelungsrahmen

81

In Bezug auf die fehlenden Informationen zur Verarbeitung (Transparenz) vertritt die Art. 29-Datenschutzgruppe die Auffassung: „Unzureichende Informationen über die Verarbeitungsprozesse eines Cloud-Dienstes stellen ein Risiko sowohl für den für die Verarbeitung Verantwortlichen als auch für die betroffenen Personen dar, da ihnen möglicherweise die potenziellen Gefahren und Risiken gar nicht bewusst und sie folglich auch keine ihnen angemessen erscheinenden Maßnahmen ergreifen können“.217 Im Einzelnen sind die Probleme komplex. Aus europäischer Sicht entscheidend ist, europäische Datenschutzstandards auch bei der Speicherung von Daten in Clouds mit Servern in außereuropäischen Ländern beizubehalten und unbefugten Zugriff auf die Daten zu verhindern. Für die Übermittlung von Daten an außereuropäische Clouds werden die im EU-Datenschutzrecht zur Verfügung stehenden Instrumentarien wie Standardvertragsklauseln sowie ferner verbindliche Unternehmensregelungen und die Safe Harbor Lösung für Datenübermittlungen in die USA herangezogen.218 Um dem Datenzugriff durch bspw. die US Behörden vollständig zu entgehen, bleibt momentan nur die Beschränkung auf Clouds, die vollständig in Europa angesiedelt sind.219 Ein weiteres Problem ist die Frage nach dem jeweils anwendbaren Recht.220 Insgesamt gesehen bietet das Cloud Computing eine Vielzahl an Problemen mit Relevanz für den Datenfluss im internationalen Kontext. VII. Weitere Risiken des Datenflusses im internationalen Kontext Neben den genannten Herausforderungen sind weitere Risiken im Zusammen­ hang mit dem Datenfluss im internationalen Kontext zu identifizieren, die jedoch nur noch exemplarisch genannt werden sollen und in Teilen bereits in den zuvor genannten Herausforderungen Berücksichtigung fanden:221 die Nichtbefolgung 217 Art.  29-Datenschutzgruppe, Stellungnahme 05/2012 zum Cloud Computing, WP 196, 01.07.2012, S. 7 f. mit umfassenden Ausführung im Einzelnen. 218 Zu den einzelnen Instrumentarien siehe unten S.  109 ff. u. 122 ff. sowie in Bezug auf das Cloud Computing Brennscheidt, Cloud Computing und Datenschutz, S. 159 ff.; Jotzo, Der Schutz personenbezogener Daten in der Cloud, S.  118 ff.; Schmidt-Bens, Cloud-ComputingTechnologien und Datenschutz, S. 42 ff.; Art. 29-Datenschutzgruppe, Stellungnahme 05/2012 zum Cloud Computing, WP 196, 01.07.2012, S. 21 ff.; Rath/Rothe, K&R 2013, 623 (625 ff.); Hornung/Sädtler, CR 2012, 638 (643 f.). 219 Becker/Nikolaeva, CR 2012, 170 (175 f.). 220 Dazu Brennscheidt, Cloud Computing und Datenschutz, S. 181 ff.; Jotzo, Der Schutz personenbezogener Daten in der Cloud, S.  49 ff.; zur DSGVO Hornung/Sädtler, CR 2012, 638 (640). 221 Siehe zum Folgenden Weber, International Data Privacy Law 2013, 1 (2 f.) und Kuner, OECD Digital Economy Papers, No. 187 2011 (22) mit Verweis auf New Zealand Government, Government Use of Offshore Information and Communication Technologies (ICT) Service Providers, April 2009, S. 6, 7, 14, 15, 26, 27, http://ict.govt.nz/assets/ICT-System-Assurance/ offshore-ICT-service-providers-april-2009.pdf (zuletzt geprüft am 15.03.2015).

82

Teil 1: Datenfluss im internationalen Kontext

von nationalem Recht, die unautorisierte Veröffentlichung von personenbezogenen Informationen, das Unvermögen, Individuen Zugang zu ihren personenbezogenen Informationen zu ermöglichen, das Unvermögen von nationalen Aufsichtsbehörden, in Bezug auf Beschwerden zusammenzuarbeiten, das Unvermögen von nationalen Aufsichtsbehörden, Untersuchungen durchzuführen und das Recht durchzusetzen; das Unvermögen, den Datenschutz in Ländern ohne Datenschutzgesetzen zu garantieren, Konflikte zwischen ausländischem und nationalem Recht, die Möglichkeit, dass auf Daten durch Regierungsbehörden anderer Staaten zugegriffen wird; Gerichtsentscheidungen im Ausland, die die Offenlegung von Daten fordern, Probleme mit der Datenrettung oder sicheren Entsorgung von Daten sowie der Verlust von Vertrauen, wenn Daten übermittelt werden und es zu Datenmissbrauch kommt.

E. Arten von Regelungen des Datenflusses im internationalen Kontext Hinsichtlich der Regelungsmöglichkeiten in Bezug auf den Datenfluss im internationalen Kontext ist eine Vielzahl unterschiedlicher Herangehensweisen auszumachen, die von Staaten oder internationalen Organisationen oder aber auch der Privatwirtschaft verfolgt werden. Unterschiedliche Herangehensweisen finden sich auch bei den im Rahmen dieser Arbeit relevanten Rechtsordnungen der EU und der USA. Es kann allgemein unterschieden werden zwischen expliziten und impliziten Regelungen, rechtsverbindlichen und unverbindlichen Regelungen, die lediglich empfehlenden Charakter haben, hoheitlichen und privatrechtlichen Regelungen, uni-, bi- und multilateralen Regelungen sowie geographiebasierten und organisationsbasierten Regelungen.222 Bestehende Regelungen sind dabei oftmals in mehrere der genannten Kategorien einzuordnen.223 I. Explizite und implizite Regelungen 1. Explizite Regelungen Explizite Regelungen sind speziell für Fälle des Datenflusses im internationalen Kontext geschaffen. Sie benennen ausdrücklich die Übertragung von Daten aus einer Rechtsordnung in eine andere und stellen spezifische Regelungen und Handlungsanweisungen dafür auf. Teilweise wird auch keine eigene Rechtsgrundlage für den Datenfluss im internationalen Kontext benötigt, sondern der Datenfluss generell erlaubt.224 Terminologisch werden in den Regelungen bspw. „Transborder 222

Siehe dazu Kuner, Transborder data flows and data privacy law, S. 61 ff. Kuner, Transborder data flows and data privacy law, S. 61. 224 Vgl. Kuner, Transborder data flows and data privacy law, S. 76 ff. 223

§ 5 Allgemeiner Regelungsrahmen

83

Flows of Personal Data“225, „International Transfer of Personal Data“226, „Transfer of personal data to foreign countries“227, „Transfer of Data Abroad“228 oder ähnliche Formulierungen verwendet. Diese Art von Regelungen findet im Rahmen der Untersuchung besondere Beachtung. So stellen bspw. die in der EU vorhandenen Regelungen der Art. 25 und 26 DSRL explizite Regelungen dar, die konkrete Voraussetzungen für den Datenfluss im internationalen Kontext aufstellen. 2. Implizite Regelungen Neben den expliziten Regelungen gibt es jedoch auch implizite Regelungen, die den Datenfluss im internationalen Kontext zum Gegenstand haben. Diese Regelungen sind nicht speziell zum Zweck der Regelung des Datenflusses im internationalen Kontext geschaffen worden, haben aber den praktischen Effekt, diese Art von Datenfluss zu regulieren.229 So sind bspw. in den USA Datenschutzregelungen auszumachen, die zwar nicht explizit auf den Datenfluss im internationalen Kontext Bezug nehmen, aufgrund der umfassenden Regelung diesen aber ebenfalls regeln.230 Die impliziten Regelungen haben keinen ausdrücklichen Bezug zum­ internationalen Kontext. In diesem Fall muss davon ausgegangen werden, dass die Anforderungen, die für den Datentransfer im Inland anwendbar sind, auch für den Datenfluss im internationalen Kontext Geltung beanspruchen.231 Daneben verlangen manche Datenschutzgesetze innerhalb und außerhalb der EU bspw. die Benachrichtigung von Datenschutzbehörden vor verschiedenen Arten von Datenverarbeitungen, woraufhin die Datenschutzbehörden entweder die Verarbeitung blockieren oder die Erlaubnis von der Erfüllung bestimmter Konditionen abhängig machen können.232 Selbst wenn die Datenschutzbehörden den Datentransfer nicht

225

So Art. 12 der Konvention 108 des Europarates. So Art. 8 des Gesetzes Nr. 9887 aus Albanien, abgedruckt in der englischen Übersetzung bei Kuner, Table of Data Protection and Privacy Law Instruments Regulating Transborder Data Flows, 01.03.2011, S.  13, http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1783782 (zuletzt geprüft am 15.03.2015). 227 So Art. 16 des Datenschutzgesetzes der Faröer Inseln abgedruckt in der englischen Übersetzung bei Kuner, Table of Data Protection and Privacy Law Instruments Regulating Trans­ border Data Flows, 01.03.2011, S. 20. 228 So Art. 16 des Datenschutzgesetzes der Insel Guernsey abgedruckt bei Kuner, Table of Data Protection and Privacy Law Instruments Regulating Transborder Data Flows, 01.03.2011, S. 21. 229 Vgl. Kuner, OECD Digital Economy Papers, No. 187 2011 (17). 230 Siehe dazu unten S. 185 f. 231 So bspw. die Regelungen zur Datenübermittlungen nicht-öffentlicher Stellen im BDSG von 1990; vgl. dazu Stein, in: Arndt/Knemeyer/Kugelmann/Meng/Schweitzer, Völkerrecht und deutsches Recht, 2001, S.  516; vgl. auch Simitis, in: Ferid/Heldrich/Henrich/Sonnenberger, Konflikt und Ordnung, 1978, S. 363. 232 So Kuner, OECD Digital Economy Papers, No. 187 2011 (17 f.) u. a. mit Verweis auf die Datenschutzgesetz von Argentinien (Art. 21 II lit. e) sowie Kroatien (Art. 14 X). 226

84

Teil 1: Datenfluss im internationalen Kontext

blockieren oder bestimmten Konditionen unterwerfen, können zu erfüllende Voraussetzungen wie Notifizierungspflichten zu erheblichen Verzögerungen des Datenflusses führen.233 II. Rechtsverbindliche und unverbindliche Regelungen 1. Rechtsverbindliche Regelungen Eine Vielzahl an Regelungen des Datenflusses im internationalen Kontext sind rechtsverbindliche Regelungen. Sie müssen von den für die Datenverarbeitung Verantwortlichen eingehalten werden, da diese den jeweiligen Gesetzen unterworfen sind. Als Beispiel können wiederum die Regelungen der EU DSRL genannt werden, die von den Mitgliedstaaten in nationales Recht umgesetzt wurden und somit für die jeweiligen Akteure rechtsverbindlich sind. 2. Unverbindliche bzw. freiwillige Regelungen Hinzu kommen Regelungen, die lediglich unverbindlich und freiwillig sind bzw. empfehlenden Charakter haben. Die bedeutendsten dieser unverbindlichen Regelungen sind wohl die Empfehlungen der OECD, die als Vorbild für eine Vielzahl von Datenschutzgesetzen gelten. Als weiteres Beispiel sind die Regelungen des Datenflusses im internationalen Kontext der Asiatisch-pazifischen Wirtschaftsgemeinschaft (APEC) zu nennen, die ebenfalls unverbindlich und freiwillig von den Mitgliedstaaten eingeführt werden können.234 Jedoch gibt es nicht nur unverbindliche Regelungen, die von Staaten eingeführt werden können, sondern es existieren auch Regelungen, die einer Implementierung durch Private offenstehen.235 Wohl bekanntestes Beispiel sind die sog. Safe Harbor Regelungen, die es US-amerikanischen Behörden ermöglichen, nach einer Zertifizierung Daten aus der EU einzuführen.236 Weitere Regelungen, die auf freiwilliger Basis eingeführt werden können, sind verbindliche Unternehmensregelungen oder Modellvertrags­klauseln der EU.237 Jedoch bleibt zu berücksichtigen, dass die Regelungen oftmals, wenn eine Entscheidung für ihre Einführung getroffen worden ist, durchaus rechtlich verbindlich werden.238 Im Hinblick auf Staaten ist parallel gelagert die Frage der Selbstbindung im Rahmen des Völkerrechts zu beachten. Zu berücksichtigen bleibt ferner, dass manche Regelungen zwar auf Freiwilligkeit konzipiert sind, im Ergebnis jedoch die bei Nichteinführung bestehenden Nachteile so schwerwiegend sind, dass 233

Kuner, OECD Digital Economy Papers, No. 187 2011 (18). Dazu ausführlicher Kuner, OECD Digital Economy Papers, No. 187 2011 (18). 235 Vgl. Kuner, OECD Digital Economy Papers, No. 187 2011 (18). 236 Dazu unten S. 109 ff. 237 Dazu unten S. 122 ff. 238 Kuner, OECD Digital Economy Papers, No. 187 2011 (18). 234

§ 5 Allgemeiner Regelungsrahmen

85

die Regelungen gewissermaßen eingeführt werden müssen.239 Als Beispiel können wiederum die Safe Harbor Regelungen genannt werden, da ein US-Unternehmen bei Nichteinführung quasi keinen Zugang zum äußerst wichtigen EU-Markt hätte. III. Hoheitliche Regelungen und privatrechtliche Regelungen 1. Hoheitliche Regelungen Die klassischen Regelungen des Datenflusses im internationalen Kontext sind hoheitliche Regelungen. Sie werden vom jeweiligen Gesetzgeber erlassen. Die erlassenden Stellen sind entweder Staaten, supranationale Organisationen oder internationale Organisationen. Eine klassische hoheitliche Regelung stellt bspw. die deutsche Umsetzung der EU-Regelungen zum Datenfluss im internationalen Kontext in §§ 4b und c BDSG dar. 2. Privatrechtliche Regelungen Neben hoheitlichen Regelungen gibt es jedoch auch Regelungen der Privatwirtschaft. Interne Leitfäden oder Standards können nämlich ebenfalls den Datenfluss im internationalen Kontext beschränken.240 IV. Unilaterale, bilaterale und multilaterale Regelungen 1. Unilaterale Regelungen Eine Vielzahl der Regelungen des Datenflusses im internationalen Kontext sind unilaterale Regelungen. Die jeweiligen Gesetze von Staaten legen die Voraussetzungen fest, die den Datenfluss im internationalen Kontext regeln. Die Regelungen beruhen oftmals auf internationalen Verträgen oder supranationalen Regelungen. Auf Grund der Staatensouveränität sind die Regelungen jedoch oftmals in den Ausprägungen unterschiedlich. 2. Bilaterale Regelungen Weitere Regelungen des Datenflusses im internationalen Kontext sind völkerrechtliche Verträge zwischen verschiedenen Hoheitsträgern. Oftmals existieren solche Regelungen, um Voraussetzungen, die manche Staaten an den Datenfluss 239

Beispiel so auch bei Kuner, OECD Digital Economy Papers, No. 187 2011 (18). Vgl. Kuner, OECD Digital Economy Papers, No. 187 2011 (18).

240

86

Teil 1: Datenfluss im internationalen Kontext

im internationalen Kontext stellen, zu erfüllen. Zu nennen sind bspw. die Abkommen in Bezug auf Fluggastdaten oder Bankdaten zwischen den USA und der EU. Zudem sind Abkommen über den Austausch von sachbezogenen Daten von Bedeutung wie bspw. der Austausch von Umweltinformationen. 3. Multilaterale Regelungen Bedeutende Regelungen in Bezug auf den Datenfluss im internationalen Kontext sind oftmals multilaterale Regelungen. Beispiele sind die Regelungen der OECD, des Europarates, der APEC, der Vereinten Nationen oder der EU. Oftmals sind die multilateralen Regelungen der Ursprung für nationale Datenschutzgesetze und die darin enthaltenen Regelungen des Datenflusses im internationalen Kontext. V. Geographiebasierte und organisationsbasierte Regelungen Neben den genannten Kategorien kann auch unterschieden werden zwischen geographiebasierten und organisationsbasierten Regelungen.241 1. Geographiebasierte Regelungen Das Ziel geographiebasierter Regelungen liegt im Schutz vor Risiken, die sich dadurch ergeben, dass Daten in ein Land oder an einen bestimmten Ort übertragen werden.242 Geographiebasierte Regelungen werden von einer Vielzahl von Ländern angewandt. Neben allen Mitgliedstaaten der EU enthalten auch Datenschutzgesetze anderer Staaten Tests wie die Frage, ob das Recht im Empfängerstaat im Vergleich zum exportierenden Staat „angemessen“ (EU), „vergleichbar“ (Kanadisches Bundesrecht) oder „gleichwertig“ (Konvention 108 des Europarates) ist.243

241

Dazu ausführlich Kuner, Transborder data flows and data privacy law, S. 64 ff., der die Konzepte „geographically-based approach“ bzw. „adequacy-approach“ und „organizationallybased approach“ bzw. „accountability approach“ nennt und einen Verlust einer Trennschärfe und ein engeres Zusammenwachsen der Ansätze darstellt (siehe dazu auch Kuner, OECD Digital Economy Papers, No. 187 2011 (26)). 242 So Kuner, OECD Digital Economy Papers, No. 187 2011 (20) sowie Kuner, Transborder data flows and data privacy law, S. 64–71. 243 So Kuner, OECD Digital Economy Papers, No. 187 2011 (20), siehe Kuner, Transborder data flows and data privacy law, S. 65 für weitere Beispiele.

§ 5 Allgemeiner Regelungsrahmen

87

2. Organisationsbasierte Regelungen Entscheidend im Rahmen von organisationsbasierten Regelungen ist das Prinzip der Verantwortlichkeit bzw. der Grundsatz der Rechenschaftspflicht244: Der jeweilige Datenexporteur ist dafür verantwortlich, den fortdauernden Schutz personenbezogener Daten unabhängig von seiner geographischen Position zu garantieren, wie an Beispielen wie dem APEC Privacy Framework sowie wiederum Kanada zu sehen ist.245 Auch Vertragsklauseln oder verbindliche Unternehmensregelungen, wie sie auch in der EU verwendet werden, stellen solche organisationsbasierten Regelungen dar.246 Wie Kuner klarstellt, hat Verantwortlichkeit bzw. Rechenschaftsplicht verschiedene Bedeutungen.247 Die Art. 29-Datenschutzgruppe und die Arbeitsgruppe Polizei und Justiz verstehen den Grundsatz der Rechenschaftspflicht wie folgt: „Dieser Grundsatz [der Rechenschaftspflicht] würde die für die Datenverarbeitung Verantwortlichen dazu verpflichten, die notwendigen Maßnahmen zu ergreifen, um sicherzustellen, dass die wesentlichen Grundsätze und Verpflichtungen der geltenden Richtlinie bei der Verarbeitung­ personenbezogener Daten eingehalten werden. […] Darüber hinaus würde der Grundsatz der Rechenschaftspflicht von den für die Datenverarbeitung Verantwortlichen verlangen, dass sie für die notwendigen internen Mechanismen sorgen, damit sie gegenüber externen interessierten Parteien, einschließlich der nationalen Datenschutzbehörden, die Einhaltung beweisen können. Die daraus resultierende Forderung nach Beweisen für die für Einhaltungszwecke durchgeführten angemessenen Maßnahmen wird die Durchsetzung von anzuwendenden Vorschriften sehr vereinfachen“.248 Entscheidend im Rahmen dieser Arbeit ist, dass es diese Arten von Regelungen in Bezug auf den Datenfluss im internationalen Kontext gibt. Sie spielen insbesondere im Zusammenhang mit Datenverarbeitungen im Internet eine bedeutende Rolle, da die Verantwortlichkeit bzw. Rechenschaftspflicht bestehen bleibt, unabhängig davon wo die Daten verarbeitet werden.249

244

Auf Englisch: Principle of Accountability. Siehe Kuner, OECD Digital Economy Papers, No. 187 2011 (20) sowie ausführlich mit weiteren Beispielen und Ausführungen aus verschiedenen Rechtsordnungen Kuner, Trans­ border data flows and data privacy law, S. 71 ff. 246 Kuner, Transborder data flows and data privacy law, S. 72 f. 247 Kuner, Transborder data flows and data privacy law, S. 72 f. 248 Art. 29-Datenschutzgruppe, Die Zukunft des Datenschutzes – Gemeinsamer Beitrag zu der Konsultation der Europäischen Kommission zu dem Rechtsrahmen für das Grundrecht auf den Schutz der personenbezogenen Daten, WP 168, 01.12.2009, S. 23 f., http://ec.europa.eu/ justice/policies/privacy/docs/wpdocs/2009/wp168_de.pdf (zuletzt geprüft am 15.03.2015). 249 Siehe dazu ausführlich Kuner, Transborder data flows and data privacy law, S. 49; 71 ff., 170 ff. 245

88

Teil 1: Datenfluss im internationalen Kontext

VI. Regelungen zum Grundrechtsschutz und für sonstige Zwecke Eine weitere Unterscheidung ist möglich zwischen Regelungen, die dem Grundrechtsschutz dienen und Regelungen, die anderen Zwecken wie bspw. dem elektronischen Geschäftsverkehr dienen.250 So stellt der Datenschutz in der EU ein Grundrecht dar, wie bereits an Art. 8 GRCh zu erkennen ist.251 In anderen Regelungen wie dem APEC Privacy Framework252 ist vor allem der elektronische Geschäftsverkehr und nicht der Grundrechtsschutz von Bedeutung und auch in den USA wird der Datenschutz nicht auf Verfassungsebene als Grundrecht anerkannt.253 VII. Kombination der unterschiedlichen Kriterien Regelungen des Datenflusses im internationalen Kontext können in die genannten Kategorien eingeordnet werden. Meistens ist es möglich, eine Regelung nicht nur einer, sondern zwei oder mehreren Kriterien zuzuweisen.254 So finden sich in verschiedenen Regelungen zum Datenfluss im internationalen Kontext bspw. eine Kombination der geographiebasierten und der organisationsbasierten Regelungen. Wie an den verbindlichen Unternehmensregelungen oder den Modellvertragsklauseln im EU-Recht ersichtlich ist, ist eine gewisse Annäherung von Herangehensweisen zu erkennen.255

§ 6 Die bestehenden Regelungen in der EU und den USA Regelungen zum Datenfluss im internationalen Kontext sind in verschiedenen Rechtsordnungen vorhanden. Neben einer Vielzahl an Staaten haben auch internationale Organisation, supranationale Stellen Regelungen zum Datenfluss im internationalen Kontext erlassen. Bei den internationalen Organisationen sind bspw. die Vereinten Nationen, der Europarat und die OECD zu nennen. Die EU nimmt mit ihren Regelungen eine besondere Stellung ein, da sie besonders umfassende Regelungen aufstellt und mit diesen Datenschutzregelungen in der ganzen

250

Siehe dazu Kuner, Transborder data flows and data privacy law, S. 61 ff.; sowie auch Kuner, OECD Digital Economy Papers, No. 187 2011 (20). 251 Dazu ausfürlich Kuner, Transborder data flows and data privacy law, S. 62. 252 Dazu bspw. Greenleaf, Computer Law & Security Review 25 (2009), 28; Voskamp/Kipker/ Yamato, DuD 2013, 452. 253 Vgl. Kuner, Transborder data flows and data privacy law, S. 62. 254 Vgl. auch Kuner, Transborder data flows and data privacy law, S. 61. 255 Kuner, OECD Digital Economy Papers, No. 187 2011 (20 und 26) sowie auch Kuner, Transborder data flows and data privacy law, S. 76.

§ 6 Die bestehenden Regelungen in der EU und den USA 

89

Welt beeinflusst.256 Zu den Ländern, die Regelungen erlassen haben, gehören – soweit ersichtlich – Länder in Nordamerika (Kanada), Länder in Lateinamerika (Argentinien, Kolumbien, Mexiko, Uruguay), Länder der Karibik (Bahamas), Länder der EU sowie die Länder des Europäischen Wirtschaftsraums (Island, Liechtenstein und Norwegen), weitere europäische Länder wie Albanien, Bosnien und Herzegowina und die Schweiz, zudem Länder Afrikas (bspw. Benin, Burkina Faso, Mauritius, Marokko, Südafrika, Tunesien), der Asien-Pazifik-Raum (u. a. Australien, Macau, Neuseeland, Südkorea) sowie weitere Länder wie Armenien oder­ Israel oder das Emirat Dubai, das spezielle Regelungen für sein internationales Finanzzentrum (Dubai International Financial Centre)  erlassen hat.257 Mittlerweile haben über 60 Staaten Regelungen zum Datenfluss im internationalen Kontext ­erlassen, die zu einem großen Teil auf einem oder mehreren regionalen oder internationalen Instrumenten basieren.258 Entgegen anderer Ansichten in der Literatur,259 haben auch die USA sehr vereinzelt Regelungen zum Datenfluss im internationalen Kontext erlassen.260 Regelungen des Datenflusses im internationalen Kontext fehlen jedoch in großen Industrienationen wie Brasilien, China, Indien und Japan.261 Auf Grund der Vielschichtigkeit der Regelungen zum Datenfluss im internationalen Kontext ist eine Auswahl zu treffen. Von der Vielzahl an Rechtsordnungen werden die EU und die USA als Referenzgebiete ausgewählt. Neben der Bedeutung der beiden Rechtsordnungen für den Gegenstand der Untersuchung scheint diese Auswahl aus weiteren Gründen geboten: So haben die beiden Rechtsordnungen eine signifikante Größe, sie bieten hinsichtlich ihrer Regelungen zudem einen scharfen, wenn nicht den schärfsten Kontrast, da sie – wie noch zu zeigen sein wird – als Antipole zwei verschiedene Blickwinkel auf den Umgang mit Daten und Datenschutz haben. Zudem spielen bedeutende wirtschaftliche Interessen in den Beziehungen der beiden Rechtsordnungen eine Rolle. Hinsichtlich der Regelungen der EU sind vor allem die Grundlagen für die Regelungen der Mitgliedstaaten de lege lata und de lege ferenda von Interesse. Die Regelungen der Mitgliedstaaten selbst würden hingegen über das Ausmaß der Untersuchung hinausgehen und werden nicht separat behandelt. Ferner ist auf das EU-Eigenverwaltungsrecht kurz einzugehen. Bei den Regelungen der EU ist das Kriterium der „Angemessenheit des Datenschutzniveau[s] im Drittland“ für 256

Zum Einfluss der EU siehe Bradford, Northwestern University Law Review 107 (2012), 1. So die Aufzählung von Kuner, OECD Digital Economy Papers, No. 187 2011 (18). 258 Kuner, OECD Digital Economy Papers, No. 187 2011 (18). 259 Kuner, OECD Digital Economy Papers, No. 187 2011 (18) vgl. auch Schwartz, Harvard Law Review 126 (2013), 1966 (1977). Jedoch ist stets zu berücksichtigen, was unter die Definition des internationalen Datenflusses gefasst wird. 260 Siehe dazu unten S. 181 ff. 261 So Kuner, OECD Digital Economy Papers, No. 187 2011 (18), der ebenfalls die USA in dieser Liste nennt; siehe dazu auch ausführlich Kuner, Transborder data flows and data privacy law, S. 81 ff. 257

90

Teil 1: Datenfluss im internationalen Kontext

die rechtmäßige Datenübermittlung essentiell und seine Bedeutung aufzuzeigen. Hinsichtlich der USA sind – wie noch zu zeigen sein wird – nur in geringem Maße Regelungen zum Datenfluss im internationalen Kontext überhaupt vorhanden. Daher sind auch Gesetzesinitiativen für solche Regelungen beispielhaft zu behandeln.

A. Recht der EU Das Datenschutzsystem der EU ist umfassend und enthält eine Vielzahl an Regelungen, die den Datenfluss im internationalen Kontext zum Gegenstand haben. Mit der DSRL existiert zunächst eine Regelung, die das Verständnis der EU zum Datenschutz widerspiegelt: Für die EU besteht die Pflicht, den Datenschutz durch eine umfassende rechtliche Regelung zu gewährleisten, weil der Schutz personenbezogener Daten als Ausfluss der generellen Verpflichtung Menschenrechte zu schützen angesehen wird.262 Datenschutz ist in der EU Grundrechtsschutz. Im Jahr 2012 wurden Vorschläge für eine Reform der EU-Datenschutzregelungen gemacht. Im Folgenden ist daher auf die in der EU bestehenden Regelungen de lege lata und de lege ferenda einzugehen. Neben der DSRL als Grundlage für die Regelungen der Mitgliedstaaten bestehen weitere Regelungen, u. a. für die EUEigenverwaltung. Auf diese ist ebenfalls kurz einzugehen. Auf eine Darstellung der von EU-Regelungen beeinflussten nationalen Regelungen wird hingegen verzichtet. Diese unterscheiden sich in ihrer Umsetzung der EU-Regelungen beträchtlich und werden somit nicht einheitlich angewandt.263 Essentielle Voraussetzung für eine Datenübermittlung in ein Drittland, die sich in sämtlichen Datenschutzregelungen der EU findet, ist das Vorliegen eines „angemessenes Datenschutzniveaus“ in diesem Drittland. Wie dieses Kriterium konturiert ist, ist im Folgenden zu klären.

262

So Herdegen, Common Market Law Review 45 (2008), 1581 (1589). Dazu mit Beispielen aus den Mitgliedstaaten für den Fall, dass die Kommission noch keine umfassende Angemessenheitsentscheidung getroffen hat, Korff, Comparative Study on Different Approaches to New Privacy Challenges, in Particular in the Light of Technological Developments – Working Paper No. 2 – Data protection laws in the EU: The difficulties in meeting the challenges posed by global social and technical developments, 2010, S. 92 ff., http://ec.europa. eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_working_ paper_2_en.pdf (zuletzt geprüft am 15.03.2015); siehe auch Kuner, Transborder data flows and data privacy law, S. 44 m. w. Nachw. 263

§ 6 Die bestehenden Regelungen in der EU und den USA 

91

I. Primärrechtliche Grundlagen Art. 8 GRCh ist das im Rahmen des Vertrages von Lissabon rechtsverbindlich normierte Datenschutzgrundrecht auf EU-Ebene.264 Weitere primärrechtliche Regelungen finden sich in Art. 16 AEUV, sowie ferner in Art. 39 EUV.265 Bedeutenden Einfluss hat zudem Art. 8 EMRK. II. Sekundärrechtliche Regelungen zum Datenfluss im internationalen Kontext de lege lata 1. EU-Datenschutzrichtlinie Das vielleicht einflussreichste rechtliche Instrument, das den grenzüberschreitenden Datenfluss regelt, ist die DSRL.266 a) Entstehungsgeschichte der Datenschutzrichtlinie Erste Tendenzen durch die Kommission, Datenschutz auf Europäischer Ebene zu berücksichtigen, begannen bereits 1973 aus der Erkenntnis heraus, dass divergierende Rechtsvorschriften in den Mitgliedstaaten ein Hindernis für die Wettbewerbsfähigkeit der sich sprunghaft entwickelnden Datenverarbeitungsindustrie darstellen könnten.267 Auch andere Institutionen erkannten die Wichtigkeit des Themas: So forderte der Rat unter Hinweis auf die Bedeutung der „Datenverarbeitung für alle Aspekte der modernen Gesellschaft und damit für die Gemein-

264 Siehe dazu bspw. Johlen, in: Tettinger/Stern, Kölner Gemeinschaftskommentar zur Europäischen Grundrechte-Charta, 2006; Bernsdorff, in: Meyer, Charta der Grundrechte der Europäischen Union, 2011; Kingreen, in: Calliess/Ruffert, EUV, AEUV, 4. Aufl. 2011, Art. 8 GRCh; Knecht, in: Schwarze, EU-Kommentar, 2012; Mehde, in: Heselhaus/Nowak, Handbuch der europäischen Grundrechte, 2006 Rn. 10–13; Siemen, Datenschutz als europäisches Grundrecht, S. 280 ff. sowie Schneider, Die Verwaltung 44 (2011), 499 (501 f.). 265 Zu Art. 16 AEUV siehe Schneider, Die Verwaltung 44 (2011), 499 (502 ff.) sowie grundlegend zu den Veränderungen durch den Vertrag von Lissabon Spiecker gen. Döhmann/Eisenbarth, JZ 2011, 169. 266 Vgl Kuner, Transborder data flows and data privacy law, S. 40; zur Drittländerregelung der DSRL umfassend und grundlegend Wuermeling, Handelshemmnis Datenschutz. 267 So Siemen, Datenschutz als europäisches Grundrecht, S.  232; siehe zu den ersten Tendenzen und der Entstehungsgeschichte der Richtlinie Karpenstein, in: Bieber, Das Europa der zweiten Generation, 1981, S.  895 ff.; Simitis, in: Tinnefeld, Informationsgesellschaft und Rechtskultur in Europa, 1995, S.  51 ff.; Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S.  532 ff.; Dammann/Simitis, EG-Datenschutzrichtlinie, Einleitung Rn. 1 ff.; Hahn, Datenschutzrecht und grenzüberschreitender Datenverkehr, S. 80 ff. sowie für einen Abdruck der Initiativen Mengel, Internationale Organisationen und transnationaler Datenschutz, S. 51 ff.

92

Teil 1: Datenfluss im internationalen Kontext

schaft und ihre wirtschaftliche und technologische Stellung in der Welt“ u. a. „ein systematisches Programm der Gemeinschaft zur Förderung der Forschung, industriellen Entwicklung und Anwendung der Datenverarbeitung aufzustellen“.268 Das Europäische Parlament forderte 1976 erstmals die Ausarbeitung „gemeinschaftlicher Rechtsvorschriften“ und später auch explizit die Ausarbeitung einer Datenschutzrichtlinie.269 Zunächst wurde von der Kommission die Datenschutzkonvention des Europarates als geeignet angesehen, auf europäischer Ebene für ein einheitliches Datenschutzniveau zu sorgen, sodass ein auf den EWG-Vertrag gestützter Rechtsakt nur für den Fall vorgeschlagen werden sollte, dass nicht alle Mitgliedstaaten die Konvention unterzeichneten.270 Im Jahr 1990 stellte die Kommission schließlich einen Vorschlag für eine Datenschutzrichtlinie vor, der sich stark an der Datenkonvention des Europarates orientierte.271 Nach einem fast fünf Jahre dauernden Verfahren272 wurde die Richtlinie schließlich im Oktober 1995 verabschiedet und sollte bis Oktober 1998 in innerstaatliches Recht umgesetzt werden.273 Regelungen zum Datenfluss im internationalen Kontext befinden sich in Kapitel IV („Übermittlung personenbezogener Daten in Drittländer“) in den Artikeln 25 („Grundsätze“) sowie 26 („Ausnahmen“).

268

Entschließung des Rates über eine gemeinschaftliche Politik auf dem Gebiet der Daten­ verarbeitung, 15.07.1974, ABl. C 86 v. 20.07.1974, S. 1. 269 Entschließung des Europäischen Parlaments zum Schutz der Rechte des Einzelnen an­ gesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der Datenverarbeitung, 08.04.1976, ABl. C 100 v. 03.05.1976, S. 27 sowie Entschließung zum Schutz der Rechte des Einzelnen angesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der Datenverarbeitung, undatiert, ABl. C 140 v. 05.06.1979, S. 34 f. sowie Entschließung des Europäischen Parlaments zum Schutz der Rechte des Einzelnen angesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der Datenverarbeitung, 09.03.1982, ABl. C 87 v. 05.04.1982, S. 39 ff.; zur Zuständigkeit der EG siehe Karpenstein, in: Bieber, Das Europa der zweiten Generation, 1981, S. 889 ff. 270 Empfehlung der Kommission betreffend ein Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, 29.  Juli 1981, ABl. L 246, S. 31, dazu ausführlich Bergmann, Grenzüberschreitender Datenschutz, S. 160 f. sowie Ellger, Der Datenschutz im grenzüberschreitendenden Datenverkehr, S. 542. 271 So Siemen, Datenschutz als europäisches Grundrecht, S. 233 mit Verweis auf Mitteilung der Kommission zum Schutz von Personen bei der Verarbeitung personenbezogener Daten in der Gemeinschaft und zur Sicherheit der Informationssysteme, 13.09.1990, KOM(90)314 endgültig (nicht mehr abrufbar). 272 Zum Verfahren bis zur Verabschiedung der Richtlinie siehe Simitis, in: Simitis, BDSG, 8.  Aufl. 2014, Einleitung Rn.  203 ff.; ausführlich mit Ausführungen zum Inhalt der Kommissionsentwürfe Hahn, Datenschutzrecht und grenzüberschreitender Datenverkehr, S. 84 ff. m. w. Nachw. 273 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281 v. 23.11.1995, S.  31 ff. Zum Verfahren siehe Simitis, in:­ Simitis, BDSG, 8. Aufl. 2014, Einleitung Rn. 203 ff.; ausführlich Hahn, Datenschutzrecht und grenzüberschreitender Datenverkehr, S. 84 ff.

§ 6 Die bestehenden Regelungen in der EU und den USA 

93

b) Zweck und Anwendungsbereich der Datenschutzrichtlinie Der Hauptzweck für die Verabschiedung der DSRL liegt in der Harmonisierung der nationalen Datenschutzregelungen begründet, da unterschiedliche Datenschutzniveaus die Gefahr bergen, ein Handelshemmnis darzustellen und somit den Binnenmarkt zu beeinträchtigen.274 Zudem ist auch der Grundrechtsschutz Zweck der Richtlinie: So bestimmt Art. 1 I DSRL, dass die Mitgliedstaaten nach den Bestimmungen der Richtlinie „den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten“ gewährleisten. Auf Grund der beiden Zwecke wird von einer „Dualistischen Zielsetzung der Richtlinie“ gesprochen.275 Die Richtlinie habe ein „Spannungsverhältnis“ zu bewältigen, indem sie einerseits zum Funktionieren des Binnenmarktes beitragen und andererseits den Grundrechtsschutz wahren müsse.276 Teilweise wird auch der „freie Verkehr“ in einem „Gemeinsamen Markt“, „dem sich alle regulatorischen Bestrebungen unterzuordnen haben“, als wichtigstes Ziel der Richtlinie gesehen.277 Der Konflikt zwischen den beiden Interessen kommt auch im Titel der Richtlinie zum Ausdruck, der sowohl auf den „Schutz natürlicher Personen“ als auch auf den „freien Datenverkehr“ verweist.278 Der Anwendungsbereich der Richtlinie ist in Art. 3 DSRL geregelt.279 In Art. 3 I DSRL wird bestimmt, dass die Richtlinie „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen“, gilt. Entscheidend ist somit für den sachlichen Anwendungsbereich ausschließlich die Verarbeitung personenbezogener Daten; ob es sich dabei um eine manuelle oder automatisierte Verarbeitung handelt, spielt keine Rolle.280 Nicht vom Anwendungsbereich der Richtlinie erfasst sind hingegen Daten, die juristische Personen betreffen.281 In Art. 2. II lit. b DSRL wird ein Begriff der Verarbeitung verwendet, der als „außerordentlich umfassend“ anzusehen ist,282 und erfasst Handlungen angefangen mit der Erhebung der Daten bis zur Löschung283.

274

Siemen, Datenschutz als europäisches Grundrecht, S. 234 m. w. Nachw. Ehmann/Helfrich, EG-Datenschutzrichtlinie, Einleitung Rn. 4. 276 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Einleitung Rn. 4 mit Verweis auf den 3. Erwägungsgrund der Richtlinie. 277 Simitis, NJW 1997, 281 (282). 278 Siemen, Datenschutz als europäisches Grundrecht, S. 234. 279 Näher zum Anwendungsbereich der DSRL Simitis, NJW 1997, 281 (283 ff.); Siemen, Datenschutz als europäisches Grundrecht, S. 234 ff.; Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 3 Rn. 1 ff.; Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 3 Rn. 1 ff. 280 Simitis, NJW 1997, 281 (283). 281 Siemen, Datenschutz als europäisches Grundrecht, S. 235; Rüpke, ZRP 1995, 185 (188). 282 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 2 Rn. 5. 283 Siemen, Datenschutz als europäisches Grundrecht, S. 235 m. w. Nachw. 275

94

Teil 1: Datenfluss im internationalen Kontext

Umfasst ist vom Anwendungsbereich der Richtlinie sowohl der öffentliche als auch der nicht-öffentliche Bereich.284 Art. 3 II DSRL bestimmt hingegen, in welchen Bereichen die Richtlinie keine Anwendung findet: Genannt sind die Titel V und VI des EUV (die Gemeinsame Außen- und Sicherheitspolitik und die Polizeiliche und Justizielle Zusammenarbeit in Strafsachen) sowie Verarbeitungen, welche „die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich“ betreffen. Zusätzlich sind Verarbeitungen, „die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen“ werden, nicht vom Anwendungsbereich der Richtlinie umfasst.285 Bezüglich des räumlichen Anwendungsbereiches der Richtlinie bestimmt Art. 4 I lit. a DSRL, dass jeder Mitgliedstaat die Vorschriften, die zur Umsetzung der Richtlinie erlassen werden, auf alle Verarbeitungen personenbezogener Daten anwendet, „die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaates besitzt“. Zudem ist die Richtlinie gemäß Art. 4 lit. b DSRL für die Verarbeitungen anwendbar, „die von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht in seinem Hoheitsgebiet, aber an einem Ort niedergelassen ist, an dem das einzelstaatliche Recht dieses Mitgliedstaates gemäß dem internationalen öffentlichen Recht Anwendung findet“. Schließlich sind vom Anwendungsbereich Art. 4 lit. c DSRL auch die Verarbeitungen erfasst, „die von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht im Gebiet der Gemeinschaft niedergelassen ist und um Zwecke der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaates belegen sind, es sei denn, daß diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der Europäischen Gemeinschaft verwendet werden“. Die Richtlinie ist somit eine „eindeutig binnengerichtete Regelung“ und orientiert sich am Territoria­ litätsgrundsatz.286

284 Siemen, Datenschutz als europäisches Grundrecht, S.  235 m. w. Nachw.; näher Rüpke, ZRP 1995, 185 (187 f.) mit Vergleich zur rechtstechnischen Gestaltung im BDSG und Datenschutzgesetzen anderer Länder. 285 Siehe dazu ausführlich Simitis, NJW 1997, 281 (283 f.). 286 Simitis, NJW 1997, 281 (284) mit näheren Ausführungen.

§ 6 Die bestehenden Regelungen in der EU und den USA 

95

c) Art. 25 DSRL: Grundsätze – Die Bedeutung des Kriteriums der Angemessenheit Den Datenfluss im internationalen Kontext regelt die DSRL zunächst in Art. 25 und schafft damit Vorgaben, die von jedem Mitgliedstaat einzuhalten sind.287 Mit dem Kriterium der „Angemessenheit“ bestimmt die EU ein Kriterium für den Datenfluss im internationalen Kontext, das bestimmte Standards aufstellt, die bspw. von Unternehmen, die mit Unternehmen in der EU in Geschäftsbeziehungen stehen, Beachtung finden müssen. Mit dem Kriterium wird der Versuch unternommen, in der EU bestehende Datenschutzstandards auch beim Export von Daten zu gewährleisten. Die EU schafft quasi ein internationales Datenschutzsystem ohne internationale Verhandlungen.288 Das Kriterium der Angemessenheit bietet jedoch auch die nötige Flexibilität, da es auf starre Anforderungen verzichtet, um auf Einzelfälle reagieren zu können. Insgesamt gesehen stellen die Regelungen zum Datenfluss im internationalen Kontext in der DSRL sehr weitreichende Regelungen dar, die neben Akteuren in der EU, auch Unternehmen, Regierungen und Individuen außerhalb der EU beschäftigen und zu einer Vielzahl an Kontroversen führt, auf die noch näher einzugehen ist. aa) Ziele und Funktionen des Art. 25 DSRL Personenbezogene Daten in Drittstaaten zu transferieren, ist einerseits bedeutend, andererseits besonders schwierig, da entsprechende Vorschriften gewährleisten müssen, dass bestehender Schutz nicht durch einen Transfer in Länder mit keinen oder keinen gleichwertigen Datenschutzgarantien ausgehebelt wird.289 Diese Funktion soll durch die Regelungen der Art. 25 und 26 DSRL gewährleistet werden. Konsequent wäre es dabei für einen „glaubhaften Datenschutz“, Datenflüsse in Drittstaaten nur für den Fall zuzulassen, dass das Datenschutzniveau dem Niveau in der EU entspricht, jedoch musste aus wirtschaftlichen Gründen darauf verzichtet und stattdessen auf ein „angemessenes Schutzniveau“ im Rahmen dieser Artikel abgestellt werden.290 Bei der Umsetzung haben die Mitgliedstaaten 287 Zur Entstehungsgeschichte der Regelung siehe Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 2–4; zu Vorgängerregelungen in den einzelnen Mitgliedstaaten siehe bspw. Schwartz, Iowa L. Rev 80 (1994–95), 471 (474 ff.) sowie Wuermeling, Handelshemmnis Datenschutz, S. 33 ff.; für einen Ausblick auf die Regelungen der EG aus der Sicht von 1985 siehe Bergmann, Grenzüberschreitender Datenschutz, S. 166; grundlegend zur Entstehung der DSRL und der Drittlandsregelung Wuermeling, Handelshemmnis Datenschutz, S. 73 ff., zur Angemessenheit S. 101 ff. 288 Heisenberg, Negotiating privacy, S. 120 f. 289 Vgl. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 1; Ellger, CR 1994, 558 (564); Begründung zu Artikel 26 des geänderten Vorschlags zur Richtlinie (jetzt Artikel 25), Absatz 1.  290 Vgl. dazu krit. Ehmann/Helfrich, EG-Datenschutzrichtlinie, vor Art. 25 Rn. 1 ff., mit Erläuterung zu diesem Kriterium im Rahmen der Entstehung der DSRL.

96

Teil 1: Datenfluss im internationalen Kontext

einen Spielraum und können bspw. ein „Genehmigungs- oder Anzeigeverfahren für Drittlandtransfers“ schaffen, dabei Kontrollbehörden einbinden, die Hilfestellung bieten könnten oder Verantwortlichen gerichtlich überprüfbare Verpflichtungen auferlegen.291 bb) Art. 25 I DSRL: Die Angemessenheit des Schutzniveaus Art. 25 I DSRL stellt die Grundregel für die Datenübertragung in ein Drittland auf: Gemäß dem Artikel sehen die Mitgliedstaaten vor, „daß die Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen, in ein Drittland […] zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet“. Dies gilt „vorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften“. Der Begriff der „Angemessenheit“ ist nicht mit ähnlichen Begriffen gleichzusetzen: „angemessen“ erfordert geringere Voraussetzungen als „gleichwertig“292 und ist außerdem nicht identisch mit „äquivalent“.293 Der Begriff „angemessen“ wurde bei der Verabschiedung der Richtlinie anderen Begriffen vorgezogen, weil er „ein flexibleres Eingehen auf unterschiedliche Situationen und Notwendigkeiten erlaubt“ und der Kommission zudem einen Spielraum bei den Verhandlungen mit einem Drittland nach Art. 25 V DSRL gibt.294 Die deutsche Sprachfassung scheint zunächst dafür zu sprechen, dass es sich bei der Regelung um eine Erlaubnisnorm handelt, der Regelungskontext sowie die französische295 und die englische296 Sprachfassung weisen hingegen darauf hin, dass es sich gesetzestechnisch um ein besonderes Verbot handelt und eine Datenübertragung „nur zulässig“ ist, wenn die Voraussetzungen des angemessenen Schutzniveaus erfüllt sind.297 Die Regelung schließt auch Daten mit ein, die „nach der Übermittlung verarbeitet werden sollen“, umfasst somit auch Daten, die außerhalb des Geltungsbereichs der 291 Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 5. 292 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 25 Rn. 5; Dammann/Simitis, EG-Datenschutzrichtlinie, Art.  25 Rn.  8; Abgrenzung zwischen Angemessenheit und Gleichwertigkeit bei Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 14–16. 293 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 8; zur Unterscheidung der Begriffe siehe Wuermeling, Handelshemmnis Datenschutz, S. 103 f. 294 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 8. 295 Dort heißt es: „[…] le transfert vers un pays tiers […] ne peut avoir lieu que si […] le pays tiers en question assure un niveau de protection adéquat“. 296 Dort heißt es: „[…] the transfer to a third country […] may take place only if […] the third country in question ensures an adequate level of protection“. 297 Dammann/Simitis, EG-Datenschutzrichtlinie, Art.  25 Rn.  4; Brühann, in: Grabitz/Hilf/ Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 5.

§ 6 Die bestehenden Regelungen in der EU und den USA 

97

Richtlinie verarbeitet werden und geht daher über den in Art. 3 I DSRL definierten Anwendungsbereich hinaus, um die besondere Risikolage zu berücksichtigen.298 Art. 25 I DSRL spricht lediglich von einer Übermittlung in ein „Drittland“ und unterschiedet somit nicht, ob es sich beim Empfänger um natürliche Personen, Unternehmen, Hoheitsträger oder internationale Organisationen mit Völkerrechtssubjektivität handelt, die wie Drittländer zu behandeln sind.299 Übermittlungen an Botschaften der Mitgliedstaaten in Drittländern sowie Flugzeuge oder Schiffe von Mitgliedstaaten sind hingegen nicht umfasst, da dort das jeweilige Recht des Mitgliedstaates anwendbar ist.300 Aus der Vorschrift, die Übermittlung unter den Vorbehalt „der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften“ zu stellen, ist zu schließen, dass ein angemessenes Schutzniveau im Drittland allein noch keine Datenübertragung rechtfertigt, sondern lediglich eine zusätzliche Voraussetzung darstellt.301 Es besteht somit eine „Doppelschranke“, die zunächst eine Prüfung verlangt, ob die Übermittlung nach den sonstigen Vorschriften der DSRL rechtmäßig ist, bevor die übrigen Voraussetzungen für den Transfer in ein Drittland zu prüfen sind.302 cc) Art. 25 II DSRL: Kriterien zur Bestimmung der Angemessenheit des Schutzniveaus Art. 25 II DSRL bestimmt, welche Kriterien bei der Bestimmung der Angemessenheit des Schutzniveaus berücksichtigt werden müssen. Demnach wird die „Angemessenheit des Schutzniveaus, das ein Drittland bietet, „[…] unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen“. Dies wird in dem Artikel näher bestimmt, indem es heißt, dass insbesondere „Die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung, das Herkunfts- und das End-

298

Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 5. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 6. 300 Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 7. 301 Dammann/Simitis, EG-Datenschutzrichtlinie, Art.  25 Rn.  7 mit Bezug auf Erwägungsgrund 60. Dieser lautet: „Übermittlung in Drittstaaten dürfen auf jeden Fall nur unter voller Einhaltung der Rechtvorschriften erfolgen, die die Mitgliedstaaten gemäß dieser Richtlinie, insbesondere gemäß Artikel 8, erlassen haben“. 302 Siehe Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn.  9; Wybitul/Patzak, RDV 2011, 11 (12 f.), sowie zuletzt Düsseldorfer Kreis, Beschluss des Düsseldorfer Kreises vom 11./12.09.2013 Datenübermittlung in Drittstaaten, 11./12.09.2013, http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/ DuesseldorferKreis/12092013DatenuebermittlungInDrittstaaten.pdf?__blob=publicationFile (zuletzt geprüft am 15.03.2015). 299

98

Teil 1: Datenfluss im internationalen Kontext

bestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort geltenden Standesregeln und Sicher­ heitsmaßnahmen“ zur Bestimmung der Angemessenheit des Schutzniveaus berücksichtigt werden. Bei der „Art der Daten“ ist vor allem auf den Inhalt und insbesondere einen sensitiven Inhalt i. S. d. Art. 8 I und V DSRL zu achten und zudem der „Grad der Identifizierung der betroffenen Person“ von Bedeutung.303 In Bezug auf die „Zweckbestimmung“ ist entscheidend, ob die Datenverarbeitung nur für ganz bestimmte Zwecke erfolgt oder für verschiedenste Zwecke durchgeführt wird und ob des Weiteren die durchzuführende Verarbeitung im Konflikt mit den Interessen des Betroffenen steht.304 Die „Dauer der geplanten Verarbeitung“ spielt insbesondere im Zusammenhang mit einer nichtpersonenbezogenen Nutzung i. S. d. Art. 13 II DSRL eine Rolle.305 Das „Herkunfts- und das Endbestimmungsland“ sind die „wesentlichen Bezugsgrößen, um die Differenz bzgl. der verschiedenen Schutzaspekte beurteilen zu können“, wobei zu beachten ist, dass die DSRL auch verlangt, nicht nur die beiden unmittelbar beteiligten Länder, sondern auch ein abweichendes Herkunftsland (bspw. einen anderen Mitgliedstaat) sowie das Endbestimmungsland miteinzubeziehen.306 Mit den „in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen“307 sowie den „dort geltenden Standesregeln und Sicherheitsmaßnahmen“308 stellt die DSRL schließlich sowohl auf rechtliche Beurteilungsfaktoren als auch auf tatsächliche Beurteilungsparameter ab.309 Bei der Beurteilung ist von der „Gesamtheit der Schutzinstrumente“, wie sie in der DSRL enthalten sind, auszugehen.310 Es sind neben den „Regelungen zur Zulässigkeit der Verarbeitung der Information der betroffenen Person“ auch die „Maßnahmen zur Sicherung einer praktischen Durchführung“311 zu berücksichtigen. Beispielsweise kann berücksichtigt werden, dass es keine Datenschutzkontrollstellen i. S. d. Art. 28 DSRL, aber dafür bestimmte Verbraucherschutzein-

303 Dammann/Simitis, EG-Datenschutzrichtlinie, Art.  25 Rn.  10; Ehmann/Helfrich, EG-­ Datenschutzrichtlinie, Art. 25 Rn. 16 bezieht sich ebenfalls auf Art. 8 DSRL. 304 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 10. 305 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 10. 306 Dammann/Simitis, EG-Datenschutzrichtlinie, Art.  25 Rn.  10; Ehmann/Helfrich, EG-­ Datenschutzrichtlinie, Art. 25 Rn. 16 spricht von einer „Kettenübermittlung“. 307 Nach Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 25 Rn. 16 kann dies dazu führen, dass die Angemessenheit des Schutzniveaus nur für bestimmte Sektoren bejaht werden kann, jedoch im Übrigen verneint werden muss. 308 Nach Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art.  25 Rn.  16 sind mit „Standesregeln“, Verhaltensregeln gemeint, die gem. Art. 27 DSRL zu fördern sind, mit „Sicherheitsmaßnahmen“ hingegen Maßnahmen für die technische und organisatorische Absicherung i. S. d. Art. 17 DSRL. 309 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 10. 310 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 11. 311 Genannt werden „Einrichtungen der internen und externen Kontrolle, die Sicherheits­ vorkehrungen, die Haftung und die Sanktionen“.

§ 6 Die bestehenden Regelungen in der EU und den USA 

99

richtungen gibt, die Betroffene bei der Durchsetzung ihres Rechts unterstützen.312 Diese genannten Kriterien sind für die Mitgliedstaaten verbindlich, sodass eine „Übergewichtung oder Verabsolutierung eines einzelnen Beurteilungsaspekts“ genauso wie eine komplette Nichtbeachtung bestimmter entscheidender Aspekte nicht mit der DSRL in Einklang stünde.313 Die genannten Elemente, die zur Beurteilung herangezogen werden können, stellen keinen abschließenden Katalog an Kriterien dar, die zur Bestimmung der Angemessenheit des Schutzniveaus berücksichtigt werden sollten.314 Auch sagt die Aufzählung der Kriterien nichts über deren Gewichtung aus; diese muss insofern erfolgen, dass dem Grundrechtsschutz und insbesondere dem Schutz der Privatsphäre bestmöglich Rechnung getragen wird.315 Der Ansatz der DSRL, auf die einzelne Übertragung abzustellen, schließt nicht aus, das angemessene Schutzniveau für ein ganzes Land oder bestimmte Sektoren – bspw. die automatisierte Verarbeitung oder die öffentliche Verwaltung – anzuerkennen.316 Somit bestimmt die Regelung des Art. 25 II DSRL zwar, welche Kriterien heran­ gezogen werden können, um das angemessene Schutzniveau zu bestimmen, regelt jedoch nicht die Voraussetzungen, unter denen eine Qualifizierung des Schutzniveaus als „angemessen“ in Frage kommt.317 Als Interpretationshilfe ist daher als materieller Maßstab der „Schutz der Grundrechte und Grundfreiheiten“ sowie insbesondere der „Schutz der Privatsphäre“ heranzuziehen.318 Der Begriff der Privatsphäre muss jedoch autonom für die Richtlinie ausgelegt werden und darf nicht in dem Sinne verstanden werden, der ihm in der deutschen Rechtswissenschaft zukommt.319 Demnach ist das Schutzniveau im Drittland dann als angemessen anzusehen, wenn bei der Datenverarbeitung ein Schutz gewährleistet wird, der „dem Kernbestand der Schutzprinzipien der Richtlinie im Wesentlichen gerecht wird“,

312

Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 11. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 12. 314 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art.  25 Rn.  12; Dammann/Simitis, EG-­ Datenschutzrichtlinie, Art. 25 Rn. 10. 315 Vgl. Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art.  25 Rn.  12 ff. mit Hinweisen zur Bestimmung des Schutzniveaus für die Praxis und Wiedergabe der Empfehlungen der Art. 29-­ Datenschutzgruppe dazu. 316 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 13. 317 Dammann/Simitis, EG-Datenschutzrichtlinie, Art.  25 Rn.  8; ähnlich Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 25 Rn. 3; krit. Lavranos, DuD 1996, 400 (403); dazu bereits auch Europäische Kommission/Generaldirektion XV, Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer – Mögliche Ansätze für eine Bewertung der Angemessenheit, WP 4, 26.06.1997, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1997/wp4_de. pdf#h2-17 (zuletzt geprüft am 15.03.2015). 318 So Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 25 Rn. 4 mit Verweis auf die Erwä­ gungsgründe 1 u 2 der DSRL sowie. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 8 mit Verweis auf Art. 1 I DSRL sowie die Überschrift der DSRL. 319 Dies ergibt sich auch aus einem Vergleich mit anderen sprachlichen Fassungen, in denen bspw. von „right to privacy“ oder „protection […] de leur vie privée“ gesprochen wird. 313

100

Teil 1: Datenfluss im internationalen Kontext

wobei jedoch ein gewisses Absinken des Schutzniveaus im Ganzen bzw. Minde­ rungen bei einzelnen Schutzinstrumenten hinzunehmen sind.320 Fraglich ist jedoch, was unter diesem „Kernbestand der Schutzprinzipien der Richtlinie“ zu verstehen ist.321 Für Simitis müssen bspw. zumindest acht Grundkomponenten vorliegen, um von einem „angemessenen Schutzniveau“ sprechen zu können.322 Neben der Zweckbindung, muss eine Restriktion von staatlichen Interventionen bestehen, ein Auskunfts- und Berichtigungsrecht existieren, die verarbeitende Stelle Informationspflichten unterliegen und Widerspruchs- und Schadensersatzrecht sowie gerichtliche Rechtsbehelfe dem Betroffenen zustehen.323 Des Weiteren müssen technische Vorkehrungen zur Datensicherheit vorliegen und eine unabhängige Datenschutzkontrolle bestehen sowie Einschränkungen der Weiterübermittlung aus dem Drittland gewährleistet werden.324 Eine Verarbeitungsregelung im Drittland kann jedoch nur als angemessen gelten, wenn die genannten Komponenten auch verbindlich gesetzlich abgesichert sind.325 Für ein angemessenes Schutzniveau ist somit die Kombination der materiellen Grundkomponenten mit der Verbindlichkeit dieser Regelungen erforderlich.326 Über die genannten Kriterien bestand – so Simitis – bereits 1999 „mehr oder weniger Einigkeit“.327 In einer Stellungnahme aus dem Jahr 1998 legte die Art. 29-Datenschutzgruppe bereits dar, welche inhaltlichen und verfahrensrechtlichen bzw. mit der Durchsetzung im Zusammenhang stehenden Erfordernisse sie als Mindestanforderungen für notwendig erachtete, um von einem angemessenen Schutzniveau ausgehen zu können.328 Als inhaltliche Mindestanforderungen sah die Art. 29-Datenschutzgruppe die Grundsätze der Beschränkung der Zweckbestimmung, der Datenqualität und -verhältnismäßigkeit, der Transparenz, der Sicherheit sowie das Recht auf Zugriff, Berichtigung und Widerspruch und die Beschränkungen der Weiterübermittlung in andere Drittländer an.329 In einzelnen Fällen forderte die Datenschutzgruppe weitergehende Verarbeitungsgrundsätze: Bei sensiblen Daten müsse zusätzlich eine ausdrückliche Einwilligung in die Verarbeitung durch den Betrof 320

Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 8. Zum Meinungsstand ausführlich Wuermeling, Handelshemmnis Datenschutz, S. 111 ff. 322 Simitis, in: Büllesbach, Datenverkehr ohne Datenschutz?, 1999, S. 193. 323 Simitis, in: Büllesbach, Datenverkehr ohne Datenschutz?, 1999, S. 193 ff. 324 Simitis, in: Büllesbach, Datenverkehr ohne Datenschutz?, 1999, S. 202 ff. 325 Simitis, in: Büllesbach, Datenverkehr ohne Datenschutz?, 1999, S. 208 f. 326 Simitis, in: Büllesbach, Datenverkehr ohne Datenschutz?, 1999, S. 208. 327 Simitis, in: Büllesbach, Datenverkehr ohne Datenschutz?, 1999, S. 193. 328 Vgl. Art. 29-Datenschutzgruppe, Arbeitsunterlage: Übermittlung personenbezogener Daten an Drittländer Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU, WP 12, 24.07.1998, S.  5, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1998/wp12_de.pdf (zuletzt geprüft am 15.03.2015). 329 Art.  29-Datenschutzgruppe, Arbeitsunterlage: Übermittlung personenbezogener Daten an Drittländer Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU, WP 12, 24.07.1998, S. 6 f. 321

§ 6 Die bestehenden Regelungen in der EU und den USA 

101

fenen erfolgen und bei Direktmarketing müsse die betroffene Person die Möglichkeit haben, sich gegen die Datenverwendung zu entscheiden.330 Bei einer automatisierten Einzelentscheidung müsse der Betroffene u. a. „die dieser Entscheidung zugrunde liegende Logik“ erfahren.331 Neben den genannten inhaltlichen Mindestanforderungen hielt die Art. 29-Datenschutzgruppe „Vorschriften und Mittel zur Sicherung ihrer wirksamen Anwendung“ für notwendig.332 So müssten die Datenschutzgrundsätze gesetzlich verankert sein und eine externe Kontrolle durch eine unabhängige Stelle bestehen.333 Darüber hinaus sollte ein Datenschutzsystem eine gute Befolgungsrate gewährleisten, Betroffene bei Wahrnehmung ihrer Rechte unterstützen und eine angemessene Entschädigung für eine geschädigte Person vorsehen.334 Die Art. 29-Datenschutzgruppe wies jedoch auch darauf hin, dass „nicht starr auf bestimmte Mindestanforderungen gepocht werden“ sollte, sondern das Anforderungsspektrum von Fall zu Fall angepasst werden könne; ein wichtiger Faktor sei „das Ausmaß der Gefahren“, die für den Betroffen bestehen.335 Diese 1998 aufgestellten Kriterien scheinen sich für die Art. 29-Datenschutzgruppe bewährt zu haben. So werden sie in den Stellungnahmen der Art. 29-Datenschutzgruppe zur Angemessenheit des Datenschutzes in einem bestimmten Staat weiterhin angewandt.336 Selbst wenn bereits kurz nach Ende der Umsetzungsfrist der DSRL im Oktober 1998 und vor tatsächlicher Umsetzung durch eine Vielzahl der Mitgliedstaaten ein gewisser Grundkonsens über den notwendigen materiellen Inhalt des Angemessenheitskriteriums bestanden haben sollte und diese Anforderungen im Grundsatz bei der Bestimmung der Angemessenheit Berücksichtigung finden, sind weitere Faktoren zu berücksichtigen. 330 Art.  29-Datenschutzgruppe, Arbeitsunterlage: Übermittlung personenbezogener Daten an Drittländer Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU, WP 12, 24.07.1998, S. 7. 331 Art.  29-Datenschutzgruppe, Arbeitsunterlage: Übermittlung personenbezogener Daten an Drittländer Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU, WP 12, 24.07.1998, S. 7. 332 Art.  29-Datenschutzgruppe, Arbeitsunterlage: Übermittlung personenbezogener Daten an Drittländer Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU, WP 12, 24.07.1998, S. 5. 333 Art.  29-Datenschutzgruppe, Arbeitsunterlage: Übermittlung personenbezogener Daten an Drittländer Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU, WP 12, 24.07.1998, S. 7. 334 Art.  29-Datenschutzgruppe, Arbeitsunterlage: Übermittlung personenbezogener Daten an Drittländer Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU, WP 12, 24.07.1998, S. 7 f. 335 Art.  29-Datenschutzgruppe, Arbeitsunterlage: Übermittlung personenbezogener Daten an Drittländer Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU, WP 12, 24.07.1998, S. 5 f. 336 Siehe bspw. Art. 29-Datenschutzgruppe, Stellungnahme 6/2010 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten in der Republik Östlich des Uruguay, WP 177, 12.10.2010, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp177_de.pdf (zuletzt geprüft am 15.03.2015).

102

Teil 1: Datenfluss im internationalen Kontext

Das Datenschutzrecht wird durch Rechtsprechung und Literatur konkretisiert. Davon umfasst sind die bei der Bestimmung der Angemessenheit zu berücksichtigenden materiellen Anforderungen. Insbesondere die Rechtsprechung des EuGH spielt bei der Konkretisierung des Datenschutzrechts eine entscheidende Rolle. Der EuGH festigt mit seiner Rechtsprechung auch den bei der Bestimmung der Angemessenheit zu berücksichtigenden Kernbereich und stellt an ihn höhere Anforderungen als bei Inkrafttreten der DSRL erwartet werden konnte. So ist bspw. das Kriterium der unabhängigen Datenschutzaufsicht durch den EuGH konturiert worden und auch die Betroffenenrechte erfahren durch vom EuGH herausgearbeitete Grundsätze zur Möglichkeit der Löschung von Daten eine größere Reichweite.337 Zunehmende Bedeutung kommt dem Datenschutz durch die mit dem Vertrag vom Lissabon erreichte Rechtsverbindlichkeit der GRCh zu. Der Datenschutz stellt mit Art. 8 GRCh als eigenständiges Grundrecht EU Primärrecht dar und verfügt somit über entscheidende Bedeutung. Auch eine Einschränkung des Datenschutzrechts, wie es in der EU vorhanden ist, ist gem. Art. 52 I 1 GRCh nur möglich, wenn der „Wesensgehalt“ des Grundrechts geachtet wird. Dies muss somit auch gelten, wenn das EU Recht ein lediglich „angemessenes Datenschutzniveau“ im Drittland akzeptiert. Aus den genannten Gründen wäre es daher plausibel und zwingend, wenn das Kriterium der Angemessenheit als unbestimmter Rechtsbegriff umfassend überprüft und streng auf die Einhaltung des dargestellten Kernbestands der Schutzprinzipien geachtet würde. Ob dies jedoch stets der Fall ist oder ob weitere Aspekte, die nicht datenschutzrechtlich motiviert sind, bei der Bestimmung der Angemessenheit Berücksichtigung finden, bleibt zu klären. Bei der Bewertung, ob ein angemessenes Schutzniveau vorliegt, muss eine funktionale Betrachtungsweise vorgenommen werden.338 Das Schutzniveau müsste im qualitativen Sinne im Drittland vorhanden sein, nicht jedoch im quantitativen Sinne.339 Daher kann das Schutzniveau sowohl im Einzelfall aus auch insgesamt deutlich hinter dem Niveau in der EU zurückbleiben.340 Die Unbestimmtheit, die die DSRL in materieller Hinsicht aufweist, wird jedoch durch Verfahrensregelungen ausgeglichen, die verschiedenen Gremien wie der Art. 29-Datenschutzgruppe, den gemäß Art. 31 DSRL vertretenen Regierungen der Mitgliedstaaten sowie der Kommission ein Beteiligungsrecht einräumen.341 Bei der Beurteilung des Schutzniveaus stellt die DSRL nicht generell auf das Schutzniveau im Drittland ab, sondern beurteilt dieses nur in Bezug auf die Umstände, die bei „einer“ Datenübermittlung eine Rolle spielen bzw. als Abstraktion 337 Siehe dazu EuGH, Urt. v. 09.03.2010, Rs. C-518/07, Slg. 2010, I-1885 sowie Urt. v. 13.05.2014, Rs. C-131/12. 338 Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 15. 339 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 8. 340 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 25 Rn. 5 mit der Forderung, „keine zu hohen Erwartungen“ an die Schutzwirkung der Art. 25, 26 DSRl zu stellen. 341 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 8.

§ 6 Die bestehenden Regelungen in der EU und den USA 

103

in Bezug auf die Umstände bei einer „Kategorie von Datenübermittlungen“ relevant sind.342 Mit letzterem ist eine „Klasse ähnlicher Datenübermittlungen“, die ähnliche Themen oder Zwecke zum Gegenstand haben, gemeint.343 dd) Art. 25 III DSRL: Unterrichtung über nicht bestehendes angemessenes Schutzniveau Da die DSRL nicht genau festlegt, wann das Schutzniveau in einem Drittland als angemessen anzusehen ist, besteht die Gefahr, dass es bei der Bewertung dieser Voraussetzung zu Diskrepanzen in den verschiedenen Mitgliedstaaten kommt.344 Selbst bei einem gewissen Grundkonsens über den Kernbestand der Schutzprinzipien sind daher wegen der fehlenden formellen Voraussetzungen Abweichungen möglich. Auf Grund des innerhalb der Union garantierten unbehinderten Datenverkehrs (vgl. Art. 1 II DSRL) wäre es somit grundsätzlich denkbar, sich das Land als Exportland zu suchen, das die geringsten Anforderungen an die Angemessenheit des Schutzniveaus stellt.345 Daher verfügt die DSRL in Art.  25 III–VI über ein Verfahren, das eine harmonisierte Entscheidungspraxis garantieren soll und regelt in Art 25 IV bzw. VI DSRL, dass die Kommission für alle Mitgliedstaaten bindend feststellen kann, dass kein angemessenes Datenschutzniveau bzw. dass ein angemessenen Datenschutzniveau in einem Drittland besteht. Somit kann erreicht werden, dass der­ unbehinderte Datenverkehr nicht zu einer Schutzabsenkung führt, die Einheit der Gemeinschaft nach außen hin gewahrt bleibt und die Datenverarbeiter vergleichbare Wettbewerbsbedingungen vorfinden.346 Art. 25 III–VI haben somit im Gegensatz zu den materiellen Regelungen der Art. 25 I und II DSRL Verfahrensregelungen zum Gegenstand. Gemäß Art. 25 III DSRL unterrichten sich die Mitgliedstaaten und die Kommission untereinander „über die Fälle, in denen ihres Erachtens ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet“. Entscheidend für eine harmonisierte Entscheidungspraxis ist ein gegenseitiges Informieren, das sowohl umfassend als auch rechtzeitig zu sein hat.347 Ein lückenloses Funktionieren des gegenseitigen Informierens ist aber nur sichergestellt, wenn die Kontroll 342 Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 10; Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 9. 343 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 9; als Beispiele werden die Buchung von Verkehrsleistungen, Zwecke der Marktforschung oder Bonitätsbeurteilungen durch Banken genannt. 344 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 14. 345 Vgl. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 14. 346 Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 18. 347 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 15.

104

Teil 1: Datenfluss im internationalen Kontext

stellen i. S. d. Art. 28 DSRL von allen Fällen einer Datenübermittlung erfahren.348 Unter „Fällen“ im Sinne des Art 25 III DSRL sind die Übermittlungen gemeint, die sich regelmäßig wiederholen sowie konkret bevorstehen.349 Entscheidend ist, dass es bei den Fällen auf das angemessene Schutzniveau überhaupt ankommt, es sich somit nicht um eine Übermittlung handelt, die auf einer der Ausnahmen des Art. 26 I DSRL gestützt werden kann.350 Dafür sprechen auch praktische Erwägungen, da sonst die mitteilungspflichtigen Fälle „ins Uferlose“ führen würden.351 Sollte eine Übermittlung jedoch nur auf Grund „ausreichender Garantien“ gem. Art. 26 III DSRL erfolgen können, ist ein entsprechendes Mitteilungsverfahren in den Art 26 II und IV DSRL ausdrücklich vorgesehen.352 Die Kommission ist zunächst Adressat der Mitteilungen durch die Mitgliedstaaten, da sie als „Herrin“ des weiteren Verfahrens angesehen werden kann, jedoch besteht ihre Aufgabe – wie am Wortlaut der Vorschrift zu erkennen ist – auch darin, die Mitgliedstaaten gleichfalls zu benachrichtigen, wenn Institutionen bzw. Organe der EU Daten in Drittländer übermitteln.353 Die Unterrichtung hat die Kenntnis der anderen Mitgliedstaaten über den Fall zur Folge; unmittelbare Pflichten für die Mitgliedstaaten ergeben sich jedoch erst durch die formale Feststellung der Kommission nach Art. 25 IV DSRL, dass kein angemessenes Schutzniveau in dem jeweiligen Drittland besteht.354 Vor dieser Feststellung durch die Kommission müssen die Mitgliedstaaten lediglich prüfen, ob in ihrem Hoheitsgebiet ähnliche „Fälle“ vorliegen und somit ebenfalls die Kommission und die übrigen Mitgliedstaaten gem. Art. 25 III DSRL unterrichten.355 Zudem muss jeder Mitgliedstaat, der „Fälle“ im Sinne dieser Vorschrift feststellt, weiterhin die den Art. 25 I DSRL umsetzenden einzelstaatlichen Vorschriften anwenden und darf nicht während des Verfahrens der Absätze IV bis VI die „Gewährleistungspflicht“ nach Art. 1 I DSRL suspendieren.356

348 Siehe Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 25 Rn. 19 mit weiteren Ausführungen, u. a. sei dies auf Grund der umfangreichen Ausnahmen wie Art.  18 II DSRL nicht­ gewährleistet. 349 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 15. 350 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 15. 351 So Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 19 mit weiteren Ausführungen. 352 Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 19. 353 Vgl. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 16 f. mit weiteren Ausführungen zur Pflicht der Mitgliedstaaten, dafür zu sorgen, stets ausreichend unterrichtet zu sein; Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13.  EL Mai 2009, Art.  25 DSRL Rn. 19, der darauf hinweist, dass die Initiative „in der Regel“ von den Mitgliedstaaten ausgeht. 354 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 18; Brühann, in: Grabitz/Hilf/ Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 19. 355 Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 19; Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 18. 356 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 18.

§ 6 Die bestehenden Regelungen in der EU und den USA 

105

ee) Art. 25 IV DSRL: Reaktion der Mitgliedstaaten bei fehlendem angemessenem Schutzniveau Ist eine Unterrichtung gem. § 25 III DSRL erfolgt, muss die Kommission für die „Fälle“ eine „gemeinschaftliche Entscheidung“ herbeiführen, wobei sie nicht auf eine Unterrichtung warten muss und das Verfahren auch selbst initiieren kann.357 Das dabei einzuhaltende Verfahren ist das Ausschussverfahren gem. Art.  31 II DSRL, an dem Vertreter der Mitgliedstaaten unter Vorsitz eines Vertreters der Kommission teilnehmen.358 Zudem muss die Kommission noch eine Stellungnahme der Art. 29-Datenschutzgruppe einholen.359 Aus diesem Grund kann die Kommission die „Fälle“ verbinden, erweitern oder verallgemeinern.360 Sollte in dem Verfahren nach Art. 31 II DSRL festgestellt worden sein, „daß ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 aufweist“, sind die Mitgliedstaaten dazu verpflichtet, „die erforderlichen Maßnahmen“ zu treffen, „damit keine gleichartige Datenübermittlung“ erfolgt. Die Feststellung der Kommission ist für die Mitgliedstaaten verbindlich, wobei sich die Mitgliedstaaten auf die „Fälle“ – also einzelne Bereiche, Sektoren oder Übermittlungstypen – beschränken können und nicht eine Datenübermittlung in das Drittland vollständig unterbinden müssen.361 Unter „gleichartig“ ist eine Übermittlung zu verstehen, „wenn der Sachverhalt dem Anlaßsachverhalt, der Gegenstand des Verfahrens ist, entspricht“.362 Gefordert wird somit auch ein präventives Tätigwerden.363 Bereits erfolgte Datenübermittlungen müssen nach der Feststellung eines nicht angemessenen Schutzniveaus zwar nicht zwingend rückgängig gemacht werden, falls jedoch der Verantwortliche es unterlässt, eine mögliche und zumutbare Rückabwicklung vorzunehmen, ist an eine Haftung gem. Art. 23 DSRL zu denken.364 ff) Art. 25 V DSRL: Reaktion der Kommission bei fehlendem angemessenem Schutzniveau Sollte in dem Verfahren des Art. 25 IV festgestellt worden sein, dass kein „angemessenes Schutzniveau“ im Drittland vorliegt, leitet die Kommission „[z]um 357

Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 19. Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn.  20; für eine kompakte Darstellung des Verfahrens siehe Siemen, Datenschutz als euro­ päisches Grundrecht, S. 298 und Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 1. 359 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 19; vgl. Art. 30 I lit. b DSRL. 360 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 19. 361 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 20 mit weiteren Ausführungen dazu; siehe auch Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 20 mit einer Aufzählung von Beispielen. 362 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 21 mit Beispielen dazu. 363 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 25 Rn. 20. 364 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 25 Rn. 21. 358

106

Teil 1: Datenfluss im internationalen Kontext

geeigneten Zeitpunkt […] Verhandlungen ein, um Abhilfe für die gemäß Absatz 4 festgestellte Lage zu schaffen“. Mit dieser Regelung wird die Intention der DSRL verdeutlicht, dass die Regelungen über den Datenfluss im internationalen Kontext nicht langfristig „im Sinne einer Abschottung“ zu verstehen sind, sondern auftretende Probleme „produktiv im Sinne des Datenschutzes“ gelöst werden sollen.365 Eine Abhilfe der Situation steht im Interesse sowohl der Mitgliedstaaten als auch der EU, da oftmals beträchtliche Wirtschaftsinteressen betroffen sind und bei einem nicht möglichen Datenfluss diese Interessen konterkariert werden könnten. Da es zur Verwirklichung verschiedenste Möglichkeiten geben kann, verzichtet die DSRL auf die Nennung von Stellen, mit denen die Verhandlungen geführt werden sollen sowie auf die Nennung von Themen der Verhandlungen und deren Durchführung.366 Einzig entscheidend ist die Zielsetzung „Abhilfe für die […] festgestellte Lage zu schaffen“, was in der Konsequenz entweder die Verbesserung des Schutzniveaus in der Weise bedeutet, dass es als „angemessen“ angesehen werden kann, oder, dass ein Datenfluss nicht mehr erfolgen kann.367 Der Zeitpunkt für die Aufnahme von Verhandlungen wird durch die Kommission bestimmt.368 Als Verhandlungspartner kommen grundsätzlich die Stellen in Betracht, die für die Herstellung des Schutzniveaus verantwortlich sind, zudem aber auch die Verantwortlichen für die jeweiligen Datenverarbeitungen.369 Als Maßnahmen zur Verbesserung des Schutzniveaus kommen – unterhalb der Gesetzgebung – die Einführung von Verhaltensregelungen sowie auch Entscheidungen von Aufsichtsbehörden in Betracht, wobei die Kommission materiell-rechtlich an die DSRL sowie die Durchführungsmaßnahmen gebunden ist.370 Möglich ist zudem eine Verdeutlichung der Rechtslage oder auch eine neue Durchführungsmaßnahme in Aussicht zu stellen sowie auch ein Abkommen mit einem Drittstaat, das die­ Herstellung oder Garantie bestimmter Schutzvorkehrungen beinhaltet und somit – wie Art. 25 VI DSRL vorsieht – eine Beurteilung des Schutzniveaus als angemessen ermöglicht.371

365 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 23; siehe dazu auch Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 21. 366 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 23. 367 Dammann/Simitis, EG-Datenschutzrichtlinie, Art.  25 Rn.  23; dazu auch Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 21. 368 Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 21. 369 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 23. 370 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 23. 371 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 23 f.

§ 6 Die bestehenden Regelungen in der EU und den USA 

107

gg) Art. 25 VI DSRL: Möglichkeit der Feststellung eines angemessenen Schutzniveaus Die Vorschrift des Art.  25 VI DSRL regelt, dass die Kommission „nach dem Verfahren des Artikels 31 Absatz 2 feststellen [kann], daß ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen, die es insbesondere infolge der Verhandlung gemäß Absatz 5 eingegangen ist, hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.“ Diese Regelung ist „komplementär“ zur Regelung des Art. 25 IV DSRL ausgestaltet und das Verfahren mit Verweis auf Art. 31 II DSRL ebenso geregelt.372 Die Mitgliedstaaten müssen gem. Art. 25 VI 2 DSRL „die aufgrund der Feststellung der Kommission gebotenen Maßnahmen“ treffen. Das Verfahren kann die Kommission jederzeit initiieren, wobei der Impuls dafür sowohl von dem jeweiligen Drittland, Verantwortlichen für die Datenverarbeitung oder auch der Artikel 29-Datenschutzgruppe ausgehen kann.373 Bei der Entscheidung ist es möglich, den Umfang der Übermittlungen zu begrenzen oder auch die Feststellung mit Nebenbestimmungen zu versehen, welche die Übermittlung bspw. an Fristen oder an Mitteilungen an die Kontrollstelle knüpfen.374 Entscheidend für die Anerkennung des angemessenen Schutzniveaus sind nicht die Instrumentarien eines Drittlandes in rechtlicher oder organisatorischer Hinsicht, sondern die Art, wie die Rechte und Freiheiten des Individuums tatsächlich realisiert werden; inhaltlich gesehen ist aber kein anderer Maßstab als der in Art. 25 I und II DSRL normierte gemeint.375 Sollte ein Mitgliedstaat bilaterale Verträge mit einem Drittland schließen, können diese Verträge kein „angemessenes Schutzniveau“ begründen, können aber eine Vorbildfunktion für die Verträge haben, die die Kommission aushandeln kann.376 In Bezug auf die angesprochenen internationalen Verpflichtungen ist zu beachten, dass ein angemessenes Schutzniveau nur dann bestehen kann, wenn die Rechtsposition des Betroffenen auch garantiert – also vom Grundgedanken her nicht disponibel – ist und die eingegangene internationale Verpflichtung auch in innerstaatliches Recht umgesetzt wurde.377 372

Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 25. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 25; Brühann, in: Grabitz/Hilf/ Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 22. 374 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 26 f. 375 Dammann/Simitis, EG-Datenschutzrichtlinie, Art.  25 Rn.  28; siehe auch Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 22. 376 Dammann/Simitis, EG-Datenschutzrichtlinie, Art.  25 Rn.  29 mit weiteren Ausführungen; ähnlich auch Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 22; nach Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 25 Rn. 22 untersage die DSRL den Mitgliedstaaten hingegen nicht, sich um eine zwischenstaatliche Lösung zu bemühen. 377 Vgl. Dammann/Simitis, EG-Datenschutzrichtlinie, Art.  25 Rn.  28; Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art.  25 Rn.  17 u. a. mit Nennung der Datenschutzkonvention des Europa­rates als internationale Verpflichtung. 373

108

Teil 1: Datenfluss im internationalen Kontext

Fraglich ist, inwiefern sich aus den Feststellungen nach dem Verfahren des Art. 25 VI Verpflichtungen für die Mitgliedstaaten ergeben. Zu einen könnte an die Bejahung eines angemessenen Schutzniveaus durch das Verfahren des Art. 25 VI DSRL – im Gegensatz zu Art. 25 IV DSRL – keine bestimmte Verpflichtung für die Mitgliedstaaten geknüpft sein; Folge wäre lediglich, dass im Datenschutzniveau des Drittlands kein Übermittlungshindernis erkannt werden könnte.378 Eine Verpflichtung zur Zulassung des Datenflusses bestünde – anders als beim Datenfluss innerhalb der EU379 – somit nicht.380 Jedoch ist das Prinzip des „effet utile“ zu beachten; mit der Feststellung sind die zwingenden Voraussetzungen des Art. 25 I erfüllt und damit kein Raum mehr für eine Verhinderung des Datenflusses in das entsprechende Drittland.381 Auf Grund der „Doppelschranke“ ist mit der Entscheidung der Kommission jedoch noch nichts über die grundsätzliche Zulässigkeit der Maßnahme gesagt, da auch die sonstigen von der DSRL normierten Voraussetzungen für eine Verarbeitung vor einer Übermittlung stets erfüllt sein müssen.382 Sollten diese Voraussetzungen jedoch erfüllt sein, ist eine Übermittlung zwingend zu erlauben.383 Fraglich ist, wie in der Praxis die Bestimmung, ob in einem Drittland ein angemessenes Datenschutzniveau vorliegt, umgesetzt wird und inwiefern der Kernbereich der Schutzprinzipien tatsächlich Berücksichtigung findet. Ursprünglich vorgesehen war eine solche zwingende Berücksichtigung des Kernbereichs der Schutzprinzipien. Sie wird teilweise auch eingehalten. Wie aufzuzeigen sein wird, hat sich das Kriterium der Angemessenheit jedoch gewandelt und eine Einhaltung des Kernbereichs der Schutzprinzipien wird nicht konsequent durchgesetzt bzw. kann nicht immer konsequent durchgesetzt werden. (1) Bisher ergangene Angemessenheitsentscheidungen Angemessenheitsentscheidungen hat die EU bisher für Andorra, Argentinien, Australien, Kanada, die Schweiz, die Färöer Inseln, Guernsey, Israel, die Isle of Man, Jersey, Neuseeland und Uruguay erlassen.384 Datenübermittlungen in diese 378

Dammann/Simitis, EG-Datenschutzrichtlinie, Art.  25 Rn.  30; sowie auch Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 23, der als Maßnahme zudem die Information von Kontrollstelle und Verantwortlichen nennt. 379 Siehe Art. 1 II DSRL. 380 Dammann/Simitis, EG-Datenschutzrichtlinie, Art.  25 Rn.  30 mit Ausführungen zum inner­staatlichen Recht der Mitgliedstaaten. 381 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 25 Rn. 24. 382 Vgl. Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 25 DSRL Rn. 23. 383 Siehe zur Bindung mit Bezug zur Safe Harbor-Entscheidung Spies, ZD 2013, 535 (537). 384 Siehe für eine aktuelle Liste der Staaten und den Dokumenten über das Verfahren European Commission, Commission decisions on the adequacy of the protection of personal data in third countries, http://ec.europa.eu/justice/data-protection/document/international-transfers/ adequacy (zuletzt geprüft am 15.03.2015).

§ 6 Die bestehenden Regelungen in der EU und den USA 

109

Staaten sind ohne Einschränkungen erlaubt. Die Datenschutzgesetze dieser Staaten verfügen insbesondere deshalb über einen Datenschutzstandard, der zumindest den Kernbestand der Schutzprinzipien der DSRL beinhaltet, da eine weitgehende Ähnlichkeit mit den EU-Regelungen besteht. Teilweise wurde eine Angemessenheitsentscheidung erst möglich, da die Staaten ihre Datenschutzgesetze an die DSRL anpassten.385 Gerade wenn eine Anpassung an die DSRL erfolgt, ist davon auszugehen, dass der Kernbestand der Schutzprinzipien tatsächlich besteht. Insgesamt haben mittlerweile mehr als 30 Staaten außerhalb der EU nach Inkrafttreten der DSRL Datenschutzgesetze, die mit der EU Regelung vergleichbar sind, verabschiedet.386 Das Kriterium der Angemessenheit ist somit zum einen als ein Kriterium anzusehen, mit dem die EU äußerst wirkungsvoll die Datenschutzgesetze in anderen Staaten beeinflusst.387 Durch der DSRL ähnliche Gesetze in Drittstaaten werden die ursprünglich vorgesehenen inhaltlichen Anforderungen an das Kriterium der Angemessenheit erfüllt. Fraglich ist jedoch, welche Bedeutung dem Kriterium der Angemessenheit zukommt, wenn die Datenschutzgesetze im Drittland keine Ähnlichkeit mit der DSRL aufweisen. (2) Safe Harbor-Vereinbarung Für die USA konnte das von der DSRL geforderte angemessene Datenschutzniveau auf Grund der noch detailliert aufzuzeigenden Unterschiede, Datenschutz zu regeln, nicht grundsätzlich festgestellt werden.388 Somit wurde nach Alternativen gesucht, Datenflüsse trotz des fehlenden angemessenen Schutzniveaus in den USA dennoch zu ermöglichen. Im Jahr 2000 schlossen die USA und die EU daher nach mehrjährigen Verhandlungen die sog. Safe Harbor-Vereinbarung, die Voraussetzungen für Datenübermittlungen näher bestimmt:389 Die Safe Harbor-­ Vereinbarung enthält u. a. sieben Datenschutzgrundsätze, die näher ausgeführt 385 Siehe dazu bspw. Art. 29-Datenschutzgruppe, Stellungnahme 6/2010 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten in der Republik Östlich des Uruguay, WP 177, 12.10.2010, S. 4; das relevante Datenschutzgesetz Uruguays nimmt explizit auf die Anpassung an die DSRL Bezug. 386 Bach/Newman, Journal of European Public Policy 14 (2007), 827 (834); Bradford, Northwestern University Law Review 107 (2012), 1 (23). 387 Siehe dazu Bradford, Northwestern University Law Review 107 (2012), 1 (22 ff.). 388 Siehe für erste Diskussionen, ob eine solche Angemessenheitentscheidung für die USA möglich ist, bspw. aus der Literatur Murray, Fordham Int’l L. J. 21 (1997–1998), 932. 389 Entscheidung der Kommission vom 26.  Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und diesbezüglich „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, ABl. L 215 v. 25.08.2000, S.  7 ff.; für eine Abfolge der Verhandlungen siehe die Zusammenfassung bei Greer, RDV 2011, 267 (268 f.) und Regan, Journal of Social Issues 59 (2003), 263 (273 ff.); sowie ausführlich Heisenberg, Negotiating privacy, S. 73 ff.; für einen Überblick sowie Kritik siehe m. umfangr. Nachw. Simi­tis, in: Simitis, BDSG, 8. Aufl. 2014, § 4b Rn. 70 ff.; positiv zu Safe Harbor bspw. Greer, RDV 2011, 267.

110

Teil 1: Datenfluss im internationalen Kontext

werden sowie häufig gestellte Fragen (FAQ), die die Modalitäten von Safe Harbor näher erläutern. Die Grundsätze sowie die in den FAQs gestellten Anforderungen sind von teilnehmenden Unternehmen einzuhalten. Die Grundsätze umfassen eine Informationspflicht gegenüber Betroffenen über die erhobenen Daten (Notice) sowie eine Wahlmöglichkeit der Betroffenen, weitergehender Datennutzung zu widersprechen (Choice). Eine Weitergabe der Daten und die Wahlmöglichkeit sind zudem den Betroffenen mitzuteilen (Onward Transfer). Außerdem müssen die ­ Unternehmen angemessene Sicherheitsvorkehrungen zum Schutz der Daten treffen (Security). Darüber hinaus müssen Maßnahmen zur Datenintegrität wie Zweckdienlichkeit und Vollständigkeit sichergestellt werden (Data Integrity). Hinzu kommen Zugangsrechte für die Betroffenen mit Rechten wie der Löschung oder der Berichtigung der erhobenen Daten (Access). Schließlich muss in Konfliktfällen die Möglichkeit, eine Beschwerde einlegen zu können und Entschädigungen zu erhalten, gegeben sein (Enforcement). Kern der Safe Harbor-Vereinbarung ist die Selbstverpflichtung von amerikanischen Unternehmen zur Einhaltung der genannten Datenschutzgrundsätze, die bei dem US-Handelsministerium oder einer von diesem benannten Stelle auf freiwilliger Basis zu erfolgen hat und nach der Selbstzertifizierung verbindlich wird.390 Dies hat zur Folge, dass für jedes Unternehmen mit Sitz in den USA, das sich für eine Safe Harbor-Zertifizierung entscheidet, ein angemessenes Schutzniveau angenommen wird.391 Somit ist der Datenfluss an diese Unternehmen grundsätzlich ohne zusätzliche Voraussetzungen möglich. Das Handelsministerium oder eine von ihr benannte Stelle führt eine im Internet zugängliche Liste der Unternehmen, die sich an die Grundsätze der Safe Harbor-Vereinbarung halten.392 Nach der Selbstzertifizierung ist eine „anlassunabhängige Kontrolle“ mit anschließender Erklärung über die Einhaltung der Grundsätze mindestens einmal im Jahr­ erforderlich und kann entweder durch das Unternehmen selbst oder von einer externen Stelle durchgeführt werden.393 Beschwerden über die Nichteinhaltung der Grundsätze sind bei unabhängigen Schiedsstellen möglich,394 und auch die Federal Trade Commission (FTC) kann zudem u. a. Beschwerden prüfen, Maßnahmen einleiten oder Schadensersatz zusprechen.395 Nicht in den Aufsichtsbereich der FTC fallen bestimmte Sektoren wie bspw. der Luftverkehr.396 Waren im Jahr 2000 390

Siehe zu den Voraussetzungen genauer FAQ Nr. 6.; dazu auch Klug, RDV 2000, 212 (216). Greer, RDV 2011, 267 (267); vgl. Gola/Klug/Körffer/Schomerus, BDSG § 4b Rn. 15. 392 FAQ Nr. 6.; Klug, RDV 2000, 212 (216); die aktuelle Liste ist abrufbar unter http://safe harbor.export.gov/list.aspx (zuletzt geprüft am 15.03.2015). 393 Zu dem Verfahren siehe FAQ Nr. 7. 394 Für eine Auflistung der Stellen siehe die Webseite des BfDI unter http://www.bfdi.bund. de/DE/EuropaUndInternationales/Art29Gruppe/Artikel/SafeHarbor.html (zuletzt geprüft am 15.03.2015). 395 FAQ Nr. 7; sowie die Anhänge I und III zu den Datenschutzgrundsätzen des Safe Harbor Abkommens; neben der FTC wird – je nach Zuständigkeit – auch das US-Verkehrsministerium genannt. 396 Siehe die Ausnahmeregelungen in Anhang III. 391

§ 6 Die bestehenden Regelungen in der EU und den USA 

111

lediglich vier Unternehmen Safe Harbor zertifiziert, haben sich bis ins Jahr 2011 fast 2500 Unternehmen verschiedener Größe aus mehr als 50 Branchen zur Einhaltung der aufgestellten Grundsätze verpflichtet.397 Ende September 2013 betrug die Zahl der teilnehmenden Unternehmen bereits 3246.398 Auch wenn ein angemessenes Datenschutzniveau für die USA nicht generell festgestellt werden konnte, wurde mit der Safe Harbor-Regelung  – unabhängig von den in Art. 26 DSRL geregelten Ausnahmen – eine Lösung zur Ermöglichung des Datenflusses gefunden. Diese Lösungsfindung spricht für eine gewisse Flexibilität des Kriteriums der Angemessenheit, kann jedoch die Einhaltung des Kernbestands der Schutzprinzipien nicht garantieren. Seit ersten Initiativen zu einer Safe Harbor-Vereinbarung war das Programm Gegenstand fortlaufender Kritik.399 Eine klare Stellungnahme bezog bspw. auch der „Düsseldorfer Kreis“ als Gremium der oberste Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich.400 Mit ihrer Stellungnahme werden „deutlich höhere Anforderungen“ an die Übermittlung auf der Grundlage der Safe Harbor-Vereinbarung gestellt als bis dahin üblich.401 So trifft bspw. Daten exportierende Unternehmen die Pflicht, sich nicht allein auf die Behauptung des Importeurs einer Safe Harbor-Zertifizierung zu verlassen, sondern, einen Nachweis zu verlangen, dass die Zertifizierung tatsächlich vorliegt und die Anforderungen eingehalten werden.402 Mindestanforderungen sind die Gültigkeit des Zertifikats sowie ein Nachweis über die Informationspflichten nach Safe Harbor.403 Diese Mindestprüfung ist von den datenexportierenden Unternehmen zu dokumentieren und 397

So Greer, RDV 2011, 267 (269). European Commission, Press Release: Restoring Trust in EU-US data flows – Frequently Asked Questions, MEMO/13/1059, 27.11.2013, http://europa.eu/rapid/press-release_MEMO13-1059_de.htm (zuletzt geprüft am 15.03.2015). 399 Siehe bereits die ausführlichen und kritischen Analysen der Art. 29-Datenschutzgruppe vor Inkrafttreten: Art.  29-Datenschutzgruppe, Stellungnahme 7/99 zum Datenschutzniveau, das die Grundsätze des sicheren Hafens in ihrer veröffentlichten Form, die dazu gehörigen häufig gestellten Fragen (FAQ) und andere vom US-Handelsministerium am 15./16. November 1999 veröffentlichte Dokumente gewährleisten, WP  27, 03.12.1999, http://ec.europa.eu/ justice/policies/privacy/docs/wpdocs/1999/wp27de.pdf (zuletzt geprüft am 15.03.2015) sowie Art.  29-Datenschutzgruppe, Stellungnahme 4/2000 über das Datenschutzniveau, das die Grundsätze des sicheren Hafens bieten, WP  32, 16.05.2000, http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/2000/wp32de.pdf (zuletzt geprüft am 15.03.2015). 400 Düsseldorfer Kreis, Beschluss des Düsseldorfer Kreises am 28./29. April 2010 – Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe Harbor-Abkommen durch das Daten exportierende Unternehmen, 28./29.04.2010, http://www.bfdi.bund.de/SharedDocs/Publi kationen/Entschliessungssammlung/DuesseldorferKreis/290410_SafeHarbor.html?nn=409242 (zuletzt geprüft am 15.03.2015); Zusammenfassung bei Wybitul/Patzak, RDV 2011, 11 (14). 401 So Wybitul/Patzak, RDV 2011, 11 (14). 402 Düsseldorfer Kreis, Beschluss des Düsseldorfer Kreises am 28./29. April 2010, 28./29.04.2010. 403 Düsseldorfer Kreis, Beschluss des Düsseldorfer Kreises am 28./29. April 2010, 28./29.04.2010; Wybitul/Patzak, RDV 2011, 11 (14) sprechen von einer Gültigkeit von sieben Jahren. 398

112

Teil 1: Datenfluss im internationalen Kontext

auf Nachfrage der Aufsichtsbehörden nachzuweisen.404 Bei Zweifeln sollte auf die verbindlichen Unternehmensregelungen hingewiesen werden und die Aufsichtsbehörde informiert werden.405 Nach den Enthüllungen des Whistleblowers Edward Snowden über die Abhör­ aktionen des US Geheimdienstes NSA kamen abermals Kritik an Safe Harbor und Forderungen nach Überprüfung oder gar Kündigung der Safe Harbor-Vereinbarung auf, da auch Safe Harbor zertifizierte Unternehmen wie Google oder Facebook Daten an die NSA lieferten und nicht klar war, inwiefern Geheimdienste Zugriff auf Daten von Bürgern haben.406 Auch die EU-Kommission äußerte sich in diesem Zusammenhang neben an­ deren Bereichen zur Safe Harbor-Vereinbarung und machte 13 Vorschläge, um die Funktionsweise von Safe Harbor zu verbessern:407 Demnach sollten alle selbstzertifizierten Unternehmen ihre Datenschutzbestimmungen veröffentlichen, in diesen einen Link zu den auf der Webseite des US Handelsministeriums veröffentlichten „momentan zertifizierten Unternehmen“ haben und zudem die Datenschutzbestimmungen von Subunternehmern wie Cloud Computing-Anbietern angeben. Zudem sollten auf der Webseite des US Handelsministeriums die Unternehmen angegeben werden, die momentan über keine gültige Safe Harbor-Zertifizierung verfügen. Des Weiteren sollten die Datenschutzbestimmungen der Unternehmen über Links zu den Streitbeilegungsstellen verfügen. Diese Streitbeilegungsstellen sollten verfügbar sein und durch das Handelsministerium systematischer kontrolliert werden. Außerdem sollte nach Zertifikation und dessen Erneuerung ein Teil der Unternehmen von Amts wegen überprüft werden und im Fall von Auffälligkeiten eine erneute Überprüfung nach einem Jahr stattfinden. Bei Zweifeln über die Einhaltung der Bestimmungen oder angehenden Beschwerden sollten zudem die zuständigen Datenschutzbehörden in der EU vom Handelsministerium informiert werden. Darüber hinaus sollten auch falsche Behauptungen über eine Safe Harbor-Zertifizierung weiterhin untersucht werden. Außerdem sollten die Unternehmen in ihren Datenschutzbestimmungen darauf hinweisen, dass sie gesetzlich verpflichtet sein können, bestimmte Daten, bspw. aus Gründen der nationalen Sicherheit, an Sicherheitsbehörden herauszugeben. Schließlich sollten diese Sicherheitsausnahmen aber nur angewandt werden, wenn dies unbedingt notwendig und verhältnismäßig ist. 404 Düsseldorfer Kreis, Beschluss des Düsseldorfer Kreises am 28./29. April 2010, 28./29.04.2010. 405 Düsseldorfer Kreis, Beschluss des Düsseldorfer Kreises am 28./29. April 2010, 28./29.04.2010; siehe zu weiterer Kritik und Erwiderungen darauf mit „Stärken von Safe­ Harbor“ Greer, RDV 2011, 267 (269 ff.). 406 Siehe dazu bspw. Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2013, Pressemitteilung Datenschutzkonferenz: Geheimdienste gefährden massiv den Datenverkehr zwischen Deutschland und außereuropäischen Staaten, 24.07.2013, www.bfdi.bund. de/DE/Home/homepage_Kurzmeldungen2013/PMDerDSK_SafeHarbor.html (zuletzt geprüft am 15.03.2015). 407 Siehe dazu und zum Folgenden European Commission, Press Release: Restoring Trust in EU-US data flows – Frequently Asked Questions, MEMO/13/1059, 27.11.2013.

§ 6 Die bestehenden Regelungen in der EU und den USA 

113

Trotz fortdauernder Kritik ist die Safe Harbor-Vereinbarung ein wirtschaftlich bedeutendes Instrumentarium, das – vor allem nach der neuesten Initiative der EUKommission – zunächst weiterhin Geltung beansprucht.408 Aus der fortdauernden Kritik an der Safe Harbor-Regelung folgt die Frage nach dem tatsächlichen Gehalt des Kriteriums der Angemessenheit. Neben der Möglichkeit einer engmaschigen Prüfung für einen einzelnen Staat anhand der Kriterien der Art. 29-Datenschutzgruppe im Fall einer Entscheidung nach Art. 25 VI DSRL scheint das Kriterium sich in seiner tatsächlichen Anwendung gewandelt zu haben und – entgegen der ursprünglichen Intention – mittlerweile in der Rechtsanwendung zu ermöglichen, auf weniger strengere Garantien, die den Kernbereich der Schutzprinzipien nicht vollumfänglich zu umfassen scheinen, abzustellen. Dies führt unter Umständen zu einer lediglich „formellen Angemessenheit“. Diese ist jedoch für das Erfordernis einer Datenübermittlung in ein Drittland ausreichend. Das Kriterium der Angemessenheit ermöglicht somit mittlerweile eine flexible Reaktion auf unterschiedliche Situationen, in denen eine Datenübermittlung in ein Drittland in Frage steht. Das Kriterium scheint in seinem Gehalt vom jeweiligen Verhandlungspartner der EU abhängig zu sein. So kann der Eindruck entstehen, dass gerade im Zusammenhang mit Datenflüssen in die USA aufgrund wirtschaftlicher Interessen an das Kriterium der Angemessenheit geringere Anforderungen gestellt werden als bei anderen Staaten. Es ist jedoch fraglich, ob eine solche Vorgehensweise auch von der Rechtsprechung des EuGH mitgetragen werden wird, in der das Grundrecht auf Datenschutz gem. Art. 8 GRCh immer mehr Beachtung und inhaltliche Konturierung erfährt.409 Wie bereits die fortdauernde Kritik an der Safe Harbor-Regelung verdeutlicht, besteht kein umfängliches Vertrauen in eine Angemessenheit, die durch eine Safe Harbor-Selbstzertifizierung erreicht wird. Somit besteht die Gefahr, wie bereits in der Stellungnahme des Düsseldorfer Kreises angedeutet,410 dass die Angemessenheit immer weniger akzeptiert wird und stattdessen eigene Wertungen von Akteuren wie den nationalen Datenschutzbehörden an die Stelle einer von der EU getroffenen Entscheidung gesetzt werden.411 Sollte diese Haltung zunehmen, würde die Bedeutung des Kriteriums der Angemessenheit schwinden. Der EuGH wird sich mit dieser bzw. ähnlicher Frage mit Bezug zu der Safe Harbor-Regelung zu beschäftigen haben. Am 25. Juli 2013 legte der High Court of Ireland dem EuGH folgende Fragen zur Vorabentscheidung gem. Art. 267 AEUV vor:412 408

Siehe zu der Safe Harbor-Vereinbarung auch unten S. 268 ff. So zuletzt EuGH, Urt. v. 07.04.2014, verb. Rs. C-293/12 u. C-594/12, sowie Urt. v. 13.05.2014, Rs. C-131/12. 410 Düsseldorfer Kreis, Beschluss des Düsseldorfer Kreises am 28./29. April 2010, 28./29.04.2010. 411 Vgl. dazu Voigt, PinG 2014, 255 (256). 412 Siehe dazu und zum Folgenden Vorabentscheidungsersuchen des High Court of Ireland, eingereicht am 25.07.2014 – Maximilian Schrems/Data Protection Commissioner, Rs. C-362/14. 409

114

Teil 1: Datenfluss im internationalen Kontext

„Ist ein unabhängiger Amtsträger, der von Rechts wegen mit der Handhabung und der Durchsetzung von Rechtsvorschriften über den Datenschutz betraut ist, bei der Prüfung einer bei ihm eingelegten Beschwerde, dass personenbezogene Daten in ein Drittland (im vorliegenden Fall die Vereinigten Staaten von Amerika) übermittelt würden, dessen Recht und Praxis keinen angemessenen Schutz der betroffen Personen gewährleisten, im Hinblick auf Art. 7, Art. 8 und Art. 47 der Charta der Grundrechte der Europäischen Union […], unbeschadet der Bestimmungen von Art. 25 Abs. 6 der [DSRL], absolut an die gegenteilige Feststellung der Gemeinschaft in der [Safe Harbor-Entscheidung] der Europäischen Union vom 26. Juli 2000 gebunden? Oder kann und/oder muss der Amtsträger stattdessen im Licht tatsächlicher Entwicklungen, die seit der erstmaligen Veröffentlichung dieser Entscheidung der Kommission eingetreten sind, eigene Ermittlungen in dieser Sache anstellen?“

Der EuGH sollte eine solche Bindung der nationalen Aufsichtsbehörden an die Entscheidungen der Kommission bejahen und ihnen keinen eigenen Entscheidungsspielraum zubilligen. Eine fehlende Bindung würde es den nationalen Aufsichtsbehörden nämlich erlauben, die Safe Harbor-Grundsätze unterschiedlich zu handhaben, was in der Konsequenz dazu führen würde, dass in manchen Mitgliedstaaten die Datenübermittlung auf dieser Grundlage erlaubt, in anderen verboten wäre.413 Dies würde generell dem Bestreben der EU entgegentreten, in Europa ein einheitliches Datenschutzrecht zu schaffen und zudem den einheitlichen Binnenmarkt schwächen. Zwar erlaubt Art. 3 I der Safe Harbor-Regelung eine Aussetzung der Übermittlung an einen bestimmten Empfänger, jedoch nur im konkreten Einzelfall bei Anhaltspunkten für ein Nichtbefolgen der Safe Harbor-Grundsätze und nicht als allgemeine Befugnis zur Aussetzung des Datenflusses in die USA.414 An das Kriterium der Angemessenheit sollten daher keine überhöhten Erwartungen gestellt werden. Es stellt mittlerweile einen Funktionsbegriff dar, der für die Praxis handhabbar sein muss. Das Kriterium ist einerseits klar umrissen, da grundsätzlich anerkannt ist, welche Elemente als Kernbestand zu einem angemessenen Datenschutz gehören sollten und zu berücksichtigen sind. Andererseits bietet der Begriff eine Stellschraube, um dennoch flexibel reagieren zu können, wenn es für notwendig erachtet wird. Der Begriff gibt einen Rahmen an Datenschutzprinzipien vor, der jedoch in der Rechtsanwendung mittlerweile auch übertreten wird. „Angemessenheit“ ist als Rechtsbegriff nicht neu. Er findet in der Rechtsprechung seit Jahrzehnten Anwendung. Angewandt wird er bspw. in der Rechtsprechung des BVerfG in einer Grundrechtsprüfung oder bei der Überprüfung einer Maßnahme am Maßstab der Grundrechte oder Grundfreiheiten durch den EuGH. Eine erhebliche Anzahl an Fällen wird gerade erst auf der Ebene der Angemessenheit entschieden. Auch im Datenschutzrecht der EU erfüllt der Begriff mittlerweile eine ähnliche Funktion. Angemessenheit ist ein Kriterium zur Lösung von Fällen geworden, in denen eine Abwägung notwendig ist. Neben den essentiellen datenschutzrechtlichen Interessen sind weitere Erwägungen zur Erreichung eines Interessenausgleichs zu berücksichtigen. In Betracht kommen essentielle Erwägungen 413

So auch Voigt, PinG 2014, 255 (256). So Voigt, PinG 2014, 255 (256).

414

§ 6 Die bestehenden Regelungen in der EU und den USA 

115

rechtspolitischer, wirtschaftspolitischer und sicherheitspolitischer Art, hinter denen sich auch Grundrechte, die mit dem Datenschutz in Abwägung gebracht werden können, verbergen. Dies zeigt sich in der Safe Harbor-Entscheidung, jedoch auch in weiteren, im Folgenden zu behandelnden Gebieten. Diese mittlerweile bestehende Flexibilität des Begriffs sollte akzeptiert werden. Das Kriterium der Angemessenheit ist als Rechtsbegriff zwecktauglich. Die Praxis gibt der Art der Anwendung des Kriteriums Recht. Größere Datenschutzskandale wurden durch die vorgenommene Anwendung des Kriteriums nicht ausgelöst. Der NSA-Skandal ist nicht durch Safe Harbor bedingt, sondern durch komplexe Ausforschungstätigkeiten der US-Behörden, die in diesen Ausmaßen nicht zu erwarten waren. Wie an dem Ausmaß des Skandals erkennbar, hätte den Ausforschungstätigkeiten auch nicht durch eine Unterbindung des Datenverkehrs zwischen der EU und den USA präventiv begegnet werden können, da sie sich als Geheimdiensttätigkeit auf einer anderen rechtlichen Ebene abspielen. Die von der Kommission nun vorgenommene Reaktion in Bezug auf Safe Harbor ist ausreichend und hält zu Recht an der Safe Harbor Regelung und dem Kriterium der Angemessenheit fest. Der EuGH wird die Gelegenheit haben, in dieser Frage Stellung zu beziehen. Entweder er tritt der bestehenden Vorgehensweise im Umgang mit dem Kriterium der Angemessenheit durch eine Festellung des Verstoßes gegen EU-Primärrecht (Art. 8 GRCh bzw. Art. 16 AEUV) entgegen oder er akzeptiert die praktizierte Vorgehensweise. Weitere Möglichkeiten wären die Versagung einer klaren Stellungnahme oder die Akzeptanz der Vorgehensweise im Einzelfall unter Aufstellung grundsätzlich einzuhaltender klarer Kriterien. Die derzeitige Rechtsprechungsentwicklung spricht eher für eine engmaschige Kontrolle des Kriteriums unter strenger Kontrolle auf Einhaltung des Kernbereichs der Schutzprinzipien des Datenschutzrechts. Datenschutz stellt in der EU ein Grundrecht dar, dem vom EuGH mittlerweile eine besondere Bedeutung zugemessen wird.415 Eine derartige Entscheidung hätte jedoch zur Konsequenz, dass der Datenfluss erheblich erschwert und teilweise unterbunden würde. Begrüßenswert wäre hingegen die Akzeptanz der bestehenden Praxis als Kombination von strenger Kontrolle des Kernbereichs der Schutzprinzipien im Regelfall und einer möglichen Abweichung, wenn essentielle Erwägungen rechtspolitischer, wirtschaftspolitischer und sicherheitspolitischer Art, dies erfordern. Die dabei zu berücksichtigenden Grundrechte – wie bspw. bei sicherheitspolitischen Erwägungen das Recht auf Leben – sind in die Abwägung mit einzustellen. Die Praxis gäbe dieser praktikablen Vorgehensweise Recht. Sie hat sich bewährt und hat nicht zu einem generellen Absinken des Schutzniveaus für EU-Bürger geführt. Dennoch sollten, wie im Fall von Safe Harbor von der EU-Kommission nun eingeführt,416 Kontrollmechanismen auf EU-Ebene bestehen, sodass durch die Einführung entsprechender Verfahren mögliche Gefahren ausgeglichen werden können. 415

Siehe dazu zuletzt EuGH, Urt. v. 07.04.2014, verb. Rs. C-293/12 u. C-594/12 sowie Urt. v. 13.05.2014, Rs. C-131/12. 416 Siehe dazu und zum Folgenden European Commission, Press Release: Restoring Trust in EU-US data flows – Frequently Asked Questions, MEMO/13/1059, 27.11.2013.

116

Teil 1: Datenfluss im internationalen Kontext

Neben der Safe Harbor-Entscheidung findet das Kriterium der Angemessenheit in weiteren Gebieten Berücksichtigung. (3) Angemessenheitsentscheidung zur Übermittlung von Fluggastdaten Als nach den Anschlägen des 11.  September 2001 Sicherheitsbehörden der USA erstmals Passagierdaten von Fluggesellschaften aus der EU forderten, wurde dies auf EU-Ebene in datenschutzrechtlicher Hinsicht kontrovers diskutiert und nach einer rechtlichen Lösung gesucht.417 Bevor vom EuGH in einer Entscheidung zur Kontrolle der gefundenen Regelungen festgestellt wurde, dass die DSRL nicht die richtige Rechtsgrundlage ist, sondern dass es sich bei der Übermittlung von Fluggastdaten um eine Maßnahme der Dritten Säule handelt, wurde zunächst eine Angemessenheitsentscheidung nach Art. 25 VI DSRL für die Übermittlung erlassen. Die Angemessenheitsentscheidung erfolgte, nachdem von US-Seite Garantien zur Datenverarbeitung in einer Verpflichtungserklärung abgegeben wurden.418 Ergänzt wurde die Angemessenheitserklärung zudem durch ein Abkommen, da die Angemessenheitserklärung die Datenübertragung lediglich für zulässig erklärte, nicht jedoch für verpflichtend, wie es von den US-Behörden angestrebt wurde.419 Hätte es nur die Angemessenheitserklärung gegeben, wäre die Übertragung von Passagierdaten somit zwar erlaubt gewesen, hätte aber – de jure – immer noch im Ermessen der Fluggesellschaften gestanden.420 Ähnliche Abkommen mit Bezug zur Auswertung von Bankdaten (SWIFT)421 wurden auch im Rahmen der Dritten Säule geschlossen und stehen somit nicht im Zusammenhang mit Art. 25 VI DSRL.422 Jedoch wird auch hier auf das Kriterium der Angemessenheit abgestellt.423

417 Siehe dazu und zum Folgenden ausführlich den 3.  Teil  der Arbeit sowie insbesondere S. 412 ff. 418 Siehe zu den Garantien unten S. 418 ff. 419 Siemen, Datenschutz als europäisches Grundrecht, S. 315. 420 Vgl. Siemen, Datenschutz als europäisches Grundrecht, S. 315. 421 Siehe Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der Europäischen Union an die Vereinigten Staaten für die Zwecke des Programms zum Aufspüren der Finanzierung des Terrorismus, ABl. L 8 v. 13.01.2010, S. 11 ff. 422 Siehe jedoch Art. 29-Datenschutzgruppe, Stellungnahme 10/2006 zur Verarbeitung von personenbezogenen Daten durch die Society for Worldwide Interbank Financial Telecommunication (SWIFT), WP 128, 22.11.2006, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/ 2006/wp128_de.pdf (zuletzt geprüft am 15.03.2015), die Art.  26 II für anwendbar hält; zur Diskussion um die einschlägige Rechtsgrundlage siehe de Goede, Journal of Common Market Studies 50 (2012), 214 (221 f.); umfassend zur SWIFT-Affäre auch Hummer, Archiv des Völkerrechts 49 (2011), 203, weitere Nachweise unten S. 270 ff. 423 Siehe Art. 6 des Abkommens.

§ 6 Die bestehenden Regelungen in der EU und den USA 

117

Mit dem Kriterium der „Angemessenheit“ bestimmt die EU ein Kriterium für den Datenfluss im internationalen Kontext, das bestimmte Standards aufstellt, die bspw. von Unternehmen, die mit Unternehmen in der EU in Geschäftsbeziehungen stehen, Beachtung finden müssen. Mit dem Kriterium wird der Versuch unternommen, in der EU bestehende Datenschutzstandards auch beim Export von Daten zu gewährleisten. Die EU schafft quasi ein internationales Datenschutzsystem ohne internationale Verhandlungen.424 Insgesamt gesehen stellen die Regelungen zum Datenfluss im internationalen Kontext in der DSRL sehr weitreichende Regelungen dar, die neben Akteuren in der EU, auch Unternehmen, Regierungen und Individuen außerhalb der EU beschäftigen und zu einer Vielzahl an Kontroversen führt, auf die noch näher einzugehen ist. d) Art. 26 DSRL: Ausnahmen Die DSRL erlaubt jedoch auch, vom Grundsatz der Erforderlichkeit eines ange­ messenen Schutzniveaus abzuweichen. Ausnahmen waren zwar ursprünglich in der DSRL nicht vorgesehen, wurden aber schließlich eingeführt, um bspw. eine autonome Entscheidung eines Betroffenen zu ermöglichen, das Risiko einer Datenübermittlung in einen Staat ohne angemessenes Datenschutzniveau einzugehen.425 aa) Ziele und Funktionen des Art. 26 DSRL Abweichend von den Grundsätzen in Art. 25 DSRL werden die Mitgliedstaaten in Art. 26 I DSRL dazu verpflichtet, im innerstaatlichen Recht vorzusehen, „daß eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in ein Drittland, das kein angemessenes Schutzniveau im Sinne des Artikels 25 Absatz 2 gewährleistet, vorgenommen werden kann“. Wann eine solche Übermittlung trotz fehlender Gewährleistung eines angemessenen Schutzniveaus erfolgen kann, regelt Art. 26 I lit. a-f DSRL; zudem werden weitere Voraussetzungen in den Absätzen II–IV aufgestellt.426 Die Ausnahmen des Art. 26 I DSRL sind gem. dem Wortlaut im einzelstaatlichen Recht zu verorten und wirken unmittelbar für die Verantwortlichen der Datenverarbeitung; Art. 26 II DSRL normiert die Möglichkeit einer Genehmigung im Einzelfall im Falle einer ausreichenden Gewährleistung von Garantien; Art. 26 III DSRL regelt zur Harmonisierung Informations-

424

Heisenberg, Negotiating privacy, S. 120 f. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 2. 426 Siehe zur Gesetzgebungsgeschichte Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 26 DSRL Rn. 2–4; ausführlich zu Art. 26 I DSRL auch Art. 29-­ Datenschutzgruppe, Arbeitspapier über eine gemeinsame Auslegung des Artikels 26 Absatz 1 der Richtlinie 95/46/EG vom 24. Oktober 1995, WP 114, 25.11.2005, http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/2005/wp114_de.pdf (zuletzt geprüft am 15.03.2015). 425

118

Teil 1: Datenfluss im internationalen Kontext

pflichten sowie eine Entscheidungskompetenz für die Kommission, und Art.  26 IV DSRL ermöglicht der Kommission, Standardvertragsklauseln generell als aus­ reichende Garantien anzusehen.427 Die von Art.  26 I DSRL geregelten Tatbestände stellen keine selbstständigen Rechtfertigungsgründe für eine Datenübermittlung dar, sondern befreien nur von dem in Art. 25 DSRL geregelten Verbot, das selbst unbeschadet der allgemeinen Anforderung an eine Verarbeitung Geltung beansprucht.428 Die Ausnahmetatbestände betreffen „Fälle, in denen eine Gefährdung der Grundrechte und -freiheiten wegen der Bedingungen oder des Zusammenhangs der Übermittlung nicht zu erwarten ist“.429 Die Mitgliedstaaten können lediglich dann Ausnahmen zulassen, wenn (mindestens) eine der Ausnahmen des Katalogs des Art. 26 I DSRL einschlägig ist.430 Die Ausnahme des Art. 26 I DSRL sind somit zwingend.431 Eine Verpflichtung, von allen Tatbeständen auch Gebrauch zu machen, besteht jedoch nicht, da die Ausnahmen nur „vorbehaltlich entgegenstehender Regelungen für bestimmte Fälle im innerstaatlichen Recht“ vorgesehen sind.432 Wenn von der Möglichkeit einer Ausnahme Gebrauch gemacht wird, muss diese generell gelten und darf nicht nur im Einzelfall gewährt werden.433 Sollten die Voraussetzungen des Art. 26 I DSRL vorliegen, kann nicht mehr auf Art. 26 II DSRL zurückgegriffen werden; sollten sie nicht vorliegen, ist hingegen die Anwendung des Art. 26 II DSRL möglich.434 Die Ausnahmebestimmungen des Art. 26 I DSRL regeln im Einzelnen Folgendes: bb) Art. 26 I lit. a DSRL: Einwilligung des Betroffenen Eine Ausnahme vom Erfordernis des „angemessenen Schutzniveaus“ besteht zunächst nach Art. 26 I lit. a DSRL, wenn „die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben hat“. Welche Anforderungen an eine Einwilligung gestellt werden, ergibt sich aus Art.  2 lit. h DSRL.435 Demnach muss die Ein­ willigung „ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage“ er-

427 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 1 f. mit Gründen für die Regelung von Ausnahmen. 428 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 3 mit Verweis auf Erwägungsgrund 60 der DSRL und w. Nachw. 429 Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 26 DSRL Rn. 1. 430 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 3. 431 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 26 Rn. 5 mit Ausführungen zur „Ausnahme von der Ausnahme“. 432 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 3. 433 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 26 Rn. 2 f. 434 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 26 Rn. 4. 435 Danach wird darunter „jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, daß personenbezogenen Daten, die sie betreffen, verarbeitet werden“ verstanden.

§ 6 Die bestehenden Regelungen in der EU und den USA 

119

folgen.436 Der Wortlaut der Ausnahmevorschrift geht jedoch über diese allgemeine Definition hinaus und verlangt eine Einwilligung „ohne jeden Zweifel“, was nicht mit einer ausdrücklichen Einwilligung gleichzusetzen ist und daher auch eine Einwilligung durch schlüssiges Verhalten mit einschließt.437 Zudem muss sich die in Art. 2 lit. h DSRL genannte „Kenntnis der Sachlage“ auf die besonderen Risiken beziehen, die mit der Drittlandsübermittlung einhergehen und der Betroffene ist über die (geplante) Übermittlung zu unterrichten.438 Außerdem ist die „Einwilligung in Fällen der wiederholten oder gar routinemäßigen Übermittlung von Daten“ nicht möglich.439 Aus diesem Grund ist auch die Einwilligung bei der im Rahmen dieser Arbeit relevanten Übermittlung von Fluggastdaten in ein Drittland ­ausgeschlossen. cc) Art. 26 I lit. b DSRL: Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen Zudem besteht eine Ausnahme von den Anforderungen des Art. 25 DSRL, wenn „die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen oder Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist“. Die Regelung ist inhaltlich mit der Regelung in Art. 7 lit. b DSRL identisch und bei Verträgen und vorvertraglichen Beziehungen anwendbar, wenn die Leistung im Rahmen des Vertrages auch eine Übermittlung von personenbezogenen Daten in ein Drittland umfasst oder voraussetzt bzw. eine Erfüllung von Nebenpflichten an eine solche Übermittlung geknüpft ist.440 „Erforderlich“ ist die Maßnahme, wenn sie „einen engen und erheblichen Zusammenhang zwischen der betroffenen Person und den Zwecken des Vertrags“ erkennen lässt.441

436

Siehe zu den Anforderungen ausführlich Art. 29-Datenschutzgruppe, Arbeitspapier über eine gemeinsame Auslegung des Artikels 26 Absatz 1 der Richtlinie 95/46/EG vom 24. Oktober 1995, WP 114, 25.11.2005, S. 12 ff.; sowie auch Gunasekara, Int J Law Info Tech 17 (2009), 147 (166). 437 Dammann/Simitis, EG-Datenschutzrichtlinie, Art.  26 Rn.  5, so auch Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 26 Rn. 7. 438 Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 26 DSRL Rn. 6. 439 So Art. 29-Datenschutzgruppe, Arbeitspapier über eine gemeinsame Auslegung des Artikels 26 Absatz 1 der Richtlinie 95/46/EG vom 24. Oktober 1995, WP 114, 25.11.2005, S. 13. 440 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 6; siehe auch Brühann, in: G ­ rabitz/ Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 26 DSRL Rn. 7, jeweils mit Beispielen wie Buchung von Hotels, internationalen Überweisungsaufträgen oder Reservierung von Mietwagen in Drittländern. 441 Art. 29-Datenschutzgruppe, Arbeitspapier über eine gemeinsame Auslegung des Artikels 26 Absatz 1 der Richtlinie 95/46/EG vom 24. Oktober 1995, WP 114, 25.11.2005, S. 15.

120

Teil 1: Datenfluss im internationalen Kontext

dd) Art. 26 I lit. c DSRL: Abschluss oder Erfüllung eines Vertrags im Interesse der betroffenen Person Des Weiteren sieht Art. 26 I lit. c DSRL eine Ausnahme für den Fall vor, dass „die Übermittlung zum Abschluß oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse der betroffenen Person vom für die Verarbeitung Verantwortlichen mit einem Dritten geschlossen wurde oder geschlossen werden soll“. Im Gegensatz zur Regelung des Art. 26 I lit. b DSRL ist der Betroffene nicht Vertragspartner, der Vertrag liegt aber in seinem Interesse, was typischerweise der Fall ist, wenn der Betroffene eine Leistung unentgeltlich erhält.442 ee) Art. 26 I lit. d DSRL: Wahrung eines wichtigen öffentlichen Interesses oder Durchsetzung von Rechtsansprüchen Art. 26 I lit. d DSRL normiert weitere Ausnahmen vom Erfordernis des „ange­ messenen Schutzniveaus“ und zwar für den Fall, dass „die Übermittlung entweder für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich oder gesetzlich vorgeschrieben ist“. In Bezug auf das „wichtige öffentliche Interesse“ besteht ein gewisser Interpretationsspielraum, der aber durch die Harmonisierungsinstrumente der DSRL begrenzt werden muss.443 Somit rechtfertigen nicht alle öffentlichen Interessen eine Übermittlung.444 Vor allem ist an die Interessen von Steuer- oder Zollverwaltungen zu denken oder aber auch an Dienste, die mit Angelegenheiten der sozialen Sicherheit betraut sind.445 Weitere Anwendungsgebiete sind die Bekämpfung von Geldwäsche und die Überwachung von Finanzinstituten446 oder auch die in Art. 13 I DSRL genannten Gründe447. Mit der zweiten von Art. 26 I lit. d DSRL normierten Fallgruppe nimmt die DSRL hingegen Risiken für den Fall in Kauf, dass Rechtsansprüche nur durch eine Übermittlung der Daten verwirklicht werden können und lässt somit das Interesse des 442 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 7; sowie auch Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 26 Rn. 7 mit Beispiel; zudem Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 26 DSRL Rn. 8 sowie Art. 29-Datenschutzgruppe, Arbeitspapier über eine gemeinsame Auslegung des Artikels 26 Absatz 1 der Richtlinie 95/46/EG vom 24.  Oktober 1995, WP 114, 25.11.2005, S.  16 f. mit Anwendungsbeispielen; dazu auch Gunasekara, Int J Law Info Tech 17 (2009), 147 (166). 443 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 8 m. w. Nachw. 444 Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 26 DSRL Rn. 9. 445 So Erwägungsgrund Nr.  58 der DSRL; dazu auch Art.  29-Datenschutzgruppe, Arbeitspapier über eine gemeinsame Auslegung des Artikels 26 Absatz 1 der Richtlinie 95/46/EG vom 24. Oktober 1995, WP 114, 25.11.2005, S. 17. 446 Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 26 DSRL Rn. 9. 447 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 26 Rn. 13.

§ 6 Die bestehenden Regelungen in der EU und den USA 

121

Berechtigten überwiegen.448 In beiden Fällen ist die Übermittlung zudem möglich, wenn sie notwendig ist und auch wenn sie aus den genannten Gründen gesetzlich geboten ist.449 ff) Art. 26 I lit. e DSRL: Wahrung lebenswichtiger Interessen Ferner bestimmt Art. 26 I lit. e DSRL, dass auf die Voraussetzung eines „angemessenen Schutzniveaus“ verzichtet werden kann, wenn „die Übermittlung für die Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich ist“.450 Dieser Ausnahmetatbestand ist identisch mit der Regelung für die allgemeine Verarbeitung des Art.  7 lit  d DSRL und der Verarbeitung von sensiblen Daten des Art. 8 II lit. c DSRL.451 Die DSRL setzt mit dieser Formulierung voraus, dass die Wahrung lebenswichtiger Interessen des Betroffenen Vorrang vor seinem Interesse hat, die jeweiligen Daten nur nach Einwilligung zu verarbeiten.452 Als problematisch wird angesehen, dass dem Verantwortlichen für die Datenverarbeitung die Entscheidung unabhängig davon eingeräumt wird, ob der Betroffene selbst für die Wahrung dieser Interessen die notwendigen Entscheidungen treffen kann.453 Daher muss zur Berücksichtigung des Selbstbestimmungsrechts des Betroffenen eine Bearbeitung nur in dem Fall als erforderlich für die Wahrung von Interessen des Betroffenen angesehen werden, wenn dieser selbst seine Interessen nicht wahrnehmen kann und im Sinne einer mutmaßlichen Einwilligung davon auszugehen ist, dass er in die Verarbeitung einwilligen würde.454 In diesem Zusammenhang sind vor allem medizinische Daten relevant.455 Ein Beispiel für diesen Ausnahme­ tatbestand wäre ein Unfall von einem Betroffenen, sodass medizinische Daten an das medizinische Personal im Drittland weitergegeben werden müssten.456

448 Dammann/Simitis, EG-Datenschutzrichtlinie, Art.  26 Rn.  9; Brühann, in: Grabitz/Hilf/ Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 26 DSRL Rn. 9 m. w. Ausführungen. 449 Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 26 DSRL Rn. 9. 450 Dazu ausführlich Art. 29-Datenschutzgruppe, Arbeitspapier über eine gemeinsame Auslegung des Artikels 26 Absatz 1 der Richtlinie 95/46/EG vom 24.  Oktober 1995, WP 114, 25.11.2005, S. 17 f. 451 Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 26 DSRL Rn. 10. 452 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 7 Rn. 9. 453 So Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 7 Rn. 9. 454 Vgl. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 7 Rn. 9 mit weiteren Ausführungen. 455 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 26 Rn. 14; Art. 29-Datenschutzgruppe, Arbeitspapier über eine gemeinsame Auslegung des Artikels 26 Absatz 1 der Richtlinie 95/46/ EG vom 24. Oktober 1995, WP 114, 25.11.2005, S. 18. 456 So Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 26 DSRL Rn. 10; ähnlich Art. 29-Datenschutzgruppe, Arbeitspapier über eine gemeinsame Auslegung des Artikels 26 Absatz 1 der Richtlinie 95/46/EG vom 24.  Oktober 1995, WP 114, 25.11.2005, S. 18.

122

Teil 1: Datenfluss im internationalen Kontext

gg) Art. 26 I lit. f DSRL: Übermittlung aus einem Register Art. 26 I lit. f DSRL macht schließlich eine Ausnahme von den Voraussetzungen des Art. 25 DSRL, wenn „die Übermittlung aus einem Register erfolgt, das gemäß den Rechts- oder Verwaltungsvorschriften zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, soweit die gesetzlichen Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind“. Diese Regelung umfasst Datensammlungen wie Grundbuch oder Handelsregister, wobei es auf die Bezeichnung als „Register“ nicht ankommt und lediglich die „Zwecksetzung der Öffentlichkeitsinformation“ sowie eine „­ niedrige Zugangsschwelle“ relevant sind.457 Die Ausnahmevorschrift soll sicherstellen, dass Marktteilnehmer aus Drittländern unter den gleichen Voraussetzungen Informationen aus diesen Registern erhalten können und nicht auf Grund ihres Sitzes in einem Drittland ohne angemessenes Schutzniveau ungleich behandelt werden.458 Wenn Register öffentlich zugänglich sind und von jedermann konsultiert werden können, ist es „folgerichtig“, auch Personen, die in einem Drittland niedergelassen sind, den Zugang zu gewähren.459 hh) Art. 26 II DSRL: Ausreichende Garantien Art. 26 II DSRL enthält zusätzliche Möglichkeiten für einen Mitgliedstaat, die Übermittlung personenbezogener Daten in ein Drittland zu genehmigen, das kein angemessenes Schutzniveau i. S. d. Art.  26 II DSRL aufweist.460 Eine Übermittlung kann gemäß Art 26 II DSRL erfolgen, „wenn der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet“. Der Artikel fügt an, dass diese Garantien sich „insbesondere aus entsprechenden Vertragsklauseln“ ergeben können.461 Da es schwierig sein mag, „inhaltlich komplexe und/oder geographisch weiträumige Verarbeitungen“ unter die Ausnahmebestimmungen des Art. 26 I DSRL zu 457

Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 11, siehe auch die Erläuterungen zum parallel formulierten Art. 18 III DSRL; Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 18 Rn. 21–23; Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 26 DSRL Rn. 11; Art. 29-Datenschutzgruppe, Arbeitspapier über eine gemeinsame Auslegung des Artikels 26 Absatz 1 der Richtlinie 95/46/EG vom 24. Oktober 1995, WP 114, 25.11.2005, S. 19, sowie Erwägungsgrund 58 a. E. der DSRL. 458 Vgl. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 11. 459 Art. 29-Datenschutzgruppe, Arbeitspapier über eine gemeinsame Auslegung des Artikels 26 Absatz 1 der Richtlinie 95/46/EG vom 24. Oktober 1995, WP 114, 25.11.2005, S. 19. 460 Art. 25 II DSRL spricht davon, dass diese Möglichkeiten „Unbeschadet des Absatzes 1“ bestünden. 461 Siehe historisch zur „Vertragslösung in der Datenschutzpraxis einiger EU-Mitgliedstaaten“ Ellger, RabelsZ 60 (1996), 738 (743 ff.).

§ 6 Die bestehenden Regelungen in der EU und den USA 

123

subsumieren und die Risiken bei der Übermittlung in mehrere Drittländer zu analysieren, besteht mit Art. 26 II eine Vorschrift, mit der die Zulässigkeit entsprechender Datenverarbeitungen sowohl inhaltlich als auch geographisch sichergestellt werden kann.462 Im Gegensatz zu Art. 26 I DSRL darf gem. Art. 26 II DSRL die Übermittlung personenbezogener Daten nicht trotz des Fehlens eines angemessenen Schutzniveaus durchgeführt werden, sondern weil gerade für die in Frage stehende Übertragung bzw. Fallgruppe der geforderte Schutz garantiert ist.463 Letztendlich stellt dies aber lediglich eine Ausnahme von der Anforderung des angemessenen Schutzniveaus für den Fall dar, dass anderweitig ausreichende Garantien nachgewiesen werden können.464 Verantwortlich für die „ausreichenden Garantien“ ist der für Verarbeitung, also für den Datenexport, Verantwortliche.465 Von Teilen der Literatur werden an die Garantien sehr hohe Anforderungen gestellt: die Garantien müssten sich auf den Umgang der Daten im Drittland beziehen und eine Sicherheit zur Einhaltung der Anforderungen der Art. 6–8 DSRL (Grundsätze in Bezug auf die Qualität der Daten, in Bezug auf die Zulässigkeit der Verarbeitung von Daten und besondere Kategorien der Verarbeitung), sowie Art. 15 DSRL (automatisierte Einzelentscheidungen) gewährleisten.466 Des Weiteren müssten auch Rechte der Betroffenen gem. der Artikel 11 (Informationen, für den Fall, dass die Daten nicht bei den betroffenen Personen erhoben wurden), 12 (Auskunftsrecht) und 14 (Widerspruchsrecht) der DSRL berücksichtigt werden, sodass von den Garantien das „gesamte materielle Schutzprogramm“ der DSRL umfasst sei.467 Die Garantien müssten demnach geeignet sein, „die fehlende Adäquanz im Drittland“ zu kompensieren.468 Dies überzeugt jedoch nicht: Es muss ausreichen, dass der Schutzstandard dem angemessenen Schutzniveau des Art. 25 I DSRL entspricht, da die Vertragsklauseln das Fehlen eines angemessenen Schutzniveaus kompensieren sollen.469 Somit muss dies auch für die Vertragsklauseln ausreichend sein. Der bereits aufgezeigte Kernbestand der Schutzprinzipien ist grundsätzlich zu berücksichtigen; das Kriterium der Angemessenheit scheint jedoch mittlerweile so verstanden zu werden – wenn dies bspw. aus wirtschaftlichen Interessen notwendig ist –, flexibel im Rahmen einer Abwägung auf tatsächliche Gegebenheiten eingehen zu können. 462 Vgl. Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 26 DSRL Rn. 12. 463 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 12 m. w. Nachw. 464 Vgl. Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 26 DSRL Rn. 12. 465 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 12. 466 So Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 14 mit Verweis auf Ellger, RabelsZ 60 (1996), 738 (756). 467 So Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 14 mit Verweis auf Ellger, RabelsZ 60 (1996), 738 (756). 468 Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 26 DSRL Rn. 12. 469 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 18 Rn. 22 f. zu Vertragsklauseln.

124

Teil 1: Datenfluss im internationalen Kontext

Es ist weder aus der Richtlinie noch aus den Erwägungsgründen  – mit Ausnahme der „Vertragsklauseln“ – ersichtlich, welche Arten von Garantien möglich sind. Auch die von der DSRL explizit genannten „Vertragsklauseln“ verdeutlichen nicht, unter welchen Voraussetzungen ihnen diese Funktion zukommen kann. Vertragliche Vereinbarungen, die zwischen Datenexporteur und Datenimporteur geschlossen werden, können diese Garantien nicht akzeptabel begründen, da sie im beidseitigen Einvernehmen jederzeit wieder aufgehoben werden können.470 Zudem bieten sie keine Gewähr gegen einen Zugriff des Staates im jeweiligen Drittland.471 Möglich wäre es jedoch, eine Verpflichtung gegenüber einer Behörde wie bspw. einer Kontrollstelle zu begründen, indem in einem Vertrag wirksame Garantien dargelegt werden und diese von den Behörden kontrolliert und auch durchgesetzt werden.472 In dieser Hinsicht entwickelte sich auch das von der EU verfolgte Konzept. Individuelle Klauseln („ad hoc“-Klauseln) sind der zuständigen Aufsichtsbehörde vorzulegen, wobei nicht die Vertragstexte genehmigt werden, sondern die konkrete Datenübermittlung unter den jeweiligen Vertragsbedingungen.473 In der Praxis hat die individuelle Vertragsvereinbarung jedoch kaum noch eine Bedeutung.474 Ob die jeweiligen Garantien ausreichend sind, lässt sich anhand der „tatsächlichen Durchsetzbarkeit“ der vertraglichen Vereinbarungen messen: Entscheidend ist dabei, ob ein Schutz des Betroffenen und seiner Rechte „mit zumutbarem Aufwand und in angemessener Zeit“ möglich ist.475 Mit der Zeit haben sich verschiedene Instrumentarien etabliert, um „ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte“ i. S. d. Art. 26 II DSRL zu bieten:476

470 Ellger, RabelsZ 60 (1996), 738 (761 ff.) mit weiteren Ausführungen und Gründen, sowie auch ausführlich Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 16; siehe auch­ Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13.  EL Mai 2009, Art.  26 DSRL Rn. 12. 471 Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 26 DSRL Rn. 13; Ellger, RabelsZ 60 (1996), 738 (762). 472 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 18; die ebenfalls vorgeschlagene Möglichkeit eines Vertrags zugunsten Dritter überzeugt nicht, da auch dieser von den Vertragsparteien aufgekündigt werden kann und wie Dammann/Simitis selbst m. w. Nachw. ausführen, im common law auf Grund der Doktrin der „privity of contract“ nicht möglich ist; dazu auch allgemein Gunasekara, Int J Law Info Tech 17 (2009), 147 (170 ff.). 473 Eul/Eul, Datenschutz international, S. 78; siehe auch Kuner, Transborder data flows and data privacy law, S. 43. 474 Eul/Eul, Datenschutz international, S. 78. 475 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 19; siehe auch Ehmann/­Helfrich, EG-Datenschutzrichtlinie, Art. 18 Rn. 25 f., die Vertragsklauseln müssten eine „effektiv rechtliche Wirkung entfalten“. 476 Siehe zur „Auswahl des richtigen Instruments“ mit einer Darstellung von Vor- und Nachteilen Hoeren, RDV 2012, 271 (275 ff.).

§ 6 Die bestehenden Regelungen in der EU und den USA 

125

(1) Standardvertragsklauseln Eine Möglichkeit, ausreichende Garantien für einen Datentransfer in Drittländer ohne grundsätzlich angemessenes Schutzniveau zu geben, ist neben dem weniger genutzten Erlass von individuellen Klauseln die Nutzung der von der Kommission auf der Basis von Art.  26 IV DSRL erlassenen Standardvertragsklauseln. Diese haben den Vorteil, dass sie für die EU-Mitgliedstaaten verbindlich sind und somit auf eine individuelle Vertragsgestaltung für jeden Mitgliedstaat verzichtet werden kann.477 Die Standardvertragsklauseln umfassen „Regelungen zu den Rechten und Pflichten, die die an der Datenübermittlung beteiligten Personen oder Stellen untereinander und gegenüber der Aufsichtsbehörde einzuhalten haben“.478 Diese Rechte und Pflichten sind von den Parteien unverändert zu übernehmen und in den von der EU-Kommission zur Verfügung gestellten Formularen die Umstände der Datenübermittlung wie Datenarten und Beteiligte einzutragen.479 Erste Standardvertragsklauseln erließ die Kommission im Juni 2001 mit den „Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG“, die für die Übermittlung zwischen für die Verarbeitung verantwortlichen Datenexporteuren und Datenimporteuren Geltung beanspruchte, und somit für Fälle der Funktionsübertragung galt.480 Weitere Standardvertragsklauseln, diesmal für die „Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern“, wurden zudem von der Kommission im Dezember 2001 verabschiedet.481 Neben den ersten, von der EU-Kommission ausgearbeiteten Standardvertragsklauseln arbeiteten auch Wirtschaftsverbände zusammen alternative Standardver­ tragsklauseln aus, da ihnen die Klauseln der EU als nicht flexibel genug und impraktikabel erschienen.482 Die ursprünglich von der EU verabschiedeten Klauseln

477

Kuner/Hladjk, RDV 2005, 193 (194). Hoeren, RDV 2012, 271 (274). 479 Hoeren, RDV 2012, 271 (274). 480 Siehe die Entscheidung der Kommission vom 15.  Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG, ABl. L 181 v. 04.07.2001, S. 19 ff. 481 Siehe die Entscheidung der Kommission vom 27. Dezember 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG, ABl. L 6 v. 10.01.2002, S. 52 ff. 482 Siehe dazu und ausführlich zu den alternativen Standardvertragsklauseln Kuner/Hladjk, RDV 2005, 193: die beteiligten Wirtschaftsverbände waren die American Chamber of Commerce of the European Union in Brüssel (AmChamEU), die Confederation of British Industrie (CBI), die European Information, Communications and Consumer Electronics Technology Industry Association (EICTA), die Federation of European Direct and Interactive Marketing (FEDMA), der International Communications Round Table (ICRT), der Japan Business­ Council in Europe (JBCE) sowie die International Chamber of Commerce (ICC), die bereits in den 1990er Jahren an Standardvertragsklauseln arbeitete und sich mit den anderen Verbänden zu Verhandlungen mit der Kommission und der Art. 29-Datenschutzgruppe zusammenschloss. 478

126

Teil 1: Datenfluss im internationalen Kontext

sahen nämlich internationale Datenübermittlungen nur aus der Datenschutzperspektive und berücksichtigten nicht die vorgenommenen geschäftlichen Transaktionen.483 Nach jahrelangen Verhandlungen erkannte die Kommission im Dezember 2004 schließlich die von den Wirtschaftsverbänden vorgeschlagenen alternativen Klauseln – die für Übermittlungen zwischen für die Datenverarbeitung Verantwortlichen, als Fälle der Funktionsübertragung, Geltung beanspruchten – an.484 Diese konnten daraufhin neben den von der Kommission verabschiedeten bestehenden Klauseln verwendet werden.485 Das Anerkenntnis dieser alternativen Klauseln ist ein Beispiel für die Flexibilität der EU-Regelungen zum Datenfluss im internationalen Kontext. Sollte die Angemessenheit nicht vorliegen, kann darauf verzichtet und stattdessen auf alternative Garantien Bezug genommen werden. Selbst diese alternativen Garantien in Form der Standardvertragsklauseln erlauben wiederum eine flexible Reaktion auf tatsächliche Gegebenheiten und Wünsche der Industrie wie sich an den alternativen Standardvertragsklauseln erkennen lässt. Auch weitere Arten von Standardvertragsklauseln wurden angepasst. Die Standardvertragsklauseln zur Auftragsdatenverarbeitung erfuhren Kritik, da sie bestimmte Konstellationen wie eine Weiterübermittlung der Daten nicht berücksichtigten.486 Daher verabschiedete die Kommission im Februar 2010 neue Standardvertragsklausen für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die gem. Art. 6 des Kommissionsbeschlusses ab dem 15. Mai 2010 gelten und die früheren Klauseln für Auftragsverarbeiter ersetzen.487 Insgesamt bieten die Standardvertragsklauseln eine einfache Möglichkeit, die Anforderungen für die Übermittlung von Daten in Drittländer sicherzustellen.488 Vertragsklauseln sind ein Beispiel für das Prinzip der Rechenschaftspflicht.489 Sie sind in der Praxis weit verbreitet und erlauben ohne vorherige Genehmigung durch Aufsichtsbehörden eine zeitnahe und unbürokratische Datenübermittlung in Drittländer.490 483

So Kuner/Hladjk, RDV 2005, 193 (200). Entscheidung der Kommission vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/479/EG bezüglich der Einführung alternativer Standardvertragsklaueln für die Übermittlung personenbezogener Daten in Drittländer, ABl. L 385 v. 29.12.2004, S. 74 ff.; dazu Kuner/ Hladjk, RDV 2005, 193 (193 ff.). 485 Entscheidung der Kommission vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/479/EG bezüglich der Einführung alternativer Standardvertragsklaueln für die Übermittlung personenbezogener Daten in Drittländer, ABl. L 385 v. 29.12.2004, S. 74 ff.; dazu Kuner/ Hladjk, RDV 2005, 193 (193 ff.). 486 Zur Kritik an den Standardvertragsklauseln Moos, CR 2010, 281 (282) m. w. Nachw. 487 Siehe den Beschluss der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates, ABl. L 39 v. 12.02.2010, S. 5 ff.; dazu ausführlich Moos, CR 2010, 281 sowie Lensdorf, CR 2010, 735. 488 Zur Problematik von Vertragsklauseln bei Datenübermittlungen mit Staaten, für die ein angemessenes Schutzniveau festgestellt wurde siehe Drechsler, CRi 2011, 161. 489 Kuner, Transborder data flows and data privacy law, S. 72. 490 So Wybitul/Patzak, RDV 2011, 11 (15). 484

§ 6 Die bestehenden Regelungen in der EU und den USA 

127

(2) Verbindliche Unternehmensregelungen Ausreichende Garantien für einen Datentransfer in Drittländer können zudem durch verbindliche Unternehmensregelungen (Binding Corporate Rules  – BCR) erreicht werden.491 BCR stellen eine Ausprägung des Prinzips der Rechenschaftspflicht und somit einen organisationsbasierten Ansatz zur Regelung des Datenflusses dar, da sie auf dem Konzept beruhen, dass ein Datenverantwortlicher seine Rechenschaftspflicht für Datenverarbeitungen überall auf der Welt bei­behält und, um dies abzusichern, entsprechende Garantien vorsieht.492 BCR kommen „insbesondere für internationale, über die EU hinausreichende Konzerne, die auf eine Vielzahl von ‚netzartigen‘ gruppeninternen internationalen Datentransfers angewiesen sind und für die daher der Abschluss von Verträgen auf der Grundlage der Standardvertragsklauseln der EU-Kommission ein (zu) mühsames Unterfangen ist“, in Frage.493 BCR werden konzernintern und verbindlich abgeschlossen und binden alle in die Regelung miteinbezogenen Unternehmen in der Form eines „Gruppenvertrages“, jedoch niemanden außerhalb dieser Gruppe.494 Sie sind für die Teilnehmer nach innen und nach außen verbindlich.495 Explizit genannt werden die BCR in Art.  26 II DSRL nicht; die deutsche Umsetzung verweist hingegen in § 4 c II BDSG ausdrücklich auch auf „verbindliche Unternehmensregelungen“.496 Hinweise zu ihrer Ausgestaltung bieten vor allem die Dokumente der Art.  29-Datenschutzgruppe,497 die bisher angenommenen Standardvertrags 491

Zur Frage, ob BCR ausreichende Garantien bieten oder bereits zur Bestimmung des angemessenen Schutzniveaus herangezogen werden müssen, Filip, ZD 2013, 51 (52 ff.) mit Ausführungen zur Konsequenz für die Datenschutzbehörden und die Genehmigung von BCR; Schröder, DuD 2004, 462 (462); grundlegend Rittweger/Weiße, CR 2003, 142; a. A. bspw. Gola/Klug/­ Körffer/Schomerus, BDSG § 4 b Rn. 16, § 4 c Rn. 16, die die BCR bereits zur Bestimmung des angemessenen Schutznivaus berücksichtigen wollen; siehe zum Streit auch den Auszug aus dem Tätigkeitsbericht des Berliner Datenschutzbeauftragten, abgedruckt in RDV 2004, 135 f.; siehe auch Art.  29-Datenschutzgruppe, Arbeitsdokument zu „Häufig gestellten Fragen“ über verbindliche unternehmensinterne Datenschutzregelungen (BCR), WP 155 Rev.04, 24.06.2008, 08.04.2009, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp155_rev.04_de.pdf (zuletzt geprüft am 15.03.2015). 492 Kuner, Transborder data flows and data privacy law, S. 43, 73 f. 493 Grapentin, CR 2009, 693 (693). 494 So Hoeren, RDV 2012, 271 (274). 495 Schröder, DuD 2004, 462 (462) mit Verweis auf Art. 29-Datenschutzgruppe, Arbeitsdokument: Übermittlung personenbezogener Daten in Drittländer: Anwendung von Artikel 26 Absatz 2 der EU-Datenschutzrichtlinie auf verbindliche unternehmensinterne Vorschriften für den internationalen Datentransfer, WP 74, 03.06.2003, S.  8, http://ec.europa.eu/justice/policies/ privacy/docs/wpdocs/2003/wp74_de.pdf (zuletzt geprüft am 15.03.2015). 496 Dazu Grapentin, CR 2009, 693 (693 f.). 497 Art. 29-Datenschutzgruppe, Arbeitsdokument: Übermittlung personenbezogener Daten in Drittländer: Anwendung von Artikel 26 Absatz 2 der EU-Datenschutzrichtlinie auf verbindliche unternehmensinterne Vorschriften für den internationalen Datentransfer, WP 74, 03.06.2003; Art. 29-Datenschutzgruppe, Arbeitsdokument „Rahmen für verbindliche unternehmensinterne Datenschutzregelungen (BCR)“, WP 154, 24.06.2008, http://ec.europa.eu/justice/policies/privacy/ docs/wpdocs/2008/wp154_de.pdf (zuletzt geprüft am 15.03.2015) ergänzt durch Art.  29-

128

Teil 1: Datenfluss im internationalen Kontext

klauseln,498 sowie bereits bestehende Unternehmensregelungen499. Neben den genannten Dokumenten der Art.  29-Datenschutzgruppe, die für die für die Datenverarbeitung Verantwortlichen relevant sind, hat die Art. 29-Datenschutzgruppe in den Jahren 2012 und 2013 auch Dokumente zu BCR für Auftragsverarbeiter veröffentlicht.500 Im Gegensatz zu den Standardvertragsklauseln sind BCR in einigen Mitgliedstaaten vor ihrem Gebrauch bei der für das Unternehmen zuständigen Datenschutzaufsichtsbehörde genehmigen zu lassen. Da die Klauseln nicht in der DSRL genannt sind, hat auch die Kommission keine Möglichkeit, Angemessenheitsentscheidungen zu erlassen, sodass die Zuständigkeit bei den nationalen Datenschutzbehörden liegt, die über unterschiedliche Anerkennungsverfahren verfügen und das Instrument der BCR teilweise nicht anerkennen.501 In den Anfangsjahren beantragten Unternehmen auf Grund verschiedener zuständiger Aufsichtsbehörden für die zum Unternehmen gehörenden Gesellschaften oftmals zeitgleich bei verschiedenen Aufsichtsbehörden die Genehmigung der BCR; mittlerweile besteht jedoch ein Verfahren der gegenseitigen Anerkennung, an dem 21 Mitgliedstaaten teilnehmen und das die Anerkennung erheblich vereinfacht.502 Die verbindlichen Unternehmensregelungen stellen ein weiteres bedeutendes Instrumentarium im Zusammenhang mit dem Datenfluss im internationalen Kontext dar und sind auch im Rahmen der Reform der EU-Datenschutzregelungen von Bedeutung.503 Die Entscheidung für oder gegen BCR liegt beim Unternehmen, sie sind ein Ausfluss eines organisationsbasierten Ansatzes und stellen eine Regelung des Datenschutzgruppe, Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR), WP 153, 24.06.2008, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp153_de.pdf (zuletzt geprüft am 15.03.2015); zu den Dokumenten der Art. 29-Datenschutzgruppe siehe Schröder, DuD 2004, 462 (463 f.); Grapentin, CR 2009, 693 (694 ff.). 498 So Grapentin, CR 2009, 693 (694). 499 So Hoeren, RDV 2012, 271 (274); Grapentin, CR 2009, 693 (694); siehe für eine Liste der bisher genehmigten Unternehmensregelungen European Commission, List of companies for which the EU BCR cooperation procedure is closed, http://ec.europa.eu/justice/data-protection/ document/international-transfers/binding-corporate-rules/bcr_cooperation/index_en.htm (zuletzt geprüft am 15.03.2015). 500 Art. 29-Datenschutzgruppe, Arbeitsdokument 02/2012 mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR) für Auftragsverarbeiter, WP 195, 06.06.2012, http://ec.europa.eu/justice/data-protection/arti cle-29/documentation/opinion-recommendation/files/2012/wp195_de.pdf (zuletzt geprüft am 15.03.2015); Art. 29-Datenschutzgruppe, Recommendation 1/2012 on the Standard Application form for Approval of Binding Corporate Rules for the Transfer of Personal Data for Processing Activities, WP 195 a, 17.09.2012, https://www.dsb.gv.at/DocView.axd?CobId=52232 (zuletzt geprüft am 15.03.2015); Art. 29-Datenschutzgruppe, Erläuterndes Dokument zu verbindlichen unternehmensinternen Datenschutzregelungen für Auftragsverarbeiter, WP 204, 19.04.2013, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recom mendation/files/2013/wp204_de.pdf (zuletzt geprüft am 15.03.2015); siehe dazu Hladjk, Datenschutz-Berater 2013, 42; Filip, ZD 2013, 51 (58 f.). 501 Kuner, Transborder data flows and data privacy law, S. 44. 502 Dazu ausführlich m. w. Nachw. Filip, ZD 2013, 51 (52 ff.). 503 Siehe dazu unten S. 154 ff.

§ 6 Die bestehenden Regelungen in der EU und den USA 

129

Prinzips der Rechenschaftspflicht in der EU dar.504 BCR verdeutlichen zudem die im EU-Recht zum Datenfluss im internationalen Kontext bestehende Flexibilität. Ein Unternehmen kann individuelle Garantien in Form der BCR für einen Datentransfer in ein Drittland vorsehen, wenn bspw. die von der EU bereitgestellten Garantien nicht für praktikabel erachtet werden. Eine Kontrolle erfolgt durch die Datenschutzbehörden der Mitgliedstaaten, jedoch ist eine Einheitlichkeit dieser Kontrolle nicht gegeben. ii) Art. 26 III DSRL: Unterrichtungspflicht Gem. Art. 26 III DSRL hat der Mitgliedstaat sowohl die Kommission als auch die anderen Mitgliedstaaten davon zu unterrichten, wenn er eine Genehmigung für Datenübermittlungen in ein Drittland erteilt, das kein angemessenes Schutzniveau aufweist.505 Die Unterrichtungspflicht besteht jedoch nur, wenn die Übermittlung auf einer Entscheidung nach Art. 26 II DSRL beruht, jedoch nicht, wenn die Übermittlung auf Grund der Ausnahmen des Art.  26 I DSRL möglich werden.506 Sollte daraufhin entweder die Kommission oder ein anderer Mitgliedstaat einen „in bezug auf den Schutz der Privatsphäre, der Grundrechte und der Personen hinreichend begründeten Widerspruch“ einlegen, werden von der Kommission „die geeigneten Maßnahmen nach dem Verfahren des Artikels 31 Absatz 2“ erlassen. Dieses Verfahren soll sicherstellen, dass die Maßstäbe für die Genehmigungen einheitlich sind, was auch auf Grund des freien Datenverkehrs innerhalb der EU (vgl. Art. 1 II DSRL) geboten ist.507 Der Widerspruch hat die volle Überprüfung der Rechtmäßigkeit der erteilten Genehmigung zur Folge.508 Die Kommission hat hinsichtlich der von ihr zu erlassenden „geeigneten Maßnahmen“ einen Handlungsspielraum, der für den konkreten Fall eine Lösung vorsehen kann, aber auch darüber hinausgehende Problemlösungen in Betracht ziehen kann.509 Diese verabschiedeten Maßnahmen sind dann – so Art. 26 III DSRL – von den Mitgliedstaaten zu treffen.

504

Siehe dazu Kuner, Transborder data flows and data privacy law, S.  72 f. sowie oben S.  87 f.; zum Vergleich mit dem Prinzip der Verantwortlichkeit in den APEC Grundsätzen siehe Voskamp/Kipker/Yamato, DuD 2013, 452 (455 f.). 505 Siehe zu den Anforderungen an diese Unterrichtung Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 26 DSRL Rn. 15, sowie zum chronologischen Ablauf des Verfahrens ders Rn. 15–20. 506 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 22. 507 Ausführlich zu den Voraussetzungen und dem Verfahren Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 21 m. w. Nachw. 508 Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 26 DSRL Rn. 16. 509 Vgl. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 26, insbesondere werden als Maßnahmen Bedingungen und Auflagen genannt; zu Widerspruchsmöglichkeiten siehe Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 26 Rn. 31 ff.

130

Teil 1: Datenfluss im internationalen Kontext

jj) Art. 26 IV DSRL: Standardvertragsklauseln Art. 26 IV DSRL regelt den Fall, dass die Kommission nach Durchführung des Verfahren des Art. 31 II DSRL befindet, dass „bestimmte Standardvertragsklauseln ausreichende Garantien gemäß Absatz 2 bieten“. In diesem Fall sind die Mitgliedstaaten dazu verpflichtet, „die aufgrund der Feststellung der Kommission gebotenen Maßnahmen zu treffen“. Das Verfahren wird durch die Kommission eingeleitet, wobei die Initiative der Kommission u. U. durch vorheriges Vorsprechen bei Kommission, nationaler Kontrollstelle oder nationalem Regierungsvertreter gefördert werden kann.510 Mit dieser Vorschrift verdeutlicht die DSRL, dass sie Standardvertragsklauseln als geeignet einschätzt, Garantien i. S. d. Art.  26 II DSRL herzustellen, lässt aber offen, für welche Fallgruppen diese relevant werden könnten und welchen Inhalt und welche Wirkung diese haben sollten.511 Zudem soll diese Vorschrift die jeweils zuständigen Stellen in den Mitgliedstaaten von Einzelfallprüfungen entlasten.512 Mit Standardvertragsklauseln könnten „[b]esonders für komplexe und geographisch weitreichende Verarbeitungen […] auf diese Weise erhebliche Verbesserungen des Schutzes der Privatsphäre der Personen in einem flexiblen und raschen Verfahren erreicht werden“.513 e) Gleichwertiges Schutzniveau innerhalb der EU Im Gegensatz zu Drittländern ist der Datenfluss innerhalb der EU nach Inkrafttreten der DSRL keinen durch Datenschutzerwägungen begründeten Beschränkungen mehr unterworfen. Dies ergibt sich aus Art. 1 II DSRL, sowie Erwägungsgründen 8 und 9 und Art. 30 II DSRL. Vor Inkrafttreten der DSRL gab es auch zwischen EU-Mitgliedstaaten datenschutzrechtliche Kontroversen. Bis 1995 verfügten bspw. nur sieben Mitgliedstaaten (Deutschland, Dänemark, Frankreich, Irland, Luxemburg, Niederlande und Großbritannien) über Vorschriften zum Datenschutz und in den übrigen konnten Daten hingegen (fast) ohne Beschränkung verarbeitet werden.514 Ein Beispiel für eine Kontroverse war der Fall, dass die französische Tochtergesellschaft eines italienischen Kraftfahrzeugherstellers Arbeitnehmerdaten – so die Anforderungen der französischen Datenschutzbehörde – nur nach Abschluss eines Datentransferübereinkommens zwischen den beiden Unternehmen übermitteln durfte.515 Solche Fälle sind seit Inkrafttreten der DSRL nicht mehr möglich. 510 Zu den Möglichkeiten siehe ausführlicher Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 26 Rn. 35 f. 511 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rn. 28. 512 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 26 Rn. 34. 513 So Brühann, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL Mai 2009, Art. 26 DSRL Rn. 16 m. w. Ausführungen. 514 Hoeren, DuD 1996, 542 (546) m. w. Ausführungen. 515 So das Beispiel bei Kuner, OECD Digital Economy Papers, No. 187 2011 (16) sowie Kuner, Transborder data flows and data privacy law, S.  40 f. mit Verweis auf Commission nationale de l’informatique et des libertés, 10ième rapport d’activité (1989), S. 41 (zitiert nach Kuner).

§ 6 Die bestehenden Regelungen in der EU und den USA 

131

2. Datenschutz-Rahmenbeschluss Neben der DSRL existieren weitere Regelungen, die den Datenfluss im internationalen Kontext zum Gegenstand haben. Im Rahmen der ehemaligen Zweiten und Dritten Säule der EU findet die DSRL keine Anwendung. Art. 3 II 1. Spiegelstrich DSRL regelt, dass die Richtlinie konkret keine Anwendung auf „Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich“ findet.516 Im Rahmen der ehemaligen zweiten Säule, der gemeinsamen Außen- und Sicherheitspolitik, gab es keine Regelungen zum Datenschutz, im Rahmen der Dritten Säule – der polizeilichen und justiziellen Zusammenarbeit in Strafsachen – erst seit Anfang 2009 den Datenschutz-Rahmenbeschluss517. Im Gegensatz zu Regelungen in der ersten Säule gab es zuvor im Rahmen der Dritten Säule keine umfassenden, sondern nur sektorspezifische Regelungen der EU: Die Rolle eines Regelungswerkes zum Datenschutz wurde durch die Datenschutz­konvention des Europarates, ihrem Zusatzprotokoll sowie Empfehlungen des Europarates übernommen.518 Die Datenschutzkonvention des Europarates hatte jedoch einen zu breiten Anwendungsbereich und war teilweise überholt.519 Da es keinen verbindlichen Text im Rahmen der EU gab, wurden in Vereinbarungen wie dem Schengener Informationssystem, Europol und Eurojust sektorspezifische Regelungen eingeführt. Im Gegensatz zum üblichen Verfahren wurde im Rahmen der Dritten Säule nicht der allgemeine rechtliche Rahmen durch sektorspezifische Regelungen ergänzt;520 stattdessen wurden die sektorspezifischen Regelungen durch die allgemeine Regelung in Form des Datenschutz-Rahmenbeschlusses (DSRB) ergänzt.521 Dessen Anwendungsbereich ist jedoch limitiert.

516

Art. 3 II 1. Spiegelstrich DSRL. Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden sollen, ABl. L 350 v 30.12.2008, S. 60; siehe dazu ausführlich de Hert/Papakonstantinou, Computer Law & Security Review 25 (2009), 403. 518 Vgl. de Hert/Papakonstantinou, Computer Law & Security Review 25 (2009), 403 (405). 519 Vgl. de Hert/Bellanova, Data Protection in the Area of Freedom, Security and Justice: A System still to fully developed? – Study requested by the European Parliament’s Committee on Civil Liberties, Justice and Home Affairs (LIBE), 2009, S. 5, http://www.europarl.europa. eu/committees/lt/libe/studiesdownload.html?languageDocument=EN&file=25213 (zuletzt geprüft am 15.03.2015). 520 So geschehen auch bei der DSRL und den darauffolgenden sektorspezifischen Rege­ lungen. 521 Vgl. de Hert/Papakonstantinou, Computer Law & Security Review 25 (2009), 403 (405), sowie ähnlich bereits vor Verabschiedung des DSRB de Hert/de Schutter, in: Martenczuk/van Thiel, Justice, liberty, security, 2008, S. 314. 517

132

Teil 1: Datenfluss im internationalen Kontext

a) Entstehungsgeschichte des Datenschutz-Rahmenbeschlusses Bis zur endgültigen Verabschiedung des DSRB war es ein langer Weg. Offiziell begannen die Arbeiten am DSRB bereits 2005. Gründe für die Initiative waren vielseitig: Praktische Gründe waren die unzureichende Berücksichtigung zeit­gemäßen Datenaustausches zwischen Polizei- und Justizbehörden durch die Datenschutzkonvention des Europarates, der zunehmende Datentransfer im internationalen Kontext, die zunehmenden Möglichkeiten zur Datensammlung und des Datenaustausches.522 Darüber hinaus gelangten auch die sektorspezifischen Regelungen an ihre Grenzen.523 Entscheidend für die Initiative war aber auch die politische Agenda zu dieser Zeit: So hatte der Rat dem Parlament u. a. zugesagt, eine solche Initiative zu verfolgen, um die Proteste des Parlaments während der Verabschiedung der Richtlinie zur Vorratsdatenspeicherung zu beschwichtigen und zudem trugen auch die Terroranschläge in London 2005 zur Veröffentlichung eines ersten Entwurfs für einen DSRB im Oktober 2005 bei.524 Auf Grund der notwendigen Einstimmigkeit für Entscheidungen im Rahmen der Dritten Säule, verschiedener Kontroversen wie bspw. einer zu starken Berücksichtigung der Strafverfolgung zu Lasten des Datenschutzes und Änderungsvorschlägen von verschiedenen Seiten konnte der erste Vorschlag keine tragfähige Zustimmung finden, sodass die deutsche Ratspräsidentschaft Anfang 2007 bei der Kommission um einen neuen, überarbeiteten Vorschlag bat.525 Nach zwei weiteren Verhandlungsjahren wurde der DSRB am 27. November 2008 verabschiedet. Die schließlich angenommene Regelung hatte im Rahmen ihrer Verhandlung eine Reihe von schwierigen rechtlichen Problemen zu bewerkstelligen, die u. a. in Folgendem begründet lagen: Zunächst ist die Datenverarbeitung im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen von sonstiger Datenverarbeitung komplett verschieden, sodass bspw. die Bedürfnisse der Polizei schwer mit grundlegenden Datenschutzprinzipien wie dem Grundsatz der Zweckbeschränkung vereinbar sind.526 Zudem hat sich die Sichtweise auf Datenschutz nach den Terroranschlägen in verschiedenen EU-Mitgliedstaaten geändert, sodass es nicht mehr so einfach ist, das Individuum vor den Gefahren kommerzieller Datenverarbeitung zu schützen, sondern die Balance zwischen Freiheit und Sicherheit gefunden werden muss.527 Des Weiteren erschwerten bereits eingegangene bilaterale Abkommen mit Drittstaaten zum Datenaustausch im Rahmen der polizeilichen Zusammenarbeit die Verhand 522 Vgl. de Hert/Papakonstantinou, Computer Law & Security Review 25 (2009), 403 (406) mit Nennung weiterer Gründe. 523 Vgl. de Hert/Papakonstantinou, Computer Law & Security Review 25 (2009), 403 (406). 524 Vgl. ausführlich, auch zur Geschichte der Verhandlungen zum DSRB de Hert/Papakonstan­ tinou, Computer Law & Security Review 25 (2009), 403 (406). 525 Vgl. zu den Kontroversen ausführlich de Hert/Papakonstantinou, Computer Law & Security Review 25 (2009), 403 (406 ff.) m. w. Nachw. 526 de Hert/Papakonstantinou, Computer Law & Security Review 25 (2009), 403 (408). 527 Vgl. de Hert/Papakonstantinou, Computer Law & Security Review 25 (2009), 403 (408 f.).

§ 6 Die bestehenden Regelungen in der EU und den USA 

133

lungen, da diese für manche EU-Staaten zu „wertvoll“ schienen, um sie für einen Rahmenbeschluss mit strengen Voraussetzungen zum Datenschutz aufzugeben.528 b) Zweck und Anwendungsbereich des Datenschutz-Rahmenbeschlusses Art. 1 I DSRB macht Aussagen zum Zweck des DSRB. Demnach ist der Zweck des DSRB „einen hohen Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihres Rechts auf Privatsphäre hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen gemäß Titel VI des Vertrags über die Europäische Union sowie gleichzeitig ein hohes Maß an öffentlicher Sicherheit zu gewährleisten“. Der DSRB bestimmt in Art. 1 II DSRB, dass die Mitgliedstaaten die „Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Privatsphäre“ schützen, „wenn personenbezogene Daten zum Zweck der Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten oder der Vollstreckung strafrechtlicher Sanktionen […] übermittelt oder bereitgestellt werden oder wurden.“. Der DSRB konkretisiert in Art. 1 II lit. a-c, zwischen welchen Stellen eine solche Übermittlung oder Bereitstellung erfolgen kann: Anwendbar ist der DSRB demnach, wenn die Übermittlung oder Bereitstellung zwischen Mitgliedstaaten (lit. a), von Mitgliedstaaten an Behörden oder Informationssysteme, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen geschaffen wurden (lit. b) oder von Behörden oder Informationssystemen, die im Rahmen des EUV oder EGV geschaffen worden sind, an die Mitgliedstaaten (lit. c) erfolgt. Der DSRB grenzt seinen Anwendungsbereich durch ein „funktionales Kriterium“ ab und behält dieses auch in den Bestimmungen des Art. 13 DSRB zur Übertragung an Drittstaaten und internationale Einrichtungen bei.529 Die Beschränkung des Art. 1 II lit. a DSRB ist zudem fundamental, da durch diese jegliche Verarbeitung innerhalb eines EU-Mitgliedstaates ausgenommen wird und die Mitgliedstaaten somit bei Datenverarbeitung nur an ihr innerstaatliches Recht­ gebunden sind.530 Art. 1 III DSRB regelt des Weiteren, dass die Regelungen des DSRB sowohl auf die vollständige oder teilweise erfolgte automatisierte Verarbeitung als auch für die nicht automatisierte Verarbeitung von Daten Anwendung finden. Art. 1 IV und V DSRB gehen noch auf Interessen der Mitgliedstaaten ein. So bestimmt Art. 1 IV DSRB, dass „die wesentlichen nationalen Sicherheitsinteressen 528

de Hert/Papakonstantinou, Computer Law & Security Review 25 (2009), 403 (409). So de Busser, Data protection in EU and US criminal cooperation, S. 117. 530 Vgl. dazu ausführlich de Hert/Papakonstantinou, Computer Law & Security Review 25 (2009), 403 (410), die anmerken, dass die Mitgliedstaaten in ihrer eigenen Jurisdiktion „free to do as they please“ wären. 529

134

Teil 1: Datenfluss im internationalen Kontext

und spezifische nachrichtendienstliche Tätigkeiten, die die innere Sicherheit betreffen“, vom DSRB unberührt bleiben und Art 1 V DSRB, dass die Mitgliedstaaten für personenbezogenen Daten, „die auf nationaler Ebene erhoben oder verarbeitet werden“, strengere Bestimmungen als die des DSRB erlassen können. c) Art. 13 DSRB Regelungen zum Datenfluss im internationalen Kontext finden insbesondere in Art. 13 DSRB Berücksichtigung. Zentrales Kriterium, nach dem sich dieser Datenfluss richtet, ist wiederum das Kriterium der Angemessenheit. aa) Ziele und Funktionen des Art. 13 DSRB Art.  13 DSRB regelt die Weiterleitung personenbezogener Daten an die zuständigen Behörden in Drittstaaten oder an internationale Einrichtungen und somit an öffentliche Stellen. Die Regelung sieht in Art. 13 I lit. a-d DSRB vor, unter welchen Umständen personenbezogene Daten, „die von der zuständigen Behörde eines anderen Mitgliedstaates übermittelt oder bereitgestellt wurden“, an die genannten öffentlichen Stellen weitergeleitet werden dürfen. Zwar unterhielten die meisten Mitgliedstaaten bereits bilaterale Beziehungen mit Drittländern über den Austausch von Polizeidaten, die sie durch die Datenschutzanforderungen des DSRB ungern aufgeben oder einer Überprüfung unterziehen wollten, doch musste der Datenfluss im internationalen Kontext – auf Grund der von diesem ausgehenden viel größeren Bedrohung für die Grundrechte des Einzelnen – Berücksichtigung finden.531 Die Bezugnahme auf die Mitgliedstaaten, die die personenbezogenen Daten übertragen, schließt Europol und Eurojust – trotz ihrer Kompetenz, personenbezogene Daten zu sammeln  – vom Anwendungsbereich des Art.  13 DSRB aus, was aber keine Lücke verursacht, da diese ihre eigenen Regelungen für den Transfer personenbezogener Daten haben.532 Überraschend ist zudem, dass der Artikel sich auf Daten beschränkt, die von einem anderen Mitgliedstaat übermittelt oder bereitgestellt wurden und somit nicht die Daten enthält, die durch den übertragenden Staat selbst gesammelt wurden.533 Neben den Regelungen des Art. 13 DSRB enthält der DSRB auch Regelung für Übermittlungen innerhalb der EU. Art. 14 DSRB regelt die Übermittlung personenbezogener Daten, die von einer „zuständigen Behörde eines anderen Mitgliedstaates übermittelt oder bereitgestellt wurden“, an nicht-öffentliche Stellen in Mitgliedstaaten. Konzentriert werden soll sich jedoch auf Datenübermittlungen in ein Drittland. 531

Vgl. de Hert/Papakonstantinou, Computer Law & Security Review 25 (2009), 403 (412). de Busser, Data protection in EU and US criminal cooperation, S. 118. 533 So de Busser, Data protection in EU and US criminal cooperation, S. 118 f., siehe auch Art. 1 II lit. a DSRB. 532

§ 6 Die bestehenden Regelungen in der EU und den USA 

135

bb) Art. 13 I lit. a-c, II DSRB – Voraussetzungen für eine Übermittlung Art. 13 I lit. a DSRB bestimmt, dass eine Weiterleitung möglich ist, wenn „dies zur Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten oder zur Vollstreckung strafrechtlicher Sanktionen erforderlich ist“. Das Zusatzprotokoll zur Datenschutzkonvention des Europarates sowie andere Instrumentarien, die ebenfalls Regelungen zur Übertragung personenbezogener Daten an Dritt­länder enthalten, beinhalten diese Voraussetzung nicht.534 Die Regelung des Art.  13 I DSRB geht über die bloße Begrenzung des Transfers und der Empfänger hinaus und macht auch Aussagen über die weitere Verwendung der Daten.535 Die Regelung stellt zudem eine Form der Zweckbeschränkung dar und stellt sicher, dass die Daten nicht bspw. für administrative Zwecke weitergegeben werden.536 In Art. 13 I lit. b regelt der DSRB, dass personenbezogene Daten weitergeleitet werden dürfen, wenn „die empfangende Stelle in dem Drittstaat oder die empfangende Einrichtung für die Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen zuständig ist“. Des Weiteren ist gem. Art. 13 I lit. c DSRB die Weiterleitung durch einen Mitgliedstaat erst möglich, wenn „der Mitgliedstaat, von dem er die Daten erhalten hat, der Weiterleitung unter Beachtung seines innerstaatlichen Rechts zugestimmt hat“. Sollte die geforderte Zustimmung nicht erfolgt sein, ist  – wie Art.  13 II DSRB klarstellt  – eine Weiterleitung nur zulässig, „wenn die Weiterleitung der Daten zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaates oder eines Drittstaates oder für die wesentlichen Interessen eines Mitgliedstaats unerlässlich ist und die vorherige Zustimmung nicht rechtzeitig eingeholt werden kann.“ Die Regelung ergänzt: „Die für die Erteilung der Zustimmung zuständige Behörde wird unverzüglich unterrichtet.“ Diese Regelung führt sehr weitgehende Ausnahmen von den Anforderungen an einen Datentransfer ein und besonders das Kriterium der „wesentlichen Interessen eines Mitgliedstaats“ in Art. 13 II DSRB bietet einen beträchtlichen Spielraum für Interpretationen.537 Durch die weitgehenden Ausnahmen lässt sich das Kriterium der vorherigen Zustimmungen somit ziemlich leicht umgehen.538

534 So de Busser, Data protection in EU and US criminal cooperation, S. 117 mit Verweis auf das Übereinkommen über den Einsatz der Informationstechnologie im Zollbereich v. 26.7.1995, ABl. C 316 v. 27.11.1995, S. 33, das SIS, Europol und Eurojust und weiteren Ausführungen dazu. 535 Vgl. de Busser, Data protection in EU and US criminal cooperation, S. 117. 536 Vgl. de Busser, Data protection in EU and US criminal cooperation, S. 118 mit Verweis auf Art. 11 DSRB, der weniger restriktive Regelungen enthält. 537 Vgl. Boehm, Information sharing and data protection in the area of freedom, security and justice, S. 164. 538 de Busser, Data protection in EU and US criminal cooperation, S. 119: „quite effortlessly pushed aside“.

136

Teil 1: Datenfluss im internationalen Kontext

cc) Art. 13 I lit. d, III lit. a, b, IV DSRB – Das Kriterium der Angemessenheit Die essentielle Regelung zum Datenfluss im internationalen Kontext ist in Art. 13 I lit. d DSRB enthalten. Gemäß diesem Artikel kann eine Übermittlung an einen Drittstaat oder eine internationale Einrichtung erfolgen, wenn „dieser Drittstaat oder diese internationale Einrichtung ein angemessenes Schutzniveau für die beabsichtigte Datenverarbeitung gewährleistet“. Jedoch existieren auch hier Ausnahmen von diesem Grundsatz. Art.  13 III DSRB regelt, unter welchen Voraussetzungen personenbezogene Daten abweichend von Art. 13 I lit. d DSRB weitergeleitet werden dürfen: Nach Art.  13 III lit.  a DSRB ist dies der Fall, wenn „dies im innerstaatlichen Recht des Mitgliedstaats, der die Daten weiterleitet, vorgesehen ist“ und zwar entweder „wegen überwiegender schutzwürdiger Interessen der betroffenen Person“ (i) oder „wegen überwiegender berechtigter Interessen, insbesondere wichtiger öffentlicher Interessen“ (ii). Bei dieser Regelung wäre auf Grund der sehr weitgehenden Formulierung eine weitgehendere Klarstellung wünschenswert gewesen. Möglich wäre dies bspw. durch eine abschließende Liste an Gründen, wann ein öffentliches Interesse eines Mitgliedstaats vorliegt, eine Aufsichtsbehörde, die die Legitimität eines geltend gemachten Grundes überprüft oder die Schaffung von Standards, wann ein Interesse eines Landes als überwiegend gegenüber der Voraussetzung der Angemessenheit anzusehen ist.539 Die Ausnahmebestimmungen haben ihren Ursprung in Art.  2 des Zusatzprotokolls zur Datenschutzkonvention, sodass die Kritik an der Regelung im Rahmen des DSRB ebenso für das Zusatzprotokoll der Datenschutzkonvention gilt.540 Jedoch ist dessen Anwendungsbereich nicht auf die polizeiliche und justizielle Zusammenarbeit in Strafsachen beschränkt, sondern hat einen viel breiteren Anwendungsbereich generell auf die Verarbeitung von Daten, sodass eine Regelung wie die gewählte einen zu großen Spielraum für oftmals sensible Daten im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen lässt und somit das Kriterium der Angemessenheit umgeht.541 Zudem ist eine Abweichung gem. Art. 13 III lit. b DSRB möglich, wenn „der Drittstaat oder die empfangende internationale Einrichtung Garantien bietet und diese vom betreffenden Mitgliedstaat in Übereinstimmung mit ihrem jeweiligen innerstaatlichen Recht für angemessen befunden werden.“. Die mögliche Abweichung vom Kriterium der Angemessenheit kann dazu führen, dass weniger Beschränkungen beim Datenfluss in Drittländer anwendbar sind, als es im Fall eines Transfers von Daten durch Europol oder Eurojust der Fall wäre.542

539

de Busser, Data protection in EU and US criminal cooperation, S. 120. de Busser, Data protection in EU and US criminal cooperation, S. 120. 541 Vgl. de Busser, Data protection in EU and US criminal cooperation, S. 120. 542 de Busser, Data protection in EU and US criminal cooperation, S. 118. 540

§ 6 Die bestehenden Regelungen in der EU und den USA 

137

Art. 13 IV DSRB nimmt Bezug auf Art. 13 I lit. d DSRB und nennt Kriterien, die zur Bestimmung der Angemessenheit des Schutzniveaus herangezogen werden. Nach der Feststellung, dass die Bestimmung der Angemessenheit des Schutzniveaus „unter Berücksichtigung aller Umstände […], die bei einer Datenübermittlung oder eine Kategorie von Datenübermittlungen eine Rolle spielen“, beurteilt wird, werden Kriterien genannt, die „insbesondere“ – also mit der Möglichkeit des Rückgriffs auf weitere Kriterien – Berücksichtigung finden. Diese Kriterien sind „die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung, der Herkunftsstaat und der Staat oder die internationale Einrichtung, für welche die Daten am Ende bestimmt sind, die in dem betreffenden Drittstaat oder der betreffenden internationalen Einrichtung geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen“. Positiv ist hier zu bewerten, dass das Datenschutzniveau im Drittland – im Gegensatz zum Vorentwurf – als Bewertungskriterium eingefügt worden ist.543 Die Kriterien, die zur Bestimmung der Angemessenheit des Schutzniveaus herangezogen werden können, sind die gleichen wie im Rahmen der DSRL. Ob der Begriff der „Angemessenheit“ an sich jedoch genauso strikt verstanden werden soll wie in der DSRL, nennt der DSRB nicht.544 Das Kriterium der „Angemessenheit“ wurde auch nicht nach Initiative des Europäischen Datenschutzbeauftragten detaillierter ausgestaltet, um eine einheitliche Bestimmung der Angemessenheit zu ermöglichen.545 Wie weit das Schutzniveau durch die zusätzliche Voraussetzung des Datenschutzniveaus im Drittland tatsächlich ausgeweitet wird, ist jedoch fraglich. Erwägungsgrund 23 des DSRB lässt nämlich eine gewisse Vagheit in Bezug auf das Kriterium der Angemessenheit erkennen. Dieser bestimmt nämlich: „Personenbezogene Daten, die von einem Mitgliedstaat an Drittstaaten oder interna­ tionale Stellen übermittelt werden, sollten grundsätzlich angemessenen geschützt werden.“.546 Im Ergebnis spielt dies jedoch keine Rolle, da das Kriterium der Angemessenheit selbst genügend Spielraum für Interpretationen bietet und es somit nicht entscheidend ist, ob entweder das Kriterium der „Angemessenheit“ weit interpretiert wird oder im Einzelfall auf dieses verzichtet wird. Bemerkenswert ist, dass jeder Mitgliedstaat selbst bestimmt, ob das Datenschutzniveau im jeweiligen Drittstaat „angemessen“ ist.547 Dadurch könnte es zu unterschiedlichen Entschei 543

de Busser, Data protection in EU and US criminal cooperation, S. 120. Boehm, Information sharing and data protection in the area of freedom, security and justice, S. 164. 545 Siehe dazu die Dritte Stellungnahme des Europäischen Datenschutzbeauftragten zu dem Vorschlag für einen Rahmenbeschluss des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, ABl. C 139 v. 23.06.2007, S. 1, § 27 f., dazu auch de Busser, Data protection in EU and US criminal cooperation, S. 119. 546 Hervorhebung durch den Autor. Ebenso bei Boehm, Information sharing and data protection in the area of freedom, security and justice, S. 163 für die englische Version („in principle“). 547 Vgl. de Hert/Papakonstantinou, Computer Law & Security Review 25 (2009), 403 (412) mit Ausführungen zur Zuständigkeit der Mitgliedstaaten zur Bestimmung der Angemessenheit. 544

138

Teil 1: Datenfluss im internationalen Kontext

dungen kommen.548 Dies verdeutlicht umso mehr die Bedeutung des Kriteriums als Funktionsbegriff, der neben der Berücksichtigung datenschutzrechtlicher Sicherheiten – insbesondere in der polizeilichen und justiziellen Zusammenarbeit – mittlerweile auch individuelle sicherheitspolitische Erwägungen eines Mitgliedstaates mit einbeziehen kann. Inhaltlich ist der Begriff somit weniger stark konturiert als im Rahmen der DSRL und eröffnet – sogar explizit durch Erwägungsgrund 23 des DSRB – einen weiten Spielraum. Hinzu kommt, dass gem. Art. 26 DSRB die vor Inkrafttreten des DSRB abgeschlossenen bilateralen Abkommen zwischen Mitgliedstaaten und Drittländern von den Regelungen des DSRB unberührt bleiben.549 Dies könnte zu Szenarien wie dem folgenden führen:550 Ein Mitgliedstaat A ist der Meinung, dass ein Drittland, mit dem es zudem ein Abkommen über bilateralen Datentransfer geschlossen hat, über ein angemessenes Datenschutzniveau verfügt. Ein anderer Mitgliedstaat B, der kein bilaterales Abkommen mit demselben Drittstaat hat, ist hingegen der Meinung, dass ein solches angemessenes Schutzniveau nicht besteht. Es wäre unter dem DSRB möglich, dass Mitgliedstaat A ohne die eigentlich notwendige Zustimmung des Landes B (Art. 13 I lit. c) im Falle einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit (Art. 13 II) Daten, die es von Mitgliedstaat B über Bürger des Landes B erhalten hat, an das Drittland weiterleitet. Das Drittland hätte die Daten jedoch möglicherweise nicht erhalten, wenn es sich direkt an Mitgliedstaat B gewandt hätte. Positiv am DSRB ist zu sehen, dass eine Regelung geschaffen wurde, die einen gewissen Standard auf dem Gebiet der polizeilichen und justiziellen Zusammenarbeit bietet und in diesem Bereich bei der Verabschiedung von Regelungen Beachtung zu finden hat. Datenschutz ist nicht mehr nur auf die Bereiche beschränkt, in denen sektorspezifische Regelungen erlassen wurden. Im Hinblick auf den Datenfluss im internationalen Kontext ist ein „relativer Gleichlauf“ zur DSRL zur erkennen. Das Kriterium der Angemessenheit ist weiterhin von Bedeutung bei der Übermittlung von personenbezogenen Daten zu Sicherheitszwecken.551 Die Voraussetzungen sind jedoch interpretationsfähig. Sowohl das Kriterium der Zustimmung zum Datentransfer als auch das Kriterium der Angemessenheit selbst bieten durch die weit gefassten Ausnahmevorschriften sowie die starke Position der Mitgliedstaaten diese Möglichkeit. Zwar sind die Mitgliedstaaten selbst an das Grundrecht auf Datenschutz gebunden, sodass ein Kernbestand an Schutzprinzipien stets berücksichtigt werden müsste.552 Das Kriterium der Angemessenheit bietet ihnen jedoch die Möglichkeit, im Rahmen einer Abwägung verschiedene Interessen anzustellen. 548 So auch der Europäischen Datenschutzbeauftragten in seiner Stellungnahme zum Vorschlag des DSRB, ABl. C 139 v. 23.06.2007, S. 1, § 27 ff. 549 Vgl. de Hert/Papakonstantinou, Computer Law & Security Review 25 (2009), 403 (412), die diese Situation als „awkward“ beschreiben. 550 Vgl. de Hert/Papakonstantinou, Computer Law & Security Review 25 (2009), 403 (412) für das hier genannte Beispiel. 551 Siehe dazu Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (900). 552 Siehe zu diesem Kernbestand oben S. 97 ff.

§ 6 Die bestehenden Regelungen in der EU und den USA 

139

3. Weitere exemplarische Regelungen auf EU-Ebene Neben den bereits dargestellten Regelungen DSRL und DSRB besteht auf EU-Ebene eine Vielzahl weiterer Regelungen zum Datenfluss im internationalen Kontext. Diese stellen ähnliche Voraussetzungen auf, jedoch sind sie stets im Kontext ihres Anwendungsbereiches zu sehen. Exemplarisch sind einige von ihnen zu nennen. a) Verordnung zum Datenschutz durch die Organe und Einrichtungen der Gemeinschaft Weitere Regelungen finden sich bspw. in der Datenschutzverordnung für die Organe und Einrichtungen der Gemeinschaft.553 Art. 9 der Verordnung regelt die „Übermittlung personenbezogener Daten an Empfänger, die nicht Organe oder Einrichtungen der Gemeinschaft sind und die nicht der Richtlinie 95/46/EG unterworfen sind“. Die Verordnung stellt wiederum auf das Kriterium der Angemessenheit ab und orientiert sich dabei an den Angemessenheitsentscheidungen der Kommission im Rahmen der DSRL. Art. 9 VI der Verordnung enthält Ausnahmebestimmungen, die sich an Art. 26 DSRL orientieren. Eine erwähnenswerte Bestimmung ist Art. 9 VII der Verordnung, da sie dem EU-Datenschutzbeauftragten zugesteht, unbeschadet der sonstigen Ausnahmebestimmungen Datenübermittlungen in ein Drittland zu genehmigen, wenn ausreichende Garantien, insbesondere durch Vertragsklauseln, vorhanden sind. b) Eurojust Bestimmungen zum Datenfluss im internationalen Kontext bestehen auch bei Eurojust, der für die Koordinierung und Zusammenarbeit bei der Ermittlung und Verfolgung von schwerer Kriminalität zuständigen EU-Behörde.554 Art.  26 des 553

Siehe Verordnung (EG) Nr.  45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr, ABl. L 8 v. 12.01.2001, S. 1 ff.; dazu auch kurz de Busser, Data protection in EU and US criminal cooperation, S. 116 f. 554 Vgl. Art.  85 EUV; Bestimmungen mit Relevanz für den Datenschutz bei Eurojust sind u. a. enthalten in Art. 14–28 des Beschlusses des Rates zur Stärkung von Eurojust und zur Änderung des Beschlusses 2002/187/JI des Rates über die Errichtung von Eurojust zur Verstärkung der Bekämpfung der schweren Kriminalität, 5347/3/09REV3; in den Bestimmungen der Geschäftsordnung betreffend die Verarbeitung und den Schutz personenbezogener Daten bei Eurojust, ABl. C 68 v. 19.03.2005, S. 1 ff. sowie den Additional rules defining some specific aspects of the application of the rules on the processing and protection of personal data at Eurojust to non-case-related operations, angenommen durch das Eurojust-Kollegium am 27.06.2006; zum Datenschutz bei Eurojust siehe ausführlich Alonso Blas, Data protection

140

Teil 1: Datenfluss im internationalen Kontext

Beschlusses des Rates zur Stärkung von Eurojust regelt die Möglichkeit, Kooperationen zu Organen, Einrichtung und Agenturen der EU mit Hilfe von Abkommen und Arbeitsvereinbarungen aufzunehmen und zu unterhalten. Explizit genannt werden Europol, OLAF, Frontex, sowie der Rat. Diese Abkommen bzw. Arbeitsvereinbarungen können den Austausch personenbezogener Daten zum Gegenstand haben. Art. 26 a des Beschlusses des Rates zur Stärkung von Eurojust ermöglicht zudem Abkommen und Kooperationsbeziehungen u. a. mit Drittstaaten, internationalen Organisationen oder Interpol. Gegenstand kann wiederum u. a. der Austausch von personenbezogenen Daten sein. Voraussetzung für den Abschluss der Abkommen ist gem. Art. 26 a III alternativ die Geltung der Datenschutzkonvention des Europarates oder das Bestehen eines angemessenen Schutzniveaus bei der betreffenden Einrichtung.555 Art. 27 I des Beschlusses des Rates zur Stärkung von Eurojust fordert außerdem vor der Übermittlung die Zustimmung der Stelle aus dem Mitgliedstaat an, die die Information vorgelegt hat. Art 27 II stellt zudem klar, dass Eurojust für die Übermittlung verantwortlich ist und sich vor der Übermittlung eine Zweckbegrenzung durch den Empfänger zusagen lässt. Weitere Regelungen zum Datenfluss im internationalen Kontext bestehen in Art. 28 der Bestimmungen der Geschäftsordnung betreffend die Verarbeitung und den Schutz personenbezogener Daten bei Eurojust. c) Europol Europol ist das europäische Polizeiamt und hat die Aufgaben, „die Tätigkeit der Polizeibehörden und der anderen Strafverfolgungsbehörden der Mitgliedstaaten sowie deren gegenseitige Zusammenarbeit bei der Verhütung und Bekämpfung der zwei oder mehr Mitgliedstaaten betreffenden schweren Kriminalität, des Terrorismus und der Kriminalitätsformen, die ein gemeinsames Interesse verletzen, das Gegenstand einer Politik der Union ist, zu unterstützen und zu verstärken“.556 Regelungen zum Datenfluss im internationalen Kontext finden sich in Art. 22 und 23 des Beschlusses des Rates zur Errichtung des Europäischen Polizeiamts.557 Art. 22 des Beschlusses regelt die Möglichkeit, Kooperationsbeziehungen zu EU-Orgaat Eurojust: A robust, effective and tailor-made regime, http://eurojust.europa.eu/doclibrary/ corporate/corporatepublications/Data%20Protection%20at%20Eurojust%20 %28Extract%29/ Data-Protection-at-Eurojust-Extract-EN.pdf (zuletzt geprüft am 15.03.2015). 555 Siehe zum Austausch von personenbezogenen Daten zwischen Eurojust und Dritten ausführlich Alonso Blas Eurojust (Hrsg.), Data protection at Eurojust: A robust, effective and tailor-­ made regime, S. 32 ff. 556 Vgl. Art. 88 EUV; Bestimmungen mit Relevanz für den Datenschutz bei Europol sind u. a. enthalten in Art. 17–35 des Beschlusses des Rates vom 6. April 2009 zur Errichtung des Europäischen Polizeiamts (Europol), ABl. L 121 v. 15.05.2009, S. 37 ff, sowie in Durchführungsbestimmungen; siehe zu den Bestimmungen ausführlich Europol, Data Protection at Europol, S. 10 ff, https://www.europol.europa.eu/sites/default/files/publications/europol_dpo_booklet_0. pdf (zuletzt geprüft am 15.03.2015). 557 Dazu Europol, Data Protection at Europol, S. 22 f.

§ 6 Die bestehenden Regelungen in der EU und den USA 

141

nen, -Einrichtungen, -Ämtern und -Agenturen einzugehen und im Rahmen dessen auch Abkommen oder Arbeitsvereinbarungen u. a. zum Austausch personenbezogener Daten abzuschließen. Art. 23 des Ratsbeschlusses regelt hingegen die Beziehungen zu Drittstaaten und dritten Organisationen. Mit diesen können ebenfalls Kooperationsbeziehungen eingegangen und u. a. Abkommen zum Austausch personenbezogener Daten abgeschlossen werden. Wiederum ist bei der Übermittlung personenbezogener Daten das Kriterium der Angemessenheit entscheidend.558 Neben der üblichen Kooperation durch strategische und operationelle Abkommen regelt Art. 23 VIII auch Fälle, bei denen keine Kooperationsbeziehungen bestehen: In diesen Fällen können ausnahmsweise dennoch Daten übermittelt werden, wenn „der Direktor die Übermittlung der Daten zur Wahrung der grundlegenden Interessen der betreffenden Mitgliedstaaten im Rahmen der Ziele von Europol oder zur Abwehr einer unmittelbaren kriminellen oder terroristischen Bedrohung für unbedingt erforderlich hält“. Dabei nimmt der Direktor von Europol eine „Abwägung zwischen den zu wahrenden Interessen und dem von der betreffenden Stelle gewährleisteten Datenschutzniveau vor“ und „unterrichtet den Verwaltungsrat und eine gemeinsame Kontrollinstanz so bald wie möglich über die von ihm getroffene Entscheidung sowie darüber, auf welcher Grundlage die Feststellung der Angemessenheit des Datenschutzniveaus der betreffenden Stellen erfolgt ist“.559 III. Sekundärrechtliche Regelungen zum Datenfluss im internationalen Kontext de lege ferenda Wie an den dargestellten Beispielen de lege lata erkennbar ist, verfügt die EU über eine Vielzahl verschiedener Datenschutzregelungen, die um weitere Beispiele ergänzt werden könnten. Entscheidendes Kriterium im Rahmen des Datenflusses im internationalen Kontext ist stets das „angemessene Schutzniveau“, das eine Übermittlung von Daten in ein Drittland ermöglicht. Grundsätzlich könnte ein Kernbestand an essentiellen Schutzprinzipien, die inhaltlich bei der Bestimmung der Angemessenheit Berücksichtigung finden müssten, festgelegt werden.560 Tatsächlich weichen diese Schutzprinzipien jedoch – wie die Praxis bspw. mit der Safe Harbor-Regelung zeigt – zum Teil im Rahmen einer Abwägung anderen Interessen. Ein wichtiger Faktor im Hinblick auf den Transfer von Daten in Dritt­ länder ist bspw. die Bedeutung wirtschaftlicher Beziehungen, in dessen Rahmen die Beurteilung eines angemessenen Schutzniveaus von äußerster Wichtigkeit ist.561 Bei der Evaluation des Schutzniveaus legen sich die EU-Datenschutzrege 558 Vgl. Art. 23 VI lit. b, VIII und IX des Beschlusses des Rates zur Errichtung des Euro­ päischen Polizeiamts. 559 Siehe Art. 23 VIII des Beschlusses des Rates zur Errichtung des Europäischen Polizeiamts; dazu Europol, Data Protection at Europol, S. 23. 560 Siehe dazu oben S. 97 ff. 561 So auch de Busser, Data protection in EU and US criminal cooperation: „In view of economic relations with third states, these assessments have crucial importance.“

142

Teil 1: Datenfluss im internationalen Kontext

lungen nicht auf einen festgelegten Katalog an Kriterien fest, sondern bieten viel Spielraum im Rahmen einer „Gesamtschau“. Neben dieser ersten „Stellschraube“, bestehen weitere Möglichkeiten, den Datenfluss im internationalen Kontext durch eine Vielzahl von Ausnahmestimmungen und Instrumentarien wie verbindliche Unternehmensregelungen oder Standardvertragsklauseln zu ermöglichen. Somit besteht insgesamt eine Vielzahl an Instrumentarien, Datenfluss im internationalen Kontext zu ermöglichen und gleichzeitig auch den Datenschutz – ein Grundrecht in der EU – zu verwirklichen. Das Kriterium der Angemessenheit findet auch im Rahmen der neu geplanten Datenschutzregelungen der EU Berücksichtigung. Am 25.  Januar 2012 veröffentlichte die EU-Kommission einen Vorschlag zur grundlegenden Reform des europäischen Datenschutzrechts. Dieser Vorschlag bestand aus zwei Teilen, einem Entwurf für eine Datenschutzgrundverordnung562 (DSGVO), der die DSRL ablösen soll, sowie als einen umfassenderen Ersatz für den Rahmenbeschluss des Rates, einem Entwurf für eine Richtlinie für die Datenverarbeitung bei Polizei und Justiz563 (DSRL-PJ). Im Folgenden und im Wissen um die bestehenden Unsicherheiten in Bezug auf den Abschluss der Reform und ihre genaue Ausgestaltung („nothing is agreed until everything is agreed“564) sind zunächst die ursprünglichen Vorschläge der Kommission vom Januar 2012 umfassend zu diskutieren und eine Auswahl der Reak­ tionen aufzuzeigen. Dabei ist vor allem auf den Vorschlag der Kommission, sowie vereinzelt auf Änderungsvorschläge des Parlaments und auf öffentlich zugängliche Beratungsergebnisse des Rates einzugehen.565 Bei den Änderungsvorschlä 562 Europäische Kommission, Vorschlag für Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) vom 25.01.2012, KOM(2012)11 endgültig, (Kommissionsvorschlag Datenschutz-Grundverordnung 2012). 563 Europäische Kommission, Vorschlag für Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr vom 25.01.2012, KOM(2012)10 endgültig, (Kommissionsvorschlag Datenschutz-Richtlinie 2012); die Abkürzung „Richtlinie für die Datenverarbeitung bei Polizei und Justiz“ geht zurück auf Bäcker/Hornung, ZD 2012, 147. 564 So in einer Pressemitteilung des Rates, siehe http://www.consilium.europa.eu/en/press/ press-releases/2015/03/13-data-protection-council-agrees-general-principles-and-one-stopshop-mechanism (zuletzt geprüft am 15.03.2015). 565 Siehe im Folgenden zu dem Vorschlag des Parlaments: Legislative Entschließung des Europäischen Parlaments vom 12.  März 2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)), (Vorschlag des EU-Parlaments v. 12.03.2014 für eine DSGVO) sowie Legislative Entschließung des Europäischen Parlaments vom 12. März 2014 zu dem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung

§ 6 Die bestehenden Regelungen in der EU und den USA 

143

gen wurden teilweise lediglich Präzisierungen vorgenommen, teilweise neue Vorschläge eingebracht. Eine weitere Beschäftigung würde den Umfang dieser Arbeit zu sehr ausweiten. Im Einzelnen soll auf besonders relevante Entwicklungen mit Bezug zum Datenfluss im internationalen Kontext eingegangen werden. Letztendlich werden erst die Ergebnisse des Trilogs zwischen Parlament, Rat und Kommission Klarheit über die genaue Ausgestaltung der EU-Datenschutzreform bringen. 1. Kommissionsvorschlag für eine Datenschutzgrundverordnung Erstes Element des Reformpakets ist der Entwurf einer Datenschutzgrundverordnung.566 Diese soll die DSRL ablösen.

oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr (COM(2012)0010 – C7-0024/2012 – 2012/0010(COD)), (Vorschlag des EU-Parlaments v. 12.03.2014 für eine DSRL-PJ); zu den Verhandlungen im Rat mit Bezug zum Datenfluss im internationalen Kontext siehe Council of the European Union, Proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) – Partial General Approach on Chapter V, 10349/14, 28.05.2014, (Version des Rates v. 28.05.2014 für eine DSGVO) und Proposal for a Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data, 15391/14, 22.12.2014, (Version des Rates v. 22.12.2014 für eine DSRL-PJ); zu den Verhandlungen im Rat auch Peers, statewatch Analysis: The Proposed Data Protection Regulation: What has the Council agreed so far?, 08.12.2014, http://www.statewatch.org/analyses/ no-260-dp-reg-council-position-consolidated-dec-14.pdf (zuletzt geprüft am 15.03.2015). 566 Zum Entwurf einer DSGVO siehe bspw.: Albrecht, ZD 2013, 49; Albrecht, ZD 2013, 587; Art. 29-Datenschutzgruppe, Stellungnahme 01/2012 zu den Reformvorschlägen im Bereich des Datenschutzes, WP 191, 23.03.2012, S. 6–29, http://www.europarl.europa.eu/meetdocs/2009_ 2014/documents/libe/dv/10_wp_29_wp191_/10_wp_29_wp191_de.pdf (zuletzt geprüft am 15.03.2015); Art.  29-Datenschutzgruppe, Stellungnahme 08/2012 mit weiteren Beiträgen zur Diskussion der Datenschutzreform, WP 199, 05.10.2012, http://ec.europa.eu/justice/dataprotection/article-29/documentation/opinion-recommendation/files/2012/wp199_de.pdf (zuletzt geprüft am 15.03.2015); Böhning, ZD 2013, 421; Caspar, ZD 2012, 555; Dehmel/Hullen, ZD 2013, 147; Eckhardt, CR 2012, 195; Eckhardt/Kramer, DuD 2013, 287; Giesen, CR 2012, 550; Götz, DuD 2013, 631; Gola/Schulz, RDV 2013, 1; Härting, CR 2013, 715; Herrmann, ZD 2012, 49; Hornung, ZD 2011, 51; Hornung, ZD 2012, 99; Hornung/Sädtler, CR 2012, 638; Hustinx, ZD 2013, 301; Kahler, RDV 2013, 69; Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Datenschutz-Grundverordnung, 11.06.2012, https://www.ldi. nrw.de/mainmenu_Aktuelles/Inhalt/EU-Datenschutz_DSK/Stellungnahme_der_DSK_zur_ Datenschutz-Grundverordnung.pdf (zuletzt geprüft am 15.03.2015); Kramer, Datenschutz-Berater 2012, 57; Kuner, Transborder data flows and data privacy law, S. 46 ff.; Lang, K&R 2012, 145; Leutheusser-Schnarrenberger, MMR 2012, 709; von Lewinski, DuD 2012, 564; Masing, Süddeutsche Zeitung 09.01.2012, 10; Nebel/Richter, ZD 2012, 407; Reding, ZD 2012, 195; Rogall-Grothe, ZRP 2012, 193; Ronellenfitsch, DuD 2012, 561; Roßnagel, DuD 2012, 553; Schild/Tinnefeld, DuD 2012, 312; Schultze-Melling, ZD 2013, 97; Selent, Datenschutz-Berater 2013, 115; Spies, ZD 1/2012, V; Wagner, DuD 2012, 303; Wolf, ZD 2013, 1.

144

Teil 1: Datenfluss im internationalen Kontext

a) Zweck der Verordnung und Referenzen zum Datenfluss im internationalen Kontext Erwägungsgrund 5 der DSGVO in der ursprünglichen Version des Kommissionsvorschlags erläutert, dass der „rasche technologische Fortschritt und die Globalisierung den Datenschutz vor neue Herausforderungen“ stellten und verweist darauf, dass das „Ausmaß, in dem Daten ausgetauscht und erhoben werden“, dramatisch gestiegen sei.567 Die Kommission nennt in ihrer Begründung, dass die Ziele sowie die Grundsätze der derzeitigen Datenschutzregelung gültig blieben, diese aber „eine unterschiedliche Handhabung des Datenschutzes in der Union, Rechtsunsicherheit sowie die weit verbreitete öffentliche Meinung, dass speziell im Internet der Datenschutz nicht immer gewährleistet ist, nicht verhindern können“.568 Daher sei es an der Zeit, „eine konsequentere, kohärentere Datenschutzregelung in der EU zu schaffen, die durchsetzbar ist und die Voraussetzungen dafür bietet, dass die Wirtschaft im Binnenmarkt weiter Fuß fasst, die Bürger Kontrolle über ihre eigenen Daten erhalten und die Sicherheit für Wirtschaft und Staat in rechtlicher wie praktischer Hinsicht erhöht wird“.569 Die Intention, ein einheitliches Datenschutzrecht innerhalb Europas zu schaffen, verdient Beachtung. Dass dabei manche Mitgliedstaaten in ihrem Datenschutzniveau „absinken“ werden, ist hinzunehmen. Im Gegenzug wird der Datenschutz in anderen Mitgliedstaaten angehoben. In einem einheitlichen Binnenmarkt ist dies konsequent und folgerichtig. Der Datenschutz ist – auch für Länder, deren Datenschutzniveau „absinken“ wird – immer noch ein Datenschutz, der weltweit seinesgleichen sucht. In Bezug auf den Datenfluss im internationalen Kontext stellte die Kommission in ihrem Vorschlag für die DSGVO heraus, dass die EU die „geeignete Ebene“ sei, um alle Betroffenen „effektiv in gleichem Maße“ zu schützen.570 Bedeutende Voraussetzung für einen legitimen Datenfluss im internationalen Kontext sei  – wie bereits in den Vorgängerregelungen DSRL und DSRB  –, dass das Datenschutzniveau im jeweiligen Drittland bzw. der jeweiligen internationalen Organisation „angemessen“ sei, jedoch seien auch Sicherheiten wie BCR oder Vertragsklauseln gleichwertig zu einer Angemessenheitsentscheidung. Zudem gebe es weiterhin umfassende Ausnahmebestimmungen. Neben den Erwägungsgründen 63 und 66 gehen auch die Erwägungsgründe 78 bis 91 bereits im Vorschlag der Kommission umfassend auf im Zusammenhang mit dem Datenfluss im internationalen Kontext stehende Aspekte ein.571 Erwägungsgrund 78 bestimmt: „Der grenzüberschrei 567

Kommissionsvorschlag Datenschutz-Grundverordnung 2012, S. 20. Kommissionsvorschlag Datenschutz-Grundverordnung 2012, S. 2 mit Verweis auf European Commission, Special Eurobarometer 359 – Attitudes on Data Protection and Electronic Identity in the European Union, 2011, http://ec.europa.eu/public_opinion/archives/ebs/ebs_ 359_en.pdf (zuletzt geprüft am 15.03.2015). 569 Kommissionsvorschlag Datenschutz-Grundverordnung 2012, S. 2. 570 Kommissionsvorschlag Datenschutz-Grundverordnung 2012, S. 6. 571 Siehe Kommissionsvorschlag Datenschutz-Grundverordnung 2012, S. 31 f.; S. 34 ff. 568

§ 6 Die bestehenden Regelungen in der EU und den USA 

145

tende Verkehr von personenbezogenen Daten ist für die Entwicklung des internationalen Handels und der grenzüberschreitenden Zusammenarbeit notwendig. Durch die Zunahme dieser Datenströme sind neue Herausforderungen und Anforderungen in Bezug auf den Schutz personenbezogener Daten entstanden. Der durch diese Verordnung insoweit garantierte Schutz natürlicher Personen sollte jedoch bei der Übermittlung von personenbezogenen Daten aus der Union in Drittländer oder an internationale Organisationen nicht unterminiert werden. In jedem Fall sollten derartige Datenübermittlungen an Drittländer nur unter strikter Ein­ haltung dieser Verordnung zulässig sein“.572 Regelungen zum Datenfluss im internationalen Kontext sind in der DSGVO in den Art. 40–45 enthalten.573 b) Art. 40 DSGVO: Allgemeine Grundsätze der Datenübermittlung aa) Ziele und Funktionen des Art. 40 DSGVO Art. 40 stellt „Allgemeine Grundsätze der Datenübermittlung“ auf, die eingehalten werden müssen, um Daten zu übermitteln. In den folgenden Artikeln werden die Voraussetzungen spezifiziert. bb) Inhalt des Art. 40 DSGVO Art.  40 DSGVO bestimmt im Verordnungsvorschlag der Kommission allgemein, dass personenbezogene Daten nur in Drittländer oder an internationale Organisationen übermittelt werden dürfen, „wenn der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden“. Das genannte Kapitel ist das Kapitel V der DSGVO mit dem Titel „Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen“. Art. 40 DSGVO in der Version der Kommission verzichtet somit darauf, wie in der DSRL die Übermittlung personenbezogener Daten generell un 572

Kommissionsvorschlag Datenschutz-Grundverordnung 2012, Erwägungsgrund 78, S. 34. Siehe zu Regelungen des Datenflusses im internationalen Kontext bspw.: Albrecht, ZD 2013, 587 (588 f.); Art.  29-Datenschutzgruppe, Stellungnahme 01/2012 zu den Reformvorschlägen im Bereich des Datenschutzes, WP 191, 23.03.2012, S.  25; Art.  29-Datenschutzgruppe, Stellungnahme 08/2012 mit weiteren Beiträgen zur Diskussion der Datenschutzreform, WP 199, 05.10.2012, S. 39 ff.; Dehmel/Hullen, ZD 2013, 147 (150); Eckhardt, CR 2012, 195 (30); Eckhardt/Kramer, DuD 2013, 287 (294); Götz, DuD 2013, 631 (638); Hornung, ZD 2012, 99 (101 f.); Hornung/Sädtler, CR 2012, 638 (643 f.); Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Datenschutz-Grundverordnung, 11.06.2012, S. 22 ff.; Kuner, Transborder data flows and data privacy law, S. 46 ff.; Lang, K&R 2012, 145 (149); Nebel/Richter, ZD 2012, 407 (411 f.); Selent, Datenschutz-Berater 2013, 115 (116); Spies, ZD 1/2012, V (V f.); Weber, International Data Privacy Law 2013, 1 (11 ff.); Wolf, ZD 2013, 1 (1); Wybitul/Rauer, ZD 2012, 160 (164). 573

146

Teil 1: Datenfluss im internationalen Kontext

ter den Vorbehalt des „angemessenen Schutzniveaus“ zu stellen, sondern verlangt stattdessen allgemein die Einhaltung der Regelungen zum Datenfluss im internationalen Kontext sowie der sonstigen Regelungen der DSGVO.574 Das angemessene Schutzniveau wird lediglich später als eine der Möglichkeiten zur Übermittlung von Daten im internationalen Kontext genannt.575 Neu ist auch der explizite Bezug auf ein „Gebiet“, einen „Verarbeitungssektor“ sowie „internationale Organisationen“. Relevanz hat die Einbeziehung der internationalen Organisation nur, wenn diese ihren Sitz in einem Drittstaat hat, für den entweder keine Angemessenheitsentscheidung erlassen worden ist oder gem. Art. 41 V DSGVO festgestellt wurde, dass eine Gewährleistung eines angemessenen Schutzniveaus nicht besteht.576 Erstmals sollen nun die Regelungen für die Drittlandübermittlung personenbezogener Daten ausdrücklich für die Verarbeitung Verantwortlichen und für die Auftragsverarbeiter gelten.577 Eine weitere Neuerung ist der Bezug auf die Weitergabe der Daten nach erfolgtem Datentransfer.578 Gemäß Art. 40 DSGVO gelten die Voraussetzungen laut dem Kommissionsentwurf nämlich „auch für die etwaige Weitergabe personenbezogener Daten durch das betreffende Drittland oder die betreffende internationale Organisation an ein anderes Drittland oder eine andere in­ ternationale Organisation“. Insgesamt sind die Regelungen mit Bezug zum Daten­ fluss im internationalen Kontext erheblich genauer als die Regelungen der Art. 25 und 26 DSRL.579 Auch spiegeln sie die bereits aus der DSRL bekannte „Doppelschranke“ wider, dass neben den Regelungen zum Datenfluss im internationalen Kontext auch die übrigen Regelungen der DSGVO eingehalten werden müssen. c) Art. 41 DSGVO: Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses aa) Ziele und Funktionen des Art. 41 DSGVO Art. 41 ist Art. 25 DSRL nachgebildet und regelt, welche Voraussetzungen und Verfahren erfüllt werden müssen, damit die Kommission einen Angemessenheitsbeschluss erlässt.580 Ein solcher Angemessenheitsbeschluss sorge innerhalb der EU für „Rechtssicherheit und eine einheitliche Rechtsanwendung“.581 574 Kuner, Transborder data flows and data privacy law, S. 46 f.; so auch Weber, International Data Privacy Law 2013, 1 (11). 575 Siehe Art. 41 DSGVO. 576 Nebel/Richter, ZD 2012, 407 (412). 577 So Dehmel/Hullen, ZD 2013, 147 (150). 578 Zur Weiterübermittlung im Rahmen der DSRL siehe Kuner, Transborder data flows and data privacy law, S. 44. 579 Vgl. Hornung, ZD 2012, 99 (102); Wybitul/Rauer, ZD 2012, 160 (164); a. A. Nebel/Richter, ZD 2012, 407 (412). 580 Kommissionsvorschlag Datenschutz-Grundverordnung 2012, S. 12. 581 Kommissionsvorschlag Datenschutz-Grundverordnung 2012, Erwägungsgrund 80, S. 34.

§ 6 Die bestehenden Regelungen in der EU und den USA 

147

bb) Inhalt des Art. 41 I DSGVO Nach Art. 41 I DSGVO des Kommissionsvorschlags dürfen Daten übermittelt werden, „wenn die Kommission festgestellt hat, dass das betreffende Drittland beziehungsweise ein Gebiet oder ein Verarbeitungssektor dieses Drittlands oder die betreffende internationale Organisation einen angemessenen Schutz bietet“. Im Gegensatz zu Art. 25 der DSRL erwähnt Art. 41 DSGVO – wie bereits dargelegt – nicht nur eine mögliche Angemessenheitsentscheidung für ganze Länder, sondern eröffnet auch die Möglichkeit eines Datentransfers in ein Gebiet oder einen Verarbeitungssektor eines Landes oder eine internationale Organisation.582 Somit wird der Handlungsspielraum der Kommission erweitert.583 cc) Inhalt des Art. 41 II DSGVO Art. 41 II DSGVO stellt genaue Kriterien auf, die die Kommission bei der Prüfung des angemessenen Schutzniveaus berücksichtigt. Die aufgeführten Kriterien sind bereits im Kommissionsvorschlag sehr viel detaillierter als die in der Vorgängervorschrift, Art. 25 II DSRL, genannten Kriterien.584 Die im Rahmen der DSGVO genannten Kriterien weisen dennoch erkenntlich Ähnlichkeiten mit den in Art 25 II DSRL genannten Kriterien auf und berücksichtigen gem. Art. 41 II lit. a DSGVO des Vorschlags der Kommission „die Rechtsstaatlichkeit, die geltenden allgemeinen und sektorspezifischen Vorschriften, insbesondere über die öffentliche Sicherheit, die Landesverteidigung, die nationale Sicherheit und das Strafrecht, die in dem betreffenden Land beziehungsweise der betreffenden internationalen Organisation geltenden Standesregeln und Sicherheitsvorschriften sowie die Existenz wirksamer und durchsetzbarer Rechte einschließlich wirksamer administrativer und gerichtlicher Rechtsbehelfe für betroffene Personen und insbesondere für in der Union ansässige betroffene Personen, deren personenbezogene Daten übermittelt werden“. Daraufhin werden in Art. 41 II lit. b DSGVO des Kommissionsvorschlags weitere Kriterien genannt und zwar „die Existenz und die Wirksamkeit einer oder mehrerer in dem betreffenden Drittland beziehungsweise in der betreffenden internationalen Organisation tätiger unabhängiger Aufsichtsbehörden, die für die Einhaltung der Datenschutzvorschriften, für die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Union und der Mitgliedstaaten zuständig sind“. In Art.  41 II lit.  c DSGVO nennt der Verordnungsvorschlag der Kommission schließlich noch „die von dem betreffenden Drittland beziehungsweise der inter 582

Vgl. Kommissionsvorschlag Datenschutz-Grundverordnung 2012, S. 12. Kuner, Transborder data flows and data privacy law, S. 47. 584 Ähnlich auch Hornung, ZD 2012, 99 (102): „erheblich spezifiziert“. 583

148

Teil 1: Datenfluss im internationalen Kontext

nationalen Organisation eingegangenen internationalen Verpflichtungen“ als Kriterien zur Bestimmung eines angemessenen Schutzniveaus. An der DSGVO in der Kommissionsversion wird dennoch kritisiert, sie berücksichtige bei der Bestimmung der Angemessenheit nicht ausreichend den Beitritt von Drittländern zu regionalen und internationalen Datenschutzinstrumenten wie der Datenschutzkonvention des Europarates.585 Eine Berücksichtigung sonstiger eingegangener Verpflichtungen ist zwar zu begrüßen, jedoch scheint diese im Entwurf der Kommission bestehende Formulierung in Art. 41 II lit. c DSGVO ausreichend zu sein. Das Parlament hingegen möchte die Vorschrift noch um die Formulierung „insbesondere rechtlich verbindliche Übereinkommen oder Instrumente in Bezug auf den Schutz personenbezogener Daten“ ergänzen.586 In Bezug auf die Regelung des Art. 41 II DSGVO der Kommissionsversion wird teilweise gefordert, im Rahmen einer Angemessenheitsprüfung die Stellungnahme des Europäischen Datenschutzausschusses als Nachfolger der Art.  29-Daten­ schutzgruppe einzuholen und dessen Meinung zu berücksichtigen.587 Auch der Rat schlägt in einem Art. 41 IIa DSGVO vor, dass der Europäische Datenschutzausschuss Stellungnahmen an die Kommission in Bezug auf die Bewertung der Angemessenheit oder hinsichtlich eines nicht mehr bestehenden angemessenen Datenschutzniveaus abgibt. Wie in Art. 25 DSRL werden in Art. 41 II DSGVO des Kommissionsvorschlags zwar die Kriterien genannt, die bei einer Bestimmung der Angemessenheit Berücksichtigung finden sollen, inhaltliche Voraussetzungen an die Angemessenheit werden jedoch nicht aufgestellt. Für eine Angemessenheit des Datenschutzniveaus im Drittland müsste – wie auch bei den Regelungen der DSRL – ein gewisser Mindeststandard, der dem für die DSRL unter Berücksichtigung der aktuellen Rechtsprechung des EuGH zum Datenschutz aufgestellten entspricht, gewährleistet sein. Eine Abweichung von diesem Standard dürfte – so wie das Kriterium der Angemessenheit in der Rechtsanwendung mittlerweile verstanden zu werden scheint – nur erfolgen, wenn essentielle Erwägungen rechtspolitischer, wirtschaftspolitischer und sicherheitspolitischer Art und die dabei zu berücksichtigenden Grundrechte dies erforderlich machen.588 Einen Anhaltspunkt für den inhaltlichen Gehalt der Angemessenheit, der jedoch nicht als umfassend und abschließend anzusehen ist, könnte zudem Art. 43 II DSGVO des Kommissionsvorschlags bieten.589 Es ist jedoch zweifelhaft, dass der eigentlich zu erfüllende inhaltliche Standard auch tatsächlich stets eingehalten werden wird, da auch bei einer neuen Regelung zum 585 So Kuner, Transborder data flows and data privacy law, S. 48 mit einem entsprechenden Formulierungsvorschlag für einen neuen Art. 41 I DSGVO. 586 Siehe Art. 41 II lit. c DSGVO des Vorschlags des EU-Parlaments v. 12.03.2014 für eine DSGVO. 587 Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Datenschutz-Grundverordnung, 11.06.2012, S. 22. 588 Siehe zu diesem Standard oben S. 97 ff. 589 Siehe dazu unten S. 155 ff.

§ 6 Die bestehenden Regelungen in der EU und den USA 

149

Datenfluss im internationalen Kontext bedeutende Erwägungen wirtschaftspolitischer, rechtspolitischer und sicherheitspolitischer Art bei der Bewertung der Angemessenheit eine Rolle spielen werden und dies im Rahmen einer Grundrechtsabwägung auch für erforderlich gehalten zu werden scheint. dd) Inhalt des Art. 41 III–IV DSGVO Art. 41 III DSGVO des Kommissionsvorschlags regelt, dass die Kommission durch einen Beschluss das angemessene Schutzniveau feststellen kann, wobei gem. Art. 41 IV DSGVO in dem Beschluss sowohl der geographische als auch der sektorielle Anwendungsbereich sowie u. U. die jeweilige Aufsichtsbehörde angegeben werden. Der Beschluss ist ein Durchführungsakt, der in Übereinstimmung mit dem Prüfverfahren des Art. 87 II DSGVO erlassen wird. Dies stellt eine wichtige Änderung dar, da die Mitgliedstaaten bei der Beurteilung der Angemessenheit keine Mitentscheidungsbefugnis mehr haben und die Kommission die a­ lleinige Entscheidung trifft.590 Dies ist jedoch wegen der gewählten Regelungsform der Verordnung, die in allen Mitgliedstaaten unmittelbar verbindlich ist (Art. 288 II AEUV), folgerichtig. Kritiker fordern zudem die Einführung von Schritten und Bearbeitungsfristen zur Erhöhung der Effizienz und Transparenz der Verfahren, wie bspw. eine Bearbeitungsfrist von einem Jahr oder die Beteiligung interessierter Parteien.591 Die Einführung konkreter Schritte zur Transparenz des Verfahrens ist zu begrüßen. Ob jedoch ein Zeitlimit von einem Jahr für eine Angemessenheitsentscheidung der Sache dienlich ist, ist fraglich. Es ist naheliegend, dass wirtschaftliche und datenschutzrechtliche Interessen ohnehin für eine möglichst schnelle Bearbeitung der Entscheidung sprechen. Eine Entscheidung innerhalb eines Jahres mag u. U. zudem einer ausgewogenen Lösungsfindung im Wege stehen und zu vorschnellen Entscheidungen führen. Gerade die Komplexität verschiedener Sachverhalte spricht stattdessen zwar für eine klare Beschreibung der im Verfahren zu treffenden Schritte, jedoch eher gegen eine Bearbeitungsfrist von einem Jahr. Das Parlament ergänzt in seinem Vorschlag den Absatz 3 u. a. um die Verpflichtung, Angemessenheitsbeschlüsse zu widerrufen, wenn ein angemessenes Schutzniveau nicht mehr sichergestellt ist.592 Wie aber weiter zu verfahren ist, regelt die Vorschrift nicht. Folge wäre bei Widerruf des Angemessenheitsbeschluss die Il­ legalität regulärer Datenflüsse und ein Verweis auf die Ausnahmevorschriften oder sonstige Garantien. Es wäre praxistauglicher, im Fall der Feststellung des Absinkens eines Schutzniveaus der Kommission aufzuerlegen, Maßnahmen zur Ver 590 Siehe auch Weber, International Data Privacy Law 2013, 1 (12); Nebel/Richter, ZD 2012, 407 (412). 591 Kuner, Transborder data flows and data privacy law, S. 48 f. mit einem entsprechenden Formulierungsvorschlag für einen neuen Art. 41 III DSGVO, der u. a. die Bearbeitungsfrist für eine Angemessenheitsentscheidung von einem Jahr enthält. 592 Siehe Art. 41 III des Vorschlags des EU-Parlaments v. 12.03.2014 für eine DSGVO.

150

Teil 1: Datenfluss im internationalen Kontext

besserung des Schutzniveaus vorzuschlagen. Ein Beispiel für solche Maßnahmen wären die von der Kommission verabschiedeten Verbesserungsvorschläge für die Safe Harbor-Regelung.593 Der Rat schlägt Ähnliches vor und fordert in einem neu eingeführten Art.  41 Va DSGVO, Verhandlungen mit dem betroffenen Drittland aufzunehmen, um die Situation zu lösen. Das Parlament schlägt in einem neu eingeführten Absatz 4a zudem vor, die Faktoren, die sich auch die Angemessenheit auswirken können, laufend zu überwachen.594 Die gleiche Forderung erhebt auch der Rat.595 Eine solche Überwachung sollte eine Selbstverständlichkeit sein, es ist jedoch zu begrüßen, dies in der DSGVO festzuschreiben. ee) Inhalt des Art. 41 V–VI DSGVO Art. 41 V DSGVO des Kommissionsvorschlags regelt, dass die Kommission nach dem gleichen Verfahren bzw. in Dringlichkeitsfällen nach dem Verfahren des Art. 87 III DSGVO feststellen kann, dass kein angemessenes Schutzniveau besteht. Als Indizien dafür, wann ein solches angemessenes Schutzniveau nicht besteht, wird auf Fälle Bezug genommen, „in denen die in dem betreffenden Drittland beziehungsweise der betreffenden internationalen Organisation geltenden allgemeinen und sektorspezifischen Vorschriften keine wirksamen und durchsetzbaren Rechte einschließlich wirksamer administrativer und gerichtlicher Rechtsbehelfe für in der Union ansässige betroffene Personen und insbesondere für betroffene Personen, deren personenbezogene Daten übermittelt werden, garantieren“. Die Folgen einer solchen Entscheidung regelt Art. 41 VI DSGVO des Kommissionsvorschlags, der – unbeschadet der noch zu nennenden Modalitäten oder Ausnahmebestimmungen – an die Kommissionsentscheidung einerseits die sofortige Untersagung jeglicher Übermittlung von personenbezogenen Daten knüpft und andererseits regelt, „zu geeigneter Zeit“ Beratungen mit dem jeweiligen Drittland bzw. der jeweiligen internationalen Organisation aufzunehmen, um eine Lösung zu finden. Zwar wird der Datenfluss zunächst auf Grund fehlender Angemessenheit aus Datenschutzgründen unterbunden, jedoch gleichzeitig bekräftigt, durch die Aufnahme von Verhandlungen, den Datenfluss wieder rechtlich ermöglichen zu wollen. Durch diese Regelung wird der Kommission ein „Druckmittel“ für die Verhandlungen mit Drittstaaten gegeben und damit neben den Drittländern mit angemessenem Datenschutzniveau und Drittländern, bei denen eine Übermittlung nach Maßnahmen gem. Art. 42 DSGVO möglich ist, de facto eine dritte Kategorie von Drittländern geschaffen.596 Die Regelung verfolgt zwar ein berechtigtes Anlie 593

Siehe dazu oben S. 109 ff. Siehe Art. 41 IVa des Vorschlags des EU-Parlaments v. 12.03.2014 für eine DSGVO. 595 Siehe Art. 41 IVa der Version des Rates v. 28.05.2014 für eine DSGVO. 596 So Eckhardt/Kramer, DuD 2013, 287. 594

§ 6 Die bestehenden Regelungen in der EU und den USA 

151

gen, die Erforderlichkeit der Regelung sowie die Auswirkung sind aber im Gesetzgebungsverfahren zu diskutieren und zu hinterfragen.597 Zumindest werden durch die Möglichkeit, festzustellen, dass kein angemessenes Schutzniveau besteht, die Befugnisse der Kommission ausgeweitet.598 Zu begrüßen ist der Vorschlag des Parlaments in Art. 41 VIa, vor Feststellung oder Verneinung der Angemessenheit den Europäischen Datenschutzbeauftragten um eine Stellungnahme zu ersuchen.599 ff) Inhalt des Art. 41 VII DSGVO Die DSGVO in der Version des Kommissionsvorschlags regelt in Art. 41 VII, dass eine Liste von denjenigen Drittländern, Gebieten und Verarbeitungssektoren von Drittländern im Amtsblatt der Europäischen Union veröffentlicht wird, für die die Kommission Positiventscheidungen nach Art. 41 III DSGVO bzw. die Negativentscheidungen nach Art. 41 IV DSGVO getroffen hat. gg) Inhalt des Art. 41 VIII DSGVO Schließlich regelt Art. 41 VIII DSGVO des Kommissionsvorschlags, dass Beschlüsse, die die Kommission nach Art.  25 VI bzw. Art.  26 IV DSRL getroffen hatte, solange in Kraft bleiben „bis sie von der Kommission geändert, ersetzt oder aufgehoben werden“.600 Das Parlament schlägt hingegen vor, dass diese Beschlüsse nur bis zu fünf Jahre nach Inkrafttreten der DSGVO in Kraft bleiben, wenn sie nicht bereits früher geändert, ersetzt oder aufgehoben worden sind.601 Unklar ist nach dieser Regelung, wie Entscheidungen zu behandeln sind, die bereits Regelungen zur Weiterübermittlung beinhalten und somit möglicherweise in Konflikt mit den Regelungen des Art. 40 DSGVO stehen, die ebenfalls die Weiterübermittlung zu regeln scheinen.602 Zumindest die Safe-Harbor Regelungen sind dahingehend zu berücksichtigen. Die Regelung des Art. 41 VIII DSGVO verdeutlicht die Bedeutung des Datenflusses im internationalen Kontext. Trotz einer Reform der diesbezüglichen Regelungen wird nicht verlangt, bestehende Beschlüsse umgehend an die neuen Regelungen anzupassen. Stattdessen werden bestehende Beschlüsse durch die Regelung zunächst legitimiert und ermöglichen weiterhin den erforderlichen Datenfluss. 597

Eckhardt/Kramer, DuD 2013, 287. Siehe Kuner, Transborder data flows and data privacy law, S. 47. 599 Siehe Art. 41 VIa des Vorschlags des EU-Parlaments v. 12.03.2014 für eine DSGVO. 600 Siehe dazu auch Erwägungsgrund 134 sowie Art. 42 V DSGVO. 601 Siehe Art. 41 VIII des Vorschlags des EU-Parlaments v. 12.03.2014 für eine DSGVO. 602 Kuner, Transborder data flows and data privacy law, S. 47 mit Bezug auf den Kommissionsvorschlag. 598

152

Teil 1: Datenfluss im internationalen Kontext

d) Art. 42 DSGVO: Datenübermittlung auf der Grundlage geeigneter Garantien aa) Ziele und Funktionen des Art. 42 DSGVO Art. 42 DSGVO regelt Möglichkeiten, wie ein Datentransfer trotz fehlender positiver Kommissionsentscheidung dennoch erfolgen kann. Genannt werden verbindliche unternehmensinterne Vorschriften, verschiedene Arten von Standarddatenschutzklauseln sowie Vertragsklauseln zwischen Verarbeiter und Empfänger.603 Die Möglichkeit, Standarddatenschutzklauseln der Kommission zu nutzen, beruht auf Art. 26 IV DSRL604 und wird ergänzt durch die neue Möglichkeit des Erlasses von Standarddatenschutzklauseln durch eine Aufsichtsbehörde mit anschließender Erklärung der Allgemeingültigkeit durch die Kommission.605 Der von der Kommission vorgestellte Entwurf der DSGVO ermutigt im Rahmen der Erwägungsgründe die für die Verarbeitung Verantwortlichen bzw. die Auftragsverarbeitenden, die Standarddatenschutzklauseln „auch in umfangreicheren Verträgen zu verwenden oder ihnen weitere Klauseln hinzuzufügen, solange letztere weder mittelbar noch unmittelbar im Widerspruch zu den von der Kommission oder einer Aufsichtsbehörde erlassenen Standard-Datenschutzklauseln stehen oder die Grundrechte und Freiheiten der betroffenen Personen beschneiden“.606 Einen „gewissen Spielraum“ bietet der Rückgriff auf Vertragsklauseln, die jedoch im Voraus von der Aufsichtsbehörde genehmigt werden müssen.607 Die verbindlichen unternehmensinternen Vorschriften werden in Art. 4 Nr. 17 DSGVO des Kommissionsentwurfs definiert als „Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines EU-Mitgliedstaates niedergelassener für die Verarbeitung Verantwortlicher oder Auftragsverarbeiter für Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe in einem oder mehreren Drittländern verpflichtet“. In den unternehmensinternen Vorschriften müssen „Grundprinzipien und durchsetzbare Rechte“ enthalten sein, die „geeignete Garantien“ für die verschiedenen Arten von Übermittlungen bieten.608 Verbindliche unternehmensinterne Regelungen werden somit im Kommissionsentwurf der DSGVO „deutlich aufgewertet und in Art. 43 näher geregelt“.609 Sie sind somit im Gegensatz zur DSRL direkt im Sekundärrecht verortet und können damit 603

Siehe Art. 42 II lit. a-f DSGVO des Vorschlags der Kommission. Siehe dazu oben S. 130. 605 Kommissionsvorschlag Datenschutz-Grundverordnung 2012, S. 12. 606 So Kommissionsvorschlag Datenschutz-Grundverordnung 2012, Erwägungsgrund 84, S. 35. 607 So Kommissionsvorschlag Datenschutz-Grundverordnung 2012, S. 12 f. 608 Kommissionsvorschlag Datenschutz-Grundverordnung 2012, Erwägungsgrund 85, S. 35. 609 So Hornung, ZD 2012, 99 (102); siehe auch Lang, K&R 2012, 145 (149). 604

§ 6 Die bestehenden Regelungen in der EU und den USA 

153

nach Verabschiedung der DSGVO – im Gegensatz zum Status quo – in allen Mitgliedstaaten Verwendung finden. bb) Inhalt des Art. 42 I–IV DSGVO Art. 42 I DSGVO des Kommissionsvorschlags regelt, dass, wenn die Kommission keinen Beschluss nach Art. 42 DSGVO erlassen hat, eine Übermittlung an die genannten Stellen durch einen für eine Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter nur erfolgen darf, wenn er „in einem rechtsverbindlichen Instrument geeignete Garantien zum Schutz personenbezogener Daten vorgesehen hat“. Eine Liste von nicht abschließenden („insbesondere“) geeigneten Garantien nennt Art. 42 II lit. a-d DSGVO des Kommissionsentwurfs. Demnach kann eine solche Garantie bestehen in Form „verbindlicher unternehmensinterner Vorschriften nach Artikel 43“ (lit. a), „von der Kommission angenommener Standardvertragsklauseln“610 (lit. b), „von einer Aufsichtsbehörde nach Maßgabe des in Artikel 57 beschriebenen Kohärenzverfahren angenommener Standarddatenschutzklauseln“611 (lit. c) oder „von Vertragsklauseln, die zwischen dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter und dem Empfänger vereinbart und von einer Aufsichtsbehörde gemäß Absatz 4 genehmigt wurden“ (lit. d). Das Parlament hält hingegen eine Genehmigung von Standarddatenschutzklauseln nicht für ausreichend und hat in seinem Vorschlag Art. 42 II lit. b gestrichen. Nach Art. 42 III DSGVO des Kommissionsvorschlags bedürfen Datenübermittlungen, die eine der ersten drei genannten Garantien (eine der Formen der Standarddatenschutzklauseln oder unternehmensinterne Vorschriften) erfüllen, keiner weiteren Genehmigung. Für eine Datenübermittlung, die auf Grund der in lit. d genannten Vertragsklauseln möglich werden soll (sog. „ad hoc“-Klauseln), muss jedoch gem. Art.  42 IV DSGVO eine vorherige Genehmigung einer Aufsichtsbehörde612 eingeholt bzw. das sog. Kohärenzverfahren613 durchgeführt werden.614 In Bezug auf nicht explizit genannte Garantien führt der Kommissionsentwurf für eine DSGVO in den Erwägungsgründen aus, dass zur Erreichung einer Garantie auch „auf sonstige geeignete, angemessene, aufgrund der Umstände einer Datenübermittlung oder einer Kategorie von Datenübermittlungen gerechtfertigte und von einer Aufsichtsbehörde gebilligte Maßnahmen“ zurückgegriffen werden kann. 610

Diese Durchführungsrechtsakte werden wiederum in Übereinstimmung mit dem Prüf­ verfahren des Art. 87 II DSGVO erlassen. 611 Diesen Standarddatenschutzklauseln muss allgemeine Gültigkeit gem. Art. 62 I DSGVO durch die Kommission zuerkannt werden. 612 Siehe Art. 34 I lit. a DSGVO. 613 Siehe Art. 57 DSGVO; dieses Verfahren findet im Falle einer Übermittlung, die Personen auch in einem oder mehreren anderen Mitgliedstaaten betrifft oder bei wesentlichen Auswirkungen auf den freien Verkehr von personenbezogenen Daten in der Union Anwendung. 614 Siehe dazu auch Kuner, Transborder data flows and data privacy law, S. 47.

154

Teil 1: Datenfluss im internationalen Kontext

Dabei ist bspw. an internationale Abkommen zu denken, die jedoch eher im Anwendungsbereich des DSRL-PJ zu verorten sind, da die DSGVO bereits umfassende Möglichkeiten vorsieht. Der Rat schlägt hingegen u. a. vor, bei den Garantien auch rechtsverbindliche und durchsetzbare Vereinbarungen zwischen Behörden („public authorities or b­ odies“) anzuerkennen.615 cc) Inhalt des Art. 42 V DSGVO Art.  42 V DSGVO des Kommissionsvorschlags ist für den Fall einschlägig, dass keine Garantien in einem rechtsverbindlichen Instrument vorgesehen werden. In diesem Fall „holt der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die vorherige Genehmigung für die Übermittlung oder Kategorie von Übermittlungen oder für die Aufnahme von entsprechenden Bestimmungen in die Verwaltungsvereinbarungen ein, die die Grundlage für eine solche Übermittlung bilden“.616 In der Version des Parlaments ist dieser Artikel gestrichen worden. Des Weiteren regelt der Artikel in der Kommissionsversion noch, dass die auf der Grundlage von Art. 26 II DSRL erteilten Genehmigungen617 bis zu ihrer Änderung, Ersetzung oder Aufhebung durch die Aufsichtsbehörde, die auch die Genehmigung erteilt hat, in Kraft bleiben.618 Somit zeigt sich auch in Art. 42 V DSGVO die Bedeutung bestehender Garantien, die einen rechtmäßigen Datenfluss ermöglichen. e) Art. 43 DSGVO: Datenübermittlung auf der Grundlage verbindlicher unternehmensinterner Vorschriften aa) Ziele und Funktionen des Art. 43 DSGVO Nach Aussage der Kommission ist Art. 43 DSGVO „auf die derzeitigen Praktiken und Anforderungen der Aufsichtsbehörden gestützt“ und konkretisiert die Bedingungen für einen Datentransfer auf Grundlage unternehmensinterner Datenschutzregelungen.619 Mit der Regelung werden sämtliche noch bestehende Hindernisse zur Nutzung von verbindlichen unternehmensinternen Vorschriften im nationalen Recht der Mitgliedstaaten beseitigt.620

615

Siehe Art. 42 II 0a (sic) der Version des Rates v. 28.05.2014 für eine DSGVO. Siehe Art. 42 V DSGVO; solche vorherigen Genehmigungen müssen demnach wiederum im Einklang mit Art. 34 I DSGVO bzw. Art. 57 DSGVO stehen. 617 Siehe dazu oben S. 122. 618 Siehe dazu auch Erwägungsgrund 134 sowie Art. 41 VIII DSGVO. 619 So Kommissionsvorschlag Datenschutz-Grundverordnung 2012, S. 13. 620 Kuner, Transborder data flows and data privacy law, S. 47. 616

§ 6 Die bestehenden Regelungen in der EU und den USA 

155

bb) Inhalt des Art. 43 I–II DSGVO Nach Maßgabe des in Art. 58 DSGVO geregelten Kohärenzverfahrens kann eine Aufsichtsbehörde – so Art. 43 I DSGVO des Kommissionsvorschlags – verbindliche unternehmensinterne Vorschriften genehmigen, wenn diese „rechtsverbindlich sind, für alle Mitglieder der Unternehmensgruppe des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters sowie deren Beschäftigte gelten und von diesen Mitgliedern angewendet werden“ und zudem „den betroffenen Personen ausdrücklich durchsetzbare Rechte übertragen“ sowie „die in Absatz 2 festgelegten Anforderungen erfüllen“. Durch die Anwendung des Kohärenzverfahrens gem. Art.  58 DSGVO wird die Zustimmung des Europäischen Datenschutzausschusses als Nachfolger der Art. 29-Datenschutzgruppe erforderlich. Die Zustimmung des Gremiums wird jedoch teilweise als „wenig praktikabel“ und für mögliche erhebliche Verzögerungen in der Praxis kritisiert.621 Andererseits werden die neuen Regelungsvorschläge zu verbindlichen Unternehmensregelungen auch wegen der Vereinfachung und Transparenz des Genehmigungsverfahrens gelobt.622 Des Weiteren wird gefordert, die Rechtsfolge der Genehmigung der verbindlichen Unternehmensregelungen durch die Aufsichtsbehörde explizit aufzunehmen und die Vorschrift daher bspw. um den Satz „In diesem Fall gilt die Genehmigung in der gesamten EU.“ zu ergänzen.623 Der von der Kommission vorgeschlagene Absatz 2 des Art.  43 DSGVO enthält eine ausführliche Liste von Mindestanforderungen, die in den unternehmensinternen Vorschriften enthalten sein müssen: Dazu gehören u. a. Informationen über das Unternehmen, die Art der Daten, die übertragen werden sollen, Aussagen über die Rechtsverbindlichkeit der unternehmensinternen Vorschriften, allgemeine Datenschutzgrundsätze624, Betroffenenrechte, Rechte zur Wahrnehmung dieser Rechte625, Haftungsregelungen für Verstöße von Mitgliedern der Unternehmensgruppe aus Drittländern, Art und Weise der Informierung von Betroffenen, Aufgaben des Datenschutzbeauftragten626, Verfahren zur Überprüfung der Einhaltung der Regelungen, Verfahren für Meldung und Erfassung von Änderungen in der Unternehmenspolitik sowie Verfahren zur Zusammenarbeit mit der Aufsichtsbehörde. 621

So Dehmel/Hullen, ZD 2013, 147 (150). Bspw. Götz, DuD 2013, 631 (638). 623 Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Datenschutz-Grundverordnung, 11.06.2012, S. 22. 624 Beispielhaft werden dabei aufgeführt: Zweckbegrenzung, Datenqualität, Rechtsgrundlage für die Verarbeitung, Bestimmungen für etwaige Verarbeitungen von sensiblen personenbezogenen Daten, Maßnahmen zur Sicherstellung von Datensicherheit sowie die Anforderungen für eine Weitergabe von Daten an Organisationen, die nicht durch die unternehmensinternen Vorschriften gebunden werden. 625 Genannt werden das Recht, keiner einer Profilerstellung dienenden Maßnahme nach Art. 20 DSGVO unterworfen zu werden, das Beschwerderecht nach Art. 75 DSGVO sowie u. a. Wiedergutmachung und Schadensersatz. 626 Regelungen zum Datenschutzbeauftragten finden sich in Art. 35 DSGVO. 622

156

Teil 1: Datenfluss im internationalen Kontext

Art. 43 II DSGVO regelt somit erstmals im Sekundärrecht inhaltliche Anforderungen, die bei einer vom EU-Datenschutzrecht vorgesehenen Garantie zur Übermittlung von Daten in ein Drittland erfüllt sein müssen. Die Vorschrift kann als Leitfaden für Unternehmen verstanden werden, was bei den Regelungen zu beachten ist. Dieser für unternehmensinterne Vorschriften geltende Standard ist jedoch nicht mit dem idealerweise für eine Angemessenheitsentscheidung geltenden Standard eines Kernbestands an Schutzprinzipien gleichzusetzen. Zwar sind unternehmensinterne Vorschriften mittlerweile eine gleichwertige Garantie zu einem Angemessenheitsbeschluss, ein Angemessenheitsbeschluss hat jedoch eine weitaus größere Reichweite als eine nur innerhalb eines Unternehmens geltende Regelung und hat somit grundsätzlich höheren Anforderungen zu genügen. In der ursprünglichen Fassung des Entwurfs verfügt Art. 43 DSGVO über einen „sehr weiten Anwendungsbereich“ und würde bspw. auch Cloud-Anwendungen innerhalb von Konzernverbünden mit einbeziehen.627 Auf Grund des weiten Anwendungsbereiches ist es möglich, dass die Bedeutung von BCR in der Praxis „deutlich zunehmen“ und mutmaßlich wichtiger werden wird als die Einzelausnahmen in Art. 44 DSGVO.628 Kritisiert wird jedoch auch, dass es in der DSGVO keine Regelung zur „gesellschaftsübergreifenden Weitergabe von Daten“ gibt und daher eine neue Regelung gefordert wird, „die die Zulässigkeit der Weitergabe von Daten zwischen rechtlich selbständigen Unternehmen innerhalb eines Konzernverbunds praxisgerecht regelt und entsprechende Voraussetzungen festlegt“.629 Bisher ist die Nutzung von BCR beschränkt auf Datenübermittlungen „aus der Union an Organisationen der gleichen Unternehmensgruppe“.630 cc) Inhalt des Art. 43 III–IV DSGVO Der Kommissionsvorschlag enthält in Art. 43 III DSGVO eine Ermächtigung für die Kommission, delegierte Rechtsakte nach Art. 86 DSGVO zu erlassen, um u. a. „die Kriterien und Anforderungen für verbindliche unternehmensinterne Vorschriften im Sinne dieses Artikels und insbesondere die Kriterien für deren Genehmigung“ sowie für die Anwendung verschiedener Anforderungen des Absatzes 2 „auf verbindliche unternehmensinterne Vorschriften von Auftragsverarbeitern sowie weitere erforderliche Anforderungen zum Schutz der personenbezogenen­ Daten der betroffenen Personen festzulegen“. Die der Kommission zustehenden Befugnisse können als bedeutend gewertet werden, da sie damit über einen großen 627

So Hornung, ZD 2012, 99 (102). So Hornung, ZD 2012, 99 (122). 629 So Dehmel/Hullen, ZD 2013, 147 (150); dazu auch Götz, DuD 2013, 631, insbesondere S. 636 und 638; zu Entwicklungen in dieser Hinsicht Selent, Datenschutz-Berater 2013, 115 (116) mit Bezug zu Ausführungen des Berichterstatters. 630 Siehe dazu auch Erwägungsgrund 85; siehe auch Kuner, Transborder data flows and data privacy law, S. 47. 628

§ 6 Die bestehenden Regelungen in der EU und den USA 

157

Ausgestaltungsspielraum verfügt.631 Diese Bestimmung wird jedoch teilweise kritisiert und gefordert, die Kriterien und Anforderungen für verbindliche unternehmensinterne Regelungen ausschließlich vom Europäischen Datenschutzausschuss festlegen zu lassen.632 Art. 43 IV DSGVO des Kommissionsentwurfs enthält schließlich noch eine Ermächtigung für die Kommission, das „Format und Verfahren für den auf elektronischem Wege erfolgenden Informationsaustausch über verbindliche unternehmensinterne Vorschriften“ zwischen Behörden und Verarbeitern zu erlassen.633 f) Art. 44 DSGVO: Ausnahmen Art.  44 DSGVO regelt Ausnahmebestimmungen. Teilweise werden diese als „unklar“ kritisiert und eine Konkretisierung gefordert.634 aa) Ziele und Funktionen des Art. 44 DSGVO Art. 44 DSGVO ist Art. 26 DSRL nachgebildet und regelt Ausnahmen für einen Datentransfer in ein Drittland.635 Art.  44 I DSGVO des Kommissionsentwurfs bestimmt, in welchen Fällen trotz fehlenden Angemessenheitsbeschlusses nach Art. 41 DSGVO und trotz fehlender geeigneter Garantien nach Art. 42 DSGVO eine Datenübermittlung an ein Drittland oder eine internationale Organisation möglich ist. Art. 44 I DSGVO nennt Ausnahmekategorien, die im Vergleich zur Vorgängervorschrift, Art. 26 DSRL, diesen teilweise entsprechen, teilweise aber auch Ergänzungen enthalten oder gänzlich neu gefasst sind. Die Ausnahmeregelung soll – wie es Erwägungsgrund 87 der DSGVO in der Version der Kommission vorsieht – für diejenigen Datenübermittlungen Geltung beanspruchen, die zur „Wahrung eines öffentlichen Interesses erforderlich sind“, das u. a. im „grenzüberschreitenden Datenaustausch zwischen Wettbewerbs-, Steuer-, Zoll- oder Finanzaufsichtsbehörden, zwischen für Angelegenheiten der sozialen Sicherheit zuständigen Diensten oder zwischen für die Verhütung Aufdeckung, Untersuchung und Verfolgung von Straftaten zuständigen Behörden“ gesehen werden kann.636

631

Vgl. auch Kuner, Transborder data flows and data privacy law, S. 47. Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Datenschutz-Grundverordnung, 11.06.2012, S. 23. 633 Für diese Durchführungsrechtsakte gilt wiederum Art. 87 II DSGVO. 634 So Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Datenschutz-Grundverordnung, 11.06.2012, S. 24 mit Verweis auf Art. 44 III, IV, VI, VII. 635 Kommissionsvorschlag Datenschutz-Grundverordnung 2012, S. 13. 636 Kommissionsvorschlag Datenschutz-Grundverordnung 2012, Erwägungsgrund 87, S. 35 f. 632

158

Teil 1: Datenfluss im internationalen Kontext

bb) Inhalt des Art. 44 I lit. a DSGVO Art. 44 I lit. a DSGVO ähnelt der Regelung in Art. 26 I lit. a DSRL, geht jedoch über diese hinaus, indem sie zusätzlich neben der Zustimmung eine Aufklärung des Betroffenen über Risiken fordert. Demnach ist  – laut des Kommissionsvorschlags – eine Übermittlung zulässig, wenn „die betroffene Person der vorgeschlagenen Datenübermittlung zugestimmt hat, nachdem sie über die Risiken derartiger ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien durchgeführter Datenübermittlungen informiert wurde“. Die Vorschrift mag zum einen auf Grund wachsender Bedenken vorgeschlagen worden sein, dass Personen nicht verstehen, wozu sie ihre Zustimmung geben; zum anderen mag sie der Tat­ sache geschuldet sein, dass Personen davon ausgehen, eine tatsächliche Möglichkeit, die Zustimmung zu verweigern, nicht zu haben.637 In Bezug zu dieser Vorschrift wird bspw. gefordert, dass zusätzlich geeignete Garantien vorzusehen sind, da ansonsten zwar die Datenübermittlung legitimiert ist, jedoch die Datenverarbeitung im jeweiligen Drittland nicht an weitere Anforderungen geknüpft ist.638 cc) Inhalt des Art. 44 I lit. b, IV DSGVO Art. 44 I lit. b DSGVO des Kommissionsvorschlags erlaubt eine Ausnahme von den Voraussetzungen der Art. 41 und 42 DSGVO, wenn „die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist“. Die Vorschrift ist somit identisch mit der Regelung des Art. 26 I lit. b DSRL.639 Sie gilt jedoch gem. Art. 44 IV DSGVO „nicht für Tätigkeiten, die Behörden in Ausübung ihrer hoheitlichen Befugnisse durchführen“. dd) Inhalt des Art. 44 I lit. c; IV DSGVO Auch Art. 44 I lit. c DSGVO ist trotz geringfügig anderer Formulierung quasi mit der Vorgängerregelung des Art. 26 I lit. c DSRL640 identisch und erlaubt eine Ausnahme, wenn – so der Kommissionsvorschlag – „die Übermittlung zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem für die Verarbeitung Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich ist“. Auch diese Regelung gilt dem 637

Kuner, Transborder data flows and data privacy law, S. 48 m. w. Nachw. Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Datenschutz-Grundverordnung, 11.06.2012, S. 23. 639 Siehe dazu oben S. 119. 640 Siehe dazu oben S. 120. 638

§ 6 Die bestehenden Regelungen in der EU und den USA 

159

nach gem. Art. 44 IV DSGVO „nicht für Tätigkeiten, die Behörden in Ausübung ihrer hoheitlichen Befugnisse durchführen“. ee) Inhalt des Art. 44 I lit. d, V, VII DSGVO Im Gegensatz zur ausführlicheren und umfassenderen Vorgängerregelung des Art. 26 I lit. d DSRL641 erlaubt Art. 44 I lit. d DSGVO des Kommissionsvorschlags die Übermittlung von personenbezogenen Daten, wenn „die Übermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist“. Dieses öffentliche Interesse muss gem. Art. 44 V DSGVO des Vorschlags „im Unionsrecht oder im Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, anerkannt sein“ und die jeweiligen „wichtigen Gründe des öffentlichen Interesses“ dürfen zudem gem. Art. 44 VII DSGVO durch delegierte Rechtsakte von der Kommission nach Art. 86 DSGVO präzisiert werden. Die Vorschrift dürfe aber nicht für den Datenaustausch „zwischen für die Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten zuständigen Behörden“ gelten, wie es in Erwägungsgrund 87 bestimmt ist, da dies ansonsten im Widerspruch zum sachlichen Anwendungsbereich der DSGVO gem. Art. 2 II lit. e steht.642 In ihrem Verordnungsvorschlag nennt die Kommission selbst Beispiele dafür, wann Datentransfer zur Wahrung eines wichtigen öffentlichen Interesses zulässig sein kann und bezieht sich dabei auf „den internationalen Datenaustausch zwischen Wettbewerbsbehörden, Steuer- oder Zollverwaltungen oder zwischen Diensten, die für Angelegenheiten der sozialen Sicherheit oder für die Fischerei zuständig sind“643. ff) Inhalt des Art. 44 I lit. e DSGVO Art. 44 I lit. e DSGVO orientiert sich daraufhin an den übrigen Voraussetzungen des genannten Art. 26 I lit. d DSRL und erlaubt eine Datenübermittlung – so der Entwurf der Kommission –, wenn „die Übermittlung zur Begründung, Geltend­ machung oder Verteidigung von Rechtsansprüchen erforderlich ist“. gg) Inhalt des Art. 44 I lit. f DSGVO Nach Art. 44 I lit. f DSGVO des Kommissionsvorschlags ist eine Übermittlung ausnahmsweise möglich, wenn „die Übermittlung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist, so 641

Siehe dazu oben S. 120. So Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Datenschutz-Grundverordnung, 11.06.2012, S. 23 f. 643 Kommissionsvorschlag Datenschutz-Grundverordnung 2012, S. 13. 642

160

Teil 1: Datenfluss im internationalen Kontext

fern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben“. Die Regelung bestimmt nun ausdrücklich Voraussetzungen, die im Rahmen der Vorgängerregelung (Art. 26 I lit. e DSRL) nur durch Auslegung angenommen werden konnten.644 hh) Inhalt des Art. 44 I lit. g, II DSGVO Der von der Kommission vorgeschlagene Art. 44 I lit. g DSGVO ist im Vergleich zu Art. 26 I lit. f DSRL645 konkretisiert, aber ansonsten identisch und bestimmt, dass eine Übermittlung möglich ist, wenn „die Übermittlung aus einem Register erfolgt, das gemäß dem Unionsrecht oder dem mitgliedstaatlichen Recht zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, soweit die im Unionsrecht oder im mitgliedstaatlichen Recht festgelegten Voraussetzungen für die Einsichtnahmen im Einzelfall gegeben sind“. Art. 44 II DSGVO des Vorschlags konkretisiert diese Regelung und bestimmt, dass solche Datenübermittlungen nicht „die Gesamtheit oder ganze Kategorien der im Register enthaltenen Daten“ beinhalten dürfen. Im Falle, dass das Register „der Einsichtnahme durch Personen mit berechtigtem Interesse dient“ ist eine Übermittlung nur in dem Fall erlaubt, wenn die Personen auch Adressaten der Übermittlung sind. ii) Inhalt des Art. 44 I lit. h, III, IV, VI, VII DSGVO Der von der Kommission vorgeschlagene Art. 44 I lit. h DSGVO findet keine Entsprechung in den Regeln der DSRL und legitimiert eine Datenübermittlung trotz fehlender Angemessenheitsentscheidung oder Garantie, wenn „die Übermittlung zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder vom Auftragsverarbeiter wahrgenommen wird, erforderlich ist und nicht als häufig oder massiv bezeichnet werden kann, und falls der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter alle Umstände beurteilt hat, die bei einer Datenübermittlung oder bei einer Kategorie von Datenübermittlungen eine Rolle spielen, und gegebenenfalls auf der Grundlage dieser Beurteilung geeignete Garantien zum Schutz personenbezogener Daten vorgesehen hat“. Bei einer solchen Datenverarbeitung müssen gem. Art. 44 III DSGVO des Entwurfs insbesondere „Art der Daten“, „Zweckbestimmung“, „Dauer der geplanten Verarbeitung“, „Situation im Herkunftsland, in dem betreffenden Drittland und im Endbestimmungsland“ und „erforderlichenfalls etwaige vorgesehene geeignete 644 Siehe oben S. 121; vgl. auch Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 7 Rn. 9 mit weiteren Ausführungen. 645 Siehe dazu oben S. 122.

§ 6 Die bestehenden Regelungen in der EU und den USA 

161

Garantien zum Schutz personenbezogener Daten“ berücksichtigt werden. Ist die Verarbeitung „zu historischen, oder statistischen Zwecken oder für wissenschaftliche Forschungszwecke vorgesehen“, sollten – laut Erwägungsgrund 88 der von der Kommission vorgeschlagenen DSGVO – „die legitimen gesellschaftlichen Erwartungen in bezug auf einen Wissenszuwachs“ Berücksichtigung finden.646 Die Voraussetzungen des Art.  44 I lit. h DSGVO gelten jedoch gem. Absatz IV des Artikels „nicht für Tätigkeiten, die Behörden in Ausübung ihrer hoheitlichen Befugnisse durchführen“. Zudem müssen die genannten Akteure gem. Art.  44 VI DSGVO des Kommissionsentwurfs die „vorgenommene Beurteilung“ sowie die unter lit. h genannten „geeigneten Garantien“ gem. Art. 28 DSGVO dokumentieren und die Aufsichtsbehörde über die Übermittlung informieren. Schließlich darf die Kommission gem. Art. 44 VII DSGVO delegierte Rechtsakte nach dem Verfahren des Art. 86 DSGVO erlassen, um „Kriterien und Anforderungen für die geeigneten Garantien“ festzulegen. Kritisiert wird die vorgeschlagene Regelung des Art. 44 I lit. h DSGVO teilweise wegen ihrer Unklarheit: So ist es fraglich, ob es sich bei der Regelung um einen Auffangtatbestand handeln soll.647 Daher muss diese konkretisiert werden und eine „Abwägung der berechtigten Interessen des für die Verarbeitung Verantwortlichen mit den schutzwürdigen Interessen der betroffenen Person“ eingefügt werden.648 Teilweise wird zudem darauf hingewiesen, dass diese Ausnahmeregelungen nicht für Szenarien wie Cloud Computing einschlägig sein können, da die Übermittlung nach Art. 44 lit. h DSGVO nicht „häufig oder massiv“ sein sollte.649 Es wird zudem genereller kritisiert, die DSGVO enthalte keine ausreichende Berücksichtigung für Datenübermittlungen wie Cloud Computing.650 Zwar seien verbindliche Unternehmensregelungen nützlich für multinationale Unternehmen, dennoch würden alternative Modalitäten für verschiedene Übermittlungen im Zusammenhang mit dem Internet benötigt, die von kleineren Unternehmen genutzt werden könnten.651 Zwar sei die Ausnahme des Art. 44 I lit. h DSGVO teilweise für solche Szenarien geschaffen worden, sie sollte jedoch nicht als Ausnahme, sondern als „geeignete Garantie“ gesehen werden.652 Aus diesem Grund wird eine Regelung vorgeschlagen, die als „geeignete Garantie“ gesehen werden kann und auf dem Prinzip der Rechenschaftspflicht beruht, das bereits in Kapitel IV des Verordnungsentwurfs Berücksichtigung gefunden hat.653 Die Regelung würde auf intern aufgestellten Verhaltensregeln (Compliance) beru 646

Kommissionsvorschlag Datenschutz-Grundverordnung 2012, Erwägungsgrund 88, S. 36. Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Datenschutz-Grundverordnung, 11.06.2012, S. 24. 648 Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Datenschutz-Grundverordnung, 11.06.2012, S. 24. 649 Kuner, Transborder data flows and data privacy law, S. 48. 650 Kuner, Transborder data flows and data privacy law, S. 49. 651 Kuner, Transborder data flows and data privacy law, S. 49. 652 Kuner, Transborder data flows and data privacy law, S. 49. 653 Kuner, Transborder data flows and data privacy law, S. 49 mit einem Formulierungsvorschlag für einen neuen Art. 42 II DSGVO. 647

162

Teil 1: Datenfluss im internationalen Kontext

hen, die nicht ganz an die hohen Voraussetzungen von BCR heranreichen.654 Die vorgeschlagene neue Regelung beinhaltet die Anforderung an für die Verarbeitung Verantwortliche, Regelungen aufzustellen, die sich an den Grundsätzen der DSGVO und insbesondere Kapitel IV orientieren (bspw. durch rechtlich verbindliche interne Datenschutzregelungen) und für die auch die Wirksamkeit bei den zuständigen Datenschutzbehörden nachgewiesen werden muss.655 Dieser Vorschlag ist überzeugend. Zwar bietet die DSGVO eine Vielzahl an verschiedenen Regelungen, um den Datenfluss im internationalen Kontext zu ermöglichen, jedoch scheint es plausibel, dass gerade im Zusammenhang mit kleineren Unternehmen und Internettransaktionen die DSGVO nicht die passenden Regelung bereithält. Ob eine solche Regelung jedoch akzeptiert würde, ist fraglich. Der Vorschlag des Rats sieht in Art. 44 Va DSGVO vor, dass, falls keine Angemessenheitsentscheidung vorliegt, durch Unions- oder nationales Recht aus wichtigen Gründen des öffentlichen Interesses eine Beschränkung von Datenübermittlungen vorgenommen werden darf, die Kommission jedoch über die getroffenen Maßnahmen zu unterrichten ist.656 g) Art. 45 DSGVO: Internationale Zusammenarbeit zum Schutz personenbezogener Daten aa) Ziele und Funktionen des Art. 45 DSGVO Der von der Kommission entworfene Art.  45 DSGVO hat die Internationale Zusammenarbeit zum Schutz personenbezogener Daten zum Gegenstand. Erwägungsgrund 91 der DSGVO kann als Hinweis für die Bedeutung des Art. 45 DSGVO gesehen werden. Der Artikel führt aus, dass in Bezug auf Übermittlungen in ein Drittland „der Einzelne womöglich weniger in der Lage [ist], seine Datenschutzrechte wahrzunehmen und sich insbesondere gegen die unrechtmäßige Nutzung oder Weitergabe dieser Informationen zu schützen“.657 Jedoch können nicht nur Individuen von diesen Regelungen profitieren, sondern sie sind zugleich auch für die Aufsichtsbehörden von Nutzen, denn diese können – so Erwägungsgrund 91 der DSGVO – „unter Umständen nicht in der Lage sein, Beschwerden nachzugehen oder Untersuchungen in Bezug auf Tätigkeiten außerhalb der Grenzen ihres Mitgliedstaats durchzuführen“ und zudem durch „unzureichende Präventiv- und Abhilfebefugnisse, nicht übereinstimmende rechtliche Regelungen und praktische Hindernisse wie Ressourcenknappheit behindert werden“.658 Aus diesen Gründen 654

Kuner, Transborder data flows and data privacy law, S. 49. Siehe Kuner, Transborder data flows and data privacy law, S. 49 für den vorgeschlagenen Wortlaut, der weitere Anforderungen stellt. 656 Siehe Art. 44 Va der Version des Rates v. 28.05.2014 für eine DSGVO. 657 Kommissionsvorschlag Datenschutz-Grundverordnung 2012, Erwägungsgrund 91, S. 36. 658 Kommissionsvorschlag Datenschutz-Grundverordnung 2012, Erwägungsgrund 91, S. 36. 655

§ 6 Die bestehenden Regelungen in der EU und den USA 

163

bedürfe es daher „der Förderung einer engeren Zusammenarbeit zwischen den Datenschutz-Aufsichtsbehörden, damit sie Informationen austauschen und mit den Aufsichtsbehörden in anderen Ländern Untersuchungen durchführen können“.659 bb) Inhalt des Art. 45 I–II DSGVO Art. 45 I DSGVO des Kommissionsvorschlags nennt Zwecke, zu dessen Erreichung Maßnahmen durch Kommission und Aufsichtsbehörden in Bezug auf Drittländer sowie internationale Organisationen getroffen werden: Die Maßnahmen werden gem. lit. a einerseits getroffen zur „Entwicklung wirksamer Mechanismen der internationalen Zusammenarbeit, durch die die Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtert wird“. Zudem erfolgen die Maßnahmen gem. lit. b zur „gegenseitigen Leistung internationaler Amtshilfe bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten, unter anderem durch Mitteilungen, Beschwerdeverweisungen, Amtshilfe bei Untersuchungen und Informationsaustausch, sofern geeignete Garantien für den Schutz personenbezogener Daten und anderer Grundrechte und Grundfreiheiten bestehen“. Weitere Maßnahmen erfolgen gem. lit. c zur „Einbindung maßgeblich Beteiligter in Diskussionen und Tätigkeiten, die zum Ausbau der internationalen Zusammenarbeit bei der Durchsetzung von Rechtsvorschriften über den Schutz personenbezogener Daten dienen“. Schließlich sollen gem. lit. d auch Maßnahmen zur „Förderung des Austauschs und der Dokumentation von Rechtsvorschriften und Praktiken zum Schutz personenbezogener Daten“ getroffen werden. Der von der Kommission vorgeschlagene Art. 45 II DSGVO bestimmt, dass die Kommission zur Erreichung dieser Zwecke „geeignete Maßnahmen zur Förderung der Beziehungen zu Drittländern und internationalen Organisationen und insbesondere zu deren Aufsichtsbehörden“ ergreift, „wenn sie gemäß Art. 41 Absatz 3 durch Beschluss festgestellt hat, dass diese einen angemessenen Schutz bieten“. Die Begründung zum Kommissionsentwurf sieht zudem vor, dass die in Art. 45 DSGVO genannten Verfahren zur internationalen Zusammenarbeit – obwohl dies die Vorschrift nicht ausdrücklich nennt – unter Berücksichtigung der Empfehlung der OECD vom 12. Juni 2007 zur grenzüberschreitenden Zusammenarbeit bei der Durchsetzung des Datenschutzrechts entwickelt werden.660 Mit Bezug zu diesem Artikel wird bspw. eine Ergänzung gefordert, sodass neben der Kommission zusätzlich auch die Aufsichtsbehörden die Förderung der Beziehungen zu Drittländern – insbesondere zu denen ohne angemessenes Schutzniveau – betreiben können.661 659

Kommissionsvorschlag Datenschutz-Grundverordnung 2012, Erwägungsgrund 91, S. 36. So Kommissionsvorschlag Datenschutz-Grundverordnung 2012, S. 13. 661 Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Datenschutz-Grundverordnung, 11.06.2012, S. 24. 660

164

Teil 1: Datenfluss im internationalen Kontext

Das Parlament verlangt in einem neu eingeführten Art. 45a von der Kommission, dem Parlament regelmäßig einen Bericht über die Anwendung der Art.  40–45 vorzulegen. h) Die (Wieder-)Einführung des ursprünglich geplanten Art. 42 DSGVO als Art. 43a DSGVO Vor Veröffentlichung des ersten Kommissionsvorschlags im Januar 2012 erschien im Internet bereits eine „geleakte Version“ des Datenschutzreformpakets.662 Dieser Vorentwurf enthielt mit Art. 42 eine Regelung, die Forderungen nach Offenlegung von personenbezogenen Daten durch Drittländer bzw. ihrer Gerichte und Behörden an bestimmte Voraussetzungen knüpfte. Die Regelung bestimmte in Art. 42 I, dass „Datenanforderungen durch Gerichtsurteile oder richterliche Beschlüsse und Entscheidungen von Behörden außerhalb der EU nicht in der EU anerkannt und nicht durchgesetzt werden, es sei denn, es bestehen internationale Abkommen oder Verträge zwischen dem Drittstaat und [der Union oder] dem Mitgliedstaat“.663 Art. 42 II des geleakten Kommissionsentwurfs bestimmte somit Voraussetzungen für den Fall, dass Justiz- und Strafverfolgungsbehörden in Drittstaaten auf personenbezogene Daten in der EU zugreifen wollen und regelte, dass ein solcher Zugriff der vorherigen Zustimmung der zuständigen Datenschutzbehörde bedürfe.664 Zwar ist die praktische Bedeutung einer solchen Klausel fraglich, im endgültigen Kommissionsentwurf war sie jedoch nicht mehr enthalten.665 Wie aus Medienberichten zu erfahren war, war die Streichung dieser Vorschriften sowie der weiteren Absätze des Art. 42, die weitere Regelungen zum Verfahren enthielten, amerikanischer Lobbyarbeit geschuldet.666 Die Regelung wurde 662 Siehe dazu Spies, Europäische Datenschutzverordnung: Kommissionsentwurf gibt tiefen Einblick in EU-Reformpläne, 08.12.2011, http://blog.beck.de/2011/12/08/europaeische-daten schutzverordnung-kommissionsentwurf-gibt-tiefen-einblick-in-eu-reformplaene (zuletzt geprüft am 15.03.2015) mit einem Link zu dem „geleakten“ Entwurf; sowie auch u. a. Spies, ZD 1/2012, V (V f.); Hornung, ZD 2012, 99 (99); Eckhardt, CR 2012, 195 (202). 663 Großteil der Übersetzung durch Spies, ZD 1/2012, V (V). 664 So die Zusammenfassung durch Spies, ZD 1/2012, V (VI). 665 Siehe dazu Spies, ZD 1/2012, V (V f.) m. w. Nachw., der dem Artikel keine hohe Bedeutung zumisst und ihr eher klarstellende Charakter attestiert. 666 Siehe dazu Fontanella-Khan, Washington pushed EU to dilute data protection, 12.06.2013, http://www.ft.com/cms/s/0/42d8613a-d378-11e2-95d4-00144feab7de.html#axzz2ne0JhAp9 (zuletzt geprüft am 15.03.2015); Schulzki-Haddouti, EU könnte Spähangriffe wie Prism verbieten  – wenn sie wollte, 25.06.2013, http://www.zeit.de/digital/datenschutz/2013-06/prismeu-fisa-datenschutz (zuletzt geprüft am 15.03.2015); Lischka, EU-Verordnung: Friedrich will Datenschutzregeln wieder ändern, 22.10.2013, http://www.heise.de/newsticker/meldung/EUDatenschutzreform-Klausel-gegen-NSA-Spionage-gestrichen-1887741.html (zuletzt geprüft am 15.03.2015); heise online, EU-Datenschutzreform: Klausel gegen NSA-Spionage gestrichen, 13.06.2013, http://www.heise.de/newsticker/meldung/EU-Datenschutzreform-Klausel-gegenNSA-Spionage-gestrichen-1887741.html (zuletzt geprüft am 15.03.2015).

§ 6 Die bestehenden Regelungen in der EU und den USA 

165

auch als „Anti-FISA-Klausel“ bezeichnet, da sie möglicherweise eine Weitergabe von Daten auf Grundlage des Foreign Intelligence Surveillance Act (FISA) verhindert hätte.667 Das Gesetz erlaubt nämlich bspw. dem US-Geheimdienst NSA, die Herausgabe von personenbezogenen Daten von Internetdiensten wie Facebook zu verlangen oder die Überwachung von Personen anzuordnen.668 Auch gegen Maßnahmen nach dem Patriot Act wäre der Artikel u. U. wirksam gewesen.669 Nach Medienberichten hätten sich sowohl US-Internetfirmen als auch die US-Regierung für die Streichung der Regelung eingesetzt; US-Firmen hätten nämlich „zwischen zwei Stühlen gesessen, die EU hätte die Weitergabe verboten, die USA diese jedoch gefordert.670 Ein weiterer Grund für die Streichung sollen die Gespräche über ein EU-US Freihandelsabkommen gewesen sein, die durch eine solche Klausel nur zusätzlich erschwert worden wären. Zusätzlich wurde gegen die Bestimmung des Art. 42 angeführt, sie hätte geringes Gewicht, da sich die meisten Server von USTechnologiefirmen mit Daten von EU-Bürgern sowieso in den USA befänden und auf diese daher zugegriffen werden könnte.671 Noch vor Veröffentlichung des Kommissionsentwurfs wurde Art. 42 in seiner alten Fassung gestrichen. Mit zunehmender Erkenntnis über die Reichweite der NSA-Affäre, wurde der Artikel jedoch wieder in die Debatte um die Datenschutzgrundverordnung aufgenommen. In der Version des vom LIBE-Ausschuss des Europaparlaments parteiübergreifend verabschiedeten Entwurfs für die DSGVO ist der Artikel 42 in leicht abgewandelter Form als neuer Art. 43a wiederum enthalten.672 Das Parlament hat diesen Vorschlag übernommen, sodass er auch in dem offiziellen Vorschlag der Kommission enthalten ist.673 Im Rat wurde eine ähnliche, von Deutschland eingebrachte Regelung diskutiert (Art. 42a), die jedoch – soweit ersichtlich – keine Berücksichtigung in der Version des Rates fand.674 Zwar bleibt die tatsächliche Auswirkung und Wirksamkeit der Vorschrift abzuwarten,675 sie ist jedoch zumindest ein Signal aus Europa, dass der Datenzugriff 667 Fontanella-Khan, Washington pushed EU to dilute data protection, 12.06.2013; heise­ online, EU-Datenschutzreform: Klausel gegen NSA-Spionage gestrichen, 13.06.2013. 668 Siehe dazu heise online, EU-Datenschutzreform: Klausel gegen NSA-Spionage gestrichen, 13.06.2013; Schulzki-Haddouti, EU könnte Spähangriffe wie Prism verbieten – wenn sie wollte, 25.06.2013. 669 Siehe Rebentisch, 42 – Das Mysterium der Datenschutzreform, 13.02.2013, https://netz politik.org/2013/42-das-mysterium-der-datenschutzreform/ (zuletzt geprüft am 15.03.2015). 670 Schulzki-Haddouti, EU könnte Spähangriffe wie Prism verbieten  – wenn sie wollte, 25.06.2013; Fontanella-Khan, Washington pushed EU to dilute data protection, 12.06.2013. 671 Vgl. Fontanella-Khan, Washington pushed EU to dilute data protection, 12.06.2013. 672 Siehe dazu den Entwurf des Parlaments in der Version des LIBE-Ausschusses, abzu­ru­ fen auf der Webseite des Berichterstatters unter http://www.janalbrecht.eu/fileadmin/material/ Dokumente/DPR-Regulation-inofficial-consolidated-LIBE.pdf (zuletzt geprüft am 15.03.2015); dazu auch Lischka, EU-Verordnung: Friedrich will Datenschutzregeln wieder ändern, 22.10.2013; Moos, K&R 2013, 150 (157). 673 Siehe Art. 43a des Vorschlags des EU-Parlaments v. 12.03.2014 für eine DSGVO. 674 Siehe dazu die Version des Rates v. 28.05.2014 für eine DSGVO, S. 33, Fn. 48 m. w. Nachw. 675 Dazu Spies, ZD 1/2012, V (V f.).

166

Teil 1: Datenfluss im internationalen Kontext

aus den USA nicht ohne Gegenwehr toleriert wird. Der weitere Verbleib wird sich in den Ergebnissen der Verhandlungen zeigen. 2. Kommissionsvorschlag für eine Richtlinie für die Datenverarbeitung bei Polizei und Justiz in Europa Das zweite Element des Reformpakets ist der Entwurf einer Richtlinie für die Datenverarbeitung bei Polizei und Justiz in Europa.676 Sie ist als Ersatz für den DSRB geplant, geht jedoch im Anwendungsbereich weit über diesen hinaus. a) Zweck der Verordnung und Referenzen zum Datenfluss im internationalen Kontext Nach Aussagen der Kommission ist der Anwendungsbereich des DSRB begrenzt, da er auf die grenzüberschreitende Datenverarbeitung beschränkt sei und die Datenverarbeitung von Polizei- und Justizbehörden auf innerstaatlicher Ebene nicht mit einschließe.677 Aus dieser Tatsache könnten sich sowohl für die Polizei als auch andere zuständige Behörden bei der justiziellen Zusammenarbeit in Strafsachen sowie in der polizeilichen Zusammenarbeit Probleme ergeben: Die zuständigen Stellen könnten „nicht in jedem Fall ohne Weiteres zwischen rein innerstaatlicher und grenzübergreifender Verarbeitung unterscheiden oder vorhersehen, ob es zu bestimmten personenbezogenen Daten in einer späteren Phase vielleicht einen grenzübergreifenden Austausch geben wird“; zudem räume der DSRB „aufgrund seines Charakters und seines Inhalts den Rechtsvorschriften der Mitgliedstaaten zu seiner Umsetzung sehr großen Spielraum ein“; außerdem sehe er „keinerlei Mechanismus oder beratende Gruppe vor, die – ähnlich wie die Artikel-29-Arbeitsgruppe – die gemeinsame Auslegung seiner Bestimmungen unterstützen würden“ 676

Zum Entwurf einer DSRL-PJ siehe bspw.: Art.  29-Datenschutzgruppe, Stellungnahme 01/2012 zu den Reformvorschlägen im Bereich des Datenschutzes, WP 191, 23.03.2012, S. 29– 36; Art. 29-Datenschutzgruppe, Stellungnahme 01/2013 mit weiteren Beiträgen zur Diskussion über den Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, WP 201, 26.02.2013, http://ec.europa.eu/ justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp201_ de.pdf (zuletzt geprüft am 15.03.2015); Bäcker/Hornung, ZD 2012, 147; Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, 11.06.2012, https://www.ldi.nrw. de/mainmenu_Aktuelles/Inhalt/EU-Datenschutz_DSK/Stellungnahme_der_DSK_zur_JI-Richt linie.pdf (zuletzt geprüft am 15.03.2015); Kugelmann, DuD 2012, 581. 677 Kommissionsvorschlag Datenschutz-Richtlinie 2012, S. 2.

§ 6 Die bestehenden Regelungen in der EU und den USA 

167

und lege auch „keine Durchführungsbefugnisse für die Kommission fest, um ein gemeinsames Herangehen bei seiner Anwendung zu gewährleisten“.678 Neben diesen Erwägungen verwies die Kommission zudem darauf hin, dass es mit Art. 16 II AEUV im Vertrag von Lissabon nun auch eine besondere Rechtsgrundlage für den Erlass von Datenschutzvorschriften im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen gebe.679 Der Vorschlag für eine Datenschutzrichtlinie zielt nach Aussagen der Kommission somit darauf ab, „ein hohes, einheitliches Datenschutzniveau in diesem Bereich zu garantieren und damit das gegenseitige Vertrauen zwischen den Polizei- und Justizbehörden verschiedener Mitgliedstaaten zu stärken und den freien Datenverkehr und die Zusammenarbeit zwischen Polizei- und Justizbehörden zu erleichtern“.680 Die Kommission wies in ihrer Begründung zum Richtlinienentwurf darauf hin, dass die EU die „bestgeeignete Ebene“ sei, „um sicherzustellen, dass alle Betroffenen bei der Übermittlung personenbezogener Daten in Drittländer wirksam und in gleichem Maße geschützt sind“.681 Auch im Rahmen der DSRL-PJ ist das entscheidende Kriterium für eine Datenübermittlung ein angemessener Schutz; sollte dies nicht möglich sein, ist aber auch – laut des Kommissionsentwurfs – der Rückgriff auf eine internationale Übereinkunft, geeignete Garantien oder eine Ausnahmeregelung möglich.682 Regelungen zum Datenfluss im internationalen Kontext sind im Entwurf der DSRL-PJ in den Art. 33–38 enthalten.683 Die Regelungen sind im Gegensatz zu Art. 13 ff. DSRB nicht nur anwendbar, wenn die Sicherheitsbehörden eines Mitgliedstaats Daten von den Sicherheitsbehörden eines anderen Mitgliedstaats erhalten haben, sondern müssen bei jeder Datenübermittlung in ein Drittland Beachtung finden.684 Teilweise wird der Entwurf der DSRL-PJ dahingehend kritisiert, dass er „auf echte materielle Anforderungen an die datenschutzrechtlichen Regelungen in den Drittländern, an die die Sicherheitsbehörden personenbezogene Daten übermitteln“ verzichte und daher gefordert, die Ausnahmeregelungen in Art. 36 DSRLJP zu beschränken und auch Art.  35 DSRL-JP „deutlich restriktiver“ zu fassen, 678

Kommissionsvorschlag Datenschutz-Richtlinie 2012, S. 2. Kommissionsvorschlag Datenschutz-Richtlinie 2012, S. 2 mit weiteren Ausführungen. 680 Kommissionsvorschlag Datenschutz-Richtlinie 2012, S. 5. 681 Kommissionsvorschlag Datenschutz-Richtlinie 2012, S. 6. 682 Siehe Kommissionsvorschlag Datenschutz-Richtlinie 2012, Erwägungsgründe 45–50, insbesondere Erwägungsgrund 45 und 48, S. 22 f. 683 Siehe zu Regelungen des Datenflusses im internationalen Kontext bspw.: Art. 29-Datenschutzgruppe, Stellungnahme 01/2012 zu den Reformvorschlägen im Bereich des Datenschutzes, WP 191, 23.03.2012, S. 34 f.; Bäcker/Hornung, ZD 2012, 147 (151); Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, 11.06.2012, S. 11 f.; Kugelmann, DuD 2012, 581 (583). 684 Bäcker/Hornung, ZD 2012, 147 (151). 679

168

Teil 1: Datenfluss im internationalen Kontext

„um den Schutz der Betroffenen nicht weitgehend in das Belieben der übermittelnden Behörde zu stellen“.685 Andere halten die Vorschriften für teilweise widersprüchlich oder für zu weit gefasst.686 Diesen Kritikpunkten ist zuzustimmen. Die Richtlinie ist in der Version der Kommission – wie zu zeigen sein wird – in großen Teilen sehr vage gehalten und erlaubt einen weiten Interpretationsspielraum. Insbesondere die Ausnahmebestimmungen des Art. 36 DSRL-JP, wie sie von der Kommission vorgeschlagen wurden, erlauben die Datenübermittlung bei Bedarf ohne jegliche Grenzen. Positiv an dem Richtlinienentwurf der Kommission ist jedoch, dass sie ein Bekenntnis der EU zum Datenschutz auch im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen darstellt, einem Bereich, in dem es lange Zeit keine bis geringe Datenschutzregelungen gab. Zudem ist der im Vergleich zum DSRB erweiterte Anwendungsbereich positiv hervorzuheben. Im Rahmen der andauernden Verhandlungen zum neuen Datenschutzpaket der Union wird sich zeigen, ob gewisse, bisher noch sehr vage formulierte Garantien stärker abgesichert werden können. b) Art. 33 DSRL-PJ: Allgemeine Grundsätze für die Übermittlung personenbezogener Daten aa) Ziele und Funktionen des Art. 33 DSRL-PJ Art. 33 DSRL-PJ bestimmt „Allgemeine Grundsätze für die Übermittlung personenbezogener Daten“ im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen; wobei eine Übermittlung nur erlaubt ist zur „Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten oder für die Strafvollstreckung“.687 bb) Inhalt des Art. 33 DSRL-PJ Der von der Kommission vorgeschlagene Art. 33 DSRL-PJ regelt die Pflicht der Mitgliedstaaten vorzusehen, dass „jedwede von einer zuständigen Behörde vorgenommene Übermittlung von personenbezogenen Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung in ein Drittland oder an eine internationale Organisation verarbeitet werden sollen, einschließlich der Weitergabe an ein anderes Drittland oder eine andere internationale Organisation“ nur unter zwei kumula 685

So Bäcker/Hornung, ZD 2012, 147 (151). Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, 11.06.2012, S. 11. 687 Dazu Kommissionsvorschlag Datenschutz-Richtlinie 2012, S. 11. 686

§ 6 Die bestehenden Regelungen in der EU und den USA 

169

tiv zu erfüllenden Voraussetzungen zulässig ist: Die Übermittlung muss nach lit. a „zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Strafvollstreckung erforderlich“ sein. Dies stellt die Grundvoraussetzung für alle Übermittlungen dar.688 Zudem müssen gem. lit. b der Verantwortliche sowie der Auftragsverarbeiter die im Kapitel V des Entwurfs geregelten Vorschriften (Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen) einhalten. Es muss somit ein Erlaubnistatbestand entweder in Form eines Angemessenheitsbeschlusses nach Art.  34 DSRL-PJ, geeigneter Garantien nach Art. 35 DSRL-PJ oder weiteren Ausnahmetatbeständen nach Art. 36 DSRL-PJ vorliegen.689 Hinsichtlich der nun mitumfassten internationalen Organisation wird gefordert, diese Bestimmung auf Organisationen zu beschränken, die „einen Bezug zu Fragen der inneren Sicherheit“ haben.690 Die Art. 29-Datenschutzgruppe spricht sich zudem in ihrer Stellungnahme dafür aus, dass klar zu unterscheiden sei zwischen der ursprünglichen Übermittlung und der Weiterübermittlung, um an die Weiterübermittlung zusätzliche Voraussetzungen zu stellen.691 Bei Weiterübermittlungen könnten eine eindeutige Zweckbindung sowie die Zustimmung durch die übermittelnde Behörde im Voraus vorgesehen werden sowie die Anforderung, dass der Datenempfänger eine zuständige Behörde i. S. d. Richtlinie sei.692 Andere fordern, die Regelungen zur Weiterübermittlung in einer spezifischen Vorschrift zu normieren.693 Gerade die Weiterübermittlung birgt besondere Gefahren, da sie die Kontrollmöglichkeit über die Daten weiter verringert. Eine Regelung der Weiterübermittlung in einer spezifischen Vorschrift wäre zumindest zu begrüßen, um auf diese Gefahren hinzuweisen. Zusätzliche Voraussetzungen wie eine eindeutige Zweckbindung sowie die Zustimmung durch die übermittelnde Behörde im Voraus würden das Bewusstsein bei den Behörden im Drittland für die Bedeutung des Datenschutzes in der EU stärken. Eine tatsächliche Kontrollmöglichkeit, ob die Verpflichtungen eingehalten werden, ergeben sich daraus jedoch nicht. Zudem ist fraglich, inwiefern insbesondere bei einem tatsächlichen, akuten Bedürfnis für eine Weiterübermittlung diese zusätzlichen Voraussetzungen eingehalten werden. Aufgrund der Bedeutung 688

Bäcker/Hornung, ZD 2012, 147 (151). Bäcker/Hornung, ZD 2012, 147 (151). 690 Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, 11.06.2012. 691 Art. 29-Datenschutzgruppe, Stellungnahme 01/2012 zu den Reformvorschlägen im Bereich des Datenschutzes, WP 191, 23.03.2012, S. 34. 692 Art. 29-Datenschutzgruppe, Stellungnahme 01/2012 zu den Reformvorschlägen im Bereich des Datenschutzes, WP 191, 23.03.2012, S. 34. 693 Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, 11.06.2012, S. 11. 689

170

Teil 1: Datenfluss im internationalen Kontext

des Datenschutzes in der EU sollte jedoch nicht auf eine entsprechende Regelung verzichtet werden. Zu begrüßen sind dahingehend die detaillierteren Vorschriften des Parlamentsentwurfs zur DSRL-PJ.694 Ein Vorschlag des Rates umfasst die Weiterübermittlung und stellt spezifische Voraussetzungen für Übermittlungen auf wie bspw. das vorherige Einverständis durch einen anderen Mitgliedstaat bei Daten aus diesem Staat, eine Angemessenheitsentscheidung der Kommission oder die Einhaltung weiterer Sicherheiten oder Ausnahmen im Sinne der Richtinie.695 c) Art. 34 DSRL-PJ: Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses aa) Ziele und Funktionen des Art. 34 DSRL-PJ Der von der Kommission entworfene Art. 34 DSRL-PJ sieht die Übermittlung personenbezogener Daten auf der Grundlage eines Angemessenheitsbeschlusses vor, der entweder im Rahmen der DSGVO ergangen sein kann oder speziell für den Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen erlassen werden kann.696 bb) Inhalt des Art. 34 I DSRL-PJ Art.  34 DSRL-PJ des Kommissionsentwurfs regelt, dass personenbezogene Daten übermittelt werden dürfen, wenn die Kommission entweder nach Art.  41 DSGVO festgestellt hat, dass das Drittland bzw. ein Gebiet oder Verarbeitungssektor in diesem Drittland oder die in Frage kommende internationale Organisation einen „angemessenen Schutz“ bietet oder aber, dass eine solche Feststellung nach Art. 34 III DSRL-PJ erfolgt ist: Wenn einer der beiden Fälle vorliegt, muss gem. dem Artikel keine weitere Genehmigung zur Übermittlung mehr eingeholt werden. Neu im Vergleich zur Regelung im DSRB697 ist ein Gleichlauf der Angemessenheitsentscheidung mit einer bereits getroffenen Angemessenheitsentscheidung im Rahmen einer bereits erlassenen Unionsregelung, also hier einer Entscheidung im Rahmen der DSGVO.698 Der Vorschlag des Parlaments verzichtet auf den Verweis auf die DSGVO und bezieht sich lediglich auf einen spezifischen Angemessenheitsbeschluss im Rahmen der DSRL-PJ.699 Der Rat hingegen bezieht 694

Siehe Art. 33 des Vorschlags des EU-Parlaments v. 12.03.2014 für eine DSRL-PJ. Siehe dazu ausführlich Art. 33 der Version des Rates v. 22.12.2014 für eine DSRL-PJ. 696 Kommissionsvorschlag Datenschutz-Richtlinie 2012, S. 11. 697 Dazu oben S. 131 ff. 698 Siehe zur Vorgängerregelung Art. 13 DSRB und der Frage, ob „Angemessenheit“ im Rahmen der DSRL und dem DSRB identisch sind Boehm, Information sharing and data protection in the area of freedom, security and justice, S. 164. 699 Siehe Art. 34 I des Vorschlags des EU-Parlaments v. 12.03.2014 für eine DSRL-PJ. 695

§ 6 Die bestehenden Regelungen in der EU und den USA 

171

sich ähnlich wie die Kommission entweder auf einen Angemessenheitsbeschluss nach der DSGVO oder der DSRL-PJ.700 cc) Inhalt des Art. 34 II DSRL-PJ Sollte nicht bereits eine Angemessenheitsentscheidung im Rahmen der DSGVO erfolgt sein, kann die Kommission  – so der Kommissionsvorschlag  – die Angemessenheit des Schutzniveaus eines Drittlands bzw. einer internationalen Organisation beschließen und somit einen Angemessenheitsbeschluss ausschließlich für Zwecke der DSRL-PJ erlassen.701 Teilweise wird gefordert, klarzustellen, dass im Rahmen der alten DSRL ergangene Angemessenheitsentscheidungen keine Anwendung auf die Richtlinie im Rahmen der polizeilichen und justiziellen Zusammenarbeit finden.702 Ob ein im Rahmen des DSRL-PJ erlassener Angemessenheitsbeschluss auch im Rahmen der DSGVO Geltung beanspruchen kann, regelt keiner der beiden Vorschläge zur Reform des Datenschutzes. Im Umkehrschluss zu der beschriebenen explizit im Kommissionsvorschlag vorgenommenen Regelung ist jedoch nicht davon auszugehen. Ein im Rahmen der polizeilichen und justiziellen Zusammenarbeit erlassener Beschluss kann keine Aussage darüber treffen, ob ein angemessenes Schutzniveau auch für den Bereich der DSGVO besteht. Zwar soll die DSGVO auch für den öffentlichen Bereich gelten, dieser ist jedoch nicht gleichzusetzen mit dem der polizeilichen und justiziellen Zusammenarbeit, sodass sich aufgrund der unterschiedlichen Regelungsmaterie ein Gleichlauf der Angemessenheitsbeschlüsse ohne genaue Prüfung verbietet. Art. 34 II DSRL-PJ nennt in der Version der Kommission Kriterien, die bei der Prüfung der Angemessenheit berücksichtigt werden: Die Prüfung muss gem. lit. a unter Berücksichtigung „der Rechtsstaatlichkeit, der geltenden allgemeinen und sektorspezifischen Vorschriften (insbesondere über die öffentliche Sicherheit, die Landesverteidigung, die nationale Sicherheit und das Strafrecht) sowie der […] geltenden Sicherheitsvorschriften sowie der Existenz wirksamer und durchsetzbarer Rechte einschließlich wirksamer administrativer und gerichtlicher Rechtsbehelfe für betroffene Personen und insbesondere für in der Union ansässige betroffene Personen, deren personenbezogene Daten übermittelt werden“, erfolgen. Gem. lit. b ist zudem die „Existenz“ und „Wirksamkeit“ unabhängiger Aufsichtsbehörden zu berücksichtigen sowie gem. lit. c die „von dem betreffenden Drittland beziehungsweise der betreffenden internationalen Organisation eingegange 700

Siehe dazu ausführlich Art. 33 der Version des Rates v. 22.12.2014 für eine DSRL-PJ. So Kommissionsvorschlag Datenschutz-Richtlinie 2012, S. 11. 702 Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, 11.06.2012, S. 11. 701

172

Teil 1: Datenfluss im internationalen Kontext

nen internationalen Verpflichtungen“. Die zu berücksichtigenden Kriterien sind quasi identisch mit den im Rahmen des DSGVO relevanten Kriterien. Nicht berücksichtigte Kriterien wie „Standesregeln“ haben keine Relevanz im Bereich der Polizei und Justiz. Die Version des Parlaments ist präziser. So sollen nach dem Vorschlag des Parlaments neben auch in der Version der Kommission dargelegten Kriterien u. a. die Durchsetzung der Rechtsvorschriften, Präzedenzfälle, hinreichende Sanktionsbefugnisse oder vom Drittland eingegangene rechtlich verbindliche Datenschutzabkommen berücksichtigt werden.703 Auch im Rahmen der Verhandlungen innerhalb des Rates wurden weitere Kriterien berücksichtigt wie bspw. „respect for human rights and fundamental freedoms“ oder „rules for onward transfer of personal data to another third county or international organisations“.704 Zudem wurde vorgeschlagen, dem Datenschutzausschuss die Möglichkeit einzuräumen, im Rahmen der DSRL-PJ Stellungnahmen über das Bestehen oder Nichtbestehen der Angemessenheit in einem Drittland abzugeben.705 dd) Inhalt des Art. 34 III–IV DSRL-PJ Der von der Kommission vorgeschlagene Art.  34 III DSRL-PJ regelt, dass die Kommission durch einen Beschluss das angemessene Schutzniveau feststellen kann, wobei gem. Art.  34 DSRL-PJ im Beschluss sowohl der geografische als auch der sektorielle Anwendungsbereich sowie u. U. die jeweilige Aufsichtsbehörde angegeben werden. Der Beschluss ist demnach ein Durchführungsakt, der in Übereinstimmung mit dem im Rahmen der DSRL-PJ relevanten Prüfverfahren des Art. 57 II DSRL-PJ erlassen wird. Die Version des Parlaments fordert u. a. eine kontinuierliche Überwachung durch die Kommission.706 Nach einer Version des Rates soll der Durchführungsakt zudem den territorialen und sektoriellen Anwendungsbereich bestimmen und ggf. die relevante Aufsichtsbehörde nennen.707 ee) Inhalt des Art. 34 V–VI DSRL-PJ Art. 34 V DSRL-PJ des Kommissionsentwurfs ist ebenfalls fast wortgleich mit der Regelung der DSGVO. Die Regelung eröffnet demnach der Kommission die Möglichkeit, festzustellen, dass kein angemessenes Schutzniveau besteht. Auch hier gilt dies insbesondere für Fälle, „in denen die in dem betreffenden Drittland bezie 703

Siehe Art. 34 II des Vorschlags des EU-Parlaments v. 12.03.2014 für eine DSRL-PJ. Art. 34 II der Version des Rates v. 22.12.2014 für eine DSRL-PJ. 705 Art. 34 IIa der Version des Rates v. 22.12.2014 für eine DSRL-PJ. 706 Siehe Art. 34 IVa des Vorschlags des EU-Parlaments v. 12.03.2014 für eine DSRL-PJ; für eine Überwachung auch Art. 34 IVa der Version des Rates v. 22.12.2014 für eine DSRL-PJ. 707 Art. 34 III der Version des Rates v. 22.12.2014 für eine DSRL-PJ. 704

§ 6 Die bestehenden Regelungen in der EU und den USA 

173

hungsweise der betreffenden internationalen Organisation geltenden allgemeinen und sektorspezifischen Vorschriften keine wirksamen und durchsetzbaren Rechte einschließlich wirksamer administrativer und gerichtlicher Rechtsbehelfe für in der Union ansässige betroffene Personen und insbesondere für betroffene Personen, deren personenbezogene Daten übermittelt werden, garantieren“. Das zur Anwendung kommende Verfahren ist das des Art. 57 II DSRL-PJ bzw. in Fällen, „in denen es äußerst dringlich ist, das Recht natürlicher Personen auf den Schutz ihrer personenbezogenen Daten zu wahren“, das Verfahren des Art. 57 II DSRL-PJ. Zur Abhilfe dieser Situation nimmt auch hier die Kommission Beratungen mit dem Drittland bzw. der internationalen Organisation auf. Bis dahin müssen die Mitgliedstaaten – so der Vorschlag der Kommission – nach der Negativentscheidung der Kommission gem. Art.  34 VI DSRL-PJ sicherstellen, „dass jedwede Übermittlung personenbezogener Daten an das betreffende Drittland beziehungsweise an ein Gebiet oder einen Verarbeitungssektor in diesem Drittland oder an die betreffende internationale Organisation unbeschadet der Übermittlungen nach Artikel 35 I oder Artikel 36 untersagt wird“. Kritisiert wird die Tatsache, dass die Kommission einerseits für die Feststellung der Angemessenheit des Datenschutzniveaus zuständig ist, andererseits aber auch die Verhandlungen mit Drittstaaten zu den Datenschutzabkommen führt.708 So hätten Erfahrungen bei den Verhandlungen zu PNR- oder SWIFT-Abkommen gezeigt, dass „zur Sicherung des Datenschutzes eine wesentliche Einflussnahme des Europäischen Parlaments erforderlich ist“ und daher die Beteiligung des Parlaments nicht auf das Vertragsschlussverfahren beschränkt werden sollte.709 Entscheidend ist jedoch, dass die Verhandlungen mit Drittstaaten kohärent geführt werden sollten und dass die Verhandlungsposition der EU nicht durch Streitigkeiten zwischen den Institutionen insgesamt geschwächt wird. Institutionen müssen zwar im Vorfeld die Gelegenheit zu Stellungnahmen bekommen, die die Kommission zu berücksichtigen hat; Verhandlungsführer sollte jedoch ausschließlich die Kommission bleiben. Beteiligungsrechte stehen dem Parlament im Vertragsschlussverfahren zu. Diese kann es nutzen und von der Kommission ausgehandelten Regelungen bei unzureichender vorheriger Berücksichtigung der Parlamentspositionen die Zustimmung verweigern. Zudem werden der Zweck der negativen Angemessenheitsbeschlüsse und die Funktionsweise in der Praxis hinterfragt und die Frage aufgeworfen, ob mit einer negativen Angemessenheitsentscheidung sämtliche Übermittlungen blockiert seien oder diese zulässig sind, bis es zu einer positiven Entscheidung kommt bzw. entsprechende Garantien für die Datenübermittlung vereinbart wurden.710 Die Art. 29-Datenschutzgruppe fordert daher Nachbesserungen an der Richtlinie, um die Folgen 708

Kugelmann, DuD 2012, 581 (583). Kugelmann, DuD 2012, 581 (583). 710 Art. 29-Datenschutzgruppe, Stellungnahme 01/2012 zu den Reformvorschlägen im Bereich des Datenschutzes, WP 191, 23.03.2012, S. 34. 709

174

Teil 1: Datenfluss im internationalen Kontext

einer negativen Angemessenheitsentscheidung zu verdeutlichen.711 Andere sehen die Frage hingegen geklärt und fordern lediglich die Klarstellung, dass bei Negativentschlüssen, Datenübermittlungen nur auf der Grundlage der Ausnahmebestimmung in Art. 36 DSRL-PJ, jedoch nicht auf der Grundlage von Art. 35 I DSRL-PJ vorgenommen werden dürfen.712 Dies ist überzeugend, da durch die Ausnahmebestimmungen weiterhin eine Übermittlung in ein Drittland ohne angemessenes Schutzniveau möglich ist, eine solche jedoch erst nach Prüfung und Erfüllung einer Ausnahmebestimmung erfolgen kann. Durch diese Prüfung wird das Bewusstsein für die damit verbundenen Risiken gestärkt, ein Datenfluss aber nicht komplett unterbunden. ff) Inhalt des Art. 34 VII DSRL-PJ Eine Liste von Negativ- als auch Positiventscheidungen in Bezug auf einen angemessenen Schutz veröffentlicht die Kommission – so ihr Entwurf – gem. Art. 34 VII DSRL-PJ im Amtsblatt der Europäischen Union. gg) Inhalt des Art. 34 VIII DSRL-PJ Zudem überwacht die Kommission laut des Kommissionsvorschlags gem. Art. 34 VIII DSRL-PJ die Anwendung der Durchführungsrechtsakte, die in den Absätzen 3 und 5 genannt wurden. d) Art. 35 DSRL-PJ: Datenübermittlung auf der Grundlage geeigneter Garantien aa) Ziele und Funktionen des Art. 35 der Richtlinie Art. 35 DSRL-PJ regelt, dass bei nicht bestehendem Angemessenheitsbeschluss angemessene Datenschutzgarantien für eine Datenübermittlung vorliegen müssen.713 Im Vergleich zu Art. 42 DSGVO nennt Art. 35 DSRL-PJ des Kommissionsvorschlags jedoch weniger Garantien, über die eine Datenübermittlung im Falle einer fehlenden Positiv- bzw. Negativentscheidung abgewickelt werden kann. Dies ist der Fall, da eine Garantie wie „Unternehmensinterne Vorschriften“ im Rahmen des Anwendungsbereiches der Richtlinie keinen Sinn macht. 711

Art. 29-Datenschutzgruppe, Stellungnahme 01/2012 zu den Reformvorschlägen im Bereich des Datenschutzes, WP 191, 23.03.2012, S. 34. 712 Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, 11.06.2012, S. 11 mit Verweis auf die Widersprüchlichkeit von Art. 35 V und Art. 35 I DSRL-PJ. 713 Kommissionsvorschlag Datenschutz-Richtlinie 2012, S. 11.

§ 6 Die bestehenden Regelungen in der EU und den USA 

175

bb) Inhalt des Art. 35 I–II DSRL-PJ Sollte kein Beschluss nach Art. 34 DSRL-PJ erlassen worden sein, also weder eine Positiv- noch eine Negativentscheidung bestehen, sorgen die Mitgliedstaaten – so der Vorschlag der Kommission – gem. Art. 35 I DSRL-PJ dafür, dass eine Übertragung dennoch möglich ist: Eine Übermittlung ist demnach gem. lit.  a durchführbar, wenn „in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind“ oder aber gem. lit. b „der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter alle Umstände beurteilt hat, die bei der Übermittlung personenbezogener Daten eine Rolle spielen, und zu der Auffassung gelangt ist, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen“. Eine solche Entscheidung nach lit. b wird gem. Art. 35 II DSRL-PJ von „entsprechend bevollmächtigten Mitarbeitern“ getroffen. Zudem werden gem. dem Artikel Datenübermittlungen dokumentiert und auf Anfrage der Aufsichtsbehörde zur Verfügung gestellt. Als mögliches „rechtsverbindliches Dokument“ i. S. d. Vorschrift nennt die Kommission – jedoch nicht in der DSRL-PJ selbst – als Beispiel ein internationales Abkommen und fügt hinzu, „[w]ahlweise kann der für die Verarbeitung Verantwortliche nach Prüfung der für die Datenübermittlung relevanten Umstände zu dem Schluss kommen, dass solche Garantien gegeben sind“.714 Die beiden vom Kommissionsvorschlag angebotenen Alternativen sind äußerst unterschiedlich. Einerseits wird ein rechtsverbindliches Instrument gefordert (lit. a), andererseits reicht aber auch die einfache Schlussfolgerung, dass solche Garantien be­ stehen und somit eine Selbstevaluation der verantwortlichen Stelle (lit. b). Anders als in der Parallelnorm des Art. 42 II DSGVO werden keine konkreten rechtlichen Anforderungen in der DSRL-PJ definiert, sodass sie sehr vage bleiben.715 Die Alternative in lit. b verlangt kein rechtsverbindliches Instrument und die Garantien müssen zudem nur in der „ex-ante-Perspektive der handelnden Personen“ bestehen.716 Auch die Art. 29-Datenschutzgruppe fordert die Festlegung der Garantien in einem rechtsverbindlichen Dokument und spricht sich im Rahmen der „Selbstbeurteilung“ für eine Berücksichtigung des Art. 26 II DSRL sowie eine vollständige Dokumentation der Evaluierungsprozesse aus, die auf Verlangen den Datenschutzbehörden vorzulegen seien.717 714

So Kommissionsvorschlag Datenschutz-Richtlinie 2012, S. 11. Vgl. Bäcker/Hornung, ZD 2012, 147 (151). 716 Bäcker/Hornung, ZD 2012, 147 (151); siehe auch Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, 11.06.2012, S.  11 f. mit Verweis auf die Unbestimmtheit der Norm und der Forderung einer Bezugnahme auf Art. 34 II lit. a. DSRL-PJ sowie die Streichung der Einbeziehung von Auftragsdatenverarbeitern. 717 Art. 29-Datenschutzgruppe, Stellungnahme 01/2012 zu den Reformvorschlägen im Bereich des Datenschutzes, WP 191, 23.03.2012, S. 34. 715

176

Teil 1: Datenfluss im internationalen Kontext

Die Version des Parlaments berücksichtigt die von der Kommission in lit. b vorgeschlagene Alternative nicht und sieht nur vor, dass „in einem rechtsverbindlichen Instrument geeignete Garantien zum Schutz personenbezogener Daten“ vorgesehen werden.718 Zudem müssen die Übermittlungen vor ihrer Durchführung von der Aufsichtsbehörde genehmigt werden.719 Eine im Rat diskutierte Version des Artikels sieht als Sicherheit – ähnlich wie die Kommission – ein rechtsverbindliches Instrument vor, das aber zudem auch durchsetzbar sein muss.720 Im Rahmen der vom Rat aufgegriffenen „Selbstbeurteilung“ sollen zudem Kooperationen zwischen Europol und/oder Eurojust und Drittländern, die den Austausch von personenebezogenen Daten erlauben, berücksichtigt werden können.721 e) Art. 36 DSRL-PJ: Ausnahmen aa) Ziele und Funktionen des Art. 36 DSRL-PJ Der von der Kommission entworfene Art. 36 DSRL-PJ regelt Ausnahmen von den geltenden Erfordernissen der Angemessenheit oder geeigneten Garantien. Der Artikel ist sowohl an Art. 26 DSRL als auch Art. 13 DSRB angelehnt.722 Die Vorschrift ist zwar mit „Ausnahmen“ betitelt, enthält in der Sache aber Vorschriften für die gesamte Tätigkeit von Sicherheitsbehörden.723 Die Art. 29-Datenschutzgruppe zeigt sich in ihrer Stellungnahme „besorgt“ über die Ausnahmen und insbesondere die lit. c, d und e.724 Diese würden einen großen Spielraum für Übermittlungen im Einzelfall lassen und diese nur unter die Voraussetzung der „Erforderlichkeit“ stellen.725 Auch die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hält Art. 36 DSRL-PJ und insbesondere lit. d und e für „zu weit gefasst“ und regt daher eine Streichung dieser Ausnahmetatbestände an.726 Die Datenschutzgruppe bemängelte die fehlende Dokumentationspflicht über die Inanspruchnahme der Ausnahmeregelungen und forderte daher die Aufnahme einer entsprechenden 718

Siehe Art. 35 I des Vorschlags des EU-Parlaments v. 12.03.2014 für eine DSRL-PJ. Siehe Art. 35 II des Vorschlags des EU-Parlaments v. 12.03.2014 für eine DSRL-PJ. 720 So Art. 35 I lit. a der Version des Rates v. 22.12.2014 für eine DSRL-PJ. 721 So Art. 35 I lit. b der Version des Rates v. 22.12.2014 für eine DSRL-PJ. 722 So Kommissionsvorschlag Datenschutz-Richtlinie 2012, S. 11. 723 So Bäcker/Hornung, ZD 2012, 147 (151). 724 Art. 29-Datenschutzgruppe, Stellungnahme 01/2012 zu den Reformvorschlägen im Bereich des Datenschutzes, WP 191, 23.03.2012, S. 35. 725 Art. 29-Datenschutzgruppe, Stellungnahme 01/2012 zu den Reformvorschlägen im Bereich des Datenschutzes, WP 191, 23.03.2012, S. 35. 726 Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, 11.06.2012, S. 12. 719

§ 6 Die bestehenden Regelungen in der EU und den USA 

177

Dokumentations- sowie Nachweispflicht in den Richtlinientext.727 Auch sollten die Mitgliedstaaten über die Einbeziehung von Datenschutzbehörden bei der Übermittlung ohne Angemessenheitsentscheidung beschließen können.728 bb) Inhalt des Art. 36 lit. a DSRL-PJ Der Artikel erlaubt in der Kommissionsversion eine Ausnahme von den Erfordernissen der Art. 34 und 35 DSRL-PJ, wenn die „Übermittlung zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist“. cc) Inhalt des Art. 36 lit. b DSRL-PJ Eine weitere Ausnahme ist laut des Kommissionsvorschlags möglich, wenn die Übermittlung „nach dem Recht des Mitgliedstaats, aus dem die personenbezogenen Daten übermittelt werden, zur Wahrung berechtigter Interessen der betroffenen Person notwendig ist“. dd) Inhalt des Art. 36 lit. c DSRL-PJ Des Weiteren ist eine Übermittlung auch ausnahmsweise möglich, wenn diese – so der Vorschlag der Kommission – „zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlands unerlässlich ist“. Eine Version stellt dahingehend geringere Anforderungen und erlaubt eine Übermittlung bereits, wenn die Übermittlung „necessary“ ist.729 ee) Inhalt des Art. 36 lit. d DSRL-PJ Wenn die Übermittlung „zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Strafvollstreckung erforderlich ist“, ist sie nach dem Kommissionsentwurf trotz fehlender Angemessenheitsentscheidung oder ge 727

Art. 29-Datenschutzgruppe, Stellungnahme 01/2012 zu den Reformvorschlägen im Bereich des Datenschutzes, WP 191, 23.03.2012, S. 35; sich ebenfalls für eine Dokumentationspflicht entsprechend Art. 35 II DSRL-PJ aussprechend Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, 11.06.2012, S. 11. 728 Art. 29-Datenschutzgruppe, Stellungnahme 01/2012 zu den Reformvorschlägen im Bereich des Datenschutzes, WP 191, 23.03.2012, S. 35. 729 Siehe Art. 36 I lit. c der Version des Rates v. 22.12.2014 für eine DSRL-PJ.

178

Teil 1: Datenfluss im internationalen Kontext

eigneter Garantien gem. Art. 36 lit. d DSRL-PJ möglich. Diese Bestimmung wird dahingehend kritisiert, dass sie „alle übrigen Übermittlungsvorschriften von Kapitel V überflüssig“ werden lässt: Die von Art. 36 lit. d. DSRL-PJ aufgestellten Voraussetzungen seien nämlich bereits „nach dem wortgleichen Art. 33 lit. a erforderlich, sodass Art. 33 lit. a und lit. b (über Art. 36 lit. d) denselben normativen Inhalt haben“.730 Daher seien auch die übrigen Regelungen des Kapitels „regelungstechnisch überflüssig und rechtsstaatlich schädlich“, da sie vorgäben, „ein Sicherungsmittel zu sein, das de facto nicht besteht“.731 Damit bliebe der Schutzstandard noch hinter dem von Art. 13 III lit. a DSRB zurück, wonach eine Datenübermittlung in Drittländer nur auf Grund „überwiegender berechtigter Interessen, insbesondere wichtiger öffentlicher Interessen“ erlaubt ist.732 Die Art.  29-Datenschutzgruppe fordert daher eine restriktive Auslegung der Vorschriften und zudem eine Einschränkung des Wortlautes.733 Einer derartigen Anpassung der Regelung ist zuzustimmen. In der Version der Kommission erlaubt die Ausnahmeregelung de jure jegliche Art von Datenübermittlung im Rahmen der polizeilichen und justiziellen Zusammenarbeit, da sich die Datenübermittlungen in diesem Bereich stets unter diesen Ausnahme­ tatbestand subsumieren ließen. In datenschutzrechtlicher Hinsicht zu bevorzugen ist daher der Vorschlag des Parlaments. Er behält zwar die Ausnahmebestimmungen der Kommission bei, regelt jedoch in einem neu eingeführten Absatz 1, dass bei Nichtbestehen eines angemessenen Schutzniveaus „die Übermittlung personenbezogener Daten an das betreffende Drittland oder an die betreffende internationale Organisation“ unterbleibt, „wenn im konkreten Fall die berechtigten Interessen der betroffenen Person am Ausschluss der Übermittlung das öffentliche Interesse an der Datenübermittlung überwiegen“.734 Zudem schränkt der Vorschlag die Ausnahmevorschriften in den Absätzen 2a-2c ein, indem er u. a. eine Rechtsgrundlage für eine Datenverarbeitung nach den Ausnahmevorschriften, die Beachtung des Wesensgehalts des Rechts auf Schutz personenbezogener Daten, eine hinreichende Begründung der Verarbeitung, die Entscheidung für die Verarbeitung von entsprechend bevollmächtigten Mitarbeitern sowie eine Dokumentationspflicht fordert.735 Im Gegensatz zum Parlamentsvorschlag geht ein Vorschlag aus den Verhandlungen des Rates sogar noch über den Kommissionsvorschlag hinaus. Neben den von der Kommission aufgeführten Zwecken soll eine Übermittlung auch möglich sein, wenn der Transfer notwendig ist für „the execution of criminal penalties or 730

Bäcker/Hornung, ZD 2012, 147 (151). Bäcker/Hornung, ZD 2012, 147 (151). 732 Bäcker/Hornung, ZD 2012, 147 (151). 733 Art. 29-Datenschutzgruppe, Stellungnahme 01/2012 zu den Reformvorschlägen im Bereich des Datenschutzes, WP 191, 23.03.2012, S. 35. 734 Siehe Art. 36 I des Vorschlags des EU-Parlaments v. 12.03.2014 für eine DSRL-PJ. 735 Siehe Art. 36 IIa-IIc des Vorschlags des EU-Parlaments v. 12.03.2014 für eine DSRL-PJ. 731

§ 6 Die bestehenden Regelungen in der EU und den USA 

179

for the purposes of maintaining law and order and the safeguarding of public security“.736 Als Einschränkung wird jedoch in einem neu eingeführten Abs. 2 eine Rück­ausnahme für die weitreichenden Ausnahmen gemacht, der wie folgt lautet: „Personal data shall not be transferred, if in the individual case the data subject has protectable interests, especially data protection interests, in the exclusion of the transfer, which override the public interest in the transfer set out in paragraph 1.“ ff) Inhalt des Art. 36 lit. e DSRL-PJ Schließlich ist nach dem Kommissionsvorschlag eine Übermittlung gem. Art. 36 lit. e DSRL-PJ ausnahmsweise erlaubt, wenn sie „in Einzelfällen zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen im Zusammenhang mit der Verhütung, Aufdeckung, Untersuchung oder Verfolgung einer bestimmten Straftat oder der Vollstreckung einer bestimmten Strafe notwendig ist“. f) Art. 37 DSRL-PJ: Besondere Bedingungen für die Übermittlung personenbezogener Daten aa) Ziele und Funktionen des Art. 37 DSRL-PJ Art. 37 DSRL-PJ stellt „Besondere Bedingungen für die Übermittlung personen­ bezogener Daten“ auf. bb) Inhalt des Art. 37 DSRL-PJ Der von der Kommission vorgeschlagene Art.  37 DSRL-PJ verpflichtet die Mitgliedstaaten dafür zu sorgen, „dass der für die Verarbeitung Verantwortliche den Empfänger personenbezogener Daten auf Verarbeitungsbeschränkungen hinweist und alle vertretbaren Vorkehrungen trifft, um sicherzustellen, dass diese Beschränkungen eingehalten werden“. In der Begründung der Kommission werden die „vertretbaren Vorkehrungen“ mit „zweckdienlichen Maßnahmen“ umschrieben.737 Diese Vorschrift wird teilweise als zu unbestimmt kritisiert und eine Konkretisierung in Bezug auf die zu ergreifenden Maßnahmen in technischer und organisatorischer Hinsicht gefordert.738 Zudem wird eine Ergänzung der Bestimmung 736

Siehe Art. 36 I lit. d der Version des Rates v. 22.12.2014 für eine DSRL-PJ. So Kommissionsvorschlag Datenschutz-Richtlinie 2012, S. 11. 738 Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, 11.06.2012, S. 12. 737

180

Teil 1: Datenfluss im internationalen Kontext

um eine Informationspflicht hinsichtlich Berichtigungs- sowie Löschungsansprüchen verlangt.739 In dem Vorschlag des Parlaments wird dies berücksichtigt. So bestimmt Art. 37 DSRL-PJ in dieser Version, eine Informationspflicht für den Verantwortlichen sowie für den Empfänger bei einer Weiterübermittlung in Bezug auf alle „Aktualisierungen, Berichtigungen und Löschungen der Daten“.740 Die von der Kommission vorgeschlagene Hinweispflicht ist ebenso wie die diskutierte Informationspflicht erforderlich. Berichtigungs- und Löschungsansprüche sind essentieller Bestandteil des EU-Datenschutzrecht und sollten daher auch kommuniziert werden. Eine Konkretisierung in Hinblick auf die zu ergreifenden Maßnahmen wäre möglich, jedoch ist das entscheidende Ziel der Vorschrift klar festgelegt, sodass der Verantwortliche dies – auch ohne Hinweis darauf, wie dies zu erreichen ist – zu erfüllen hat. Nach Klarstellung, dass Art.  37 DSRL-PJ nicht für unionsinterne Übermittlungen anwendbar ist, wird zudem eine Klarstellung in der Richtlinie gefordert, dass die in den Mitgliedstaaten geltenden Verwendungsbeschränkungen und Mit­ teilungspflichten auch außerhalb der EU Geltung beanspruchen.741 Zu Klarstellungszwecken könnte dies erfolgen, es hätte jedoch keinen inhaltlichen Mehrwert. g) Art. 38 DSRL-PJ: Internationale Zusammenarbeit zum Schutz personenbezogener Daten aa) Ziele und Funktionen des Art. 38 DSRL-PJ Art. 38 DSRL-PJ regelt die „Internationale Zusammenarbeit zum Schutz personenbezogener Daten“. Diese internationale Zusammenarbeit soll mit Aufsichtsbehörden von Drittländern – insbesondere aus Ländern, die über ein angemessenes Schutzniveau verfügen – erfolgen.742

739 Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, S. 12. 740 Siehe Art. 37 des Vorschlags des EU-Parlaments v. 12.03.2014 für eine DSRL-PJ. 741 Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, 11.06.2012, S.  12 mit der Forderung, die Verwendungsbeschränkungen des übermittelnden Mitgliedstaates müssten durch den empfangenden Mitgliedstaat umgesetzt werden. 742 So Kommissionsvorschlag Datenschutz-Richtlinie 2012, S. 11.

§ 6 Die bestehenden Regelungen in der EU und den USA 

181

bb) Inhalt des Art. 38 DSRL-PJ Der von der Kommission vorgeschlagene Art. 38 DSRL-PJ regelt, dass die Mitgliedstaaten und die Kommission ebenso wie bei Art.  45 DSGVO Maßnahmen zur internationalen Zusammenarbeit zum Schutz personenbezogener Daten treffen, die u. a. Amtshilfe bei der Durchsetzung von Datenschutzgesetzen, Amtshilfe bei Untersuchungen sowie Informationsaustausch oder die Einbindung von Beteiligten mit einschließt.743 Auch hier weist die Kommission in ihrer Begründung – genauso wie bei der DSGVO – daraufhin, dass die „OECD-Empfehlung vom 12. Juni 2007 über die grenzüberschreitende Zusammenarbeit bei der Anwendung von Datenschutzgesetzen“ bei der internationalen Zusammenarbeit berücksichtigt wird. Die Konferenz der Datenschutzbeauftragten fordert in Bezug auf diese Regelung, dass nicht nur die Kommission, sondern auch die Aufsichtsbehörden die Förderung der Drittlandsbeziehungen – insbesondere zu Drittländern ohne angemessenes Schutzniveau – betreiben können.744 Der Vorschlag des Parlaments unterscheidet sich nur geringfügig von dem der Kommission.745

B. Recht der USA Regelungen des Datenflusses im internationalen Kontext in dem Maße, wie sie in der EU bestehen, sind in den USA nicht vorhanden. Es bestehen lediglich sehr vereinzelt Regelungen, die auch auf den Datenfluss im internationalen Kontext Anwendung finden können und in noch geringerem Maße explizite Regelungen des Datenflusses im internationalen Kontext. Zudem gab es verschiedene Gesetzesinitiativen, die umfassend und explizit den Datenfluss im internationalen Kontext – vor allem in Bezug auf „offshoring“ bzw. „outsourcing“ von Datenverarbeitungen ins Ausland – zu regeln vorhatten. Des Weiteren gibt es auch in der Öffentlichkeit ein wachsendes Bewusstsein für ein sogenanntes „offshoring“ von Datenverarbeitungen ins Ausland.746 Ansonsten können Daten ohne weitere Beschränkungen ins Ausland übermittelt werden. 743

Siehe dazu oben S. 162 ff. Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme zur Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, 11.06.2012, S. 12. 745 Siehe Art. 38 I lit a und lit. da (sic) des Vorschlags des EU-Parlaments v. 12.03.2014 für eine DSRL-PJ; zudem schlägt das Parlaments eine regelmäßige Berichtspflicht der Kommission über die Anwendung der Art. 33–38 an Parlament und Rat vor, siehe dazu Art. 38 des Vorschlags. 746 Hoofnagle, European Commission Directorate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, in Particular in the Light of Technological Developments – Country Report: United States of America, 2010, http://ec. europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_country_ report_B1_usa.pdf (zuletzt geprüft am 15.03.2015); genannt werden insbesondere die Länder Indien, Pakistan und die Philippinen. 744

182

Teil 1: Datenfluss im internationalen Kontext

Ursprung für diese fragmentarische Regelung ist insgesamt die Herangehensweise zum Thema Datenschutz in den USA. Die USA verfügen nicht über ein allumfassendes rechtliches Datenschutzsystem, sondern legen stattdessen den Fokus auf Selbstregulierung durch den Privatsektor, der sektorspezifisch von gesetzlichen Regelungen auf Ebene des Bundes sowie der Bundesstaaten unterstützt wird.747 Die Erhebung neuer Daten und deren weitere Verarbeitung hingegen scheint zudem bspw. nur geringen Beschränkungen zu unterliegen. Die Herangehensweise an Datenschutz sowie mögliche Erklärungsversuche für diese sollen im Teil  II der Arbeit genauer analysiert werden. Hinsichtlich der in den USA vorzufindenden Regelungen zum Datenfluss im internationalen Kontext ist zunächst der vorgenommene Hinweis auf die unterschiedliche Herangehensweise ausreichend. I. Keine allgemeinen Regelungen zum Datenfluss im internationalen Kontext Im Gegensatz zu bestehenden Regelungen in der EU haben die USA keine Regelungen erlassen, die den Datenfluss im internationalen Kontext generell Beschränkungen unterwerfen oder den Datentransfer in Drittländer nur unter bestimmten Voraussetzungen erlauben oder gar untersagen.748 Das US-Recht kann so verstanden werden, dass es trotz Diskussionen im US-Kongress, einem „outsourcing“ von Datenverarbeitungen nach Indien Beschränkungen aufzuerlegen, es bis heute keine (expliziten) rechtlichen Regelungen im US-amerikanischen Recht gibt, die den Export von Daten einschränken.749 Nach der hier vertretenen Auffassung bestehen jedoch durchaus vereinzelt Regelungen zum Datenfluss im internationalen Kontext. Zumindest war der Datenfluss im internationalen Kontext bereits mehrfach Gegenstand von Diskussionen im Rahmen von Gesetzgebungsverfahren in den USA. II. Explizite und implizite sektorielle Regelungen Tatsächlich bestehende Regelungen nennen nicht explizit den Datenfluss im internationalen Kontext oder eine ähnliche Formulierung wie es bspw. die DSRL in ihren Art. 25 und 26 vornimmt. Jedoch enthalten bestimmte sektorielle Regelungen in den USA Vorschriften, die gewisse Einschränkungen für den Datenfluss im internationalen Kontext mit sich bringen. Von Interesse sind zunächst spezifische, explizite Regelungen (1.). Zudem stellt sich die Frage, ob Regelungen, die eine 747 Vgl. Herdegen, Common Market Law Review 45 (2008), 1581 (1589); Shaffer, in: Petersmann/Pollack, Transatlantic economic disputes, 2003, S. 311–321. 748 Vgl. Schwartz, Harvard Law Review 126 (2013), 1966 (1977). 749 So Schwartz, Harvard Law Review 126 (2013), 1966 (1977); siehe aber bereits Bergmann, Grenzüberschreitender Datenschutz, S. 116 ff., der einzelne Regelungen in den Bundesstaaten verortet sowie Entwicklungen aufzeigt.

§ 6 Die bestehenden Regelungen in der EU und den USA 

183

Sachmaterie allgemein regeln, implizit – möglicherweise nur zufällig – auch den Datenfluss im internationalen Kontext erfassen (2.). 1. Explizite Regelung: Internal Revenue Service Rule Die – soweit ersichtlich – einzigen expliziten Regelungen zum Datenfluss im internationalen Kontext, die tatsächlich geltendes Recht geworden sind, finden sich in den USA im Steuerrecht. Der Internal Revenue Service (IRS), die dem Finanzministerium unterstellte Bundessteuerbehörde der Vereinigten Staaten, hat diese Regelungen auf Grund einer Verordnungsermächtigung in 26 U. S. C. § 7216 (c), (Disclosure or use of information by preparers of returns), erlassen.750 § 7216 und die auf dieser Grundlage erlassenen Verordnungen sollen Richtlinien und Beschränkungen für die Nutzung und Weitergabe von Steuerinformationen von Kunden durch Steuerberater aufstellen; die Regeln wurden geschaffen, um Steuerzahler davor zu schützen, dass ihre Daten offengelegt oder in einer Weise verwendet werden, die die Steuerzahler nicht erlaubt oder ursprünglich in Erwägung gezogen haben.751 § 7216(a) knüpft daher an Verstöße gegen diese Regelungen entsprechende rechtliche Konsequenzen. Zweck der vom IRS verabschiedeten und zum 1. Januar 2009 in Kraft getretenen neuen Regelungen war die Aktualisierung von 750

26 U. S. C. § 7216 – Disclosure or use of information by preparers of returns: (a) General rule Any person who is engaged in the business of preparing, or providing services in connection with the preparation of, returns of the tax imposed by chapter 1, or any person who for compensation prepares any such return for any other person, and who knowingly or recklessly – (1) discloses any information furnished to him for, or in connection with, the preparation of any such return, or (2) uses any such information for any purpose other than to prepare, or assist in preparing, any such return, shall be guilty of a misdemeanor, and, upon conviction thereof, shall be fined not more than $ 1,000, or imprisoned not more than 1 year, or both, together with the costs of prosecution. (b) Exceptions (1) Disclosure Subsection (a) shall not apply to a disclosure of information if such disclosure is made – (A) pursuant to any other provision of this title, or (B) pursuant to an order of a court. (2) Use Subsection (a) shall not apply to the use of information in the preparation of, or in connection with the preparation of, State and local tax returns and declarations of estimated tax of the person to whom the information relates. (3) Regulations Subsection (a)  shall not apply to  a disclosure or use of information which is permitted by regulations prescribed by the Secretary under this section. Such regulations shall permit (subject to such conditions as such regulations shall provide) the disclosure or use of information for quality or peer reviews. 751 Jamouneau, New Regs Govern Overseas Disclosure and Use of Taxpayer Information, 22.01.2009, http://www.journalofaccountancy.com/web/overseasdisclosureanduseoftaxpayerinfo. htm (zuletzt geprüft am 15.03.2015).

184

Teil 1: Datenfluss im internationalen Kontext

bis dahin bestehenden Regelungen und die Berücksichtigung von aktuellen Praktiken des Steuer(berater)gewerbes, wie z. B. elektronische Erstellung und Einreichung von Steuererklärungen, erweiterte Dienstleistungsangebote u. a. im Bereich von Steuern und die Nutzung von Ressourcen über nationale Grenzen hinaus.752 Die erlassenen Regelungen beinhalten einerseits Regelungen für Steuerberater über die Weitergabe oder Nutzung von Informationen für die Vorbereitung einer Steuererklärung und berücksichtigen explizit die Weitergabe ins Ausland. Eine Regelung behandelt zunächst die Weitergabe von Steuerdaten eines Kunden (natürliche oder juristische Person) an andere Angestellte derselben Steuer­ beratergesellschaft innerhalb der USA. Dies ist möglich, wenn es zur Erstellung der Steuererklärung notwendig ist. Sollte sich der Angestellte derselben Steuerberatergesellschaft jedoch außerhalb der USA befinden – was auf Grund niedriger Personalkosten im Ausland durchaus vorkommen kann –, ist dies nur mit Einverständnis des Steuerpflichtigen möglich. Die entsprechende Regelung in 26 C. F. R. Ch. I (4–1–12 Edition), § 301.7216– 2(c)(2) lautet: „(2) Tax return preparers located within the same firm in the United States. […] If an officer, employee, or member to whom the tax return information is to be disclosed is located outside of the United States or any territory or possession of the United States, the taxpayer’s consent under § 301.7216–3 prior to any disclosure is required.“753

Das in dieser Regelung geforderte Einverständnis setzt voraus, dass der Steuerpflichtige das Einverständnis wissentlich und willentlich vor einer Offenlegung abgibt sowie die Einverständniserklärung datiert und unterschreibt.754 Eine weitere Regelung beinhaltet im Gegensatz zur bereits vorgestellten Regelung nicht die Weitergabe, sondern die erstmalige Bereitstellung von Informationen zur Erstellung einer Steuererklärung an einen Steuerberater, der sich außerhalb der USA befindet und die darauffolgende Weitergabe der Daten innerhalb der Gesellschaft. In diesem Fall ist zur Weitergabe eine Zweckbindung, jedoch kein Einverständnis des Steuerpflichtigen zur Weitergabe notwendig. Diese Ausnahmebestimmung scheint eine Gelegenheit zu bieten, einen Teil  des Verwaltungs­ aufwands im Zusammenhang mit dem erforderlichen Einverständnis beim Transfer von Daten ins Ausland abzuschwächen.755 752

Vgl. Jamouneau, New Regs Govern Overseas Disclosure and Use of Taxpayer Information, 22.01.2009. 753 26 C. F. R. Ch. I (4–1–12 Edition), § 301.7216–2(c)(2), abrufbar unter http://www.gpo.gov/ fdsys/pkg/CFR-2012-title26-vol18/pdf/CFR-2012-title26-vol18-sec301–7216–2.pdf (zuletzt geprüft am 15.03.2015). 754 Siehe dazu, zu den von der Regelung umfassten Daten sowie zusätzlichen Voraussetzungen bei natürlichen Personen ausführlich Jamouneau, New Regs Govern Overseas Disclosure and Use of Taxpayer Information, 22.01.2009; sowie § 301.7216–3. 755 So Jamouneau, New Regs Govern Overseas Disclosure and Use of Taxpayer Information, 22.01.2009.

§ 6 Die bestehenden Regelungen in der EU und den USA 

185

Die Regelung lautet im Einzelnen: „(3) Furnishing tax return information to tax return preparers located outside the United States. If a taxpayer initially furnishes tax return information to a tax return preparer located outside of the United States or any territory or possession of the United States, an officer, employee, or member of a tax return preparer may use tax return information, or disclose any tax return information to another officer, employee, or member of the same tax return preparer, for the purpose of performing services that assist in the preparation of, or assist in providing auxiliary services in connection with the preparation of, the tax return of a taxpayer by or for whom the information was furnished without the taxpayer’s consent under § 301.7216–3.“756

Für gewisse Arten von Offenlegungen durch Anwälte und Buchhalter wird in § 301.7216(2)(h) auf die bereits genannten Regelungen verwiesen.757 Die Regelungen sind vor allem für Gesellschaften mit internationalen Niederlassungen relevant, die Dienstleistungen für im Ausland lebende Amerikaner oder international operierende Kunden anbieten sowie auch generell für Gesellschaften, die Teile ihrer Aufträge in andere Länder outsourcen, um Kosten zu sparen.758 2. Beispiel für eine implizite Regelung: Gramm-Leach-Bliley Act of 1999 Ein Beispiel für eine Regelung, die auch den Datenfluss im internationalen Kontext erfasst, ist der Gramm-Leach-Bliley Act of 1999. Der Gramm-Leach-Bliley Act of 1999759 stellt Datenschutzregelungen für den Finanzsektor auf und verpflichtet durch diese das jeweilige Unternehmen bspw. zur Benachrichtigung bei Änderung der Datenschutzbestimmungen oder dazu, dem Verbraucher die Möglichkeit zum opt-out zu geben. Jedoch enthält das Gesetz keine Bestimmungen zur Geltendmachung von eigenen Rechten, Löschung oder Beschränkungen in Bezug auf die Datenerhebung.760 Das Gesetz war eine Reaktion auf Datenmissbräuche im Finanzsektor.761 Im Gramm-Leach-Bliley Act bestehen Vorschriften, die zwar nicht explizit als Regelung des Datenflusses im internationalen Kontext zu sehen sind, diesen im Anwendungsbereich des Gesetzes aber an bestimmte Voraussetzungen knüpfen und ihn somit implizit erfassen. Generell verfügt der GLBA über drei Mecha 756 26 C. F. R. Ch. I (4–1–12 Edition), § 301.7216(2)(3); siehe zur Veranschaulichung auch die unter Beispiele § 301.7216(2)(3). 757 26 C. F. R. Ch. I (4–1–12 Edition), § 301.7216–2(h). 758 Vgl. Jamouneau, New Regs Govern Overseas Disclosure and Use of Taxpayer Information, 22.01.2009. 759 Pub. L. No. 106–102, 15 U. S. C. §§ 6801–6809. 760 Hoofnagle, European Commission Directorate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, 2010, S. 14. 761 Ausführlich zu den Hintergründen Electronic Privacy Information Center, The GrammLeach-Bliley Act, http://epic.org/privacy/glba/default.html (zuletzt geprüft am 15.03.2015).

186

Teil 1: Datenfluss im internationalen Kontext

nismen, die einen gewissen Datenschutz sicherstellen sollen:762 Zum einen müssen Finanzinstitute eine Datenschutz-Policy haben;763 diese Policy muss zudem bei Vertragsschluss und jeweils danach jährlich dem Kunden mitgeteilt werden.764 Des Weiteren ist es Finanzinstituten verboten,765 Informationen nichtverbundenen Dritten gegenüber offenzulegen. Das Verbot der Offenlegung von Informationen ist die zentrale Schutzvorkehrung in Bezug auf Finanzinformationen von Privaten, die jedoch auch mehreren Ausnahmebestimmungen unterliegt.766 Das Verbot der Offenlegung von Informationen ist  – auch wenn dies nicht explizit im Gesetz geregelt ist – auf den Datentransfer an Dritte im Ausland anwendbar. Die in § 502 des GLBA normierte Regelung besagt, dass – vorbehaltlich anderer­ Regelungen  – ein Finanzinstitut weder direkt noch durch eine Tochtergesellschaft nichtöffentliche personenbezogene Informationen gegenüber nichtverbundenen Dritten767 offenlegen darf, wenn das Finanzinstitut den Konsumenten nicht durch eine Mitteilung, die mit den Voraussetzungen des § 503 in Einklang steht, in Kenntnis setzt.768 Eine solche Mitteilung muss u. a. darüber Auskunft geben, wem gegenüber die Informationen offengelegt werden oder offengelegt werden können, was mit den Informationen geschieht, wenn das Geschäftsverhältnis endet, die Arten von personenbezogenen Information, die erhoben werden sowie die „policies“, die das Finanzinstitut in Bezug auf Vertraulichkeit und Sicherheit der Informationen verfolgt.769 § 502 regelt aber auch Ausnahmen von dieser Bestimmung durch die sog. „opt out“-Regelungen des § 502(b): Demnach dürfen die Daten nicht weitergegeben werden, wenn das Finanzinstitut dem Konsumenten nicht vorher klar anzeigt, dass die Informationen weitergegeben werden können und ihm die Möglichkeit gibt, diesem Vorgehen zu widersprechen. Dies bedeutet, dass die Finanzinstitute die Daten jedoch weitergeben dürfen, wenn der Konsument nicht widerspricht.770 Auch wenn der Konsument von der Möglichkeit des „opt-out“ Gebrauch macht, dürfen die Finanzinstitute dennoch personenbezogene Kundeninformationen mit nichtverbundenen Dritten austauschen. Diese Möglichkeit er 762 Dazu ausführlich Skarda-McCann, Rutgers Computer and Technology Law Journal 32 (2006), 325 (343). 763 § 501 GLBA, 15. U. S. C. 6801. 764 § 503 GLBA, 15. U. S. C. 6803. 765 § 502 GLBA, 15. U. S. C. 6802. 766 Dazu Skarda-McCann, Rutgers Computer and Technology Law Journal 32 (2006), 325 (343). 767 Diese werden gem. § 509(5), 15 U. S. C. 6809 als „any entity that is not an affiliate of, or related by common ownership or affiliated by corporate control with, the financial institution, but does not include a joint employee of such institution“ definiert. 768 § 502(a) GLBA, 15. U. S. C. 6802: (a) NOTICE REQUIREMENTS. – Except as otherwise provided in this subtitle, a financial institution may not, directly or through any affiliate, disclose to a nonaffiliated third party any nonpublic personal information, unless such financial institution provides or has provided to the consumer a notice that complies with section 503. 769 Siehe § 503 GLBA, 15. U. S. C. 6803. 770 Dazu ausführlich Skarda-McCann, Rutgers Computer and Technology Law Journal 32 (2006), 325 (343 f.).

§ 6 Die bestehenden Regelungen in der EU und den USA 

187

öffnet § 502(b)(2), nach dem die genannten Regelungen ein Finanzinstitut nicht daran hindern, Informationen bspw. zu Marketingzwecken an Dritte weiterzugeben, wenn das Finanzinstitut vorher einen Vertrag mit dem Dritten abschließt, der den Dritten u. a. zu Vertraulichkeit verpflichtet.771 Des Weiteren enthält der GLBA auch noch eine Vielzahl allgemeiner Ausnahmen wie bspw. die Erlaubnis zur Datenübertragung bei Verkauf eines Teils des Unternehmens.772 Jedoch sind Unternehmen im Ausland, die in die Datenverarbeitung mit einbezogen werden, in einen sog. „security safeguards plan“ einzubeziehen.773 Insgesamt gesehen stellt der GLBA zwar Voraussetzungen für den Schutz personenbezogener Finanzinformationen auf, diese Voraussetzungen werden jedoch durch eine Vielzahl von Ausnahmen wieder ausgehöhlt.774 Die Regelungen stellen keine expliziten Regelungen zum Datenfluss im internationalen Kontext dar. Die Regelungen sind aber, gerade in einer Branche, die in den USA für Datenübertragungen ins Ausland bekannt sind, auf Dritte im Ausland anwendbar und können damit als implizite Regelungen zum Datenfluss im internationalen Kontext angesehen werden. Dies ist auch daran erkennbar, dass gerade die Finanz- und Gesundheitsindustrie – wie noch zu zeigen sein wird – Gegenstand expliziter Gesetz­ entwürfe zu Regelungen zum Datenfluss im internationalen Kontext sein sollte. III. Gesetzesinitiativen Neben den genannten Regelungen wurden Gesetzesinitiativen, die explizit den Datenfluss im internationalen Kontext zum Gegenstand hatten, im Kongress diskutiert. Keine der in den letzten Jahren vorgenommenen Diskussionen reichte dabei jedoch an die von der EU verabschiedeten oder geplanten Regelungen heran. Auch konnte sich keine der diskutierten Regelungen tatsächlich durchsetzen und alle Gesetzentwürfe, die explizit den Datenfluss im internationalen Kontext regelten, scheiterten bereits im Gesetzgebungsverfahren oder wurden ohne die jewei­

771

Siehe § 502(b)(2), 15. U. S. C. 6802: (2) EXCEPTION. – This subsection shall not prevent a financial institution from providing nonpublic personal information to  a nonaffiliated third party to perform services for or functions on behalf of the financial institution, including marketing of the financial institution’s own products or services, or financial products or services offered pursuant to joint agreements between two or more financial institutions that comply with the requirements imposed by the regulations prescribed under section 504, if the financial institution fully discloses the pro- viding of such information and enters into a contractual agreement with the third party that requires the third party to maintain the confidentiality of such information. 772 Siehe § 502(e), 15. U. S. C. 6802. 773 Vgl. dazu Hoofnagle, European Commission Directorate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, 2010, S. 37 und siehe § 501(b), 15. U. S. C. 6801. 774 Siehe auch Skarda-McCann, Rutgers Computer and Technology Law Journal 32 (2006), 325 (345).

188

Teil 1: Datenfluss im internationalen Kontext

ligen Regelungen zum Datenfluss im internationalen Kontext verabschiedet. Soweit ersichtlich, gab es solche Initiativen in den 1970er und 2000er Jahren. Die in den 2000er Jahren eingebrachten Gesetzesinitiativen waren vor allem als Reaktionen auf Berichte in den Medien über Datenmissbrauch nach Outsourcing von Datenverarbeitungen im Gesundheitsbereich an Subunternehmer eingebracht worden.775 Beispiele für die Gesetzesinitiativen sind im Folgenden aufzuzeigen. 1. Privacy Act of 1974 a) Inhalt des Privacy Act of 1974 Eine der umfassendsten Datenschutzregelungen der USA ist der Privacy Act of 1974776, der den Umgang mit personenbezogenen Daten durch Bundesbehörden regelt.777 Das Gesetz kann als Reaktion auf den Watergate Skandal gesehen werden.778 Die Fair Information Practices779 spiegeln sich in diesem Gesetz wider, jedoch gibt es auch eine Vielzahl an Ausnahmevorschriften und Praktiken, die den Anwendungsbereich auf alle Bundesbehörden verwässern: So wird eine Ausnahme von den Anforderungen des Gesetzes bspw. für den „routinemäßigen Gebrauch“ (routine use)  der Daten erlaubt und diese Ausnahme durch eine Legal­ definition sehr weit ausgelegt.780 Zudem wird der weite Anwendungsbereich auch dadurch ausgehöhlt, dass sich Bundesbehörden in bedeutendem Ausmaß privater Unternehmen bedienen, die als Geschäftsmodell Daten sammeln und diese dann an Behörden verkaufen.781

775

Skarda-McCann, Rutgers Computer and Technology Law Journal 32 (2006), 325 (358) mit Verweis auf Jay Fitzgerald, Known Around the World; Private Records May be at Risk, Boston Herald, 30.11.2003, S.  27; David Lazarus, Extortion Threat to Patients’ Records; Clients Not Informed of India Staff’s Breach, S. F. Chron., 02.04.2004, S. A1 (jeweils zitiert nach dem genannten Aufsatz). 776 Pub. L. No. 93–579, 5 U. S. C. § 552 a. 777 Siehe dazu den vom US Justizministerium herausgegebenen Gesetzeskommentar The United States Department of Justice, Overview of the Privacy Act of 1974, 2012, http:// www.justice.gov/opcl/1974privacyact-overview.htm (zuletzt geprüft am 15.03.2015); sowie als aufschlussreiche Zusammenfassung Bignami, B. C. L.Rev. 48 (2007), 609 (631 ff.); für eine­ Zusammenfassung auf Deutsch Genz, Datenschutz in Europa und den USA, S. 50 ff.; für den geschichtlichen Hintergrund Bennett, Regulating privacy – Data protection and public policy in Europe and the United States, S. 170–179. 778 So bspw. Genz, Datenschutz in Europa und den USA, S. 51. 779 Siehe dazu Solove/Schwartz, Information privacy law, S. 655 ff.; sowie unten S. 229 ff. 780 So definiert § 552 a (a)(7) den Begriff wie folgt: „[…] the term „routine use“ means, with respect to the disclosure of a record, the use of such record for a purpose which is compatible with the purpose for which it was collected; siehe dazu bspw. Hoofnagle, European Commission Directorate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, 2010, S. 12; Elixmann, Datenschutz und Suchmaschinen. 781 Elixmann, Datenschutz und Suchmaschinen, S. 189 m. w. Nachw.

§ 6 Die bestehenden Regelungen in der EU und den USA 

189

b) Entwurf einer Regelung zum Datenfluss im internationalen Kontext Eine Beschränkung des Datenflusses im internationalen Kontext wurde im Rahmen der Verhandlungen zum Privacy Act of 1974 durchaus diskutiert, letztendlich jedoch nicht verabschiedet.782 Verhandelt wurde vom 18.–20.  Juni 1974 in Washington vor allem darüber, wie ein umfassenderes Datenschutzgesetz auf Bundes­ebene aussehen könnte.783 In den Ausschusssitzungen wurden vor allem fünf verschiedene Entwürfe zur Diskussion gestellt, es gab jedoch bereits zuvor Bestrebungen nach umfassenderen Gesetzen zum Datenschutz.784 Einer der in den Ausschüssen diskutierten Gesetzentwürfe sah vor, Datenfluss ins Ausland nur zu gestatten, wenn zuvor die Erlaubnis des Betroffenen eingeholt worden war oder die Regelungen des Gesetzes selbst, abgesichert über einen Vertrag entsprechenden Inhalts, eingehalten werden. Der Entwurf der Regelung fand sich sowohl in § 201(a)(6) des Gesetzentwurfs S. 3418 zum Privacy Act of 1974, der sowohl den Privatsektor als auch den öffentlichen Sektor umfasste, sowie auch im überarbeiteten Gesetzentwurf S. 3633 in § 4(a)(6), der lediglich den öffentlichen Sektor als Regelungsgegenstand hatte.785 Der vorgeschlagene Gesetzestext lautete jeweils: „Any Federal agency, State or local government, or any other organization maintaining an information system that includes personal information shall – […] transfer no personal information beyond the jurisdiction of the United States without specific authorization from the data subject or pursuant to a treaty or executive agreement in force guaranteeing that any foreign government or organization receiving personal information will comply with ap­ plicable provisions of this Act with respect to such information;“

Der Wortlaut beruhte – soweit ersichtlich – auf einem Gesetzesvorschlag für ein Datenschutzgesetz der Senatoren Goldwater und Koch, das jedoch nicht mehr in den Ausschusssitzungen verhandelt wurde.786 782 Schwartz, Harvard Law Review 126 (2013), 1966 (1977) mit Verweis auf Staff of S. Comm. on Gov’t Operations & House Comm. on Gov’t Operations, 94th Cong., Legislative History of the Privacy Act of 1974, S. 3418 (Pub. L. No. 93–579): Source Book on Privacy 234 (Comm. Print 1976). 783 Neben dem Gesetzentwurf S.  3418 wurden auch die Gesetzentwürfe S.  3633, S.  3116, S. 2810 sowie S. 2542 zur Diskussion gestellt. 784 Siehe dazu die folgenden Mitschriften: United States Senate, Second Session on S. 3418, S. 3633, S. 3116, S. 2810, S. 2542, June 18, 19 and 20 1974, unter dem Titel „Privacy – The Collection, Use, and Computerization of Personal Data“ – Part 1, 18.–20.06.1974, http://babel. hathitrust.org/cgi/pt?id=uc1.b5140223;view=1up;seq=9/gao.gov/93-579/00007914.pdf (zuletzt geprüft am 15.03.2015) (im Folgenden: Gesetzgebungsverfahren Privacy Act of 1974, Teil 1). 785 Abgedruckt bei: Legislative History of the Privacy Act of 1974, S. 3418, Pub. L. No. 93–579: Source Book on Privacy 3 (1976), § 201(a)(6), S. 13 f. 786 Siehe den Gesetzesvorschlag H. R. 14163 v. 10.04.1974 der Abgeordneten Goldwater und Koch, der ebenfalls diese Regelung enthielt und sowohl für den öffentlichen Sektor als auch die Privatwirtschaft Anwendung finden sollte. Das zumindest S. 3418 auf diesem Entwurf beruhte, belegt die Aussage von G. Russel Pipe, siehe Gesetzgebungsverfahren Privacy Act of 1974, Teil 1, S. 679: „builds on the earlier Goldwater-Koch model“.

190

Teil 1: Datenfluss im internationalen Kontext

Durch die – als Alternative zur Einwilligung – geforderte Einhaltung der Regelungen des Privacy Act of 1974 auf der Grundlage eines Vertrages hätte das Gesetz somit quasi Gleichwertigkeit in Bezug auf das Schutzniveau im Ausland verlangt. Die im Gesetzentwurf geforderte Gleichwertigkeit geht über die in der DSRL von der EU geforderte Angemessenheit des Schutzniveaus im Drittland hinaus.787 Eine solche Diskussion ist vor allem in der Hinsicht beachtlich, dass bei Verabschiedung der vorgeschlagenen Regelung viele der  – im Laufe der Arbeit noch darzustellenden – Problematiken in Bezug auf Datentransfer zwischen der EU und den USA wohl nicht oder zumindest nicht in der jetzigen Form aufgekommen wären, da dem Datenschutz auf beiden Seiten des Atlantiks entsprechend tief­ greifende Bedeutung beigemessen worden wäre. Möglicherweise hätte eine in dieser Form in einer der ersten Datenschutzgesetze der USA verabschiedete Regelung auch zukünftige Regelungen als Vorbild beeinflusst. Auch stellte die in der Diskussion zum Datenfluss im internationalen Kontext vorgeschlagene Regelung  – soweit ersichtlich – bis heute die umfassendste und in Bezug auf das Schutzniveau innerhalb der USA weitreichendste Regelung dar, da sie durch den Bezug auf die Einhaltung der in dem Gesetz vorgesehenen Datenschutzprinzipien kein Absinken des Schutzniveaus akzeptierte. Von Interesse sind die Gründe, warum sich eine solche Regelung in den USA nicht durchsetzen konnte. Die Gesetzgebungsmaterialien aus den Verhandlungen über den Privacy Act of 1974 können diesbezüglich gewisse Hinweise bieten und zeigen vor allem eine ablehnende Haltung sowohl durch die Privatwirtschaft als auch den öffentlichen Sektor:788 c) Vereinzelte positive Stellungnahme zum Datenfluss im internationalen Kontext In der ebenfalls in den Gesetzgebungsmaterialien enthaltenen schriftlichen Stellungnahme von G. Russel Pipe, einem Experten aus den Niederlanden, der bereits am Entwurf des genannten Gesetzgebungsvorschlags H. R. 14163 von Goldwater und Koch beteiligt war, findet sich – im Gegensatz zu den meisten anderen Stellungnahmen, die den Datenfluss im internationalen Kontext überhaupt erwähnen – eine positive Aussage zu einer solchen Regelung.789 Pipe kritisierte zunächst zwar, dass die in Entwurf S. 3418 genannten Datenschutzregelungen nur für US-Bürger 787

Schwartz, Yale L. J. 118 (2009), 902 (911). Siehe dazu die folgenden Mitschriften: United States Senate, Second Session on S. 3418, S. 3633, S. 3116, S. 2810, S. 2542, June 18, 19 and 20 1974, unter dem Titel „Privacy – The Collection, Use, and Computerization of Personal Data“ – Part 2, 18.–20.06.1974, http://babel. hathitrust.org/cgi/pt?id=uc1.b5140224;view=1up;seq=9 (zuletzt geprüft am 15.03.2015), (im Folgenden: Gesetzgebungsverfahren Privacy Act of 1974, Teil 2). 789 Stellungnahme von G. Russel Pipe, Amsterdam in: Gesetzgebungsverfahren Privacy Act of 1974, Teil 1, S. 679, 679 f. 788

§ 6 Die bestehenden Regelungen in der EU und den USA 

191

gelten: Er stellte heraus, dass der grenzüberschreitende Datenfluss immer wichtiger werde und insbesondere Millionen kanadische Staatsangehörige und ihre Datensätze mit Arbeitnehmer-, Kredit-, Medizin- und Versicherungsdaten somit nicht geschützt seien, jedoch der Datenfluss zwischen den beiden Ländern u. a. wegen der Vielzahl an multinationalen Gesellschaften durchaus an der Tagesordnung sei.790 Das gleiche gelte für Dateien von Europäern oder Südamerikanern, die in den USA auf Grund ähnlicher finanzieller und wirtschaftlichen Einrichtungen gespeichert und verarbeiten werden.791 Da es jedoch keine Regelungen über Rechte von Ausländern in Bezug auf ihre Daten in den USA gebe und somit keinerlei Schutz vor Manipulation oder Ausnutzung bestünde, plädierte Pipe dafür, in ein Gesetz einerseits eine Regelung zum Datenfluss im internationalen Kontext aufzunehmen, wie sie schon im Goldwater-Koch Gesetzentwurf vorhanden war, und gleichzeitig die Regelungen, die für Amerikaner gelten, auch für Aus­länder gelten zu lassen.792 d) Ablehnende Haltung von Seiten der Privatwirtschaft Soweit ersichtlich, trug jedoch die skeptische Haltung der Privatwirtschaft bzgl. einer solchen Regelung zur Nichtberücksichtigung des Datenflusses im internationalen Kontext bei: In Bezug auf die genannte Regelung des § 201 (a)  (6) des Bill S.  3418 kam vor allem aus der Versicherungsindustrie erheblicher Widerstand.793 Die Amerikanische Gesellschaft für Lebensversicherungen kritisierte die vorgeschlagene Regelung zum Datenfluss im internationalen Kontext stark und hielt die vom Gesetzentwurf geforderten Voraussetzungen für eine Datenübertragung durch Einverständnis oder verschiedene vertragliche Lösungen für praktisch unmöglich. In ihrer Stellungnahme führte die Gesellschaft diesbezüglich aus: „This requirement is totally unworkable in the case of life insurance companies. Information must frequently be transferred out of the United States in connection with policies in force, claims, and the transfer of personnel. Moreover, life insurance companies in the United States do a considerable amount of business in Canada and vice versa“794. Die negative Haltung der Versicherungsindustrie ist aus heutiger, europäischer Sicht nicht nachvollziehbar. Es ist nicht ersichtlich, warum ein Einholen des Ein 790 Stellungnahme von G. Russel Pipe, Amsterdam in: Gesetzgebungsverfahren Privacy Act of 1974, Teil 1, S. 679, 679 f. 791 Stellungnahme von G. Russel Pipe, Amsterdam in: Gesetzgebungsverfahren Privacy Act of 1974, Teil 1, S. 679, 679 f. 792 Stellungnahme von G. Russel Pipe, Amsterdam in: Gesetzgebungsverfahren Privacy Act of 1974, Teil 1, S. 679, 680. 793 Siehe die Stellungnahme der Amerikanische Gesellschaft für Lebensversicherungen (American Life Insurance Association) in: Gesetzgebungsverfahren Privacy Act of 1974, Teil  1, S. 515, 517. 794 Stellungnahme der Amerikanische Gesellschaft für Lebensversicherungen (American Life Insurance Association) in: Gesetzgebungsverfahren Privacy Act of 1974, Teil 1, S. 515, 517.

192

Teil 1: Datenfluss im internationalen Kontext

verständnisses des Betroffenen ein solches Problem darstellen soll. Die stark ablehnende Haltung mag aber auch dem Gedanken geschuldet sein  – auch wenn das Einholen eines Einverständnisses praktisch kein so großes Problem darstellen sollte –, das bestmögliche Ergebnis im Gesetzgebungsverfahren zu erzielen. e) Ablehnende Haltung von Seiten des öffentlichen Sektors Auch der öffentliche Sektor zeigte sich in seinen Stellungnahmen – wenn auf die Regelungen zum Datenfluss im internationalen Kontext überhaupt Bezug genommen wurde  – nicht mit den Regelungen zum Datenfluss im internationalen Kontext einverstanden. Ein Vertreter des Justizministeriums führt im Rahmen seiner Stellungnahme bspw. aus, dass eine solche Regelung in bedeutendem Maße die Kooperation mit INTERPOL und Strafverfolgungsbehörden behindern würde und dass insbesondere der Informationsaustausch mit den Nachbarländern der USA über kriminelle Aktivitäten oftmals auf ad-hoc Basis stattfände.795 Des Weiteren führt der Vertreter des Justizministeriums zu den Voraussetzungen, unter denen nach dem Gesetzentwurf Datenfluss im internationalen Kontext erlaubt ist, anschaulich aus: „There is no time to negotiate a treaty, even assuming foreign countries would commit themselves to abide by our law, and it would, of course, be ludicrous to obtain the permission of an organized crime figure before notifying the Mexican government of his drug activities. We strenuously object to this provision“796. Die energische Ablehnung des Justizministeriums zeigte das damals noch sehr wenig ausgeprägte Bewusstsein für den Umgang mit Daten, auch wenn die gewählte Formulierung auch sehr zugespitzt erscheint. Gerade vor dem Hintergrund der Verhandlungen über Datenaustausch zwischen der EU und den USA wäre es durchaus bemerkenswert, wenn die USA und nicht die EU auf die Einhaltung strenger Datenschutz­ vorschriften drängen würde. Auch das Office of the Attorney General im Justizministeriums des US Bundesstaates Kalifornien äußerte sich negativ zu dem Vorschlag, Regelungen zum Datenfluss im internationalen Kontext in den Privacy Act of 1974 aufzunehmen.797 Die Stellungnahme meinte zwar, dass die vorgeschlagene Regelung den Staaten, die nicht an andere Länder angrenzten, wohl wenige Probleme bereiten werde, aber die Regelung für das an Mexiko angrenzende Kalifornien und die damit einhergehen 795 Siehe die Stellungnahme von Assistant Attorney General W. Vincent Rakestraw vom Amerikanischen Justizministeriums (US Department of Justice)  in: Gesetzgebungsverfahren Privacy Act of 1974, Teil 1, S. 474, 474 f. 796 Stellungnahme von Assistant Attorney General W. Vincent Rakestraw vom Amerikanischen Justizministeriums (US Department of Justice)  in: Gesetzgebungsverfahren Privacy Act of 1974, Teil 1, S. 474, 474 f. 797 Stellungnahme von Attorney Gerneral Eveille J. Younger, Justizministerium des US Bundesstaat Kalifornien in: Gesetzgebungsverfahren Privacy Act of 1974, Teil 2, S. 1822, 1825.

§ 6 Die bestehenden Regelungen in der EU und den USA 

193

den weitreichenden Kontakte zur Bekämpfung von Kriminalität Relevanz habe.798 Da es nach Wissen des Justizministerium keine Verträge mit Mexiko gebe, die den Informationstransfer erlaubten, würde der hier in Frage stehende Vorschlag die Zusammenarbeit mit mexikanischen Behörden zum Schutz der Bevölkerung auf beiden Seiten der Grenze vor Kriminalität wie insbesondere dem Drogenhandel verbieten.799 Der Privacy Act of 1974 sollte jedoch nicht der einzige Gesetzentwurf bleiben, in dem der Datenfluss im internationalen Kontext Berücksichtigung finden sollte. Weitere Initiativen sind beispielhaft zu nennen. 2. Der erste Entwurf eines SAFE-ID Act of 2004 Auch in den USA schien in den 2000er Jahren in Teilen der Politik ein gewisses Bewusstsein dafür zu bestehen, dass die Übermittlung von Daten ins Ausland Probleme mit sich bringen kann. Im April 2004 brachte die Senatorin Clinton zusammen mit Senator Dayton einen Entwurf für ein Gesetz ein, das „die Regulierung der Übertragung von personenbezogenen Daten an Tochtergesellschaften und Subunternehmen“ zum Gegenstand hatte.800 Das Gesetz sollte kurz SAFE-ID Act genannt werden.801 In § 2(1) wurde der Anwendungsbereich des Gesetzes auf „business enterprises“ beschränkt, die nach der Legaldefinition nur gewinnorientierte Unternehmen umfassen. Diese gewinnorientierten Unternehmen sollten gem. § 3(a)  des Gesetz­ entwurfs personenbezogene Daten eines Einwohners der Vereinigten Staaten grundsätzlich an eine Niederlassung im Ausland oder Subunternehmen übermitteln dürfen, die sich in einem Land mit angemessenem Datenschutz befinden. Was unter einem „Land mit angemessenem Datenschutz“ („Country with Adequate Privacy Protection“) zu verstehen ist, wurde in § 2(1) des Entwurfs legal definiert: Demnach ist ein „Land mit angemessenem Datenschutz“ ein „Land, dass durch die Federal Trade Commission als ein Land zertifiziert wurde, das angemessenen Datenschutz für personenbezogene Daten bietet“.802 Was unter „personenbezogenen Daten“ im Rahmen dieses Gesetzes zu verstehen ist, wurde in § 2(4) 798 Vgl. Stellungnahme von Attorney Gerneral Eveille J. Younger, Justizministerium des US Bundesstaat Kalifornien in: Gesetzgebungsverfahren Privacy Act of 1974, Teil 2, S. 1822, 1825. 799 Stellungnahme von Attorney Gerneral Eveille J. Younger, Justizministerium des US Bundesstaat Kalifornien in: Gesetzgebungsverfahren Privacy Act of 1974, Teil 2, S. 1822, 1825. 800 Siehe dazu die Übersicht zu dem von Senatorin Clinton vorgestellten Gesetzentwurf „A Bill to regulate the transmission of personally identifiable information to foreign affiliates and subcontractors.“, kurz: Safeguarding Americans From Exporting Identification Date Act (SAFEID Act) unter http://www.govtrack.us/congress/bills/108/s2312#overview (zuletzt geprüft am 15.03.2015). 801 Siehe dazu und zum Folgenden SAFE-ID Act, S. 2312, 108th Cong. 802 „The term ‚country with adequate privacy protection‘ means a country that has been certified by the Federal Trade Commission as having a legal system that provides adequate privacy protection for personally identifiable information“.

194

Teil 1: Datenfluss im internationalen Kontext

durch eine Aufzählung von Regelbeispielen und mit explizitem Hinweis auf die nicht abschließende Regelung sehr weit gehandhabt. Für den Fall, dass ein Land nicht über einen von der FTC zertifizierten angemessenen Datenschutz verfügte, stellte § 3(b) eine Übermittlung von personenbezogenen Daten an die genannten Stellen unter bestimmte Voraussetzungen: Erstens müsse das Unternehmen gegenüber dem Bürger offenlegen, in welches Land, das nicht über einen angemessenen Datenschutz verfügt, die personenbezogenen Daten übermittelt werden sollen; zweitens müsse das Unternehmen u. a. vor Vertragsabschluss eine Einwilligung vom Verbraucher einholen, um Daten an eine der genannten Stellen im Ausland übertragen zu können und drittens müsse diese Zustimmung durch den Bürger ein Jahr vor Übermittlung der Daten wiederholt werden. § 3(c) des Entwurfs enthielt zudem Bestimmungen zur Haftung von Unternehmen und § 3 (d) regelte, dass der Chairman der FTC für die Bekanntmachung von Regelungen verantwortlich sei, durch die der Chairman einerseits die Bestimmungen des Gesetzes durchsetzen und zudem Bußgelder bei Nichtbefolgung verhängen könne. § 4 des Gesetzentwurfs enthielt ähnliche Regelungen speziell für Informationen im Gesundheitsbereich, wobei die Durchsetzung der Bestimmungen in diesem Bericht dem Secretary of Health and Human Services (Gesundheitsminister) oblegen hätte. § 5 des Gesetzentwurfs regelte die Zertifizierung durch die FTC für Drittländer, in denen ein angemessener Datenschutz für personenbezogene Daten herrscht und somit Daten aus den USA exportiert werden durften: Demnach sollte die FTC spätestens sechs Monate nach Inkrafttreten des Gesetzes eine Zertifizierung dieser Länder vornehmen und eine Liste dieser Länder der Öffentlichkeit zur Verfügung stellen, § 5(a). § 5(b) des Entwurfs gab daraufhin vor, dass zur Entscheidung über eine Zertifizierung die Angemessenheit der von einem Land vorgesehenen Mechanismen eines Landes in Bezug auf die Aufdeckung, Evaluierung und Antwort von Datenschutzverstößen Berücksichtigung finden sollten. Im Folgenden § 5(c) nahm der Gesetzentwurf auf die DSRL der EU Bezug und bestimmte, dass ein Land, das über umfassende Datenschutzgesetzgebung verfüge, die die Anforderungen der DSRL erfüllt, zertifiziert werden sollte, wenn nicht die FTC bestimmt, dass die Gesetzgebung innerhalb des Landes üblicherweise nicht durchgesetzt wird. Der Gesetzentwurf war jedoch nicht erfolgreich und wurde bereits einen guten Monat später unter dem gleichen Namen erneut in den Senat eingebracht – diesmal jedoch ohne jeglichen Bezug auf einen „angemessenen Datenschutz“. Der Entwurf für ein Gesetz über die Übermittlung von Daten ins Ausland von den Senatoren Clinton und Dayton nimmt Bezug auf ein „angemessenes Schutzniveau“, wie es terminologisch im Rahmen der Datenschutzgesetze der EU bekannt ist. Zwar wurde bereits – wie beschrieben – bei Erlass des Privacy Act of 1974 über Beschränkungen von Datenübermittlungen ins Ausland diskutiert, jedoch – soweit ersichtlich – mit diesem Entwurf erstmals auf die in der EU verwendete Terminologie zurückgegriffen. Erstaunlich ist, dass der Gesetzentwurf sogar explizit in § 5(c) darauf hinweist, dass ein Land, das die Kriterien der DSRL der EU erfüllt, zertifiziert werden sollte.

§ 6 Die bestehenden Regelungen in der EU und den USA 

195

3. Der zweite Entwurf eines SAFE-ID Act of 2004 Im Mai 2004 brachte die Senatorin Clinton einen abgeänderten Entwurf für ein Gesetz in den Senat ein, der „die Regulierung der Übertragung von personen­bezo­ genen Daten an Tochtergesellschaften und Subunternehmen“ zum Gegenstand hatte.803 Das Gesetz sollte wie sein zuvor gescheiterter Vorgänger „Safe­guarding Americans From Exporting Identification Data Act“, kurz SAFE-ID Act, genannt werden.804 Im zweiten Entwurf Clintons ist positiv herauszustellen, dass er erstmals Haftungsbestimmungen bei Nichtbefolgung der Voraussetzungen beinhaltete. Er blieb jedoch im Vergleich zum ersten Entwurf Clintons vom Anfang des Jahres 2004 hinter den Anforderungen an die Erklärung des Konsumenten zur Datenübertragung zurück.805 Das Gesetz sollte gem. § 2(1) für „business enterprises“ gelten, wobei dieser Begriff im Gegensatz zu Vorentwurf sehr weit gefasst war und neben verschiedenen Arten von gewinnorientierten Unternehmen und den explizit genannten Unternehmen im Gesundheitsbereich auch private und nicht profitorientierte Organisationen sowie Unternehmen, Subunternehmen oder sogar potentielle Subunternehmen der zuvor genannten „business enterprises“ beinhalten sollte. Auch die vom Gesetz geregelten Voraussetzungen für eine Datenübertragung ins Ausland unterschieden sich grundlegend vom Vorentwurf. Gem. § 3(a) des Entwurfs dürfe ein Unternehmen personenbezogene Daten eines Einwohners der Vereinigten Staaten nicht an eine Niederlassung im Ausland, Tochterunternehmen, Subunternehmen oder selbständigen Dritten, die sich im Ausland befinden, weitergeben, wenn nicht bestimmte Voraussetzungen erfüllt seien. Die zu erfüllenden Voraussetzungen waren die folgenden, in § 3(a)(1)-(4) des Gesetzentwurfs genannten: Das Unternehmen müsse je nach Anwendungsbereich den Konsumenten über die Datenschutzbestimmungen im Gramm-Leach-Bliley Act806 (bei Daten­verarbeitungen in Bezug auf Finanzdienstleistungen) bzw. im Health Insurance Portability and Accountability Act (HIPAA)807 (bei Datenverarbeitungen im Gesundheitswesen) hinweisen; es müsse sich – wenn eine Datenverarbeitung in diesem Bereich vorgenommen werden soll – an die im Gram-Leach-Bliley Act genannten Schutzvorkehrungen808 halten; 803

Siehe dazu die Übersicht zu dem von Senatorin Clinton vorgestellten Gesetzentwurf „A Bill to regulate the transmission of personally identifiable information to foreign affiliates and subcontractors.“, kurz: Safeguarding Americans From Exporting Identification Date Act (SAFE-ID Act) unter http://www.govtrack.us/congress/bills/108/s2471/text (zuletzt geprüft am 15.03.2015). 804 Siehe auch zum Folgenden Safeguarding Americans From Exporting Identification Date Act (SAFE-ID Act) S. 2471, 108th Cong; im Erstentwurf findet sich dieser Langtitel des Gesetzes noch nicht. 805 Dazu Skarda-McCann, Rutgers Computer and Technology Law Journal 32 (2006), 325 (358). 806 § 502 und 503 des Gramm-Leach-Bliley Act (15 U. S. C. 6802 and 6803). 807 § 264 (c) des des Health Insurance Portability and Accountability Act of 1996 (42 U. S. C. 1320d–2 note); siehe für HIPAA Pub. L. No. 104–191, die dazugehörige Privacy Rule mit den Datenschutzbestimmungen unter 45 C. F. R. § 460; zu neuen Entwicklungen bei HIPAA bspw. http://www.hhs.gov/news/press/2013pres/01/20130117b.html (zuletzt geprüft am 05.05.2014); sowie auch Lejeune, CR 2013, 755 (757). 808 § 501(b) des Gramm-Leach-Bliley Act (15 U. S. C. 6801(b)).

196

Teil 1: Datenfluss im internationalen Kontext

dem Konsumenten müsse vor erstmaliger Offenlegung seiner Daten die Möglichkeit gegeben werden, der Offenlegung dieser Daten an einen der möglichen Datenverarbeiter im Ausland zu widersprechen und dem Konsumenten müsse zudem erklärt werden, wie er einen solchen Widerspruch abgeben könne. Der Gesetzentwurf forderte des Weiteren die Änderung des Gramm-Leach-Bliley Act im Rahmen dieses Gesetzentwurfs als auch des Health Insurance Portability and Accountability Act durch den Secretary of Health and Human Services. Der Gesetzentwurf forderte u. a., dass die jeweiligen Unternehmen ihre Kunden über eine Datenverarbeitung im Ausland informieren sollten, eine Beschreibung der Datenschutzgesetze in den jeweiligen Ländern abzugeben hätten, Risiken und Konsequenzen, die mit einem solchen „outsourcing“ der Datenverarbeitung einhergehen können, nennen müssten sowie Informationen über zusätzliche Sicherheitsmaßnahmen zum Schutz der Daten offenlegen sollten.809 Schließlich enthielt der von Senatorin Clinton eingebrachte Gesetzentwurf in § 3(d)(1) u (2) noch Bestimmungen zur Haftung für Unternehmen und Möglichkeiten zur zivilrechtlichen Geltendmachung von Schäden. Nach Scheitern des ersten Gesetzentwurfs hatte auch der zweite Entwurf keinen Erfolg im Kongress und wurde nach Ausschussverweisung nicht weiter verfolgt. 4. Personal Data Offshoring Protection Act of 2004 Ebenfalls im Mai 2004 brachte der Kongressabgeordnete Markey einen Gesetzentwurf ins Repräsentantenhaus ein, „um den Transfer personenbezogener Daten ohne Benachrichtigung und Zustimmung und für andere als die ursprünglich vorgesehenen Zwecke zu verbieten“.810 Das vorgeschlagene Gesetz fingierte unter der Kurzbezeichnung „Personal Data Offshoring Protection Act of 2004“.811 Der Anwendungsbereich war – wie der Entwurf des SAFE-ID Act of 2004 der Senatoren Clinton und Dayton – weit gefasst und umfasste gem. § 2 „business enterprises“, die sowohl gewinnorientierte als nichtgewinnorientierte Unternehmen beinhalteten. Auch der Entwurf des Abgeordneten Markey erlaubte gem. § 3 (a) den Transfer personenbezogener Daten in ein „Land mit angemessenem Datenschutz“, stellte diesen jedoch unter die zusätzliche Voraussetzung, dass der betroffene Bürger zuvor darüber benachrichtigt worden sei, dass Informationen an Stellen im Ausland übermittelt würden und er dieser Vorgehensweise nicht vorher widersprochen habe. Somit stellte der Entwurf Markeys strengere Anforderungen an die Datenübermittlung als der Entwurf von Clinton und Dayton, die bei Ländern mit angemessenem Datenschutz – im Gegensatz zu dem Entwurf Markeys – auf die Benachrichtigung 809

Siehe § 4 u. 5. des Gesetzentwurfs zum SAFE-ID Acts. Siehe dazu die Übersicht zu dem vom Abgeordneten Markey vorgestellten Gesetzentwurf „A Bill to prohibit the transfer of personal information to any person outside the United States, without notice and consent, and for other purposes.“, kurz: Personal Data Offshoring Protection Act of 2004 unter http://www.govtrack.us/congress/bills/108/hr4366 (zuletzt geprüft am 15.03.2015). 811 Zum Folgenden Personal Data Offshoring Protection Act of 2004, H. R. 4366, 108th Cong. 810

§ 6 Die bestehenden Regelungen in der EU und den USA 

197

und die Möglichkeit zum „opt-out“ verzichteten. Strengere Regelungen sah der Markey Entwurf auch für einen Datentransfer in Länder ohne angemessenen Datenschutz vor. Für diesen Fall regelte der Gesetzentwurf in § 3(b) eine sog. „opt-in“ Lösung, die mit weiteren Anforderungen an das datenverarbeitende Unternehmen verknüpft wurden: Demnach müsse das Unternehmen gegenüber dem Betroffenen offenlegen, welche Information in Länder ohne angemessenen Datenschutz übertragen werden sollen, zudem müsse der Betroffene einer Datenübertragung zustimmen (sog. opt-in Lösung) und diese Zustimmung innerhalb eines Jahres vor Übermittlung der Daten wiederholt werden. Dieser Gesetzentwurf wies der FTC eine entscheidende Rolle zu. Die FTC sollte gem. § 6(a) die Länder zertifizieren, die über einen angemessenen Datenschutz verfügen und darüber eine Liste erstellen. Als dabei zu berücksichtigende und mit dem Entwurf von Clinton/­Dayton identische Kriterien für einen angemessenen Datenschutz benannte § 6(b)(1) die von einem Land vorgehaltenen Mechanismen zur Aufdeckung und Evaluierung von Datenschutzverstößen sowie die Antworten auf solche Datenschutzverstöße („[…] the Federal Trade Commission shall consider the adequacy of the country’s infrastructure for detecting, evaluating, and responding to privacy violations“). Inhaltlich wurden der FTC gewisse Vorgaben in Bezug auf die Angemessenheit gemacht. Interessanterweise stellte der Gesetzentwurf in § 6(b)(2) nämlich eine Regelung auf, in der bestimmt wurde, wann die FTC annehmen sollte, dass ein Land keinen angemessenen Datenschutz aufweise: Dies sei dann der Fall, wenn der Datenschutz in einem Land weniger schützend sei als derjenige, der durch Bundesgesetze oder die Gesetze der Bundesstaaten gewährleistet werde oder aber wenn die Datenschutzgesetze in den Empfängerländern nicht angemessen durchgesetzt würden. Wie der Entwurf von Clinton und Dayton nahm auch der von Markey eingebrachte Gesetzentwurf auf die DSRL der EU Bezug und schrieb, dieser einen gewissen autoritativen, maßgeblichen Charakter zu: Nach § 6(c) des Gesetzentwurfs sollten Länder, die über umfassende Datenschutzgesetze verfügten, die die Voraussetzungen der DSRL der EU erfüllen, zertifiziert werden, wenn die FTC nicht zu dem Ergebnis komme, dass diese Gesetze üblicherweise nicht durchgesetzt würden. Einer Angemessenheitsentscheidung der EU wird somit erhebliches Vertrauen in Bezug auf ihren inhaltlichen Gehalt, jedoch der FTC eine Letztentscheidungskompetenz zugestanden. Zudem bemerkenswert sind die in § 5 des Gesetzentwurfs vorgestellten ausführlichen Regelungen zu Rechtsbehelfen für Privatpersonen, die in § 5(a)  konkrete Regelungen zur Durchsetzung und Schadenersatzansprüchen enthielten. Auch der Staat war gem. § 5(b)(1) befugt, zivilrechtlich gegen Personen vorzugehen, die die Bestimmungen des Gesetzes vorsätzlich oder fahrlässig nicht einhielten, vor Bundesgerichten vorzugehen, wobei sich die FTC, nach vorheriger Benachrichtigung gem. § 5(3) unter anderem am Verfahren beteiligen konnte. Die übrigen Bestimmungen des § 5 bestimmten detaillierten Verfahrensregelungen zu den jeweiligen Verfahren. Der Gesetzentwurf des Abgeordneten Markey ist bemerkenswert. Besonders auffällig ist der Bezug auf die DSRL der EU, als Referenz dafür, wann ein Daten-

198

Teil 1: Datenfluss im internationalen Kontext

schutz als angemessen gilt. Ein Verweis auf die Gesetze anderer Rechtsordnung innerhalb der eigenen Rechtsordnung verdient zudem besondere Beachtung. Gerade die Tatsache, dass Gesetze anderer als der von den eigenen Bürgern demokratisch legitimierten staatlichen Institutionen zum Schutz der eigenen Bürger herangezogen werden, ist überraschend. Zudem ist auch der Verweis auf umfassende Datenschutzgesetze („comprehensive privacy laws“) als Referenz zur Bestimmung eines angemessenen Datenschutzes auffällig. Umfassende Datenschutzgesetze bestehen – wie noch ausführlich zu zeigen sein wird – in den USA nämlich gerade nicht. Auch fallen die sehr ausführlich gehaltenen Möglichkeiten der zivilrechtlichen Durchsetzung bei Nichtbeachtung der Regelung auf. Auch nachdem dieser Gesetzentwurf von Markey gescheitert war, kam es zu weiteren Gesetzesinitiativen, die den Datenfluss im internationalen Kontext zum Gegenstand hatten. 5. Increasing Notice of Foreign Outsourcing Act of 2004 Ein weiterer Gesetzentwurf aus dem Jahr 2004 der Senatoren Bill Nelson und Dianne Feinstein betraf den Increasing Notice of Foreign Outsourcing Act of 2004:812 Es handelte sich dabei um einen Gesetzentwurf, der vorsah, dass Mitteilungen an Konsumenten über Dienstleistungen im Gesundheits- und Finanzbereich Informationen darüber enthalten sollten, dass eine Übermittlung von sensiblen personenbezogenen Informationen ins Ausland erfolge. Zudem sah der Gesetzentwurf vor, dass die jeweils zuständigen Bundesbehörden Regelungen erlassen sollten, die den Datenschutz und die Sicherheit von sensiblen personenbezogenen Informationen, die ins Ausland übermittelt werden, gewährleisteten. Neben anderen Bestimmungen zu anderen Zwecken sollte das geplante Gesetz zudem Voraussetzungen für Callcenter im Ausland aufstellen. Der Datenschutz im Ausland sollte vor allem durch vertragliche Verpflichtungen zur Einhaltung der im amerikanischen Bundesrecht geltenden Standards gewährleistet werden.813 Jedoch ging auch dieser Gesetzesvorschlag nicht über den Status eines Vorschlags hinaus und wurde nicht als Gesetz verabschiedet. 812 Siehe dazu und zum Folgenden die Übersicht zu dem von den Senatoren Nelson und Feinstein vorgestellten Gesetzentwurf „A Bill to require that notices to consumers of health and financial services include information on the outsourcing of sensitive personal infor­mation abroad, to require relevant Federal agencies to prescribe regulations to ensure the privacy and security of sensitive personal information outsourced abroad, to establish requirements for foreign call centers, and for other purposes“ (kurz: Increasing Notice of Foreign Outsourcing Act, S. 2481, 108 Cong.) unter http://www.govtrack.us/congress/bills/108/s2481 (zuletzt geprüft am 15.03.2015). 813 Siehe § 2(c)(2)(B) des Entwurfs des Increasing Notice of Foreign Outsourcing Act, S. 2481, 108th Cong.: „[…] The Secretary shall prescribe regulations […] requiring that foreign-­based business associates and subcontractors of covered entities be contractually bound by Federal privacy standards and security safeguards.“

§ 6 Die bestehenden Regelungen in der EU und den USA 

199

6. Weitere Initiativen im Jahr 2005 Sowohl die Senatorin Clinton als auch der Abgeordnete Markey brachten erneut im Jahr 2005 mit bereits vorgestellten Vorschlägen nahezu identische Gesetzes­ initiativen mit dem Titel „SAFE-ID Act“ in die beiden Kammern des Kongresses ein, wobei die Initiativen wiederum nicht verabschiedet wurden.814 Der Entwurf von Clinton sah u. a. die Benachrichtigung von Kunden von Gesundheits- oder Finanzdienstleistern über eine geplante Datenverarbeitung im Ausland vor und gab ihnen die Möglichkeit, der Datenübermittlung zu widersprechen.815 Zudem sah der Gesetzentwurf die Möglichkeit für Schadenersatzansprüche bei unerlaubter Datenübermittlung ins Ausland vor und verbot Dienstleistern im Gesundheitsbereich, bestehende Verträge auf Grund fehlenden Einverständnisses der Konsumenten zu kündigen.816 Der Entwurf von Markey sah ebenfalls die Be­nachrichtigung bei einem Datenexport in Drittländer vor, stellte jedoch für die Benachrichtigung das Kriterium eines angemessenen Schutzniveaus im Empfangsstaat auf.817 Verantwortlich für die Bestimmung, ob ein solches angemessenes Schutzniveau bestehe, wäre wiederum die FTC gewesen.818 Bei Ländern ohne angemessenes Schutzniveau reichte eine Benachrichtigung jedoch nicht aus, stattdessen waren das Einverständnis des Betroffenen durch ein „opt-in“ und eine Offen­legung der Datenschutzstandards im Drittland erforderlich.819 Auch dieser Gesetzesvorschlag sah die Möglichkeit von Schadenersatzansprüchen bei Nichtbefolgung vor.820 Bemerkenswert war wiederum der explizite Bezug auf die die DSRL der EU.821 Trotz der genannten Punkte ist die Bedeutung der Entwürfe gering, da sie nie in Gesetzeskraft erwuchsen. Der Versuch, solche Gesetze überhaupt zu erlassen, verdient jedoch Erwähnung und verdeutlicht, dass eine pauschale Betrachtung der Datenschutzregelungen nicht angezeigt ist, sondern eine genauere Auseinander 814

Siehe dazu die Übersicht zu dem von Senatorin Clinton vorgestellten Gesetzentwurf „A Bill to regulate the transmission of personally identifiable information to foreign affiliates and subcontractors“, kurz: Safeguarding Americans From Exporting Identification Date Act (SAFEID Act, S.  810, 109th Cong.) unter https://www.govtrack.us/congress/bills/109/s810 (zuletzt geprüft am 15.03.2015); sowie zu dem von dem Abgeordneten Markey eingebrachten Gesetzentwurf „A Bill to prohibit the transfer of personal information to any person outside the ­United States, without notice and consent, and for other purposes“, kurz: Safeguarding Americans From Exporting Identification Data Act (SAFE-ID Act, H. R. 1653, 109th Cong.) unter https://www. govtrack.us/congress/bills/109/hr1653 (zuletzt geprüft am 15.03.2015). 815 Siehe insb. §§ 3–5 des Entwurfs des SAFE-ID Act, S. 810, 109th Cong. 816 Siehe § 3(d) sowie § 3(c)(1) des Entwurfs des SAFE-ID Act, S. 810, 109th Cong. 817 Siehe § 3(a) des Entwurfs des SAFE-ID Act, H. R. 1653, 109th Cong. 818 Siehe §§ 2(2), 6 des Entwurfs des SAFE-ID Act, H. R. 1653, 109th Cong. 819 Siehe § 3 (a), (b) des Entwurfs des SAFE-ID Act, H. R. 1653, 109th Cong. 820 Siehe § 5 des Entwurfs des SAFE-ID Act, H. R. 1653, 109th Cong, siehe zudem § 4 zur Aufsicht durch die FTC. 821 Siehe § 6(c) des Entwurfs des SAFE-ID Act, H. R. 1653, 109th Cong.: „A country that has comprehensive privacy laws that meet the requirements of the European Union Data Protection Directive shall be certified under this section unless the Federal Trade Commission determines that such laws are not commonly enforced within such country.“

200

Teil 1: Datenfluss im internationalen Kontext

setzung mit den Gründen für Datenschutz und Datenschutzgesetzgebung notwendig ist. Jedoch scheint es sich tatsächlich nur um nicht zu verallgemeinernde Positionen zu handeln, die sich in US-Gesetzen de lata nicht widerspiegeln.

§ 7 Ausblick auf Herausforderungen des Datenflusses im internationalen Kontext Die vorgestellten Vorschriften verdeutlichen die unterschiedliche Regelung sowie die unterschiedliche Regelungsdichte des Datenflusses im internationalen Kontext. Sowohl auf internationaler, supranationaler als auch nationaler Ebene ist eine Vielzahl von Regelungen vorhanden, die – explizit oder implizit, rechtsverbindlich oder unverbindlich, hoheitlich oder privatrechtliche, unilateral, bilateral oder multilateral, geographiebasiert oder organisationsbasiert – den Datenfluss im internationalen Kontext zum Gegenstand hat. Im Rahmen dieser Arbeit kann und soll im Hinblick auf die darüber hinausgehende Thematik lediglich eine Darstellung des status quo erfolgen. Jedoch ist das Thema Datenfluss im internationalen Kontext weiterzudenken. Die dargestellten Regelungen haben oftmals  – gerade aufgrund ihres internationalen oder supra­ nationalen Ursprungs – bedeutende Gemeinsamkeiten. Dennoch bestehen weiterhin beträchtliche Unterschiede darin, ob, wie und inwieweit Datenfluss im internationalen Kontext Gegenstand rechtlicher Regelungen sein soll. Besonders offenbar wird dieser Unterschied anhand der von der EU und den USA erlassenen bzw. nicht erlassenen Regelungen. Diese Unterschiede führen zu Konflikten, für die es Lösungen bedarf, es jedoch schwierig ist, die verschiedenen Interessen auszutarieren.822 Hinzu kommen weitere beeinflussende Faktoren wie die fortwährende Globalisierung der Wirtschaft und der Gesellschaft (vor allem durch das Internet).823 Kuner macht in seiner Monographie dahingehend bedeutende Vorschläge, die im Rahmen dieser Arbeit nur kursorisch dargestellt werden können. Zunächst ist er der Ansicht, dass eine globale Lösung sehr schwierig zu erreichen sein wird und wahrscheinlich auch tatsächlich nicht erreicht wird, da – obwohl wünschenswert – zu viele Faktoren bei der Umsetzung bedacht werden müssen und zu viele Interessen austariert werden müssten.824 Dennoch spricht er sich für den Versuch aus, durch verschiedene Maßnahmen mit der Zeit eine bessere Abstimmung und Annäherung der unterschiedlichen Positionen und Lösung der Probleme zu er­reichen.825 Neben den Gefahren des Datenflusses im internationalen Kontext sollten nach­ Kuner auch die positiven Aspekte wie wirtschaftliche oder soziale Vorteile berücksichtigt und sich von dem Gedanken gelöst werden, vor allem die eigenen 822

Dazu umfassend Kuner, Transborder data flows and data privacy law, S. 157 ff. Siehe Kuner, Transborder data flows and data privacy law, S. 186. 824 Kuner, Transborder data flows and data privacy law, S. 162 ff. 825 Kuner, Transborder data flows and data privacy law, S. 165, 186. 823

§ 7 Ausblick

201

Standards durchzusetzen.826 Die von Kuner vorgeschlagenen Maßnahmen, von denen manche schneller, manche jedoch nur auf lange Zeit gesehen erfolgreich sein können, sind – verkürzt dargestellt – die Folgenden:827 –– Es sollte auf eine weitreichende Regulierung des grenzüberschreitenden Datenflusses verzichtet werden. Datenfluss sollte keine eigene Rechtsgrundlage oder eine vorausgehende Genehmigung benötigen. Stattdessen sollte sich der grenzüberschreitende Datenfluss an den Regelungen über die Datenverarbeitung generell orientieren. In bestimmten Situationen sollte allerdings die Möglichkeit bestehen, grenzüberschreitenden Datenfluss auszusetzen oder entsprechend der geltenden Regelungen zu beschränken.828 –– Regelungen sollten dem organisationsbasierten Ansatz folgen, jedoch geographie­ basierte Bestimmungen berücksichtigen, bspw. bei der Frage, ob eine Datenübermittlung erfolgen kann oder nicht.829 –– Datenexporteure sollten rechenschaftspflichtig und verantwortlich für die personenbezogenen Daten bleiben, wenn diese übermittelt werden. Zudem sollten ausreichende Strafen für Datenschutzverstöße vorgesehen werden.830 –– Grenzüberschreitende Datenflussregelungen sollten den Realitäten moderner Technologien angepasst werden: So sollten bspw. die Voraussetzungen, unter denen Daten für persönliche Angelegenheiten von Datenschutzgesetzen ausgenommen werden, konkretisiert werden. Darüber hinaus sollte der Unterschied zwischen Datentransfer und Datentransit geklärt werden und es sollten rechtliche Erleichterungen dafür geschaffen werden, die entstehenden Risiken durch technische Mittel zu verringern.831 –– Staaten sollten des Weiteren die intergouvernementale Zusammenarbeit verbessern und sicherstellen, dass von ihnen entwickelte regulatorische Standards und Mechanismen vollständig kompatibel mit den Rechtssystemen anderer Staaten sind.832 –– Die Staatsgewalt und andere für die Verabschiedung von Regelungen Verantwortliche sollten sich in der Ausübung ihrer rechtlichen Zuständigkeit und der Anwendung ihrer nationalen Regelungen zum grenzüberschreitenden Datenfluss umsichtig verhalten und ihr Recht mit Bedacht anwenden. Wenn angemes 826

Kuner, Transborder data flows and data privacy law, S. 165, 186. Dazu ausführlich Kuner, Transborder data flows and data privacy law, S. 166 ff. 828 Kuner, Transborder data flows and data privacy law, S. 166, u. a. mit dem Hinweis, dass aufgrund des Internets gar nicht mehr zwischen nationalem und internationalem Datenfluss unterschieden werden kann. 829 Kuner, Transborder data flows and data privacy law, S. 170 ff. 830 Kuner, Transborder data flows and data privacy law, S. 173 f. 831 Kuner, Transborder data flows and data privacy law, S. 174 f. 832 Kuner, Transborder data flows and data privacy law, S. 175 ff. mit ausführlichen Vorschlägen, wie dies erreicht werden könnte. 827

202

Teil 1: Datenfluss im internationalen Kontext

sen, sollten sie auch Werte, die für die gesamte internationale Gemeinschaft von Bedeutung sind, als Gründe für die Übermittlung personenbezogener Daten anerkennen.833 –– Sowohl Staaten als auch verantwortliche Stellen sollten die Transparenz in Bezug auf die Regelungen zum grenzüberschreitenden Datenfluss erhöhen.834 –– Staaten selbst sollten Regelungen zum grenzüberschreitenden Datenfluss einhalten.835 Die vorangestellten Vorschläge sind grundsätzlich sehr zu begrüßen. Sie bieten unter Berücksichtigung der damit einhergehenden Probleme einen Ansatz, wie die jeweiligen Konflikte auf Dauer zu einer Lösung gelangen könnten. Ob dies jedoch auf Grund des unterschiedlichen Verständnisses von Datenschutz, unterschiedlichen politischen Systemen, nationalen Eitelkeiten und verschiedenen Prioritäten von Staaten tatsächlich möglich sein wird, bleibt abzuwarten. Fokus dieser Arbeit sollen bestehende Datenschutzkonflikte und mögliche Lösungsmöglichkeiten sein. Veranschaulichen lässt sich dies – wie auch bereits an den Regelungen zum Datenfluss im internationalen Kontext erkennbar – vor allem anhand der zwischen den USA und der EU bestehenden Datenschutzkonflikte. Regelungen des Datenflusses im internationalen Kontext tragen entscheidend zu diesen Konflikten bei. Diese Regelungen führen nämlich dazu, dass eine Rechtsordnung einen Anspruch darauf erhebt, bestehenden Datenschutzregelungen auch beim Export von Daten weiterhin Geltung zu verschaffen. Dies führt vor allem bei unterschiedlichen Datenschutzvorstellungen zwangsläufig zu Konflikten, da eine Vielzahl datenschutzrechtlicher, wirtschaftlicher oder sicherheitspolitischer Interessen erfüllt werden wollen. Ohne entsprechende Regelungen wäre die Möglichkeit, Daten bspw. in die USA zu übermitteln, uneingeschränkt möglich. Inwiefern sich Datenschutzvorstellungen und entsprechende Regelungen zwischen der EU und den USA unterscheiden und zu welchen Datenschutzkonflikten dies führt, ist im Folgenden von Interesse.

833

Kuner, Transborder data flows and data privacy law, S. 181. Kuner, Transborder data flows and data privacy law, S. 184. 835 Kuner, Transborder data flows and data privacy law, S. 173. 834

Teil 2

Datenschutzkonflikte zwischen der EU und den USA § 8 „Right to Privacy“ und der Umgang mit Daten und Datenschutz in den USA Wie anhand der Darstellung von Regelungen zum Datenfluss im internationalen Kontext ersichtlich, besteht diesbezüglich in der EU und den USA ein Unterschied in den spezifischen Regelungen sowie der Regelungsdichte. Diese unterschiedlichen Regelungen sowie die Regelungsdichte sind jedoch nicht nur in Bezug auf den Datenfluss im internationalen Kontext, sondern auch generell in Bezug auf Datenschutzregelungen auszumachen. Die unterschiedlichen Regelungen sowie die Regelungsdichte sind Grundlage für eine Vielzahl von Datenschutzkonflikten. Zum besseren Verständnis ist zunächst von Interesse, wie Datenschutz in den USA geregelt ist.1 Daraufhin ist der Frage nachzugehen, warum solche unterschiedlichen Regelungen und eine unterschiedliche Regelungsdichte bestehen. Im Folgenden sind die sich daraus ergebenden Datenschutzkonflikte zwischen der EU und den USA anhand von Beispielen aufzuzeigen, sowie die Frage der Lösungsmöglichkeiten zu diskutieren. Den USA fehlt es an einem allumfassenden rechtlichen Datenschutzsystem; sie betonen hingegen die Selbstregulierung durch den privaten Sektor, die durch sektorspezifische, fragmentierte und weniger stringente rechtliche Regelungen auf Bundes- sowie auf Staatenebene unterstützt werden.2 Im Gegensatz zu allumfassenden Datenschutzregelungen geht die sektorielle Regelung, wie sie in den USA vorgenommen wird, notwendigerweise mit einem engen Anwendungsbereich der Gesetze sowie spezifischeren Regelungen einher.3 Das Verständnis von Datenschutz unterscheidet sich signifikant von dem Verständnis in Europa und insbesondere in Deutschland. Datenschutz wird nicht umfassend als ein Recht auf informationelle Selbstbestimmung4 verstanden, das neben der Privatsphäre auch die Sozialsphäre des Einzelnen miteinbezieht, sondern beschränkt sich in den USA 1

Dazu kompakt Lejeune, CR 2013, 755. Herdegen, Common Market Law Review 45 (2008), 1581 (1589); Shaffer, in: Petersmann/ Pollack, Transatlantic economic disputes, 2003, S. 311–321. 3 Schwartz, Yale L. J. 118 (2009), 902 (911 f.), mit Verweis auf den U. S. Video Privacy Protection Act 1988 (VPPA). 4 BVerfGE 65, 1, 45 – Volkszählungsurteil. 2

204

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

auf Bereiche, die vor allem die Privatsphäre eines Individuums betreffen.5 Das Sammeln von Daten wird in den USA zudem als von der Meinungsfreiheit (Free Speech) umfasste Grundrechtsausübung verstanden.6 Von Interesse sind nach terminologischen Klärungen (A.) zunächst die Grundlagen und die Entwicklung eines „Right to Privacy“ – eines Rechts auf Privatheit (B.). Wie zu zeigen sein wird, hat dieses Recht auf „Privatheit“ eine Vielzahl an Facetten, von denen einige dargestellt werden (C.). Schließlich ist auf das Right to Information Privacy bzw. Informational Privacy als ein Aspekt von Privacy einzugehen, das terminologisch, jedoch nicht inhaltlich dem in Europa bekannten Datenschutz entspricht (D.).

A. Privacy, Privatheit, Privatsphäre, Datenschutz – eine terminologische Abgrenzung Zunächst ist eine begriffliche Klärung vorzunehmen. Die in den USA verwendete Terminologie „Privacy“ ist inhaltlich sowie terminologisch nicht mit „Datenschutz“ gleichzusetzen.7 Ein „Right to Privacy“ wird in den USA bedeutend umfangreicher verstanden.8 Terminologisch kommt hingegen der Begriff „Informational Privacy“ bzw. „Information Privacy“ dem in Europa verwendeten Begriff „Datenschutz“ bzw. „Data Protection“ sehr nahe. Informational Privacy ist ein Teilbereich von „Privacy“. Ausgesagt über die inhaltliche Reichweite von Informational Privacy ist damit noch nichts. Festzuhalten ist jedoch zunächst, dass Informational Privacy inhaltlich weniger weitreichend ist als in Europa der Datenschutz. Diese und weitere Fragen sind im Folgenden genauer zu erläutern. Terminologisch soll im Folgenden der weite Begriff der „Privacy“ mit „Privatheit“ bezeichnet werden. Der Begriff der „Privatsphäre“ ist in der deutschen Terminologie eng verbunden mit der Rechtsprechung des BVerfG und daher – trotz gewisser inhaltlicher Überschneidungen – im Folgenden nicht zu verwenden. Für die Verwendung des Begriffs der Privatheit spricht zudem, dass der noch darzustellende wegweisende Aufsatz zur Privatheit von Warren und Brandeis gerade ein „Sphärenmodell“ als Schutzkonzept ablehnt.9 Abgesehen davon wird Datenschutz mit „Informational Privacy“ bzw. „Information Privacy“ übersetzt.

5

Elixmann, Datenschutz und Suchmaschinen, S. 179. Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht, 2003 Rn. 72; siehe auch Elixmann, Datenschutz und Suchmaschinen, S.  187 f.: „First Amendment als Recht auf kommerzielle Datenverarbeitung“; sowie insb. Schwartz, Harvard Law Review 126 (2013), 1966 (1976 f.). 7 So terminologisch jedoch bspw. Elixmann, Datenschutz und Suchmaschinen, S. 179. 8 Dazu unten S. 204 ff. 9 So Weichert, DuD 2012, 753 (753) in der Begründung für die Begriffswahl. 6

§ 8 „Right to Privacy“ in den USA

205

B. Grundlagen und Entwicklung eines „Right to Privacy“ I. Der Aufsatz von Warren/Brandeis Das Common Law als Grundlage des amerikanischen Rechts kannte traditionell kein „Right to Privacy“ und gewährte nur sehr begrenzt einen Persönlichkeitsschutz: Dieser bezog sich zunächst nur auf den Bereich des Ehrenschutzes unter dem Begriff „defamation“, zu dem die unerlaubten Handlungen (torts) libel (schriftliche diffamierende Äußerungen) und slander (mündliche diffamierende Äußerungen) gehörten.10 Eine erste Initiative, diesen sehr begrenzten Persönlichkeitsschutz umfassender zu gestalten, ging von den Anwälten Samuel D. Warren und Louis D. Brandeis aus, mit denen bis heute der Persönlichkeitsschutz in den USA untrennbar verknüpft ist.11 Im Jahr 1890 erschien in der Harvard Law Review ihr Aufsatz „The Right to Privacy“.12 In diesem Aufsatz stellten die Autoren dar, dass ein Recht auf Privatheit vom common law abgeleitet werden kann: Sie bezogen sich auf einen Kommentar von Richter Thomas Cooley zum Deliktsrecht von 1880, in dem er die Umschreibung „the right to be let alone“ (das „Recht, in Ruhe gelassen zu werden“13) dazu nutzte, zu erklären, dass der Versuch der körperlichen Berührung (attempted physical touching) als unerlaubte Handlung (tort injury) qualifiziert werden könnte, jedoch damit kein Recht auf Privatheit definierte.14 Warren und Brandeis nutzten diesen Begriff im Folgenden, um zu zeigen, dass ein Recht auf Privatheit implizit im common law verankert sei.15 Götting fasst die Kernaussage des Aufsatzes wie folgt zusammen: „Die für damalige Verhältnisse revolutionäre These von Warren und Brandeis, die den entscheidenden Anstoß für die weitere Entwicklung des Persönlichkeitsschutzes gab, lautete, dass das Common Law das übergeordnete Rechtsprinzip eines ‚Right to Privacy‘ anerkennt, dessen wesentlicher Gehalt in dem ‚right to be let alone‘ besteht.“16 Der Aufsatz von Warren und Brandeis, mit dem ein rechtlicher Schutz gegen Eingriffe in die Privatheit bezweckt wurde, kann als eine Reaktion auf die Praktiken der „Klatschpresse“17 gesehen werden, die damals ständig Enthüllungen aus dem Leben von Prominenten veröffentlichte.18 Warren und Brandeis analysierten in ihrem Auf 10

Götting, in: Götting/Schertz/Seitz, Handbuch des Persönlichkeitsrechts, 2008 Rn. 3. Götting, in: Götting/Schertz/Seitz, Handbuch des Persönlichkeitsrechts, 2008 Rn. 4. 12 Warren/Brandeis, Harvard Law Review 4 (1890), 193; eine Übersetzung des Artikels auf Deutsch findet sich bei Hansen/Weichert, DuD 2012, 755; für Ausführung zu den in dieser Übersetzung benutzten Begriffen siehe Weichert, DuD 2012, 753. 13 So die Übersetzung durch Hansen/Weichert, DuD 2012, 755 (755). 14 Warren/Brandeis, Harvard Law Review 4 (1890), 193 (195, Fn.  4) mit Verweis auf­ Thomas M. Cooley, Law of Torts, 1880; dazu auch Solove, Understanding privacy, S. 16. 15 So Solove, Understanding privacy, S. 16. 16 So Götting, in: Götting/Schertz/Seitz, Handbuch des Persönlichkeitsrechts, 2008 Rn. 4 mit Verweis auf Warren/Brandeis, Harvard Law Review 4 (1890), 193 (196). 17 So die Übersetzung von Hansen/Weichert, DuD 2012, 755 (755). 18 So Götting, in: Götting/Schertz/Seitz, Handbuch des Persönlichkeitsrechts, 2008 Rn. 4 mit abweichender Terminologie. 11

206

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

satz englische und amerikanische Urteile, die zu Gunsten der Kläger mit Hilfe von Rechtsinstituten des Common Law jeweils einen Eingriff in die Privatheit feststellten.19 Ergebnis dieser Analyse war, dass alle Entscheidungen in der Konsequenz auf einem „Right to Privacy“ beruhten und dieses daher im common law als solches auch anerkannt werden sollte. Der Aufsatz von Warren und Brandeis wird oftmals als „Foundation of Privacy Law in the United States“, als Grundlage für das Recht der Privatheit in den USA angesehen.20 II. Deliktsrecht (Common Law Torts) Nach dem wegweisenden Aufsatz von Warren und Brandeis wurde im Bereich des Right to Privacy 1960 ein weiterer äußerst bedeutender Aufsatz verfasst, der auf die Entwicklung des Rechts auf Privatheit entscheidenden Einfluss hatte: Der Aufsatz unter dem Titel „Privacy“ von William L. Prosser.21 Eine Einschätzung, die Prosser in Bezug auf die Bedeutung des Aufsatzes von Warren und Brandeis abgab, kann mittlerweile auch auf seinen eigenen Aufsatz Anwendung finden:22 „It has come to be regarded as the outstanding example of the influence of legal periodicals upon American law“.23 Prosser unterschied in seinem Aufsatz nach Auswertung relevanten Fallrechts vier Fallgruppen von Privatheitsverletzungen und stellte diesen vier korrespondierende Deliktrechtsansprüche gegenüber, die im Laufe der Zeit in den USA durchgehende Anerkennung in Rechtsprechung und Gesetzgebung erlangten und zudem als Restatements of the Law24 vom American Law Institute25 anerkannt wurden.26 19 Siehe Warren/Brandeis, Harvard Law Review 4 (1890), 193 (193 ff.); so dargestellt durch Götting, in: Götting/Schertz/Seitz, Handbuch des Persönlichkeitsrechts, 2008 Rn.  4 mit ab­ weichender Terminologie. 20 Solove, Understanding privacy, S. 15 m. w. Nachw. 21 Siehe Prosser, California Law Review 48 (1960), 383; als Anwort auf Prosser siehe­ Bloustein, N. Y. U. L. Rev. 39 (1964), 962. 22 So Schwartz/Peifer, California Law Review 98 (2010), 1925 (1926). 23 Prosser, California Law Review 48 (1960), 383 (383). 24 Zu den Restatements des American Law Instituts führt Hay, US-amerikanisches Recht Rn. 32 aus: „Restatements bestehen für alle Rechtsgebiete, oft bereits in zweiter oder dritter Bearbeitung, und erfassen das Fallrecht systematisch in der äußeren Form eines europäischen Gesetzbuches. Sie verhelfen dadurch zu einem schnellen Überblick über die Rechtslage zu einer bestimmten Frage. Autoritativ sind sie natürlich nicht, doch sind besonders die besten der Restatements so zuverlässig in ihrer Aufarbeitung des einschlägigen Fallrechts, dass Anwälte und Gerichte sie anstatt des Fallrechts in ihren Vorträgen bzw. Urteilen zitieren.“ 25 „Das American Law Institute (A. L. I.) ist eine private Vereinigung von Professoren, Richtern und Anwälten, die im Jahr 1923 mit dem Ziel gegründet wurde, das amerikanische Recht zu vereinheitlichen und zu verbessern. Der Schwerpunkt der Tätigkeit des A. L. I. liegt heute in der Veröffentlichung der Restatements of Law“, so Hay, US-amerikanisches Recht, Fn. 39. 26 Siehe dazu Elixmann, Datenschutz und Suchmaschinen, S.  196 f. und Schwartz/Peifer, Califor­nia Law Review 98 (2010), 1925 (1926) mit Verweis auf Prosser, California Law Review 48 (1960), 383.

§ 8 „Right to Privacy“ in den USA

207

Die Fallgruppen sind intrusion upon seclusion27 (Verletzung privater Rückzugssphären), public disclosure of embarrassing private facts28 (Veröffentlichung peinlicher privater Details), false light publicity29 (die Wahrheit verzerrende Darstellungen in der Öffentlichkeit) sowie appropriation of name or likeness30 (Ausnutzen eines fremden Rufs zu kommerziellen Zwecken).31 Der Schutz von Privatheit durch Recht machte mit diesen vier Ansprüchen aus Delikt einen erheblichen Fortschritt. Die vier Ansprüche erlaubten bestimmte Verletzungen der Privatheit geltend zu machen, wobei jedoch der Anwendungsbereich für spezifische Datenschutzverletzungen nur sehr bedingt möglich ist.32 III. Verfassungsrechtliche Vorgaben Eine ausdrückliche Normierung der Privatheit (privacy) im Verfassungsrecht des Bundes besteht nicht.33 Garantien werden aber aus einzelnen Verfassungsbestimmungen, insbesondere dem vierten Zusatzartikel der Verfassung, hergeleitet.34 Dazu sind Entscheidungen des Supreme Courts von Interesse, die in der hier vorgenommenen Darstellung keinesfalls als abschließend anzusehen sind, sondern lediglich einen Einblick in die Herleitung der Privatheit aus den verschiedenen 27

Restatement (Second) of Torts, §§ 652 B (1977): One who intentionally intrudes, physically or otherwise, upon the solitude or seclusion of another or his private affairs or concerns, is subject to liability to the other for invasion of his privacy, if the intrusion would be highly offensive to a reasonable person. 28 Restatement (Second) of Torts, §§ 652 D (1977): One who gives publicity to a matter concerning the private life of another is subject to liability to the other for invasion of his privacy, if the matter publicized is of a kind that (a) would be highly offensive to a reasonable person, and (b) is not of legitimate concern to the public. 29 Restatement (Second) of Torts, §§ 652 E (1977): One who gives publicity to a matter concerning another that places the other before the public in a false light is subject to liability to the other for invasion of his privacy, if (a) the false light in which the other was placed would be highly offensive to a reasonable person, and (b) the actor had knowledge of or acted in reckless disregard as to the falsity of the publicized matter and the false light in which the other would be placed. 30 Restatement (Second) of Torts, §§ 652 C (1977): One who appropriates to his own use or benefit the name or likeness of another is subject to liability to the other for invasion of his privacy. 31 Darstellung der einzelnen Fallgruppen bspw. bei Schwartz/Peifer, California Law Review 98 (2010), 1925 (1937 ff.); die hier übernommenen Übersetzungen stammen von Elixmann, Datenschutz und Suchmaschinen, S. 197. 32 Siehe Elixmann, Datenschutz und Suchmaschinen, S. 198 f. 33 So Elixmann, Datenschutz und Suchmaschinen, S.  179, der „privacy“ mit Datenschutz übersetzt. 34 So Elixmann, Datenschutz und Suchmaschinen, S. 179 mit Verweis auf den US Supreme Court Fall Griswold v. Connecticut, 381 U. S. 479 (1965), in dem ein Privatheitsschutz durch eine Zusammenschau des 1., 3., 4., 5.  sowie 9. Verfassungszusatz hergeleitet wurde, sowie den US Supreme Court Fall Roe v. Wade, 410 U. S. 113 (1973), in dem sich das Gericht auf den 14. Verfassungszusatz bezieht; dazu Wittmann, ZaöRV 73 (2013), 373 (378 ff.) sowie um­ fassend monographisch Wittmann, Der Schutz der Privatsphäre vor staatlichen Überwachungsmaßnahmen durch die U. S.-amerikanische Bundesverfassung, S. 50 ff.

208

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

Verfassungsbestimmungen geben sollen. Auf der Ebene der Bundesstaaten erfolgt hingegen teilweise eine explizite Normierung der Privatheit in der Verfassung. 1. Bundesebene Der 4.  Verfassungszusatz verbietet das „willkürliche Durchsuchen der Wohnung, der Person, von Urkunden und des Eigentums“ und schreibt vor, „dass der Antrag auf Erlass eines Durchsuchungsbefehls auf einen hinreichenden Verdacht gestützt sein muss und den zu durchsuchenden Ort, die festzunehmende Personen oder zu beschlagnahmende Sache genau zu bezeichnen hat“.35 Der Begriff der „Durchsuchung“ wurde jedoch vom Supreme Court nie in einer naheliegenden, laienhaften Art als ein „Akt des Suchens nach oder in etwas“ ausgelegt, sondern orientierte sich zu seiner Interpretation sowohl am Eigentumsrecht als auch an den Grundsätzen der Privatheit.36 Der Anwendungsbereich des 4. Verfassungszusatzes ist sehr restriktiv zu verstehen.37 a) 4. Verfassungszusatz – Orientierung am Eigentumsrecht Zunächst legte der Supreme Court den im 4. Verfassungszusatz genannten Begriff der „Durchsuchung“ mit Bezug auf Eigentumsinteressen aus.38 Demnach lag eine „Durchsuchung“ nur dann vor, „wenn sich die öffentliche Gewalt in irgendeiner Art unbefugten Zugang zu eigentumsrechtlich geschützten Positionen des Betroffenen verschaffte“.39 Aus diesem Grund wurde zwar das Abhören von Telefonen nicht als „Durchsuchung“ angesehen, da das Abhören durch Anzapfen der außerhalb eines Hauses gelegenen Telefonleitungen möglich war, hingegen das Mithören mittels einer an der Fußbodenleiste angebrachten Wanze durchaus vom Schutzbereich des 4. Verfassungszusatzes umfasst.40

35

So die Übersetzung von Slobogin, Die Verwaltung 44 (2011), 465 (466); im Original lautet der 4. Verfassungszusatz „The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated; and no Warrants shall issue but upon probable cause, supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized.“ Zu den folgenden Ausführungen siehe ausführlich Elixmann, Datenschutz und Suchmaschinen, S. 182 ff. sowie Slobogin, Die Verwaltung 44 (2011), 465. 36 So Slobogin, Die Verwaltung 44 (2011), 465 (467 ff.), der den Begriff privacy mit Privatsphähre übersetzt; mit ausführlicher Darstellung der Auslegungsentwicklung des 4.  Verfassungszusatzes durch den Supreme Court. 37 Elixmann, Datenschutz und Suchmaschinen, S. 182. 38 Slobogin, Die Verwaltung 44 (2011), 465 (467). 39 Slobogin, Die Verwaltung 44 (2011), 465 (467) mit Verweis auf Silverman v. United States, 365 U. S. 505, 510 (1961). 40 Gegenübergestellt wird hier Olmstead v.United States, 277 U. S. 438 (1928) mit Silverman v. United States, 365 U. S. 505 (1961).

§ 8 „Right to Privacy“ in den USA

209

Diese rein auf das Eigentumsrecht gerichtete Interpretation wurde jedoch mit Bezug auf die Privatheit neu interpretiert. b) 4. Verfassungszusatz – Orientierung an der Person In der Entscheidung Katz v. United States41 nahm der Supreme Court zunächst eine traditionell eigentumsorientierte Interpretationen des Begriffs der „Durchsuchung“ vor, ergänzte jedoch, dass der 4. Verfassungszusatz „Personen, nicht Orte“ schütze.42 Daher könne „was [eine Person] als privat bewahren möchte sogar in einem öffentlich zugänglichen Bereich von der Verfassung geschützt sein“.43 Richter Harlan führte dies näher aus: So bestehe Schutz gegenüber Maßnahmen eines Hoheitsträgers nur, wenn der Betroffene eine „reasonable expectation of privacy“, also eine „begründete Vertraulichkeitserwartung“44 haben durfte.45 Ob eine solche besteht und somit der 4. Verfassungszusatz einschlägig ist, prüft der Supreme Court seit der Entscheidung Katz v. United States46 anhand eines ZweiStufen-Tests:47 Eine begründete Vertraulichkeitserwartung liegt vor, wenn subjektiv der Betroffene eine besondere Vertraulichkeitserwartung hatte (1. Stufe) und zudem die Erwartung auch objektiv durch die Gesellschaft anerkennenswert ist (2. Stufe).48 In Entscheidungen des Supreme Courts nach Katz v. United States wurde der Schutzbereich des 4.  Verfassungszusatzes wieder eingeschränkt: Nach der sogenannten plain view rule bzw. open field doctrine kann demnach keine begründete Vertraulichkeitserwartung bestehen, wenn ein Ort offen einsehbar ist.49 Die Anforderungen daran, wann ein Ort offen einsehbar ist, sind sehr gering. So wurde eine begründete Vertraulichkeitserwartung bereits abgelehnt, wenn ein Polizeihubschrauber Gewächshäuser überfliegt50; andere Beispiele sind der Innenraum

41

Katz v. United States, 389 U. S. 347 (1967). Slobogin, Die Verwaltung 44 (2011), 465 (468) mit ausführlicher Darstellung der Entscheidung; siehe auch Wittmann, ZaöRV 73 (2013), 373 (386 ff.). 43 Katz v. United States, 389 U. S. 347, 351 (1967), Übersetzung durch Slobogin. 44 So die Übersetzung von Elixmann, Datenschutz und Suchmaschinen, S. 182. 45 Die Entwicklung des Reasonable Expectation of Privacy Tests wird anhand des case laws nachgezeichnet bei Solove/Schwartz, Information privacy law, S. 262 ff. 46 Katz v. United States, 389 U. S. 347 (1967). 47 Dazu näher Elixmann, Datenschutz und Suchmaschinen, S. 182 ff. 48 Katz v. United States, 389 U. S.  347, 361 (1967) mit Sondervotum von Justice Harlan „[…] there is  a twofold requirement, first that  a person have exhibited an actual subjective expectation of privacy and, second, that the expectation be one that society is prepared to recognize as ‚reasonable‘“; Übersetzung durch Elixmann, Datenschutz und Suchmaschinen, S. 182. 49 Elixmann, Datenschutz und Suchmaschinen, S. 183; siehe für weitere Einschränkungen und Nachweise dazu auch Slobogin, Die Verwaltung 44 (2011), 465 (468 ff.). 50 Florida v. Riley, 488 U. S. 445, 451 f. (1989). 42

210

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

eines Pkw51, der Bereich einer Schule52 oder der Arbeitsplatz von Angestellten des Staates53.54 Eine weitere Einschränkung erfolgt durch die sog. third party doctrine:55 Grundlage dafür ist die Entscheidung United States v. Miller56. In diesem Fall wurde entschieden, dass die bei einer Bank vorgehaltenen Bankdaten von Kunden nicht vom Schutzbereich des 4. Verfassungszusatzes umfasst seien, wenn diese von der Bank an staatliche Stellen weitergegeben werden.57 Ein Kunde, der seine Bankdaten einem Dritten (seiner Bank) offenbare, nehme eine Weitergabe an staatliche Behörden bewusst in Kauf.58 Eine Vertraulichkeitserwartung bestehe dann nicht mehr, wenn Daten freiwillig an Dritte weitergegeben werden.59 Dies gilt selbst dann, wenn die Daten in der Erwartung weitergegeben werden, die Daten würden lediglich vertragsgemäß verwendet.60 Bestätigt wurde diese Rechtsprechung in der Entscheidung Smith v. Maryland61: Der Kunde einer Telefongesellschaft habe keine begründete Vertraulichkeitserwartung für die von ihm gewählten Telefonnummern gegenüber seiner Telefongesellschaft, da er die Daten freiwillig an den Dienstleister übermittelt habe.62 Folge dieser Entscheidungen ist die Bedeutungslosigkeit des 4. Verfassungszusatzes in Fällen, in denen persönliche Informationen von der öffentlichen Gewalt aus dem Besitz des Dritten erlangt werden und das „Subjekt der Information“ weiß oder wissen müsste, dass der Dritte über die Informationen verfügt.63 Auch in weiteren Entscheidungen bestätigte der Supreme Court die in United States v. Miller entwickelte third party doctrine: Eine begründete Vertraulichkeitserwartung besteht somit weder bei der Versendung von Drogen durch einen Paketdienstleister64, noch bei der Weitergabe von Finanzunterlagen durch einen Wertpapierhändler65 oder beim Abstellen von Müllsäcken an einem Bordstein66.67 51

Pennsylvania v. Labron, 518 U. S. 938 (1996). New Jersey v. T. L. O., 469 U. S. 325, 340 (1984). 53 O’Conner v. Ortega, 480 U. S. 709, 725 f. (1987). 54 So die Auswahl von Elixmann, Datenschutz und Suchmaschinen, S. 183. 55 Siehe dazu und zum Folgenden, auch hinsichtlich Zusammenfassungen der Entscheidungen Elixmann, Datenschutz und Suchmaschinen, S. 183 sowie auch Slobogin, Die Verwaltung 44 (2011), 465 (474 ff.). 56 United States v. Miller, 425 U. S. 435 (1976). 57 United States v. Miller, 425 U. S. 435, 443 (1976). 58 United States v. Miller, 425 U. S. 435, 443 (1976). 59 United States v. Miller, 425 U. S. 435, 443 (1976). 60 United States v. Miller, 425 U. S. 435, 443 (1976). 61 Smith v. Maryland, 442 U. S. 735 (1979); siehe dazu auch Bignami, B. C. L.Rev. 48 (2007), 609 (624). 62 Smith v. Maryland, 442 U. S. 735, 743 (1979). 63 Slobogin, Die Verwaltung 44 (2011), 465 (474). 64 United States v. Jacobsen, 466 U. S. 109 (1984). 65 SEC v. Jerry T. O’Brien I, Inc., 467 U. S. 735 (1984). 66 California v. Greenwood, 486 U. S. 35 (1988). 67 Dazu Elixmann, Datenschutz und Suchmaschinen, S. 183 mit weiteren Ausführungen und Nachweisen zu Kritik an der third party doctrine. 52

§ 8 „Right to Privacy“ in den USA

211

Die Entscheidungen haben „enorme Auswirkungen auf die heutigen Ermittlungsmaßnahmen von Strafverfolgungsbehörden“ und haben zur Folge, dass Behörden frei und ohne Einschränkungen durch den 4. Verfassungszusatz auf bei Dritten vorgehaltene Informationen zugreifen können.68 Die third party doctrine spielt somit bspw. auch eine entscheidende Rolle für die noch aufzuzeigenden Kontroversen zwischen der EU und den USA, dass Fluggesellschaften bei ihnen über ihre Passagiere vorgehaltene Daten an Sicherheitsbehörden übermitteln sollen. Eine Weitergabe von Fluggastdaten von den Fluggesellschaften an Sicherheitsbehörden löst in Europa große datenschutzrechtliche Bedenken aus. In den USA ist diese Problematik nicht derart erkennbar, da einmal weitergebene Daten auf Grund der third party doctrine keinen Schutz mehr genießen. 2. Ebene der Bundesstaaten Zwar ist Privacy nicht in der Verfassung der USA oder in den Zusatzartikeln geregelt worden, jedoch hat auf Ebene der Verfassungen der Bundesstaaten Privacy durchaus Berücksichtigung gefunden. Soweit ersichtlich ist in zehn der 50 Verfassungen der Bundesstaaten eine Regelung vorgenommen worden. Dabei verwenden acht Verfassungen explizit das Wort „Privacy“ (Alaska, Florida, Hawaii, I­llinois, Kalifornien, Louisiana, Montana, South Carolina), zwei weitere beziehen sich auf „private affairs“ (Arizona und Washington).69

C. Verschiedene Ausformungen des Right to Privacy Trotz oder auch gerade wegen entsprechender Konkretisierung durch den Supreme Court und Diskussionen in der Literatur stellt sich Privatheit bzw. Privacy in den USA als sehr vielschichtig dar. Es bestehen weiterhin Diskussionen darüber, was Privatheit eigentlich bedeutet.70 In der US-amerikanischen Fachliteratur findet sich eine Vielzahl von Aussagen, die diese Vielschichtigkeit und die damit einhergehenden Schwierigkeiten verdeutlichen, „Privacy“ verständlich und greifbar zu machen:71 Besonders prägnant drückt dies Judith Jarvis Thomas aus, die sich wie folgt zu „Privacy“ äußert: „Perhaps the most striking thing about the right to privacy ist that nobody seems to have any clear idea what it is.“72 J. Thomas ­McCarthy vergleicht das Konzept der Privatheit mit dem der Freiheit und führt aus: „Like 68

Slobogin, Die Verwaltung 44 (2011), 465 (474 f.). Eine Übersicht der Regelungen im Wortlaut findet sich bspw. bei National Conference of State Legislatures, Privacy Protections in State Constitutions, 11.12.2013, http://www.ncsl. org/research/telecommunications-and-information-technology/privacy-protections-in-stateconstitutions.aspx (zuletzt geprüft am 15.03.2015). 70 Siehe dazu und zum Folgenden ausführlich Solove, Understanding privacy. 71 Diese und weitere Aussagen bei Solove, Understanding privacy, S. 6 ff. 72 Jarvis Thomson, Philosophy & Public Affairs 4 (1975), 295 (295). 69

212

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

the emotive word ‚freedom‘, ‚privacy‘ means so many different things to so many different people that it has lost any precise legal connotation that it might have had.“73 Solove hingegen meint: „It seems as though everybody is talking about ‚privacy‘, but it is not clear exactly what they are talking about.“74 Neben diesen eher neutralen Stellungnahmen zur Vielschichtigkeit von Privatheit gibt es durchaus auch negativere Ansichten. So meint Fred Cate, privacy sei „an antisocial construct […] [that] conflicts with other important values within the society, such as society’s interest in facilitating free expression, preventing and punishing crime, protecting private property, and conducting government operations efficiently.“75 Privacy sollte daher auch als das verstanden werden, was es zu sein scheint, nämlich vielschichtig. Dies ist keineswegs defizitär, sondern diese Vielschichtigkeit ist das Verständnis von Privatheit, das besteht. Jedoch lassen sich die verschiedenen Ausprägungen von Privatheit dadurch der Privatheit zuordnen, da sie doch in gewisser Weise ähnlich bzw. verwandt zu sein scheinen. So meint Solove: „Privacy, therefore, consists of many different yet related things.“76 Einige Konzepte dafür, wie Privatheit verstanden wird, sind hier kurz vorzustellen. Die vorgenommene Konzeptualisierung beruht auf der von Daniel Solove in seinem Buch „Understanding Privacy“ vorgenommenen Unterscheidung.77 Die Konzepte überschneiden sich oftmals teilweise und sind – was Solove problematisch an einer solchen Konzeptualisierung ansieht – häufig entweder zu eng gefasst, da sie Aspekte nicht umfassen, die von der Allgemeinheit als „privat“ angesehen werden, oder zu weit gefasst, da sie Aspekte umfassen, die überhaupt nicht als privat verstanden werden.78 Die Diskussion über Privatheit ist nicht rein rechtlich, sie wird jedoch in den rechtlichen Kontext eingebaut. Auch in Europa wird Privatheit diskutiert.79 Hier soll jedoch der Fokus allein auf Diskussionen in amerikanischer Literatur und Rechtsprechung gelegt sein, um sich dem Verständnis von Privatheit im amerikanischen Recht zu nähern und zu klären, in welchem Verhältnis diese zu Datenschutz bzw. Informational Privacy steht. 73 McCarthy, The rights of publicity and privacy § 5.59, mit weiteren Ausführungen u. a. zum unterschiedlichen Verständnis von Privacy im deliktsrechtlichen und verfassungsrechtlichen Kontext und der Funktion des Wortes „Privacy“ als Surrogat für Rechte, die nicht wörtlich in der Verfassung stehen. 74 Solove, Understanding privacy, S. 5. 75 Cate, Privacy in the information age, S. 30; in dieser Weise zietiert durch Solove, Understanding privacy, S. 5. 76 Solove, Understanding privacy, S. 9, 42 ff., der sich gegen die Unterteilung in Konzepte von Privatheit ausspricht, die zur Demonstration ihrer Gemeinsamkeiten auf ein gemeinsames Kriterium verweisen. Stattdessen sollten die Konzepte – mit Verweis auf Wittgenstein, Philosophische Untersuchungen/Ludwig Wittgenstein. Transl. by G. E. M. Anscombe, §§ 66–67, und sein Modell der ‚Familienähnlichkeiten‘ (in der englischen Übersetzung ‚family resemblances‘) – aus einem Fundus von gemeinsamen Elementen schöpfen. 77 Solove, Understanding privacy, S. 12 ff. 78 Siehe zu dieser Aufstellung ausführlich Solove, Understanding privacy, S. 12 ff., der sich – wie erwähnt – gegen eine solche Einteilung ausspricht. 79 Grundlegend Rössler, Der Wert des Privaten.

§ 8 „Right to Privacy“ in den USA

213

I. The right to be let alone Teilweise wird Privatheit als the „right to be let alone“ verstanden.80 Dieses Verständnis basiert auf dem Aufsatz von Warren und Brandeis aus der Harvard Law Review von 1890.81 Warren und Brandeis nutzten diesen Begriff, um zu demonstrieren, dass ein Recht auf Privatheit implizit im common law verankert sei.82 Der Aufsatz und die Auffassung von Warren und Brandeis haben das Recht auf Privatheit in den USA im Folgenden stark beeinflusst, da bereits kurz nach Erscheinen des Aufsatzes Gerichte sowie der Gesetzgeber begannen, ein Recht auf Privatheit anzuerkennen und es seitdem nicht nur im Deliktsrecht, sondern im Verfassungsrecht sowie im kodifizierten Recht anerkannt ist.83 Der Supreme Court bspw. führte bereits im Jahr 1891 aus: „As well said by Judge Cooley: ‚The right to one’s person may be said to be a right of complete immunity; to be let alone‘“84. Im Fall Olmstead v. United States85 verfasste Brandeis, mittlerweile Richter am Supreme Court, ein vielbeachtetes Sondervotum gegen die Meinung des Gerichts, das der Auffassung war, dass das Anzapfen von Telefonleitungen nicht unter den 4. Zusatzartikel fallen würde: Er bezog sich auf die Autoren der Verfassung und dass diese „conferred, as against the government, the right to be let alone – the most comprehensive of rights and the right most valued by civilized men.“86 In dem Fall Katz v. United States gab der Supreme Court seine in Olmstead v. United States noch vertretene Meinung auf und folgte der Auffassung von Brandeis.87 Trotz der Bedeutung des Aufsatzes von Warren und Brandeis u. a. für Deliktsrecht sowie Rechtsprechung und die Diskussion über Privatheit in den Vereinigten Staaten generell wird „the right to be let alone“ als Verständnis von Privatheit teilweise als zu weit und wenig ausgeformt in Bezug auf die Frage, in welchen Situationen man alleingelassen werden sollte, kritisiert.88 Festzustellen ist jedoch die Bedeutung für die Entwicklung von Privatheit und die Position von „the right to be let alone“ als ein Erklärungsversuch, was unter Privatheit in den USA zu verstehen ist.

80

Siehe dazu bereits die Ausführungen in der allgemeinen Einführung zu den Anfängen des Konzepts der Privatheit oben S. 205. 81 Warren/Brandeis, Harvard Law Review 4 (1890), 193. 82 So Solove, Understanding privacy, S. 16. 83 Solove, Understanding privacy, S. 16 f. 84 Union Pac. Ry. Co. v. Botsford, 141 U. S. 250, 251 (1890); zitiert nach Solove, Understanding privacy, S. 17. 85 Olmstead v. Unites States, 389 U. S. 438, 466 (1928). 86 Olmstead v. Unites States, 389 U. S. 438, 466 (1928); zitiert nach Solove, Understanding privacy, S. 17. 87 Siehe Katz v. Unites States, 389 U. S. 250, 251 (1891); siehe zu der Entscheidung auch oben S. 209 f. 88 So Solove, Understanding privacy, S. 15: 17 f. m. w. Stimmen aus der Literatur, die ähnliche Kritikpunkte anführen.

214

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

II. Limited Access to the Self Zudem wird Privatheit in den USA auch als „Limited Access to the Self“ verstanden  – als Fähigkeit sich selbst vor ungewollten Eingriffen durch andere zu schützen  – und somit als ein Konzept, das mit dem dargestellten Konzept des „right to be let alone“ eng verbunden ist und eine differenziertere Ausformung dessen darstellt.89 Dieses Konzept enthält u. a. die Freiheit vor Einmischung der­ öffentlichen Hand, durch die Presse und andere und erkennt an, dass Privatheit über eine reine Absonderung von anderen hinausgeht.90 Es ist somit nicht nur das bewusste Zurückziehen erfasst, sondern auch der Eingriff von außen. Insgesamt gibt es eine Vielzahl verschiedener Ausformungen dieses Konzeptes.91 So wird Privatheit bspw. als „[…] the condition of being protected from unwanted access by others – either physical access, personal information, or attention“92 definiert. Andere führen diesbezüglich aus: „[…] a degree of inaccessibility is an important necessary condition for the apt application of privacy“93. Dieses Konzept wird jedoch genauso wie das Konzept des „right to be let alone“ als zu weit und unbestimmt kritisiert, da es weder feststellt, welche Eingriffe noch hinzunehmen und angemessen sind und welche nicht.94 III. Secrecy Als weitere Kategorie von Privatheit wird „Secrecy“, also die Geheimhaltung bestimmter Angelegenheiten gesehen, sodass die Privatheit verletzt ist, wenn bisher geheim gehaltene Informationen öffentlich aufgedeckt werden.95 So wird Privatheit in diesem Zusammenhang bspw. wie folgt umschrieben: „Privacy is an outcome of a person’s wish to withhold from others certain knowledge as to his past and present experience and action and his intentions for the future.“96 Auch in der Rechtsprechung wird Privatheit teilweise in Übereinstimmung mit dem Konzept der „Secrecy“ als Limitierung einer Offenlegung von geheim gehaltenen Informationen verstanden: So entschied der Supreme Court in Whalen v. Roe, dass die Verfassung eine sogenannte „zone of privacy“ schützt, was nicht nur „independence 89

Siehe dazu Solove, Understanding privacy, S. 13, 18 ff. Solove, Understanding privacy, S. 19. 91 Ausführlich siehe Solove, Understanding privacy, S. 19 ff. 92 So Bok, Secrets, S. 10 f. wobei sie darauf hinweist, dass Privatheit und Geheimhaltung nicht identisch sind, teilweise jedoch überlappen und eng verwandt sind. 93 Allen, Uneasy access, S. 10, mit weiteren Ausführungen zur Schwierigkeit einer Definition (S. 1 ff.) und der Bedeutung von „restricted-access Definitionen“ allgemein (S. 11 ff.). 94 So Solove, Understanding privacy, S. 20 mit weiteren differenzierten Ausführungen, sowie Verweis auf enger gefasste Kategorien dies Konzepts von Privatheit. 95 Solove, Understanding privacy, S. 21 mit Verweis auf Posner, The Economics of Justice, S. 272 f., der unter Privatheit neben einem „interest in being alone“ auch „concealment of information“ fasst. 96 Jourard, Law and Contemporary Problems 31 (1966), 307 (307). 90

§ 8 „Right to Privacy“ in den USA

215

in making certain kinds of important decisions“, sondern auch „individual interest in avoiding disclosure of personal matters“ umfasse.97 Das Konzept von Privatheit als „Secrecy“ kann als Unterkategorie des Konzepts von Privatheit „limited access to the self“ verstanden werden, wobei „Secrecy“ enger gefasst ist, da es nur eine Dimension des „limited access to the self“ umfasst, nämlich die Offenlegung von persönlichen Sachverhalten.98 Das Konzept wird jedoch auch kritisiert, da es die Privatheit zu eng beschreibt und bspw. nicht berücksichtigt, dass Individuen Dinge von manchen Personen geheim halten wollen, jedoch nicht von anderen.99 IV. Control over personal Information Ein weiteres Konzept für Privatheit ist in der Kontrolle über personenbezogene Informationen  – Control over Personal Information  – zu sehen.100 So definiert bspw. Alan Westin Privatheit wie folgt: „Privacy is the claim of individuals, groups, or institutions to determine for themselves when, how, and to what extent information about them is communicated to others.“101 Fried umschreibt das Konzept ähnlich und erklärt: „Privacy is not simply an absence of information about us in the minds of others; rather it is the control we have over information about ourselves.“102 Arthur Miller meint: „[…] the basic attribute of an effective right of privacy is the individual’s ability to control the circulation of information relat­ing to him.“103 Auch in der Rechtsprechung wurde bereits teilweise dieses Konzept verfolgt. So führte der Supreme Court an, Privatheit sei die Kontrolle eines Individuums über Informationen, die seine Person betreffen („individual’s control of information concerning his or her person“).104 Dieses Konzept von Privatheit – ein Unterpunkt des „limited access to the self“-Konzepts – wird jedoch ebenfalls als zu eng kritisiert, da es lediglich auf Informationen beschränkt ist, zu subjektiv geprägt ist und Aspekte nicht berücksichtigt, die die Gesellschaft generell als unter Privatheit schützenswert erwachtet: So spart das Konzept u. a. Aspekte von Privatheit aus, die nicht informationell zu verstehen sind wie bspw. das Recht, be 97 429 U. S. 589, 599–600 (1977); zitiert nach Solove, Understanding privacy, S. 22 mit weiteren Nachweisen aus der Rechtsprechung. 98 So Solove, Understanding privacy, S. 22. 99 Siehe Solove, Understanding privacy, S. 23 f. mit Verweis auf weitere Stimmen aus der Literatur, die ebenfalls diese Herangehensweise als zu eng beurteilen, sowie die Rechtsprechung, die Geheimhaltung oftmals als „totale Geheimhaltung“ (total secrecy) und nicht als „selective Geheimhaltung“ (selective privacy) versteht. 100 Siehe dazu ausführlich Solove, Understanding privacy, S. 23 f. mit den folgenden sowie weiteren Definitionen von Privatheit in diesem Kontext. 101 Westin, Privacy and Freedom, S. 7. 102 Fried, in: Hughes, Law, Reason and Justice, 1969, S. 54. 103 Miller, The Assault on Privacy, S. 25 m. w. Nachw. 104 So Solove, Understanding privacy, S. 24 f. mit Verweis auf die Entscheidung United States Department of Justice v. Reporters Committee For Freedom of the Press, 489 U. S. 749, 763 (1989).

216

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

stimmte grundsätzliche Entscheidungen selbst zu treffen oder die Art und Weise, wie man seine Kinder erzieht.105 Hingegen kann das Konzept durchaus auch als zu weit gefasst gesehen werden, wenn der Aspekt der „Kontrolle“ nicht genau definiert wird.106 V. Personhood (Decisional privacy) Ein weiteres Konzept von Privatheit sieht diese als eine Art, die Persönlichkeit bzw. die Integrität der Persönlichkeit zu schützen: Dieses Konzept ist nicht unabhängig von den bisher vorgestellten Theorien und kann in Verbindung mit diesen genutzt werden, um die Bedeutung von Privatheit zu erklären, zu entscheiden, welche ungewollten Eingriffe durch andere schützenswert sind oder über welche Art von Informationen Kontrolle ausgeübt werden sollte.107 So definiert bspw. ­Jeffrey Reiman das Recht auf Privatheit wie folgt: „The right to privacy […] protects the ­ loustein – individual’s interest in becoming, being, and remaining a person.“108 B in seiner Antwort auf den bedeutsamen Aufsatz von Prosser – setzt sich ebenfalls mit der Privatheit auseinander und vertritt, dass sie vor allem die Individualität („indi­viduality“) schütze.109 Auch gibt es in der Rechtsprechung des Supreme Courts Entscheidungen, die auf ein Verständnis von Privatheit in Bezug auf die Persönlichkeit hindeuten und bei denen vor allem die Entscheidungsfreiheit in Bezug auf die Person im Vordergrund steht: So charakterisierte das Gericht Privatheit als „interest in independence in making certain kinds of important decisions“.110 Insbesondere in dem Fall Planned Parenthood of Southeastern Pennsylvania et al. v. Casey ist die Auffassung des Gerichts zu erkennen, dass zum Schutz der Privatheit die Nichteinmischung des Staates in bestimmte wesentliche Entscheidungen, die die Persönlichkeit definieren, essentiell sei: „These matters, involving the most intimate and personal choices a person may make in a lifetime, choices central to personal dignity and autonomy, are central to the liberty protected by the Fourteenth Amendment. At the heart of liberty is the right to define one’s own concept of existence, of meaning, of the universe, and of the mystery of human life. Beliefs 105

Solove, Understanding privacy, S. 25, 28 f. m. w. Nachw. Solove, Understanding privacy, S. 28 f. m. w. Nachw. 107 Solove, Understanding privacy, S. 29 f.; mit den folgenden sowie einer Vielzahl weiterer Nachweise aus der Literatur. 108 Reiman, in: Schoeman, Philosophical dimensions of privacy, 1984, S. 314. 109 Siehe Bloustein, N. Y. U. L. Rev. 39 (1964), 962 (973 f., 981 f.). 110 Solove, Understanding privacy, S.  30 f. mit Verweis auf Grisworld v. Connecticut, 381 U. S. 479 (1965) (die Entscheidung erklärt ein Gesetz für verfassungswidrig, das die Entscheidungsfreiheit von verheirateten Paaren, sich für Verhütungsmittel zu entscheiden, verletzt; das Gericht bezieht sich dabei auf eine Gesamtschau des ersten, dritte, vierten, fünften und neunten Zusatzartikel der Verfassung), Eisenstadt v. Baird, 405 U. S. 438 (1972) (wie Grisworld in Bezug auf unverheiratete Paare) sowie Roe v. Wade, 410 U. S. 113 (1973) (das Recht auf Privatheit umfasst das Recht, sich für eine Abtreibung zu entscheiden); Zitat aus Whalen v. Roe, 429, U. S. 589, 599 f. 106

§ 8 „Right to Privacy“ in den USA

217

about these matters could not define the attributes of personhood were they formed under compulsion of the State.“111 Das Gericht wird teilweise dafür kritisiert, dass es Privatheit mit Freiheit und insbesondere Willensfreiheit gleichsetze.112 Aber auch generell werden die Theorien, die unter Privatheit vor allem Persönlichkeit verstehen, kritisiert, da es ihnen auf Grund fehlender angemessener Definition von „Persönlichkeit“ nicht gelinge, aufzuklären, was Privatheit bedeute und die Theorien oftmals zu weit gefasst seien, da sich Persönlichkeit nicht ausschließlich im privaten Bereich abspiele.113 VI. Intimacy Das letzte von Solove vorgestellte Konzept versteht Privatheit als eine Form von Intimität (‚Intimacy‘) und vertritt, dass Privatheit nicht nur essentiell für die individuelle Selbstgestaltung sei, sondern auch für menschliche Beziehungen: Der Wert von Privatheit liege in der Entwicklung persönlicher Beziehungen und das Konzept versuche, zu definieren, für welche Aspekte des Lebens die Möglichkeit einer Abschirmung bestehen solle oder in Bezug auf welche Informationen Kontrolle oder Geheimhaltung möglich sei.114 Das Konzept wird jedoch als einerseits zu weit und andererseits als zu eng gefasst angesehen. Das Konzept sei zu weit gefasst, wenn der Begriff „Intimität“ nicht angemessen definiert würde: Ohne entsprechende Einschränkungen sei das Wort „Intimität“ lediglich ein anderes Wort für Privatheit und nicht ausreichend, um zu bestimmen, welche Angelegenheiten darunter zu fassen seien.115 Das Konzept sei jedoch andererseits wiederum zu eng gefasst, da es sich zu sehr und ausschließlich auf zwischenmenschliche Beziehungen und die damit einhergehenden besonderen Empfindungen beschränke.116 Beispielsweise würden auch Informationen über die eigenen finanziellen Verhältnisse von der Privatheit umfasst sein, diese seien aber nicht mit dem Verständnis von­ Privatheit als „Intimität“ vereinbar.117

111 So Solove, Understanding privacy, S. 31 mit Verweis auf Planned Parenthood of Southeastern Pennsylvania et al. v. Casey, 505 U. S. 833, 851 (1992). 112 Siehe Sandel, Democracy’s discontent, S.  93: „The tendency to identify privacy with autonomy not only obscures these shifting understandings of privacy; it also restricts the range of reasons for protecting it“; sowie Solove, Understanding privacy, S. 31 m. w. Nachw. 113 So Solove, Understanding privacy, S.  31 ff. mit ausführlicher Kritik verschiedener Auf­ fassungen (u. a. Bloustein), die Privatheit im Bereich der Persönlichkeit verankert sehen. 114 So Solove, Understanding privacy, S.  34 mit im Folgenden ausführlichen Ausführungen dazu; zu diesem Verständnis von Privatheit bspw. Inness, Privacy, intimacy and isolation, S. 74 ff. 115 Solove, Understanding privacy, S. 36 f.; zu verschiedenen Definitionsansätzen zu „Intimität“ durch verschiedene Autoren siehe S. 34 ff m. w. Nachw. 116 Solove, Understanding privacy, S. 36 f. m. w. Nachw. 117 DeCew, In pursuit of privacy, S. 56 mit Kritik an dem Konzept von Innes, Privatheit als­ Intimität zu sehen; dazu vor allem Inness, Privacy, intimacy and isolation, S. 74 ff.

218

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

VII. Kombination der Ansätze Die vorgestellten Konzepte von Privatheit sind entweder zu eng oder zu weit gefasst, sodass sich die Suche nach einem gemeinsamen Nenner in Bezug auf die Definition von Privatheit schwierig gestaltet.118 Zwar mag sich Privatheit nicht mit einem der Konzepte zufriedenstellend erklären lassen, jedoch mag eine Kombination der Ansätze in der Gesamtschau durchaus ein zufriedenstellendes Bild vom Verständnis von Privatheit in den USA, geben. So verfolgt bspw. auch der­ Supreme Court verschiedene Ansätze.119 Privatheit sollte daher in dieser Pluralität verstanden werden. So mögen die folgenden Aussagen von Solove einen Hinweis auf das pluralistische Verständnis von Privatheit geben: „‚Privacy‘ is an umbrella term that refers to a wide and disparate group of related things“120 bzw. „Privacy […] consists of many different yet related things.“121 Von den dargestellten Ansätzen ist der Ansatz „Control over personal information“ wohl der zielführendste für die Zwecke dieser Arbeit. Zwar spielen auch die anderen Ansätze eine Rolle, Kernaussagen in Bezug auf das Verständnis im Rahmen dieser Arbeit sind jedoch den zu diesem Punkt dargelegten Erwägungen zu entnehmen. Der dort vorgestellte Ansatz ist wohl auch mit dem gerade in Bezug auf die in Europa gebräuchliche Terminologie des Datenschutzes am passendsten und reicht am ehesten  – wenn auch noch weitere Aspekte relevant sind – an den in den USA gebräuchlichen Terminus des Information Privacy Law heran.

D. Insbesondere: Information Privacy Law Von besonderem Interesse im Rahmen dieser Arbeit ist somit das Information Privacy Law als Teilaspekt eines Right to Privacy. Information Privacy Law ist am ehesten mit dem gleichzusetzen, was Europäer u. a. als Datenschutzrecht, Data Protection Law bzw. Droit de protection des données verstehen. Solove/Schwartz führen dazu aus: „Information privacy concerns the collection, use, and disclosure of personal information.“122 Information Privacy kann somit – wie gezeigt wurde – als eine Kategorie von Privatheit bzw. Privacy verstanden werden. Wie bereits erwähnt, sind jedoch durchaus Schnittmengen mit anderen Bereichen der Privatheit vorhanden. So sind bspw. Schnittmengen mit der oben beschriebenen „decisional privacy“ vorhanden, da die Nutzung von Daten die individuelle Autonomie, zu 118

Siehe Solove, Understanding privacy, S. 37 f. m. w. Nachw.; Solove verfasst daraufhin ein eigenes Konzept: „My theory of privacy has four principal dimensions: a method, a degree of generality, a structure that accomodates variability, and a focus“, siehe dazu ausführlich S. 40 ff., sowie auch die folgenden Kapitel. 119 Siehe dazu oben die Ausführungen zu den jeweiligen Konzepten. 120 Solove, Understanding privacy, S. 45 mit positiver sowie negativer Kritik an dieser Defi­ nition. 121 Solove, Understanding privacy, S. 9. 122 Solove/Schwartz, Information privacy law, S. 1.

§ 8 „Right to Privacy“ in den USA

219

entscheiden, was man tun möchte, zugleich ausweitet sowie auch beschränkt.123 Trotz des Einflusses auch anderer Aspekte von Privatheit als der Kontrolle über persönliche Informationen ist es für das Verständnis dieser Arbeit ausreichend, dass Privacy Law nicht pauschal mit Datenschutzrecht gleichgesetzt werden kann, jedoch Information Privacy Law als Teilbereich am ehesten mit Datenschutzrecht – wie es in Europa verstanden wird – zu vergleichen ist. Information Privacy Law kann in den USA in mehr oder weniger starker Ausprägung mittlerweile sowohl im Verfassungsrecht, Gesetzesrecht und Common Law gefunden werden. Hinzu kommt die Bedeutung von Selbstregulierung, wobei die genannten Vorkommnisse nicht für sich zu sehen sind, sondern in wechselseitiger Beziehung zueinander stehen. Datenschutzregelungen in den USA sind bei weitem nicht so umfangreich wie in der EU, jedoch durchaus vorhanden. Die Art und Weise, Datenschutz zu regeln, ist zum einen weniger umfangreich und vermittelt zum anderen, in der Gesamtheit gesehen, einen weniger starken Schutz. Auf Grund der sektorspezifischen Herangehensweise besteht in bestimmten Gebieten ein hohes Datenschutzniveau. Im Gegensatz zu den umfassenden Datenschutzgesetzen in Europa, kann Datenschutz in den USA jedoch durchaus auch bedeutende Schutzlücken aufweisen. Datenschutz in den USA reicht nicht an ein Recht auf informationelle Selbstbestimmung heran. Bedeutend diesbezüglich ist, dass der Supreme Court des Bundes einen Verfassungsschutz bzgl. personenbezogener Daten nicht anerkennt. Zum besseren Verständnis ist ein Überblick über das Information Privacy Law in den USA von Interesse, der jedoch keinen Anspruch auf Vollständigkeit erhebt.124 I. Verfassungsrecht Obwohl – wie bereits dargestellt – keine ausdrückliche Normierung der Privatheit im Verfassungsrecht des Bundes besteht, werden einzelne Garantien in Bezug auf die Privatheit aus verschiedenen Zusatzartikeln – insbesondere dem 4. Zusatzartikel – hergeleitet.125 In Bezug auf Informational Privacy besteht jedoch nur eine sehr beschränkte Rechtsprechung des Supreme Courts, die einen Privatheitsschutz i. S. v. Information Privacy durchaus anspricht, im Folgenden jedoch nicht substanziell weiter entwickelt und weder ausdrücklich bestätigt noch ablehnt.126 123

Solove/Schwartz, Information privacy law, S. 1 f. Vgl. Solove/Schwartz, Information privacy law, S. 2: „Information privacy law is an interrelated web of tort law, federal and state constitutional law, federal and state statutory law, evidentiary privileges, property law, contract law, and criminal law.“ 125 Siehe oben S.  208 ff.; zu den folgenden Entscheidungen auch Wittmann, ZaöRV 73 (2013), 373 (381 ff.). 126 Siehe dazu auch ausführlich Solove/Schwartz, Information privacy law, S. 474 f.; Schwartz, Iowa L. Rev 80 (1995), 553 (574 ff.). 124

220

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

In der Entscheidung Whalen v. Roe127 von 1977 ging es um die Verfassungsmäßigkeit einer Regelung des Staates New York, die Ärzte dazu verpflichtete, Informationen über die Verschreibung bestimmter missbrauchsanfälliger Medikamente (u. a. Name von Patient und Arzt, Alter, Dosierung) an die Staatsbehörden weiterzuleiten, wo sie gespeichert wurden. Das Gericht führte in seiner Entscheidung aus, dass zwei verschiedene Privatheitsinteressen von der Verfassung geschützt sein könnten und zwar „individual interest in avoiding disclosure of personal matters“, also eine Schutzrichtung, die datenschutzrechtlich verstanden werden kann sowie „the interest in independence in making certain kinds of important decisions“, eine Art von Privatheit, die für „Decisional Privacy“128 spricht.129 Obwohl beide Interessen durch die in Frage stehende Regelung betroffen sein können, sah das Gericht keine der Interessen als in bedeutender Weise beeinflusst an und bestätigte die Verfassungsmäßigkeit der in Frage stehenden Regelung.130 Das Gericht beendete seine Begründung mit der Ausführung, dass dem Gericht eine Bedrohung für die Privatheit durch die Ansammlung großer Datenmengen u. a. in Datenbanken durchaus bewusst sei und meinte, dass unter gewissen Umständen die Nichtoffenlegung von Daten durch die Regierung ihre Wurzel in der Verfassung habe.131 Da hier aber der Umgang mit den Daten im Fall der New Yorker Regelung ausreichende Sicherheiten biete, müsse darüber nicht weiter entschieden werden, und es wurde daher in Bezug auf die Regelung nur festgestellt: „[…] this record does not establish an invasion of any right or liberty protected by the Fourteenth Amendment.“132 Nach Whalen v. Roe wurde ein Recht auf Information Privacy – soweit ersichtlich – nur noch zwei Mal vom Supreme Court aufgegriffen, jedoch nicht weiter entwickelt. Die Entscheidung Nixon v. General Services Administration133 von 1977 behandelte die Frage, ob bestimmte vertrauliche Dokumente und Aufnahmen eines Präsidenten auf der Grundlage eines Gesetzes beschlagnahmt und die Dokumente, die nach einer Auswertung als „historisch“ eingestuft wurden, u. a. in Gerichtsverhandlungen weiterverwendet werden dürften oder dies auf Grund bestimmter Privilegien eines Präsidenten nicht geschehen dürfe. Das Gericht entschied u. a., dass Nixon durchaus eine „legitimate expectation of privacy“ vor allem hinsichtlich privater Kommunikation mit Familie oder Ärzten haben könne.134 Das öffentliche Interesse an den in Frage stehenden Dokumenten und Aufnahmen überwiege 127

Whalen v. Roe, 429 U. S. 589 (1977). So auch Solove/Schwartz, Information privacy law, S. 474. 129 Whalen v. Roe, 429 U. S. 589, 599 f. (1977). 130 Whalen v. Roe, 429 U. S. 589, 600 (1977). 131 Whalen v. Roe, 429 U. S. 589, 605 (1977): „The right to collect and use such data for public purposes is typically accompanied by a concomitant statutory or regulatory duty to avoid unwarranted disclosures. Recognizing that in some circumstances that duty arguably has its roots in the Constitution […]“. 132 Whalen v. Roe, 429 U. S. 589, 606 (1977). 133 Nixon v. General Services Administration, 433 U.S 425 (1977). 134 Nixon v. General Services Administration, 433 U. S. 425, 457 (1977). 128

§ 8 „Right to Privacy“ in den USA

221

jedoch.135 Der Supreme Court äußerte sich wiederum nicht klar, ob ein durch die Verfassung geschütztes Recht auf Information Privacy tatsächlich besteht und nahm lediglich Bezug auf ein „interest in avoiding disclosure“.136 Nach dieser Entscheidung sollte es – soweit ersichtlich – über 30 Jahre dauern, bis wiederum über das Recht auf Information Privacy – bzw. wie vom Gericht genannt „Informational Privacy“ – vor dem Supreme Court verhandelt wurde.137 Die Entscheidung NASA v. Nelson138 aus dem Jahr 2011 betraf die Frage, ob eine von Präsident George W. Bush erlassene Regelung mit der Verfassung vereinbar ist, die umfassende Überprüfungen („background checks“) für bestimmte Bundesbedienstete einführte und auch Daten verlangte, die u. a. in Zusammenhang mit Drogenmissbrauch stehen. Im Ergebnis urteilte das Gericht, dass die background checks zumutbare („reasonable“) Erhebungen mit Bezug zur Ausübung der Tätigkeit seien und zudem substanzielle Schutzmechanismen durch den Privacy Act of 1974 gegeben seien und daher die in Frage stehende Regelung mit der Verfassung vereinbar sei und nicht gegen ein verfassungsrechtlich geschütztes Recht auf Information Privacy bzw. Informational Privacy verstoße.139 Jedoch äußerte sich das Gericht in seiner mit 8 zu 0 Stimmen getroffenen Entscheidung140 lediglich vage zur Existenz eines verfassungsrechtlich geschützten Rechts auf ­Informational ­Privacy: „We assume, without deciding, that the Constitution protects a privacy right of the sort mentioned in Whalen and Nixon. We hold, however, that the ­challenged ­portions of the Government’s background check do not violate this right in the present case.“141 Die Richter Scalia und Thomas äußerten sich jedoch in Sondervoten ex­ calia aus, dass plizit negativ zur Existenz eines solchen Rechts. Zunächst führte S es lediglich Sache des Gesetzgebers sei, Datenschutzregelungen zu er­lassen, ein Grundrecht jedoch nicht in der Verfassung verortet werden könne: „Like many­ other desirable things not included in the Constitution, ­‚informational privacy‘ seems like a good idea – wherefore the People have enacted laws at the federal ­level and in the states restricting the government’s collection and use of information. But it is up to the People to enact those laws, to shape them, and, when they think it appropriate, to repeal them. A federal constitutional right to ‚informational privacy‘ 135

Nixon v. General Services Administration, 433 U. S. 425, 457 (1977). Nixon v. General Services Administration, 433 U. S. 425, 457 (1977). 137 Der Supreme Court selbst dazu in NASA v. Nelson, No. 09–530 (2011), S. 10: „A few opinions have mentioned the concept in passing and in other contexts. See Department of Justice v. Reporters Comm. for Freedom of Press, 489 U. S. 749, 762–763 (1989); New York v. Ferber, 458 U. S. 747, 759, n. 10 (1982). But no other decision has squarely addressed a constitutional right to informational privacy“. 138 NASA v. Nelson, No. 09–530 (2011); dazu auch aufschlussreich mit ausführlichen Nachweisen zu einem Right auf information privacy durch Literatur und Rechtsprechung Electronic Privacy Information Center, Amicus Curiae Brief im Fall NASA v. Nelson, http://epic.org/ amicus/nasavnelson/EPIC_amicus_NASA_final.pdf. (zuletzt geprüft am 15.03.2015). 139 NASA v. Nelson, No. 09–530 (2011), 16 ff.; 19 ff., 23. 140 Richterin Kagan nahm an der Entscheidung nicht teil. 141 So Richter Alito, der das Urteil verfasste; NASA v. Nelson, No. 09–530 (2011), 1. 136

222

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

does not exist.“142 Richter Thomas führte daraufhin noch an: „I agree with Justice Scalia that the Constitution does not protect a right to informational privacy.“143 Im Gegensatz zum Supreme Court wurde in den Instanzgerichten u. a. in den Courts of Appeal ein verfassungsrechtlich abgesichertes Recht auf Information Privacy bzw. Informational Privacy jedoch bereits oftmals diskutiert und auch an­ erkannt.144 Auf Ebene der Bundesstaaten ist ein solches in den Verfassungen nicht explizit genannt, jedoch  – wie erwähnt  – unter dem Oberbegriff „Privacy“ zu verorten. II. Einfachgesetzliche Regelungen In den USA existieren Gesetze, die bestimmte Gebiete datenschutzrechtlich regeln. Jedoch ist Datenschutzgesetzgebung in den USA nicht umfassend für den privaten und den öffentlichen Sektor erlassen worden, sondern erfolgt oftmals als Reaktion auf bestimmte Vorkommnisse und ist somit nur sektoriell für bestimmte Bereiche des öffentlichen und des privaten Sektors vorzufinden. Eine der zuletzt vorgestellten Gesetzesinititative, der Entwurf eines Consumer Privacy Bill of Rights Act of 2015 – ein Gesetzentwurf zum Datenschutz für Verbraucher –, ist im Vergleich zu anderen Regelungen umfassender und beinhaltet bspw. gewisse Grundprinzipien der Datenverarbeitung wie Auskunftsrechte, setzt aber wiederum auf Selbtregulierung der Industrie sowie Kontrolle durch die FTC.145 Auf Grund 142

Richter Scalia in seinem Sondervotum zu NASA v. Nelson, No. 09–530 (2011), S. 1, siehe auch S. 7 zur scharfen Kritik an der Haltung der Mehrheitsmeinung, ob ein Recht auf informational privacy nun existiere oder nicht. 143 Richter Thomas in seinem Sondervotum zu NASA v. Nelson, No. 09–530 (2011), S. 1. 144 Siehe dazu bspw. die Ausführungen mit Nachweisen aus der Rechtsprechung bei Solove/ Schwartz, Information privacy law, S.  475 oder die Ausführungen des Supreme Courts in NASA v. Nelson, No. 09–530 (2011), S. 10, Fn. 9: „State and lower federal courts have offered a number of different interpretations of Whalen and Nixon over the years. Many courts hold that disclosure of at least some kinds of personal information should be subject to a test that balances the government’s interests against the individual’s interest in avoiding disclosure. E.g., Barry v. New York, 712 F. 2d 1554, 1559 (CA2 1983); Fraternal Order of Police v. Philadelphia, 812 F. 2d 105, 110 (CA3 1987); Woodland v. Houston, 940 F. 2d 134, 138 (CA5 1991) (per curiam); In re Crawford, 194 F. 3d 954, 959 (CA9 1999); State v. Russo, 259 Conn. 436, 459–464, 790 A. 2d 1132, 1147–1150 (2002). The Sixth Circuit has held that the right to informational privacy protects only intrusions upon interests „that can be deemed fundamental or implicit in the concept of ordered liberty.“ J. P. v. DeSanti, 653 F. 2d 1080, 1090 (1981) (internal quotation marks omitted). The D. C. Circuit has expressed „grave doubts“ about the existence of a constitutional right to informational privacy. American Federation of Govt. ­Employees v. HUD, 118 F. 3d 786, 791 (1997).“ 145 Zu diesem sowie weiteren Gesetzentwürfen (Student Digital Privacy Act und Personal Data Notification and Protection Act) siehe Spies, ZD-Aktuell 2015, 04122; zum Consumer Privacy Bill of Rights Act of 2015 mit Stimmen für und gegen den Gesetzentwurf Peterson, The White House’s draft of a consumer privacy bill is out – and even the FTC is worried, 27.02.2015, https://www.washingtonpost.com/blogs/the-switch/wp/2015/02/27/the-white-houses-draft-of-

§ 8 „Right to Privacy“ in den USA

223

der sektoriellen Herangehensweise sind Schutzlücken in verschiedenen Bereichen vorhanden. Es soll eine kurze, keinesfalls abschließende Übersicht über bestehende Regelungen auf Bundesebene gegeben werden.146 Dabei sollen – zusätzlich zu den bereits vorgestellten Regelungen des Privacy Act of 1974 und des Gramm Leach Bliley Act of 1999  – lediglich beispielhaft Regelungen auf Bundesebene aufgezeigt werden. Regelungen bestehen darüber hinaus durch Gesetze der einzelnen Bundesstaaten, wobei Kalifornien eine Vorreiterrolle einzunehmen scheint.147 Die Behandlung dieser Regelungen würde jedoch zu weit führen.148 1. Fair Credit Reporting Act of 1970 Das erste, in den USA erlassene, Datenschutzgesetz war der Fair Credit Reporting Act of 1970 (FCRA)149, der Regeln zum Umgang mit personenbezogenen Daten im Rahmen der Kreditauskunft aufstellte.150 Das Gesetz wurde verabschiedet, um der wachsenden Anzahl an Kreditauskunftsdienstleistern zu begegnen, durch die es Ende der 1960er Jahren eine Vielzahl an Datenmissbräuchen gab (bspw. Erhebung von Daten wie sexuelle Orientierung, Verhältnis zu Sauberkeit oder Trinkgewohnheiten).151 2. Privacy Act of 1974 Das weitreichendste Datenschutzgesetz in den USA scheint der Privacy Act of 1974 zu sein, der auf Bundesbehörden Anwendung findet. Diesbezüglich sei auf die bereits erfolgte Darstellung verwiesen.152 a-consumer-privacy-bill-is-out-and-even-the-ftc-is-worried (zuletzt geprüft am 15.03.2015); zum Consumer Privacy Bill of Rights, auf dem dieser Gesetzentwurf beruht Spies, ZD-Aktuell 2012, 02788; Spies, ZD-Aktuell 2012, 02918 sowie zu den Anfängen Spies, ZD 2011, 12 (13 ff.) (mit Bezugnahme auf weitere Gesetzesinitiativen). 146 Zu den folgenden sowie weiteren Regelungen siehe Hoofnagle, European Commission Directorate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, 2010, S. 11 ff.; Solove/Schwartz, Information privacy law, S. 35 ff. 147 Siehe zu Regelungen auf Ebene der Bundesstaaten am Beispiel Kaliforniens Hoofnagle, European Commission Directorate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, 2010, S. 15 ff. 148 Siehe bspw. zu Kalifornien Hoofnagle, European Commission Directorate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, 2010, S. 15 ff.; zu Kalifornien und Massachusetts Lejeune, CR 2013, 755 (458 f.). 149 Pub. L. No. 90–32, 15 U. S. C. §§ 1681 ff. 150 Siehe dazu bspw. Hoofnagle, European Commission Directorate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, 2010, S. 11 f. 151 Zu geschichtlichen Hintergründen näher Electronic Privacy Information Center, The Fair Credit Reporting Act (FCRA) and the Privacy of Your Credit Report, http://epic.org/privacy/ fcra/default.html (zuletzt geprüft am 15.03.2015). 152 Siehe dazu oben S. 188.

224

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

3. Family Educational Rights and Privacy Act of 1974 Der Family Educational Rights and Privacy Act of 1974 (FERPA)153 hat Daten­ schutzbestimmungen in Bezug auf bei bestimmten Universitäten vorgehaltene Informationen zum Gegenstand. Das Gesetz wurde als Anwort auf „the growing evidence of the abuse of student records across the nation“ erlassen.154 Neben Ausnahmebestimmungen bzgl. Kontaktdaten, die unter bestimmten Umständen eingesehen werden dürfen, dürfen bspw. die Eltern über Drogenmissbrauch ihrer Kinder informiert werden. 4. Cable Communication Policy Act of 1984 Der Cable Communication Policy Act of 1984 (CCPA)155 enthält neben den­ Zwecken der Deregulierung dienenden Bestimmungen u. a. Vorschriften zur Datenverarbeitung durch Kabeldienstleister. Das Gesetz wird in Bezug auf bestimmte Aspekte als strengstes US-Datenschutzgesetz angesehen, da es bspw. bereits die Datenerhebung bei den Kabeldienstleistern selbst von bestimmten Voraussetzungen abhängig macht, andererseits erlaubt es jedoch auch Kundenlisten an Dritte zu verkaufen, wenn nicht von einer „opt-out“ Möglichkeit Gebrauch gemacht wurde.156 5. Electronic Communications Privacy Act of 1986 Der Electronic Communications Privacy Act of 1986157 setzt sich aus drei verschiedenen Regelungen zusammen (Wiretap Act158, Stored Communications Act159, Pen Register Act160) und wurde verabschiedet, um Bestimmungen in Bezug auf das Anzapfen von Kommunikationsleitungen und Abhören von Gesprächen dem technischen Fortschritt anzupassen und stellt Regeln für das Abhören sowie Anforderungen an die Herausgabe für bei Telekommunikationsunternehmen gespeicherte Daten an Behörden auf.161 153

Pub. L. No. 93–380, 20 U. S. C. §§ 1221 note, 1232g. So Senator Buckley zur Begründung des Gesetzes, siehe hierzu und ausführlich zu FERPA sowie eine Übersicht zu Änderungen des Gesetzes Electronic Privacy Information Center, Student Privacy, http://epic.org/privacy/student/#history (zuletzt geprüft am 15.03.2015). 155 Pub. L. No. 98–549, 47 U. S. C. § 551. 156 So Hoofnagle, European Commission Directorate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, 2010, S. 12 f. 157 Pub. L. No. 99–508, Pub. L. No. 103–414, 18 U. S. C. §§ 2510–2522, 2701–2712, 3121–3127. 158 18 U. S. C. §§ 2510–2522. 159 18 U. S. C. §§ 2701–2712. 160 18.U. S. C. §§ 3121–3127. 161 Siehe Solove/Schwartz, Information privacy law, S.  37; Electronic Privacy Information Center, Electronic Communications Privacy Act (ECPA), http://epic.org/privacy/ecpa/ (zuletzt geprüft am 15.03.2015) sowie ausführlich zu ECPA und insb. zum Stored Communications Act 154

§ 8 „Right to Privacy“ in den USA

225

6. Video Privacy Protection Act of 1988 Der Video Privacy Protection Act of 1988 (VPPA)162 enthält Datenschutzbestimmungen in Bezug auf die in Videotheken ausgeliehenen Medien eines Individuums.163 Dieses Gesetz ist ein gutes Beispiel für den sektorbasierten Ansatz der USamerikanischen Datenschutzgesetzgebung, Gesetze als Reaktion auf bestimmte Vorkommnisse zu erlassen. Das Gesetz wurde als Reaktion auf die Veröffentlichung der Liste ausgeliehener Videos des für den Supreme Court nominierten Richters und Professors Bork vom Kongress verabschiedet.164 7. Driver’s Privacy Protection Act of 1994 Der Driver’s Privacy Protection Act of 1994165 beschränkt die Staaten, Daten aus dem Kraftfahrzeugregister offenzulegen oder zu verkaufen. Auch dieses Gesetz wurde als Reaktion auf ein bestimmtes Ereignis erlassen, nämlich der Mord an einer Schauspielerin, deren Wohnort durch Informationen aus dem Kraftfahrzeugregister offengelegt wurde.166 8. Children’s Online Privacy Protection Act of 1998 Der Children’s Online Privacy Protection Act of 1998167 beschränkt die Nutzung von Informationen, die durch Webseiten von Kindern unter 13 Jahren erhoben werden: So wird bspw. das Einverständnis der Eltern zur Datenerhebung benötigt und die Ausstattung der Webseite mit einer Erklärung zu den einschlägigen Datenschutzbestimmung ist erforderlich.168 Das Gesetz war eine Reaktion auf VorkommElixmann, Datenschutz und Suchmaschinen, S. 191 ff.; zur Novellierung des ECPA siehe Spies, ZD-Aktuell 2012, 03131. 162 Pub.L. No. 100–618, 47 U. S. C. §§ 2710–2711. 163 Siehe dazu auch Hoofnagle, European Commission Directorate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, 2010, S. 13. 164 Siehe dazu bspw. Electronic Privacy Information Center, Video Privacy Protection Act, http://epic.org/privacy/vppa/ (zuletzt geprüft am 15.03.2015) mit Nachweisen zu Änderungen des Gesetzes aufgrund neuer Anforderungen durch die Nutzung von Streamingdiensten. 165 Pub. L. No. 103–322, 18 U. S. C. §§ 2721–2725. 166 Siehe dazu Electronic Privacy Information Center, The Drivers Privacy Protection Act (DPPA) and the Privacy of Your State Motor Vehicle Record, http://epic.org/privacy/drivers/ default.html (zuletzt geprüft am 15.03.2015) sowie Hoofnagle, European Commission Direc­ torate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, 2010, S. 13. 167 Pub. L. No. 106–170, 15 U. S. C. §§ 6501–6506. 168 Zu weiteren Voraussetzungen Hoofnagle, European Commission Directorate-General­ Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, 2010, S. 14.

226

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

nisse Mitte der 1990er Jahren, bei denen von Fernsehstationen aufgedeckt wurde, wie einfach es war, Listen mit Namen von Kindern zu erhalten.169 III. Common Law Eine weitere Quelle des Information Privacy Law ist das Common Law. Hier ist vor allem auf die durch die Aufsätze von Warren/Brandeis und Prosser durch Auswertung von Fallrecht im common law aufgefundenen deliktischen Ansprüche (torts) mit Bezug zur Privatheit und dessen fortwährende Anerkennung abzustellen.170 Zudem sind möglicherweise torts wie „Breach of Confidentiality“, die bei Offenlegung von Informationen durch Geheimnisträger wie Ärzte oder Anwälte einen deliktischen Anspruch geben, im Rahmen des Information Privacy Law fruchtbar zu machen.171 Fraglich ist, inwiefern die vier Fallgruppen von Privatheitsverletzungen und die korrespondierenden Deliktrechtsansprüche­ intrusion upon seclusion172 (Verletzung privater Rückzugssphären), public disclosure of embarrassing private facts173 (Veröffentlichung peinlicher privater Details), false light publicity174 (die Wahrheit verzerrende Darstellungen in der Öffentlichkeit) sowie appropriation of name or likeness175 (Ausnutzen eines fremden Rufs zu kommerziellen Zwecken) auf Datenschutzverletzungen anzuwenden sind.176 169

Zu geschichtlichen Hintergründen näher: Electronic Privacy Information Center, Children’s Online Privacy Protection Act (COPPA), http://epic.org/privacy/kids/default.html (zuletzt geprüft am 15.03.2015). 170 Siehe dazu oben S. 205 f. 171 Vgl. Solove/Schwartz, Information privacy law, S. 31. 172 Restatement (Second) of Torts, §§ 652 B (1977): One who intentionally intrudes, physically or otherwise, upon the solitude or seclusion of another or his private affairs or concerns, is subject to liability to the other for invasion of his privacy, if the intrusion would be highly offensive to a reasonable person. 173 Restatement (Second) of Torts, §§ 652 D (1977): One who gives publicity to a matter concerning the private life of another is subject to liability to the other for invasion of his privacy, if the matter publicized is of a kind that (a) would be highly offensive to a reasonable person, and (b) is not of legitimate concern to the public. 174 Restatement (Second) of Torts, §§ 652 E (1977): One who gives publicity to a matter concerning another that places the other before the public in a false light is subject to liability to the other for invasion of his privacy, if (a) the false light in which the other was placed would be highly offensive to a reasonable person, and (b) the actor had knowledge of or acted in reckless disregard as to the falsity of the publicized matter and the false light in which the other would be placed. 175 Restatement (Second) of Torts, §§ 652 C (1977): One who appropriates to his own use or benefit the name or likeness of another is subject to liability to the other for invasion of his privacy. 176 Darstellung der einzelnen Fallgruppen bspw. bei Schwartz/Peifer, California Law Review 98 (2010), 1925 (1937 ff.); die hier übernommenen Übersetzungen stammen von Elixmann, Datenschutz und Suchmaschinen, S. 197, siehe dazu auch oben S. 206; zur Relevanz als Rechtsquelle für den Datenschutz ausführlich Genz, Datenschutz in Europa und den USA, S. 76 ff. und insbesondere S. 81 ff.; krit. Hoofnagle, European Commission Directorate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, 2010, S. 10 f.

§ 8 „Right to Privacy“ in den USA

227

Der Fallgruppe Intrusion upon seclusion (Verletzung privater Rückzugssphären) kommt datenschutzrechtliche Bedeutung u. a. im Arbeitsrecht zu: Die Anerkennung hat bspw. dazu beigetragen, die Bedeutung von Datensparsamkeit in Bezug auf Arbeitnehmer zu erhöhen, sodass auf Grund der Gefahr von Klagen (intrusion claims) umfassende Datensammlungen über Bewerber und Arbeitnehmer nur noch nach Einwilligung vorgenommen werden.177 Die Fallgruppe public disclosure of embarrassing private facts178 (Veröffentlichung peinlicher privater Details) ist nur beschränkt datenschutzrechtlich nutzbar zu machen: Entgegen stehen u. a. das Grundrecht der Meinungsfreiheit sowie der nicht bestehende Schutz von Informationen, die berichtenswert („newsworthy“) sind, jedoch mag diese Fallgruppe bspw. einen Anspruch bei der Offenlegung privater Daten im Internet bieten oder bei der Offenlegung von bestimmten Informationen innerhalb eines Betriebes.179 In Bezug auf die Fallgruppe false light publicity180 (die Wahrheit verzerrende Darstellungen in der Öffentlichkeit) ist wiederum die Meinungsfreiheit sowie auch die Pressefreiheit zu berücksichtigen, sodass eine Verletzung nur bei wissentlicher bzw. rücksichtsloser Veröffentlichung besonders beleidigender bzw. anstößiger Aussagen u. U. einschlägig sein könnte.181 Schließlich wird die Fallgrupe Ap­propriation of name or likeness182 (Ausnutzen eines fremden Rufs zu kommerziellen Zwecken) sehr weit ausgelegt und ist nicht in dem Maße durch die Meinungsfreiheit oder „newsworthiness“ eingeschränkt wie die anderen Fallgruppen, sodass bspw. Schadensersatz möglich ist, wenn ein durchschnittlicher Kon 177

Genz, Datenschutz in Europa und den USA, S. 81 f. mit Verweis auf Lake v. Wal-Mart­ Stores, Inc., 582 N. W. 2d 231 (Minn. 1998). 178 Restatement (Second) of Torts, §§ 652 D (1977): One who gives publicity to a matter concerning the private life of another is subject to liability to the other for invasion of his privacy, if the matter publicized is of a kind that (a) would be highly offensive to a reasonable person, and (b) is not of legitimate concern to the public. 179 Hoofnagle, European Commission Directorate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, 2010, S. 10 f.; Genz, Datenschutz in Europa und den USA, S. 82 f. mit Verweis auf Miller v. Motrorola Inc., 202 Illinois App. 3rd, 976 (III. App. 1990) sowie Wash Construction Company, 561 F. Supp. 872 (S. D. Ga. 1983); siehe zur Meinungsfreiheit als Recht auf kommerzielle Datenverarbeitung Elixmann, Datenschutz und Suchmaschinen, S.  187 f. sowie auch Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht, 2003 Rn.  72 sowie insb. Schwartz, Harvard Law Review 126 (2013), 1966 (1976 f.). 180 Restatement (Second) of Torts, §§ 652 E (1977): One who gives publicity to a matter concerning another that places the other before the public in a false light is subject to liability to the other for invasion of his privacy, if (a) the false light in which the other was placed would be highly offensive to a reasonable person, and (b) the actor had knowledge of or acted in reckless disregard as to the falsity of the publicized matter and the false light in which the other would be placed. 181 Hoofnagle, European Commission Directorate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, 2010, S. 11; Genz, Datenschutz in Europa und den USA, S. 83 f. m. w. Nachw. 182 Restatement (Second) of Torts, §§ 652 C (1977): One who appropriates to his own use or benefit the name or likeness of another is subject to liability to the other for invasion of his­ privacy.

228

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

sument für Werbezwecke gegen seinen Willen im Rahmen von Produktwerbung genannt wird.183 Privacy torts geben jedoch keine Antwort auf moderne Probleme im Zusammenhang mit der Privatheit wie die Datensammlung durch Dritte; zudem waren Individuen bis jetzt nicht in der Lage, mit Hilfe der deliktsrechtlichen Ansprüche die kommerzielle Nutzung ihrer Daten zu begrenzen.184. IV. Selbstregulierung 1. Das Konzept der Selbstregulierung in den USA Einen wichtigen Aspekt im amerikanischen Information Privacy Law nimmt die Selbstregulierung ein.185 Bei der Selbstregulierung handelt es sich um einen Verzicht des Staates auf die Wahrnehmung seiner Regelungskompetenz.186 Gerade in den USA ist dieses Konzept stark ausgeprägt. Zurückführen lässt sich die Auffassung auf das liberale Staatsverständnis in den USA, wonach der Staat besonderen Wert auf die Beschränkung staatlicher Regulierung legt und somit der Staat auch der Regulierung privater Sachverhalte ablehnend gegenübersteht; dementsprechend werden private Rechte gefördert und ein staatlicher, regulativer Eingriff skeptisch gesehen.187 In Bezug auf den Datenschutz wird daher davon ausgegangen, dass der Markt die Privatheit schütze und der faire Umgang mit personen­ bezogenen Informationen Vorteile sowohl für den Konsumenten als auch die Industrie mit sich bringe: durch den Schutz der Informationen durch die Industrie 183 Hoofnagle, European Commission Directorate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, 2010, S. 11. 184 So Hoofnagle, European Commission Directorate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, 2010, S. 10 mit Nennung von Gründen; für Ansätze zur Veränderung des Deliktsrechts, um Datenschutzgesichtspunkten besser gerecht werden zu können siehe S. 11, Fn. 48. 185 Dazu ausführlich Genz, Datenschutz in Europa und den USA, S.  85 ff.; dazu auch­ Hoofnagle, European Commission Directorate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, 2010, S. 43 ff.; Talidou, Regulierte Selbstregulierung im Bereich des Datenschutzes, S. 204 ff.; Elixmann, Datenschutz und Suchmaschinen, S. 199 ff. mit weiteren Bsp.; Papakonstantinou, Self-regulation and the protection of privacy, S. 109 ff., Roßnagel (Hrsg.), Handbuch Datenschutzrecht 2003 Rn. 72 ff. zum Für und Wider von Selbstregulierung, m. w. Nachw; so spielt die Selbstregulierung auch in der Gesetzesinitiative eines Consumer Privacy Bill of Rights Act of 2015 eine entscheidende Rolle, siehe dazu Peterson, The White House’s draft of a consumer privacy bill is out – and even the FTC is worried, 27.02.2015 zum Consumer Privacy Bill of Rights, auf dem dieser Gesetzentwurf beruht, und der Bedeutung der Selbstregulierung bspw. Spies, ZD-Aktuell 2012, 02788; Spies, ZD-Aktuell 2012, 02918; siehe auch Spies, ZD 2011, 12 ff. 186 Genz, Datenschutz in Europa und den USA, S. 86; monographisch zur Selbstregulierung im Datenschutzrecht: Papakonstantinou, Self-regulation and the protection of privacy. 187 Reidenberg, Stan. L. Rev. 52 (2000), 1315 (1344 f.) m. w. Nachw.; Genz, Datenschutz in Europa und den USA, S. 87.

§ 8 „Right to Privacy“ in den USA

229

werde einerseits das Vertrauen der Konsumenten erhöht und andererseits würden durch das entstandene Vertrauen die Gewinne maximiert.188 Wenn jedoch Selbstregulierung an ihre Grenzen stößt und auf bestehende Probleme keine Lösungen bereit hält bzw. die vorgesehenen Lösungen nicht effektiv ein Problem adressieren können, greift der Staat ein, um negative Konsequenzen für den Bürger und die Position des Staates abzuwenden.189 Dies kann im Datenschutzrecht an den sektoriell, als Reaktion auf bestimmte Vorkommnisse, erlassenen Gesetzen erkannt werden.190 So führt Genz zum amerikanischen Konzept aus: „Die US-amerikanische Selbstregulierungsdiskussion muss daher im Spannungsfeld der entgegengesetzten Alternativen von gänzlicher Abwesenheit staatlicher Regulierung, also originärer Selbstregulierung und umfassender staatlicher Regelung gesehen werden.“191 Von Seiten der Industrie besteht durchaus Bereitschaft, sich selbst zu regulieren, um Gesetzgebungsvorhaben zur Regelung einer bestimmten Materie zu vermeiden bzw. das unkalkulierbare Risiko eines Gesetzes mit strengen Voraussetzungen zu umgehen und lieber von sich aus gewisse Zugeständnisse in datenschutzrechtlicher Hinsicht, die oftmals weniger streng als Gesetze sind, zu unternehmen.192 Das Konzept der Selbstregulierung in den USA kann zusammenfassend prägnant wie folgt beschrieben werden: „[…] the USA applies self-regulation in the form of market regulation. In this way, it is the market, rather than the legislator, that decides upon the desired level of privacy protection, and individuals are no longer viewed as citizens but rather as consumers“.193 2. Die Rolle der FTC Eine Schlüsselposition im Rahmen der Selbstregulierung spielt die Federal Trade Commission (FTC).194 Die FTC ist eine unabhängige Bundesbehörde, deren Aufgaben vor allem im Bereich des Wettbewerbs (bspw. Fusionskontrolle und Kartell 188 Siehe Reidenberg, Berkeley Tech. L. J. 14 (1999), 771 (774) m. w. Nachw.; ähnlich auch Roßnagel (Hrsg.), Handbuch Datenschutzrecht 2003 Rn. 74; Talidou, Regulierte Selbstregulierung im Bereich des Datenschutzes, S. 208. 189 Vgl. Genz, Datenschutz in Europa und den USA, S. 87. 190 Siehe oben S. 222 ff. 191 Genz, Datenschutz in Europa und den USA, S. 89. 192 Vgl. Hoofnagle, European Commission Directorate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, 2010, S. 44; Elixmann, Datenschutz und Suchmaschinen; Papakonstantinou, Self-regulation and the protection of privacy, S. 119 schreibt Privaten sogar eine gewisse Aufsichtsfunktion zu: „[…] private organisations partially hold the role of a federal Privacy Commissioner […]“. 193 Papakonstantinou, Self-regulation and the protection of privacy, S. 109. 194 Zum Folgenden insbesondere Elixmann, Datenschutz und Suchmaschinen, S. 199 ff.; zur Bedeutung der FTC, insbesondere im Rahmen der jüngeren Gesetzesinitiative eines Consumer Privacy Bill of Rights Act of 2015 siehe Peterson, The White House’s draft of a consumer privacy bill is out – and even the FTC is worried, 27.02.2015 sowie zum Vorfeld des Gesetz­ entwurfes bereits Spies, ZD 2011, 12 ff., Spies, ZD-Aktuell 2012, 02788; Spies, ZD-Aktuell 2012, 02918 sowie Spies, ZD-Aktuell 2015, 04122.

230

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

verfolgung) und des Verbraucherschutzes zu sehen sind.195 Die Rolle der FTC besteht im Bereich des Datenschutzes sowohl in der Förderung der Selbstregulierung als in der Durchsetzung des Datenschutzes allgemein. Im Dialog mit Industrie und Verbraucherzentralen und als Reaktion auf zunehmenden e-commerce und Internetnutzung hat die FTC „Fair Information Practice Principles“196 erlassen, die von der Industrie mit Hilfe von Mechanismen der Selbstregulierung eingehalten werden sollen.197 Grundlage der Fair Information Practice Principles waren die fair information principles des Department of Housing, Education, and Welfare (HEW) von 1973 und die davon beeinflussten OECD Guidelines zum Datenschutz von 1980.198 Die Fair Information Practice Principles der FTC bestehen aus fünf Grundsätzen: notice, choice, access, security und accountability.199 Dazu führt Elixmann erklärend aus: „Unter ‚Notice‘ versteht die FTC die Notwendigkeit der Aufklärung des Betroffenen über beabsichtigte Datenverarbeitungen, ‚Choice‘ betont den Aspekt der Selbstbestimmung des Nutzers. Dieser sollte in die Lage versetzt sein, in Datenverarbeitungen einzuwilligen oder abzulehnen. ‚Access‘ steht für die Bedeutung von Auskunfts- und Berichtigungsansprüchen zu den eigenen Daten gegenüber einer speichernden Stelle, ‚Security‘ betrifft die Gewährleistung der Datensicherheit und ‚Enforcement‘ betont die Bedeutung von Durchsetzungsmechanismen der Grundsätze.“200 Die Grundsätze der FTC sind hingegen nicht so umfassend wie andere Fair Information Practices: So wird bspw. fast komplett auf ein Recht auf „access“ verzichtet und stattdessen mehr auf den Aspekt „security“ abgestellt, da die FTC in den Zugangsrechten eine Erhöhung von Sicherheitsrisiken sieht, die dazu führen könnte, dass die Verarbeiter noch mehr personenbezogene Daten sammeln.201 Zur Verwirklichung dieser Grundvoraussetzungen werden zwar Selbstregulierungsmechanismen genannt, die Auswahl des jeweils passenden Mechanismus ist jedoch dem Markt selbst überlassen.202 195 Siehe dazu Federal Trade Commission, About the FTC, http://www.ftc.gov/about-ftc (zuletzt geprüft am 15.03.2015). 196 Siehe dazu Federal Trade Commission, Fair Information Practice Principles, http://web. archive.org/web/20130403122213/http://www.ftc.gov/reports/privacy3/fairinfo.shtm (zuletzt geprüft am 15.03.2015). 197 Vgl. dazu Elixmann, Datenschutz und Suchmaschinen, S.  202 m. w. Nachw.; Talidou, Regulierte Selbstregulierung im Bereich des Datenschutzes, S. 208; Papakonstantinou, Self-­ regulation and the protection of privacy, S. 118. 198 Elixmann, Datenschutz und Suchmaschinen, S. 203 m. w. Nachw.; zu den Fair Information Practices von 1973 bspw. Solove/Schwartz, Information privacy law, S. 655 ff.; zu unterschiedlicher Berücksichtigung in der EU und den USA Schwartz, Harvard Law Review 126 (2013), 1966 (1975 f.). 199 Dazu Federal Trade Commission, Fair Information Practice Principles. 200 Elixmann, Datenschutz und Suchmaschinen, S. 203. 201 So Hoofnagle, European Commission Directorate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, 2010, S. 17 mit weiteren Ausführungen. 202 Papakonstantinou, Self-regulation and the protection of privacy, S. 118; Talidou, Regulierte Selbstregulierung im Bereich des Datenschutzes, S. 208.

§ 8 „Right to Privacy“ in den USA

231

Da Verstöße gegen Datenschutz als unlautere Geschäftspraktiken gesehen werden und Datenschutz zudem als ein Aspekt des Verbraucherschutzes verstanden werden kann, spielt die FTC auch in der Durchsetzung des Datenschutzes eine entscheidende Rolle.203 Teilweise wird die FTC daher als „de facto Privacy Protection Commission“ bezeichnet.204 Sie überwacht den Vollzug des FTC Acts205, der unter anderem „unlauteres oder irreführendes Geschäftsgebaren“206 (unfair or deceptive practices) verbietet und Ermächtigungsgrundlagen für die FTC zur Rechtsdurchsetzung sowie für Anordnungen und Bußgelder207 enthält. Die FTC übt ihre Kompetenzen sowohl in Bezug auf Instrumente der Selbstregulierung als auch in der Durchsetzung von Gesetzen aus. Eine Fallgruppe des „unlauteren oder irreführenden Geschäftsgebarens“ ist bspw. der Verstoß von Unternehmen gegen die eigenen Datenschutzbestimmungen, die – mit Ausnahme von Kalifornien und bestimmten Branchen – nicht verpflichtend veröffentlicht werden müssen.208 Neben der Überwachung der Einhaltung von Datenschutzerklärungen nimmt die FTC im Rahmen von Gesetzen u. a. eine Rolle in der Durchsetzung des Children’s Online Privacy Protection Act of 1998209 oder des Fair Credit Reporting Act of 1970210 ein.211 Ein weiteres Beispiel aus dem Bereich der Selbstregulierung ist die Position der FTC im Rahmen der Safe Harbor-Regelungen.212 Maßnahmen der FTC erfolgen oftmals nach Beschwerden von Bürgern.213 Neben der Möglichkeit von Sanktionen und Bußgeldern erlässt die FTC jedoch häufig lediglich unverbindliche Vorschläge an die Industrie.214 Dieses Vorgehen wird zum Teil so verstanden, dass die FTC unverbindliche Vorschläge und freiwillige Beachtung durch die Industrie einem re­ gulativen Eingriff in den Markt vorzieht und die FTC generell eher eine „schwache, reaktiv agierende Institution“ sei.215 203

Siehe Elixmann, Datenschutz und Suchmaschinen, S. 200 m. w. Nachw. DeVries, Berkeley Tech. L. J. 18 (2003), 283 (308) m. w. Nachw. 205 15 U. S. C. §§ 41–58. 206 15 U. S. C. §§ 45 (a) (1); die hier verwendete Übersetzung durch Elixmann, Datenschutz und Suchmaschinen, S. 199. 207 15 U. S. C. §§ 45. 208 Elixmann, Datenschutz und Suchmaschinen, S. 200 m. w. Nachw.; zu den Datenschutzerklärungen siehe unten S. 232. 209 15 U. S. C. 6502 (c). 210 15 U. S. C. 1681s (a) (2) (A). 211 Siehe dazu Elixmann, Datenschutz und Suchmaschinen, S. 200 f. mit weiteren Beispielen und Ausführungen. 212 Siehe dazu bspw. die Ausführungen auf der Webseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit: http://www.bfdi.bund.de/DE/EuropaUndInternationales/ Art29Gruppe/Artikel/SafeHarbor.html?nn=409532 (zuletzt geprüft am 15.03.2015). 213 Siehe dazu die Webseite der FTC für Beschwerden https://www.ftccomplaintassistant.gov (zuletzt geprüft am 15.03.2015). 214 Siehe bspw. Federal Trade Commission, FTC Staff Proposes Online Behavioral Advertising Privacy Principles, 20.12.2007, http://www.ftc.gov/news-events/press-releases/2007/12/ ftc-staff-proposes-online-behavioral-advertising-privacy (zuletzt geprüft am 15.03.2015); dazu den Hintergrund erläuternd Elixmann, Datenschutz und Suchmaschinen, S. 201 f. 215 Siehe Elixmann, Datenschutz und Suchmaschinen, S. 202 mit Verweis auf DeVries, Berkeley Tech. L. J. 18 (2003), 283 (308 f.) und weitere Nachweise. 204

232

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

3. Datenschutzerklärungen – Privacy Statements Einen verbreiteten Mechanismus im Rahmen der Selbstregulierung stellen die Datenschutzerklärungen, sog. Privacy Statements von Unternehmen dar.216 Die „marktorientierte Selbstregulierung“ erfolgt durch die Vorstellung der angewandten Datenschutzpolitik auf der Homepage des Unternehmens: In diesem Rahmen können die Unternehmen statt der eigenen Formulierung einer Datenschutzerklärung sich der standardisierten Datenschutzpolitik eines Verbandes wie der „Online Privacy Alliance“ bedienen und die Formulierungen möglicherweise noch an die eigenen Anforderungen anpassen.217 Im Rahmen der „Online Privacy Alliance“ verpflichten sich die Mitglieder bspw. zu folgenden Maßnahmen: Beschluss, Umsetzung und Veröffentlichung einer Datenschutzpolitik; einfacher Zugang zu­ dieser Datenschutzpolitik; Möglichkeit der Kenntnisnahme vor Datenerhebung sowie Maßnahmen, die die Sicherung der Daten und deren Qualität ermöglichen.218 Auf Grund der dadurch hergestellten Transparenz kann der einzelne Nutzer sich für oder gegen die Nutzung eines Angebots entscheiden und somit in eine Daten­ preisgabe einwilligen oder nicht.219 Mit einer derart ausgestalteten Datenschutzerklärung kann somit bspw. den Prinzipien „notice“ und „choice“ Rechnung getragen werden.220 Möglicherweise können auf Verlangen von Verbrauchern im Einzelfall Datenschutzerklärungen auch Bestandteil der Verträge zwischen Verbraucher und Unternehmer werden, sodass diese Datenschutzerklärungen durch den jeweiligen Vertrag verrechtlicht werden und der Interpretation durch Gerichte zugänglich sind.221 4. Privacy Seals Ein weiteres beispielhaft zu nennendes Instrumentarium im Rahmen der Selbstregulierung sind sog. Privacy Seals, also Siegel222, die die Einhaltung bestimmter Datenschutzstandards bestätigen und in die Homepage eines Unternehmens ein-

216

Dazu Roßnagel (Hrsg.), Handbuch Datenschutzrecht 2003 Rn.  74; Talidou, Regulierte Selbstregulierung im Bereich des Datenschutzes, S.  209; sowie Papakonstantinou, Self-­ regulation and the protection of privacy, S. 118 f. mit Nachweisen zur besonderen Bedeutung dieses Instrumentariums für Industrie und öffentliche Hand. 217 Roßnagel (Hrsg.), Handbuch Datenschutzrecht 2003 Rn. 75. 218 Siehe http://www.privacyalliance.org/resources/ppguidelines.shtml (zuletzt geprüft am 15.03.2015), deutsche Übersetzung durch Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht, 2003 Rn. 75. 219 Vgl. Talidou, Regulierte Selbstregulierung im Bereich des Datenschutzes, S. 203. 220 Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht, 2003 Rn.  74; Elixmann, Datenschutz und Suchmaschinen, S. 203 m. Nachw. zu Kritik an der Wirksamkeit dieses Konzepts. 221 Zu dieser sogenannten „contractual approach“ als Kontrollfunktion siehe Papakonstan­ tinou, Self-regulation and the protection of privacy, S. 119 m. w. Nachw. 222 Ofmals auch „trustmark“ genannt.

§ 9 Ursachen für unterschiedlichen Datenschutz

233

gebunden werden können.223 Die Ausstellung eines solchen Siegels erfolgt oftmals zur Stärkung des Vertrauens der Verbraucher in die tatsächliche Einhaltung der Datenschutzerklärungen.224 Austellungsstellen sind private Zertifizierungsstellen (Privacy Seal Provider) wie bspw. die Verbraucherschutzvereinigung „Council of Better Business Bureaus“ (Siegel: „BBBonline“), die Silicon-Valley-Unternehmen (Siegel: TRUSTe) oder die Organisationen der Wirtschafsprüfer in den USA und Kanada „American Institute of Certified Public Accountants“ und „Canadian Institute of Chartered Accountants“ (Siegel: WebTrust).225 Die zu erfüllenden Voraussetzungen entsprechen in etwa den Fair Information Practice Principles der FTC.226 Die jeweiligen Zertifizierungsstellen überwachen die Einhaltung ihrer Vorgaben und überprüfen dazu die Webseiten der zertifizierten Unternehmen, führen probeweise Übermittlungen von Kundendaten durch oder richten Beschwerdestellen für Verbraucher ein.227

§ 9 Ursachen für unterschiedlichen Datenschutz in der EU und den USA A. Untersuchungsgegenstand I. Untersuchungsobjekt Wie bereits an den rechtlichen Regelungen und ihrer Regelungsdichte erkennbar, bestehen bei den untersuchten Rechtsordnungen der EU und den USA unterschiedliche Ausprägungen und Herangehensweisen, den Datenfluss im internationalen Kontext rechtlich zu regeln. Die EU regelt diesen detailliert, die USA hingegen im weitaus geringeren Maße rechtlich verbindlich bzw. so gut wie gar nicht explizit. Dies ist jedoch nicht nur spezifisch für das Phänomen des Datenflusses im internationalen Kontext der Fall, sondern ist generell in Bezug auf den Datenschutz zu erkennen. Die EU verfügt über allumfassende Datenschutzregelungen; die USA setzen hingegen auf sektorspezifische Regelungen und fördern 223 Zu den Privacy Seals siehe Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht, 2003 Rn. 75; Elixmann, Datenschutz und Suchmaschinen, S. 203 f.; Talidou, Regulierte Selbstregulierung im Bereich des Datenschutzes, S. 203 f.; Genz, Datenschutz in Europa und den USA, S. 94 f. sowie ausf. Hoofnagle, European Commission Directorate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, 2010, S. 46 f.; krit. bspw. Reidenberg, Houston Law Review 38 (2001), 717 (745); Elixmann, Datenschutz und Suchmaschinen, S.  204; Papakonstantinou, Self-regulation and the protection of privacy, S. 120 f. m. w. Nachw. 224 Elixmann, Datenschutz und Suchmaschinen, S. 203 m. w. Nachw. 225 Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht, 2003 Rn. 75 m. w. Bsp.; Elixmann, Datenschutz und Suchmaschinen, S. 203. 226 Elixmann, Datenschutz und Suchmaschinen, S. 203 m. w. Nachw. 227 Elixmann, Datenschutz und Suchmaschinen, S. 203 f.

234

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

mehr die Selbstregulierung. Darüber hinaus sind in der EU ausgeprägte Aufsichtsstrukturen vorhanden, die wiederum in den USA nicht in dem Ausmaß vorzufinden sind. Möglicherweise wird dies jedoch durch andere Mechanismen kompensiert. Die unterschiedliche Herangehensweise der EU und der USA, Datenschutz zu regeln, steht im Fokus der folgenden Untersuchung. II. Fragestellung Von Interesse ist, wodurch sich dieser sehr unterschiedliche Umgang in Bezug auf die Regelungen begründet. Gerade auch hinsichtlich der in vielfältiger Weise bestehenden Konflikte in Bezug auf den Datenschutz zwischen der EU und den USA und etwaiger Lösungsmöglichkeiten für diese Konflikte sind die Ursachen für unterschiedliche Regelungen und eine unterschiedliche Regelungsdichte von Interesse. Begründet werden kann der Unterschied in der Vorgehensweise mög­ licherweise durch unterschiedliche Be- und Empfindlichkeiten im Umgang mit Daten, die sich in rechtlichen Regelungen widerspiegeln und somit kulturellen Unterschieden. So schützt Europäisches Datenschutzrecht nach Whitman bspw. die „Würde“ und das amerikanische Datenschutzrecht die „Freiheit“.228 Nach Bignami hingegen fördert europäisches Datenschutzrecht zwischenmenschlichen Respekt und schützt Privatheit gegenüber dem Staat und zudem Freiheitsinteressen mehr als das Amerikanische Recht.229 Jedoch sind neben kulturellen Unterschieden auch historische, politische, rechtliche und wirtschaftliche Gründe als Ursache für die bestehenden Unterschiede in Erwägung zu ziehen. III. Untersuchungstechnik Um mögliche Antworten aufzeigen zu können, warum in den USA und der EU eine unterschiedliche Dichte an Regelungen zum Datenschutz besteht, ist zunächst zu klären, wodurch sich ein Erkenntnisgewinn in Hinsicht auf die Fragestellung ergeben kann. Bezug genommen werden soll im Rahmen dieser Abhandlung vor allem auf Beiträge in der Literatur, Beispiele aus den Rechtstraditionen zur Regelung bestimmter Sachverhalte, auf die Verfassung bzw. Verfassungstraditionen der zu untersuchenden Rechtsordnungen sowie auch Gesetzgebungsmaterialien. Repräsentative Umfragen gerade hinsichtlich kultureller Hintergründe für vorgenommene rechtliche Regelungen würden sicherlich zusätzlichen Erkenntnisgewinn liefern. Dies kann im Rahmen dieser Arbeit jedoch nicht geleistet werden, da für repräsentative Ergebnisse eine Vielzahl an Befragungen auf beiden Seiten des At 228

Whitman, Yale L. J. 113 (2003/2004), 1151 (1160 ff.) mit Verweis auf Post, Geo. L. J. 89 (2000/2001), 2087 (2087). 229 Bignami, B. C. L.Rev. 48 (2007), 609 (681) mit Bezug auf Data-Mining im Rahmen der Terrorismusbekämpfung und mit Kritik an dem Konzept von Whitman.

§ 9 Ursachen für unterschiedlichen Datenschutz

235

lantiks notwendig wären. Stattdessen soll auf teilweise bereits bestehende Untersuchungen Bezug genommen werden. Deren Aussagegehalt ist jedoch ebenfalls zu klären. IV. Vorbemerkung Die aufzuzeigenden möglichen Gründe für die vorgenommene unterschiedliche Art von Regelungen erheben weder den Anspruch auf Vollständigkeit noch auf absolute Richtigkeit. Sie sollen lediglich mögliche Erklärungsversuche bzw. Möglichkeiten aufzeigen, warum Regelungen bzw. die Herangehensweise in Bezug auf den Datenschutz in den USA und der EU in dieser Weise vorgenommen worden sind und vorgenommen werden. Die zu nennenden Aspekte haben entweder kulturellen, historischen, politischen, rechtlichen oder wirtschaftlichen Bezug, wobei sich diese Kategorien teilweise überschneiden. Auf eine feste Zuordnung der möglichen Gründe in Kategorien soll daher verzichtet werden. Eine monokausale Erklärung für die vorgenommene Art der Regelungen ist – wie zu zeigen sein wird – nicht auszumachen. Auch ist ein Widerspruch zwischen den verschiedenen Erklärungsversuchen nicht ausgeschlossen. Zudem ist zu beachten, dass manche der zu nennenden Gründe im zeitlichen Kontext zu sehen sind. So sind manche Gründe nicht für die Anfänge der Datenschutzgesetzgebung relevant, mögen jedoch Erklärungen liefern für das weitere Verfolgen einer bestimmten Art von Herangehensweise. Manche Gründe mögen jedoch auch heute noch Relevanz haben. Problematisch im Rahmen einer solchen Untersuchung ist stets die Frage der Verbindlichkeit und Aussagekraft der Aussagen. So ist es mitunter schwierig, allgemeine Aussagen zu treffen und  – insbesondere im kulturellen Bereich  – vor allem diese verbindlich abzusichern. Dies ist vor allem auch dem Aspekt geschuldet, dass der Datenschutz stets eine individuelle Angelegenheit eines jeden Individuums ist und in Bezug auf unterschiedliche Länder, Staaten oder Regionen unterschiedliche Aspekte relevant sein mögen. Bei rechtlichen Aspekten ist die Aussagekraft möglicherweise höher. Jedoch gibt es auch hier stets Aspekte wie die politische Willensbildung und damit einhergehende Kompromisse, die Aussagen verfälschen können. Die Aussagekraft der aufzuzeigenden Gründe ist folglich sehr verschieden. Die Gründe sind daher vor allem als Hintergrundsverständnis zu sehen, warum es zwischen der EU und den USA immer wieder zu Konflikten im Zusammenhang mit dem Datenschutz kommt. Sie mögen zum besseren Verständnis auch in Bezug auf eine Lösungsfindung beitragen, sollten jedoch nicht zu hoch bewertet werden. Die Entscheidung für oder gegen eine entsprechende Regelung zum Datenschutz erfolgt nicht grundlos, sondern ist möglicherweise auch geprägt durch die Einstellung der Gesellschaft der jeweiligen Rechtsordnung zum Umgang mit Daten.

236

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

V. Gang der Untersuchung Um die Gründe für die unterschiedlichen Regelungen und die unterschiedliche Regelungsdichte und Herangehensweise zu untersuchen, bedarf es zunächst einer Betrachtung der ursprünglich ähnlichen Ausgangslage in den jeweiligen Rechtsordnungen (B), danach sind mögliche Gründe für die vorgenommenen Regelungen in der EU (C) bzw. in den USA (D) von Interesse, wobei jeweils auf mögliche kulturelle, historische, politische, rechtliche sowie wirtschaftliche Hintergründe einzugehen ist. Daraufhin sind die sich aus der unterschiedlichen Vorgehensweise in Bezug auf die Regelungen – und mittelbar aus den dafür ursächlichen Gründen – ergebende Konflikte von Interesse (§ 10). Zudem stellt sich die Frage, ob und wie diese Konflikte gelöst werden können.

B. Ähnliche Ausgangslage Privatheit wird sowohl in Europa als auch in den USA geschätzt und hat eine starke Bedeutung für das Individuum: In beiden Rechtsordnungen bestimmt sich Privatheit durch einen gewissen Grad an Freiheit vor der Einmischung Dritter und des Staates und eine gewisse Intensität an Autonomie, eigene Entscheidungen im Leben zu treffen.230 Die Verletzung der Würde eines Menschen oder auch seines Rufes werden sowohl in Europa als auch in den USA problematisch gesehen.231 Wenn eine Regierung in den Besitz von Daten über Individuen gelangt, fühlen sowohl Amerikaner als auch Europäer eine Bedrohung für ihre Privatheit.232 Obwohl es sicherlich Unterschiede zwischen amerikanischer und europäischer Heran­ gehensweise zur Privatheit gibt, sollten bedeutende Gemeinsamkeiten nicht aus dem Blick verloren werden.233 Als Privatheit im Zeitalter der Informationstechnologie erstmals auf die Agenda von politischen Entscheidungsträgern kam, beschäftigte sich die amerikanische Seite in gleichem Maße wie die europäische mit diesem Problem, sodass es auch zu einer Beeinflussung des europäischen Datenschutzrechts durch amerikanisches Recht sowie Politik kam.234 Vor dem Hintergrund der automatisierten Verarbeitung von personenbezogenen Daten wurden nämlich zuerst in den USA Forderungen nach einer gesetzlichen Regelung laut.235 Erste Gesetze zum Datenschutz 230 Bignami, B. C. L.Rev. 48 (2007), 609 (680); siehe auch S. 682 ff. für Ausführungen zur ähnlichen Ausgangslage in Europa und den USA. 231 Vgl. Solove, Understanding privacy, S. 186. 232 Bignami, B. C. L.Rev. 48 (2007), 609 (680). 233 So Solove, Understanding privacy, S. 186. 234 So Bignami, B. C. L.Rev. 48 (2007), 609 (682) mit Verweis auf Westin, Privacy and Freedom, S. 3 als eine der ersten systematischen Abhandlungen über den Einfluss von Computern auf die Privatsphäre. 235 Simitis, in: Simitis, BDSG, 8. Aufl. 2014, Einleitung Rn. 1; vgl. zu den ersten Bestrebungen in den USA insb. Miller, Der Einbruch in die Privatsphäre, S. 29 ff.

§ 9 Ursachen für unterschiedlichen Datenschutz

237

erfolgten in zeitlicher Nähe. Am 30. September 1970 wurde mit dem Hessischen Datenschutzgesetz das weltweit erste Datenschutzgesetz verabschiedet.236 Anders als in Hessen waren die Bestrebungen in den USA zunächst auf einzelne Sektoren und vor allem auf den Kreditsektor gerichtet, sodass einen knappen Monat nach dem Hessischen Datenschutzgesetz am 26. Oktober 1970 mit dem Fair Credit Reporting Act das erste amerikanische Datenschutzgesetz verabschiedet werden konnte.237 Neben sektorspezifischen Regelungen gab es zudem Bestrebungen für umfassendere Regelungen: Im Jahr 1973 veröffentlichte das Department of Housing, Education, and Welfare einen einflussreichen Bericht über Datenbanken der Regierung mit personenbezogenen Daten und empfahl – um dem öffentlichen Misstrauen entgegenzuwirken  –, dass alle Regierungsabteilungen einen Verhaltenskodex im Umgang mit personenbezogenen Daten (Code of Fair Information Practices) befolgen sollten.238 Viele der Regelungen aus dem Verhaltenskodex wurden kurze Zeit später in den Privacy Act of 1974 inkorporiert.239 Die amerikanischen Prinzipien zum Datenschutz schlugen sich zudem in den OECD Guide­ lines von 1980 nieder.240 Ferner hat der Bericht des Department of Housing, Education, and Welfare die europäische DSRL beeinflusst.241 Die ersten Datenschutzgesetze in Europa und den USA wiesen somit bemerkenswerte Gemeinsamkeiten auf.242 Dies wird in einer Studie von Bennett über den Datenschutz in den Vereinigten Staaten, Schweden, Deutschland und dem Vereinigten Königreich belegt, wonach das „Problem“ des Datenschutzes im Zeitalter der Informationstechnik in allen vier Ländern ähnlich und durch folgende Gründe erklärbar sei: Zunächst sei eine humanistische Dimension relevant, die die Würde des Einzelnen gegen die befremdlichen Aspekte der Massengesellschaft und Informationstechnologie schütze; zudem eine politische Dimension, die dafür vorgesehen sei, einen tyrannischen Staat davon abzuhalten, Informationstechnologie und personenbezogene Informationen als Mittel zur Unter­ drückung zu nutzen und des Weiteren eine instrumentelle Dimension, um andere Werte wie Gleichheit und Genauigkeit, die nicht im Zusammenhang mit der Privatsphäre stehen, voranzubringen.243 Bennett entdeckte ebenso Ähnlichkeiten in den jeweiligen nationalen Gesetzen, obwohl die Staaten auf ihre eigene interne Politik und institutionelle Angelegenheiten reagierten und sich Unterschiede nur

236

GVBl. I 1970, 625. Simitis, in: Simitis, BDSG, 8. Aufl. 2014, Einleitung Rn. 1. 238 Siehe Solove/Schwartz, Privacy, information, and technology, S. 35 f. sowie insb. S. 301 ff. 239 Solove, Understanding privacy, S. 186; Bignami, B. C. L.Rev. 48 (2007), 609 (682). 240 Siehe Rotenberg, Stan. Tech. L. Rev 2001, 1 (14 ff.); Solove, Understanding privacy, S. 186; Solove/Schwartz, Privacy, information, and technology, S. 304. 241 Vgl. Solove, Understanding privacy, S. 186 f. 242 Sie dazu und den folgenden Ausführungen Bignami, B. C. L.Rev. 48 (2007), 609 (682 f.). 243 Bennett, Regulating privacy – Data protection and public policy in Europe and the United States, S. 22–37; Zusammenfassung der genannten Gründe durch Bignami, B. C. L.Rev. 48 (2007), 609 (683). 237

238

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

in der Art der Umsetzung erkennen ließen, mit der die Datenschutzziele verfolgt werden sollten.244 Die Konzentration bei den rechtlichen Regelungen lag auf dem öffentlichen Sektor, wobei im Gegensatz zum US Privacy Act in Europa auch der private Sektor mit geregelt wurde.245 Die Regelung des privaten Sektors wurde jedoch eher als „nachträglicher Einfall“ in die Gesetzgebung eingefügt, da damals der Akteur mit den Ressourcen, der Technologie und den Motiven große Mengen an personenbezogenen Daten zu verarbeiten, gerade der Staat war.246 Jedoch wurde auch in den USA im Rahmen der Verhandlungen zum Privacy Act of 1974 ein allumfassendes Datenschutzgesetz, das sowohl den öffentlichen als auch den privaten Sektor miteinschließt, diskutiert.247 Somit ist den Anfangsjahren der Datenschutzgesetzgebung eine ähnliche Ausgangslage sowohl in Europa als auch in den USA zu erkennen. Diese Initiativen gingen auf entsprechende Befürchtungen zurück, die jeweils in möglichen Eingriffen des Staates in die Privatheit des Individuums ihren Ursprung hatten und gerade durch den informationstechnischen Fortschritt in stärkerem Maße als zuvor ins Bewusstsein gerieten. Fraglich ist, warum nach einem anfänglichen zumindest ähnlichen Ausgangsverständnis für die Probleme, die mit der informationstechnischen Entwicklung einhergingen, sich unterschiedliche Lösungen entwickelt haben und warum gerade die jeweils bestehende Art, Datenschutz zu regeln, vorgenommen wurde.

C. Gründe für die vorgenommenen Regelungen in der EU I. Bestehende Be- und Empfindlichkeiten im Umgang mit Daten und Datenschutz in der EU Ein Grund für die vorgenommenen rechtlichen Regelungen könnten bestehende Be- und Empfindlichkeiten im Umgang mit Daten sein, die sich in rechtlichen Regelungen widerspiegeln. 244

Bignami, B. C. L.Rev. 48 (2007), 609 (683) mit Verweis auf Bennett. Zu den Hintergründen in den jeweiligen Ländern siehe Bennett, Regulating privacy – Data protection and public policy in Europe and the United States, S. 45–94, eine Ausnahme bilde dabei jedoch das Vereinigte Königreich; für eine Übersicht der Unterschiede in den Datenschutzgesetzen der jeweiligen Län­ der siehe ders. S. 95–152; für eine Übersicht der Umsetzung siehe für Schweden S. 161–170; für die USA S.  170–179, für Deutschland S.  179–185 und für das Vereinigte ­König­reich S. 185–192. 245 Bignami, B. C. L.Rev. 48 (2007), 609 (683). 246 So Bignami, B. C. L.Rev. 48 (2007), 609 (683). 247 Siehe dazu Schwartz, Yale L. J. 118 (2009), 902 (910 f.) mit Verweis auf den Entwurf des Privacy Act 1974 (Senate Bill 3418 (S. 3418)).

§ 9 Ursachen für unterschiedlichen Datenschutz

239

1. Der Zusammenhang zwischen rechtlichen Regelungen und Positionen Wie Menschen zum Umgang mit Daten und dem Thema Datenschutz stehen, könnte sich in rechtlichen Regelungen widerspiegeln. Es bestehen – grob unterteilt – entweder keine, sektorielle oder umfassende Regelungen zum Datenschutz. Die Positionen, die in der Bevölkerung vorherrschen, könnten somit vom Gesetzgeber aufgegriffen werden und in rechtlichen Regelungen Ausdruck finden. Genauso kann der Gesetzgeber entscheiden, eine vorherrschende Meinung zu berücksichtigen und eine rechtliche Regelung nicht vorzunehmen. Jedoch muss sich nicht zwingend eine bestehende Position zu einem Thema in rechtlichen Regelungen niederschlagen. Jedoch mag es nicht nur möglich sein, dass in der Gesellschaft vorherrschende Meinungen vom Gesetzgeber aufgegriffen werden und sich daraufhin in Normen wiederfinden. Es könnte auch die Möglichkeit bestehen, dass die einmal getroffenen rechtlichen Regelungen die Positionen zum Umgang mit Daten wiederum beeinflussen und diese verstärken. Daran ist bspw. zu denken, wenn eine Regelung ein bestimmtes Vorgehen normiert: Wenn eine solche Normierung existiert, wird diese möglicherweise als Standard dafür wahrgenommen, wie ein Umgang mit einem bestimmten Sachverhalt zu erfolgen hat.248 Eine Position zum Umgang mit Daten kann sich jedoch auch ändern. Dies kann entweder plötzlich, vor allem aber graduell erfolgen. Zu einer plötzlichen Änderung einer Position könnte es kommen, wenn sich ein bestimmtes Ereignis – bspw. ein handfester „Skandal“ im Umgang mit Daten – ereignete. Eine Position zum Umgang mit Daten wird sich dadurch aber womöglich nur geringfügig ändern, da die Position zum Umgang mit Daten über Jahrzehnte hinweg gefestigt wurde. Zu einer graduellen Änderung der Positionen könnte es hingegen durch den Einfluss einer anderen Rechtsordnung kommen, indem die eine Rechtsordnung ihre Position zum Umgang mit Daten und Datenschutz beharrlich vertritt, sodass sich im Ergebnis der Umgang mit Daten und die Position zum Thema Datenschutz tatsächlich ändert.249 Somit ist ein Einfluss von Be- und Empfindlichkeiten bzw. Positionen auf rechtliche Regelungen sowie auch andererseits der Einfluss von bestehenden Regelungen auf Be- und Empfindlichkeiten zumindest denkbar.

248 Ähnlich auch Bennett, Regulating privacy – Data protection and public policy in Europe and the United States: „We have intuitions that are shaped by the prevailing legal and social values of the societies in which we live. In particular, we have […] juridified intuitions – intuitions that reflect our knowledge of, and commitment to, the basic legal values of our culture.“ 249 Siehe bspw. zur Anpassung von US-Unternehmen an Standards in der EU Bradford, Northwestern University Law Review 107 (2012), 1 (22 ff.).

240

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

2. Unterschiedliche Hintergründe innerhalb der EU Eine pauschalisierte Betrachtung, wie die EU zum Thema Umgang mit Daten steht und welche Be- und Empfindlichkeiten dabei vorliegen, ist nicht möglich. Eine solche Betrachtung gestaltet sich schon allein auf Grund der geographischen Trennung (Vereinigtes Königreich und Irland einerseits, Kontinentaleuropa andererseits) sowie der unterschiedlichen politischen Hintergründe und der jahrzehntelangen politischen Trennung (EU 15 und die meisten neuen Mitgliedstaaten der EU 28) schwierig. Zumindest in Westeuropa mag zwar das Bewusstsein für die durch die zunehmende informationstechnische Entwicklung bedingten Gefahren für die Privatheit ähnlich sein,250 für die ehemals kommunistisch geprägten Staaten lassen sich diesbezüglich jedoch keine derartigen Aussagen treffen. Sogar innerhalb der ehemaligen EU 15 bestanden lange Zeit verschiedene Datenschutzregelungen, die von nicht vorhandenen Datenschutzregelungen (bspw. Italien) bis hin zu umfassenden Datenschutzregelungen (bspw. Frankreich) reichten.251 Somit ist bereits fraglich, ob Be- und Empfindlichkeiten im Umgang mit Daten in der EU tatsächlich eine Aussage darüber geben können, warum in der EU der Datenschutz in der vorliegenden Weise umfassend geregelt ist. 3. Der Einfluss der DSRL und weiterer EU-Regelungen zum Datenschutz Durch die Verabschiedung der DSRL und ihrer Umsetzung in nationales Recht mag es jedoch zu einer schrittweisen Angleichung der unterschiedlichen Be- und Empfindlichkeiten kommen und bereits gekommen sein. Zwar konnte sich dies selbstverständlich nicht mit der Umsetzung in nationales Recht sofort verwirklichen, jedoch kann die Umsetzung das Bewusstsein für Daten und Datenschutz fördern und schrittweise zu einer Annäherung der unterschiedlichen Be- und Empfindlichkeiten innerhalb der EU führen. Jedoch ist auch zu berücksichtigen, dass selbst die DSRL noch einen weiten Umsetzungsspielraum für das nationale Recht belässt.252 Mit den von der EU-Kommission geplanten neuen Regelungen zum Datenschutz und der gewählten Rechtsform der Verordnung wird es zumindest rechtlich zu weiteren Angleichungen kommen, die sich mit der Zeit auch in den Be- und 250 Dazu Bennett, Regulating privacy – Data protection and public policy in Europe and the United States, S. 45–94. 251 Siehe zu einem sich daraus ergebenden Konflikt bei der Übermittlung von Arbeitnehmerdaten zwischen Frankreich und Italien Kuner, OECD Digital Economy Papers, No. 187 2011 (16) sowie Kuner, Transborder data flows and data privacy law, S. 40 f. mit w. Nachw. 252 Dazu mit Beispielen aus den Mitgliedstaaten für den Fall, dass die Kommission noch keine umfassende Angemessenheitsentscheidung getroffen hat Korff European Commission Directorate-General Justice (Hrsg.), Comparative Study on Different Approaches to New­ Privacy Challenges, 2010, S. 92 ff.; siehe auch Kuner, Transborder data flows and data privacy law, S. 44 m. w. Nachw.

§ 9 Ursachen für unterschiedlichen Datenschutz

241

Empfindlichkeiten zum Umgang mit Daten niederschlagen könnten. Dabei könnte es einerseits – wie es auf den ersten Blick plausibel erscheint – stetig zu einem stärkeren Bewusstsein zum Umgang mit Daten kommen, andererseits eventuell auch zu einem Abnehmen des Bewusstseins, da auch Länder mit einem eigentlich höheren Datenschutzniveau das Niveau der DSGVO als geltendes Recht annehmen. In rechtlicher Hinsicht ist somit eine gewisse Einheitlichkeit erkennbar, wie die EU zum Thema Umgang mit Daten steht, in tatsächlicher Hinsicht zeigt sich dies bereits und wird sich mit der Zeit noch weiter herauskristallisieren. In dem Bewusstsein, dass es nicht möglich sein wird, in allen 28 Mitgliedstaaten der EU identische Be- und Empfindlichkeiten im Umgang mit Daten festzustellen und vor dem Hintergrund, dass es seit der Verabschiedung der DSRL 1995 bereits zu einer graduellen Annäherung gekommen ist, soll der Versuch unternommen werden, dennoch auf erkennbare Be- und Empfindlichkeiten im Umgang mit Daten in der EU einzugehen. 4. Be- und Empfindlichkeiten im Umgang mit Daten in der EU Es herrscht sowohl in den USA als auch in der EU ein Bewusstsein dafür, dass Privatheit einen gewissen Schutz bedarf und dass es Wege und Herangehens­ weisen gibt und geben muss, wie mit Daten umgegangen werden sollte. Die Ansicht, wie mit Daten umgegangen werden sollte, ist zunächst stets eine persönliche Angelegenheit und unterscheidet sich von Individuum zu Individuum. Es ist fraglich, ob sich gewisse Grundtendenzen bzw. Leitlinien erkennen lassen, wie in verschiedenen Staaten und Rechtsordnungen Be- und Empfindlichkeiten im Umgang mit Daten und Datenschutz ausgeprägt sind. Mögliche Anhaltspunkte könnten dabei sein, wie auf bestimmte Vorkommnisse im Zusammenhang mit Datenverarbeitungen von Individuen oder auch Hoheitsträgern in einer Rechtsordnung reagiert wird. Bei der Beobachtung von Reaktionen auf Ereignisse im Zusammenhang mit Datenverarbeitungen ist es möglich, dass diese teilnahmslos zur Kenntnis genommen werden, eine gewisse Reaktion auf bestimmte Vorkommnisse erfolgt oder gar – auf Grund von Erfahrungen aus der Vergangenheit – eine bestimmte Re­ aktion bereits zu erwarten ist. Jedoch sind diese auf Beobachtungen zu stützenden Erkenntnisse stets auf ihren Aussagegehalt und ihre Verallgemeinerungsfähigkeit zu überprüfen. Es ist somit fraglich, ob sich aus der Beobachtung bestimmter Vorkommnisse im Zusammenhang mit Datenverarbeitungen bestimmte Rückschlüsse auf die jeweiligen Be- und Empfindlichkeiten zum Thema Umgang mit Daten ziehen lassen und diese wiederum Rückschlüsse für die vorgenommenen Regelungen bieten können. In der EU scheinen bei oberflächlicher Betrachtung die Be- und Empfindlichkeiten in Bezug auf den Umgang mit Daten besonders stark ausgeprägt zu sein. Das Thema „Umgang mit Daten“ bzw. Datenverarbeitung scheint oftmals Reaktionen von Individuen auszulösen. Diese Reaktionen scheinen vielfach nicht

242

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

in einer reinen Kenntnisnahme der Vorkommnisse zu bestehen, sondern in einer Haltung, die vom jeweiligen Datenverarbeitenden – sei es ein Akteur im privaten oder im öffentlichen Bereich – ein Tätigwerden einfordert. Das eingeforderte Tätigwerden scheint oftmals durch eine Beschränkung oder gar eine Einstellung der jeweiligen Datenverarbeitung bzw. durch eine Datenverarbeitung nach streng vorgegebenen Kriterien erfolgen zu müssen.253 Diese Reaktion auf bestimmte Vorkommnisse scheint jedoch nicht nur von Individuen, sondern auch von Hoheitsträgern selbst zu erfolgen. Auch hier gibt es Stimmen, die in der EU oftmals eine (Selbst-)Beschränkung von Datenverarbeitung durch Akteure im privaten Bereich fordern.254 Eine weitere Reaktion auf bestimmte Vorkommnisse, die die Be- und Empfindlichkeiten widerspiegeln könnten, ist das Einfordern eines Tätigwerdens durch Hoheitsträger. Ein solches Tätigwerden wird einerseits gefordert, um ein bestimmtes Verhalten von Konzernen im Umgang mit Daten zu unterbinden. Die gewünschte Reaktion des Hoheitsträgers scheint dabei vor allem durch regulatives Tätigwerden – und nicht nur durch Selbstregulierung – erfolgen zu müssen, um Datenverarbeitungen zu unterbinden oder zumindest nur unter bestimmten Voraussetzungen zu erlauben.255 Andererseits fordern Individuen oftmals, dass der Staat sich selbst im Umgang mit Daten einschränken sollte und werden dabei auch von Abgeordneten verschiedener in Parlamenten vertretener Parteien unterstützt.256 Das jeweils gewünschte Tätigwerden scheint vor allem das Ziel zu haben, Kontrolle über die eigenen Daten zu behalten und eine Verarbeitung nur in bestimmten  – 253 Im privaten Bereich siehe bspw. die in europaweit in fünf Sprachen erfolgende Initiative „Europe versus Facebook“ (www.europe-v-facebook.org) in Bezug auf den Umgang des Unternehmens mit Daten; im öffentlichen Bereich siehe bspw. die vom Arbeitskreis Vorratsdatenspeicherung (http://www.vorratsdatenspeicherung.de) initiierte „Größte Verfassungsbeschwerde aller Zeiten“ gegen die Vorratsdatenspeicherung; aus der Presse dazu Spiegel online, Vorratsspeicherung: 30.000 klagen in Karlsruhe – größte Verfassungs-Beschwerde aller Zeiten, 31.12.2007, http://www.spiegel.de/netzwelt/web/vorratsspeicherung-30-000-klagen-in-karlsruhe-groessteverfassungs-beschwerde-aller-zeiten-a-525970.html (zuletzt geprüft am 15.03.2015). 254 So bspw. die Initiative des damaligen Bundesinnenministers Friedrich, Facebook und Google durch Selbstverpflichtungen zu mehr Datenschutz zu bewegen, die nach dessen Scheitern auf europäischer Ebene weiter verfolgt werden soll, dazu Bundesministerium des Innern, Pressemitteilung: „Die Verweigerungshaltung von Facebook und Google ist bedauerlich!“, 06.05.2013. 255 Siehe dazu bspw. den offenen Brief an den Bundesinnenminister, der u. a. von einer Vielzahl an Bürgerrechtsorganisationen, aber auch vom Deutschen Journalistenverband bzw. dem Chaos Computer Club unterzeichnet wurde: https://petition.digitalcourage.de/digitalcourage/ IM-briefen (zuletzt geprüft am 15.03.2015). 256 Siehe bspw. die Verfassungsbeschwerde gegen die Vorratsdatenspeicherung, oben Fn. 253 sowie u. a. die Reaktionen der Bundesjustizministerin Leutheusser-Schnarrenberger, dazu bspw. Leutheusser-Schnarrenberger, ZRP 2007, 9 oder die Aktion gegen die Speicherung von PNRDaten (http://www.nopnr.org/) oder auch die negativen Reaktionen zu einem Gesetz zur Fort­ entwicklung des Meldewesens (MeldFortG), dazu bspw. der grüne Landtagsabgeordnete in Sachsen Johannes Lichdi, http://www.gruene-fraktion-sachsen.de/politikfelder/datenschutz/melde daten.html m. w. Nachw (zuletzt geprüft am 15.03.2015).

§ 9 Ursachen für unterschiedlichen Datenschutz

243

vor allem selbstbestimmten – Fällen zu akzeptieren.257 Es scheint als wichtig erachtet zu werden, dass der Gesetzgeber bereits die Erhebung der Daten und dann auch eine darauffolgende Speicherung oder anderweitige Verarbeitung der Daten reglementiert. Beispiele, die diese Feststellungen verdeutlichen, gibt es – wie gezeigt – viele.258 Diese Beispiele betreffen sowohl den Umgang mit Daten durch private Akteure sowie auch durch Hoheitsträger. Im Bereich von privaten Akteuren sind interna­ tionale Konzerne wie Google oder Facebook in Betracht zu ziehen, die massenhaft Daten verarbeiten. Im Bereich von Hoheitsträgern könnten beispielhaft die Reaktionen in Deutschland auf Bestrebungen, eine Volkszählung durchzuführen, die Weitergabe von Meldedaten durch Einwohnermeldeämter an private Unternehmen, die Diskussion über die Vorratsdatenspeicherung, die Erhebung von PNRDaten oder SWIFT-Daten sowie – nochmals in einer völlig anderen und nicht zu vergleichenden Intensität – die Reaktionen auf die Vorgehensweisen des Ministeriums für Staatssicherheit der ehemaligen DDR angeführt werden. So scheinen sich die genannten Be- und Empfindlichkeiten auf den ersten Blick in rechtlichen Regelungen widerzuspiegeln. Die Gesetzgeber haben in der EU umfassende Gesetze zum Thema Datenschutz erlassen, die nicht auf einzelne Sektoren beschränkt sind, sondern über einzelne Sektoren hinaus umfassend Datenverarbeitungen im privaten und öffentlichen Bereich regeln. Fraglich ist jedoch, ob diese Betrachtung ein umfassendes Bild bieten kann. Die genannten Beispiele verdeutlichen nämlich nur punktuell bestimmte Reaktionen auf Probleme im Rahmen von Datenverarbeitungen. Genauso gut könnten der größten Verfassungsbeschwerde mit über 30.000 Klagen die Millionen von Bundesbürgern entgegengehalten werden, die keinerlei Bedürfnis gesehen zu haben scheinen, gegen die Vorratsdatenspeicherung vorzugehen oder diejenigen Stimmen, die die Vorratsdatenspeicherung für ein effektives Mittel der Strafverfolgung halten. Ebenso könnten den Kampagnen gegen Facebook die über 250 Millionen Facebook Nutzer allein in Europa gegenübergestellt werden.259 Wie anhand dieser Beispiele erkennbar, ist es schwer möglich, anhand von punktueller Betrachtung von Reaktionen auf bestimmte Datenverarbeitungen allgemeingültige Aussagen zu treffen. Möglicherweise ergeben sich solche aber durch die Auswertung bestehender Umfragen. Eine mögliche Erkenntnisquelle ist die von der EU-Kommission in Auftrag gegebene Umfrage „Special Eurobarometer 359 – Attitudes on Data Protection and 257 Siehe die Entscheidung des BVerfG zum Recht auf informationelle Selbstbestimmung, BVerfGE 65, 1 ff.; zum Recht auf informationelle Selbstbestimmung in der Informationsgesellschaft Schoch, in: Sachs, Der grundrechtsgeprägte Verfassungsstaat, 2012; sowie mit Bezug zu den USA Miller/Poscher, Frankfurter Allgemeine Zeitung 28.11.2013. 258 Siehe bereits oben Fn. 253 ff. 259 Siehe http://www.internetworldstats.com/stats4.htm (zuletzt geprüft am 15.03.2015), die bei einer Bevölkerung in Europa von 825.824.883, 250.934.000 Facebook-Nutzer nennt.

244

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

Electronic Identity in the European Union“ (Special Eurobarometer 359 – Einstellungen zum Datenschutz und Elektronischer Identität in der Europäischen Union), die im Juni 2011 veröffentlicht wurde.260 Die Umfrage wurde zwischen November und Mitte Dezember 2010 in 27 EU-Mitgliedstaaten durchgeführt; 26.574 Europäer über 15 Jahre wurden durch face-to-face-Interviews befragt.261 Neben anderen umfangreichen Ergebnissen lassen sich der Studie bspw. die folgenden Ergebnisse entnehmen:262 –– „Für 74 % der Europäer ist die Offenlegung personenbezogener Informationen ein zu­ nehmender Teil des modernen Lebens.“; –– „Die Nutzer sozialer Netzwerke und Tauschbörsen sind eher zur Offenlegung ihres Namens (79 %), Fotos (51 %) und Nationalität (47 %) bereit.“; –– „43 % der Internet-Nutzer sagen, dass von ihnen mehr persönliche Daten als notwendig verlangt wurden, wenn sie den Zugang oder die Nutzung eines Online-Dienstes beantragten.“; –– „Die Mehrheit der Europäer ist wegen der Erfassung ihres Verhaltens mittels Zahlungskarten (54 % iVgl. zu 38 %), Mobiltelefonen (49 % iVgl. zu 43 %) oder des mobilen Internets (40 % iVgl. zu 35 %) besorgt.“; –– „Fast sechs von zehn Internet-Nutzern lesen für gewöhnlich die Datenschutzerklärungen (58 %) und die Mehrheit derer, die sie lesen, passen ihr Verhalten im Internet an (70 %).“; –– „Nur ein Drittel der Europäer (33 %) ist sich der Existenz einer nationalen öffentlichen Behörde, die für den Schutz ihrer Rechte in Bezug auf ihre personenbezogenen Daten zuständig ist, bewusst.“; –– „Etwas mehr als ein Viertel der Nutzer sozialer Netzwerke (26 %) und sogar noch weniger Online-Käufer (18 %) haben den Eindruck, die vollständige Kontrolle über ihre Daten zu haben.“; –– „Zum Schutz ihrer Identität im täglichen Leben geben 62 % der Europäer die minimal erforderlichen Informationen an.“; –– „Behörden und Institutionen  – einschließlich der Europäischen Kommission und des Europäisches Parlaments (55 %) – genießen ein höheres Vertrauen als Handelsunternehmen.“; 260 European Commission, Special Eurobarometer 359  – Attitudes on Data Protection and Electronic Identity in the European Union, 2011; Zusammenfassung sowie Darstellung der grundlegenden Ergebnisse auf Deutsch abzurufen auf der Webseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit unter http://www.bfdi.bund.de/DE/Europa UndInternationales/Eurobarometer.html?nn=408914 (zuletzt geprüft am 15.03.2015). 261 European Commission, Special Eurobarometer 359  – Attitudes on Data Protection and Electronic Identity in the European Union, 2011, S. 9. 262 Dazu und zum Folgenden European Commission, Special Eurobarometer 359 – Attitudes on Data Protection and Electronic Identity in the European Union, 2011, S. 1–3 mit weiteren Ergebnissen der Umfrage; die hier genutzte Übersetzung auf Deutsch ist abzurufen auf der Webseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit unter http:// www.bfdi.bund.de/DE/EuropaUndInternationales/Eurobarometer.html?nn=408914 408914 (zuletzt geprüft am 15.03.2015).

§ 9 Ursachen für unterschiedlichen Datenschutz

245

–– „Weniger als ein Drittel vertrauen Telefongesellschaften, Mobilfunkunternehmen und Internetdienstanbietern (32 %) und nur etwas mehr als ein Fünftel vertrauen Internetunternehmen wie Suchmaschinen, sozialen Netzwerkseiten und E-Mail Dienstleistungen (22 %).“; –– „70 % der Europäer befürchten, dass ihre persönlichen, den Unternehmen vorliegenden Daten für einen anderen Zweck als den, für den sie gesammelt wurden, verwendet werden könnten.“; –– „In Bezug auf das ‚Recht, vergessen zu werden‘, will eine klare Mehrheit der Europäer (75 %) persönliche Informationen auf einer Website löschen, wann immer sie sich dazu entscheiden.“; –– „Auch wenn sich eine Mehrheit der europäischen Internet-Nutzer für den sicheren Umgang mit ihren persönlichen Daten selbst verantwortlich fühlt, sind fast alle Europäer für gleiche Datenschutzrechte in der gesamten EU (90 %).“; –– „Auf die Frage, welche Art von Verordnungen einzuführen sind, um zu verhindern, dass Unternehmen die persönlichen Daten von Personen ohne deren Wissen nutzen, sind die meisten Europäer der Ansicht, dass solche Unternehmen mit einer Geldstrafe belegt werden sollten (51 %), dass ihnen die Verwendung solcher Daten in Zukunft verboten werden sollte (40 %), oder dass sie zur Entschädigung der Opfer gezwungen werden müssen (39 %).“; –– „Eine Mehrheit glaubt, dass ihre persönlichen Daten in großen Unternehmen besser geschützt wären, wenn diese Unternehmen verpflichtet wären, einen Datenschutzbeauftragten [zu] haben (88 %).“; –– „Bezüglich der Umstände, unter denen die Polizei Zugang zu persönlichen Daten haben sollte, gehen die Meinungen der Europäer auseinander. Im Gegensatz dazu sind sich fast alle einig, dass Minderjährige vor der Offenlegung ihrer persönlichen Daten geschützt (95 %) und gewarnt (96 %) werden sollten; und eine große Mehrheit befürwortet den besonderen Schutz genetischer Daten (88 %).“.

Die dargestellten Ergebnisse der breit angelegten Umfrage könnten bestimmte Rückschlüsse zur Einstellung der Europäer zum Thema Umgang mit Daten und Datenschutz geben. So fasst die EU-Kommission die Studie wie folgt zusammen: „Schließlich lassen sich anhand der Umfrage beträchtliche Unterschiede hinsichtlich der Einstellung zur Preisgabe persönlicher Daten ausmachen: Jüngere Menschen sehen diese entspannter als die ältere Generation und haben weniger datenschutzrechtliche Bedenken.“.263 Pauschale Rückschlüsse aus der Umfrage sind jedoch verfehlt und von einer Überhöhung der Aussagekraft der Ergebnisse ist Abstand zu nehmen. So ist zu berücksichtigen, dass die Umfrage nur für konkrete, punktuelle Fragen Rückschlüsse, mitunter auch beträchtlichen Erkenntnisgewinn erlaubt, aber keine Darstellung der Einstellung der Europäer zum Umgang mit Daten und Datenschutz im Allgemeinen liefern kann. 263 Siehe dazu Europäische Kommission, Pressemitteilung  – Datenschutz: Online-Daten­ austausch in Europa laut aktueller Umfrage von Sorgen um Privatsphäre begleitet, 16.06.2011, http://europa.eu/rapid/press-release_IP-11-742_de.htm (zuletzt geprüft am 15.03.2015).

246

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

Auch ist die Aussagekraft solcher Umfragen generell zu hinterfragen. So ist es in Bezug auf Telefonumfragen zur Einstellung zu Daten und Datenschutz möglich, dass nur diejenigen Personen auch befragt werden können, deren Nummer öffentlich zugänglich ist und somit diejenigen nicht befragt werden können, denen ihre Privatheit so wichtig ist, dass sie dafür sorgen, dass die Nummer nicht zugänglich ist bzw. nicht kommerziell genutzt werden darf.264 Manche Umfragen im Internet erreichen nur diejenigen Personen, die das Internet auch nutzen und sich darüber hinaus noch dazu bereit erklären, an einer Umfrage teilzunehmen.265 Manche Umfragen werden von Bürgerrechtsorganisationen durchgeführt und erreichen somit auch nur die Personen, die sich dafür interessieren und entsprechende Webseiten besuchen und in der Auswertung eine positivere Einstellung zum Thema Datenschutz aufzeigen. Auch nehmen nur die Personen bei einer auf der Straße durchgeführten Befragung teil, die dies möchten, sodass – zumindest in Bezug auf das Thema Privatheit und Datenschutz – die tatsächliche Aussagekraft in Frage steht. Dies mag selbst dann gelten, wenn offiziell von einer „repräsentativen Umfrage“ gesprochen werden könnte. Zudem scheint die Art der Fragestellung Einfluss auf die Antworten zu haben. Eine Bezugnahme in der Fragestellung auf „Bedrohungen für die Privatheit“ anstatt auf „besorgt um die Privatheit“ änderte bspw. die Ergebnisse von durchgeführten Umfragen in bedeutender Weise.266 Schließlich ist jede Umfrage im Zusammenhang mit dem Zeitpunkt zu sehen, an dem sie durchgeführt worden ist und oftmals nur eine Momentbetrachtung. Eine Umfrage wie der dargestellte Eurobarometer würde möglicherweise andere Ergebnisse auf­ zeigen, wäre sie direkt nach einem einschneidenden Ereignis wie der NSA-Affäre durchgeführt worden. In Bezug auf den Umgang mit Daten und Datenschutz in Europa kann somit keine generelle Aussage darüber getroffen werden, wie in Europa der Umgang mit Daten und Datenschutz gesehen wird. Dies scheint stets eine individuelle Entscheidung zu sein. Folglich scheint es auch schwer zu rechtfertigen, pauschal einen Grund für die vorgenommenen umfassenden rechtlichen Regelungen zum Datenschutz in bestehenden Be- und Empfindlichkeiten im Umgang mit Daten zu sehen, die sich in rechtlichen Regelungen widerspiegeln. II. Die Bedeutung der „Würde“ in Europa Ein weiterer Erklärungsversuch, der dazu beitragen könnte, zu verdeutlichen, warum in der EU in der bestehenden Weise Regelungen zum Datenschutz erlassen werden, könnte sich aus einem Aufsatz von Whitman ergeben. Whitman unternimmt in seinem Aufsatz „The Two Western Cultures of Privacy: Dignity Versus 264

Vgl. Heisenberg, Negotiating privacy, S. 40. So Heisenberg, Negotiating privacy, S. 40 mit Beispielen. 266 Heisenberg, Negotiating privacy, S. 40 mit einem Beispiel aus einer Studie, in der anstatt von „concerned“ von „threats“ gesprochen wurde. 265

§ 9 Ursachen für unterschiedlichen Datenschutz

247

Liberty“ eine Analyse vor, die sich auf Privatheit allgemein bezieht, dessen Erklärungsansätze sich jedoch auch auf den Umgang mit Daten und Datenschutz als einen Teil der Privatheit übertragen lassen könnten.267 Der Schutz von Privatheit in Europa sei demzufolge im Kern der Schutz von Respekt und persönlicher Würde, der sich in seinen verschiedenen Ausprägungen (eigenes Bild, Name, Ehre, Daten) stets darauf beziehe, das eigene Erscheinungsbild nach eigenen Vorstellungen in der Öffentlichkeit zu kontrollieren.268 Dies sei nicht nur in Bezug auf den Schutz von Privatheit so, sondern sei typisch für die Konzeption von Recht in Europa im weiteren Sinne: In Europa sei der Schutz der persönlichen Würde seit Generationen prägend.269 Die Gründe für den Schutz von Respekt, Würde und auch persönlicher Ehre seien nicht  – wie oftmals angeführt  – in einer Reaktion auf den Faschismus des Dritten Reiches zu sehen, sondern seien – so Whitman – bereits im 17. und 18. Jahrhundert zu suchen: So sei der in Europa heute vorzufindende Würdeschutz das Ergebnis einer jahrhundertelangen, langsam reifenden Revolte gegen Statusprivilegien von höheren Klassen, die bis ins 20. Jahrhundert hinein im Gegensatz zu niedrigeren Klassen ihre „persönliche Ehre“ vor Gericht verteidigen konnten.270 Mit der Zeit sei es nicht mehr akzeptabel gewesen, dass nur noch gewisse Personen „Würdeschutz“ einfordern konnten und eine große soziale Wandlung in Europa habe in der Folge dazu geführt, dass diese Rechte nun nicht mehr nur von hochrangigen oder wohlhabenden Personen geltend gemacht werden konnten, sondern jedermann eine rechtliche Möglichkeit zur Durchsetzung erhalten sollte.271 Insbesondere Deutschland und Frankreich seien Schauplatz dieser – von Whitman als „leveling up“ bezeichneten – Ausweitung von historisch lediglich hohen Klassen vorbehaltenen Statusnormen auf die gesamte Bevölkerung.272 Diese Statusangleichung ist laut Whitman zu einem großen Teil  auch während des Dritten Reiches erfolgt, da dort bspw. gleiche Ehre für „Deutsche“ unabhängig von ihrem vorherigen sozialen Status versprochen worden sei.273 Des Weiteren sei auch in der Folge die Bedeutung des Persönlichkeitsrechts in Deutschland keine Reaktion auf den Zweiten Weltkrieg und erst danach geprägt worden, sondern bereits im Dritten Reich angekündigt worden: Deutsche, die während des Dritten Reiches ein auf „Ehre“ beruhendes Selbstgefühl vermittelt bekommen hätten, sollten dieses nach dem Krieg auf „Würde“ gründen.274 Dagegen wenden sich zu Recht Peifer/Schwartz und sehen die Akzeptanz von Persönlichkeitsinte 267 Whitman, Yale L. J. 113 (2003/2004), 1151. Genannt werden dabei als Kern des Privatheitsschutzes das Recht am eigenen Bild, das Namensrecht, der Ehrschutz sowie explizit das Recht auf informationelle Selbstbestimmung. 268 Whitman, Yale L. J. 113 (2003/2004), 1151 (1161). 269 Whitman, Yale L. J. 113 (2003/2004), 1151 (1161): „On the Continent, the protection of personal dignity has been a consuming concern for many generations.“ 270 Whitman, Yale L. J. 113 (2003/2004), 1151 (1165 f.). 271 Whitman, Yale L. J. 113 (2003/2004), 1151 (1166). 272 Whitman, Yale L. J. 113 (2003/2004), 1151 (1166) mit Verweis auf den französischen­ Soziologen Philippe d’Iribarne und sein Werk „Vous serez tous des Maîtres“. 273 Siehe Whitman, Yale L. J. 113 (2003/2004), 1151 (1166) m. w. Nachw. 274 Whitman, Yale L. J. 113 (2003/2004), 1151 (1180–1189, insbesondere 1188).

248

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

ressen als bedeutende Reaktion auf die Schreckensherrschaft der Nazis.275 Gerade die Nazis missachteten die Würde von Millionen von Menschen zutiefst, sodass eine Entwicklung des Würdeschutzes auch während des Zweiten Weltkriegs fernliegend ist. Zusammenfassend wird Privatheitsschutz in Kontinentaleuropa jedoch von Whitman als paradigmatisches Beispiel einer Generalisierung von Normen gesehen, die ursprünglich an einen höheren Stand gerichtet waren und nun auf die breite Bevölkerung ausgeweitet sind; in seinen Worten: „What the continental law of privacy expresses is the fundamental social importance of a commitment to extend royal treatment to everyone.“276 Da das eigene Ansehen in der Öffentlichkeit, die von Whitman genannte Bedeutung für das Individuum zu haben scheint, müsste dieses Konzept auch für den Umgang mit Daten und den Datenschutz als ein Teilaspekt der Privatheit anzuwenden sein.277 Fraglich ist jedoch, ob diese Bedeutung von Würdeschutz mit dem in Europa vorherrschenden Verständnis im Einklang steht. Der Aspekt der Würde spielt in Europa zweifelslos eine bedeutende Rolle. Ob die Bedeutung der Würde in Europa jedoch – wie der Aufsatz von Whitman suggeriert – über Jahrhunderte gewachsen und das Ergebnis einer reifenden Revolte gegen Statusprivilegien ist, ist fraglich. Das eigene Erscheinungsbild nach eigenen Vorstellungen in der Öffentlichkeit zu kontrollieren278 ist zwar durchaus ein Aspekt, der mit der Bedeutung der Würde in Europa im Einklang steht. Jedoch scheint das von Whitman verstandene Konzept des Würdeschutzes insgesamt eher auf eine persönliche Würde – im Sinne der eigenen Ehre – zu rekurrieren, wobei in der EU die Würde vor allem als Menschenwürde, als Respekt für den individuellen Wert einer jeden Person als Mensch zu verstehen ist.279 Whitman ist somit Recht zu geben, dass Würdeschutz in Europa eine sehr bedeutende Rolle spielt, der Würdeschutz jedoch in erster Linie nicht in der Weise verstanden wird, wie er von ­Whitman dargestellt wird.280 Dass der Würdeschutz seit dem Ende des Zweiten Weltkriegs in Europa bzw. dem Ende autoritärer Regime wie in Spanien unter Franco äußerst bedeutsam ist, ist unbestritten. Dies zeigt sich heutzutage bspw.

275

Schwartz/Peifer, California Law Review 98 (2010), 1925 (1949). Whitman, Yale L. J. 113 (2003/2004), 1151 (1169 f.): Als Beispiele können die in früherer Zeit ausgefochtenen Duelle mit dem Degen nach Herabsetzung des eigenen Bildes in der­ Öffentlichkeit und die jetzt möglichen Klagen wegen Verletzung des Persönlicheitsrecht gesehen werden. 277 Siehe dazu Whitman, S. 1170 f.: „Control of one’s ‚image‘, […], now includes more than everybody’s right to keep one’s names out of the newspapers. It also includes everybody’s right to control the use of one’s consumer data and the like, everybody’s right to privacy in the workplace, everybody’s right (if one should need it) to respectful imprisonment, and more. Continental privacy law is, as it were, ‚society‘ privacy for everybody.“ 278 Whitman, Yale L. J. 113 (2003/2004), 1151 (1161). 279 So Kuner, The Transatlantic Divide Over Data Privacy Rights, 20.05.2013, https://www. privacyassociation.org/privacy_perspectives/post/the_transatlantic_divide_over_data_privacy_ rights (zuletzt geprüft am 15.03.2015). 280 Vgl. Kuner, The Transatlantic Divide Over Data Privacy Rights, 20.05.2013. 276

§ 9 Ursachen für unterschiedlichen Datenschutz

249

auch in den Verfassungen der EU-Mitgliedstaaten (bspw. Art. 1 I GG [sowie auch das allgemeine Persönlichkeitsrecht bzw. das Recht auf informationelle Selbstbestimmung, die u. a. aus dem Würdeschutz hergeleitet werden], Art. 23 der Bel­ gischen Verfassung,281 Art.  10 I der Spanischen Verfassung282) sowie in Art.  1 GRCh. Auch das Bewusstsein für den Umgang mit Daten und den Datenschutz kann von dieser Bedeutung von „Würde“ für das Individuum geprägt sein. Mög­ licherweise spiegelt sich daher diese Bedeutung der Würde in Europa in der bestehenden Gesetzgebung in Bezug auf den Datenschutz wider. Umfassender Datenschutz kann nämlich auch zur Verwirklichung von Würdeschutz beitragen. Somit könnte die in Europa bzw. vor allem in der EU bestehende umfassendere Regelung des Datenschutzes zumindest mitursächlich ihre Begründung in der Bedeutung der Würde und des Würdeschutzes in Europa haben. III. Die Bedeutung von Vorsorge und Vorbeugung in der EU In der EU bestehen umfassende Datenschutzregelungen. Diese umfassen durch die Verpflichtung sowohl privater als auch öffentlicher Stellen auch Sachverhalte und Datenverarbeitungen, die vom Gesetzgeber nicht vorausgesehen wurden. Es kann somit von einem vorsorglichen bzw. vorbeugenden Handeln gesprochen werden. Die EU lässt auch in anderen Rechtsgebieten Tendenzen erkennen, vorbeugend zu handeln und nicht erst reaktiv tätig zu werden.283 Rechtliche Regelungen werden somit oftmals nicht erst als Reaktion auf ein konkretes, bestimmtes Er­ eignis – wie es bspw. in Bezug auf den Datenschutz in den USA zu erkennen ist – erlassen. Selbstverständlich gibt es eine Vielzahl von Regelungen, die auch reaktiv ergehen,284 vorsorgende Entscheidungen sind jedoch verbreitet. So meint bspw. Schwartz in Bezug auf Gründe, die zur Entstehung umfassender Datenschutzregelungen in der EU beigetragen haben, dass die EU-Mitgliedstaaten vorbeugende Maßnahmen als wichtiger angesehen hätten als die Risiken, die mit dem „Erlass von Gesetzen im Ungewissen“285 einhergingen.286 Der Erlass vorbeugender Maßnahme ist in der EU jedoch nicht nur im Datenschutz zu finden, sondern zieht sich durch eine Vielzahl von Regelungsgebieten und verdeutlicht diese durchaus in der EU vorzufindende Einstellung. Im Umweltrecht ist das Vorsorgeprinzip besonders 281 Die Verfassung Belgiens v. 07.02.1831 koordinierter Text (oder „neu bekanntgemachter Text“) v. 17. Februar 1994 „Jeder hat das Recht, ein menschenwürdiges Leben zu führen. […]“. 282 Verfassung des Königreiches Spanien v. 29.12.1978: Art.  10 (1) Die Würde des Menschen, die unverletzlichen Rechte, die ihr innewohnen, die freie Entfaltung der Persönlichkeit, die Achtung des Gesetzes und der Rechte anderer sind die Grundlagen der politischen Ordnung und des sozialen Friedens. 283 Siehe dazu im Unterschied zu den USA Miller/Poscher, Frankfurter Allgemeine Zeitung 28.11.2013. 284 So bspw. das Maßnahmenpaket zur „Eurorettung“. 285 Genannt wird dies „legislating under uncertainty“. 286 Schwartz, Yale L. J. 118 (2009), 902 (914) m. w. Nachw.

250

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

ausgeprägt: Die Kommission hat bspw. im Jahr 2000 eine Kommunikation zur Anwendung des Vorsorgeprinzips herausgegeben287 und auch Art. 191 II AEUV besagt, dass die Umweltpolitik u. a. auf den „Grundsätzen der Vorsorge und Vorbeugung“ beruhe. Zudem ist im Wettbewerbsrecht zu erkennen, dass in der EU generell der Erlass vorsorgender Maßnahmen eher eine Rolle zu spielen scheint als in den USA: Als Beispiel ist nur die geplante Fusion der beiden amerikanischen Konzerne General Electrics und Honeywell zu nennen.288 Die geplante Fusion der beiden Konzerne wurde – nachdem die Fusion bereits in den USA genehmigt worden war – von der EU-Kommission auf Grund möglicher Hindernisse für den Wettbewerb in der EU gestoppt.289 Die in der EU in mehreren Bereichen zu findende Bereitschaft, vorbeugend und vorsorglich zu agieren, könnte somit auch als ein Erklärungsansatz gesehen werden, warum in der EU Datenschutz derart umfangreich und quasi lückenlos geregelt wird und nicht erst – wie in den USA zu erkennen – als Reaktion auf bestimmte Ereignisse erfolgt. IV. Verfassungsrecht Gründe für die bestehende Art, Datenschutz in der EU zu regeln, könnten auch mitursächlich im Verfassungsrecht gesehen werden. 1. Interpretationsoffene Verfassungen Zum einen sind Verfassungen, die – wie das GG – nach dem Zweiten Weltkrieg entstanden sind, spezifischer und umfangreicher als die amerikanische Verfassung aus dem achtzehnten Jahrhundert.290 Sie bieten somit unter Umständen mehr Möglichkeiten für eine an die Gegebenheiten der jeweiligen Zeit angepasste Interpretation der Verfassung. Mit der aufkommenden technischen Entwicklung und den damit einhergehenden Gefahren für den Datenschutz wussten die Verfassungen in Europa wie das GG somit möglicherweise besser umzugehen, sodass eine Basis für entsprechende Gesetze möglich war.

287

Europäische Kommission, Mitteilung der Kommission über die Anwendbarkeit des Vorsorgeprinzips vom 2.2.2000, KOM(2000)1 endgültig, 02.02.2000. 288 Zu diesem sowie weiteren Beispielen Bradford, Northwestern University Law Review 107 (2012), 1 (20 ff.). 289 Siehe die Pressemitteilung der Europäischen Kommission v. 03.07.2001, IP/01/939; mono­graphisch dazu Keden, Der Zusammenschlussfall GE/Honeywell. 290 Schwartz, William and Mary Law Review 53 (2011), 351 (377 f.) mit Verweis auf das GG von 2011 mit 146 Artikeln und 24132 Wörtern im Vergleich zur US-Verfassung mit 7 Artikeln, 27 Amendments und 7622 Wörtern.

§ 9 Ursachen für unterschiedlichen Datenschutz

251

2. Detaillierte und moderne Grundrechtskataloge mit positiven Schutzpflichten Zudem enthalten Verfassungen, die nach dem Zweiten Weltkrieg entstanden sind, im Gegensatz zur US-Verfassung detailliertere Grundrechtskataloge, die teilweise als Abwehrrechte, teilweise aber auch als positive Schutzpflichten strukturiert sind; in der US-Verfassung sind hingegen lediglich Abwehrrechte enthalten.291 Die Schutzpflichtdimension besagt in Deutschland, dass die Grundrechte nicht nur Abwehrrechte gegenüber dem Staat sind, sondern der Staat auch dazu verpflichtet ist, die Grundrechte des Einzelnen zu schützen und zu fördern und sie auch vor Eingriffen Dritter zu bewahren.292 Diese Schutzpflichtendimension der Grundrechte ist bspw. hinsichtlich des Datenschutzes im privaten Bereich ­relevant: So verpflichtet das Grundgesetz den Gesetzgeber „zu einer wirksamen Gewährleistung eines selbstbestimmten Umgangs des Bürgers mit seinen Daten, sodass das Recht auf informationelle Selbstbestimmung als objektives Prinzip auch im Privatrechtsverhältnis wirksam wird“.293 Zudem schützt das Recht auf informationelle Selbstbestimmung den Betroffenen gegen „Informationshandlungen aller Art, die seine Entfaltungsfreiheit gefährden“.294 Diese Gewährleistung spiegelt sich im einfachen Recht wider und mag die engmaschigen Regelungen, mit denen in der EU dem Datenschutz begegnet wird, erklären. 3. Normierung des Datenschutzes in Verfassungstexten Die EU verfügt außerdem mit der Grundrechtecharta über eine sehr moderne, an die Gegebenheiten der heutigen Zeit angepassten Grundrechtskatalog, der explizit in Art. 8 GRCh den Schutz personenbezogener Daten normiert. Zwar war dies zu Beginn der Datenschutzgesetzgebung noch nicht relevant, zeigt jedoch die Bedeutung des Datenschutzes in Europa und für weitere Gesetzgebung in Europa. Mit der Normierung des Datenschutzes in der Grundrechtecharta ist es sogar zu 291 Schwartz, William and Mary Law Review 53 (2011), 351 (378) mit Verweis auf das allgemeine Persönlichkeitsrecht und das Recht of Informationelle Selbstbestimmung sowie w. Nachw. 292 Dazu Isensee/Kirchhoff (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Band V 1992, § 111 Rn. 1 ff.; vgl. bspw. auch BVerfGE 39, 1, 42 ff. (Schwangerschaftsabbruch); 46, 160, 164 (Hanns-Martin Schleyer); 56, 54, 73 (Fluglärm); in Zusammenhang mit Datenschutzproblematiken u. a. Elixmann, Datenschutz und Suchmaschinen, S.  59 ff.;­ Holznagel/Schumacher, JZ 2011, 57 (57 f.); ausführlich monographisch auch in Bezug auf das Europäische Recht siehe Szczekalla, Die sogenannten grundrechtlichen Schutzpflichten im deutschen und europäischen Recht. 293 So Masing, NJW 2012, 2305 (2307) mit Verweis auf BVerfG JZ 2007, 576 sowie Bäcker, Der Staat 51 (2012), 91 (107 f.); ausführlich monographisch siehe Szczekalla, Die sogenannten grundrechtlichen Schutzpflichten im deutschen und europäischen Recht. 294 Bäcker, Der Staat 51 (2012), 91 (107 f.) mit detaillierten Ausführungen und umfang­ reichen w. Nachw.

252

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

einer Emanzipation des Datenschutzes von dem allgemeinen Persönlichkeitsrecht gekommen.295 Zudem bietet die EMRK mit ihrem Art. 8 eine Grundlage, die Interpretationen in Bezug auf den Datenschutz zulässt und somit eine weitere Erkenntnisquelle bereit hält. Auf Grund der vorhandenen Normierung bzw. Verortung in bereits vorhandenen Grundrechten wie bei der informationellen Selbstbestimmung kann mög­licherweise in Europa das Bewusstsein in Bezug auf eine Normierung im einfachen Recht stärker ausgeprägt sein. Jedoch ist auch zu beachten, dass es in Europa durchaus bereits umfassende Normierungen des Datenschutzes – wie bspw. im Land Hessen – gab, bevor überhaupt Grundrechte in Bezug auf den Datenschutz „gefunden“ bzw. entwickelt wurden. Die Voraussetzungen, die durch neue Verfassungen geschaffen wurden, könnten somit als mitursächlich für die bestehenden umfassenden Regelungen gesehen werden bzw. für die Weiterentwicklung bereits bestehender Regelungen. 4. Die Rolle eines Verfassungsgerichts Des Weiteren weisen Verfassungen in Europa, die nach dem Zweiten Weltkrieg entstanden sind, typischerweise einem Verfassungsgericht, das vom Rest des Gerichtssystems losgelöst ist, eine zentrale Rolle in der Entwicklung höheren Rechts zu.296 So zeigt sich am Beispiel Deutschlands wie das Bundesverfassungsgericht Normen des Grundgesetzes weiterentwickelt und ausformt um bspw. auf die Bedrohungen für die Grundrechte durch technischen Fortschritt zu reagieren und folglich Grundrechte wie das Recht auf informationelle Selbstbestimmung in der Verfassung zu verorten.297 V. Einfluss der Erfahrungen mit dem Nationalsozialismus und anderen autoritären Regimen Als weiterer Grund für die bestehenden Unterschiede zwischen der EU und den USA und die ausgeprägte Regelungsdichte in Europa könnte die Erfahrung Europas mit dem Nationalsozialismus und anderen autoritären Regimen angeführt werden.298 Menschenrechte, so wie sie heute in Europa verstanden werden und zu denen auch das Recht auf Datenschutz gehört, könnten durch die nationalsozialistische Vergangenheit Europas beeinflusst sein.299 Möglicherweise könnte das Recht 295

Vgl. Genz, Datenschutz in Europa und den USA, S. 39. So Schwartz, William and Mary Law Review 53 (2011), 351 (378). 297 Vgl. Schwartz, William and Mary Law Review 53 (2011), 351 (378). 298 Vgl. dazu ausführlich Bignami, B. C. L.Rev. 48 (2007), 609 (687 f.) m. w. Nachw.; sowie auch Miller/Poscher, Frankfurter Allgemeine Zeitung 28.11.2013. 299 Vgl. Judt, Postwar – A history of Europe since 1945, S. 565. 296

§ 9 Ursachen für unterschiedlichen Datenschutz

253

zum Schutz der Privatheit und somit auch das Recht auf Datenschutz jedoch nicht einfach als Reaktion auf die Erfahrungen aus dem Nationalsozialismus verstanden werden: Die Rechtstraditionen der Staaten könnten nämlich zu sehr verankert gewesen sein, als dass sie durch die Zeit des Nationalsozialismus ihren Einfluss verloren hätten.300 Jedoch war tatsächlich in Westeuropa das Bewusstsein dafür vor­ wecke wie in handen, dass sich die Machenschaften des Staates für tyrannische Z der Zeit des Nationalsozialismus wiederholen könnten.301 Diese Ängste waren nicht rein abstrakt oder irrational, da neben dem Nationalsozialismus auch eine Bedrohung durch den Kommunismus vorhanden war, der sich bereits vor dem offiziellen Ende des Zweiten Weltkrieges abzeichnete.302 Aber auch nach Ende des Zweites Weltkrieges kam es zu Missbrauch von Informationen der Bürger. Bedrohung und Eindringen in Rechte des Bürgers verdeutlicht in Europa nach dem Zweiten Weltkrieg insbesondere das DDR-Regime und die Vorgehensweisen des Ministe­ riums für Staatssicherheit.303 Auch bei der Ausarbeitung der EMRK zeigte sich das Bewusstsein für einen möglichen Machtmissbrauch des Staates, da auf den Nationalsozialismus sowie den Kommunismus Bezug genommen wurde.304 Folglich ist es verständlich, dass in Europa der mögliche Machtmissbrauch durch den Staat zu dem Bedürfnis nach konkreten, extensiven Regelungen führte, in den USA weniger Sorge darüber vorherrscht, dass es in einer solchen Weise zu einem Machtmissbrauch durch den Staat kommen könne.305 Zwar gab es in den USA Fälle von Machtmissbrauch wie den Watergate-Skandal um Nixon, die aber in keiner Weise mit Erfahrungen der Europäer in Bezug auf Machtmissbrauch vergleichbar waren und daher möglicherweise weniger Sorgen vor zukünftigem Machtmissbrauch auslösten.306 Jedoch gibt es auch Argumente, die gegen einen solchen Erklärungsversuch sprechen: Nach Newman wurden gerade die modernen Konzepte eines Rechts auf Privatheit in den USA entwickelt und schlugen sich schließlich nieder in Möglichkeiten aus unerlaubter Handlung (torts) dagegen vorzugehen; diese Entwicklungen seien dann in der Entwicklung neuer Gesetze nach dem Zweiten Weltkrieg durch andere Länder aufgegriffen worden.307 Ein anderer Erklärungsversuch, der gegen das Argument vorgetragen wird, die europäische Einstellung zum Thema Daten und Datenschutz habe ihren Ursprung in den Erfahrungen mit totalitären Regimen, steht im Zusammenhang mit dem technologischen Fortschritt. Sowohl in den USA als auch in Europa gab es im Vorfeld jeglicher Datenschutzgesetzgebung 300

So zumindest Bignami, B. C. L.Rev. 48 (2007), 609 (687) mit Verweis auf Whitman, Yale L. J. 113 (2003/2004), 1151 (1165). 301 Vgl. Judt, Postwar – A history of Europe since 1945, S. 242. 302 Bignami, B. C. L.Rev. 48 (2007), 609 (688). 303 Dazu Masing, NJW 2012, 2305 (2305). 304 Vgl. Robertson/Merrills, Human rights in the world – An introduction to the study of the international protection of human rights, S. 3–5. 305 Bignami, B. C. L.Rev. 48 (2007), 609 (688 f.). 306 Bignami, B. C. L.Rev. 48 (2007), 609 (688 f.). 307 Newman, Protectors of privacy, S. 52 f., mit Verweis auf Warren/Brandeis, Harvard Law Review 4 (1890), 193 und Prosser, California Law Review 48 (1960), 383; siehe dazu oben S. 205 f.

254

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

vor allem Bedenken hinsichtlich des Missbrauchs der aufkommenden Computertechnologie durch den Staat, sodass Gesetzgebungsinitiativen auf beiden Seiten des Atlantiks von den selben Argumenten beherrscht wurden und auf den selben Grundsätzen von Privatheit gründeten.308 Zudem wird gegen die Begründung der Einstellung zu Daten und Datenschutz mit den Erfahrungen mit autoritären Regimen angeführt, dass dieses Argument nicht erklären könne, warum es eine solche Vielzahl an unterschiedlichen Datenschutzgesetzen gebe: Es sei nicht ersichtlich, warum einerseits Deutschland mit weitreichenden Regelungen und Japan mit limitierten Regelungen als ehemalige autoritäre Staaten eine solch unterschiedliche Einstellung zum Datenschutz hätten, andererseits Deutschland und das Vereinigte Königreich trotz ihren unterschiedlichen Erfahrungen mit faschistischen Regimen ähnliche und weitreichende Regelungen erlassen und zudem Italien und Spanien als Länder mit Erfahrungen mit totalitären Regimen zu den letzten Ländern in Europa gehörten, die Datenschutzgesetze erlassen hätten.309 Gegen dieses Argument spricht hingegen, dass der dargestellte Erklärungsversuch durchaus nur ein Teilaspekt sein kann und eine Vielzahl an Faktoren zu den bestehenden Arten von Regelungen beiträgt. So ist auch Newman der Auffassung, dass es durch die Erfahrungen der Nationalsozialismus zu einer Sensibilisierung der Staaten beiderseits des Atlantiks in Bezug auf Missbrauchsgefahren durch den Staat gekommen sei, das faschistische „Erbe“ könne jedoch nicht erklären, warum manche Länder allumfassende, manche limitierte Regelungen erlassen hätten.310 Trotz der Kritik an diesem Erklärungsversuch ist es – wie bspw. auch an der Bezugnahme durch die EMRK und den Entscheidungen des BVerfG gesehen werden kann – zumindest plausibel, dass die Erfahrungen Europas mit totalitären Regimen mit dazu beigetragen haben, dass ein besonderer Wert auf den Datenschutz gelegt und des­wegen auch eine Entscheidung für umfassende Regelungen getroffen wurde. VI. Die Entscheidung für eine bestimmte Strategie zur Rechtsdurchsetzung Bignami sieht einen Grund für die Unterschiede zwischen der amerikanischen und europäischen Herangehensweise an Datenschutz auch in der Entscheidung für eine bestimmte Strategie zur Rechtsdurchsetzung allgemein begründet, die keine direkte Verbindung zum Datenschutz aufweist.311 Die Entscheidung für eine bestimmte Art der Rechtsdurchsetzung spiegelt sich jedoch auch in den vorgenommen Datenschutzregelungen wie bspw. durch die engmaschigen Aufsichtsstruk 308 Vgl. dazu ausführlich Newman, Protectors of privacy, S. 53 f. mit Bezug auf Bull, Datenschutz oder Die Angst vor dem Computer sowie Miller, The Assault on Privacy (auf Deutsch erhältlich als Miller, Der Einbruch in die Privatsphäre). 309 Siehe Newman, Protectors of privacy, S. 54 f. mit statistischer Begründung. Zu bedenken ist jedoch dabei auch, dass Spanien bis 1978 keine Demokratie war. 310 Newman, Protectors of privacy, S. 54. 311 Dazu insbesondere Bignami, B. C. L.Rev. 48 (2007), 609 (682–686).

§ 9 Ursachen für unterschiedlichen Datenschutz

255

turen in Europa und der oftmaligen Durchsetzung durch Privatklagen wider.312 Diesbezüglich sei auf die Ausführungen im Rahmen der Gründe für vorgenommene Datenschutzregelungen in den USA verwiesen.313 VII. Die anfängliche Entscheidung für einen allumfassenden Datenschutz Die Art, wie heute in der EU Datenschutz geregelt ist, ist geprägt von in den Anfängen der Datenschutzgesetzgebung ergangenen Entscheidungen zugunsten umfassender Datenschutzregelungen, die sowohl den öffentlichen als auch den privaten Sektor umfassen. Zwar datiert die DSRL der jetzigen EU erst aus dem Jahr 1995, jedoch entschieden sich Länder wie Frankreich oder Deutschland bereits weit vorher für einen allumfassenden Datenschutz. Die anfängliche Entscheidung hat das Bewusstsein geprägt und als Standard gesetzt, von dem nun nicht mehr ohne weiteres abgewichen wird.314

D. Gründe für die vorgenommenen Regelungen in den USA I. Bestehende Be- und Empfindlichkeiten im Umgang mit Daten und Datenschutz in den USA Sowohl in den USA als auch in der EU herrscht ein Bewusstsein dafür, dass Privatheit einen gewissen Schutz bedarf und dass es Wege und Herangehensweisen gibt und geben muss, wie mit Daten umgegangen werden sollte. Jedoch scheint in Europa die Auffassung zu bestehen, dass Ereignisse, die in Europa zu Diskus­ sionen über den Datenschutz führen, in den USA oftmals wenig datenschutzrechtliche Bedenken auslösen und als „gewöhnlicher“ bzw. „normaler“ Umgang mit Daten hingenommen oder akzeptiert werden. Fraglich ist, ob in den USA tatsächlich bestimmte Be- und Empfindlichkeiten auszumachen sind, die als (Mit-)Ursache für vorgenommene rechtliche Regelungen gesehen werden können. Auch in den USA gibt es Umfragen mit Bezug zu Privatheit und Datenschutz, die gewisse Erkenntnisse liefern könnten.315 So ergibt bspw. eine Telefonumfrage vom Juli 2013 in den USA, dass 50 % der Internetnutzer in den USA über die An 312

Siehe Bignami, B. C. L.Rev. 48 (2007), 609 (684 ff.). Siehe dazu ausführlich unten sogleich S. 255 ff. 314 Vgl dazu die von Schwartz „initial choices followed by path dependency“ genannte Erklärung für die anhaltenden Unterschiede zwischen der EU und den USA in Bezug auf den Datenschutz, Schwartz, Yale L. J. 118 (2009), 902 (912 ff.). 315 Eine Übersicht von mittlerweile bereits älteren Umfragen findet sich bspw. bei Heisenberg, Negotiating privacy, S. 42 ff.; für neuere Umfragen siehe die Übersicht bei Electronic Privacy Information Center, Public Opinion on Privacy, http://epic.org/privacy/survey/ (zuletzt geprüft am 15.03.2015). 313

256

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

zahl an personenbezogenen Daten über sie im Internet besorgt seien.316 Im Jahr 2009 teilten diese Sorge nur 33 % der amerikanischen Internetnutzer.317 Eine Umfrage der Washington Post zusammen mit dem Pew Research Center nach der Veröffentlichung des Whistleblowers Edward Snowden auf die Frage „What do you think is more important right now – (for the federal government to investigate possible terrorist threats, even if that intrudes on personal privacy); or (for the federal government not to intrude on personal privacy, even if that limits its ability to investigate possible terrorist threats)?“ ergab hingegen, dass 62 % der Befragten die Untersuchung von möglichen Bedrohungen durch Terroristen für wichtiger erachteten und nur 34 % der Befragten der Beachtung der Privatheit den Vorzug gaben.318 Auf die Frage, ob das Abhören von Telefonen durch die NSA eine akzeptierbare Maßnahme zur Aufdeckung von Terrorismus sei, sprachen sich 56 % der Befragten dafür und 41 % dagegen aus.319 Auf die vom 7.–9. Juni gestellte Frage „Do you think the U. S. government should be able to monitor everyone’s email and other online activities if officials say this might prevent future terrorist attacks?“ sprachen sich hingegen 45 % dafür und 52 % dagegen aus.320 Auch im Rahmen dieser beispielhaft ausgewählten Umfragen sind pauschale Rückschlüsse verfehlt. Die Umfragen ergeben wiederum nur punktuell die Möglichkeit von Rückschlüssen und können keine allgemeingültige Aussage über die Einstellung der Amerikaner zum Umgang mit Daten und Datenschutz abbilden. Wiederum sind die Umfragen im Kontext der Umfragesituation, dem Zeitpunkt ihrer Durchführung und weiterer beeinflussender Faktoren zu sehen. Erinnert sei 316 Rainie/Kiesler/Kang/Madden, Anonymity, Privacy, and Security Online, S. 2, http://pew internet.org/~/media//Files/Reports/2013/PIP_AnonymityOnline_090513.pdf (zuletzt geprüft am 15.03.2015); für Informationen zur Studie und mögliche Fehlerquoten siehe S. 3. 317 Rainie/Kiesler/Kang/Madden PewResarchCenter (Hrsg.), Anonymity, Privacy, and Security Online, S. 2; darauf Bezug nehmend und Konsequenzen daraus für die NSA fordernd Sethi, Do Americans Care About the Privacy of our Metadata?, http://www.slate.com/articles/news_and_ politics/jurisprudence/2013/12/nsa_data_mining_do_americans_care_about_the_privacy_of_ our_metadata.html (zuletzt geprüft am 15.03.2015). 318 Washington Post/Pew Research Center, Majority say NSA tracking of phone records „acceptable“ – Washington Post-Pew Research Center poll, http://www.washingtonpost.com/page/ 2010-2019/WashingtonPost/2013/06/10/National-Politics/Polling/release_242.xml (zuletzt geprüft am 15.03.2015); siehe dazu auch den Artikel Cohen, Most Americans back NSA tracking phone records, prioritize probes over privacy, http://www.washingtonpost.com/politics/mostamericans-support-nsa-tracking-phone-records-prioritize-investigations-over-privacy/2013/06/1 0/51e721d6-d204-11e2-9f1a-1a7cdee20287_story.html (zuletzt geprüft am 15.03.2015) mit weiteren Informationen zur Studie und Bezugnahme auf frühere Umfragen. 319 Washington Post/Pew Research Center, Majority say NSA tracking of phone records „acceptable“ – Washington Post-Pew Research Center poll; die Frage lautete dabei „As you may know, it has been reported that the National Security Agency has been getting secret court orders to track telephone call records of MILLIONS of Americans in an effort to investigate terrorism. Would you consider this access to telephone call records an acceptable or unacceptable way for the federal government to investigate terrorism?“. 320 Washington Post/Pew Research Center, Majority say NSA tracking of phone records „acceptable“ – Washington Post-Pew Research Center poll.

§ 9 Ursachen für unterschiedlichen Datenschutz

257

beispielhaft nur an das bereits angeführte Argument, dass Personen, die sich derart um ihre Privatheit sorgen, möglicherweise der Nutzung ihrer Telefonnummer widersprechen und somit nicht in derartigen Umfragen zur Privatheit repräsentiert sind.321 Eine Aussagekraft besteht abgesehen von punktuellen Rückschlüssen dahingehend, dass eine bestimmte Einstellung nicht zu identifizieren ist. Daher scheint es auch mit Bezug zu den USA schwer zu rechtfertigen, pauschal einen Grund für die bestehenden (rechtlichen) Regelungen zum Datenschutz in Be- und Empfindlichkeiten im Umgang mit Daten zu verorten, die sich in rechtlichen Regelungen widerspiegeln. Einen Anhaltspunkt für bestehende Regelungen könnten sich jedoch aus während des Gesetzgebungsverfahrens zu ersten Datenschutzgesetzen in den USA bestehenden Auffassungen ergeben. II. Die anfängliche Auffassung zur Rolle des Privatsektors bei der Datenverarbeitung In den USA ist der Privatsektor in Bezug auf Datenschutzgesetzgebung weitgehend unreguliert und nur sektorspezifisch bestehen vereinzelt Regelungen.322 Dies ist u. a. einer – zumindest zum Anfang der Datenschutzgesetzgebung – bestehenden Auffassung geschuldet, dass vom Privatsektor geringe Gefahren ausgehen oder sogar von privaten Unternehmen eine Missbrauchsgefahr von Daten im Allgemeinen nicht besteht. Nach dem Datenmissbrauch im Rahmen der Watergate-Affäre rückte zunächst der mögliche Missbrauch von Daten durch den Staat stärker in das Bewusstsein der Bevölkerung und schlug sich im Privacy Act of 1974 mit Regelungen zur Datenverarbeitung durch Bundesbehörden nieder.323 Die Verarbeitung von Daten durch Hoheitsträger wurde somit beschränkt und der Staat sollte sich nicht in die Angelegenheiten von Individuen einmischen. Im Rahmen des Gesetzgebungsverfahrens zum Privacy Act of 1974 wurde hingegen auch eine weitgehend fehlende Gefahr durch private Unternehmen angenommen und im Folgenden somit auf eine rechtliche Regelung bzw. Beschränkung des privaten Sektors in einem allumfassenden Gesetz verzichtet.324 Dabei wurde diese Position sowohl von Unternehmen der Privatwirtschaft wie der American Life Insurance Association als auch von Regierungsseite durch bspw. das Department of Commerce vertreten.325 Die tatsächlich bestehenden Gefahren für Datenmissbrauch durch die Privatwirtschaft wurden mit den bereits erlassenen Regelungen als behoben eingeschätzt: Der Kongress 321

Vgl. Heisenberg, Negotiating privacy, S. 40; für weitere Argumente siehe oben S. 241 ff. Siehe dazu oben S. 222 ff. 323 Vgl. Regan, Legislating privacy – Technology, social values, and public policy, S. 77 f.; dazu auch Heisenberg, Negotiating privacy, S. 34. 324 Vgl. Regan, Legislating privacy – Technology, social values, and public policy, S. 78. 325 Regan, Legislating privacy – Technology, social values, and public policy, S. 78 mit Verweis auf die Gesetzgebungsmaterialien. Zu diesen siehe oben S. 189 ff. 322

258

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

war bspw. der Ansicht, dass durch Verabschiedung des Fair Credit Reporting Act 1970 (etwa Gesetz über nicht-diskriminierende Kreditauskünfte)  auf die Gefahren für die Privatheit, die von Kreditauskünften ausgingen, reagiert worden sei.326 Bedeutend war bei dieser Einschätzung sicherlich auch ein gewisser Lobbyismuseinfluss – wie bereits an der Position der American Life Insurance Association erkennbar ist.327 Jedoch lag der Entscheidung des Kongresses gegen ein allumfassendes Datenschutzgesetz unter Einbeziehung des privaten Sektors nicht nur ein angeblich fehlendes Schutzbedürfnis zu Grunde: Es wurde im Kongress ebenfalls diskutiert, ob die Regulierung des Privatsektors nicht schlichtweg eine „unmögliche Aufgabe“ darstelle; es müssten nämlich zur Verfolgung einer entsprechenden Regelung zu viele Faktoren berücksichtigt werden, da die Regelung einerseits den Schutz des Individuums zum Gegenstand haben, andererseits aber nicht unzumutbar die jeweiligen Unternehmen belasten sollte und zudem noch eine Aufsicht der Regierung garantiert werden müsste.328 Eine – vom Fair Credit Reporting Act von 1970 abgesehen – anfänglich fehlende Regulierung des privaten Sektors hatte jedoch nicht die Folge, dass nicht durchaus mit der Zeit sektoriell weitere Regelungen getroffen wurden. In der Folge wurde erkannt, dass durchaus Datenverarbeitungen von privaten Akteuren Risiken darstellen. So gibt es mittlerweile Bereiche, in denen die Auffassung auch durch den Gesetzgeber besteht, dass eine rechtliche, sektoriell auf diesen Bereich beschränkte Regelung notwendig ist. Neben dem bereits genannten Fair Credit­ Report Act 1970 ist auf die genannten Beispiele zu verweisen. III. Die Bedeutung der „Freiheit“ in den USA als Freiheit gegenüber dem Staat Ein weiterer Erklärungsversuch, der auch hinsichtlich der USA dazu beitragen könnte, zu verdeutlichen, warum Regelungen zum Datenschutz derart erfolgen, könnte sich aus dem Aufsatz von Whitman ergeben. Wie in Bezug zu Europa, entwickelte Whitman in seinem Aufsatz „The Two Western Cultures of Privacy: Dignity Versus Liberty“ auch mit Bezug zu den USA Ansätze, um die Einstellungen zu Privatheit zu erklären:329 Die Orientierung in Amerika liege – nach Whitman – auf dem Wert der Freiheit und insbesondere auf der Freiheit gegenüber dem Staat, sodass auch ein Recht auf Privatheit noch zu einem großen Teil so ausgeprägt sei

326

Schwartz, Yale L. J. 118 (2009), 902 (913). Siehe dazu auch den Einfluss bei der Frage, ob Regelungen zum Datenfluss im Internationalen Kontext erlassen werden sollten, oben S. 191. 328 Regan, Legislating privacy – Technology, social values, and public policy, S. 78 mit Verweis auf die entsprechenden Anhörungen im Kongress. 329 Whitman, Yale L. J. 113 (2003/2004), 1151. 327

§ 9 Ursachen für unterschiedlichen Datenschutz

259

wie im achtzehnten Jahrhundert und zwar als Recht auf Freiheit vor dem Eindringen des Staates insbesondere in die eigenen vier Wände.330 Misstrauen gegenüber dem Staat sei schon immer die Grundlage für die amerikanische Einstellung zur Privatheit gewesen und sowohl die Wissenschaft als auch die Rechtsprechung sähen es als gegeben an, dass der Staat der Hauptgegner von Privatheit sei.331 Immer dann, wenn Amerikaner eine Bedrohung für die Privatheit sähen, sei dies damit zu begründen, dass der Staat in die Angelegenheit involviert sei.332 Wenn Europäer der Ansicht seien, dass Amerikaner Normen der Privatheit verletzten, bspw. im Rahmen des Datenschutzes, geschehe dies oftmals aus dem Grund, dass Europäer – vor dem Hintergrund der eigenen Ansicht zum Thema Privatheit – meinten, Amerikaner hätten einen befremdlichen Interessenmangel am Schutz der Würde.333 Andererseits sei es vor dem Hintergrund der Bedeutung des Freiheitsschutzes für Amerikaner befremdlich, dass Europäer einen Mangel an Widerstand gegen das Eindringen in den Privatbereich wie die eigenen vier Wände zu haben scheinen.334 Somit könnten die in den USA bestehenden sektoriellen Regelungen des Datenschutzes zumindest auch mitursächlich ihre Begründung in der Bedeutung der Freiheit und insbesondere der Freiheit vor dem Staat haben. Amerikanisches Datenschutzrecht könnte diesen Freiheitsgedanken in der stärkeren Reglementierung des öffentlichen Sektors ausdrücken. Denn – wie bereits erwähnt – richtete sich Datenschutzgesetzgebung in den USA anfänglich vor allem gegen den Staat. Im privaten Bereich werden hingegen Datenschutzgesetze oftmals nur als Reaktion auf bestimmte Ereignisse verabschiedet und würden somit auch dem Freiheitsgedanken Rechnung tragen, dass nur in den Fällen in die Freiheit eingegriffen wird, wenn es einen konkreten Anlass dazu gibt.335 IV. Verfassungsrecht Auch für die USA lassen sich Gründe für die vorgenommene Art, Datenschutz zu regeln, möglicherweise im Verfassungsrecht verorten. Neben der bereits genannten Bedeutung der Meinungsfreiheit könnten auch die folgenden Aspekte relevant sein.

330

Whitman, Yale L. J. 113 (2003/2004), 1151 (1161 f.). Whitman, Yale L. J. 113 (2003/2004), 1151 (1211). 332 Whitman, Yale L. J. 113 (2003/2004), 1151 (1215 f.). 333 Whitman, Yale L. J. 113 (2003/2004), 1151 (1162), der als Beispiel die angebliche Bereitschaft der Amerikaner nennt, ohne Weiteres über ihr Gehalt zu sprechen. 334 Vgl. Whitman, Yale L. J. 113 (2003/2004), 1151 (1162), mit den Beispielen des Anzapfen von Telefonleitungen und der Möglichkeit von Behörden, in Europa manche Kindesnamen auf dem Standesamt nicht zu akzeptieren. 335 Siehe dazu oben S. 222 ff. 331

260

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

1. Keine Normierung des Datenschutzes in der Bundesverfassung Wie bereits dargestellt ist der Datenschutz nicht explizit im Text der Bundesverfassung der USA verankert. Zudem erreichen auch die Verfassungsinterpretationen des Supreme Courts für die Privatheit und insbesondere den hier in Frage stehenden Datenschutz keine derartige Reichweite, wie sie in Europa zu erkennen ist.336 Lediglich bestimmte Zusatzartikel – insbesondere der Vierte Zusatzartikel – vermitteln durch die Interpretation des Supreme Courts einen gewissen Privatheitsschutz.337 Zwar gab es auch bis zur Verabschiedung der Grundrechtecharta in Europa keine explizite Bezugnahme auf den Datenschutz in Verfassungstexten, jedoch wurde dessen Bedeutung durch die Gerichte und – wie im Fall des Rechts auf informationelle Selbstbestimmung  – aus den bestehenden, explizit normierten Grundrechten entwickelt. Bestehende Möglichkeiten der Anerkennung eines Rechts auf Informational Privacy ließ der Supreme Court hingegen bisher stets ungenutzt.338 Der Privatheitsschutz und insbesondere der Datenschutz sind somit in den Verfassungen Europas – sei es erst durch entsprechende Interpretation – in größerem Maße ausgeprägt als in der Bundesverfassung der USA. Jedoch ist auch zu berücksichtigen, dass verschiedene Verfassungen auf Staatenebene auf „Privacy“ Bezug nehmen.339 Ein explizites Recht auf Informational Privacy fehlt jedoch auch hier. Auf Grund der fehlenden Normierung in der Bundesverfassung und der in diesem Bereich weniger weitgehenden Interpretation der Verfassung kann möglicherweise daher in den USA das Bedürfnis, eine umfassende Normierung im einfachen Recht vorzunehmen, weniger stark ausgeprägt sein. Jedoch ist auch zu beachten, dass es auch in Europa bereits umfassende Normierungen des Datenschutzes gab, bevor überhaupt Grundrechte in Bezug auf den Datenschutz gefunden bzw. entwickelt wurden. 2. Grundrechte als staatsgerichtete Abwehrrechte Ein weiterer Aspekt, der als ein Erklärungsversuch für die in den USA vorgenommene Normierung des Datenschutzes herangezogen werden kann, ist im bestehenden Schutz, den die Verfassung dem Individuum zur Entfaltung seiner Persönlichkeit zugesteht, zu verorten. Es stellt sich die Frage, ob die Verfassung auch umfassend schützt oder nur auf eine reine Abwehrposition für den Bürger beschränkt ist. Für das amerikanische Recht führt Schwartz folgendes aus: „Im Gegensatz zum deutschen Persönlichkeitsrecht, schützt das amerikanische Recht auf Privatheit keine sich innerhalb der sozialen Gemeinschaft entfaltende Persönlichkeit, sondern fördert lediglich den Individualismus des Einzelwesens. Verstanden 336 Siehe zur Verfassungsinterpretation Brugger, Einführung in das öffentliche Recht der USA, S. 114 ff., insb. S. 116 f. mit Verweis auf Griswold v. Connecticut, 262 U. S. 39, 399 f. (1923). 337 Siehe dazu oben S. 207 ff. 338 Siehe dazu oben S. 219 ff. 339 Siehe dazu oben S. 211.

§ 9 Ursachen für unterschiedlichen Datenschutz

261

als ein ‚Recht, in Ruhe gelassen zu werden‘, schützt das amerikanische Recht verschiedene wichtige Entscheidungen und Tätigkeiten, läßt jedoch die Fähigkeit des Bürgers außer Betracht, Entscheidungen zu treffen, von denen die Gesellschaft ab­hängt.“340 Das amerikanische Rechtssystem schützt „Individualismus vor staatlicher Einwirkung“, begrenzt somit staatliches Handeln, fordert vom Staat jedoch nicht, den Einzelnen zu fördern.341 Diese Abwehrfunktion ist näher zu betrachten. Die Grundrechte in der Verfassung richten sich historisch gesehen zunächst gegen die öffentliche Gewalt des Bundes und sind als Antwort auf das Misstrauen gegen die Zentralgewalt zu sehen, die mit der Verabschiedung der Verfassung geschaffen wurde.342 Jedoch sind über die allgemeine „Rechtsstaatlichkeitsklausel“ (due process-Klausel) des ersten Absatzes des nachträglich hinzugefügten vierzehnten Zusatzartikels mit seinem Schutzgebot für Leben, Freiheit sowie Eigentum die Bundesstaaten weitgehend an die Grundrechte der Bundesverfassung gebunden.343 Private sind hingegen nicht an die Grundrechte gebunden: Mit Ausnahme des dreizehnten Zusatzartikels, der das Verbot der Sklaverei normiert, richten sich alle Grundrechte ausschließlich gegen Handlungen der öffentlichen Gewalt (sog. state action).344 Die sog. „state action doctrine“345 versucht, auf die damit einhergehende Problematik eine Antwort zu geben und beschränkt die Garantien der Grundrechte durch die Verfassung in zweierlei Hinsicht. Dazu führt Michelman aus: „First, these guarantees do not ordinarily impose any legal responsibility on nonofficial parties engaged in the conduct of nongovernmental affairs. Second, they do not ordinarily impose any responsibility on the state to control the conduct of nonstate parties – the state’s own liabilities typically being limited to cases of rights-invasive conduct by the state itself, acting through its officers and agents“.346 340

Schwartz, in: Frank, Übersetzen, verstehen, Brücken bauen, 1993, S. 367. Schwartz, in: Frank, Übersetzen, verstehen, Brücken bauen, 1993, S. 372; zur Rolle der staatlichen Gewalt abgesehen vom Verfassungsrecht aber auch S. 373 f. 342 Brugger, Grundrechte und Verfassungsgerichtsbarkeit in den Vereinigten Staaten von Amerika, S. 45 mit Bezug auf die ersten 8 bzw. 10 Zusatzartikel der Verfassung; Hay, US-amerikanisches Recht Rn. 66 mit Bezug auf die Bedenken der Einzelstaaten gegen die Zentralregierung, die auf Grund der Erfahrungen mit der britischen Krone eine sofortige Ergänzung der Verfassung um einen Grundrechtskatalog forderten; Elixmann, Datenschutz und Suchmaschinen, S. 185 f. 343 Brugger, Grundrechte und Verfassungsgerichtsbarkeit in den Vereinigten Staaten von Amerika, S. 47 ff.; Nowak/Rotunda/Young, Constitutional law, S. 452 ff. insbesondere S. 455 f.; sowie Elixmann, Datenschutz und Suchmaschinen, S. 186. 344 Elixmann, Datenschutz und Suchmaschinen, S.  186; ausführlich dazu Brugger, Grundrechte und Verfassungsgerichtsbarkeit in den Vereinigten Staaten von Amerika, S.  30 ff. sowie Nowak/Rotunda/Young, Constitutional law, S. 497; monographisch zur Privatwirkung der Grundrechte in den USA Giegerich, Privatwirkung der Grundrechte in den USA. 345 Bspw. vertreteten in The Civil Rights Cases, 109 U. S.  3 (1883) (grundlegend); Flagg Brothers, Inc. v. Brooks, 436 U. S.  149 (1978); Moose Lodge No. 7 v. Irvis, 407 U. S.  163 (1972); United States v. Jacobson, 466 U. S. 109, 113 (1984), United States v. Morrisson, 529 U. S. 598 (2000). 346 Michelman, in: Amar/Tushnet, Global perspectives on constitutional law, 2009, S. 228; zu den neuesten Entwicklungen im Bereich der state action doctrine siehe ausführlich Harvard Law Review Developments in the Law, Harvard Law Review 123 (2009/2010), 1248. 341

262

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

Dass die Verfassung eine solche Wertung vornimmt, liegt möglicherweise auch in ihrer Entstehungszeit begründet. Die amerikanischer Verfassung ist eine „typische Verfassung des 18 Jahrhunderts“ und kennt somit nur Abwehrrechte gegen eine Einmischung des Staates.347 In der Leitentscheidung, Civil Rights Cases, wird die nicht bestehende Verpflichtung Dritter näher erklärt und ausgeführt, dass „die durch die Verfassung gewährleisteten Grundrechte nicht durch Akte Privater verletzt werden könnten, soweit sie nicht durch die Staatsautorität in Form von Gesetzen, Gewohnheitsrecht oder behördlichen Verfahren unterstützt werden“.348 Der ungerechte Akt eines Individuums ist nach Auffassung des Gerichts – solange keine autoritative Unterstützung vorliegt „ein privates Vergehen oder eine Straftat dieses Individuums: Jener Akt könnte, auch wenn er die Ausübung einer grundrechtlich geschützten Freiheit erschwert, das Grundrecht selbst nicht verletzen, sondern allenfalls eine rechtliche Verantwortung im Hinblick auf staatliche Gesetze, die das konkrete Verhalten verbieten, begründen.“349 Wegen der Beschränkung der Grundrechtsbindung auf Akte der öffentlichen Gewalt besteht auch verfassungsrechtlich kein Grundrechtsschutz in Bezug auf Datenverarbeitungen durch private Akteure.350 Die fehlende Schutzpflichtdimension der Grundrechte ist daher auch als möglicher Begründungsansatz für die in den USA vorherrschende geringere Regelungsdichte und die geringe Anzahl an Regelungen in Bezug auf den Datenschutz zu sehen.351 3. Befugnisse der Exekutive und Sicherheitsgesetze nach dem 11. September 2001 Die Datenschutzgesetze in den USA und ihre Durchsetzbarkeit spiegeln sich auch in den weitreichenden Befugnissen des Präsidenten in den USA wider, die ihren Ursprung in Art. 2 der US-Verfassung haben.352 Die Ausweitung der Befugnisse des Präsidenten begann Anfang der 1980er Jahre unter der Regierung Reagan und gipfelte im „Kampf gegen den Terror“.353 Der Gebrauch dieser Macht durch den Präsidenten und die damit einhergehende fehlende Reaktion durch Gerichte und Kongress haben viele Bereiche beeinflusst, darunter auch den Datenschutz.

347 Schwartz, in: Frank, Übersetzen, verstehen, Brücken bauen, 1993, S. 372 mit Verweis auf BVerfGE 39, 1, 41 sowie Jackson v. Metropolitan Edison Co., 419 U. S. 345, 352 (1975). 348 The Civil Rights Cases, 109 U. S. 3, 18 ff. (1883), Übersetzung durch Elixmann, Datenschutz und Suchmaschinen, S. 186. 349 The Civil Rights Cases, 109 U. S. 3, 18 ff. (1883), Übersetzung durch Elixmann, Datenschutz und Suchmaschinen, S. 186. 350 Elixmann, Datenschutz und Suchmaschinen, S. 186 f. 351 Dies auch andeutend Bignami, B. C. L.Rev. 48 (2007), 609 (684). 352 Dazu Bignami, B. C. L.Rev. 48 (2007), 609 (686 f.), die die Ausweitung der Befugnisse der Exekutive nach dem 11. September 2001 als Erklärung für die transatlatischen Unterschiede ansieht. 353 Bignami, B. C. L.Rev. 48 (2007), 609 (686).

§ 9 Ursachen für unterschiedlichen Datenschutz

263

So kam es bspw., wie 2006 bekannt wurde, – ohne dass die Öffentlichkeit vorher etwas davon mitbekam – zur Einführung einer Datenbank der NSA, die die Telefonverbindungen von Millionen amerikanischer Bürger von einem Telefonanbieter enthält und mit Hilfe von Data-Mining-Programmen zu Antiterrorzwecken ausgewertet wird.354 Auch weitere, ähnliche Programme, wurden auf Grundlage einer solchen Executive Order erlassen.355 Mit der NSA-Affäre 2013 waren Auswirkungen von Spähaktionen auch signifikant in Europa zu spüren. Mit der Autorisierung der Datensammlung verstößt der Präsident jedoch nicht gegen das von der Verfassung geschützte Recht auf Privatheit.356 Nach amerikanischem Recht besteht dieses nämlich nur bei einer reasonable expectation of privacy, von der hier nicht ausgegangen werden kann, da die third party doctrine eingreift.357 Auch unter dem Privacy Act of 1974 besteht kein Schutz, da dieser weitreichende Ausnahmen zur Kriminalitätsbekämpfung zulässt.358 In Europa könnte eine solche Maßnahme  – wenn überhaupt – nur per Gesetz geregelt werden und müsste mit höherrangigem Recht vereinbar sein; in den USA kann eine solche Maßnahme durch den Präsidenten erlassen werden.359 Auch generell ist eine Ausweitung der Sicherheitsgesetze in den USA nach den Anschlägen des 11. September 2001 erkennbar.360 Wie exemplarisch anhand der Auswertung von Fluggastdaten darzulegen sein wird, kam es zu einer beträchtlichen Ausweitung der Sicherheitsgesetze und auch zu einer Aushöhlung bestehender Datenschutzgesetze: So beriefen sich Behörden einerseits für bestimmte Datenkategorien auf bestehende Ausnahmebestimmungen von Datenschutzgesetzen; andererseits wurden für bestimmte Datenkategorien wie Fluggastdaten erst Ausnahmebestimmungen eingeführt.361 Für die Verarbeitung durch den Hoheitsträger scheint, wenn es um die Sicherheit des Individuum geht, der Regierung eine „Bereichsausnahme“ von dem ansonsten vorhanden Bewusstsein für einen sensiblen Umgang mit Daten durch Hoheitsträger zugestanden zu werden. Die weitreichenden Befugnisse der Exekutive sowie die Ausweitung der Sicherheitsgesetze nach den Anschlägen des 11. September 2001 sind somit zumindest ein Erklärungsversuch für die heutzutage bestehende geringe Regelungsdichte und die geringe Anzahl an spezifischen Regelungen des Datenschutzes in den USA.

354 Bignami, B. C. L.Rev. 48 (2007), 609 (686, 610), genauer zu diesem sog. NSA Call Records Program S. 614 ff. 355 Zu weiteren derartigen Programmen Bignami, B. C. L.Rev. 48 (2007), 609 (616 ff.). 356 Bignami, B. C. L.Rev. 48 (2007), 609 (631) mit Nachweisen aus der Rechtsprechung. 357 Siehe dazu oben S. 209 f. 358 Ausführlich die Ausnahmen des Privacy Act of 1974 darlegend Bignami, B. C. L.Rev. 48 (2007), 609 (632 ff., insbesondere S. 634); siehe vor allem 5 U. S. C. § 552a (k) (2) und 5 U. S. C. § 552a (b) (7). 359 Vgl. Bignami, B. C. L.Rev. 48 (2007), 609 (641). 360 Siehe dazu unten S. 321 ff. 361 Siehe dazu die Aufstellung unter http://www.statewatch.org/news/2007/sep/04eu-usa-pnrexemptions.htm (zuletzt geprüft am 15.03.2015).

264

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

V. Die Bedeutung der Selbstregulierung des Marktes und der Entwicklung von Technologieunternehmen Wie bereits im Rahmen der Kurzdarstellung des amerikanischen Datenschutzes ausgeführt, spielt in den USA die Selbstregulierung des Marktes eine bedeutende Rolle.362 Für das Konzept einer weitgehenden Selbstregulierung des Marktes scheint daher ein grobmaschiges Datenschutzsystem ein ideales Umfeld zu sein und eine bestmögliche Verwirklichung zu erlauben. Auch für die Entwicklung von Technologieunternehmen kann ein solches Datenschutzsystem bedeutende Grundlage sein. So erscheint es plausibel, dass sich amerikanische Technologieunternehmen wie Facebook oder Google mit Hilfe geringer Anforderungen an den Datenschutz erst derart entwickeln konnten, wie sie heute am Markt vertreten sind. Im Rahmen der europäischen Datenschutzregelungen wäre hingegen eine derartige Entwicklung, die auf der Auswertung von Datenmassen gründet, wohl nicht in dem Maße möglich gewesen. Somit kann die Bedeutung der Selbstregulierung und die Entwicklung von Technologieunternehmen zumindest als Grund dafür angeführt werden, an der bestehenden Herangehensweise, Datenschutz in den USA zu regeln, festzuhalten. Zwar gibt es auch Initiativen, die gerade im Hinblick auf Handel mit der EU eine Ausweitung der Datenschutzgesetzgebung befürworten, diese konnten sich jedoch bis jetzt nicht durchsetzen.363 VI. Die Entscheidung für eine bestimmte Strategie zur Rechtsdurchsetzung Nach Bignami kann ein weiterer Grund für die vorgenommene Art der Regelungen in der Entscheidung für eine bestimmte Strategie zur Rechtsdurchsetzung gesehen und diese als Erklärungsversuch für die Unterschiede zwischen amerikanischem und europäischem Datenschutz verstanden werden.364 Eine einmal getroffene Entscheidung für die präferierte Art der Rechtsdurchsetzung spiegelt sich somit auch in Datenschutzgesetzen wider und mag daher ihre „geringe“ Regelungsdichte erklären. Die Vorgehensweise ist nicht spezifisch auf den Datenschutz zugeschnitten, sondern spiegelt das amerikanische Rechtssystem wider und wird somit auch in Bezug auf Datenschutzgesetze angewandt.365

362

Siehe dazu oben S. 228 ff. Siehe dazu Bradford, Northwestern University Law Review 107 (2012), 1 (23) m. w. Nachw. 364 Dazu insbesondere Bignami, B. C. L.Rev. 48 (2007), 609 (682–686), sich auf diese Position beziehend Solove, Understanding privacy, S. 185 f. 365 Dazu Bignami, B. C. L.Rev. 48 (2007), 609 (684): „[…] institutional forces appear to have been at work, forces not tied directly to the substance of information privacy policy“. 363

§ 9 Ursachen für unterschiedlichen Datenschutz

265

1. Rechtsdurchsetzung durch Privatklagen Im Gegensatz zu Europa, wo Missstände in Bezug auf Datenschutz von Datenschutzbeauftragten bzw. Aufsichtsbehörden untersucht werden, erfolgt die Kontrolle in den USA vor allem durch Klagen von Privatpersonen.366 Dies stehe im Einklang mit der generellen Herangehensweise in der EU und den USA, wie generalisierend ausgeführt wird: „Americans litigate in court and Europeans negotiate with government agencies.“367 Im privaten Bereich mag dies durchaus zielführend sein. Für den Bereich von Datenschutzverletzungen durch Hoheitsträger scheint dieses verfolgte Konzept jedoch schlecht geeignet zu sein, da Verletzungen der Privatheit – bspw. durch ein geheimes Programm der Regierung – grundsätzlich von Gerichten im Common Law System nicht anerkannt werden.368 Wenn eine Ausforschung des Individuums durch unauffällige Methoden und ohne sichtbare Konsequenzen erfolgt, ist es fast unmöglich, eine „Verletzung“ zur Durchsetzung eines Schadenersatzanspruchs aus unerlaubter Handlung darzulegen.369 Zudem ist es immer schwieriger, einen Hoheitsträger zu verklagen als eine Privatperson.370 Dies liegt darin begründet, dass der Privacy Act of 1974 zwar den Hoheitsträgern keine absolute Immunität gewährt, jedoch ihnen eine qualifizierte Immunität zubilligt, die es erfordert, dass Verletzungen „absichtlich oder bewusst“ erfolgen müssen damit ein Kläger Schadenersatz erlangen kann.371 Somit sind unabhängige Datenschutzbehörden, die mit Ermittlungsbefugnissen ausgestattet sind, besser geeignet, Datenschutzverletzungen aufzudecken als es Privatpersonen mit der Möglichkeit einer Klage sind.372 Das in den USA verfolgte Konzept der Privat­ klagen spiegelt sich somit auch in den vorgenommenen Regelungen zum Datenschutz wider, ist – wie Bignami ausführt – jedoch nicht so gut geeignet wie das in Europa verfolgte Konzept.

366 Dies wird von Bignami, B. C. L.Rev. 48 (2007), 609 (684) als ein Hauptunterscheidungskriterium zwischen amerikanischen und europäischen Datenschutzregelungen angeführt und zur Untermauerung auf den Jahresbericht der Art. 29-Datenschutzgruppe von 2005 verwiesen, der die geringe Anzahl von privater Rechtsdurchsetzung in den jeweiligen Mitgliedstaaten im Vergleich zu den Fällen aufzeigt, die durch Datenschutzbehörden eingebracht wurden. Dazu Europäische Kommission, Achter Jahresbericht der Art.  29 Datenschutzgruppe, 2005, http:// ec.europa.eu/justice/policies/privacy/docs/wpdocs/2005/8th_annual_report_de.pdf (zuletzt geprüft am 15.03.2015). 367 Bignami, B. C. L.Rev. 48 (2007), 609 (684) m. w. Nachw. 368 Vgl. Bignami, B. C. L.Rev. 48 (2007), 609 (684 f.). 369 Bignami, B. C. L.Rev. 48 (2007), 609 (685). 370 Bignami, B. C. L.Rev. 48 (2007), 609 (685) mit Nachweise aus der Rechtsprechung. 371 So erklärt durch Bignami, B. C. L.Rev. 48 (2007), 609 (685) mit Verweis auf den Privacy Act of 1974, § 5 U. S. C. § 552a (g) (4). 372 Vgl. Bignami, B. C. L.Rev. 48 (2007), 609 (685).

266

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

2. Das weitgehende Fehlen von Aufsichts- und Kontrollorganen Ein weiterer Aspekt, der die bestehende Regelungsdichte von US-Datenschutzgesetzen und die Regelungen erklären könnte, ist die Bedeutung von Aufsichtsstrukturen in den USA. In den USA fehlen weitgehend Aufsichts- und Kontrollorgane.373 Lediglich für bestimmte Sektoren wurden Behörden mit der Implementierung beauftragt, so das Gesundheitsministerium für Datenschutz im Gesundheitswesen oder die Federal Trade Commission (Bundeshandelskommission) für den Schutz der Privatsphäre von Kindern im Internet.374 Im Privacy Act of 1974 fehlen solche Regelungen jedoch vollkommen, sodass auch nicht darauf hingewiesen wird, wenn ein Datensammeln durch eine Behörde nicht notwendig zur Erreichung des Zwecks sein sollte375 oder eine „Routineverwendung“ von Daten, die die Behörde als „kompatibel mit dem Zweck, für den die Daten erhoben wurden“376 ansieht, tatsächlich diesen Voraussetzung nicht entspricht.377 Die weitgehende Entscheidung gegen entsprechende Aufsichtsstrukturen mag somit ebenso dazu beitragen, zu erklären, warum die Regelungen und die Regelungsdichte in den USA weniger stark ausgeprägt sind als in Europa. VII. Die anfängliche Entscheidung für begrenzte Datenschutzregelungen Zu den Gründen für die bestehende Art, Datenschutz in den USA zu regeln kann auch die anfängliche Entscheidung für eine sektorielle Herangehensweise und ein im Anwendungsbereich auf Bundesbehörden beschränktes Gesetz für den öffentlichen Sektor sowie die Weiterverfolgung dieser einmal eingeschlagenen Vorgehensweise beigetragen haben.378 Dazu ist zunächst die bereits angeführte Tatsache relevant, dass im Rahmen des Gesetzgebungsverfahrens zum Privacy Act of 1974 eine weitgehend fehlende Gefahr durch private Unternehmen festgestellt wurde und im Folgenden somit auch auf eine rechtliche Regelung bzw. Beschränkung des privaten Sektors in einem allumfassenden Gesetz verzichtet wurde.379 Die Entscheidung gegen eine allumfassende Gesetzgebung im Bereich des Daten 373

Dazu Bignami, B. C. L.Rev. 48 (2007), 609 (685), die dies als eine Erklärung für die transatlantischen Unterschiede ansieht. 374 Bignami, B. C. L.Rev. 48 (2007), 609 (685) mit weiteren Beispielen. 375 Vgl. 5 U. S. C. § 552a (e) (1): „relevant and necessary“. 376 Vgl. 5 U. S. C. § 552a (a) (7): „‚routine use‘ means, with respect to the disclosure of a record, the use of such record for a purpose which is compatible with the purpose for which it was collected“. 377 Bignami, B. C. L.Rev. 48 (2007), 609 (685 f.). 378 Vgl. dazu Schwartz, Yale L. J. 118 (2009), 902 (912 f.) zur Frage, warum die USA und Europa verschiedene Herangehensweisen verfolgen, die unter anderem mit dem Bezug auf „initial choices followed by path“ und „usefulness of omnibus laws in mulitnation systems that wish to harmonize their regulations“ begründet werden können. 379 Vgl. Regan, Legislating privacy – Technology, social values, and public policy, S. 78.

§ 9 Ursachen für unterschiedlichen Datenschutz

267

schutzes bedeutet jedoch nicht, dass diese nicht grundsätzlich möglich gewesen wäre: Sie wurde einerseits während des Gesetzgebungsverfahrens zum Privacy Act of 1974 diskutiert, was zeigt, dass es durchaus als vorstellbar galt und wäre zudem rein praktisch in den USA wohl auch durchführbar gewesen, da andere föderale Staaten wie Kanada oder Deutschland auch ein allumfassendes Datenschutzgesetz erlassen und erfolgreich anwenden konnten.380 Die einmal getroffene Entscheidung gegen umfassende Datenschutzgesetze wird bis heute fortgeführt, scheint als Standard wahrgenommen zu werden und beeinflusst weiterhin die Art, Datenschutz in den USA zu regeln bzw. nicht zu regeln. Zwar gab es auch Initiativen für umfassende Datenschutzgesetze, die jedoch bis jetzt nicht verwirklicht wurden.381

E. Unterschiedliche Herangehensweisen und deren Folgen Objektiv bestehen Unterschiede in der EU und den USA, wie Datenschutz geregelt ist. Somit bestehen auch unterschiedliche Datenschutzniveaus in den beiden Rechtsordnungen. Die möglichen Ursachen sind vielfältig und eine abschließende Nennung und vollumfängliche Bestimmung von Gründen ist nicht möglich. Anhaltspunkte sind jedoch vorhanden. So hat bspw. ein Ansatz, der bei der Entscheidung für eine bestimmte Art der Regelungen des Datenschutzes den Einfluss von kulturellen Hintergründen skeptisch sieht, durchaus seine Berechtigung.382 Ob kulturelle Gründe – Be- und Empfindlichkeiten – bei der Entscheidung, in welcher Weise Datenschutz geregelt werden soll, eine Rolle spielen, konnte nicht abschließend geklärt werden. Datenschutz scheint stets eine individuelle Angelegenheit zu sein, sodass Pauschalisierungen und ein Schluss von Be- und Empfindlichkeiten auf die Art, Datenschutz zu regeln, nicht geboten zu sein scheinen. Anhaltspunkte für bestehende Regelungen könnten jedoch im Verfassungsrecht verortet werden. Zudem ist eine Vielzahl weiterer möglicher Gründe wie die Bedeutung der Meinungsfreiheit oder bestehende politische Verhältnisse denkbar. Möglicherweise lassen sich bestehende Regelungen mit einem einmal eingeschlagenen Weg, Datenschutz zu regeln, und dessen konsequenter Fortführung erklären. Trotz gemeinsamer Ausgangslage wurden nämlich unterschiedliche Wege eingeschlagen. Ob diese Entscheidung jedoch politischen Verhältnissen, Einflussnahme durch Lobbyismus oder – insbesondere in den USA – der Auffassung, dass vom Privat­ sektor keine Gefahren ausgehen, geschuldet war, konnte nicht geklärt werden. Es bleibt festzuhalten, dass verschiedene Gründe für die vorgenommene Art, Datenschutz zu regeln, möglich sind und auch eine Kombination der vorgeschlagenen Gründe sowie weitere nicht genannte Gründe als Ursache in Frage kommen. Eine abschließende Klärung kann hier nicht vorgenommen werden. Tatsache ist je 380

Vgl dazu Schwartz, Yale L. J. 118 (2009), 902 (911, 915 f.). Siehe dazu Bradford, Northwestern University Law Review 107 (2012), 1 (23) m. w. Nachw. 382 Vgl. Schwartz, Yale L. J. 118 (2009), 902 (916); siehe aber auch Schwartz/Peifer, California Law Review 98 (2010), 1925. 381

268

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

doch, dass die unterschiedliche Herangehensweise, die unterschiedliche Art, Datenschutz zu regeln, zu einer Vielzahl an datenschutzrechtlichen Konflikten führt. Diese sind im Folgenden exemplarisch darzustellen und Ansätze zur Lösungsfindung aufzuzeigen.

§ 10 Datenschutzkonflikte und Lösungsansätze Zwischen den USA und der EU besteht eine Vielzahl an Datenschutzkonflikten. Entscheidender und wiederkehrender Grund für bestehende Konflikte ist, dass das Datenschutzniveau der USA von der EU nicht als „angemessen“ angesehen wird, wie es die Datenschutzregelungen der EU zum Datenfluss im internationalen Kontext fordern.

A. Datenschutzkonflikte zwischen der EU und den USA I. Konfliktbereich I: Übermittlung von Daten an Unternehmen aus kommerziellen Interessen 1. Gegenstand des Konflikts Nach Inkrafttreten der DSRL und deren Umsetzung in nationales Recht ist für eine Datenübermittlung in ein Drittland ein angemessenes Schutzniveau in diesem Drittland erforderlich. Dieses wird von der EU bis heute für die USA nicht anerkannt. Da jedoch die USA und die EU bedeutende Handelspartner sind und globale Unternehmen vor allem starke kommerzielle Interessen an einem Daten­ austausch zwischen der EU und den USA haben, waren Lösungen erforderlich, um eine legale Datenübermittlung in die USA für Unternehmen zu ermöglichen.383 2. Lösungsansätze Somit wurde nach Lösungen gesucht, Datenflüsse trotz fehlenden generell angemessenen Schutzniveaus dennoch zu ermöglichen. Die DSRL sah in Art.  26 DSRL Ausnahmeregelungen für die Erforderlichkeit eines angemessenen Schutzniveaus vor. Möglichkeiten für eine Übermittlung ergaben sich zudem durch die in der DSRL geregelten Vertragsklauseln sowie zudem durch verbindliche Unternehmensregelungen. Es wurde jedoch nach einer Maßnahme gesucht, die auch dem amerikanischen Verständnis von Datenschutz gerecht werden konnte. Im Jahr 2000 schlossen die USA und die EU daher nach mehrjährigen Verhandlungen die 383

Siehe zu diesem Konflikt bereits oben S. 109 ff.

§ 10 Datenschutzkonflikte und Lösungsansätze

269

sog. Safe Harbor-Vereinbarung, die Voraussetzungen für Datenübermittlungen näher bestimmt und aus einer Entscheidung der Kommission sowie gewissen Zusicherungen von Seiten der USA bestand.384 Im Rahmen der Safe Harbor-Prinzipien können US Firmen ihre Datenschutzstandards zertifizieren lassen und damit bestätigen, dass die Unternehmen von der EU geforderte Standards erfüllen. In der Folge ist somit ein legaler Datenfluss möglich. Einerseits wird dieses Verfahren als Beleg dafür gesehen, dass die EU ihre Markmacht als extraterritoriales Zwangsmittel einsetzt und damit versucht, die Datenschutzstandards in den USA zu erhöhen.385 Andererseits werden die Safe Harbor-Prinzipien aber auch als schwaches Abkommen mit Schlupflöchern gesehen und damit als Kapitulation der EU vor den Bedenken der USA.386 Die Safe-Harbor-Prinzipen stellen keinerlei rechtliche Verpflichtung innerhalb der USA dar, sodass sowohl die USA als auch die EU für sich beanspruchen können, – formell – unabhängig voneinander entscheiden zu können, welche Art von Gesetzgebung sie hinsichtlich des Datenschutzes für angemessen halten.387 Im Rahmen der NSA-Affäre wurden jedoch die Safe Harbor-Prinzipien in Frage gestellt, mittlerweile scheint zunächst das Interesse an dem Datenfluss zwischen der EU und den USA und damit auch das wirtschaftliche Interesse zu überwiegen, sodass die Regelungen zunächst fortbestehen.388 Anderer Meinung ist hingegen das EU-Parlament, sodass die Zukunft des Safe Harbor-­ Programms noch nicht vollständig geklärt ist.389

384 Entscheidung der Kommission vom 26.  Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und diesbezüglich „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, ABl. L 215 v. 25.08.2000, S. 7 ff.; für eine Abfolge der Verhandlungen siehe die Zusammenfassung bei Greer, RDV 2011, 267 (268 f.) und Regan, Journal of Social Issues 59 (2003), 263 (273 ff.); sowie ausführlich Heisenberg, Negotiating privacy, S.  73 ff.; für einen Überblick sowie Kritik siehe m. umfangr. Nachw.­ Simitis, in: Simitis, BDSG, 8. Aufl. 2014, § 4b Rn. 70 ff.; positiv zu Safe Harbor bspw. Greer, RDV 2011, 267. 385 Shaffer, Yale Journal of International Law 25 (2000), 1 (70–78), Reaktionen der US-Wirtschaft zitierend. 386 Reidenberg, Houston Law Review 38 (2001), 717 (743–746). 387 Shaffer, in: Petersmann/Pollack, Transatlantic economic disputes, 2003, S. 311 f. 388 Siehe dazu oben S. 109 ff. sowie unten S. 577. 389 Dazu Frankfurter Allgemeine Zeitung, Abhöraffäre – EU-Parlament nimmt „Handlanger der NSA“ ins Visier, 12.02.2014, http://www.faz.net/aktuell/politik/europaeische-union/abhoer affaere-eu-parlament-nimmt-handlanger-der-nsa-ins-visier-12798408.html (zuletzt geprüft am 15.03.2015); Committee on Civil Liberties, Press Release: NSA inquiry: lead MEP presents preliminary conclusions, 18.12.2013, http://www.europarl.europa.eu/pdfs/news/expert/infopress/ 20131216IPR31029/20131216IPR31029_en.pdf (zuletzt geprüft am 15.03.2015); Euro­päisches Parlament, Pressemitteilung  – Parlament droht mit Konsequenzen, falls USA Massenüberwachung nicht einstellt, 12.03.2014, http://www.europarl.europa.eu/pdfs/news/expert/infopress/ 20140307IPR38203/20140307IPR38203_de.pdf (zuletzt geprüft am 15.03.2015); krit. Ustaran, An Honest Recap on Safe Harbor, 20.03.2014, https://www.privacyassociation.org/privacy_ perspectives/post/an_honest_recap_on_safe_harbor (zuletzt geprüft am 15.03.2015).

270

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

II. Konfliktbereich II: Übermittlung von Passagierdaten zu Sicherheitszwecken 1. Gegenstand des Konflikts Ein weiterer Datenschutzkonflikt zwischen der EU und den USA besteht darin, dass die USA von Fluggesellschaften in der EU die Übermittlung von Passagierdaten einfordern, die die Fluggesellschaften zu eigenen kommerziellen Zwecken erheben. Diese sog. PNR-Daten sollen im Folgenden von US-Sicherheitsbehörden systematisch ausgewertet und u. a. zur Terrorismusbekämpfung genutzt werden. Da auf Grund der EU-Datenschutzgesetze die geforderte Übermittlung nicht ohne weiteres möglich ist, war eine Lösungsfindung erforderlich. 2. Bewältigung des Konflikts Mit Hilfe von Abkommen zwischen der EU und den USA sollte dafür gesorgt werden, dass von den USA bestimmte Datenschutzstandards eingehalten werden. Auf die Konflikte im Rahmen der geforderten Übermittlung von Passagierdaten und bestehende Abkommen ist ausführlich im Rahmen des Teils III dieser Arbeit einzugehen. III. Konfliktbereich III: SWIFT 1. Gegenstand des Konflikts Im Juni 2006 veröffentlichte eine Reihe namhafter amerikanischen Zeitungen Berichte darüber, dass US-Behörden mit Hilfe verbindlicher Beschlagnahmeanordnungen und mit Kenntnis des Finanzdienstleisters SWIFT390 seit fast sechs Jahren Zugriff auf bei SWIFT vorgehaltene Zahlungsverkehrsdaten haben und diese zu Zwecken der Terrorismusbekämpfung genauer, im Rahmen des Programms zum Aufspüren der Finanzierung des Terrorismus’ (Terrorist Finance ­Tracking Program – TFTP), nutzen.391 In Europa sorgten diese Erkenntnisse für große Em­pörung, 390

Dazu SWIFT, Company Information, http://www.swift.com/info?lang=en (zuletzt geprüft am 15.03.2015); SWIFT, SWIFT history, http://www.swift.com/about_swift/company_informa tion/swift_history.page?lang=en (zuletzt geprüft am 15.03.2015); SWIFT, Oversight of SWIFT, http://www.swift.com/about_swift/company_information/governance/oversight_of_swift.page? (zuletzt geprüft am 15.03.2015). 391 Siehe Lichtblau/Risen, Bank Data Is Sifted by U. S. in Secret to Block Terror, 23.06.2006, http://www.nytimes.com/2006/06/23/washington/23intel.html?pagewanted=all&_r=0 (zuletzt geprüft am 15.03.2015); Gellman/Blustein/Linzer, Bank Records Secretly Tapped, 23.06.2006, http://www.washingtonpost.com/wp-dyn/content/article/2006/06/23/AR2006062300167.html (zuletzt geprüft am 15.03.2015); Simpson, Treasury Tracks Financial Data In Secret Program, 23.06.2006, http://online.wsj.com/news/articles/SB115101988281688182 (zuletzt geprüft am

§ 10 Datenschutzkonflikte und Lösungsansätze

271

sodass in der Folge EU-Institutionen und Datenschutzbehörden und sonstige Akteure im europäischen Datenschutzrecht wie die Art. 29-Datenschutzgruppe oder der Europäische Datenschutzbeauftragte einen Verstoß gegen europäisches Datenschutzrecht feststellten und Konsequenzen forderten.392 2. Bewältigung des Konflikts Nachdem zunächst Lösungsmöglichkeiten wie eine Safe Harbor-Zertifizierung von SWIFT oder die Verlegung der SWIFT-Server aus den USA von SWIFT selbst vorgeschlagen wurden, wurden erste Initiativen ergriffen, eine rechtliche Lösung des Konflikts durch den Abschluss von Abkommen zwischen der EU und den USA zu finden.393 Nach Gesprächen zwischen der EU mit dem Finanzministerium der USA wurden in einem „Schreiben des Finanzministeriums der Vereinigten Staaten zum Thema SWIFT/Programm zum Aufspüren der Finanzierung des Terrorismus (TFTP)“ zunächst bestimmte Garantien zur Verarbeitung der von SWIFT erhaltenen Daten gegeben.394 Nach Abzug des sich in den USA befindlichen SWIFT-Servers wurde von US-Seite zudem auf die Erhaltung der Auswertungsmöglichkeiten von SWIFT-Daten durch ein Abkommen hingewirkt, von der auch die EU profitieren sollte.395 Nach Verhandlungen mit den USA wurde schließlich am 30. November 2009 ein Interimsabkommen zwischen der EU und den USA unterzeichnet, das am 1. Februar 2010 in Kraft treten und später durch ein längerfristiges Abkommen ersetzt werden sollte.396 Nach Inkrafttreten des Vertrages von Lissabon und damit einhergehender zwingender Beteiligung des Parlaments versagte dieses jedoch dem Abkommen am 11. Februar 2010 seine Zustimmung.397 15.03.2015); Meyer/Miller, U. S. Secretly Tracks Global Bank Data, http://articles.latimes.com/ 2006/jun/23/nation/na-swift23 (zuletzt geprüft am 15.03.2015); siehe zur SWIFT-Kontroverse ausführlich Hummer, Archiv des Völkerrechts 49 (2011), 203 sowie monographisch Ambrock, Die Übermittlung von S. W. I. F.T.-Daten an die Terrorismusaufklärung der USA. 392 Siehe bspw. ausführlich Art.  29-Datenschutzgruppe, Stellungnahme 10/2006 zur Verarbeitung von personenbezogenen Daten durch die Society for Worldwide Interbank Financial Telecommunication (SWIFT), WP 128, 22.11.2006 sowie für eine Zusammenfassung der Reaktionen und weitere Nachweise Hummer, Archiv des Völkerrechts 49 (2011), 203 (214 ff.). 393 Hierzu sowie zum Folgenden Hummer, Archiv des Völkerrechts 49 (2011), 203 (219 ff.). 394 Schreiben des Finanzministeriums der Vereinigten Staaten zum Thema SWIFT/Programm zum Aufspüren der Finanzierung des Terrorismus (TFTP) mit Zusicherungen, ABl. C 166 v. 20.07.2007, S. 17 ff. 395 Dazu und zum Folgenden Hummer, Archiv des Völkerrechts 49 (2011), 203 (226 ff.). 396 Siehe Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der Europäischen Union an die Vereinigten Staaten für die Zwecke des Programms zum Aufspüren der Finanzierung des Terrorismus, ABl. L 8 v. 13.01.2010, S. 11 ff. 397 Legislative Entschließung des Europäischen Parlaments vom 11. Februar 2010 zu dem Vorschlag für einen Beschluss des Rates über den Abschluss des Abkommens zwischen der Euro­ päischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der Europäischen Union an die Vereinigten Staaten für die

272

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

Auf Grund der Ablehnung des Parlaments wurden erneut Verhandlungen mit den USA aufgenommen und datenschutzrechtliche Nachbesserungen gefordert, bevor das neu verhandelte Abkommen schließlich nach erneuten kritischen Aussprachen im EU-Parlament am 8. Juli 2010 angenommen wurde und am 1. August 2010 in Kraft trat.398 Im Rahmen der NSA-Affäre wurde jedoch wieder ein Aussetzen des Abkommens gefordert.399 IV. Konfliktbereich IV: Die bestehenden Datenverarbeitungspraktiken amerikanischer Unternehmen 1. Gegenstand des Konflikts Ein weiterer Konfliktbereich besteht in den bestehenden Datenverarbeitungspraktiken amerikanischer Unternehmen, die in Europa auf Kritik stoßen. Exemplarisch sind die Unternehmen Google und Facebook zu nennen. Verschiedene Geschäftsmodelle von Google, die im Heimatland des Unternehmens auf Grund der unterschiedlichen Art, Datenschutz zu regeln, keine bis wenige Datenschutzbedenken auslösen, sind in Europa Gegenstand umfassender Diskussionen. Zunächst steht das Grundgeschäftsmodell von Google, der Betrieb einer Internetsuchmaschine, in Kritik, das in letzter Zeit vor allem wegen G ­ oogles Autocomplete Funktion im Hinblick auf die Verletzung von Persönlichkeitsrechten diskutiert wurde.400 Gegenstand von Kritik ist zudem das Angebot Google Street View.401 Zudem stieß die Änderung der Datenschutzerklärung des Unternehmens vor allem in Europa auf Ablehnung.402 Die aktuell weitreichendste KonZwecke des Programms zum Aufspüren der Finanzierung des Terrorismus, P7_TA(2010)0029; dazu bspw. Spiegel online, Bankdaten: EU-Parlament kippt Swift-Abkommen, 11.02.2010, http:// www.spiegel.de/politik/ausland/bankdaten-eu-parlament-kippt-swift-abkommen-a-677232.html (zuletzt geprüft am 15.03.2015); zum Verlauf der Verhandlungen im Parlament Hummer, Archiv des Völkerrechts 49 (2011), 203 (227) m. w. Nachw. 398 Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der Europäischen Union an die Vereinigten Staaten von Amerika für die Zwecke des Programms zum Aufspüren der Finanzierung des Terrorismus, ABl. L 195 v. 27.07.2010, S. 5 ff.; siehe zum Inhalt ausführlich Hummer, Archiv des Völkerrechts 49 (2011), 203 (226 ff.). 399 Hecking, EU-Abgeordnete wollen Swift-Abkommen aussetzen, 09.09.2013, http://www. spiegel.de/netzwelt/netzpolitik/nsa-spionage-eu-abgeordnete-wollen-swift-abkommen-stoppena-921235.html (zuletzt geprüft am 15.03.2015). 400 Siehe bspw. BGH, Urt. v. 14.05.2013 – VI ZR 269/12; zum Datenschutz bei Suchmaschinen ausführlich Elixmann, Datenschutz und Suchmaschinen. 401 Siehe dazu Forgó/Krügel/Müllenbach, CR 2010, 616; van der Sloot/Zuiderveen Borgesius, CRi 2012, 103, aus verfassungsrechtlicher Sicht Holznagel/Schumacher, JZ 2011, 57 sowie ausführlich grundlegend Dreier/Spiecker gen. Döhmann, Die systematische Aufnahme des Straßenbildes. 402 Dazu Gerhartinger, ZD 2012, 303; Becker/Becker, MMR 2012, 351.

§ 10 Datenschutzkonflikte und Lösungsansätze

273

troverse im Zusammenhang mit Google ist die bestende Möglichkeit, Links mit personenbezogenenen Daten unter bestimmten Voraussetzungen löschen lassen zu können, sodass bspw. Zeitungsartikel mit nicht mehr aktuellen Informationen nicht mehr auffindbar sind.403 Auch ein anderer amerikanischer Konzern ist mit seinen Datenverarbeitungspraktiken fortdauernd Gegenstand umfassender Diskussionen.404 Das Unternehmen Facebook steht aus unterschiedlichen Gründen in der Kritik. Zum einen ist das Geschäftsmodell von Facebook auf Grund der durch ein Facebook Profil und u. a. der Nutzung des „Gefällt Mir“-Buttons mit der möglichen zielgerichteten Werbung in der Kritik, zum anderen stieß u. a. auch die automatische Gesichtserkennung auf Ablehnung oder das Erfordernis, Klarnamen zu verwenden. 2. Bewältigung des Konflikts Fraglich ist, wie die bestehenden Konflikte zu bewältigen sind. Die Bewältigung gestaltet sich schwierig. Die Schwierigkeit der Konfliktbewältigung ist bedingt durch die unterschiedliche Art, Datenschutz zu regeln und das teilweise fehlende Verständnis für die auf der jeweils anderen Atlantikseite vorgenommenen Regeln. So äußerte sich Facebook Chefin Sandberg: „Europäer im Allgemeinen und Deutsche im Besonderen denken  – und mir wurde dies wiederholt gesagt: Als amerikanisches Unternehmen könne man Privatsphäre weder verstehen, noch sich dafür interessieren“.405 Tatsächlich wird gerade Facebook bspw. als „notorischer Rechtsverletzer“406 bezeichnet oder das Geschäftsmodell des Unternehmens gar mit „Datenschutzverstoß als Geschäftsmodell“407 überschrieben. Der Datenschutzbeauftragte von Schleswig-Holstein Weichert bspw. führt zu Facebook aus: „Der Fall [Facebook] könnte allen Unternehmen, die mit datenschutzwidrigen Methoden guten Profit machen wollen, zum Vorbild dienen“.408 Eine solche Sicht der Dinge mag aus europäischer Sicht – trotz überspitzter Formulierung – zumindest nachvollziehbar sein. Jedoch ist – genauso wie bei den übrigen beschriebenen Konfliktbereichen  – die unterschiedliche Vorgehensweise in Bezug auf Datenschutzregelungen zumindest zu berücksichtigen. Sie hat ihren Anteil an der Vorgehensweise Facebooks und den Reaktionen darauf in Europa. Die Gewinn 403

Siehe EuGH, Urt. v. 13.05.2014, Rs. C-131/12. Dazu bspw. Gropp/Lindner, Frankfurter Allgemeine Zeitung 20.04.2013, 11; Bender, K&R 2013, 218; Spiecker gen. Döhmann, K&R 2012, 717; OVG Schleswig-Holstein, Beschl. v. 22.04.2013 – 4 MB 11/13, zur Vorinstanz Kramer, Datenschutz-Berater 2013, 72 mit einem Interview mit dem Leiter der Datenschutzaufsichtbehörde Schleswig-Holstein Thilo Weichert; bereits auch Jotzo, MMR 2009, 232 (232 f.). 405 Siehe dazu aus der FAZ Gropp/Lindner, Frankfurter Allgemeine Zeitung 20.04.2013, 11, für das Interview mit Sandberg, S. 16. 406 So Weichert, DuD 2012, 716 (717). 407 So ebenfalls Weichert, DuD 2012, 716 (716). 408 Weichert, DuD 2012, 716 (718). 404

274

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

erzielungsabsicht Facebooks ist unbestritten, „Datenschutzverstoß als Geschäftsmodell“ ist jedoch fraglich. Das Geschäftsmodell konnte sich nur auf Grund der vorzufindenden Bedingungen in den USA in dieser Weise entwickeln und hat nun Probleme mit den anderen Standards in Europa. Auch Weichert führt aus, dass Datenschutz in den USA „einen anderen Stellenwert“ habe und „US-IT-Unternehmen […] in ihrem Heimatland ein geringeres rechtliches Problem mit Privacy, der ‚Privatheit‘“ hätten.409 Selbstverständlich müssen amerikanische Unternehmen bei der Unterhaltung von Geschäftsbeziehungen in Europa die dort geltenden Gesetze und somit auch Datenschutzregelungen berücksichtigen. Wie dies jedoch zu erreichen ist, ist fraglich. Gerade im Hinblick auf die neue EU DSGVO besteht auch weiterhin ein erhebliches Konfliktpotenzial. Die bestehenden Safe-Harbor Regelungen werden nicht als ausreichend erachtet.410 Die geplante Regelung eines „Marktortprinzips“ als Auslöser für die Anwendung Europäischen Datenschutzrechts411 mag aus europäischer Sicht ein Lösungsansatz sein. Ein weiterer Aspekt könnten Bußgelder sein. Sowohl in den USA als auch in der EU müssen Unternehmen für Datenschutzverstöße Bußgelder zahlen.412 In Europa gibt es jedoch Initiativen, diese deutlich zu erhöhen.413 Ausgeräumt sind dadurch die Konflikte aber nicht. V. Konfliktbereich V: E-Discovery 1. Gegenstand des Konflikts Ein weiterer Konflikt im Zusammenhang mit Datenschutzregelungen besteht zwischen Ländern der EU und den USA auf Grund der im amerikanischen Zivilprozessrecht möglichen elektronischen Beweiserhebung (E-Discovery) im Rahmen der sog. Pre-Trial Discovery.414 Unter der sog. Pre-Trial Discovery ist ein Ver 409

Weichert, DuD 2012, 716 (718). Vgl. Schaar, K&R 2012, Editorial mit Bezug zu plattformübergreifender Verknüpfung von Nutzerdaten. 411 Dazu auch Schaar, K&R 2012, Editorial. 412 Siehe dazu bspw. Spiegel online, Datenschutz-Verstoß: Google zahlt Rekordbußgeld, 09.08.2012, http://www.spiegel.de/netzwelt/netzpolitik/ftc-google-muss-wegen-safari-verstoss22-5-millionen-dollar-zahlen-a-849210.html (zuletzt geprüft am 15.03.2015); Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Bußgeld gegen Google festgesetzt, 22.04.2013, http://www.datenschutz-hamburg.de/news/detail/article/bussgeld-gegen-googlefestgesetzt.html (zuletzt geprüft am 15.03.2015). 413 Siehe Art. 78 und 79 zum Entwurf der DSGVO. 414 Dazu ausführlich Junker, Electronic Discovery gegen deutsche Unternehmen; Spies/ Schröder, MMR 2008, 275; Art. 29-Datenschutzgruppe, Arbeitsunterlage 1/2009 über Offenlegungspflichten im Rahmen der vorprozessualen Beweiserhebung bei grenzübergreifenden zivilrechtlichen Verfahren (pre-trial discovery), WP 158, 11.02.2009, http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/2009/wp158_de.pdf (zuletzt geprüft am 15.03.2015); Deutlmoser/ Filip, ZD-Beilage 6/2012, 1; Geercken/Holden/Rath/Surguy/Stretton, CRi 2013, 44. 410

§ 10 Datenschutzkonflikte und Lösungsansätze

275

fahren im amerikanischen Zivilprozess zu verstehen, bei dem die Parteien nicht nur Beweisfragen in schriftlicher Form stellen und Zeugen vernehmen, sondern auch nicht in ihrem Besitz befindliche Dokumente und Informationen, die möglicherweise für die Rechtsverfolgung von Bedeutung sein können, von der Gegenseite herausverlangen können.415 Ohne dass es in der Regel einer richterlichen Anordnung bedarf, kann durch die Parteien die Vorlage von Dokumenten (sog. Discovery Requests) gefordert werden.416 Rechtsgrundlage dazu ist für Bundesgerichte Regel 34(a) der Federal Rules of Civil Procedure, die auch elektronisch gespeicherte Informationen unter den Begriff der „Dokumente“ fasst und mittlerweile auch explizit „electronically stored information“ nennt.417 E-Discovery kann daher definiert werden als „Gesamtheit der Maßnahmen, die nach den Verfahrensregeln der discovery darauf gerichtet sind, (1) elektronische Dokumente (electronic documents) in körperlicher oder unkörperlicher Form zu bekommen, (2) Einblick in elektronische Datensammlungen (data compilations) zu erhalten und/oder (3) die Existenz von elektronischen Dokumenten oder Datensammlungen zu erforschen“.418 Bei den in elektronischer Form vorgehaltenen Daten muss es sich – wie bei der discovery üblich – nicht um Informationen handeln, die in einer Hauptverhandlung (trial) als Beweismittel zulässig wären, sondern es ist ausreichend, wenn die Informationen zur Aufdeckung möglicher Beweismittel führen könnten.419 Sollten verantwortliche Stellen in Europa eine solche Aufforderung zur Offenlegung von Dokumenten bzw. Informationen erhalten, besteht für die Stellen ein Konflikt zwischen Offenlegung des Angeforderten und den europäischen Datenschutzbestimmungen. In der Praxis werden solchen Anfragen oftmals vollumfänglich entsprochen, sei es aus Unwissen oder Angst vor Sanktionen durch ein USGericht.420 Solche können durchaus verhängt werden.421 Andererseits unterliegen die jeweiligen verantwortlichen Stellen in Europa auch der Datenschutzgesetze der jeweiligen Mitgliedstaaten. 2. Bewältigung des Konflikts Zur Lösungsfindung wird auf bestehende Instrumente im europäischen Datenschutzrecht zurückgegriffen, die jedoch keine vollumfassend zufriedenstellende Lösung bieten können, sodass Raum für weitere Entwicklungen besteht. So gestal 415

Spies/Schröder, MMR 2008, 275 (276). Spies/Schröder, MMR 2008, 275 (276). 417 Dazu Junker, Electronic Discovery gegen deutsche Unternehmen, S. 17 f. mit Ausführungen zur Entwicklung der Vorschrift; Spies/Schröder, MMR 2008, 275 (276). 418 Junker, Electronic Discovery gegen deutsche Unternehmen, S. 19 m. w. Nachw. u. Ausführungen. 419 Junker, Electronic Discovery gegen deutsche Unternehmen, S. 19 m. Bsp. aus d. Praxis. 420 Vgl. Spies/Schröder, MMR 2008, 275 (276) m. w. Ausführungen. 421 Geercken/Holden/Rath/Surguy/Stretton, CRi 2013, 44 (12) mit Darstellung der verschiedenen möglichen Sanktionen. 416

276

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

tet sich die Einwilligung der jeweils Betroffenen schwierig, da bspw. für eine wirksame Einwilligung eine freie Entscheidung des Betroffenen erforderlich ist oder im Rahmen von Arbeitsverträgen Klauseln über eine Einwilligung für zukünftige Übermittlungen von Daten nicht durchsetzbar sein werden.422 Eine Berufung auf die Safe Harbor-Prinzipien scheint ebenfalls wenig zielführend zu sein, da nur wenige weltweit tätige Anwaltskanzleien als Empfänger der Daten eine Selbstzertifizierung nach diesen vorgenommen haben und es eher unwahrscheinlich ist, dass die Gegenseite sich diesen Regeln bei einem Rechtsstreit vor einem US-Gericht unterwirft.423 Des Weiteren scheint auch eine Berufung auf das Haager Beweisübereinkommen nicht den gewünschten Erfolg zu versprechen, da zwar die USA und europäische Staaten wie bspw. Deutschland Parteien des Abkommens sind, jedoch eine Vielzahl an Ländern gerade durch einen im Abkommen abgegebenen Vorbehalt keine Rechtshilfeersuchen aus den USA auf Grund von Pre-Trial Discovery bedienen werden und zudem Schwierigkeiten mit der Durchsetzung des Abkommens bestehen.424 Weitere bestehende Instrumentarien wie Standardvertragsklauseln oder verbindliche Unternehmensregelungen könnten – nach primärer Prüfung der Zulässigkeit der Datenverarbeitung generell – ebenfalls in Betracht kommen: Bei Vertragsklauseln scheint es jedoch bspw. unwahrscheinlich, dass sich amerikanische Rechtsanwälte oder Gerichte darauf einlassen, entsprechende Verträge zu schließen; die verbindlichen Unternehmensregelungen sind Instrumentarien für Datenübermittlungen innerhalb eines Unternehmens und er­lauben nicht die Datenübertragung an Anwälte in den USA.425 Eine möglicherweise in Betracht kommende Lösung des Problems könnte zudem in Art. 26 I lit. d DSRL gesehen werden, der als Ausnahmevorschrift eine Übermittlung zur Geltend­machung, Ausübung oder Verteidigung von Rechtsansprüchen erlaubt, wenn diese erforderlich oder gesetzlich vorgeschrieben ist.426 Zur Lösung des Konflikts ist eine Abwägung

422 Dazu ausführlich Deutlmoser/Filip, ZD-Beilage 6/2012, 1 (6 ff.); Art. 29-Datenschutzgruppe, Arbeitsunterlage 1/2009 über Offenlegungspflichten im Rahmen der vorprozessualen Beweiserhebung bei grenzübergreifenden zivilrechtlichen Verfahren (pre-trial discovery), WP  158, 11.02.2009, S. 10. 423 Deutlmoser/Filip, ZD-Beilage 6/2012, 1 (9). 424 Spies/Schröder, MMR 2008, 275 (276: 277); siehe auch Deutlmoser/Filip, ZD-Beilage 6/2012, 1 (10); Art. 29-Datenschutzgruppe, Arbeitsunterlage 1/2009 über Offenlegungspflichten im Rahmen der vorprozessualen Beweiserhebung bei grenzübergreifenden zivilrechtlichen Verfahren (pre-trial discovery), WP 158, 11.02.2009, S. 14, die vorschlägt, das Abkommen in Erwägung zu ziehen. 425 Deutlmoser/Filip, ZD-Beilage 6/2012, 1 (9 f.); siehe jedoch auch Art.  29-Datenschutzgruppe, Arbeitsunterlage 1/2009 über Offenlegungspflichten im Rahmen der vorprozessualen Beweiserhebung bei grenzübergreifenden zivilrechtlichen Verfahren (pre-trial discovery), WP 158, 11.02.2009, S. 15, die eine Übermittlung auf diesen Grundlagen zumindest in Erwägung zieht. 426 Art. 29-Datenschutzgruppe, Arbeitsunterlage 1/2009 über Offenlegungspflichten im Rahmen der vorprozessualen Beweiserhebung bei grenzübergreifenden zivilrechtlichen Verfahren (pre-trial discovery), WP 158, 11.02.2009, S. 14; siehe auch Deutlmoser/Filip, ZD-Beilage 6/2012, 1 (11).

§ 10 Datenschutzkonflikte und Lösungsansätze

277

der widerstreitenden Interessen anzustellen und Konflikten bspw. durch Filterung der Daten auf Relevantes oder Schwärzung von Passagen beim Verantwortlichen zu begegnen.427 Letztlich geklärt ist dieser Datenschutzkonflikt jedoch nicht. So besteht neben dem Grundproblem bspw. auch die Kontroverse, was mit Daten geschieht, die einmal rechtmäßig mit Hilfe bestehender Instrumentarien in die USA gelangt sind und dort Gegenstand von E-Discovery werden.428 VI. Konfliktbereich VI: Die NSA-Affäre Der wohl am kontroversesten diskutierte Konfliktbereich zwischen der EU und den USA mit Bezug zum Datenschutz betrifft die durch den Whistleblower­ Edward Snowden aufgedeckten Überwachungsprogramme der USA und insbesondere ihres Geheimdienstes NSA. Dieser Datenschutzkonflikt hat erheblichen Einfluss auf andere Datenschutzkonflikte. 1. Gegenstand des Konflikts Die Tageszeitungen The Guardian und Washington Post veröffentlichten Anfang Juni 2013 Berichte über eine auf Grundlage von section 215 des PATRIOT Act erlassene Verfügung des im Geheimen verhandelnden Foreign Intelligence Surveillance Court an die Telefongesellschaft Verizon, die ihr aufgab, der NSA Aufzeichnungen über Telefongespräche zwischen den USA und dem Ausland sowie innerhalb der USA zu übermitteln und zwar „on an ongoing daily basis“.429 Ebenso veröffentlichten die genannten Tageszeitungen das Bestehen eines Spähprogramms der NSA mit dem Namen PRISM, das Zugriff auf bei US-Konzernen wie Google oder Facebook vorgehaltene Daten erlaubt.430 Kurze Zeit später gab 427 Vgl. Deutlmoser/Filip, ZD-Beilage 6/2012, 1 (11 f. sowie 17 f.); Spies/Schröder, MMR 2008, 275 (281). 428 Art. 29-Datenschutzgruppe, Arbeitsunterlage 1/2009 über Offenlegungspflichten im Rahmen der vorprozessualen Beweiserhebung bei grenzübergreifenden zivilrechtlichen Verfahren (pre-trial discovery), WP 158, 11.02.2009, S. 8. 429 Greenwald, NSA collecting phone records of millions of Verizon customers daily, 05.06.2013, http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-courtorder (zuletzt geprüft am 15.03.2015); Lee, Report: NSA asked Verizon for records of all calls in the U. S., 05.06.2013, http://www.washingtonpost.com/blogs/wonkblog/wp/2013/06/05/ nsa-asked-verizon-for-records-of-all-calls-in-the-u-s/ (zuletzt geprüft am 15.03.2015). 430 Gellman/Poitras, U. S., British intelligence mining data from nine U. S. Internet companies in broad secret program, 06.06.2013, http://www.washingtonpost.com/investigations/us-intelli gence-mining-data-from-nine-us-internet-companies-in-broad-secret-program/2013/06/06/3a0 c0da8-cebf-11e2-8845-d970ccb04497_story.html (zuletzt geprüft am 15.03.2015); Greenwald/ MacAskill, NSA Prism program taps in to user data of Apple, Google and others, 06.06.2013, http://www.theguardian.com/world/2013/jun/06/us-tech-giants-nsa-data (zuletzt geprüft am 15.03.2015).

278

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

Edward Snowden seine Identität preis und gab an, die Quelle hinter den Informationen zu den NSA-Aktivitäten zu sein.431 Weitere Enthüllungen folgten. So wurden bspw. eine Reihe weiterer Überwachungsprogramme aufgedeckt, die u. a. das Anzapfen transatlantischer Glasfaserkabel („Upstream“), die Analyse bzw. Durchsuchung digital vorhandener Informationen („XKeyscore“) oder die systematische Angreifbarkeit von Verschlüsselungssystemen („BULLRUN“) beinhalteten.432 Diese und weitere Enthüllungen wie bspw. das Abhören europäischer Spitzenpolitiker433 führten zu zunehmenden Spannungen zwischen Mitgliedstaaten der EU und den USA und Forderungen nach Konsequenzen und Lösungen für das Problem des massenweisen Ausspähens von Bürgern. 2. Bewältigung des Konflikts Auf der Suche nach Lösungen für den bestehenden Konflikt wurden bspw. Forderungen laut, die ein Aussetzen des SWIFT-Abkommens forderten.434 Auch wurde über ein Aussetzen der Verhandlungen zu einem EU-US-Freihandelsabkommen nachgedacht.435 Insbesondere wurde jedoch auch eine Überprüfung und sogar Kündigung der Safe-Harbor Vereinbarung in Erwägung gezogen, da auch Safe Harborzertifizierte Unternehmen im Rahmen der NSA-Affäre beteiligt waren und Daten lieferten.436 Als weitere Lösung für das Problem wurde – zumindest in Deutsch 431

Greenwald/MacAskill/Poitras, Edward Snowden: the whistleblower behind the NSA surveillance revelations, 09.06.2013, http://www.theguardian.com/world/2013/jun/09/edwardsnowden-nsa-whistleblower-surveillance (zuletzt geprüft am 15.03.2015); Gellman/Blake/Miller, Edward Snowden comes forward as source of NSA leaks, 09.06.2013, http://www.washington post.com/politics/intelligence-leaders-push-back-on-leakers-media/2013/06/09/fff80160-d12211e2-a73e-826d299ff459_story.html (zuletzt geprüft am 15.03.2015); Spiegel online, Web-Überwachung durch die NSA: 29-jähriger Techniker verriet Spähprogramm Prism, 09.06.2013, http:// www.spiegel.de/netzwelt/netzpolitik/guardian-enthuellt-ex-geheimdienst-mitarbeiter-als-prismquelle-a-904667.html (zuletzt geprüft am 15.03.2015). 432 Eine gute Übersicht mit Erklärungen u. w. Nachw. findet sich bei Europäisches Parla­ ment – Fachabteilung Bürgerrechte und Konstitutionelle Angelegenheiten, Die Überwachungsprogramme der USA  und ihre Auswirkungen auf die Grundrechte der EU-Bürger, 2013, S.  17 ff., http://www.europarl.europa.eu/RegData/etudes/note/join/2013/474405/IPOL-LIBE_ NT%282013 %29474405_DE.pdf (zuletzt geprüft am 15.03.2015). 433 Siehe bspw. Spiegel online, NSA-Überwachung: Merkels Handy steht seit 2002 auf USAbhörliste, 26.10.2013, http://www.spiegel.de/politik/deutschland/nsa-ueberwachung-merkelsteht-seit-2002-auf-us-abhoerliste-a-930193.html (zuletzt geprüft am 15.03.2015). 434 Hecking, EU-Abgeordnete wollen Swift-Abkommen aussetzen, 09.09.2013. 435 Bspw. Zeit online, Steinbrück will Gespräche über Freihandelsabkommen unterbrechen, 25.08.2013, http://www.zeit.de/politik/deutschland/2013-08/steinbrueck-nsa-freihandels abkommen (zuletzt geprüft am 15.03.2015). 436 Siehe dazu bspw. Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2013, Pressemitteilung Datenschutzkonferenz: Geheimdienste gefährden massiv den Datenverkehr zwischen Deutschland und außereuropäischen Staaten, 24.07.2013 sowie Spiegel online,

§ 10 Datenschutzkonflikte und Lösungsansätze

279

land – zudem der Abschluss eines No-Spy Abkommens diskutiert, was aber auf Grund fehlender Bereitschaft von amerikanischer Seite, verbindliche Zusagen zu geben, wenig erfolgversprechend zu sein scheint.437 Die EU-Kommission nahm sich der NSA-Affäre ebenso an und veröffentlichte eine Stellungnahme zur „Wiederherstellung des Vertrauens beim Datenaustausch zwischen der EU und den USA“, in dessen Rahmen sie ein Strategiepapier über die transatlantischen Datenströme erließ, eine Analyse des Funktionierens des Safe-Harbor Abkommen inklusive Verbesserungsvorschlägen veröffentlichte, einen Sachstandsbericht zu den Feststellungen der gemeinsamen Arbeitsgruppe EU-USA gab sowie die Überprüfung des PNR-Abkommens sowie des Programms zum Aufspüren der Terrorismusfinanzierung veröffentlichte.438 Um einen Datenfluss auch in Zukunft zu ermöglichen, muss nach Aussagen der Kommission ein hohes Datenschutzniveau sichergestellt werden, was die Kommission durch die schnelle Verabschiedung der Datenschutzreform der EU, die Konsolidierung der Safe-Harbor-Regelung, einer Verstärkung der Datenschutzgarantien im Bereich der Strafverfolgung, einen Rückgriff auf das bestehende Rechtshilfeabkommen zwischen der EU und den USA sowie sektorspezifische Abkommen zum Zweck der Datenübermittlung, die Berücksichtigung europäischer Belange im Rahmen der laufenden Reformprozesse in den USA sowie die Förderung von Datenschutzstandards auf internationaler Ebene erreichen möchte.439 Auch von US-Seite erfolgten Reaktionen auf die NSA-Affäre. So wurden gewisse Begrenzungen der Spionagetätigkeiten in Aussicht gestellt wie eine Beschränkung des Ausspionierens von Ausländern oder Regierungschefs anderer Staaten.440 Die genannten Initiativen sind zwar ein Anfang, eine tatsächliche Lösung für diesen bestehenden, in weitere Datenschutzkonflikte übergreifenden und in seinem tatsächlichen Ausmaß nicht voll überblickbaren Datenschutzkonflikt scheinen sie jedoch nicht zu sein. Weitere Entwicklungen werden sich in der Zukunft zeigen. Datenschutz: CSU-Politiker will Safe-Harbor-Pakt mit Washington kündigen, 29.10.2013, http:// www.spiegel.de/politik/ausland/csu-politiker-weber-will-safe-harbor-pakt-mit-washingtonkuendigen-a-930493.html (zuletzt geprüft am 15.03.2015). 437 Dazu Leyendecker/Mascolo Georg, „Die Amerikaner haben uns belogen“, 13.01.2014, http://www.sueddeutsche.de/politik/kaum-hoffnung-auf-no-spy-abkommen-die-amerikanerhaben-uns-belogen-1.1862138 (zuletzt geprüft am 15.03.2015); Prantl, Ende einer Illusion, 14.01.2014, http://www.sueddeutsche.de/politik/no-spy-abkommen-vor-dem-scheitern-der-ernstder-nsa-abhoerlage-1.1862206 (zuletzt geprüft am 15.03.2015); zu einem pragmatischeren Ansatz Miller/Poscher, Frankfurter Allgemeine Zeitung 28.11.2013. 438 Dazu ausführlich European Commission, Press Release: Restoring Trust in EU-US data flows – Frequently Asked Questions, MEMO/13/1059, 27.11.2013 mit weiteren Verweisungen. 439 European Commission, Press Release: Restoring Trust in EU-US data flows – Frequently Asked Questions, MEMO/13/1059, 27.11.2013 mit weiteren Verweisungen. 440 Frankfurter Allgemeine Zeitung, Grundsatzrede zur NSA-Überwachung – Obama: Wir werden uns nicht entschuldigen, 17.01.2014, http://www.faz.net/aktuell/politik/ausland/amerika/ grundsatzrede-zur-nsa-ueberwachung-obama-wir-werden-uns-nicht-entschuldigen-12757016. html (zuletzt geprüft am 15.03.2015).

280

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

VII. Weitere Konfliktbereiche Die genannten Datenschutzkonflikte zeigen exemplarisch bestehende Differenzen auf, die zu einem großen Teil auf unterschiedliche Herangehensweisen zum Thema Datenschutz und Datenschutzgesetzgebung zurückzuführen sind. Die Liste könnte um weitere Konflikte ergänzt werden. So ist der Datenschutz bspw. auch eine der Hauptkontroversen im geplanten EU-US-Freihandelsabkommen, in dessen Verhandlungen wenig Einblick möglich ist. Auch für den erfolgenden Zugriff von Sicherheitsbehörden auf in Clouds amerikanischer Anbieter gespeicherte Daten ist noch keine überzeugende Lösung in die Praxis umgesetzt worden.441 Wie an den aufgezeigten Konfliktbereichen erkennbar, gestaltet sich eine Lösungsfindung schwierig und scheint kaum allseits zufriedenstellende Ergebnisse nach sich zu ziehen. Je nach Konfliktbereich scheint die Lösungsfindung besser oder schlechter zu gelingen. Wie grundsätzlich eine solche Lösungsfindung möglich sein könnte oder ob dahingehend generelle Aussagen getroffen werden können, ist im Folgenden von Interesse.

B. Lösungsansätze und Interessenbalance I. Problem einer Lösungsfindung Wie die genannten Beispiele erkennen lassen, gibt es im Bereich des Datenschutzes eine Vielzahl an Konfliktbereichen zwischen den USA und der EU. Zur Lösung dieser Konfliktbereiche sind lediglich ein Verweis auf die eigene Herangehensweise zum Datenschutz, auf die Art Datenschutz zu regeln und in der Folge ein reines Einfordern der eigenen Position nicht hilfreich. Ein Verweis darauf, dass die EU den Datenschutz zu sehr in den Vordergrund stellt oder die Argumentation, dass der Datenschutz in den USA defizitär sei, führt ebenfalls nicht zu Lösungen. Ähnlich drückt es auch Whitman aus: „[…] we will not do justice to our transatlantic conflicts if we begin by declaring that American privacy law has ‚failed‘ while European privacy law has ‚succeeded‘.“442 Die jeweiligen Positionen sind über Jahre hinweg entstanden und werden im Grundsatz nur schwer zu ändern sein. Dennoch besteht – wie an den aufgezeigten Konfliktbereichen zu sehen ist – ein Bedürfnis für Lösungen. Ausgangspunkt sollte ein Verständnis für die jeweils andere Rechtskultur sein. Wie die genannten Beispiele verdeutlichen, ist eine Lösungsfindung durchaus möglich, möge sie auch nicht perfekt sein. Ebenfalls schwierig ist es, eine umfassende Lösung für die Datenschutzkonflikte zwischen der EU und den USA zu finden. Zwar gab es bereits Versuche, umfassendere Lösungen durch ein Rahmenabkommen im Bereich der Zusammenarbeit bei der Bekämpfung von Terrorismus und Kriminalität zu finden, diese Verhandlungen sind aber bis jetzt noch nicht zu 441

Siehe jedoch die Initiative im Rahmen der Datenschutzreform der EU oben S. 164 f. Whitman, Yale L. J. 113 (2003/2004), 1151 (1160).

442

§ 10 Datenschutzkonflikte und Lösungsansätze

281

einem Ergebnis gelangt.443 Nach der NSA-Affäre gab es jedoch Bestrebungen, die Verhandlungen für ein Rahmenabkommen zu einem Abschluss zu bringen. So bekräftigten US-Präsident Obama, der ehemalige Kommissionspräsident Barroso und der ehemalige Ratspräsident van Rompuy auf dem EU-US-Gipfel im März 2014 in einer gemeinsamen Erklärung: „We are committed to expedite negotiations of a meaningful and comprehensive data protection umbrella agreement for data exchanges in the field of police and judicial cooperation in criminal matters, including terrorism. We reaffirm our commitment in these negotiations to work to resolve the remaining issues, including judicial redress. By ensuring a high level of protection of personal data for citizens on both sides of the Atlantic, this agreement will facilitate transfers of data in this area.“444 Ein solches Rahmenabkommen ist zu begrüßen; an bereichsspezifischen Lösungen der Datenschutzkonflikte ist jedoch weiterhin festzuhalten. Die Datenschutzkonflikte unterscheiden sich nämlich stark in ihrer Intensität und in ihrem Wirkungsbereich. So stehen manche Konflikte im Zusammenhang mit kommerziellen Interessen, manche im Zusammenhang mit Sicherheitsinteressen, manche Konfliktbereiche hingegen haben Einfluss auf Private, die Daten an Sicherheitsbehörden weitergeben müssen. Weitere Konfliktbereiche hingegen stehen im Zusammenhang mit Geheimdienstak­ tivitäten, für die wiederum die Ausgangslage völlig verschieden ist. Fraglich ist jedoch, wie eine bereichsspezifische Lösung jeweils aussehen könnte. II. Notwendigkeit einer Interessenbalance Da die Positionen sich grundlegend unterscheiden, sind Lösungen stets nur durch einen Kompromiss zu erreichen. Datenschutzkonflikte zwischen der EU und den USA können daher nur durch das Anstreben und bestenfalls die Erreichung einer Interessenbalance zu für beide Seiten vertretbaren Lösungen führen. Zwangsläufig bedeutet dies einen Verzicht auf Teile der jeweiligen eigenen Positionen unter Beibehaltung der grundsätzlichen Einstellung in Bezug auf den Umgang mit Daten und Datenschutz. Dafür hält das europäische Datenschutzrecht durchaus flexible „Stellschrauben“ bereit, da bspw. das Kriterium der Angemessenheit, das 443 Siehe Europäische Kommission, Pressemitteilung – EU, US to start talks on protecting personal data, MEMO/10/661, 08.12.2010, http://europa.eu/rapid/press-release_MEMO-10661_de.htm?locale=en (zuletzt geprüft am 15.03.2015) sowie auch das Interview mit dem Berichterstatter Jan Philipp Albrecht zum Stand der Verhandlungen unter http://irights.info/interview-jan-philipp-albrecht-cloud-datenschutz-eu-usa (zuletzt geprüft am 15.03.2015); zu den Ergebnissen der im Vorfeld dieser Verhandlungen agierenden High Level Contact Group aus Vertretern von Seiten der EU und den USA siehe Kropf, Guide to U. S. government practice on global sharing of personal information, S. 11 ff. 444 EU-US Summit, Joint Statement  – Presseerklärung zum EU-US Gipfel am 26.03.2014, 26.03.2014, S. 5, http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/ec/141920. pdf (zuletzt geprüft am 15.03.2015). Zum sog. Umbrella Agreement daraufhin Europäische Kommission, Factsheet EU-US Negotiations on Data Protection, Juni 2014, http://ec.europa.eu/ justice/data-protection/files/factsheets/umbrella_factsheet_en.pdf (zuletzt geprüft am 15.03.2015).

282

Teil 2: Datenschutzkonflikte zwischen der EU und den USA 

bei sämtlichen EU-Regelungen zum Datenfluss im internationalen Kontext zu finden ist, Flexibilität und die Berücksichtigung verschiedener Sicherheiten ermöglicht. In Angelegenheiten mit Wirtschaftsbezug scheint die EU ihre Positionen besser durchsetzen zu können. Dies kann bspw. an dem Einfluss der bestehenden und der geplanten Datenschutzregelungen gesehen werden, die ohne entsprechende Sicherheiten überhaupt keinen Datentransfer in die USA erlauben und auch auf weitere Drittländer entscheidenden Einfluss zu haben scheinen.445 Jedoch kommt es verständlicherweise auch hier nicht zu einer völligen Durchsetzung der Position der EU. Im Sicherheitsbereich hingegen scheinen die USA ihre Positionen besser verwirklichen zu können, was sich bspw. an der Unzufriedenheit der Europäer mit den Fluggastdatenabkommen sehen lässt oder auch die massiven Proteste im Rahmen der NSA-Affäre verdeutlichen. Manche der bis jetzt gefundenen Lösungen scheinen aus Sicht der jeweils anderen Position unzureichend zu sein, sind aber stets das Ergebnis einer versuchten Herbeiführung einer Interessenbalance. Trotz der bestehenden Unterschiede gibt es auch Gemeinsamkeiten zwischen der EU und den USA; wie anhand der Darstellung der gemeinsamen Ausgangsposition und der Bedeutung gemeinsamer Grundwerte erkennbar ist.446 Diese Gemeinsamkeiten sollten bei der Findung einer Interessenbalance stets Berücksichtigung finden und das Bewusstsein dafür bestehen, dass es mit anderen Drittstaaten weniger Gemeinsamkeiten gibt. Dies­bezüglich führt Kuner prägnant aus: „The tragedy of all this is that, despite profound differences, the EU and the U. S. really do have much in common when it comes to a desire to protect personal data and privacy, and face common threats from ascendant powers (e.g. China) in this regard. If the two were willing to tone down their rhetoric and try to understand in a more thoughtful way the similarities and differences of how their two legal systems protect personal data, they might discover that working together to protect privacy was easier than they thought.“447 Unabhängig von Versuchen, in Verhandlungen zu einem Ausgleich zu gelangen, ist zudem der zunehmende Einfluss von Lobbyismus zu berücksichtigen, der versucht, bestehende Positionen zu ändern und damit zu einer Annäherung – meist aus kommerziellen Interessen – zu gelangen. Ein eindrucksvolles Beispiel ist der Versuch amerikanischer Großkonzerne, Einfluss auf die Gesetzgebung in Brüssel zur neuen DSGVO zu nehmen.448 445

Dazu Bradford, Northwestern University Law Review 107 (2012), 1 (22 ff.). Siehe dazu oben S. 236 ff. 447 Kuner, „You Just Don’t Understand“: The Current EU-U. S. Privacy Battles, 28.02.2013, https://www.privacyassociation.org/privacy_perspectives/post/you_just_dont_understand_ the_current_eu_u.s._privacy_battles (zuletzt geprüft am 15.03.2015). 448 Siehe bspw. Cáceres, Internetkonzerne schreiben bei Datenschutzregeln mit, 11.02.2013, http://www.sueddeutsche.de/digital/lobby-einfluss-auf-neue-eu-verordnung-internetkonzerneschreiben-bei-datenschutzregeln-mit-1.1596560 (zuletzt geprüft am 15.03.2015) sowie für eine Übersicht über einen möglichen Einfluss von Lobbyismusgrupper auf Abgeordnete des Europaparlaments http://lobbyplag.eu/compare/overview (zuletzt geprüft am 15.03.2015). 446

§ 10 Datenschutzkonflikte und Lösungsansätze

283

Auf Grund der Erforderlichkeit bereichsspezifischer Lösungen soll versucht werden, eine mögliche Interessenbalance für einen Datenschutzkonflikt zwischen der EU und den USA vertieft darzustellen. Dabei ist auch auf das entscheidende Kriterium des europäischen Datenschutzrechts für den Datenfluss im internationalen Kontext – das Kriterium der Angemessenheit – und seine Bedeutung einzugehen. Als Beispiel soll das Thema PNR-Datenübermittlung in die USA dienen.

Teil 3

Die Übermittlung von PNR-Daten in die USA § 11 PNR-Daten – Grundlagen Die Notwendigkeit, bereichsspezifische Lösungen für die Datenschutzkonflikte zwischen der EU und den USA zu finden, ist essentiell. Wie eine solche Lösung aussehen könnte, ist am Beispiel von Fluggastdaten aufzuzeigen. Dabei ist nach einer Grundlagenerläuterung zu PNR-Daten und ihren Nutzungsmöglichkeiten die ursprüngliche Nutzung von PNR-Daten zu kommerziellen Zwecken darzustellen. Im Rahmen der darauffolgenden Darstellung der Nutzung von PNR-Daten und weiteren Datenarten zu Sicherheitszwecken ist auf die unterschiedlichen Positionen von USA und EU sowie auf Grundlagen der Datenauswertung und die genutzten Auswertungssysteme einzugehen. Daran schließt sich eine Analyse der bisher verabschiedeten Regelungen und eine Untersuchung auf ihre Vereinbarkeit mit Grundrechten an. Zudem soll ein Versuch unternommen werden, mögliche Lösungsansätze in tatsächlicher und rechtlicher Hinsicht zur Erreichung einer Interessenbalance zwischen den Positionen der EU und denen der USA aufzuzeigen.1

1

Zur Problematik um PNR-Daten aus der Literatur u. a. Mendes de Leon, Air & Space Law 31 (2006), 320; Mendez, European Constitutional Law Review 3 (2007), 127; Papakonstantinou/ de Hert, Common Market Law Review 46 (2009), 885; de Hert/Papakonstantinou, ­Computer Law & Security Review 26 (2010), 368; Räther, DuD 2004, 468; Schröder, RDV 2003, 285; Ehricke/Becker/Walzel, RDV 2006, 149; Simitis, NJW 2006, 2011; Siemen, German Yearbook of International Law 47 (2004), 629; Ravich, U. Miami L. Rev. 62 (2007), 1; Brouwer, The EU Passenger Name Record System and Human Rights, 03.09.2009, http://www.ceps.be/ book/eu-passenger-name-record-pnr-system-and-human-rights-transferring-passenger-dataor-passenger-f (zuletzt geprüft am 15.03.2015); Rasmussen, WIILJ 26 (2008), 551; Christensen, I/S: A Journal of Law and Policy for the Information Society 2 (2006), 485; Shenkman, Alb. L. J. Sci. & Tech. 17 (2007), 667; Boehm, KritV 2012, 82; Hanschmann, in: Matz-Lück/ Hong, Grundrechte und Grundfreiheiten im Mehrebenensystem  – Konkurrenzen und Interferenzen, 2012; Kuhelj, U. C. Davis Journal of International Law and Policy 16 (2010), 383; Tamm, VuR 2010, 215; McGinley, DuD 2010, 250; Guild/Brouwer, CEPS Policy Brief No. 110 26.07.2006; Schaar, MMR 2006, 425; Roos, Transnat’l L. & Contemp. Probs 14 (2005), 1137; Christensen, I/S: A Journal of Law and Policy for the Information Society 2 (2006), 485.

§ 11 PNR-Daten – Grundlagen

285

A. Begriffsbestimmung Die Abkürzung PNR steht für Passenger Name Records. Im Deutschen wird der Begriff PNR-Daten, Passagiernamensregister oder Fluggastdatensätze verwendet. Der deutsche Begriff „PNR-Daten“ ist zwar korrekt, setzt zum Verständnis aber die Kenntnis der Abkürzung „PNR“ und ihre Bedeutung voraus. Der Begriff „Passagiernamensregister“ scheint hingegen – auch wegen der identischen Abkürzungsmöglichkeit im Vergleich zum Englischen – auf den ersten Blick am kompatibelsten zu sein. Dass das „Passagiernamensregister“ jedoch – wie der Name vermuten lässt – lediglich Namen von Passagieren enthält, wäre zu kurz gedacht. Wenn der Begriff aber so verstanden wird, dass ein Passagiernamensregister ein Register (alphabetisches Namens- oder Sachverzeichnis) von Daten enthält, die einem bestimmten Namen zugeordnet werden, ist der Begriff zutreffend. Der Begriff „Fluggastdatensätze“ sagt ebenfalls das Essentielle über seine begriffliche Bedeutung aus, passt jedoch nur für Passagiere von Flugzeugen und wäre durch eine Ausweitung der Nutzung von PNR auf andere Verkehrsmittel rein begrifflich nicht mehr anwendbar. Es bleibt jedoch festzustellen, dass die drei Begriffe im Kontext dieser Arbeit – abgesehen davon, dass der eine Begriff „passender“ zu sein scheint – austauschbar verwendet werden können und werden. Nach der Definition der EU handelt es sich bei PNR-Daten um „[…] nicht überprüfte Angaben der Fluggäste, die die Fluggesellschaften für ihre eigenen geschäftlichen Zwecke in ihren Buchungs- und Abfertigungssystemen erfassen und speichern“2. Ein PNR-Datensatz enthält verschiedene Informationen wie Reise­ daten, Reiserouten, Kontaktangaben, Flugscheininformationen, den Namen des Reisebüros, bei dem die Reise gebucht wurde, die Zahlungsart, die Sitznummer sowie Angaben zum Gepäck.3 Unter Bezugnahme auf die Leitlinien der Internationalen Zivilluftfahrtorganisation (ICAO) wird der Begriff PNR-Daten im aktuellen PNR-Abkommen zwischen den USA und der EU von 2012 definiert als „Daten, die von Fluggesellschaften oder deren bevollmächtigten Agenturen für jeden von einem oder für einen Fluggast gebuchten Flug erfasst werden und in den Buchungs- und Abfertigungssystemen der Fluggesellschaften oder in gleichwertigen Systemen, die ähnliche Funktionen bieten, […] gespeichert sind“.4 Die Nutzung von PNR-Daten wirft datenschutzrechtliche Fragen auf. Bei PNRDaten handelt es sich um „personenbezogene Daten“ im Sinne des EU-Rechts, die entsprechend behandelt und geschützt werden müssen. Ungeachtet der frühe 2 Europäische Kommission, Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über die Verwendung von Fluggastdatensätzen zu Zwecken der Verhütung, Aufdeckung, Aufklärung und strafrechtlichen Verfolgung von terroristischen Straftaten und schwerer Kriminalität, KOM(2011)32 endgültig, 02.02.2011, S. 3. 3 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 3 f. 4 Siehe Art. 2 I des EU-US PNR-Abkommens von 2012.

286

Teil 3: Die Übermittlung von PNR-Daten in die USA 

ren Unterscheidung zwischen erster (Binnenmarktbezug), zweiter (Gemeinsame Außen- und Sicherheitspolitik) und dritter Säule (Polizeiliche und Justizielle Zusammenarbeit in Strafsachen), fallen PNR-Daten unzweifelhaft unter „alle Informationen über eine bestimmte oder bestimmbare natürliche Person“5, wie es in der DSRL definiert ist.6 Ebenfalls fallen PNR-Daten auch unter „jede Information über eine bestimmte oder bestimmbare natürliche Person“7 gemäß des Übereinkommens des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten.8 Wie PNR-Daten im Rahmen der Weiterverarbeitung für Sicherheitszwecke klassifiziert werden, ist problematisch und im Folgenden aufzuzeigen.9

B. Nutzung von PNR-Daten zu kommerziellen Zwecken PNR-Datensätze werden von Fluggesellschaften bei der Buchung eines Fluges von jedem Passagier erstellt. Durch die Erhebung von bis zu 35 verschiedenen Daten pro Passagier wie bspw. Name, Kreditkartennummer, spezielle Essenswünsche, Reiseroute oder Mobilitätshilfen, können die Fluggesellschaften die vorgenommenen Buchungen besser und effizienter bearbeiten. Ursprünglich wurde die Erhebung von PNR vor allem zum Zweck des Austauschs von Reservierungsinformationen eingeführt.10 Die Luftfahrtverbände IATA11 und ATA12 definierten für diesen Austausch von Reservierungsinformationen (sog. Interlining) PNR als Standard zur Nachrichtenübermittlung.13 So lag der Fokus des klassischen PNR auf der Reise selbst und nicht so sehr auf dem Reisenden.14 Mittlerweile ist offensichtlich, dass PNR auch den Passagieren dienen, da dadurch auf ihre Wünsche – wie das Bedürfnis eines Spezialessens oder einer Mobilitätshilfe – eingegangen werden kann. Zudem helfen PNR auch, einen reibungslosen Flugablauf von der Planung der Logistik eines Fluges bis zur Weiterleitung von Koffern auf andere Flüge nach der Landung zu gewährleisten. Der PNR verbindet somit sämtliche Beteiligte, angefangen bei den Reisenden selbst über die Reisebüros und Leistungsträger.15 5

Art. 2a DSRL. So auch Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (887). 7 Art. 2a Übereinkommen des Europarates. 8 So auch Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (887). 9 Siehe dazu unten S. 309 ff. 10 Tinnus, in: Otto-Rieke, Modernes Geschäftsreisemanagement/Modernes GeschäftsreiseManagement 2012, 2011, S. 68. 11 International Air Transport Association. 12 Air Transport Association of America, mittlerweile umbenannt in A4A (Airlines for America). 13 Tinnus, in: Otto-Rieke, Modernes Geschäftsreisemanagement/Modernes GeschäftsreiseManagement 2012, 2011, S. 68. 14 Tinnus, in: Otto-Rieke, Modernes Geschäftsreisemanagement/Modernes GeschäftsreiseManagement 2012, 2011, S. 67. 15 Tinnus, in: Otto-Rieke, Modernes Geschäftsreisemanagement/Modernes GeschäftsreiseManagement 2012, 2011, S. 67. 6

§ 11 PNR-Daten – Grundlagen

287

Damit stellt der PNR-Datensatz das Verknüpfungselement zwischen Profilen von Reisenden, Preisinformationen, Reservierungsdatenbanken, der Ausstellung des Tickets, der Infrastruktur der Reisebüros sowie des Abflugsystems (Departure Control System) der Fluggesellschaften dar.16 Wenige Fluggesellschaften haben ihre eigenen Passagierdatenbanken.17 Stattdessen geben sie die Verarbeitung von PNR-Daten vollständig an dritte, datenverarbeitende Unternehmen weiter, die die Daten dann bspw. auf sogenannte „Global Distribution Systems“18 (GDS) wie AMADEUS, SABRE oder Travelport (Galileo, Apollo und Worldspan) hochladen.19 Fluggäste erhalten PNR-Datensätze meist als Reiseplan aufbereitet zur Verfügung gestellt und können mit Hilfe des Reservierungscodes ihre jeweiligen Buchungen auf Webseiten der GDS wie „Virtually There“ von Sabre oder „CheckMyTrip“ von Amadeus einsehen.20 Für den Kontext, für den PNR ursprünglich entwickelt wurden – den Austausch von Reservierungsinformationen  –, lassen sich zusammenfassend drei wesentliche Charakteristika von PNR ausmachen: Erstens ermöglichen PNR eine „Standardisierung entlang der Reise-Prozesskette“ (enge Vernetzung mit Infrastruktur und Prozessen der Reisebüros, angefangen bei der Ausstellung der Tickets bis hin zur Synchronisierung von Abrechnungsprozessen), zweitens tragen PNR zu einem „effektiven Informationsmanagement“ bei (Informationen wie bspw. die Änderungen von Flugzeiten werden an die Beteiligten der Prozesskette weitergeleitet und können daraufhin direkt verarbeitet werden) und drittens lässt sich durch PNR eine „sicherere Datenspeicherung und -verarbeitung“ erreichen (Zugriff auf Daten, Aufzeichnung sowie Speicherung von Vorgängen und Daten).21

C. Nutzung von PNR-Daten zu Sicherheitszwecken Die Nutzungsmöglichkeiten von PNR sind nicht auf Fluggesellschaften und ihre Passagiere beschränkt. Neben ihrer ursprünglichen Nutzungsform zur Bearbeitung von Flugbuchungen durch die Fluggesellschaften wurden PNR-Daten auch in Einzelfällen von Sicherheitsbehörden angefordert und werden spätestens seit den Anschlägen des 11. September 2001 in den USA zunehmend durch Sicherheits-, Grenzschutz- und Strafverfolgungsbehörden im Rahmen einer automatischen Auswertung genutzt. 16 Tinnus, in: Otto-Rieke, Modernes Geschäftsreisemanagement/Modernes GeschäftsreiseManagement 2012, 2011, S. 67. 17 Vgl. Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (887, Fn. 6). 18 GDS werden auch Computer Reservation Systems genannt, sie dazu ausführlich unten S. 290. 19 Vgl. Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (887, Fn. 6). 20 Tinnus, in: Otto-Rieke, Modernes Geschäftsreisemanagement/Modernes GeschäftsreiseManagement 2012, 2011, S. 67. 21 Tinnus, in: Otto-Rieke, Modernes Geschäftsreisemanagement/Modernes GeschäftsreiseManagement 2012, 2011, S. 68.

288

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Die Nutzung von PNR-Daten zu Sicherheitszwecken durch Zoll- und Strafverfolgungsbehörden in der ganzen Welt erfolgt bereits seit fast 60 Jahren, wobei jedoch ein elektronischer Vorabzugriff bis vor kurzem aus technischen Gründen nicht möglich war und Daten in diesen Fällen ausschließlich manuell und nur für wenige Flüge verarbeitet wurden.22 Die ursprüngliche Nutzung von PNRDaten zu Sicherheitszwecken muss so verstanden werden, dass bestimmte Informationen über einen bestimmten Fluggast, zur Aufklärung einer bestimmten Straftat durch Sicherheitsbehörden von den Fluggesellschaften im Einzelfall angefordert wurden. Eine entscheidende Entwicklung im Rahmen der Nutzung von PNR-Daten zu Sicherheitszwecken erfolgte vor allem nach den Anschlägen des 11. September 2001. Mittlerweile bieten verschiedene Auswertungssysteme den Sicherheitsbehörden die Möglichkeit, PNR-Daten zu analysieren und Profile zu erstellen, deren Erkenntnisse dann zu Sicherheitszwecken wie der Terrorismusbekämpfung oder der Verfolgung von schweren Straftaten Verwendung finden können. Es ist im Rahmen der Auswertung bspw. möglich, PNR-Daten mit vorher festgelegten Suchkriterien abzugleichen. Bei einer Übereinstimmung der vorher festgelegten Suchkriterien und Elementen des überprüften PNR-Datensatzes könnte dann eine genauere Überprüfung des Passagiers durch die Sicherheitsbehörden veranlasst werden. Kritiker der Auswertung von PNR-Daten zu Sicherheitszwecken argumentieren, dass durch die Auswertung von PNR-Daten ermöglicht werde, Rückschlüsse auf Religion oder Gesundheitszustand des Passagiers zu ziehen.23 Dies ist problematisch, da solche Daten gem. Art. 8 DSRL als sensible personenbezogene Daten gelten, bei denen gewisse zusätzliche Standards in der Verarbeitung beachtet werden müssen. Zudem birgt die Auswertung von PNR-Daten zu Sicherheits­zwecken auch die Gefahr, jeden Flugpassagier unter einen Generalverdacht zu stellen. Welche vielfältigen Nutzungsmöglichkeiten von PNR-Daten zu Sicherheits­ zwecken genau bestehen, ist klärungsbedürftig. Dabei sind Aspekte der PNR-Datenauswertung, die datenschutzrechtlich problematisch sein können und Grundlage für die beschriebenen Kontroversen sind, beispielhaft aufzuzeigen. Am Beispiel des Vorschlags der EU-Kommission für ein PNR-System in Europa sind die Nutzungsmöglichkeiten kurz zu erläutern: Neben einer reaktiven Nutzung und einer Nutzung der Daten in Echtzeit ist auch eine proaktive Nutzung der Daten möglich:24

22 Siehe zum Folgenden die Ausführungden von Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 4 sowie auch Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 612. 23 Dazu bei der Diskussion der jeweiligen Abkommen. 24 Siehe dazu auch Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 612.

§ 11 PNR-Daten – Grundlagen

289

I. Reaktive Nutzung Die EU sieht die reaktive Nutzungsmöglichkeit von PNR-Daten vor allem „[…] bei Ermittlungen, bei der Strafverfolgung und bei der Zerschlagung von Netzen, nachdem eine Straftat begangen wurde“.25 Dabei erfolgt ein expliziter Hinweis darauf, dass eine „entsprechend lange Speicherfrist“ benötigt werde, um den Strafverfolgungsbehörden zu ermöglichen, bei ihren Ermittlungen auch Straftaten aufklären zu können, die weiter in der Vergangenheit liegen.26 Eine solche Aussage scheint evident, wirft jedoch datenschutzrechtlich die Frage auf, was unter einer „entsprechend langen Speicherfrist“ zu verstehen ist. II. Nutzung in Echtzeit PNR-Daten können zudem in Echtzeit genutzt werden. Die Nutzung erfolgt „vor Ankunft oder Abreise der Fluggäste, um eine Straftat zu verhindern, Personen zu beobachten oder festzunehmen, bevor eine Straftat begangen wird oder weil eine Straftat begangen wird bzw. wurde“.27 Die Daten würden mit vorher festgelegten Rastern abgeglichen, wodurch sowohl bisher unbekannte Verdächtige ausfindig gemacht, als auch tatsächlich gesuchte Personen – nach Abgleich mit verschiedenen Datenbanken – gefasst werden könnten.28 Durch die Nutzung von PNR-Daten in Echtzeit könnten nur diejenigen Personen nach Ankunft eines Fluges besonders kontrolliert werden, die anhand der vorher festgelegten Prüf­ kriterien mit bestimmten, verdächtigen Rastern übereinstimmen.29 Für die EU erleichtere ein solches Verfahren „allen anderen Fluggästen das Reisen und verringert das Risiko, dass Fluggäste bei der Einreise in die EU auf Grund unzulässiger Kriterien wie der Staatsangehörigkeit oder der Hautfarbe überprüft werden, die unter Umständen von Strafverfolgungsbehörden und Zoll- und Grenzschutzbeamten fälschlicherweise mit Sicherheitsrisiken assoziiert werden“30. Die EU geht in ihrem Richtlinienvorschlag somit selbst davon aus, dass eine Überprüfung von Passagieren rein auf Grund der Hautfarbe oder der Staatsangehörigkeit unzulässig ist, begründet aber mit dieser unzulässigen Vorgehensweise u. a. die Notwendigkeit für ein PNR-System. 25 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 4. 26 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 4. 27 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 4. 28 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 4. 29 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 6. 30 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 6.

290

Teil 3: Die Übermittlung von PNR-Daten in die USA 

III. Proaktive Nutzung Eine proaktive Nutzung von PNR-Daten solle „zur Analyse und Bestimmung von Prüfkriterien, die für eine Überprüfung der Fluggäste vor ihrer Ankunft oder Abreise herangezogen werden können“31 genutzt werden. Die proaktive Nutzung der PNR-Daten sei somit erforderlich, um eine Nutzung der PNR-Daten in Echtzeit zu gewährleisten. Ein Fahndungserfolg bei der Nutzung in Echtzeit ist daher nicht ohne proaktive Festlegung entsprechender Suchkriterien möglich. Um entscheiden zu können, welche Daten für die Strafverfolgung, Verhütung und Aufdeckung überhaupt relevant sein könnten, wird von der EU wiederum eine „entsprechend lange“32 Speicherfrist gefordert.

§ 12 Nutzung von PNR-Daten zu kommerziellen Zwecken PNR-Daten werden in der Regel bereits bei der Buchung eines Fluges erhoben. Die meisten Fluggesellschaften speichern PNR-Daten nicht in eigenen Datenbanken, sondern legen diese in der Datenbank eines Computerreservierungssystems (CRS)  – mittlerweile auch Globales Distributionssystem (GDS) genannt  – ab.33 Zum Verständnis des Nutzens von PNR-Daten zu Sicherheitszwecken ist zunächst die ursprüngliche Nutzung von PNR-Daten zu kommerziellen Zwecken aufzu­ zeigen. Dabei ist zudem die Entwicklung von der manuellen Flugbuchung hin zur Buchung über GDS darzulegen sowie auf deren Funktionen und den eigentlichen Aufbau eines PNR-Datensatzes einzugehen.

A. Entwicklung von der manuellen Flugbuchung zu Globalen Distributionssystemen Verständlicherweise wurden Flugbuchungen und das Erheben und Speichern von PNR-Daten in GDS nicht bereits seit Beginn der kommerziellen Luftfahrt prakti­ ziert; es sind daher verschiedene Entwicklungsstufen auszumachen.34 Zunächst wurde die Flugbuchung manuell vorgenommen, daraufhin wurden erste Airline 31 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 4. 32 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 4. 33 Hasbrouck, What’s in  a Passenger Name Record (PNR)?, http://hasbrouck.org/articles/ PNR.html (zuletzt geprüft am 15.03.2015). 34 Zu den wesentlichen Entwicklungsstufen vgl. ausführlich Echtermeyer, Elektronisches Tourismus-Marketing, S. 7 ff.; Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 265 ff. sowie auch Fuchs/Mundt/Zollondz (Hrsg.), Lexikon Tourismus 2008, S. 152 ff. u. 323 ff.; Pompl, Luftverkehr, S. 303 ff.

§ 12 Nutzung von PNR-Daten zu kommerziellen Zwecken

291

Reservierungssysteme erfunden, die bald durch umfangreichere Computerreservie­ rungssysteme ersetzt wurden. Heute werden Flüge meist durch ein GDS abgewickelt. Ein GDS kann sich ähnlich einem leeren Supermarkt vorgestellt werden, in dem leere Regalflächen von einem Anbieter zur Verfügung gestellt und diese von dem Nutzer entsprechend gefüllt werden: In einem GDS können Leistungsanbieter ihre Daten einspeisen.35 I. Manuelle Flugbuchung In den Anfangsjahren der Zivilluftfahrt waren Flugbuchungen sehr zeitintensiv; auf Grund der geringen Anzahl an angebotenen Flügen sowie wenigen unterschiedlichen Flugpreisen wurden die benötigten Informationen zu Flügen und den jeweiligen Preisen lediglich in Broschüren oder Zeitungsanzeigen veröffentlicht.36 Als das Fliegen populärer wurde, begannen verschiedene neutrale Unternehmen37 Kataloge mit den unterschiedlichen Tarifen der verschiedenen Fluggesellschaften zu veröffentlichen.38 Dies erleichterte zwar die Übersicht, die eigentliche Flugbuchung hingegen blieb weiterhin zeitintensiv und führte auf Grund der manuellen Durchführung und der damit geringen Möglichkeit der Koordination zu Überbzw. Unterbuchungen und in der Folge zu einer suboptimalen Auslastung der Flüge.39 Die eigentliche Flugbuchung musste telefonisch – nach Konsultation der jeweiligen Kataloge – durchgeführt und das Ticket handschriftlich vom jeweiligen Agenten ausgestellt werden.40 Somit war die Einbindung verschiedener Quellen in den Buchungsprozess notwendig, um einen einzigen Flug zu buchen: So hielten bspw. bei der Lufthansa die Buchungsagenten ständig Kontakt mit den Lufthansa-Stadtbüros, in denen Arbeitsgruppen an großen Tischen mit Reservierungstafeln und unterschiedlichen Symbolen den Verkauf einzelner Flüge überwachten und gebuchte Sitzplätze entsprechend blockierten.41 Mit dem weiteren Anstieg des Luftverkehrs ab Mitte der 1950er Jahre und mit Steigerung der Leistungsfähigkeit der elektronischen Datenverarbeitung wurde die Entwicklung erster computergestützter Informations- und Reservierungssysteme ermöglicht.42

35 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 264. 36 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 265. 37 So bspw. das Unternehmen Official Airline Guide (OAG), das auch heute noch existiert. 38 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 265; Echtermeyer, Elektronisches Tourismus-Marketing, S. 7. 39 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 265. 40 Echtermeyer, Elektronisches Tourismus-Marketing, S. 7. 41 Echtermeyer, Elektronisches Tourismus-Marketing, S. 7. 42 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 265.

292

Teil 3: Die Übermittlung von PNR-Daten in die USA 

II. Airline-Reservierungssysteme (ARS) Die durch die manuelle Flugbuchung mitverursachte suboptimale Auslastung der Flüge führte bereits in den 1950er Jahren zu ersten Überlegungen, ein technisches System zu entwickeln und damit eine Rationalisierung der zunehmenden Verwaltungsarbeiten zu ermöglichen.43 Zudem sollte zu einer Automatisierung der Buchungsvorgänge in den eigenen Reservierungsbüros beigetragen und schließlich auch die Auslastung der Flüge optimiert werden.44 American Airlines und die International Business Machines Corporation (IBM) kooperierten zunächst in einem Projekt namens SABER, mit dem zum ersten Mal die Möglichkeit geschaffen werden sollte, die elektronische Buchung eines Passagiernamens inklusive eines Sitzplatzes durchzuführen.45 Bedeutende Schwierigkeiten bei der Einführung der ersten Reservierungssysteme gingen von den hohen technologischen Anforderungen aus: So waren vor allem die Abwicklung von Transaktionsprozessen in Echtzeit und der Parallelbetrieb von Prozessen46 problematisch, und zudem musste das System absolut zuverlässig und für den Dauerbetrieb geeignet sein.47 Um diesen Anforderungen gerecht zu werden, wurden neue technologische Konzepte wie Hardware-Redundanz, Backup-Systeme und eine unterbrechungsfreie Stromversorgung entwickelt sowie ein umfassendes Datenkommunikationsnetzwerk48 installiert. Das Projekt SABER wurde in SABRE49 umbenannt und schließlich 1964 von American Airlines und IBM als erstes kommerzielles „Echtzeit-Datenfernverarbeitungssystem“ eingeführt; es gilt als erstes Airline-Reservierungssystem und als Grundlage für weitere, zukünftige Entwicklungen.50 Mit­ SABRE war es für die Reservierungsmitarbeiter von American Airlines möglich, mehr als 84.000 Telefonanrufe und Buchungsanfragen am Tag problemlos elektronisch zu bearbeiten.51 Nach der Einführung von SABRE entwickelte IBM ein Sys 43 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 266. 44 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 266. 45 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 266; Echtermeyer, Elektronisches Tourismus-Marketing, S. 9. 46 Dies wurde mit dem Betriebssystem Transaction Processing Facility, TPF realisiert. 47 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 266. 48 Dieses Datenkommunikationsnetzwerk wurde in Zusammenarbeit mit den Telekommunikationsunternehmen Aeronautical Radio Incorporated (ARINC) und Société Internatio­nale Télécommunications Aéronautiques (SITA) realisiert. Zu SITA siehe auch Bergmann, Grenzüberschreitender Datenschutz, S. 40 ff. und ausführlich zur Geschichte von SITA Société Internationale Télécommunications Aéronautiques, SITA  History, http://www.sita.aero/about-sita/ what-we-do/sita-history (zuletzt geprüft am 15.03.2015). 49 Semi-Automatic Business Research Environments. 50 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 267. 51 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 267; Echtermeyer, Elektronisches Tourismus-Marketing, S. 9.

§ 12 Nutzung von PNR-Daten zu kommerziellen Zwecken

293

tem namens PARS52, das als umfassende Branchenlösung vor allem für mittelgroße Fluggesellschaften gedacht war und mit der Zeit für die Bedürfnisse verschiedener Fluggesellschaften  – für United Airlines bspw. unter dem Namen APOLLO oder für Eastern Airlines unter dem Namen Easternbased PARS – weiter­entwickelt wurde.53 Anfang der 1970er Jahre verhandelten die Fluggesellschaften, ob ein gemeinsames Reservierungssystem eingeführt werden könnte.54 III. Computer Reservierungssysteme (CRS) 1. Entwicklung Der Versuch, ein einheitliches Reservierungssystem in den USA zu entwickeln, scheiterte jedoch vor allem wegen fehlender Erfahrung mit den Reservierungs­ systemen und fehlender systeminterner Technologie zur Erfüllung der unterschiedlichen Ansprüche an das System.55 Aus diesem Grund begannen American Airlines und United Airlines unabhängig voneinander zwischen 1964 und 1976 ihre internen Systeme56 zu den ersten „leistungs- und marktfähigen“ CRS auszubauen.57 Im Jahr 1976 entschied sich United Airlines als erste Fluggesellschaft, ihr Reservierungssystem APOLLO für Reisebüros zu öffnen und Terminals dieses Systems dort zu installieren.58 Mit der Verlagerung der Reservierungssysteme in die Reisebüros, die mit der Zeit auch andere Fluggesellschaften vornahmen, wurden die Systeme durch ihren Einsatz am eigentlichen Verkaufsort der Tickets zu einem „wichtigen Marketinginstrument für die Fluggesellschaften“ und ermöglichten es gleichzeitig, weitere Dienstleister wie Hotel- oder Mietwagenunternehmen an die Systeme anzuschließen.59 Im Folgenden führte American Airlines 1978 das sogenannte CoHost Konzept ein und ermöglichte damit auch anderen Fluggesellschaften den Zugang zu ihrem Reservierungssystem SABRE.60 Diesem Beispiel folgten bald auch andere Computer Reservierungssysteme61, sodass 52

Programmed Airline Reservation System. Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 267. 54 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 267. 55 Echtermeyer, Elektronisches Tourismus-Marketing, S. 9. 56 Diese wurden auch „Inhouse-Systeme“ genannt. 57 Echtermeyer, Elektronisches Tourismus-Marketing, S. 9 f. 58 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 267 f.; Echtermeyer, Elektronisches Tourismus-Marketing, S. 10. 59 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 268. 60 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 268. 61 Zum Teil wird anstatt von Computer Reservation System auch von Central Reservation System gesprochen; vgl. dazu Weithoener, in: Fuchs/Mundt/Zollondz, Lexikon Tourismus, 2008, S. 323. 53

294

Teil 3: Die Übermittlung von PNR-Daten in die USA 

es Reise­büros bald möglich war, über ein Terminal Buchungen für mehrere Flug­ gesellschaften vornehmen zu können.62 2. Akteure Somit konnten mit der graduellen Öffnung die folgenden Akteure im Zusammenhang mit Computerreservierungssystemen unterschieden werden, die auch heute im Rahmen der Weiterentwicklung von CRS zu GDS prägend für die Systeme sind. a) Systemteilnehmer Die wichtigsten Anbieter in den Systemen sind immer noch ihre ursprünglichen Entwickler, nämlich die Linienfluggesellschaften; nach der dargestellten graduellen Öffnung der Systeme sind auch Hotel- und Mietwagenketten von Bedeutung.63 In den heutigen GDS sind zudem Reiseveranstalter sowie Schifffahrts- und Bahngesellschaften als Teilnehmer zu nennen.64 Trotz ständig steigender Bedeutung für den Flugverkehr sind Billigfluggesellschaften aus Kostengründen meist nicht über die Systeme buchbar.65 b) Systembetreiber Hatte zunächst jede Fluggesellschaft ihr eigenes Buchungssystem, gibt es heute – nach mehreren Konsolidierungen – nur noch drei große Betreiber, nämlich Amadeus, Sabre und Travelport (Galileo/Apollo, Wordspan).66 Diese gehören teilweise zwar noch zu Anteilen Fluggesellschaften, haben sich von ihnen ansonsten jedoch – was die Eigentumsverhältnisse betrifft – emanzipiert.67 Seit kurzem hat auch der Anbieter Google ein eigenes Reservierungssystem geschaffen.68

62

Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 268. 63 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 264. 64 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 264. 65 Vgl. Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 264. 66 Vgl. Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 265, 270. 67 Vgl. Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 265, 270. 68 Siehe näher zu ITA Software by google, http://www.itasoftware.com (zuletzt geprüft am 15.03.2015).

§ 12 Nutzung von PNR-Daten zu kommerziellen Zwecken

295

c) Systemnutzer Mit der beschriebenen Öffnung der Systeme waren nicht mehr nur die eigenen Reservierungszentren der Fluggesellschaften Nutzer der Systeme, sondern vor­ allem die „Reisemittler“ (vor allem Reisebüros), die verschiedene Reisedienstleistungen an den Endkunden vermitteln.69 Zudem sind heute auch Online-Reisebüros und sogar die Endkunden selbst mit der Hilfe von sog. Internet Booking Engines (IBE) direkt an die Systeme angeschlossen, wodurch ein Teil des Informationsvorsprungs der Reisemittler entfällt.70 3. Bedeutung der Deregulierung Entscheidender Auslöser für die dargestellte Entwicklung war die ab 1978 beginnende Deregulierung der zivilen Luftfahrt71, sodass mit der Freigabe von Tarifen und Strecken Fluggesellschaften ihre Flugzeugumläufe und auch ihre Tarife entsprechend der jeweiligen Marktbedingungen anpassen mussten.72 In den USA existierten vor der Deregulierung ca. 400.000 verschiedene Tarife; 1987 hingegen gab es bereits mehr als sieben Millionen verschiedene Flugpreise und über 10.000 tägliche Änderungen.73 Gerade aus diesem Grund war eine „Markt- und Nachfrage­ beobachtung in Echtzeit“, also eine Abfragemöglichkeit jedes einzelnen Fluges und seiner aktuellen Buchungssituation, notwendig.74 Ohne CRS wäre es für Fluggesellschaften nicht möglich gewesen, Verfahren des Yield Managements75 zu entwickeln, mit denen sie gezielt auf Änderungen der Nachfrage reagieren und durch Anpassung von Preisen und Konditionen eine Ertragsoptimierung erreichen können.76 69

Vgl. Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 265. 70 Vgl. Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 265. 71 Die US-Regierung unter Präsident J. Carter schaffte die Regulierung mit dem Airline Deregulation Act 1978 ab; vgl. dazu und zur Deregulierung im Luftverkehr allgemein Mundt, Tourismus, S. 266 ff.; Pompl, Luftverkehr, S. 397 ff., Echtermeyer, Elektronisches TourismusMarketing, S. 10 sowie ausführlich Woerz, Deregulierungsfolgen im Luftverkehr, S. 23 ff.; zur ab 1987 einsetzenden Deregulierung in Europa ausführlich Woerz, Deregulierungsfolgen im Luftverkehr, S. 100 ff. 72 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 268. 73 Echtermeyer, Elektronisches Tourismus-Marketing, S. 10. 74 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 268. 75 Beim Yield Management werden durch Prognosetechniken auf der Grundlage von Daten aus den Vorjahren und des aktuellen Buchungsstandes Hochrechnungen durchgeführt, auf deren Basis Optimierungen hinsichtlich Kapazität oder Ertrag vorgenommen werden können; vgl. dazu Pompl, Luftverkehr, S. 296 ff. sowie ausführlich Goecke, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010 und Sterzenbach, Luftverkehr, S. 359 ff. 76 Mundt, in: Fuchs/Mundt/Zollondz, Lexikon Tourismus, 2008.

296

Teil 3: Die Übermittlung von PNR-Daten in die USA 

CRS wurden somit zu einem „unverzichtbaren Instrument bei der Verarbeitung wachsender Datenmengen“, zudem auf Grund der komplexen Flugpreisstrukturen für die Reisebüros unentbehrlich und daher verantwortlich für erhebliche Gewinne.77 Zusammenfassend lässt sich feststellen, dass CRS die Art, wie Buchungen getätigt wurden, revolutionierten und bedeutende wirtschaftliche Vorteile für die Akteure mit sich brachten. Die für die Anbieter positiven Auswirkungen von CRS führten jedoch auch zu Kritik in Bezug auf mögliche Wettbewerbsverzerrungen, denen in der Folgezeit abgeholfen wurde. So traten die Fluggesellschaften in der Anfangszeit von CRS sowohl als Systembetreiber als auch als Systemteilnehmer auf, was in den ersten Jahren zur Ausnutzung ihrer Position führte.78 Bei einer Buchungsanfrage wurde der Systembetreiber, der zugleich Systemteilnehmer war, immer an erster Stelle geführt und konnte damit entsprechend höhere Buchungszahlen aufweisen.79 Um dieser bewussten Beeinflussung entgegenzuwirken, wurden sowohl auf euro­ päischer Ebene als auch in den USA gesetzliche Neutralitätsregeln eingeführt.80 In den USA ist ein solcher Code of Conduct bereits abgeschafft worden.81 IV. Globale Distributionssysteme (GDS) 1. Entwicklung Durch die Maßnahmen gegen die Wettbewerbsverzerrungen büßten die CRS ihre strategischen Positionen immer weiter ein: Die Systemeigner durften nämlich ihre Markenposition durch günstige Positionen in den Ergebnislisten bei Fluganfragen nicht mehr beeinflussen oder verbessern.82 Daraufhin wurde der Wettbewerb der Fluggesellschaften auf die Bildung von strategischen Allianzen verlagert.83 Da 77 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 268. 78 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 268. 79 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 268: Die Beeinflussung der einzelnen Flugverbindungen wird als Biased Display bezeichnet; auch heute noch werden 30 % der Buchungen von der ersten Bildschirmzeile und ca. 80 % der Buchungen von der ersten Bildschirmseite getätigt. 80 Vgl. dazu ausführtlich Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 268 f. und auch Echtermeyer, Elektronisches Tourismus-Marketing, S. 13. 81 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 269. 82 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 269. 83 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 269; dabei gibt es drei bedeutende Allianzen: Star Alliance (u. a. Lufthansa, United Airlines), Oneworld (u. a. British Airways, American Airlines, airberlin) und Sky Team (u. a. KLM/Air France, Delta Airlines).

§ 12 Nutzung von PNR-Daten zu kommerziellen Zwecken

297

die CRS wettbewerbstechnisch nicht mehr ihre angestammte Position in einem Luftfahrtunternehmen ausüben konnten, wurden sie für die Fluggesellschaften zunehmend uninteressanter, konnten sich aber zu eigenständigen Unternehmen am Markt entwickeln.84 „Aus den bestehenden Computer Reservierungssystemen entwickelten sich so unmerklich neutral globale Distributionssysteme“.85 Ein weiterer Grund, der zur Weiterentwicklung von CRS zu GDS führte, wird das Bestreben der CRS genannt – nachdem sie ihren angestammten Heimatmarkt schon durchdrungen hatten –, auch international zu expandieren und dies u. a. durch Kooperationen mit Systemanbietern anderer Märkte zu erreichen.86 So expandierten die amerikanischen Reservierungssysteme zwischen 1985 und 1992 nach Europa, wo sich mit AMADEUS und GALILEO in den Jahren 1987/1988 erst relativ spät CRS durchsetzten.87 2. Charakteristika von GDS Der Begriff Computerreservierungssystem bzw. Central Reservation System (CRS) wird oft auch synonym zu dem eigentlich umfassenderen Begriff des Globalen Distributionssystems (GDS) verwendet. GDS sind vor allem durch folgende Eigenschaften gekennzeichnet:88 a) Eigentumsverhältnisse Eigentümer der GDS sind nicht mehr die Fluggesellschaften, die sie gegründet haben, sondern vor allem neutrale Gesellschaften aus der Finanzbranche (oftmals Finanzinverstoren). Lediglich Minderheitsbeteiligungen an AMADEUS stehen noch im Eigentum der Gründungsfluggesellschaften. Die jetzigen Eigentümer der GDS verfolgen bei der Unternehmensausrichtung keine „strategischen bzw. mani­ pulativen Interessen mehr“, sondern sind hingegen strikt auf das Erzielen einer Rendite fokussiert.89

84

Vgl. Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 269. 85 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 269. 86 Pompl, Luftverkehr, S. 304. 87 Echtermeyer, Elektronisches Tourismus-Marketing, S.  11 ff. mit Beschreibung der Entwicklungen auch in der restlichen Welt. Ausführlich zu den Entwicklungen von CRS in Europa ab Anfang der 1970er Jahren Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 270 ff. 88 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 269. 89 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 270.

298

Teil 3: Die Übermittlung von PNR-Daten in die USA 

b) Systembeteiligte Neben den Fluggesellschaften sind auf der Angebotsseite Hotels, Mietwagenunternehmen, Reiseveranstalter, Kreuzfahrtgesellschaften und Bahnunternehmen mit ihrem Angebot in die GDS integriert; auf Seiten der Nachfrage stehen stationäre Reisemittler (Reisebüros) sowie weitere Vertriebskanäle und über das Internet mittlerweile auch Endkunden.90 c) Produktpalette Das ursprüngliche Leistungsangebot der Linienflüge macht auch heute noch den größten Teil  des Umsatzvolumens von GDS aus; hinzukommen internationale Hotel- und Mietwagengesellschaften.91 Neben der klassischen Darstellung der Verfügbarkeit bestimmter Leistungen nimmt die „vergleichende Produktsuche mit Hilfe von weiteren Kriterien“92 eine immer wichtigere Rolle im Leistungsspektrum der GDS ein.93 d) Verbreitungsgrad GDS sind geprägt durch ihr weltweites Tätigwerden, wobei die geographische Abdeckung jedoch in Nordamerika und Europa am höchsten ist.94

B. Einzelne Funktionen der Globalen Distributionssysteme Die Schaffung der GDS ist somit Ausgangspunkt und Voraussetzung jeglicher Existenz und Erhebung von PNR-Daten und den damit verbundenen Möglich­ keiten ihrer Nutzung. Weltweit gibt es nur wenige große GDS Unternehmen. Die jeweiligen GDS haben verschiedene Funktionen.

90

Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, S. 270. 91 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, S. 270. 92 Weitere Kriterien sind u. a. der Ticketpreis oder der Standort des Hotels. 93 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, S. 270. 94 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, S. 270.

2010, 2010, 2010, 2010,

§ 12 Nutzung von PNR-Daten zu kommerziellen Zwecken

299

I. Darstellung der angebotenen Produkte In den GDS werden zunächst die Produkte bzw. Dienstleistungen der jewei­ligen Leistungsanbieter dargestellt und damit dem Absatzmittler (bspw. Reisebüro) oder dem Endkunden zum Abschluss eines Vertrages über das Dienstleistungsprodukt präsentiert.95 Essentiell ist eine neutrale Darstellung („unbiased“) der angebotenen Produkte bzw. Dienstleistungen.96 Die Darstellung variiert entsprechend des angebotenen Produktes: Ist die Darstellung von Flugverbindungen relativ einfach gehalten (bspw. Abflug- und Ankunftszeit, Flugstrecken, Verfügbarkeit der einzelnen Buchungsklassen sowie Preis), sind Produkte anderer Anbieter wie Hotel- oder Mietwagenvermittler aufwendiger gehalten, sodass neben einer textbasierten Beschreibung der Leistung zunehmend auch eine multimediale Aufbereitung erfolgt.97 II. Darstellung und Berechnung der erhältlichen Tarife Zudem werden in GDS die erhältlichen Tarife dargestellt, die u. a. von der Buchungsklasse, dem Zeitpunkt der Reise und ihrem Buchungszeitpunkt, der Route oder der Aufenthaltslänge abhängig sind.98 Durch die ständig wachsende Anzahl an Flugstrecken sowie der Ausdifferenzierung der Tarife und deren häufiger Änderung müssen die Systeme laufend aktualisiert werden, um einen „sicheren Zugriff auf korrekte, aktuelle und detaillierte Informationen“ zu gewährleisten.99 Mit einer Basis von mehreren Millionen Tarifen, die in einem Zentralrechner gespeichert werden, sind auch internationale Flugpreisberechnungen für komplizierte, umfangreiche Streckenkombinationen in unterschiedlichen Beförderungsklassen möglich.100 III. Reservierungen und Erhebung von PNR-Daten Zentraler Bestandteil und Grund für die Entwicklung jedes Reservierungssystems ist die Reservierung von Reiseleistungen.101 Dabei wird für jeden Passagier für die jeweilige Buchung eines Fluges ein PNR aufgebaut, in dem die Leistungsinfor 95 Echtermeyer, Elektronisches Tourismus-Marketing, S. 24; Schulz, in: Schulz/Weithörner/ Goecke, Informationsmanagement im Tourismus, 2010, S. 273. 96 Echtermeyer, Elektronisches Tourismus-Marketing, S. 24; vgl. zum Problem oben S. 296 und Fn. 79. 97 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 273. 98 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 273; siehe auch Kreczy, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 37. 99 Echtermeyer, Elektronisches Tourismus-Marketing, S. 24. 100 Pompl, Luftverkehr, S. 295. 101 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 274 f.

300

Teil 3: Die Übermittlung von PNR-Daten in die USA 

mationen zu dem Kunden gespeichert werden und ein dazugehöriger Buchungscode zugewiesen wird.102 Dieser Buchungscode (Primärschlüssel oder auch File-Key genannt103) stellt eine Vorgangsnummer dar, mit der die jeweilige Buchung eines Fluges jederzeit identifiziert und mit dem dazugehörigen PNR verbunden wird.104 Dieser PNR-Datensatz ist Grundlage für das Erstellen der Reiseunterlagen.105 IV. Hilfe bei der Abwicklung von Flügen GDS spielen zudem bei der Abwicklung von Flügen eine Rolle. So werden bspw. im Rahmen des Check-In eines Fluges auf der Basis der Reservierungsdaten die Passagier- und Wartelisten erstellt, die Bordkarten sowie die Anhänger zur Identifizierung des Gepäcks106 ausgestellt und zudem Informationen zur Erstellung von Ladepapieren an die Flugabfertigung weitergeleitet.107 Dies geschieht auf der Basis von Schnittstellen zwischen dem eigentlichen Reservierungssystem und zahlreichen anderen Systemen, die für spezielle Aufgaben im Rahmen eines Fluges wie bspw. die Abfertigung, das Catering oder für Kundenbonussysteme notwendig sind.108 V. Inventarmanagement Durch GDS können außerdem die angebotenen Produkte verwaltet und den Marktbedingungen angepasst werden.109 Das Inventar, bspw. bei einer Fluggesellschaft die angebotenen Flüge, wird neben verschiedenen Serviceklassen (First, Business, Economy) auch in bis zu 26 Buchungsklassen unterteilt, für die jeweils die Buchungsbedingungen sowie die Preise variieren.110 Im Inventarmanagement ist die Buchungssteuerung essentiell, durch die festgelegt wird, wie viele Sitz 102 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 275; Mundt, in: Fuchs/Mundt/Zollondz, Lexikon Tourismus, 2008, S. 506. 103 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 275. 104 Mundt, in: Fuchs/Mundt/Zollondz, Lexikon Tourismus, 2008, S. 116. 105 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 275. 106 Sogenannte „baggage tags“, deren Nummern nach Antritt des Fluges ebenfalls in den PNR gespeichert werden, vgl. dazu Mundt, in: Fuchs/Mundt/Zollondz, Lexikon Tourismus, 2008, S.  507 und generell zur Gepäckabfertigung Kreczy, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 39. 107 Pompl, Luftverkehr, S. 303, zur Passagierabfertigung vgl. Kreczy, in: Schulz/Weithörner/ Goecke, Informationsmanagement im Tourismus, 2010, S. 38. 108 Kreczy, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 37. 109 Vgl. dazu Kreczy, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 37; Echtermeyer, Elektronisches Tourismus-Marketing, S. 26 f. 110 Kreczy, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 37; vgl. auch Echtermeyer, Elektronisches Tourismus-Marketing, S. 27.

§ 12 Nutzung von PNR-Daten zu kommerziellen Zwecken

301

plätze in den jeweiligen Buchungsklassen verfügbar sind.111 Indem einzelne Klassen entsprechend der Nachfrage geöffnet oder geschlossen werden, kann eine laufende Optimierung des Angebots je nach Nachfrage erfolgen.112 VI. Datenquelle Die Systeme dienen des Weiteren als Datenquelle zur Bestimmung und Optimierung von Luftverkehrsströmen: So können Fluggesellschaften Buchungsdaten sämtlicher am Luftverkehr beteiligter Gesellschaften von den marktbeherrschenden Systeme kaufen.113 Erhältlich sind Rohdaten der Buchungen, die aus einzelnen Segmenten der PNR-Datensätzen bestehen und mit Hilfe von EDV-Programmen zu „Origins & Destinations“ (sog. O & Ds) aufbereitet werden.114 Dabei wird von jedem Passagier der tatsächliche Ausgangs- und Endpunkt eines Reiseweges in einer Reiserichtung erfasst, und die Reisewege werden im Anschluss zu Verkehrsströmen gebündelt.115 Die Größe des Verkehrsstromes (O & D) wird bspw. durch die Anzahl der Passagiere pro Woche oder Monat angegeben, die von einem Ausgangsort (Origin) zu einem Zielort (Destination) fliegen möchten.116 Hintergrund ist, dass eine Fluggesellschaft dadurch feststellen kann, wie hoch die Bedeutung verschiedener O & Ds für ihr Flugnetz oder ihren Marktanteil an den jeweiligen O & Ds ist.117 Zudem fungieren die in den GDS gespeicherten PNR-Daten auch als Datenquelle von Sicherheitsbehörden. VII. Gewährleistung technischer Funktionalität GDS zeichnen sich durch die Gewährleistung technischer Funktionalität aus. Die Anforderungen, die an ein GDS gestellt werden, sind: Datensicherheit, hohe und globale Verfügbarkeit, Dauerbetrieb118, kurze Antwortzeiten119, Bewältigung größter Daten- und Transaktionsvolumina, Verbindung zu möglichst vielen Leis 111 Kreczy, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S.  37; Echtermeyer, Elektronisches Tourismus-Marketing, S.  26 f.; dies geschieht in einigen Fällen über eine Echtzeitschnittstelle zum Yield Management System, siehe dazu oben S. 295 und insbesondere Fn. 75. 112 Kreczy, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 37; Echtermeyer, Elektronisches Tourismus-Marketing, S. 26 f. 113 Echtermeyer, Elektronisches Tourismus-Marketing, S. 26. 114 Echtermeyer, Elektronisches Tourismus-Marketing, S. 26 f. 115 Echtermeyer, Elektronisches Tourismus-Marketing, S. 26 f. 116 Echtermeyer, Elektronisches Tourismus-Marketing, S. 26. 117 Echtermeyer, Elektronisches Tourismus-Marketing, S. 27. 118 Sieben Tage die Woche und 24 h am Tag auf Grund verschiedener Zeitzonen. 119 1998 waren dies weniger als drei Sekunden.

302

Teil 3: Die Übermittlung von PNR-Daten in die USA 

tungsanbietern, Ermöglichung eines zeitgleichen Zugriffs auf das Angebot für alle Vertriebspartner sowie umgehende Informationsverbreitung von Angebotsänderungen.120 VIII. Weitere Zusatzfunktionen Durch die Konkurrenzsituation zu weiteren Betreibern ist jeder Betreiber von GDS gezwungen, Zusatzdienstleistungen anzubieten: So wurden weitere Reiseinformationen und Zusatzleistungen wie Klimatabellen, Einreisebestimmungen oder Veranstaltungen vor Ort in die Systeme integriert und zudem die Benutzeroberfläche verbessert, um den leichten Einstieg in den Ablauf von Reservierungen zu ermöglichen und somit auch den Schulungsaufwand für Reisebüros zu verringern.121

C. Aufbau eines PNR-Datensatzes Technisch gesehen enthält ein Passagiernamensregister die folgenden Basis­ elemente: Vor- und Nachname des Passagiers, Kontaktdetails (z. B. Telefonnummer), Ausstellungsort und -zeitpunkt des Tickets, mindestens eine Flugstrecke, Hotel- oder Mietwagenreservierung sowie Angaben über den Auftraggeber einer Buchung oder Umbuchung.122 Dabei ist ein PNR-Datensatz in die drei Teilbereiche Kopfteil, Leistungsteil sowie Informationsteil aufgeteilt; zudem besteht die Möglichkeit, Änderungen nachzuverfolgen und ein elektronisches Ticket abzuspeichern:123 I. Kopfteil Der Kopfteil eines PNR-Datensatzes enthält die Identifikationsnummer des Agenten, die für eine Zuordnung der Buchung und auch für Provisionszahlungen benötigt wird.124 Zudem beinhaltet der Kopfteil eines PNR-Datensatzes den Buchungscode (Primärschlüssel, File-Key), der beim ersten Abschluss des PNR 120

Vgl. Echtermeyer, Elektronisches Tourismus-Marketing, S. 27 f. Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 276; ausführlich zum Aufbau eines PNR-Datensatzes Schulz/Kwoka, in: Schulz/Weithörner/ Goecke, Informationsmanagement im Tourismus, 2010. 122 Tinnus, in: Otto-Rieke, Modernes Geschäftsreisemanagement/Modernes GeschäftsreiseManagement 2012, 2011, S. 67. 123 Siehe zum Folgenden Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 275. 124 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 275. 121

§ 12 Nutzung von PNR-Daten zu kommerziellen Zwecken

303

Aufbaus vergeben wird, durch den jeder PNR-Datensatz eindeutig identifiziert werden kann und bei dem eine jederzeit mögliche Änderung angezeigt wird.125 Des Weiteren wird der Name des Leistungsempfängers (bspw. Passagier oder Hotelgast) angezeigt, ebenso ein Teil der Buchungsinformationen.126 II. Leistungsteil Im Leistungsteil eines PNR-Datensatzes werden alle Buchungen von Leistungen festgehalten.127 Je nach Umfang der Buchung werden Informationen über die angeforderten Flugabschnitte (Flugnummer, Datum, Uhrzeit, Strecke)  oder bspw. die gebuchten Hotels oder Mietwagen angelegt.128 Die jeweiligen Leistungen müssen nicht manuell eingegeben werden, sondern können mit Hilfe von kurzen Transaktionen (sog. Short-Cuts) aus dem Angebotsdisplay direkt in den PNR-­ Datensatz übernommen werden.129 Dort werden sie dann unabhängig von der Eingabe in chronologischer Reihenfolge sortiert, wobei die Flugbuchungen stets zuerst angezeigt werden.130 III. Informationsteil Im Informationsteil des PNR-Datensatzes werden notwendige Zusatzeingaben vom Reisemittler manuell vorgenommen oder aus einem Kundenprofil übernommen.131 Dabei gibt es eine Anzahl von vorgegebenen Feldern, in die Informationen wie bspw. Kreditkartennummer, Essenswünsche, Sitzplatzreservierung, Sonderwünsche oder APIS-Nummer eingegeben werden können. Zusätzlich gibt es noch ein Feld, das keiner bestimmten Informationsart zugeordnet ist und in welches weitere Informationen eingetragen werden können.

125 Vgl. Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 275; Echtermeyer, Elektronisches Tourismus-Marketing, S. 25. 126 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 275. 127 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 275. 128 Vgl. Echtermeyer, Elektronisches Tourismus-Marketing, S. 25. 129 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 275. 130 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 275. 131 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 275.

304

Teil 3: Die Übermittlung von PNR-Daten in die USA 

IV. Nachverfolgungsmöglichkeit von Änderungen Weiterhin gehört zu jedem PNR-Datensatz eine PNR-History, in der alle Änderungen an dem PNR-Datensatz aufgezeichnet werden, sodass durch diese Funktion jederzeit festgestellt werden kann, welche Personen den Datensatz verändert haben.132 V. Transitional Stored Ticket Zudem ist als Teil des PNR-Datensatzes noch das sogenannte Transitional Stored Ticket (TST) abgespeichert und aufrufbar: Dies ist vor allem aus einem Grund wichtig, da heutzutage im Luftverkehr vollständig auf die Ausstellung von Papiertickets verzichtet wird und stattdessen die relevanten Flugdaten in Form eines elektronischen Tickets (E-Ticketing) gespeichert werden.133 Der Fluggast muss sich beim Check-In lediglich ausweisen, um das Ticket verwenden zu können.134

D. Fluggesellschaften und CRS bzw. GDS als verantwortliche Stellen Im Zusammenhang mit ihrer engen Zusammenarbeit mit Fluggesellschaften sowie ihrer ursprünglichen gesellschaftsrechtlichen Zugehörigkeit zu den Flug­ gesellschaften ist von Interesse, ob die CRS bzw. GDS als verantwortliche Stellen oder lediglich als Auftragsdatenverarbeiter anzusehen sind. Aufschlussreich zur Klärung dieser Frage sind Auskunftsanfragen des Reisejournalisten und Bürgerrechtlers Edward Hasbrouck135 an verschiedene europäische Fluggesellschaften bzgl. der über ihn gespeicherten Daten.136 Wie die Reaktionen der Fluggesellschaf 132 Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 275. 133 Vgl. Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 274 und 275. 134 Vgl. Schulz, in: Schulz/Weithörner/Goecke, Informationsmanagement im Tourismus, 2010, S. 274 und 275. 135 Siehe Hasbrouck, What’s in a Passenger Name Record (PNR)? mit Links zu einer Vielzahl in dieser Arbeit behandelten Thematiken. 136 Siehe für die Auskunftsanfragen an verschiedene europäische Fluggesellschaften den Blog von Edward Hasbrouck mit Verweis auf Dokumente, die den Gang des Verfahrens belegen. Im Einzelnen handelt es sich um Auskunftsanfragen an KLM aus dem Jahr 2007 („KLM claims it doesn’t know what happens with passengers’ data“) abzurufen unter http://hasbrouck. org/blog/archives/001273.html, an Air France aus dem Jahr 2009 („What does Air France do with reservation data?“) abzurufen unter http://hasbrouck.org/blog/archives/001679.html sowie an Lufthansa aus dem Jahr 2010 („Lufthansa says they aren’t responsible for their agents and contractors“) abzurufen unter http://hasbrouck.org/blog/archives/001875.html (jeweils zuletzt geprüft am 15.03.2015).

§ 12 Nutzung von PNR-Daten zu kommerziellen Zwecken

305

ten verdeutlichen, scheint die Frage, wie CRS bzw. GDS datenschutzrechtlich einzuordnen sind, nicht abschließend geklärt. Zur Klärung beitragen könnte eine im Jahr 2009 von EU-Parlament und Rat verabschiedete Verordnung, die u. a. einen Verhaltenskodex in Bezug auf Computerreservierungssysteme normierte und frühere Regelungen zu diesem Thema aufhob.137 Edward Hasbrouck richtete erstmals am 5. Mai 2010 eine sehr ausführliche und weitreichende Auskunftsanfrage an Lufthansa, um Auskunft über die über ihn gespeicherte Daten und insbesondere PNR-Daten zu erhalten.138 In ihrer Antwort wies Lufthansa zunächst darauf hin, dass Teile der Anfrage nicht durch Lufthansa bearbeitet werden könnten, da sich Lufthansa nicht als verantwortliche Stelle für die Erhebung von PNR-Daten sehe und stattdessen auf das Buchungssystem AMADEUS verwies, das die PNR-Daten zu Reservierungszwecken und zur Ticketausstellung nutze.139 Zur Begründung führte Lufthansa Art. 11 der VO über einen Verhaltenskodex in Bezug auf CRS an: Demnach gelte ein Systemverkäufer – im Fall der Lufthansa das CRS AMADEUS – „als für die Datenverarbeitung Verantwortlicher“ im Sinne von Art. 2 lit. d DSRL.140 Lufthansa bat Hasbrouck, sich bzgl. einer Auskunft über die PNR-Daten an AMADEUS zu wenden.141 Bezüglich bestimmter Flüge  – inklusive Flugnummern und Flugdaten  –, die Hasbrouck mit Lufthansa absolviert hatte, gab die Fluggesellschaft dem Informationsgesuch Hasbroucks mit Bezug auf § 34 I 1 BDSG statt.142 Zudem stellte sie in Aussicht, auch die folgenden weiteren Informationen zu erteilen: die zu seiner Person im Rahmen der bestimmten Flüge gespeicherten Daten, die Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, sowie den Zweck der Speicherung.143 Ein zusätzliches Auskunftsrecht, gestützt auf § 6a BDSG, wonach Entscheidungen ausschließlich auf der Grundlage automatisierter Einzelentscheidungen verboten sind, sei jedoch nicht einschlägig, da die Verarbeitung von Passagierdaten durch die Fluggesellschaft keine automatisierten Einzelentscheidungen im Rahmen dieses Paragraphen betreffe.144

137

Siehe Verordnung (EG) Nr.  80/2009 des Europäischen Parlaments und des Rates vom 14.  Januar 2009 über einen Verhaltenskodex in Bezug auf Computerreservierungssysteme und zur Aufhebung der Verordnung (EWG) Nr. 2299/89 des Rates, ABl. L 35 v. 04.02.2009, S. 47 ff. (VO über einen Verhaltenskodex in Bezug auf CRS). 138 Siehe dazu die Anfrage von Hasbrouck an Lufthansa, abzurufen unter http://www. hasbrouck.org/documents/LH/LH-request.pdf (zuletzt geprüft am 15.03.2015). 139 Siehe dazu die Antwort der Lufthansa an Hasbrouck vom 10.06.2010, abzurufen unter http://hasbrouck.org/documents/LH/LH-to-Hasbrouck-10JUN2010.txt (zuletzt geprüft am 15.03.2015) (Antwort von Lufthansa an Hasbrouck v. 10.06.2010). 140 Antwort von Lufthansa an Hasbrouck v. 10.06.2010. 141 Antwort von Lufthansa an Hasbrouck v. 10.06.2010. 142 Antwort von Lufthansa an Hasbrouck v. 10.06.2010. 143 Antwort von Lufthansa an Hasbrouck v. 10.06.2010. 144 Antwort von Lufthansa an Hasbrouck v. 10.06.2010.

306

Teil 3: Die Übermittlung von PNR-Daten in die USA 

In der Folge gab sich Hasbrouck mit dieser Antwort jedoch nicht zufrieden und stellte die Wahrheit dieser Aussagen in Frage.145 Mit der darauffolgenden Antwort der Lufthansa übermittelte die Fluggesellschaft die bereits in der ersten Antwort genannten Daten an Hasbrouck und gab nochmals ausführlich ihre dargestellte Position wieder, machte weitere Ausführungen zu den geforderten Daten und wies auf die Beschwerdemöglichkeit beim Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hin.146 Daraufhin erhob Hasbrouck eine Beschwerde bei dem für Lufthansa zuständigen Landesbeauftragten für Datenschutz und Informationsfreiheit NordrheinWestfalen und legte detailliert u. a. dar, dass Lufthansa zur Auskunft über die geforderten Daten nach dem BDSG verpflichtet sei.147 Die Antwort der Behörde des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen auf die Beschwerde von Hasbrouck ist sehr aufschlussreich und klärt die aufgeworfenen rechtlichen Fragen, die – so die Antwort der Behörde – teilweise schwierig waren und nach Rücksprache mit anderen Datenschutzbehörden in der EU beantwortet wurden:148 Die Behörde begrüßte die kritische Sicht Hasbroucks in Bezug auf den Transfer von PNR-Daten, da auch nach mehr als acht Jahren kein überzeugender Beweis für die Notwendigkeit und Verhältnismäßigkeit eines solchen Überwachungsinstruments, das alle Flugreisende unabhängig von einer Beteiligung an Straftaten beträfe, in Sicht sei. Die Behörde stimmte Hasbroucks Ansicht insoweit zu, dass es die Aufgabe der Lufthansa sei, ihn mit allen PNR-Informationen die durch AMADEUS im Namen der Lufthansa an das US Department of Homeland Security (DHS) übertragen wurden, zu versorgen. Die Übermittlung von Passagierdaten an das US Department of Homeland Security sei eine rechtliche Verpflichtung der Lufthansa. Insofern handele ­AMADEUS lediglich als Datenverarbeiter im Auftrag der Lufthansa. Verantwortlich für Hasbroucks Zugangsrechte zu seinen Daten sei Lufthansa als verantwortliche Stelle für den Übermittlungsprozess. Aus diesem Grund sei Lufthansa angewiesen worden, ­Hasbrouck über alle PNR-Datenelemente zu informieren, die sie an das US Department of Homeland Security übermittelt habe, inklusive der Daten, die via ­AMADEUS zugänglich gemacht wurden. Für Informationen über darüber hinausgehende Passa 145 Siehe dazu die Antwort von Hasbrouck an Lufthansa vom 14.06.2010, abzurufen unter http://hasbrouck.org/documents/LH/Hasbrouck-to-LH-14JUN2010.txt (zuletzt geprüft am 15.03.2015) (Antwort von Hasbrouck an Lufthansa v. 14.06.2010). 146 Siehe dazu die Antwort der Lufthansa an Hasbrouck vom 05.07.2010, abzurufen unter http://hasbrouck.org/documents/LH/LH-to-Hasbrouck-5JUL2010.pdf (zuletzt geprüft am 15.03.2015) (Antwort von Lufthansa an Hasbrouck v. 05.07.2010). 147 Siehe dazu die Beschwerde von Hasbrouck an den Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen vom 11.08.2010, abzurufen unter http:// hasbrouck.org/documents/LH/LH-complaint-attach.pdf (zuletzt geprüft am 15.03.2015). 148 Siehe dazu und zum Folgenden die Antwort des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen an Hasbrouck vom 16.05.2011, abzurufen unter http://hasbrouck.org/documents/LH/LDI_NRW-response-16MAY2011.pdf (zuletzt geprüft am 15.03.2015) (Antwort LDI an Hasbrouck v. 16.05.2011).

§ 12 Nutzung von PNR-Daten zu kommerziellen Zwecken

307

gierdaten von Hasbrouck verwies die Behörde ihn direkt an das CRS AMADEUS, das nach der VO über einen Verhaltenskodex in Bezug auf CRS bzgl. weiterer Daten die verantwortliche Stelle gem. Art. 11 II der VO sei. Daraufhin setzte sich die Behörde ausführlich mit dem Argument Hasbroucks auseinander, dass Reise­büros, die in die Buchung von Lufthansaflügen eingebunden sind, als Auftragsdatenverarbeiter anzusehen seien. Es sei zunächst notwendig zu verstehen, dass kommerzielle Vereinbarungen über die Bearbeitung von Verträgen im Namen einer Gesellschaft nicht automatisch eine Auftragsdatenverarbeitung nach sich ziehe. Entscheidend für ein Auftraggeber-Auftragnehmer-Verhältnis i. S. d. § 11 BDSG sei es, dass der Datenverarbeiter keinerlei eigene Entscheidungen treffe, ob und wie die Daten verarbeitet würden. Normalerweise würden Datenverarbeiter die verantwortliche Stelle bspw. durch Speicherungskapazitäten technisch unterstützen. Daraufhin erklärte die Behörde eingehend den Unterschied zwischen Auftragsdatenverarbeitung und Funktionsübertragung. Der Verkauf von Tickets für Lufthansa durch Reisebüros sei eine Funktionsübertragung, bei der innerhalb eines gewissen Rahmens über die Datenverarbeitung entschieden werden dürfe. Im Rahmen ihrer übertragenen Aufgaben seien die Reisebüros verantwortliche Stelle, da sie bspw. darüber entschieden, welche Kontaktdaten erhoben oder ob zusätzliche Daten für Werbezwecke erhoben würden – Entscheidungen, die im Rahmen einer Auftragsdatenverarbeitung nicht getroffen werden könnten. Als typisches Beispiel für eine Auftragsdatenverarbeitung führte die Behörde des Datenschutzbeauftragten NRW an, dass Amadeus PNR-­ Daten lediglich im Auftrag der Fluggesellschaften an Regierungsbehörden übermittele, jedoch keine Entscheidungen über die Menge der Datenkategorien oder die Empfänger der Daten treffen dürfe. Entscheidend im Rahmen der Auftragsdatenverarbeitung sei, dass die verantwortliche Stelle alle wesentlichen Entscheidungen über die Datenverarbeitung treffe. Lufthansa müsse Hasbrouck daher nur Informationen über die Daten geben, die in den Systemen unter ihrer Kontrolle gespeichert sind. Diese Daten beinhalteten PNR-Daten, die im Auftrag der Lufthansa durch Amadeus zur Erfüllung rechtlicher Verpflichtungen der Fluggesellschaften an das US Department of Homeland Security übertragen würden. Die Behörde des Datenschutzbeauftragten teilte Hasbrouck zudem die Kategorien der Datenempfänger mit, die neben dem DHS auch weitere Empfänger wie Partnerairlines oder Abfertigungsunternehmen am Flughafen umfassten. Der Forderung von Hasbrouck nach Offenlegung einer Beschreibung der Art und Weise, wie die automatische Auswertung durch das DHS bzgl. der von Lufthansa übermittelten PNR-Daten erfolge, erteilte die Behörde des Datenschutzbeauftragten eine Absage. Aus tatsächlichen Gründen gehe die Verpflichtung der Lufthansa aus § 6a III und § 34 BDSG sowie Art. 12 DSRL nicht so weit. Das Auskunftsrecht sei beschränkt auf die Datenverarbeitung, die die verantwortliche Stelle kontrolliert. Wenn Daten an einen Dritten weitergegeben würden, sei dieser Dritte die neue verantwortliche Stelle für jegliche Datenverarbeitung, die von diesem Dritten vorgenommen werde. Das Auskunftsrecht müsse daher an diese neue verantwortliche Stelle gerichtet werden. Lufthansa sei daher nicht die verantwortliche Stelle für das Auswertungssystem, das im Rahmen der Passagierkontrolle in den USA angewandt werde.

308

Teil 3: Die Übermittlung von PNR-Daten in die USA 

In der Antwort Hasbroucks auf die Nachricht des Datenschutzbeauftragten zeigte er sich weder zufrieden mit der Antwort der Behörde noch mit der Antwort der Lufthansa, die nach seinen Angaben schließlich nur einen Teil der PNR-­Daten zur Verfügung gestellt habe, die von Amadeus an das DHS übertragen worden seien; es fehle die PNR-History, aus der sämtliche Änderungen hervorgingen.149 Weder Amadeus, noch Lufthansa hätten zudem Kontrolle darüber, wer von wo auf der Welt auf die PNR-Daten zugreife.150 Hasbrouck forderte deshalb u. a. den Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen auf, Maßnahmen gegen Lufthansa zu ergreifen, da diese die Datenübermittlung an Drittländer nicht eingeschränkt habe und sie zudem zu verpflichten, jeden Zugriff auf PNR-Daten aus dem Ausland zu registrieren und schließlich den grenzüberschreitenden Datentransfer auf Informationen zu beschränken, die tatsächlich für Kundenwünsche benötigt würden.151 Schließlich übermittelte die Behörde des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen in einem weiteren Schreiben Hasbrouck auch die von Lufthansa zur Verfügung gestellte und von Hasbrouck nachdrücklich angeforderte PNR-History.152 Durch Nennung der Datenkategorien, wie sie aus dem Schreiben vom 16. Mai 2011 hervorgingen, habe Lufthansa ihre Verpflichtungen nach § 34 I Nr. 2 BDSG erfüllt.153 Nach weiteren Ausführungen stellte die Behörde fest, dass sie keine Verstöße gegen das deutsche Datenschutzrecht durch Lufthansa erkennen könne und daher auch keine Maßnahmen gegen Lufthansa zu treffen habe; das Schreiben vom 4. November 2011 i. V. m. dem Schreiben vom 16. Mai 2011 sei als zusammenhängende Entscheidung im Rahmen der Beschwerde anzusehen.154 Wie Hasbrouck auf seinem Blog zu erkennen gab, ist er mit dem Ergebnis jedoch nicht einverstanden, da die Möglichkeit bestehe, dass seine Daten an Länder übermittelt wurden, die über kein angemessenes Datenschutzniveau verfügen; aus diesem Grund behielt er sich weitergehende rechtliche Schritte vor.155 149

Siehe dazu die Antwort von Hasbrouck an den Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen vom 02.09.2011, abzurufen unter http://hasbrouck. org/documents/LH/Hasbrouck-to-LH-2SEP2011.pdf (zuletzt geprüft am 15.03.2015) (Antwort von Hasbrouck an LDI v. 02.09.2011); so sei die sog. PNR-History nicht übermittelt worden, aus der sämtliche Änderungen am PNR hervorgehen. 150 Antwort von Hasbrouck an LDI v. 02.09.2011. 151 Antwort von Hasbrouck an LDI v. 02.09.2011. 152 Siehe dazu die Antwort des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen an Hasbrouck vom 04.11.2001, abzurufen unter http://hasbrouck.org/ documents/LH/LH-to-Hasbrouck-4NOV2011.pdf (zuletzt geprüft am 15.03.2015) (Antwort LDI an Hasbrouck v. 04.11.2011). 153 Antwort LDI an Hasbrouck v. 04.11.2011; die Antwort des LDI nennt jedoch – wohl versehentlich – Art. 34 II Nr. 2 BDSG. 154 Antwort LDI an Hasbrouck v. 04.11.2011. 155 Siehe dazu die Ausführungen im Blog von Hasbrouck, abzurufen unter http://hasbrouck. org/blog/archives/001875.html (zuletzt geprüft am 15.03.2015).

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

309

Zusammenfassend lässt sich feststellen, dass bei einer Übermittlung von PNRDaten an Sicherheitsbehörden in den USA die Fluggesellschaft die verantwortliche Stelle ist, auch wenn sie sich zur Aufgabenerfüllung eines CRS bzw. GDS bedient. Dies ist auf Grund des fehlenden Entscheidungsspielraums des CRS bzw. GDS der Fall. Dieses handelt lediglich als Auftragsdatenverarbeiter. Durchaus kann jedoch auch ein CRS bzw.GDS als verantwortliche Stelle handeln, wenn ihm – wie bspw. durch die Ausweitung der Funktionen auf weitere Buchungsmöglichkeiten von Drittanbietern  – ein eigener Entscheidungsspielraum zur Verfügung steht. Diese Einschätzung ist mit EU-Recht vereinbar. Die VO über einen Verhaltenskodex in Bezug auf CRS, die als spezielles EU-Recht Anwendungsvorrang vor dem BDSG hat, stützt diese Einschätzung. Wie auch im Rahmen der vorgestellten Ausführungen bereits angesprochen, bestimmt die VO in der deutschen Fassung in Art. 11 I a. E. zwar, dass ein Systemverkäufer „als für die Datenverarbeitung Verantwortlicher“ gilt, und somit eine Interpretation, wie sie der Datenschutzbeauftragte vorgenommen hat, nicht mit EU-Recht vereinbar wäre. Jedoch decken andere, gleichwertige Sprachfassungen in anderen EU-Sprachen sehr wohl die Interpretation des Datenschutzbeauftragten.156 So sieht bspw. die englische Sprachfassung durch Anwendung des unbestimmten Artikels die CRS nur als eine mögliche verantwortliche Stelle („shall be considered as a data controller“) und auch die niederländische Fassung („een voor de verwerking verantwoordelijke“) spricht dafür, dass die vom Datenschutzbeauftragten vorgenommene Interpretation möglich ist. Für die im Rahmen dieser Arbeit relevante Übermittlung von PNR-Daten an Sicherheitsbehörden ist somit die Fluggesellschaft selbst verantwortliche Stelle, auch wenn die Daten durch ein CRS bzw. GDS an die Sicherheitsbehörden übermittelt werden. Für Bereiche, in denen den CRS bzw. GDS ein gewisser Entscheidungsspielraum zusteht, können diese jedoch durchaus als verantwortliche Stelle angesehen werden.

§ 13 Nutzung von PNR-Daten und weiteren Datenarten zu Sicherheitszwecken Neben der kommerziellen Nutzung der PNR-Daten erfolgt zunehmend auch eine Nutzung zu Sicherheitszwecken wie bspw. im Rahmen der Strafverfolgung, der Strafvorbeugung oder der Terrorismusbekämpfung. Vor allem in den USA ist jedoch die PNR-Datenauswertung nur ein Teil eines komplexen Systems verschiedener Arten der Datenauswertung. Verschiedene Datenarten werden dabei kumulativ genutzt.157 Daher sind in Bezug auf die USA weitere zu Sicherheitszwecken genutzte Daten sowie die gesetzlichen Grundlagen für die Datenauswertung von Interesse. 156

Dies deckt sich mit der französischen Fassung („responsable du traitement“); auch die spanische Fassung nutzt einen bestimmten Artikel und erklärt das CRS zum Verantwortlichen („el responsable del tratamiento de datos“). 157 Siehe dazu unten S. 320 und S. 379 ff.

310

Teil 3: Die Übermittlung von PNR-Daten in die USA 

A. PNR-Daten und weitere Datenarten PNR-Daten müssen von anderen  – ebenfalls oftmals im Rahmen einer Flugreise – erhobenen Daten abgegrenzt werden. Dabei sind vor allem API-Daten, Daten auf Beobachtungslisten, Daten im Rahmen des Secure Flight-Programms sowie ESTA-Daten relevant. Bedeutender Unterschied zwischen PNR-Daten und den im Folgenden zu erläuternden anderen Datenarten ist, dass PNR-Daten ursprünglich nur zu Zwecken erhoben wurden, die Rechtsbeziehungen zwischen Privaten regeln (Flugbuchung) und als solche rein kommerziellen Zwecken dienten und gerade keinen sicherheitsrelevanten Bezug hatten, sich aber dann von den Sicherheitsbehörden zu Eigen gemacht wurden. ESTA-Daten, API-Daten und Daten im Rahmen des Secure Flight-Programms und des Schengener Informations­ systems bzw. Visa-Informationssystems hingegen hatten nie einen anderen als einen rein sicherheitsrelevanten Bezug.158 I. API-Daten API-Daten (Advanced Passenger Information) unterscheiden sich signifikant von PNR-Daten und werden u. a. sowohl von der EU als auch den USA genutzt. Auch von Seiten des Sicherheitsrates der Vereinten Nationen gibt es erste Initiativen, die Mitgliedstaaten der UN zur Auswertung von API-Daten zu bewegen.159 API-Daten sind weniger umfangreich als PNR-Daten. Eine Überprüfung von Fluggästen ist wegen der beschränkten Anzahl an Daten auch nicht in dem gleichen Umfang wie bei PNR-Daten möglich, sodass die Strafverfolgungsbehörden bspw. nicht bislang „unbekannte“ Straftäter und Terroristen mit Hilfe der API-­ Daten auffinden könnten.160 API-Daten werden zur Identifizierung einer Person gebraucht, PNR-Daten lassen hingegen Rückschlüsse auf das Verhalten einer Person zu.161 Jedoch werden oftmals API-Daten in den PNR-Datensatz aufgenommen, um die Identität einer Person sicherzustellen, da PNR-Daten allein dies nicht leisten können.162

158 Siehe zu PNR-, API-, und Secure-Flight Daten auch Baumann, in: Dix/Franßen/Kloepfer/ Schaar/Schoch/Voßhoff/Deutsche Gesellschaft für Informationsfreiheit, Informationsfreiheit und Informationsrecht Jahrbuch 2014, 2015, S. 30 ff. 159 Siehe dazu United Nations – Security Council, Resolution 2178 (2014), 24.09.2014, S. 5, http://www.un.org/en/ga/search/view_doc.asp?symbol=S/RES/2178 %20 %282014 %29 (zuletzt geprüft am 15.03.2015). 160 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 8. 161 Vgl. de Busser, Data protection in EU and US criminal cooperation, S. 359. 162 US DHS/Privacy Office, A Report Concerning Passenger Name Record Information Derived from Flights between the U. S. and the European Union, 18.12.2008, S. 35 – Appendix 1, http://www.dhs.gov/xlibrary/assets/privacy/privacy_pnr_report_20081218.pdf (zuletzt geprüft am 15.03.2015); de Busser, Data protection in EU and US criminal cooperation, S. 360.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

311

1. API-Daten in der EU Nach der Definition der EU sind API-Daten „die biografischen Informationen aus dem maschinenlesbaren Teil des Reisepasses“163. Die Verwendung dieser Daten wurde von der EU bereits 2004 in der API-Richtlinie164 geregelt. Zweck der Richtlinie ist die Verbesserung der Grenzkontrollen und die Bekämpfung der illegalen Einwanderung.165 Dies soll dadurch erreicht werden, dass die jeweiligen Luftfahrtunternehmen Angaben über die beförderten Passagiere nach Abschluss des Check-In an die Behörden weiterleiten, die am Zielflughafen Personenkontrollen durchführen.166 Zu den erforderlichen Angaben gehören neben Name, Staatsangehörigkeit, Geburtsdatum und Nummer des Reisedokuments auch die Flugnummer, Abflugs- sowie Ankunftszeit, ferner Ab- und Zielflughafen.167 Zudem ist die Gesamtzahl der beförderten Personen anzugeben.168 Der Umfang von API-Daten ist somit im Vergleich zu PNR-Daten stärker begrenzt.169 Eine Verwendung der API-Daten zu Zwecken der Strafverfolgung ist möglich, wenn sie nach Maßgabe der nationalen Rechtsvorschriften und der DSRL erfolgt.170 Dabei erfolgt die Verwendung der API-Daten vor allem zur Identitätskontrolle und als Grenzmanagementinstrument, sie werden jedoch auch zur Identifizierung von Verdäch­tigen sowie zur Fahndung ausgeschriebener Personen herangezogen.171 Die erhobenen Daten werden 24 Stunden nach ihrer Übermittlung gelöscht, es sei denn, sie werden unter Wahrung der nationalen Vorschriften und der DSRL durch die Behörden, die für die Kontrolle der Außengrenzen zuständig sind, zur Wahrnehmung ihrer gesetzlichen Aufgaben benötigt.172 In Deutschland wurde die APIRichtlinie durch § 31a BPolG umgesetzt.173

163 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 7. 164 Rat der Europäischen Union, Richtlinie 2004/82/EG des Rates vom 29. April 2004 über die Verpflichtung von Beförderungsunternehmen, Angaben über die beförderten Personen zu übermitteln (API-Richtlinie), ABl. L 261 v. 06.08.2004, S. 24–27. 165 Rat der Europäischen Union, API-Richtlinie, ABl. L 261 v. 06.08.2004, Art. 1. 166 Rat der Europäischen Union, API-Richtlinie, ABl. L 261 v. 06.08.2004, Art. 1, 3 I. 167 Rat der Europäischen Union, API-Richtlinie, ABl. L 261 v. 06.08.2004, Art. 3 II. 168 Rat der Europäischen Union, API-Richtlinie, ABl. L 261 v. 06.08.2004, Art. 3 III. 169 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 7. 170 Rat der Europäischen Union, API-Richtlinie, ABl. L 261 v. 06.08.2004, Art. 6 I. 171 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 7 f. 172 Rat der Europäischen Union, API-Richtlinie, ABl. L 261 v. 06.08.2004, Art. 6 I. 173 Drittes Gesetz zur Änderung des BPolgG v. 22.12.2007, BGBl. I 2007 S. 3214; dazu ausführlich Gnüchtel, in: Heesen, Bundespolizeigesetz, 5. Aufl. 2012, § 31 a PolG – Übermittlung von Fluggastdaten.

312

Teil 3: Die Übermittlung von PNR-Daten in die USA 

2. API-Daten in den USA Auch die USA verwenden API-Daten. Sowohl der Umfang als auch die Nutzung der Daten gehen jedoch über die Nutzung in der EU hinaus. Zweck der Erhebung von API-Daten in den USA ist es, Anfragen von Strafverfolgungsbehörden zu beantworten sowie Passagiere und Crewmitglieder zu identifizieren, die ein hohes Risiko oder eine Bedrohung für ein Schiff oder Flugzeug oder die nationale Sicherheit darstellen.174 Gleichzeitig soll das Reisen von gesetzestreuen Passagieren und Crewmitgliedern vereinfacht sowie dazu beigetragen werden, die Einreise in die USA zu beschleunigen.175 Die Zoll- und Grenzschutzbehörde der USA, U. S. Customs and Border Protection (CBP), erfasst dazu zunächst an Flug- und Seehäfen mit Hilfe des sog. Advanced Passenger Information System (APIS) die von den Transportunternehmen durch dieses System übertragenen API-­ Daten.176 Die dabei erhobenen API-Daten beinhalten Daten über die Identität einer Person wie ihrem Namen, Geburtsdatum, Geschlecht, Staatsangehörigkeit, Passnummer inklusive Ausstellungdatum sowie Gültigkeit und Wohnort, die gewöhnlicherweise über den maschinenlesbaren Teil des Reisepasses oder eines anderen zur Reise genutzten Identifikationsdokuments erhoben werden.177 Ebenfalls werden andere Reiseinformationen wie Flugnummer, Abflughafen, planmäßige Abflugs- und Ankunftszeit oder die Adresse in den USA während des Aufenthalts, die aus dem sog. passenger and crew manifest stammen sowie auch weitere Informationen, die speziell die Crew betreffen, wie die Pilotenlizenznummer, erhoben.178 Somit gehen die API-Daten in den USA über diejenigen der EU hinaus. Bereits vor den Anschlägen des 11. September 2001 wurden API-Daten in den USA auf

174

US DHS, Privacy Impact Assessment Update for the Advance Passenger Information System (APIS), 05.06.2013, S. 2, http://www.dhs.gov/sites/default/files/publications/privacypia-apis-update-20130605.pdf (zuletzt geprüft am 15.03.2015): „The purpose of this collection is to perform law enforcement queries and to identify high-risk passengers and crew members who may pose a risk or threat to vessel or aircraft safety or to national security, while simultaneously facilitating the travel of legitimate passengers and crew members. This information collection also assists in expediting processing of travelers at ports of entry, resulting in significant time savings“. 175 US DHS, Privacy Impact Assessment Update for the Advance Passenger Information System (APIS), 05.06.2013, S. 2. 176 Krouse/Elias, Congressional Research Service Report for Congress – Terrorist Watchlist Checks and Air Passenger Prescreening, 30.12.2009, S. 5, http://www.fas.org/sgp/crs/homesec/ RL33645.pdf (zuletzt geprüft am 15.03.2015). 177 US DHS, Privacy Impact Assessment Update for the Advance Passenger Information System (APIS), 23.06.2011, S. 3 f., http://www.dhs.gov/xlibrary/assets/privacy/privacy_pia_apia_ update_nctc_sharing.pdf (zuletzt geprüft am 15.03.2015); dazu auch Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 5 sowie S. 25 ebenfalls mit einer Liste aller möglichen API-Datenelemente. 178 US DHS, Privacy Impact Assessment Update for the Advance Passenger Information System (APIS), 23.06.2011, S. 3 f.; dazu auch Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 5.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

313

freiwilliger Basis erhoben, um die Einreise für gesetzestreue Passagiere zu beschleunigen.179 Die heute nicht mehr in dieser Form und unter diesem Namen existenten Behörden U. S. Customs Service und Immigration and Naturalization Service entwickelten dazu bereits 1988 das APIS als ein Modul des sogenannten Treasury Enforcement Communications System (heute nur noch TECS), einem System, das von Beamten an der Grenze genutzt wird und sie bei der Grenzabfertigung und insbesondere bei Fragen der Einreiseerlaubnis unterstützt.180 Nach den Anschlägen des 11. September 2001 wurde diese Übermittlung von API-­Daten gemäß des Aviation Transportation Security Act of 2001 (ATSA) für kommerzielle Flug- und Schiffsverbindungen in die USA, sowie gemäß des Enhanced Border and Visa Entry Reform Act of 2002 (EBSVERA) für kommerzielle Flug- und Schiffsverbindungen in die und aus den USA verpflichtend.181 Durch TECS gleicht die Zoll- und Grenzschutzbehörde CBP die API-Daten mit Strafverfolgungs-, Grenzkontroll- sowie Einwanderungssystemen bzw. Datenbanken ab und überprüft zudem etwaige Treffer mit den Terroristenbeobachtungslisten, die aus der konsolidierten Datenbank TSDB exportiert wurden.182 Seit dem 18. Februar 2008 müssen alle internationalen Transportunternehmen stets vor Abflug bzw. Abfahrt in die bzw. aus den USA die API-Daten übermitteln, wozu bspw. den Luftverkehrsunternehmen das System „APIS 30“, das eine Übertragung aller relevanten Daten auf einmal und bis zu 30 Minuten vor dem Schließen der Flugzeugtüren 179 Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 7; US DHS CBP, Federal Register Vol. 72, No. 163 19 CFR Parts 4 and 122; 6 CFR Part 5; Advance Electronic Transmission of Passenger and Crew Member Manifests for Commercial Aircraft and Vessels; Final Rule, 23.08.2007, S. 48321. 180 Vgl. Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 7, Fn. 28 sowie S. 8 zur Weiterübermittlung in weitere Komponenten von TECS; US DHS CBP, Federal Register Vol. 72, No. 163 19 CFR Parts 4 and 122; 6 CFR Part 5; Advance Electronic Transmission of Passenger and Crew Member Manifests for Commercial Aircraft and Vessels; Final Rule, 23.08.2007, S. 48321; zudem zu weiteren Erläuterungen zu TECS US DHS, Privacy Impact Assessment Update for the TECS System: CBP Primary and Secondary Processing (TECS) National SAR Initiative, 05.08.2011, S. 2 f., http://www.dhs.gov/ xlibrary/assets/privacy/privacy-pia-cbp-tecs-sar-update.pdf (zuletzt geprüft am 15.03.2015): „TECS is an information-sharing platform, which allows users to access different databases that may be maintained on the platform or accessed through the platform, and the name of a system of records that include temporary and permanent enforcement, inspection, and operational records relevant to the anti-terrorism and law enforcement mission of CBP and numerous other federal agencies that it supports. TECS not only provides a platform for interaction between these databases and defined TECS users, but also serves as a data repository to support law enforcement ‚lookouts‘, border screening, and reporting for CBP’s primary and secondary inspection processes.“ 181 ATSA: P. L. 107–71, 19.1.2001, 115 Stat. 597, § 115; EBSVERA: P. L. 107–173, 15.05.2002, 116 Stat. 543; § 402; Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 7; US DHS CBP, Federal Register Vol. 72, No. 163 19 CFR Parts 4 and 122; 6 CFR Part 5; Advance Electronic Transmission of Passenger and Crew Member Manifests for Commercial Aircraft and Vessels; Final Rule, 23.08.2007, S. 48321. 182 Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 7.

314

Teil 3: Die Übermittlung von PNR-Daten in die USA 

zum Abflug ermöglicht, oder das System „APIS Quick Query“, das eine Übertragung in Echtzeit beim Einchecken eines Passagiers ermöglicht, zur Verfügung stehen.183 II. Daten auf Beobachtungslisten (watchlists) Neben den genannten Arten von Daten bestehen zudem Daten auf verschiedenen Beobachtungslisten (sog. watchlists). Daten auf Beobachtungslisten unterscheiden sich signifikant von anderen Datenarten, da sie nicht im Rahmen einer Flugreise von den Passagieren erhoben werden, sondern von den USA zum Abgleich mit den erhobenen Daten vorgehalten und aus nicht näher bekannten­ Quellen erzeugt werden. Von Relevanz für Passagiere waren zunächst die sog. No Fly- bzw. Automatic Selectee-Beobachtungslisten, jedoch zunehmend auch Beobachtungslisten, die ursprünglich nicht für den Abgleich mit Passagieren vorgesehen waren. Zum Abgleich der Listen wurde – nach Zurverfügungstellung der Listen durch die Behörden an die Fluggesellschaften – entweder das CAPS bzw. jetzt CAPPS-System184 verwendet, das zusammen mit den Beobachtungslisten an das Computerreservierungssystem von US-Fluggesellschaften185 angeschlossen ist, oder – wie es zumindest 2005 noch bei kleineren Fluggesellschaften der Fall gewesen sein soll – ein Abgleich manuell vorgenommen.186 Mit der Ausweitung des Abgleichs auf weitere, ursprünglich nicht für die Sicherheit des Flugverkehrs vorgesehene Beobachtungslisten hat sich auch die Anzahl der mit dem Abgleich von Listen betrauten Behörden und Systeme ausgeweitet.187 Die geheimen und ursprünglich vom FBI verwalteten Passagierbeobachtungslisten dienen der Sicherheit des Flugverkehrs und wurden erstmals 1990 mit der No Fly-Liste nach Bombenattentaten auf Flugzeuge wie dem Lockerbie-Anschlag eingeführt.188 Die No Fly-Liste wurde bis November 2001 vom FBI, danach von der Bundesluftfahrtbehörde FAA und schließlich von der Transportsicherheits-

183 US DHS CBP, Federal Register Vol. 72, No. 163 19 CFR Parts 4 and 122; 6 CFR Part 5; Advance Electronic Transmission of Passenger and Crew Member Manifests for Commercial Aircraft and Vessels; Final Rule, 23.08.2007, S. 48320; Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 7 f.; für den Schiffsverkehr steht das System „APIS 60“ zur Verfügung, das eine Übertragung bis zu 60 Minuten vor Auslaufen des Schiffes erlaubt; Luftverkehrsunternehmen werden angehalten eine Übertragung bis zu 72 h vor Abflug zu gewährleisten. 184 Zu den Auswertungssystemen von Daten siehe unten S. 379 ff. 185 Zu den Computerreservierungssystemen und ihren Funktionen oben S. 293 ff. 186 Krouse/Elias/Rappaport, Congressional Research Service Report for Congress – Homeland Security: Air Passenger Prescreening and Counterterrorism, 04.03.2005, S. 3, http://www. hsdl.org/?view&did=452236 (zuletzt geprüft am 15.03.2015). 187 Siehe zu den jeweiligen Systemen und Aufgaben unten S. 326 ff. und S. 379 ff. 188 Krouse/Elias/Rappaport, Homeland Security: Air Passenger Prescreening and Counter­ terrorism, 04.03.2005, S. 3.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

315

behörde TSA189 verwaltet und beinhaltet Namen von Personen, die als direkte Bedrohung für die US-Zivilluftfahrt eingeschätzt werden.190 Nach dem Übergang der Zuständigkeit auf die Transportsicherheitsbehörde TSA wurde die No Fly-Liste in zwei Listen unterteilt, die neue No Fly-Liste sowie die Automatic Selectee-Liste: Personen, deren Namen sich auf der No Fly-Liste befinden, dürfen nicht fliegen, ihnen wird das Boarden eines Fluges verweigert und die zuständigen Strafverfolgungsbehörden werden informiert; Personen die sich hingegen auf der Automatic Selectee-Liste befinden, wird das Boarden eines Fluges nicht grundsätzlich verboten, jedoch nur nach zusätzlichen, positiv verlaufenen Sicherheitsüberprüfungen erlaubt.191 Die Aufnahme auf eine der beiden Listen erfolgte nach Ersuchen des Heimatschutzministeriums oder der Geheimdienstbehörden, wobei die Kriterien für die Aufnahme auf die Listen nicht öffentlich zugänglich sind.192 Vor den Anschlägen des 11.  September 2001 befanden sich  – auch wegen Sicherheitsbedenken bzgl. der Listen – auf der No Fly-Liste weniger als 20 Namen.193 Seitdem wurden die Listen fast täglich erweitert,194 sodass sich im Jahr 2004 bereits über 20.000 Namen auf der No Fly-Liste befanden und die TSA nicht weniger als 30-mal pro Tag mit potentiellen Übereinstimmungen von den Fluggesellschaften kontaktiert wurde.195 Die Kommission, die mit der Aufarbeitung der Anschläge des 11. September 2001 beauftragt wurde (9/11 Commission), empfahl, dass neben der Überprüfung der Passagiere anhand der genannten speziellen Beobachtungslisten für Flugpassagiere zudem ein Abgleich mit sonstigen von den USA angelegten Beobachtungslisten erfolgen sollte.196 Die sonstigen Beobachtungslisten wurden in der sog. Terrorist Screening Database (TSDB), die von dem zum FBI gehörenden Terrorist Screening

189

Siehe zu dieser unten S. 328 f. Krouse/Elias/Rappaport, Homeland Security: Air Passenger Prescreening and Counter­ terrorism, 04.03.2005, S. 3. 191 Krouse/Elias/Rappaport, Homeland Security: Air Passenger Prescreening and Counter­ terrorism, 04.03.2005, S. 3. 192 Siehe die Anfrage des Electronic Privacy Information Centers im Rahmen des Freedom of Information Acts, Electronic Privacy Information Center, Documents Show Errors in TSA’s „No Fly“ and „Selectee“ Watch Lists, http://epic.org/privacy/airtravel/foia/watchlist_foia_ analysis.html (zuletzt geprüft am 15.03.2015). 193 National Commission on Terrorist Attacks upon the United States., The Aviation Security System and the 9/11 Attacks – Staff Statement No. 3, S. 6, http://www.9-11commission.gov/ staff_statements/staff_statement_3.pdf (zuletzt geprüft am 15.03.2015) mit besonderem Fokus auf die Aufdeckung der Attenäter der Anschläge des 11. September 2001; Krouse/Elias/­ Rappaport, Homeland Security: Air Passenger Prescreening and Counterterrorism, 04.03.2005, S. 3 f.; Kehaulani Goo, The Washington Post 09.10.2004, A01 (A1) spricht von 16 Namen am 11. September 2001. 194 Electronic Privacy Information Center, Documents Show Errors in TSA’s „No Fly“ and „Selectee“ Watch Lists. 195 Kehaulani Goo, The Washington Post 09.10.2004, A01 (A1). 196 So Krouse/Elias/Rappaport, Homeland Security: Air Passenger Prescreening and Counter­ terrorism, 04.03.2005, S. 4. 190

316

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Center (TSC) verwaltet wird, zusammengefügt; zudem wurden im Jahr 2004 auch die No Fly- sowie die Automatic Selectee-Liste in die TSDB integriert.197 Im Zusammenhang mit den Daten auf Beobachtungslisten stehen auch die Secure Flight-Passagierdaten, die übertragen werden, um einen Abgleich mit den sich auf den Beobachtungslisten befindlichen Daten vorzunehmen. III. Secure Flight-Passagierdaten Eine weitere Kategorie von Daten betrifft die sog. Secure Flight-Passagierdaten (Secure Flight Passenger Data – SFPD). Die SFPD bestehen vor allem aus Name, Geburtsdatum, Geschlecht, Redressnummer, die auf Antrag erhältlich ist, wenn bereits früher fälschlicherweise zusätzliche Überprüfungsmaßnahmen durchgeführt wurden, sowie weiteren Daten wie der Passnummer oder Daten über den Reiseverlauf.198 Die SFPD werden dazu genutzt, Personen zu identifizieren, die als Terroristen bereits bekannt sind, terroristischen Aktivitäten verdächtigt werden oder sonst auffällig geworden sind; sie sollen daran gehindert werden, die sog. „sterilen“ Abschnitte eines Flughafens zu betreten oder ein Flugzeug zu boarden, wo sie das Leben von Passagieren und sonstigen Personen gefährden könnten.199 Ziel der Erhebung von SFPD ist es also, diejenigen Personen ausfindig zu machen, die eine Gefahr für die Sicherheit des Luftverkehrs darstellen.200 Dazu werden die von den Passagieren erhobenen Daten201 mit der No Fly- und der Selectee-Liste, die in der umfassenden Datenbank (TSDB) des Terrorist Screening Centers (TSC) hinterlegt sind, abgeglichen und zudem – wenn durch berechtigte Sicherheitserwägungen gerechtfertigt – Überprüfungen mit anderen Beobachtungslisten, die die TSA oder 197

Krouse/Elias/Rappaport, Homeland Security: Air Passenger Prescreening and Counter­ terrorism, 04.03.2005, S.  4  f m. w. Nachw. sowie auch Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 1 ff. sowie insb. S. 4; zum Hintergrund von TSC und der TSDB siehe http://www.fbi.gov/about-us/nsb/tsc (zuletzt geprüft am 15.03.2015). 198 Siehe US DHS/TSA, Secure Flight Program, Final Rule, 49 CFR Parts 1540, 1544, 1560, 28.10.2008, für eine aufschlussreiche Übersicht über Secure Flight Daten in Gegenüberstellung mit API-Daten siehe Elias, Airport and aviation security, S. 174. 199 So US DHS, Privacy Impact Assessment Update for Secure Flight, DHS/TSA/PIA – 018(e), 13.04.2012, S.  2, http://www.dhs.gov/xlibrary/assets/privacy/privacy_pia_tsa_secureflight_ update018 %28e%29.pdf (zuletzt geprüft am 15.03.2015): „Generally, this screening has been designed to identify and prevent known or suspected terrorists or other individuals from­ gaining access to airports and airplanes where they may jeopardize the lives of passengers and others“, siehe auch bereits US DHS, Privacy Impact Assessment for the Secure Flight Program, 21.10.2008, S.  1, http://www.dhs.gov/xlibrary/assets/privacy/privacy_pia_secureflight 2008.pdf (zuletzt geprüft am 15.03.2015). 200 US DHS, Privacy Impact Assessment Update for Secure Flight, DHS/TSA/PIA – 018(e), 13.04.2012, S. 2. 201 Zudem werden auch von Personen Daten erhoben, die lediglich am Flughafen arbeiten, sich aber in der bereits genannten „sterile area“ aufhalten, dazu bspw. Elias, Airport and aviation security, S. 173.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

317

andere US-Bundesbehörden vorhalten, vorgenommen.202 Zudem werden die Daten für einen Abgleich mit Listen des Department of Health and Human Services Centers for Disease Control and Prevention (CDC) genutzt, die dem Department of Homeland Security zur Verfügung gestellt werden und auf denen Namen von Personen vermerkt sind, denen das Boarden eines Flugzeuges aus Gründen der öffentlichen Gesundheit versagt wird.203 SFPD werden innerhalb des PNR-Datensatzes erfasst, dann aber selektiv an das CBP übermittelt und von dort an die zuständige TSA weitergeleitet.204 Mittlerweile kommt es zu einer immer weitergehenden Nutzung von SFPD.205 Die SFPD müssen 72 Stunden vor dem Flug erstmals an die TSA übertragen werden und dann jeweils, sobald neue Daten erhältlich sind.206 IV. Electronic System for Travel Authorization-Daten Weitere Daten von Passagieren erhalten die USA durch ESTA, das sog. Electronic System for Travel Authorization (Elektronisches Reisegenehmigungssystem). Dieses System wurde am 1. August 2008 durch die USA eingeführt.207 Das System wurde zur Erhöhung der Sicherheit von Reisen in die USA entwickelt, die im Rahmen des Visa Waiver Program208 – dem Programm für visumsfreies Reisen – 202

US DHS, Privacy Impact Assessment Update for Secure Flight, DHS/TSA/PIA – 018(e), 13.04.2012, S. 2. 203 US DHS, Privacy Impact Assessment Update for Secure Flight, DHS/TSA/PIA – 018(e), 13.04.2012, S. 2. 204 Siehe zum Vorgang der Eintragung in den PNR Amadeus, Secure Flight Passenger Data Overview, 2010, http://www.amadeus.com/corp/xml/documents/aco/gb/en/Secure_Flight_ Passenger_Data_Overview_for_Amadeus_Customers.pdf (zuletzt geprüft am 15.03.2015). 205 Siehe dazu ausführlich US DHS, Privacy Impact Assessment Update for Secure Flight, DHS/TSA/PIA-018(b), 15.08.2011, S. 2, 5, http://www.dhs.gov/xlibrary/assets/privacy/privacypia-tsa-secure-flight.pdf (zuletzt geprüft am 15.03.2015); US DHS, Privacy Impact Assessment Update for Secure Flight, DHS/TSA/PIA – 018(e), 13.04.2012, S. 3, 4 sowie unten S. 386 ff. 206 Siehe für eine Erklärung bspw. Elias, Airport and aviation security, S. 173. 207 Siehe dazu ausführlich bspw. Kuhelj, U. C. Davis Journal of International Law and Policy 16 (2010), 383 (420 ff.). 208 Dazu die Seite des des DHS unter https://esta.cbp.dhs.gov/esta/WebHelp/helpScreen_ de.htm (zuletzt geprüft am 15.03.2015): „Das Programm für visumfreies Reisen (Visa Waiver Program) erlaubt ausländischen Staatsangehörigen aus bestimmten Ländern, zu geschäftlichen oder touristischen Zwecken für eine Aufenhaltsdauer von bis zu 90 Tagen ohne Visum in die Vereinigten Staaten zu reisen. Gemäß des Programms für visumfreies Reisen (Visa Waiver Program) einreiseberechtigte Reisende müssen sich einverstanden erklären, von ihrem Recht auf Revision oder Einspruch zurückzutreten, wie im Abschnitt ‚Rechtsverzicht‘ in der Antragsmaske erläutert; siehe dazu auch § 217 des Einwanderungs- und Staatsangehörigkeitsgesetzes (Immigration and Nationality Act (INA)), 8 U. S. C. § 1187, und 8 C. F. R. § 217. Die vom Visa Waiver Program umfassten Staaten sind Andorra, Australien, Belgien, Brunei, Chile, Dänemark, Estland, Finnland, Frankreich, Deutschland, Griechenland, Ungarn, Island, Irland, Italien, Japan, Lettland, Liechtenstein, Litauen, Luxemburg, Monaco, Niederlande, Neuseeland, Norwegen, Österreich, Portugal, Malta, San Marino, Singapur, Slowakei, Slowenien, Südkorea, Spanien, Schweden, Schweiz, Taiwan, Tschechische Republik und das Vereinigte Königreich.“

318

Teil 3: Die Übermittlung von PNR-Daten in die USA 

durchgeführt werden:209 Staatsangehörige bestimmter Länder, die unter das Visa Waiver Programm fallen, dürfen zwar weiterhin ohne Visum in die USA einreisen, müssen aber vor Beginn der Reise eine Reisegenehmigung durch das genannte System beantragen. Dazu muss auf einer vom US-Heimatschutzministerium (Department of Homeland Security – DHS) sowie der Zoll- und Grenzschutzbehörde der USA (United States Customs and Border Protection) bereitgestellten Homepage unter Angabe von biografischen Daten, Reiseplänen sowie der Kredit­ kartendaten eine Reisegenehmigung beantragt werden, die automatisiert überprüft und bearbeitet wird. Dabei wird festgestellt, ob eine Person im Rahmen des Programms für visumfreies Reisen berechtigt ist einzureisen und daraufhin eine für zwei Jahre gültige Reisegenehmigung erteilt oder nicht. Vor dem Boarden eines Flugzeugs oder Schiffes in die USA wird automatisch bei der US-Zollund Grenzschutzbehörde abgeglichen, ob die Genehmigung eingeholt worden ist. Die elektronische Reisegenehmigung ist keine Garantie für die Einreise in die USA, sondern gilt lediglich als Nachweis darüber, dass im Rahmen des Visa Waiver Program eine Berechtigung zur Reise in die USA vorliegt. Die Beamten der Zoll- und Grenzschutzbehörde CBP überprüfen jeweils bei der Einreise, ob Gründe für eine Verweigerung der Einreise vorliegen. In Bezug auf die Frage, ob es sich bei der Einreisegenehmigung im Rahmen des Visa Waiver Program um ein Visum handelt, gibt die USA folgendes an: „[…] eine bewilligte Reisegenehmigung ist kein Visum. Eine Reisegenehmigung kann aus rechtlichen bzw. regulatorischen Gründen kein U. S.-Visum ersetzen, wenn ein solches nach geltendem U. S.-Recht erforderlich ist. Reisende, die im Besitz eines Visums sind, können weiterhin mit diesem Visum zweckgebunden in die Vereinigten Staaten einreisen. Reisende, die mit einem gültigen Visum einreisen, brauchen keine Reisegenehmigung zu beantragen.“210 Die durch ESTA geschaffenen Voraussetzungen können als Verbot der visumsfreien Einreise in die USA gesehen werden; informell und ohne jegliche vorherige Ankündigung.211 Jedoch ist auch zu beachten, dass mit Ausnahme der am Visa Waiver Program beteiligten Länder alle Angehörigen anderer Staaten für die Einreise in die USA bei einer konsularischen Vertretung ein Visum beantragen müssen.

209 Siehe hierzu und zu den folgenden Ausführungen ausführlich https://esta.cbp.dhs.gov/ esta/WebHelp/helpScreen_de.htm (zuletzt geprüft am 15.03.2015). 210 https://esta.cbp.dhs.gov/esta/WebHelp/helpScreen_de.htm (zuletzt geprüft am 15.03.2015). 211 So Kuhelj, U. C. Davis Journal of International Law and Policy 16 (2010), 383 (421 f.); begründet wird dies mit einem Verweis auf das australische ETA System, das als Visum angesehen wird und mit dem amerikanischen System identisch sei.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

319

B. Die Position der USA Die USA nutzten PNR-Daten bereits vor den Anschlägen des 11. September 2001 und weiteten diese Nutzung, vor allem nach dem Erlass neuer Gesetze, beträchtlich aus. PNR-Daten sind ein Teil  eines komplexen und vielschichtigen Sicherheitsnetzes, das u. a. die Auswertung weiterer Daten und neben der Terrorismusbekämpfung weitere Anwendungsbereiche umfasst. Dabei können die Anschläge des 11. September 2001 als das Ereignis angesehen werden, das Auslöser für die Schaffung des komplexen Sicherheitsnetzes wurde. Somit ist neben den PNR-­ Daten auch auf andere Aspekte des Sicherheitsnetzes einzugehen und die legislative Entwicklung aufzuzeigen. I. Die Nutzung von PNR-Daten und weiteren Datenarten vor den Anschlägen des 11. September 2001 Bereits vor den Anschlägen des 11.  September 2001 erfolgte eine  – wenn auch limitierte – Auswertung von einigen der genannten Daten. Andere Daten­ arten wurden überhaupt erst als Reaktion auf die Anschläge entwickelt und im Folgenden erhoben. Genutzt wurde vor den Anschlägen des 11. September 2011 die sog. No Fly-Liste, die lediglich unter 20 Namen enthielt.212 Auch erfolgte ein Zugriff auf PNR-Daten im Einzelfall auf Grund eines konkreten Verdachts.213 Daten­elemente aus den PNR-Datensätzen wurden in den USA vor allem mit den begrenzten Kapazitäten des Systems CAPS ausgewertet.214 Zudem wurden API-Daten auf freiwilliger Basis von den Fluggesellschaften erhoben, um den Einreiseprozess zu beschleunigen.215 Die Schaffung des Auswertungssystems CAPS und die damit einhergehende begrenzte Auswertung von PNR-Daten erfolgte nach Empfehlungen einer von dem ehemaligen Vizepräsidenten der USA Al Gore geleiteten Kommission zur Flugsicherheit, die nach verschiedenen Anschlägen in den 1980er und 1990er Jahren, wie dem Pan Am Unglück von Lockerbie 1988 oder dem TWA Unglück vor New York von 1996, eingesetzt wurde und neben der Einführung des Systems CAPS auch die Überprüfung von aufgegebenen Gepäck­stücken nach positiven Treffern durch das System

212

Elias, Airport and aviation security, S. 167 f. Vgl. Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 4 sowie auch Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S.  612, der von einer Auswertung seit fast 60 Jahren spricht. 214 Elias, Airport and aviation security, S. 167 f.; zu CAPS und Weiterentwicklungen des Systems siehe unten S. 380 ff. 215 Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 7; Elias, Airport and aviation security, S. 176. 213

320

Teil 3: Die Übermittlung von PNR-Daten in die USA 

forderte.216 Die Auffassung von Luftverkehrssicherheit umfasste – gerade im Hinblick auf die genannten Unglücke von 1988 und 1996 – zu einem großen Teil die Verhinderung von Bombenanschlägen und legte weniger Wert auf die Verhinderung von Entführungen.217 Am 11. September 2001 bestand das Prescreening bei Passagieren aus drei Maßnahmen: dem genannten Auswertungssystem CAP(P)S, der Abfrage von zwei Sicherheitsfragen („Have your bags been under your control since you packed them?“ und „Has anyone unknown to you asked you to carry any items aboard this flight?“) sowie der Aufforderung, sich durch einen mit einem Foto versehenen Identifikationsnachweis auszuweisen.218 Mehr als die Hälfte der Attentäter des 11. September 2001 wurden somit als „Selectees“ vom System zur weiteren Überprüfung ausgewählt, was jedoch wegen der intendierten Fokussierung auf die Aufdeckung von geplanten Bombenanschlägen und der nicht vorgenommenen Ausrichtung der Systeme auf Entführer oder Selbstmordattentäter nicht zu den entsprechenden Ergebnissen führte.219 II. Die Nutzung von PNR-Daten und weiteren Datenarten nach den Anschlägen des 11. September 2001 Nach den Anschlägen des 11. September 2001 weitete sich die von den USA praktizierte Datenauswertung umfassend aus und erreichte u. a. eine vorher nicht vorgenommene zusätzliche Fokussierung auf das Auffinden von Personen. Grundlage für die Ausweitung der Datenauswertung war zunächst der Erlass einer Vielzahl neuer Gesetze, die neben den weitgehenden Regelungen zur Datenauswertung auch bedeutende Regelungen zu institutionellen Änderungen enthielten. Wie die 9/11 Commission  – die zur Aufarbeitung der Anschläge eingesetzte Kommission – in ihrem Abschlussbericht empfahl, sollte durch die TSA ein „Layered­ Security System“ eingerichtet werden, ein Sicherheitskonzept, das jegliche von Terroristen verfolgte Anschlagsmöglichkeiten und -taktiken in Betracht zieht und ihnen durch die Schaffung von verschiedenen, effektiven „Sicherheitsschichten“ begegnet, die sich gegenseitig ergänzen und mögliche Fehler auffangen.220 Ähn-

216 White House Commission on Aviation Safety and Security-Vice President Al Gore, Final Report to President Clinton, 12.02.1997, http://www.fas.org/irp/threat/212fin~1.html (zuletzt geprüft am 15.03.2015); siehe dazu auch Elias, Airport and aviation security, S.  26 ff. und S. 167 sowie Rasmussen, WIILJ 26 (2008), 551 (566 f.). 217 Vgl. – auch allgemein zur Luftverkehrssicherheit vor den Anschlägen des 11.09.2001 – Elias, Airport and aviation security, S. 100 f. mit Verweis auf Inititiativen wie „A Commitment to Security“, die noch im April 2001 diesen Zugang wählten und u. a. die einhundertprozentige Überprüfung von Gepäck forderte. 218 Elias, Airport and aviation security, S. 70 f. 219 Elias, Airport and aviation security, S. 71. 220 Siehe dazu den Bericht der 9/11 Kommission, National Commission on Terrorist Attacks Upon the United States, The 9/11 Commission Report, 22.07.2004, S.  392  ff, http://www. 9-11commission.gov/report/911Report.pdf (zuletzt geprüft am 15.03.2015).

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

321

liches ist u. a. auch im noch zu erläuternden Aviation and Transportation Security Act zu erkennen, der u. a. auf die Auswertung von PNR- und API-Daten setzt sowie sich auch im Konzept der TSA der „Konzentrischen Kreise der Sicherheit“ („concentric rings of security“) widerspiegelt.221 Von Bedeutung ist dahingehend auch die Nutzung verschiedener, viel weiter als das bereits vor dem 11. September 2001 genutzte System CAP(P)S reichender Auswertungssysteme, die im Rahmen der technischen Grundlagen zu erläutern sind.222 1. Gesetze und Entwicklungen nach dem 11. September 2001 a) Der Aviation and Transportation Security Act Im November 2001 wurde im Kongress der Aviation and Transportation Security Act (ATSA) verabschiedet, der zum einen als Reaktion auf die Schwächen der Luftverkehrssicherheit gesehen werden kann, die von den Attentätern des 11. September 2001 ausgenutzt wurden und zum anderen weitere potenzielle Sicherheitsrisiken für Transportsysteme ansprechen sollte.223 Neben verschiedenen anderen Regelungen beinhaltet eine Regelung des ATSA den Übergang der Zuständigkeit für die Flughafensicherheit von den Fluggesellschaften auf den Bundesstaat: Durch den ATSA wurde zu diesen Zwecken die Transportation Security Administration (TSA) geschaffen, eine Behörde zunächst innerhalb des Verkehrsministeriums (Department of Transportation), deren Zuständigkeit u. a. mit „security ­screening operations for passenger air transportation and intrastate air transportation“ angegeben wurde.224 Nach der Schaffung des Heimatschutzministeriums (Department of Homeland Security) Ende 2002 ist die TSA seit März 2003 diesem Ministerium unterstellt.225 Neben der Schaffung der TSA und weiteren Maßnahmen bestehen zur Erhebung von API- und PNR-Daten weitere rechtliche Regelungen im ATSA.226

221

Vgl. Elias, Airport and aviation security, S. 70. Siehe dazu unten S. 379 ff. 223 Aviation and Transportation Security Act, Pub. L. No. 107–71, 19.11.2001, dazu u. a. Roos, Transnat’l L. & Contemp. Probs 14 (2005), 1137 (1138 ff.); zu den Entwicklung zur Luftverkehrssicherheit nach den Anschlägen des 11.09.2001 allgemein siehe Elias, Airport and aviation security, S.  101 f.; zum ATSA ausführlich Elias, Airport and aviation security, S. 59 ff. 224 Aviation and Transportation Security Act, Pub. L. No. 107–71, 19.11.2001; Kodifikation der Vorschriften über die TSA unter 49 U. S. C. § 114. 225 Siehe zur Geschichte der TSA, About TSA, http://www.tsa.gov/about-tsa/911-and-tsa (zuletzt geprüft am 15.03.2015). 226 Aviation and Transportation Security Act, Pub. L. No. 107–71, 115 Stat. 623 (2001), kodifiziert unter 49 U. S. C. § 44909 (c) (1)-(5): (c) Flights in Foreign Air Transportation to the United States. – 222

322

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Die Fluggesellschaften werden durch das Gesetz verpflichtet, sowohl API-Daten als auch PNR-Daten zur Verfügung zu stellen: In Bezug auf API-Daten müssen Fluggesellschaften, die als Zielflughafen einen amerikanischen Flughafen haben bzw. den amerikanischen Luftraum durchqueren, auf elektronischem Wege bis zur Landung des jeweiligen Fluges Daten der Crew und der Passagiere dem Leiter der Zollverwaltung (Commissioner of Customs) zur Verfügung stellen.227 Neben der Flugsicherheit dient die Zurverfügungstellung der Daten auch dem Schutz der nationalen Sicherheit der Vereinigten Staaten („for the purpose of protecting national security“), sodass die Daten im Folgenden zwischen amerikanischen Bundesbehörden ausgetauscht werden können.228 Die Verpflichtung erfasste zunächst lediglich API-Daten, sodass der volle Name jedes Passagiers und Crewmitglieds sowie Geburtsdatum, Staatsangehörigkeit, Geschlecht, Passnummer, Ausstellungsland des Passes und, falls vorhanden, zusätzlich noch die United States visa number bzw. die resident alien card number bereitgestellt werden musste.229 Zudem kann gemäß der Regelung der zuständige Staatssekretär zusammen mit dem Leiter der Zollverwaltung über weitere zur Verfügung zu stellende Informationen entscheiden, sollte es

(1) In general. – Not later than 60 days after the date of enactment of the Aviation and Transportation Security Act, each air carrier and foreign air carrier operating a passenger flight in foreign air transportation to the United States shall provide to the Commissioner of Customs by electronic transmission a passenger and crew manifest containing the information specified in paragraph (2). Carriers may use the advanced passenger information system established under section 431 of the Tariff Act of 1930 (19 U. S. C. 1431) to provide the information required by the preceding sentence. (2) Information. – A passenger and crew manifest for a flight required under paragraph (1) shall contain the following information: (A) The full name of each passenger and crew member. (B) The date of birth and citizenship of each passenger and crew member. (C) The sex of each passenger and crew member. (D) The passport number and country of issuance of each passenger and crew member if required for travel. (E) The United States visa number or resident alien card number of each passenger and crew member, as applicable. (F) Such other information as the Under Secretary, in consultation with the Commissioner of Customs, determines is reasonably necessary to ensure aviation safety. (3) Passenger name records.  – The carriers shall make passenger name record information available to the Customs Service upon request. (4) Transmission of manifest. – Subject to paragraphs (5) and (6), a passenger and crew manifest required for a flight under paragraph (1) shall be transmitted to the Customs Service in advance of the aircraft landing in the United States in such manner, time, and form as the ­Customs Service prescribes. (5) Transmission of manifests to other federal agencies. – Upon request, information provided to the Under Secretary or the Customs Service under this subsection may be shared with other Federal agencies for the purpose of protecting national security. 227 49 U. S. C. § 44909 (c) (4); siehe auch Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 7; Elias, Airport and aviation security, S. 176. 228 49 U. S. C. § 44909 (c) (5). 229 49 U. S. C. § 44909 (c) (2).

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

323

für die Sicherheit der Luftfahrt notwendig sein.230 Die Zurverfügungstellung können die Fluggesellschaften durch die Ermöglichung des Zugriffs auf das Advanced Passenger Information System (APIS) gewährleisten, falls sie die Informationen in diesem von den US-Behörden geschaffenen System hinterlegen.231 Des Weiteren verpflichtet der Aviation and Transportation Security Act 2001 die Fluggesellschaften – nach entsprechender Anforderung durch die US-Behörden –, auch PNR-Daten zur Verfügung zu stellen, die deutlich über API-Daten hinausgehen.232 Die dazugehörige Durchführungsverordnung konkretisierte die Anforderungen an die Übermittlung von PNR-Daten.233 Auch diese können laut der Verordnung mit anderen Bundesbehörden ausgetauscht werden.234 b) Der USA Patriot Act of 2001 Nach den Anschlägen des 11. September 2001 und den kurz darauf erfolgten Anschlägen mit mit Anthrax versetzten Briefen erließ der Kongress der USA den „Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001“, kurz USA Patriot Act oder nur Patriot Act, der von Präsident George W. Bush am 26.11.2001 unterzeichnet wurde und den erhöhten Sicherheitsanforderungen als Reaktion auf die genannten Anschläge gerecht werden sollte.235 Der Patriot Act änderte mehr als 15 Gesetze, wurde innerhalb von nur fünf Wochen verabschiedet und enthält sowohl auf Dauer angelegte Gesetzesänderungen als auch Vorschriften, die bis Ende 2005 erneuert werden mussten.236 c) Der Enhanced Border Security and Visa Entry Reform Act of 2002 Neben dem Aviation Transportation Security Act of 2001 (ATSA), der die Erhebung von API-Daten für kommerzielle Flug- und Schiffsverbindungen in die USA regelte, wurde 2002 mit dem Enhanced Border and Visa Entry Reform Act of 2002 230

49 U. S. C. § 44909 (c) (2) (F). 49 U. S. C. § 44909 (c) (1); APIS wurde durch § 431 des Tariff Act of 1930 (19 U. S. C. 1431) geschaffen. 232 49 U. S. C. § 44909 (c) (3). 233 19 C. F. R. 122.49d; diese Vorschrift wird auch in Verbindung mit 49 U. S. C. § 44909 (c) (3) vom DHS und CBP als Rechtsgrundlage für die Erhebung von PNR-Daten genannt, siehe US DHS CBP, U. S. Customs and Border Protection Passenger Name Record (PNR) Privacy­ Policy, 21.06.2013, http://www.cbp.gov/linkhandler/cgov/travel/clearing/pnr/pnr_privacy.ctt/ pnr_privacy.pdf (zuletzt geprüft am 15.03.2015). 234 49 U. S. C. § 44909 (c) (5), 19 C. F. R. 122.49d (d). 235 Pub. L. 107–56 v. 26.10.2001. 236 Christensen, I/S: A Journal of Law and Policy for the Information Society 2 (2006), 485 (494). 231

324

Teil 3: Die Übermittlung von PNR-Daten in die USA 

(EBSVERA) noch ein weiteres Gesetz erlassen, dass u. a. die API-Datenerhebung für kommerzielle Flug- und Schiffsverbindungen in die und aus den USA verpflichtend regelt und zudem u. a. auch Regelungen zur Visumsvergabe oder Überprüfung von ausländischen Studierenden enthält.237 d) Der Homeland Security Act of 2002 Ein weiteres Gesetz nach den Anschlägen des 11.  September 2001 ist der Homeland Security Act von 2002.238 Für die Auswertung von Passagierdaten hat dieses Gesetz vor allem wegen seiner institutionellen Auswirkungen Bedeutung. Neben anderen Regelungen ordnete das Gesetz nämlich die größte Reorganisation von Bundesbehörden und Funktionen seit dem Zweiten Weltkrieg an, indem es das Heimatschutzministerium – das Department of Homeland Security (DHS) – mit seinen zahlreichen Unterbehörden schuf.239 So ist nach der Neuschaffung des Ministeriums u. a. neben der TSA auch die CBP, die beiden Hauptakteure in der Datenauswertung, diesem Ministerium unterstellt.240 e) Die Homeland Security Presidential Directive 6 Am 16. September 2003 erließ Präsident George W. Bush die Homeland Security Presidential Directive/HSPD-6-Directive on Integration and Use of Screening Information To Protect Against Terrorism.241 Die Direktive des Präsidenten setzte das Terrorist Threat Integration Center (TTIC) ein, um das Screenen nach Terroristen, das bis dahin von verschiedenen Behörden durchgeführt wurde, zusammenzulegen.242 Das TTIC wurde jedoch im Jahr 2004 durch den National Intelligence Reform and Terrorism Prevention Act in NCTC umbenannt.243 Auch hat das Terrorist Screening Center (TSC) seine Grundlage in der HSPD-6: Als Teil des FBI ist es zunächst verantwortlich für die Verbreitung von Informationen über bekannte 237 Dazu Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 7; Elias, Airport and aviation security, S. 176; US DHS CBP, Federal Register Vol. 72, No. 163 19 CFR Parts 4 and 122; 6 CFR Part 5; Advance Electronic Transmission of Passenger and Crew Member Manifests for Commercial Aircraft and Vessels; Final Rule, 23.08.2007, S. 48321. 238 Homeland Security Act of 2002, Pub. L. No. 107–296. 239 Elias, Airport and aviation security, S. 62 ff.; National Intelligence Reform and Terrorism Prevention Act of 2004, Pub. L. No. 108–458 v. 17.12.2004. 240 Siehe dazu unten S. 326 ff. 241 Homeland Security Presidential Directive/HSPD-6 – Directive on Integration and Use of Screening Information to Protect Against Terrorism, abzurufen unter http://www.gpo.gov/fdsys/ pkg/PPP-2003-book2/pdf/PPP-2003-book2-doc-pg1174.pdf (zuletzt geprüft am 15.03.2015); siehe dazu auch Elias, Airport and aviation security, S. 161 f. 242 Elias, Airport and aviation security, S. 161 f. 243 Dazu sogleich.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

325

und mutmaßliche Terroristen an andere Behörden des Bundes, der Staaten oder auf lokaler Ebene, zudem für die Unterstützung anderer Behörden bei der Terrorismusbekämpfung.244 Des Weiteren unterhält es die konsolidierte Beobachtungsliste TSDB und unterstützt die Screeningaktivitäten der TSA und des CBP sowie der Konsularabteilung des Außenministeriums, die Visa für Reisende ausstellt.245 f) Der National Intelligence Reform and Terrorism Prevention Act of 2004 Der National Intelligence Reform and Terrorism Prevention Act of 2004 kann als eine gesetzliche Reaktion auf die Empfehlungen der 9/11 Commission angesehen werden und umfasste u. a. auch Regelungen zur Sicherheit des Luftverkehrs.246 Die 9/11 Commission, die ihren Abschlussbericht im Juli 2004 veröffentlichte, hatte die Aufgabe, die Ursachen für die Anschläge des 11. September 2001 zu erforschen und u. a. dem Präsidenten und dem Kongress Vorschläge zu unterbreiten, wie in der Zukunft Terroranschläge verhindert werden könnten.247 Neben anderen für die Sicherheit des Luftverkehrs relevanten Regelungen forderte die 9/11 Commission auch ein verbessertes Prescreening von Passagieren.248 Das Gesetz verpflichtet daher auch die TSA neben einer Vielzahl anderer Maßnahmen die folgenden Maßnahmen zu ergreifen: Test eines „Advanced passenger prescreening system“; nach Abschluss der Tests, die Aufgabe, Passagiere mit Beobachtungslisten abzugleichen, zu übernehmen; Einrichtung eines Beschwerdesystems, das von Passagieren bei falscher Identifikation mit einem Namen auf den Beobachtungslisten bemüht werden kann sowie auch das Prescreening von internationalen Flügen in die oder aus den USA vor dem Start und nicht erst, wenn das Flugzeug bereits in der Luft ist.249 g) Der Implementing Recommendations of the 9/11 Commission Act of 2007 Ein weiteres Gesetz, das nochmals spezifisch auf die Empfehlungen der 9/11 Commission eingeht und diese Empfehlungen umsetzt, ist der Implementing Recommendations of the 9/11 Commission Act of 2007.250 Neben zahlreichen ande 244 Ausführlich dazu Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreen­ ing 2009, 30.12.2009, S. 1 ff. sowie Elias, Airport and aviation security, S. 162. 245 Ausführlich dazu Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreen­ ing 2009, 30.12.2009, S. 1 ff. sowie Elias, Airport and aviation security, S. 162. 246 Elias, Airport and aviation security, S. 75 ff.; Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 4 f. 247 Siehe ausführlich dazu Elias, Airport and aviation security, S. 70 ff. 248 Elias, Airport and aviation security, S. 71. 249 Siehe dazu und zu weiteren durch das Gesetz eingeführten Maßnahmen zur Verbesserung der Sicherheit ausführlich Elias, Airport and aviation security, S. 75 ff. 250 Implementing Recommendations of the 9/11 Commission Act of 2007, Pub. L. No. 110–53 v. 03.08.2007.

326

Teil 3: Die Übermittlung von PNR-Daten in die USA 

ren Regelungen ermöglicht das Gesetz die Einführung des ESTA-Programms als zusätzliche Sicherheitsschicht und somit die Möglichkeit, Reisende aus Ländern, die am Visa Waiver Program teilnehmen, einer weiteren Überprüfung zu unterziehen und zu bestimmen, ob sie ein Risiko darstellen.251 Eine weitere Maßnahme, die das Gesetz vorsieht, ist zudem die Schaffung eines Beschwerdesystems für Personen, die sich gegen eine fälschliche Identifizierung als Sicherheitsrisiko für den Luftverkehr zur Wehr setzen wollen.252 2. Verantwortliche Stellen nach den Anschlägen des 11. September 2001 Im Rahmen der Nutzung von PNR-Daten und weiteren Datenarten sind – wie bereits zum Teil aus den erläuterten Gesetzen ersichtlich – mehrere Behörden in den USA beteiligt. Neben den Folgenden, gibt es noch eine Vielzahl weiterer Behörden, die im Rahmen der Erhebung und Auswertung von im Rahmen eines Fluges erhobener Daten eine Rolle spielen, auf die jedoch an relevanter Stelle lediglich hingewiesen werden soll. Entscheidende Rollen kommen vor allem den Behörden Custom and Border Protection (CBP) sowie Transportation Security Administration (TSA) zu, die beide dem Department of Homeland Security unterstehen. Ferner ist auf das das Terrorist Screening Center (TSC) sowie das National Counterterrorism Center (NCTC) näher einzugehen. a) Department of Homeland Security (DHS) Eine wichtige Position kommt zunächst dem Department of Homeland Security, kurz DHS, dem Heimatschutzministerium der USA zu. Die Schaffung des DHS ist eine Reaktion auf die Anschläge des 11. September 2001. Bereits elf Tage nach den Anschlägen wurde der Gouverneur von Pennsylvania, Tom Ridge, als erster Direktor des neu geschaffenen Office of Homeland Security ernannt.253 Das Office sollte eine Leitungs- und Koordinierungsfunktion für die umfassende nationale Strategie, das Land gegen den Terrorismus zu schützen, innehaben und Antworten auf zukünftige Angriffe bereithalten.254 Mit der Verabschiedung des Homeland Security Acts durch den Kongress im November 2002 wurde das Heimatschutzministerium als Department of Homeland Security formell geschaffen und nahm am 1. März 251

Geändert wird damit § 217 des U. S.-Einwanderungs-und Staatsgangehörigkeitsgesetz (Immigration and Nationality Act (INA)) von 1952; siehe dazu auch https://esta.cbp.dhs.gov/ esta/WebHelp/helpScreen_de.htm (zuletzt geprüft am 15.03.2015) sowie Elias, Airport and aviation security, S. 179. 252 Zu dem Beschwerdesystem siehe unten S. 561 ff. sowie Elias, Airport and aviation security, S. 183. 253 So DHS, Creation of the Department of Homeland Security, http://www.dhs.gov/creationdepartment-homeland-security (zuletzt geprüft am 15.03.2015). 254 So DHS, Creation of the Department of Homeland Security.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

327

2003 offiziell seine Tätigkeit auf.255 Hauptauftrag des DHS ist nach dem Homeland Security Act die Verhinderung von Terroranschlägen innerhalb der USA, die Reduzierung der Anfälligkeit der USA für Terroranschläge sowie die Verringerung von Schäden und die Hilfe bei der Regeneration nach Terroranschlägen, die sich innerhalb der USA ereignen.256 Das Ziel des DHS ist – nach eigenen Angaben – die­ Sicherheit der USA: „The Department of Homeland Security has a vital mission: to secure the nation from the many threats we face. This requires the dedication of more than 240,000 employees in jobs that range from aviation and border security to emergency response, from cybersecurity analyst to chemical facility inspector. Our duties are wide-ranging, but our goal is clear – keeping America safe.“257 Zur Schaffung des DHS wurden 22 – oftmals früher anderen Ministerien unterstehende  – Behörden unter dem Dach dieses neuen Ministeriums zusammengefasst.258 Dem DHS unterstehen heute – nach einer Reorganisation im Juli 2005259 – die folgenden Behörden: U. S. Customs & Border Protection, U. S. Citizenship & Immigration Services, U. S. Coast Guard, Federal Emergency Management Agency, U. S. Immigration & Customs Enforcement, U. S. Secret Service sowie die Transportation Security Administration.260 Für die Auswertung von Fluggastdaten sind vor allem die Behörden U. S. Customs & Border Protection (CBP) sowie Transportation Security Administration (TSA) relevant. aa) Custom and Border Protection (CBP) Eine entscheidende Rolle innerhalb des Heimatschutzministeriums spielt die United States Customs and Border Protection, kurz CBP, die Zoll- und Grenzschutzbehörde der Vereinigten Staaten. Mit Schaffung des Department of Home 255 DHS, Creation of the Department of Homeland Security m. w. Nachw.; Homeland Security Act of 2002 (Pub. L. No. 107–296) insb. Title I, § 101. 256 Homeland Security Act of 2002 (Pub. L. No. 107–296), Title I, § 101: Executive Department; Mission (a) Establishment. – „There is established a Department of Homeland Security, as an executive department of the United States within the meaning of title 5, United States Code. (b) Mission (1) In General. – The primary mission of the Department is to (A) prevent terrorist attacks within the United States; (B) reduce the vulnerability of the United States to terrorism; and (C) minimize the damage, and assist in the recovery, from terrorist attacks that do occur w ­ ithin the United States.“ 257 DHS, About DHS, http://www.dhs.gov/about-dhs (zuletzt geprüft am 15.03.2015). 258 Für eine Übersicht über die urspüngliche Bezeichnung der Behörden und ihre ursprünglichen Namen unter dem Dach des DHS siehe DHS, Who Joined DHS, http://www.dhs.gov/ who-joined-dhs (zuletzt geprüft am 15.03.2015) sowie DHS, Department Six-point Agenda, http://www.dhs.gov/department-six-point-agenda (zuletzt geprüft am 15.03.2015). 259 Dazu DHS, Department Six-point Agenda. 260 Für einen Überblick über den heutigen Organisationsaufbau des Heimatschutzministeriums siehe http://www.dhs.gov/xlibrary/assets/dhs-orgchart.pdf (zuletzt geprüft am 15.03.2015).

328

Teil 3: Die Übermittlung von PNR-Daten in die USA 

land Security261 und in dessen Verantwortungsbereich entstand diese Behörde am 1. März 2003 zunächst unter dem Namen „Bureau of Customs and Border Protection“ durch einen Zusammenschluss verschiedener Behörden: Dies waren die früher im Finanzministerium angesiedelte Zollbehörde (US Customs Service), Teile der früher zum Justizministerium gehörenden Einwanderungsbehörde (Immigration and Naturalization Service) sowie Teile der im Landwirtschaftsministerium angesiedelten Behörde für die Überprüfung von Tier und Pflanzengesundheit (Animal and Plant Health Inspection Service).262 Die CBP beschreibt sich selbst wie folgt: „CBP is one of the Department of Homeland Security’s largest and most complex components, with a priority mission of keeping terrorists and their weapons out of the U. S. It also has  a responsibility for securing the border and facilitating lawful international trade and travel while enforcing hundreds of U. S. laws and regulations, including immigration and drug laws.“.263 In den Verantwortungsbereich des CBP fallen das Aufgreifen von Personen, die versuchen, illegal in die USA einzureisen, die Entscheidung über die Einreise von Personen sowie die Zulässigkeit der Einfuhr von Gütern, die Beschlagnahme illegaler Drogen und anderer Schmuggelware, die Erhebung von Zöllen und Abgaben, der Schutz amerikanischer Unternehmen vor Diebstahl ihres geistigen Eigentums, Regulierung und Erleichterung des internationalen Handels, die Durchsetzung der US-Handelsgesetze sowie der Schutz der Landwirtschaft vor Schädlingen und Krankheiten.264 bb) Transportation Security Administration (TSA) Im Rahmen der Auswertung von Fluggastdaten spielt zudem die Transportation Security Administration, kurz TSA, die Transportsicherheitsbehörde der USA, eine entscheidende Rolle. Nach den Anschlägen des 11. September 2001 wurde diese Behörde gegründet. Die TSA selbst sieht ihren Auftrag wie folgt: „Protect the Nation’s transportation systems to ensure freedom of movement for people and commerce.“265 Die TSA ist u. a. verantwortlich für die Sicherheit an den Flug­ häfen in den USA und unterzieht bspw. sämtliche Passagiere sowie deren Gepäck einer Kontrolle, nutzt – nach eigenen Angaben – einen risikobasierten Ansatz266 261 Rechtsgrundlage dafür war wiederum der Homeland Security Act von 2002; siehe DHS CBP, CBP at 10 Years, http://www.cbp.gov/about/history/ten-years (zuletzt geprüft am 15.03.2015). 262 Vgl. dazu ausführlich DHS CBP, CBP at 10 Years.; siehe auch DHS, Who Joined DHS. 263 DHS CBP, About CBP, http://www.cbp.gov/about (zuletzt geprüft am 15.03.2015). 264 Siehe die Beschreibungen auf der Hompage der CBP unter http://www.cbp.gov/xp/cgov/ careers/customs_careers/we_are_cbp.xml sowie http://www.cbp.gov/xp/cgov/about/history/ten_ years/ten_years.xml (zuletzt geprüft am 15.03.2015). 265 TSA, Mission, Vision and Core Values, http://www.tsa.gov/about-tsa/mission-vision-andcore-values (zuletzt geprüft am 15.03.2015). 266 Zu diesem siehe näher TSA, Risk-Based Security Initiatives, http://www.tsa.gov/travelerinformation/risk-based-security-initiatives (zuletzt geprüft am 15.03.2015).

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

329

und arbeitet eng mit den Beförderungsunternehmen, den Strafverfolgungsbehörden sowie den Geheimdiensten zusammen.267 Rechtsgrundlage für die TSA war der ­Aviation and Transportation Security Act (ATSA) von 2001.268 Zunächst war die TSA innerhalb des Verkehrsministeriums (Department of Transportation) angesiedelt, wurde jedoch nach der Schaffung des Heimatschutzministeriums Ende 2002 seit März 2003 dessen Zuständigkeit unterstellt.269 In die Zuständigkeit der TSA fallen zudem nach dem ATSA u. a. „security screening operations for passenger air transportation and intrastate air transportation“270. b) Terrorist Screening Center als Teil der National Security Branch Noch bis 2003 wurden verschiedene Beobachtungslisten, sog. watchlists, durch verschiedene Behörden der US-Regierung vorgehalten, sodass es keine Behörde gab, die eine Gesamtverantwortung übernommen sowie die Pflege der Datenbanken, ihre Aktualisierung oder das Zugänglichmachen für die einen Zugang benötigenden anderen Behörden sichergestellt hätte.271 Dies sollte sich mit der Gründung des Terrorist Screening Center (TSC) ändern. Das TSC nahm zum 1.  Dezember 2003 seine Arbeit auf, nachdem es durch die Homeland Security Presidential­ Directive 6 eingerichtet wurde, und ist organisatorisch mittlerweile der National Security Branch (NSB) des FBI angegliedert.272 Die NSB hat – nach eigenen Aussagen – die Aufgabe, Bedrohungen für die nationale Sicherheit der USA und ihrer Interessen abzuschrecken, aufzudecken und zu bekämpfen und dabei die Grundrechte zu achten.273 Zu den genannten Bedrohungen für die nationale Sicherheit gehören die von Terrororganisationen, ausländischen Geheimdiensten und Verbrechensorganisationen ausgehenden Gefahren sowie die Verbreitung von Massenvernichtungswaffen.274 Die sechs Abteilungen der NSB sind die Terrorbekämpfungsabteilung (Counterterrorism Division – CTD), die Spionageabwehrabteilung (Counterintelligence Division – CD), die Abteilung für Geheimdienstinformationen (Directorate of Intelligence – DI), die Abteilung für Massenvernichtungswaffen (Weapons of Mass Destruction Directorate – WMDD), 267

TSA, About TSA. Aviation and Transportation Security Act, Pub. L. No. 107–71, 19.11.2001, Kodifikation der Vorschriften über die TSA unter 49 U. S. C. § 114. 269 Siehe zur Geschichte der TSA TSA, About TSA. 270 Aviation and Transportation Security Act, Pub. L. No. 107–71, 19.11.2001; Kodifikation der Vorschriften über die TSA unter 49 U. S. C. § 114. 271 Siehe dazu http://web.archive.org/web/20131001133835/http://www.fbi.gov/about-us/nsb/ tsc/tsc_faqs (zuletzt geprüft am 15.03.2015). 272 Siehe http://web.archive.org/web/20130911011935/http://www.fbi.gov/about-us/nsb/tsc/tsc_ mission (zuletzt geprüft am 15.03.2015). 273 Siehe http://www.fbi.gov/about-us/nsb/nsb-brochure (zuletzt geprüft am 15.03.2015). 274 Siehe http://www.fbi.gov/about-us/nsb/nsb-brochure (zuletzt geprüft am 15.03.2015). 268

330

Teil 3: Die Übermittlung von PNR-Daten in die USA 

die Abteilung zur Befragung hochrangiger Gefangener aus Terrorgruppen (HighValue Detainee Interrogation Group – HIG) sowie das hier vor allem relevante Terrorist Screening Center (TSC).275 Das TSC nimmt eine entscheidende Rolle in der Terrorismusbekämpfung ein, indem es nun sämtliche früher in verschiedenen Behörden verwaltete Beobachtungslisten in einer Terrorist Screening Database (TSDB) (auch bekannt unter dem Namen „terrorist watchlist“) zusammenfügt und u. a. für die Pflege der darin enthaltenen No Fly-Liste sowie der Selectee-Liste zuständig ist.276 Das TSC beschreibt seine Aufgabe selbst mit „[t]o consolidate and coordinate U. S. Government’s approach to terrorism screening and facilitate the sharing of terrorism information that protects the nation and our foreign partners while safeguarding civil liberties“.277 Das TSC stellt somit – nach eigenen Angaben – eine „one stop shopping“-Möglichkeit zur Verfügung, sodass jeder Regierungsmitarbeiter, der mit Screeningaufgaben betraut ist, dieselbe „terrorist watchlist“ nutzt, unabhängig davon, ob es sich um einen Beamten am Flughafen, im Außenministerium oder einen Strafverfolgungsbeamten handelt.278

C. Die Position der EU Auch die EU hat sich mit der Nutzung von PNR-Daten und weiteren für Sicherheitszwecke nutzbaren Datenarten wie API-Daten auseinandergesetzt. Die Einstellung der EU zu diesem Thema ist vor allem an ihren 2003 und 2010 veröffentlichten Konzepten zur Übermittlung von Fluggastdaten sowie insbesondere an der sich im Gesetzgebungsverfahren befindlichen eigenen Initiative zur PNR-Nutzung ersichtlich.279 Ferner ist auch die API-Richtlinie von 2004 zu berücksichtigen. Zudem sind die unterschiedlichen Positionen der EU-Mitgliedstaaten exemplarisch darzustellen. Die Datenauswertung ist jedoch nur eine von vielen in der EU existierenden Herangehensweisen an Terrorismusbekämpfung und Strafverfolgung. Auch geht die Datenauswertung selbst weit über die hier dargestellten Elemente, die vor allem im Zusammenhang mit der Sicherheit des Luftverkehrs stehen, hinaus. Auf die Darstellung der weiteren Elemente ist im Rahmen dieser Arbeit – in

275 Siehe zu den verschiedenen Abteilungen und Beschreibung ihrer Aufgaben http://www. fbi.gov/about-us/nsb/nsb-brochure (zuletzt geprüft am 15.03.2015). 276 Siehe http://web.archive.org/web/20130911011935/http://www.fbi.gov/about-us/nsb/tsc/ tsc_mission (zuletzt geprüft am 15.03.2015). 277 Siehe http://web.archive.org/web/20130911011935/http://www.fbi.gov/about-us/nsb/tsc/ tsc_mission (zuletzt geprüft am 15.03.2015). 278 Siehe http://web.archive.org/web/20131001133835/http://www.fbi.gov/about-us/nsb/tsc/ tsc_faqs (zuletzt geprüft am 15.03.2015). 279 Zur Position der EU auch Baumann, in: Dix/Franßen/Kloepfer/Schaar/Schoch/Voßhoff/ Deutsche Gesellschaft für Informationsfreiheit, Informationsfreiheit und Informationsrecht Jahrbuch 2014, 2015, S. 34 ff.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

331

dem Bewusstsein, dass das Vorgestellte nicht das komplette Sicherheitspaket der EU abdeckt – zu verzichten.280 I. Die API-Richtlinie von 2004 Die Verwendung von API-Daten wurde von der EU bereits 2004 in der APIRichtlinie281 geregelt.282 Zweck der Regelung ist die Verbesserung der Grenzkontrollen und die Bekämpfung der illegalen Einwanderung.283 Dies soll dadurch erreicht werden, dass die jeweiligen Luftfahrtunternehmen Angaben über die beförderten Passagiere nach Abschluss des Check-In an die Behörden weiterleiten, die am Zielflughafen Personenkontrollen durchführen.284 Eine Verwendung der API-Daten zu Zwecken der Strafverfolgung ist demnach möglich, wenn sie nach Maßgabe der nationalen Rechtsvorschriften und der DSRL erfolgt.285 Nach Aussagen der Kommission erfolgt die Verwendung der API-Daten vor allem zur Identitätskontrolle und als Grenzmanagementinstrument, wird jedoch auch zur Identifizierung von Verdächtigen sowie zur Fahndung ausgeschriebenen Personen herangezogen.286 Wie bereits erwähnt, wurde die API-Richtlinie durch § 31a BPolG in Deutschland umgesetzt.287 II. PNR-Systeme in den Mitgliedstaaten Ein einheitliches PNR-Auswertungssystem existiert bislang in der EU noch nicht. Jedoch gibt es Initiativen für PNR-Systeme in verschiedenen Mitgliedstaaten. Nach Angaben der EU-Kommission verwenden die meisten Mitgliedstaaten zudem PNR-Daten „für die Verhütung, Aufdeckung, Aufklärung und strafrechtliche Verfolgung von terroristischen Straftaten oder schwerer Kriminalität“ ent­ weder auf nicht systematische Weise oder im Rahmen von allgemeinen Befugnissen, die der Polizei und anderen Behörden übertragen wurden.288 280

Siehe dazu ausführlich Europäische Kommission, Mitteilung der Kommission an das Europäische Parlament und den Rat, Überblick über das Informationsmanagement im Bereich Freiheit, Sicherheit und Recht, KOM(2010) 385 endgültig, 20.07.2010. 281 Rat der Europäischen Union, API-Richtlinie, ABl. L 261 v. 06.08.2004. 282 Aus der Literatur dazu Brouwer Centre for European Policy Studies – CEPS (Hrsg.), The EU Passenger Name Record System and Human Rights, 03.09.2009, S. 2 f. 283 Rat der Europäischen Union, API-Richtlinie, ABl. L 261 v. 06.08.2004, Art. 1. 284 Rat der Europäischen Union, API-Richtlinie, ABl. L 261 v. 06.08.2004, Art. 1, 3 I. 285 Rat der Europäischen Union, API-Richtlinie, ABl. L 261 v. 06.08.2004, Art. 6 I. 286 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 7 f. 287 Drittes Gesetz zur Änderung des BPolG v. 22.12.2007, BGBl. I 2007 S. 3214; dazu ausführlich Gnüchtel, in: Heesen, Bundespolizeigesetz, 5. Aufl. 2012, § 31 a PolG – Übermittlung von Fluggastdaten. 288 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 7 f.

332

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Im Vereinigten Königreich bestehen bereits Regelungen, die neben API-Daten auch die automatische Auswertung von PNR-Daten durch das Programm „e-Borders“ mit einschließt, dessen Auswertungsmöglichkeiten jedoch in ihrer Reichweite in keiner Weise mit den in den USA bestehenden Möglichkeiten zu vergleichen sind.289 Das Vereinigte Königreich fordert seit Ende 2014 v. a. API-Daten verstärkt von Fluggesellschaften aus EU-Mitgliedstaaten ein.290 Die Nutzung von PNRDaten, jedoch nicht in automatisierter Weise, erfolgt im Vereinigten Königreich nach vereinzelten Angaben schon seit über 30 Jahren u. a. zu Beweiszwecken.291 In den Niederlanden nutzt bspw. die königliche Polizeibehörde „Koninklijke Marechaussee“ PNR-Daten in individuellen Fällen im Rahmen ihrer allgemeinen Rechtsdurchsetzungsbefugnisse.292 Zudem nutzen die Zollbehörden PNR-Daten seit einigen Jahren auf der Grundlage verschiedener Zollgesetze; andere Sicherheitsbehörden nutzen PNR-Daten auf der Grundlage ihrer generellen Befugnisse.293 Des Weiteren werden Pilotprojekte durchgeführt, die PNR-Datenauswertung auszuweiten.294 Nach Angaben der EU-Kommission haben neben dem sich bereits in Betrieb befindlichen PNR-System im Vereinigten Königreich auch Belgien, Dänemark, Frankreich, die Niederlande und Schweden Vorschriften erlassen oder testen die Verwendung von PNR-Daten.295 Die dabei ergriffenen Maßnahmen unterschieden sich jedoch in vielerlei Hinsicht und träfen unterschiedliche Regelungen hinsichtlich des Zwecks, der Struktur des Systems, der Speicherungsfrist, des räumlichen Geltungsbereichs, sowie auch der umfassten Beförderungsmittel.296 Dies könnte nach Ansicht der Kommission zu unterschiedlichen Datenschutzvorschriften sowie Sicherheitsmaßnahmen für die Datenübermittlung führen und somit bis zu 27 (2011) verschiedene Systeme entstehen lassen, was jedoch zu einem unglei-

289 Siehe dazu sowie zu den Rechtsgrundlagen http://www.ukba.homeoffice.gov.uk/sitecon tent/documents/travel-customs/ebordersoverview (zuletzt geprüft am 15.03.2015); relevant sind vor allem §§ 32 bis 38 des Immigration, Asylum and Nationality Act 2006. 290 Siehe dazu bspw. Monroy, Fluggastdaten: Bundesregierung bereitet Änderung des Luftsicherheitsgesetzes vor, 12.01.2015, https://netzpolitik.org/2015/fluggastdaten-bundesregierungbereitet-aenderung-des-luftsicherheitsgesetzes-vor (zuletzt geprüft am 15.03.2015). 291 Siehe dazu http://www.statewatch.org/news/2008/may/uk-pnr-semaphore.pdf (zuletzt geprüft am 15.03.2015). 292 Siehe dazu und zu weiteren Informationen zur PNR-Nutzung in den Niederlanden die Antwort von Innenkommissiarin Malmström auf die Anfrage der Abgeordneten des Europaparlaments in ’t Veld, 21.10.2011, E-007686/2011. 293 Antwort von Innenkommissiarin Malmström auf Anfrage der Abgeordneten des Europaparlaments in ’t Veld, 21.10.2011, E-007686/2011. 294 Antwort von Innenkommissiarin Malmström auf Anfrage der Abgeordneten des Europaparlaments in ’t Veld, 21.10.2011, E-007686/2011. 295 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 4. 296 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 4.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

333

chen Schutzniveau, Sicherheitslücken, höheren Kosten und Rechtsunsicherheit für Fluggäste und Fluggesellschaften führen könnte.297 III. Initiativen für ein einheitliches PNR-System in der EU Neben der Nutzung von API-Daten gab es in der EU zwei Vorschläge für ein einheitliches PNR-System. Bisher konnte jedoch kein Vorschlag tatsächlich umgesetzt werden. 1. Vorschlag eines Rahmenbeschlusses des Rates zur Speicherung von Passagierdaten Einen ersten Vorschlag für einen Rahmenbeschluss des Rates über die Verwendung von PNR-Daten zu Strafverfolgungszwecken stellte die EU-Kommission Ende 2007 vor.298 In ihrem Vorschlag verglich die Kommission PNR-Daten mit API-Daten und stellte dar, dass PNR-Daten mehr Datenelemente lieferten, früher als API-Daten verfügbar seien und ein „außerordentlich wichtiges Instrument, um Risikoanalysen in Bezug auf Personen vorzunehmen, neue Erkenntnisse zu sammeln und Verbindungen zwischen bekannten und unbekannten Personen herzustellen“, seien.299 Zweck der geplanten Regelung war die Harmonisierung der Vorschriften in den Mitgliedstaaten in Bezug auf PNR-Daten und die Nutzung von PNR-Daten von Fluggästen internationaler Flüge zur Verhütung und Bekämpfung terroristischer Straftaten und organisierter Kriminalität.300 Die Mitgliedstaaten sollten gem. Art. 3 des Vorschlags eine PNR-Zentralstelle schaffen, die die Daten von den Fluggesellschaften erhalten und daraufhin eine Auswertung der Daten vornehmen sollte. Ergebnisse der Auswertung sollten an die nach Art. 4 des Vorschlags zu bestimmenden Behörden weitergeleitet werden. Fluggesellschaften hatten die Daten gem. Art. 5 des Vorschlags 297

Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 4. 298 Europäische Kommission, Vorschlag für einen Rahmenbeschluss des Rates über die Verwendung von Fluggastdatensätzen (PNR-Daten) zu Strafverfolgungszwecken, Kom(2007)654 endgültig, 06.11.2007, aus der Literatur siehe dazu kritisch de Hert/Papakonstantinou, Computer Law & Security Review 26 (2010), 368 sowie mit Ausführungen zum Verhältnis zu anderen Informationssystemen Brouwer Centre for European Policy Studies – CEPS (Hrsg.), The EU Passenger Name Record System and Human Rights, 03.09.2009, ferner knapp zu Motivation und Folgen des Vorschlags Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 620. 299 Europäische Kommission, Vorschlag für einen Rahmenbeschluss des Rates über die Verwendung von PNR-Daten zu Strafverfolgungszwecken, Kom(2007)654 endgültig, 06.11.2007, S. 3. 300 Art. 1 des Entwurfs sowie Europäische Kommission, Vorschlag für einen Rahmenbeschluss des Rates über die Verwendung von PNR-Daten zu Strafverfolgungszwecken, Kom(2007)654 endgültig, 06.11.2007, S. 7.

334

Teil 3: Die Übermittlung von PNR-Daten in die USA 

zunächst 24 Stunden vor Abflug sowie nochmals sofort nach Abfertigungsschluss an die PNR-Zentralstellen weiterzuleiten. Die Speicherungszeit betrug gem. Art. 9 des Vorschlags bis zu 13 Jahre in aktiven und inaktiven Datenbanken. Kapitel III des Vorschlags hatte den Schutz personenbezogener Daten zum Gegenstand, wobei gem. Art. 11 der DSRB Anwendung finden sollte. Art. 12 enthielt zudem Bestimmungen zur Datensicherheit. Die zu übermittelnden Datenelemente entsprachen denen der neuesten Abkommen mit Drittstaaten. Zu dem Vorschlag äußerte sich eine Vielzahl unterschiedlicher Stellen, die Stellungnahmen fielen jedoch – soweit ersichtlich – negativ aus.301 Neben anderen sind vor allem die Stellungnahmen des EU-Datenschutzbeauftragten, der Art. 29-Daten­ schutzgruppe sowie des Europaparlaments hier zu berücksichtigen. Der EU-Datenschutzbeauftragte ging in seiner Stellungnahme auf eine Vielzahl von Fragen ein, legte jedoch den Schwerpunkt auf vier Themenkomplexe:302 Zunächst setzte er sich mit der Rechtmäßigkeit der Maßnahme auseinander und ging auf Fragen des Zwecks, der Notwendigkeit und der Verhältnismäßigkeit ein, hegte jedoch Zweifel, ob die zu stellenden Anforderungen erfüllt seien und mahnte einen „Schritt in die totale Überwachungsgesellschaft“ an. Der zweite Themenkomplex betraf die Rechtsgrundlage, wobei das Verhältnis von Erster und Dritter Säule diskutiert wurde und der Datenschutzbeauftragte die Bezugnahme ausschließlich auf den DSRB nicht für ausreichend hielt. Der dritte Themenkomplex behandelte die Datenempfänger, insb. die PNR-Zentralstellen, und führte zu Bedenken des Datenschutzbeauftragten hinsichtlich der genauen Zuständigkeiten. Der vierte behandelte Themenkomplex beschäftigte sich schließlich mit der Weitergabe der Daten an Drittstaaten, wobei der Datenschutzbeauftragte u. a. kritisierte, dass die Bedingungen für die Weitergabe der Daten nicht klar ersichtlich seien. Am Ende seiner Stellungnahme sprach sich der Datenschutzbeauftragte zudem für eine Aussetzung des Vorschlags und eine Neuverhandlung nach dem damals kurz vor dem Inkrafttreten stehenden Lissabonner Vertrag und dem dann­ geltenden Mitentscheidungsverfahren aus. Die Art.  29-Datenschutzgruppe gab zusammen mit der Arbeitsgruppe Polizei und Justiz ebenfalls eine Stellungnahme ab:303 Diese gab die Auffassung wieder, 301 Siehe dazu Brouwer Centre for European Policy Studies – CEPS (Hrsg.), The EU Passenger Name Record System and Human Rights, 03.09.2009, S. 4 ff. mit Darstellung des Verfahrens sowie weiterer Stellungnahmen. 302 Siehe dazu und zum Folgenden ausführlich Europäischer Datenschutzbeauftragter, Stellungnahme des Europäischen Datenschutzbeauftragten (EDSB) zu dem Entwurf eines Vorschlags für einen Rahmenbeschluss des Rates über die Verwendung von Fluggastdatensätzen (PNR-Daten) zu Strafverfolgungszwecken, ABl. C 110 v. 01.05.2008, S. 1 ff. 303 Siehe dazu und zum Folgenden Art. 29-Datenschutzgruppe/Arbeitsgruppe Polizei und Justiz, Gemeinsame Stellungnahme zu dem von der Kommission am 6. November 2007 vorgelegten Vorschlag für einen Rahmenbeschluss des Rates über die Verwendung von Fluggastdatensätzen (PNR-Daten) zu Strafverfolgungszwecken, WP 145 bzw. 01/07, 05.12.2007/18.12.2007, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp145_de.pdf (zuletzt geprüft am 15.03.2015).

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

335

dass es keine akute Notwendigkeit dafür gebe, Daten zu erfassen, die über APIDaten hinausgehen. Zudem seien u. a. die zu übermittelnden Datenelemente unverhältnismäßig hoch, die Speicherfrist unangemessen lang, die Datenschutzbestimmungen unzureichend und es bestünden Unklarheiten bzgl. der Datenweitergabe. Des Weiteren böten die Vorschriften viel Raum für unterschiedliche Auslegungen durch die Mitgliedstaaten. Der Vorschlag der Kommission sei „ein weiterer Meilenstein auf dem Weg zu einer europäischen Überwachungsgesellschaft im Namen der Terrorismus- und Kriminalitätsbekämpfung“. Am 20. November 2008 verabschiedete schließlich auch das Europäische Parlament, das angehört werden musste, eine Entschließung zum Vorschlag für einen Rahmenbeschluss des Rates zur Speicherung von Passagierdaten:304 In dieser Entschließung kritisierte das Parlament ebenfalls den fehlenden Nachweis für eine tatsächliche Notwendigkeit der Maßnahme und stellte neben weiteren Aspekten des Vorschlags auch die Zweckbegrenzung und die Datensicherheit in Frage. Im Oktober 2009 kündigte schließlich der Rat an, Verhandlungen über das einheitliche PNR-System in der EU bis zur Ratifikation des Lissabonner Vertrages auszusetzen.305 2. Vorschlag einer Richtlinie zur Speicherung von Passagierdaten 2011 Nach dem Inkrafttreten des Vertrages von Lissabon unternahm die Kommission einen erneuten Versuch, ein einheitliches PNR-System in der EU zu verabschieden.306 Sie unterbreitete am 2. Februar 2011 den Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über die Verwendung von Fluggastdatensätzen zu Zwecken der Verhütung, Aufdeckung, Aufklärung und strafrechtlichen Verfolgung von terroristischen Straftaten und schwerer Kriminalität.307 Neben dem neuen institutionellen Rahmen hat vor allem die Aufforderung des Rats im „Stockholmer Programm – Ein offenes und sicheres Europa im Dienste und zum Schutz der Bürger“ an die Kommission beigetragen, eine „EU-Maßnahme in Bezug auf Fluggastdatensätze für die Zwecke der Verhütung, Aufdeckung, Aufklärung und Verfolgung von terroristischen Straftaten und Straftaten der Schwerkriminalität“ vorzuschlagen, mit der zudem „ein hohes Datenschutzniveau“ gewährleistet werden 304 Siehe dazu und zum Folgenden die Entschließung des Europäischen Parlaments vom 20. November 2008 zu dem Vorschlag für einen Rahmenbeschluss des Rates über die Verwendung von Fluggastdatensätzen (PNR-Daten) zu Strafverfolgungszwecken v. 20.11.2008, P6_ TA(2008)0561. 305 European Parliament, Press Release – EU Passenger Name Record talks on hold in Council until Lisbon Treaty is ratified, 06.10.2009, http://www.europarl.europa.eu/sides/getDoc.do? language=it&type=IM-PRESS&reference=20091006IPR61955. (zuletzt geprüft am 15.03.2015). 306 Dazu bspw. Boehm, KritV 2012, 82. 307 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011.

336

Teil 3: Die Übermittlung von PNR-Daten in die USA 

sollte.308 Auch reiht sich der Vorschlag als weitere Reaktion auf die Bedrohung von Terrorismus und schwerer Kriminalität ein und stellt eine zusätzliche Maßnahme zum Austausch personenbezogener Daten zwischen Strafverfolgungsbehörden und weiteren Behörden dar: Der Unterschied zu anderen Maßnahmen wie dem Schengener Informationssystem (SIS),309 dem Schengener Informationssystem II (SIS II)310 oder dem Visa-Informationssystem (VIS)311 ist jedoch, dass es sich bei dem PNR-System nicht um Daten bereits bekannter Personen wie bspw. den Strafverfolgungsbehörden bekannte Verdächtige, sondern um Daten von auch bisher unbekannten und nicht strafrechtlich in Erscheinung getretenen Reisenden handelt.312 Zudem wurde mit dem neuen Vorschlag die Harmonisierung der Vorschriften auf EU-Ebene bezweckt.313 In Ihrem Vorschlag gab die Kommission des Weiteren an, die Empfehlungen der Stellungnahmen u. a. des Parlaments, der Art.  29-Datenschutzgruppe und des Datenschutzbeauftragten im neuen Entwurf berücksichtigt zu haben.314 Nach Aussagen der Kommission ist der Vorschlag u. a. 308 Rat der Europäischen Union, Das Stockholmer Programm  – Ein offenes und sicheres Europa im Dienste und zum Schutz der Bürger, 02.12.2009, S.  39, http://register.consilium. europa.eu/pdf/de/09/st17/st17024.de09.pdf (zuletzt geprüft am 15.03.2015); Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 3. 309 Übereinkommen zur Durchführung des Übereinkommens von Schengen vom 14.  Juni 1985 zwischen den Regierungen der Staaten der Benelux-Wirtschaftsunion, der Bundesrepublik Deutschland und der Französischen Republik betreffend den schrittweisen Abbau der Kontrollen an den gemeinsamen Grenzen, ABl. L 239 v. 22.9.2000, S. 19 ff. 310 Verordnung (EG) Nr. 1987/2006 des Europäischen Parlaments und des Rates vom 20. Dezember 2006 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informations­ systems der zweiten Generation (SIS II), ABl. L 381 v. 28.12.2006, S.  4 ff.; Beschluss des 2007/533/JI Rates vom 12. Juni 2007 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems der zweiten Generation (SIS II), ABl. L 205 v, 07.08.2007, S.  63 ff.; Verordnung (EG) Nr.  1986/2006 des Europäischen Parlaments und des Rates vom 20. Dezember 2006 über den Zugang von für die Ausstellung von Kfz-Zulassungsbescheinigungen zuständigen Dienststellen der Mitgliedstaaten zum Schengener Informationssystem der zweiten Generation (SIS II), ABl. L 381 v. 28.12.2006, S. 1 ff. 311 Entscheidung des Rates vom 8. Juni 2004 zur Einrichtung des Visa-Informationssystems (VIS) Amtsblatt Nr. L 213 v. 15.06.2004 S. 5–7; Verordnung (EG) Nr. 767/2008 des Europäischen Parlamentsund des Rates vom 9. Juli 2008 über das Visa-Informationssystem (VIS) und den Datenaustausch zwischen den Mitgliedstaaten über Visa für einen kurzfristigen Aufenthalt (VIS-Verordnung), ABl. L 218 v. 13.08.2008, S. 60 ff.; Beschluss 2008/633/JI des Rates vom 23. Juni 2008 über den Zugang der benannten Behörden der Mitgliedstaaten und von Europol zum Visa-Informationssystem (VIS) für Datenabfragen zum Zwecke der Verhütung, Aufdeckung und Ermittlung terroristischer und sonstiger schwerwiegender Straftaten, ABl. L 218 v. 13.08.2008, S. 129 ff. sowie Europäischer Rat, Erklärung zum Kampf gegen den Terrorismus des Europäischen Rates, 25.03.2004, http://www.consilium.europa.eu/uedocs/cms_data/docs/ pressdata/de/ec/79640.pdf. (zuletzt geprüft am 15.03.2015). 312 Vgl. Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 3. 313 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 5. 314 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 7.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

337

mit Datenschutzgrundsätzen vereinbar; er stehe außerdem im Einklang mit dem DSRB und gehe teilweise sogar darüber hinaus, um dem Grundsatz der Verhältnismäßigkeit Rechnung zu tragen.315 Inhaltlich wurde der Entwurf im Vergleich zum Rahmenbeschluss überarbeitet und teilweise verändert; manche Regelungen wie die Schaffung von PNR-Zentralstellen fanden sich jedoch weiterhin im Entwurf:316 Die Nutzung der PNR-Daten darf gem. Art. 1 des Richtlinienentwurfs (i. V. m. Art. 2, in dem die Begriffsbestimmungen geregelt sind) u. a. zur Bekämpfung von näher bestimmten schweren Straftaten genutzt werden, die in den Mitgliedstaaten mit einer Mindestfreiheitsstrafe von drei Jahren bestraft wird. Die Speicherungshöchstdauer beträgt gem. Art.  9 nunmehr noch höchsten fünf Jahre und bereits nach 30 Tagen werden die Daten anonymisiert, wobei jedoch eine proaktive Nutzung der Daten auch nach der dreißigtägigen Frist möglich ist. Die Nutzung von sensiblen Daten ist, wie bereits aus Erwägungsgrund 32 ersichtlich ist und in Art. 4 III des Richtlinienentwurfs bestätigt wird, nicht erlaubt und Ergebnisse auf Grund der automatisierten Auswertung müssen gem. Art.  4 II lit.  a auf nicht-automatisierte Art überprüft werden. Eine Weitergabe an Drittländer darf gem. Art. 8 nur in Einzelfällen und nach Erfüllung bestimmter Voraussetzungen erfolgen (bspw. Erfüllung der Voraussetzungen des Art. 13 DSRB). Zudem müssen die Mitgliedstaaten – wie Art. 3 des Entwurfs bestimmt – wiederum PNR-Zentralstellen schaffen, die sowohl für die Verarbeitung als auch für den Schutz der Daten zuständig sein sollen und an die die Daten von internationalen Flügen gem. Art. 6 von den Fluggesellschaften übermittelt werden. Die Reaktionen auf den Kommissionsvorschlag waren jedoch nur unwesentlich positiver als beim PNR-Rahmenbeschluss vor Inkrafttreten des Vertrages von Lissa­bon. Es wurden lediglich teilweise einzelne Verbesserungen am Entwurf anerkannt. Stellungnahmen gaben u. a. der Europäische Datenschutzbeauftragte, die Art. 29-Datenschutzgruppe sowie der Wirtschafts- und Sozialausschuss des Europäischen Parlaments ab. Der Europäische Datenschutzbeauftragte nahm am 25. März 2011 zum Kommissionsvorschlag Stellung:317 Dabei erkannte der Datenschutzbeauftragte durchaus an, dass die Datenschutzgarantien im neuen Entwurf gestärkt wurden und begrüßte, dass er von der Kommission schon bei der Ausarbeitung des Entwurfs informell angehört worden sei. Gleichzeitig stellte er jedoch klar, dass insbesondere hinsichtlich des Umfangs und des Zwecks der Datenerhebung immer noch 315

Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 9. 316 Siehe zum Folgenden Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 9 f. 317 Siehe dazu und zum Folgenden ausführlich Europäischer Datenschutzbeauftragter, Stellungnahme des Europäischen Datenschutzbeauftragten zum Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über die Verwendung von Fluggastdatensätzen zu Zwecken der Verhütung, Aufdeckung, Aufklärung und strafrechtlichen Verfolgung von terroristischen Straftaten und schwerer Kriminalität, ABl. C 181 v. 22.06.2011, S. 24 ff.

338

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Bedenken bestünden. Er forderte deshalb u. a. eine sehr viel stärkere Einschränkung des Anwendungsbereichs, eine Ausweitung der Datenschutzgarantien über den Standard des DSRB hinaus auf den höheren Standard der DSRL, keine Speicherung in unanonymisierter Form länger als 30 Tage sowie eine Reduzierung der erhobenen Daten. Prägnant formulierte der Datenschutzbeauftragte, dass es die „Verwendung von PNR-Daten in einer systematischen und unterschiedslosen Weise in Bezug auf alle Fluggäste“ sei, die „spezifische Bedenken“ wecke. Nach dem Datenschutzbeauftragten könnte „die einzige mit den Datenschutzanforderungen in Übereinstimmung stehende Maßnahme in der Verwendung der PNRDaten auf Einzelfallbasis, wenn eine ersthafte Bedrohung vorliegt, die durch konkrete Hinweise belegt wird“, gesehen werden. Die Art. 29-Datenschutzgruppe äußerte sich ebenfalls kritisch zum Richtlinien­ vorschlag der Kommission:318 Nach Auffassung der Datenschutzgruppe sind die Regelungen des PNR-Systems u. a. nicht mit dem Verhältnismäßigkeitsgrundsatz vereinbar und zudem sei die Notwendigkeit des Systems nicht erwiesen. Die Datenschutzgruppe empfahl daher, die bestehenden Systeme (bspw. SIS, SIS-II oder API) zu evaluieren und zu fragen, ob diese nicht zur Erreichung der Ziele ausreichend seien. Falls das PNR-System jedoch eingeführt werde, sollte es über geeig­ nete und angemessene Datenschutzmaßnahmen und -garantien verfügen und zudem überprüft werden, ob bestehende Systeme wie das API-System möglicherweise aufgehoben werden könnten um „Maßnahmenüberschneidungen“ zu vermeiden. In seiner beratenden Funktion nahm schließlich auch der Europäische Wirtschafts- und Sozialausschuss zu dem Richtlinienvorschlag der Kommission Stellung:319 Zwar begrüßte der Ausschuss den Richtlinienvorschlag, übte jedoch auch massive Kritik, mit Bezug auf die zuvor genannten Stellungnahmen. Der Ausschuss hielt den Vorschlag der Kommission für „nicht ausreichend begründet“ sowie „unverhältnismäßig“. Auch schloss sich der Ausschuss der Meinung des EUDatenschutzbeauftragten an, der eine Verwendung von Daten, die „systematisch und wahllos“ erfolgte, kritisierte. Zugleich favorisierte er eine Auswertung auf „Einzelfallbasis“. Der Ausschuss befürwortete schließlich noch die „Option einer einzigen PNR-Zentralstelle für die Fluggesellschaften und die Mitgliedstaaten“, da diese möglicherweise kostengünstiger sei als dezentrale PNR-Zentralstellen und zudem auf Grund der Vermeidung von wiederholter Übermittlung gleicher Daten 318 Siehe dazu und zum Folgenden ausführlich Art. 29-Datenschutzgruppe, Stellungnahme 10/2011 zu dem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über die Verwendung von Fluggastdatensätzen zu Zwecken der Verhütung, Aufdeckung, Aufklärung und strafrechtlichen Verfolgung von terroristischen Straftaten und schwerer Kriminalität, WP 181, 05.04.2011, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp181_de.pdf (zuletzt geprüft am 15.03.2015). 319 Siehe dazu und zum Folgenden ausführlich Europäischer Wirtschafts- und Sozialausschuss, Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses zu dem „Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über die Verwendung von Fluggastdatensätzen zu Zwecken der Verhütung, Aufdeckung, Aufklärung und strafrechtlichen Verfolgung von terroristischen Straftaten und schwerer Kriminalität“, ABl. C 218 v. 23.07.2011, S. 107 ff.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

339

„eine bessere Überwachung und Kontrolle in den PNR enthaltener personenbezogener Daten“ ermöglicht würde. Neben den genannten Akteuren äußerte sich auch der Juristische Dienst des Rates, dessen Gutachten durch einen Leak an die Öffentlichkeit gelangte, negativ zu dem Vorschlag und stellte vor allem die Verhältnismäßigkeit der Maßnahme in Frage.320 Am 11. und 12. April 2011 tagten die Justiz- und Innenminister der Mitgliedstaaten als Rat der EU in Luxemburg, wobei sie u. a. über den Kommissionsvorschlag diskutierten. Dabei wurde der Kommissionsvorschlag geprüft und erörtert, ob das PNR-System auf Flüge aus Drittländern und nach Drittländer beschränkt, oder aber auch Flüge innerhalb der EU erfasst werden sollten.321 Die Minister entschieden sich mehrheitlich für eine sog. „Optionslösung“, wonach jeder Mitgliedstaat selbst über die Ausweitung des Systems auf innereuropäische Flüge entscheiden kann.322 Am 14. Februar 2012 stellte Timothy Kirkhope von der britischen Conservative Party als Berichterstatter für das EU-PNR-System seinen Bericht im LIBE-Ausschuss vor.323 Dabei gab er an, mit dem Großteil des Kommissionsvorschlags einverstanden zu sein und sprach sich zudem für die Ausweitung des EU-PNR-­ Systems auf Flüge innerhalb der EU aus.324 Der Rat der EU behandelte das EU-PNR-System erneut auf seiner Tagung in Luxemburg am 26.  und 27. April 2012. Dabei einigten sich die Mitgliedstaaten auf das PNR-System und schrieben die bereits diskutierte „Optionslösung“ fest, sodass der jeweilige Mitgliedstaat das PNR-System auf innereuropäische Flüge ausweiten kann, dies aber nicht muss.325 Zudem sprachen sich die Mitgliedstaaten mehrheitlich dafür aus, die anfängliche Speicherfrist, nach der eine Anonymisierung eintritt, von 30 Tagen auf zwei Jahre auszuweiten, die Gesamtspeicherdauer aber weiterhin bei fünf Jahren zu belassen.326 Im Rahmen des ordentlichen Gesetzgebungsverfahrens sollte daraufhin die Zustimmung im EU-Parlament gesucht werden. 320 Bspw. abrufbar unter http://www.nopnr.org/wp-content/uploads/2011/05/eu-rat-jur-diensteu-pnr-12042011.pdf (zuletzt geprüft am 15.03.2015). 321 Siehe Rat der Europäischen Union, Mitteilung an die Presse, 3081. Tagung des Rates,­ Justiz und Inneres, 11./12. April 2011, 8692/11, S. 11. 322 Siehe Rat der Europäischen Union, Mitteilung an die Presse, 3081. Tagung des Rates,­ Justiz und Inneres, 11./12. April 2011, 8692/11, S. 11. 323 Siehe Kirkhope, Draft Report on the proposal for a directive of the European Parliament and of the Council on the use of Passenger Name Record data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime, 2011/0023(COD), 14.02.2012, S.  30 ff., http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/891/891415/ 891415en.pdf (zuletzt geprüft am 15.03.2015). 324 Kirkhope, Bericht an den LIBE-Ausschuss, Vorschlag EU-PNR 2011, 2011/0023(COD), 14.02.2012, S. 31 f. 325 Siehe Rat der Europäischen Union, Mitteilung an die Presse, 3162. Tagung des Rates,­ Justiz und Inneres, 26./27. April 2012, 9179/1/12 REV 1 (de), S. 8. 326 Siehe Rat der Europäischen Union, Mitteilung an die Presse, 3162. Tagung des Rates,­ Justiz und Inneres, 26./27. April 2012, 9179/1/12 REV 1 (de), S. 8.

340

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Bereits vor den Abstimmungen in den Ausschüssen bzw. im Parlament schrieb die Kommission die Schaffung von nationalen PNR-Zentralstellen in Höhe von 50 Millionen Euro aus.327 Die Ausschreibung sorgte für Kritik, da die Kommission versuche, Tatsachen zu schaffen, bevor die demokratisch legitimierten Organe überhaupt über die Maßnahme abstimmen konnten.328 In ihrer Antwort auf eine kritische Anfrage zum Vorgehen der Kommission begründete diese die Maßnahme jedoch mit einer vom PNR-System unabhängigen Fördermaßnahme im Rahmen des Förderprogramms „Kriminalprävention und Kriminalitätsbekämpfung (ISEC)“, mit der ein Beitrag zur „Verhütung, Aufdeckung, Aufklärung und strafrechtlichen Verfolgung von terroristischen Straftaten und schwerer Kriminalität“ geleistet werden solle, und die nicht im direkten Zusammenhang mit den Verhandlungen zum EU-PNR-System stünde.329 Im LIBE-Ausschuss des Europäischen Parlaments formierte sich jedoch Widerstand gegen den Vorschlag für ein EU-PNR-System. Am 24. April 2013 stimmte der Ausschuss mit 30 zu 25 Stimmen gegen den Kommissionsvorschlag, woraufhin der Vorsitzende des Ausschusses Juan Fernando López Aguilar vorschlug, über das weitere Vorgehen im Europäischen Parlament zunächst in der Konferenz der Präsidenten beraten zu lassen.330 Bei der Konferenz der Präsidenten handelt es sich um ein politisches Organ des Parlaments, das u. a. neben organisatorischen Aufgaben auch die Zuweisung von Zuständigkeiten der Ausschüsse sowie die Beziehungen zu anderen Organen der EU, den nationalen Parlamenten und zu Drittländern übernimmt.331 Gemäß Art.  24 der Geschäftsordnung des Europäischen Parlaments besteht die Konferenz der Präsidenten aus dem Präsidenten des Europäischen Parlaments und den Vorsitzenden der Fraktionen sowie zudem einem fraktionslosen Mitglied, das ohne Stimmrecht an den Sitzungen teilnimmt.

327 Der Ausschreibungstext ist abrufbar unter http://ec.europa.eu/dgs/home-affairs/financing/ fundings/security-and-safeguarding-liberties/prevention-of-and-fight-against-crime/calls/call2012/pnr-targeted-call/docs/pnr_call_for_proposals_2012_final_en.pdf (zuletzt geprüft am 15.03.2015). 328 Siehe dazu bspw. die Stellungnahmen der Abgeordneten Alexander Alvaro (abzurufen unter: http://www.alexander-alvaro.de/inhalte/wir-brauchen-antworten-zur-50-mio-euro-pnr-aus schreibung) oder Birgit Sippel (abzurufen unter: http://www.spd-europa.de/sites/default/files/ downloads/sippel_130115_pnr-ausschreibung.pdf) (jeweils zuletzt geprüft am 15.03.2015) sowie auch bspw. die Anfrage des Abgeordneten Martin Ehrenhauser v. 15.01.2013 an die Kommission, P-000343-13. 329 Antwort der Kommission v. 25.02.2013 auf die Frage des Abgeordnenten Martin Ehrenhauser v. 15.01.2013, P-000343/2013. 330 Siehe dazu European Parliament, Press Release: Civil Liberties Committee rejects EU Passenger Name Record proposal, 24.04.2013, http://www.europarl.europa.eu/news/de/news-room/ content/20130422IPR07523/html/Civil-Liberties-Committee-rejects-EU-Passenger-NameRecord-proposal (zuletzt geprüft am 15.03.2015). 331 Siehe dazu http://www.europarl.europa.eu/aboutparliament/de/00766d87cc/Political-bodies. html (zuletzt geprüft am 15.03.2015), sowie Art. 24, 25 und 29 der Geschäftsordnung des Europäischen Parlaments.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

341

Anfang Juni 2013 sollte schließlich über den Vorschlag für ein EU-PNR-System im Plenum des Europaparlaments abgestimmt werden.332 Die Konferenz der Präsidenten befürwortete – nach Medienberichten und Berichten von Nichtregierungsorganisationen – den Vorschlag zur erneuten Beratung zurück an den LIBE-Ausschuss zu verweisen.333 Der Antrag auf eine Rückübermittlung wurde im Plenum mit 143 zu 83 Stimmen angenommen, was bei vielen Abgeordneten auf heftige Kritik stieß.334 Berichterstatter Kirkhope rechtfertigte die Rückübermittlung mit „technischen Gründen“, die Ablehnung im Ausschuss sei lediglich auf eine „zufällige“ bzw. „versehentliche“ Mehrheit zurückzuführen.335 Nach der Rückverweisung an den Ausschuss wurde eine erneute Diskussion über das PNR-System für den Herbst 2013 erwartet.336 Letzendlich erfolgte die Wiederaufnahme der Verhandlungen jedoch erst im Herbst 2014.337 Nach den Anschlägen auf die Satire­ zeitschrift Charlie Hebdo in Paris wurden schließlich die Verhandlungen über ein EU-PNR-System nochmals intensiviert.338

332 Siehe dazu den Bericht mit den Stellungnahmen und Empfehlungen sämtlicher Ausschüsse: Bericht über Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über die Verwendung von Fluggastdatensätzen zu Zwecken der Verhütung, Aufdeckung, Aufklärung und strafrechtlichen Verfolgung von terroristischen Straftaten und schwerer Kriminalität v. 29.04.2013, A7-0150/2013. 333 Siehe dazu Keating, Committee asked to reconsider passenger data plan, 13.06.2013, http:// www.europeanvoice.com/article/imported/committee-asked-to-reconsider-passenger-dataplan/77500.aspx?bPrint=1 (zuletzt geprüft am 15.03.2015) sowie http://www.nopnr.org/failim-eu-parlament-abstimmung-uber-die-vorratsdatenspeicherung-von-reisedaten-vertagt (zuletzt geprüft am 15.03.2015). 334 Siehe dazu http://www.nopnr.org/fail-im-eu-parlament-abstimmung-uber-die-vorratsdaten speicherung-von-reisedaten-vertagt (zuletzt geprüft am 15.03.2015). 335 Siehe dazu Sander/unwatched.org, MEPs verzögern EU-PNR, aber EU-Russland PNR wird kommen, 24.06.2013, https://www.unwatched.org/EDRigram_11.12_MEPs_verzoegern_ EU-PNR_aber_EU-Russland_PNR_wird_kommen (zuletzt geprüft am 15.03.2015) sowie http:/ /www.nopnr.org/fail-im-eu-parlament-abstimmung-uber-die-vorratsdatenspeicherung-von-reise daten-vertagt (zuletzt geprüft am 15.03.2015). 336 Siehe dazu Keating, Committee asked to reconsider passenger data plan, 13.06.2013. 337 Siehe dazu Europäisches Parlament, Press Release – MEPs debate plans to use EU Passenger Name Record (PNR) data to fight terrorism, 11.11.2014, http://www.europarl.europa. eu/sides/getDoc.do?pubRef=-//EP//NONSGML+IM-PRESS+20141110IPR78121+0+DOC+ PDF+V0//EN&language=DE (zuletzt geprüft am 15.03.2015). 338 Siehe dazu bspw. Europäisches Parlament, Entschließung des Europäischen Parlaments zu Maßnahmen zur Terrorismusbekämpfung, P8_TA(2015)0032, 11.02.2015. und Art. 29-Datenschutzgruppe, Brief an den Vorsitzenden des LIBE-Ausschusses Claude Moraes zu EU-PNR, 19.03.2015, http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/ files/2015/20150319__letter_of_the_art_29_wp_on_eu_pnr.pdf (zuletzt geprüft am 31.03.2015).

342

Teil 3: Die Übermittlung von PNR-Daten in die USA 

3. Ausblick Ein EU-PNR-System ist gleichzeitig Chance und Risiko. Zum einen könnte ein solches System die Sicherheit in Europa erhöhen und ein weiteres Instrument zur Bekämpfung von schwerer Kriminalität und Terrorismus darstellen. Über die Wirksamkeit eines solchen Systems ist damit jedoch keine Aussage getroffen. Ähnlich wie in den USA könnte ein Schichtensystem geschaffen werden, das verschiedene Instrumentarien wie das SIS-II oder die API-Datenauswertung bereithält, die sich gegenseitig ergänzen und Fehler eines anderen Systems korrigieren können. Ein EU-PNR-System bietet zudem die Chance, für Drittländer sichtbar zu machen, wie Datenschutz- und Sicherheitsinteressen in der EU selbst zum Ausgleich gebracht werden. Das EU-PNR-System könnte somit als Grundlage und Beispiel für Verhandlungen mit Drittländern dienen. Wie zu erkennen ist, bestehen in Bezug auf den Datenschutz Defizite u. a. bei der Verhältnismäßigkeit der Maßnahme oder der Zweckbegrenzung. Zwar ist auch ein EU-PNR-System das Ergebnis von Verhandlungen von Akteuren mit verschiedenen Interessen, doch sollten diese Verhandlungen einfacher als mit Drittländern sein und könnten zu besseren Ergebnissen in Bezug auf den Datenschutz führen. Maßstab ist nämlich stets der in der EU bestehende Datenschutzstandard und nicht ein – wie bei den Verhandlungen mit Drittländern – ein im Vergleich zum EU-Recht „angemessener“ Standard. Zudem besteht bei den den Mitgliedstaaten ein großes Maß an Kohärenz hinsichtlich des Datenschutzniveaus, das sich mit dem Datenschutzreformpaket ausweiten wird, und erfordert somit nicht in gleicher Weise einen Kompromiss wie bei den Verhandlungen mit Drittländern. Jedoch ist zu berücksichtigen, dass der Datenschutz gerade auch zum Ausgleich mit den essentiellen Sicherheitsinteressen der EU gebracht werden muss und ein höheres Datenschutzniveau möglicherweise ein geringeres Sicherheitsniveau zur Folge haben könnte. Ferner könnte ein EU-PNRSystem dazu führen, dass mit Existenz eines solchen Systems in der EU weitere Staaten unter Bezugnahme auf das völkerrechtliche Prinzip der Gegenseitigkeit PNR-Daten auch von EU-Fluggesellschaften fordern werden. Fraglich ist jedoch, inwiefern dies auch durchsetzbar sein wird. Insgesamt bleibt abzuwarten, wie sich die Diskussion um das EU-PNR-System nach der Wiederaufnahme der Verhandlungen weiterentwickelt und ob die gebotenen Chancen unter angemessener Berücksichtigung sowohl des Datenschutzes als auch der Sicherheitsinteressen genutzt werden. IV. Abkommen zwischen der EU und Drittländern Die Einstellung der EU zu dem Thema Auswertung von PNR-Daten zeigt sich in eingeschränkter Weise auch durch die Abkommen mit Drittländern. Entscheidend ist diesbezüglich, dass die PNR-Abkommen mit Drittländern lediglich eine Reaktion auf Forderungen der Drittländer sind, Fluggastdaten zu übermitteln. Die EU erkennt mit den Regelungskonstruktionen im Zusammenhang mit den Ab-

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

343

kommen die Angemessenheit des Datenschutzniveaus bei der Verarbeitung von PNR-Daten an und stellt gleichzeitig Verarbeitungsgrundsätze auf, um ein solches Niveau überhaupt zu gewährleisten. Solche sektorspezifischen Regelungen sind auf Grund der fehlenden grundsätzlichen Anerkennung des Schutzniveaus im Drittland in den vorliegenden Fällen notwendig. Neben den USA, Australien und­ Kanada, mit denen schon PNR-Abkommen bestehen, fordern immer mehr Dritt­ länder die Übermittlung von PNR-Daten. 1. Abkommen mit den USA Die bis jetzt am kontroversesten diskutierten Abkommen mit Drittländern sind die mit den USA geschlossenen Regelungen, die im Rahmen dieser Arbeit noch genau zu untersuchen sein werden. Die erste Regelung mit den USA trat 2004 in Kraft und bestand aus einem Abkommen339, einer Verpflichtungserklärung der USA sowie einer Angemessenheitsentscheidung der Kommission340. Nach einer erfolgreichen Klage gegen das Abkommen wurde ein vorläufiges Abkommen im Jahr 2006 abgeschlossen.341 Um die Regelung jedoch auf eine längerfristige Basis zu stellen, wurde bereits 2007 ein neues Abkommen in Kraft gesetzt, das durch einen Briefwechsel der Parteien ergänzt wurde.342 Auf Grund des Inkrafttretens des Vertrages von Lissabon und der damit verbundenen neuen institutionellen Rolle des Europäischen Parlaments wurde schließlich 2012 ein neues Abkommen ab­ geschlossen, das eine Geltungsdauer von sieben Jahren hat.343 339 Abkommen zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des United States Department of Homeland Security, ABl. L 183 v. 20.05.2004, S. 84 f. 340 Siehe Entscheidung der Kommission vom 14.  Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, ABl. L 235 v. 06.07.2004, S. 11–22; im Anhang der Kommissionsentscheidung sind die Verpflichtungserklärungen des US Department of Homeland Security, Bureau of Customs and Border Protection (CBP) abgedruckt. 341 Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security, 16. u. 19.10.2006, ABl. L 298 v. 27.10.2006, S. 29–31; auf die übrigen Regelungs­ elemente des Abkommens von 2004 wurde Bezug genommen. 342 Siehe Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security (DHS), 23. u. 26.07.2007, ABl. L 204 v. 04.08.2007, S. 18–20 sowie Schreiben der USA an die EU, ABl. L 204 v. 04.08.2007, S. 21–24 und Schreiben der EU an die USA, ABl. L 204 v. 04.08.2007, S. 25. 343 Siehe Abkommen zwischen den Vereinigten Staaten von Amerika und der Europäischen Union über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of Homeland Security ABl. L 215 v. 11.08.2012, S. 5 ff.

344

Teil 3: Die Übermittlung von PNR-Daten in die USA 

2. Abkommen mit Australien Neben den Regelungen mit den USA bestanden zudem mit Australien Abkommen über die Übermittlung von PNR-Daten. Das erste Abkommen mit Australien wurde im Jahr 2008 von den Parteien unterzeichnet, ist jedoch nie offiziell in Kraft getreten, aber dennoch vorläufig angewandt worden. Grund für das Nicht­inkrafttreten des Abkommens war – wie beim Abkommen mit den USA von 2007 – der neue Vertrag von Lissabon, der die Zustimmung des Parlaments erforderlich machte, diese Zustimmung jedoch versagt wurde. Daher wurde ein neues Abkommen mit Australien unter Beteiligung des Parlaments ausgehandelt, das am 1. Juni 2012 in Kraft trat.344 3. Abkommen mit Kanada Das dritte Land, mit dem die EU bereits PNR-Abkommen geschlossen hat, ist Kanada. Ein erstes Abkommen wurde im Jahr 2006345 verabschiedet und – wie die anfängliche Regelungskonstruktion mit den USA – durch eine Verpflichtungserklärung346 und eine Angemessenheitsentscheidung der Kommission347 ergänzt.348 Bemerkenswert an diesem Abkommen ist, dass es neben der Übermittlung von PNRDaten auch die Übermittlung von erweiterten Fluggastdaten, also API-­Daten, regelt. Das Abkommen ist damit das einzige bisher erlassene PNR-Abkommen zwischen der EU und einem Drittland, das die Übermittlung von API-Daten explizit anordnet. Die Regelungskonstruktion aus Abkommen, Angemessenheitsentscheidung und Verpflichtungserklärung war bis 2009 offiziell in Kraft, dann lief jedoch die Angemessenheitsentscheidung der Kommission aus.349 Seitdem wird das Abkommen jedoch bis zum Inkrafttreten eines neuen Abkommens weiterhin angewandt.350 344

Siehe Abkommen zwischen der Europäischen Union und Australien über die Verarbeitung von Fluggastdatensätzen (Passenger name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an den Australian Customs and Border Protection Service, ABl. L 186 v. 14.07.2012, S. 4 ff. 345 Siehe Abkommen zwischen der Europäischen Gemeinschaft und der Regierung Kanadas über die Verarbeitung von erweiterten Fluggastdaten und Fluggastdatensätzen, ABl. L 82 v. 21.03.2006, S. 15 ff. 346 Verpflichtungserklärung der Canada Border Services Agency zur Anwendung ihres PNRProgramms, ABl. L 91 v. 29.03.2006, S. 53 ff. 347 Siehe Entscheidung der Kommission vom 6. September 2005 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche der Canada Border Services Agency übermittelt werden, ABl. L 91 v. 29.03.2006, S. 91 ff. 348 Zu den Gründen für die Ergänzung des Abkommens um Verpflichtungserklärung und Angemessenheitsentscheidung siehe am Beispiel der USA unten S. 427 f. 349 Siehe Art. 7 der Angemessenheitsentscheidung der Kommission, wonach die Geltungsdauer der Angemessenheitsentscheidung 3 Jahre und 6 Monate nach dem Tag ihrer Bekanntmachung (06.09.2005) endet. 350 So die Aussage der Kommission auf der Homepage der Generaldirektion Home, abzurufen unter http://ec.europa.eu/dgs/home-affairs/what-we-do/policies/police-cooperation/passengername-record/canada/index_en.htm (zuletzt geprüft am 15.03.2015).

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

345

Das Ablaufen der Angemessenheitsentscheidung machte Neuverhandlungen notwendig. Der Vorschlag der Kommission für ein neues Abkommen wurde verhandelt, vom Rat am 25. Juni 2014 angenommen und anschließend dem Parlament zur Zustimmung übermittelt.351 Im Gegensatz zum Vorgängerabkommen behandelt der neue Abkommensentwurf jedoch nur noch PNR-Daten und verzichtet auf eine Regelung zur Übermittlung von API-Daten. Das Parlament stimmte dem Abkommen jedoch nicht zu, sondern legte dem EuGH das Abkommen zunächst zur Prüfung vor.352 4. Mögliche Abkommen mit weiteren Drittländern Neben Abkommen mit den genannten Ländern sind weitere Abkommen mit Drittländern denkbar. Nach Aussagen der Kommission hat eine „zunehmende Zahl von Drittstaaten“ Interesse an PNR-Systemen, insbesondere die Länder Katar, Mexiko, Brasilien, Argentinien, Oman, die Vereinigten Arabischen Emirate, Saudi-Arabien, Japan und Südkorea, wobei lediglich an die USA, Kanada und Australien – „nach Wissen der Kommission“ – die Daten tatsächlich übermittelt werden.353 Neben anderen hätten  – nach Aussagen der Kommission  – Südkorea und Japan bereits die Verhandlung von Abkommen ersucht.354 Bürgerrechtsbewegungen nennen als weitere Länder, die Interesse an der Einführung von PNR-­ Systemen haben, Indien, Malaysia und Südafrika.355 Unterdessen forderte Russland auch PNR-Daten von europäischen Fluggesellschaften an. Nach einer russischen Verordnung sollten europäische Fluggesellschaften, die russisches Hoheitsgebiet überfliegen, russischen Behörden ab dem 1. Juli 2013 PNR-Daten übermitteln.356 Über die neue Regelung wurde die Kommission – nach eigenen Aussagen – im Oktober 2012 durch einen Mitgliedstaat informiert, 351 Zu dem Kommissionsvorschlag siehe den Vorschlag für einen Beschluss des Rates über die Unterzeichnung des Abkommens zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) v. 18.07.2013, COM(2013)529 final. 352 Siehe zum bisherigen Ablauf des Verfahrens und der Vorlage an den EuGH Europäisches Parlament, Press Release – MEPs refer EU-Canada air passenger data deal to the EU Court of Justice, 25.11.2014, http://www.europarl.europa.eu/pdfs/news/expert/infopress/20141121 IPR79818/20141121IPR79818_en.pdf (zuletzt geprüft am 15.03.2015) sowie Schweda, MMRAktuell 2014, 364617 und Philipp, EuZW 2015, 4. 353 Antwort der Kommission v. 09.08.2013 auf die Frage der Abgeordnenten Sophia in ’t Veld, Timothy Kirkhope, Birgit Sippel, Carmen Romero López, Axel Voss v. 31.05.2013, E-006179/ 2013. 354 Vgl. auch Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 8. 355 So Sander/unwatched.org, MEPs verzögern EU-PNR, aber EU-Russland PNR wird kommen, 24.06.2013. 356 Siehe die Anfrage derAbgeordneten Sophia in ’t Veld, Timothy Kirkhope, Birgit Sippel, Carmen Romero López, Axel Voss v. 31.05.2013 an die Kommission, E-006179–13.

346

Teil 3: Die Übermittlung von PNR-Daten in die USA 

woraufhin die Kommission die russischen Behörden zu Klarstellungszwecken kontaktierte und von ihnen forderte, schriftlich zu bestätigen, „dass der Verkehr in die und aus der EU von der Verordnung ausgenommen ist, bis eine Lösung gefunden wird, die die Grundrechte der Bürgerinnen und Bürger der EU wahrt“.357 Die Kommission gibt an, dass mehrere Anforderungen der neuen russischen Regelung „Anlass zur Besorgnis“ böten, insbesondere die Regelungen, „die Flüge über russisches Hoheitsgebiet betreffen, da nach EU-Recht keine Grundlage für eine Übermittlung derartiger Daten an Russland besteht“.358 Am 1. Juli 2013 beschloss das russische Verkehrsministerium, die Umsetzung der Regelung bis zum 1. Dezember 2013 zu verschieben.359 Neben Russland drohen auch Japan und Mexiko mit dem Entzug von Landerechten, falls PNR-Daten nicht übermittelt würden.360 V. EU-Konzepte für die Übermittlung von Fluggastdaten Die Position der EU zur Nutzung von PNR-Daten wird zudem in den EU-Konzepten deutlich, die in den Jahren 2003 und 2010 vorgestellt wurden. In diesen Konzepten werden inhaltliche Anforderungen an PNR-Abkommen mit Drittstaaten genannt, die die Kommission für wichtig erachtet sowie weitere Aspekte im Zusammenhang mit PNR-Daten behandelt. Es ist jedoch fraglich, ob die genannten Anforderungen – wie noch zu zeigen sein wird – sich tatsächlich in den Abkommen widerspiegeln. Von besonderem Interesse und bedeutend ist vor allem das Konzept von 2010. 1. EU-Konzept für die Übermittlung von Fluggastdaten 2003 Das erste EU-Konzept für die Übermittlung von Fluggastdaten legte die Kommission unter der Bezeichnung „Mitteilung der Kommission an den Rat und das Parlament – Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifen­ des EU-Konzept“ am 16. Dezember 2003 vor. Das Konzept war als eine Reaktion 357

Antwort der Kommission v. 09.08.2013 auf die Frage der Abgeordnenten Sophia in ’t Veld, Timothy Kirkhope, Birgit Sippel, Carmen Romero López, Axel Voss v. 31.05.2013, E-006179/ 2013. 358 Antwort der Kommission v. 09.08.2013 auf die Frage der Abgeordnenten Sophia in ’t Veld, Timothy Kirkhope, Birgit Sippel, Carmen Romero López, Axel Voss v. 31.05.2013, E-006179/ 2013. 359 Antwort der Kommission v. 09.08.2013 auf die Frage der Abgeordnenten Sophia in ’t Veld, Timothy Kirkhope, Birgit Sippel, Carmen Romero López, Axel Voss v. 31.05.2013, E-006179/ 2013; siehe auch Nielsen/Rettman, Russia blames EU for airline data fiasco, 11.06.2013, http:// euobserver.com/justice/120450 (zuletzt geprüft am 15.03.2015) für eine weitere Darstellung der Positionen. 360 Siehe dazu und insbesondere zu Mexiko sowie der zusätzlichen Drohung mit der Erhebung von Strafzahlungen von den Fluggesellschaften, Monroy, Fluggastdaten: Bundesregierung bereitet Änderung des Luftsicherheitsgesetzes vor, 12.01.2015.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

347

auf die Forderung der USA, Zugang zu PNR-Daten zu gewähren sowie auf erste Initiativen weiterer Staaten zu sehen, hatte aber auch den Anspruch, nicht nur lediglich reaktiv tätig zu werden, sondern auch eigene Initiativen vorzustellen.361 Die Kommission war der Ansicht, dass bei allen vorgestellten Maßnahmen die folgenden Überlegungen berücksichtigt werden müssten: „die Bekämpfung von Terrorismus und internationaler Kriminalität, das Recht auf Privatsphäre und der Schutz der bürgerlichen Grundrechte, die Notwendigkeit, dass die Fluggesellschaften in der Lage sein müssen, die verschiedenen Rechtsvorschriften zu annehmbaren Kosten einzuhalten, die generellen Beziehungen zwischen der EU und den USA, die Sicherheit und der Komfort von Fluggästen, Interessen des Grenzschutzes [und] der eindeutig internationale und sogar weltweite Umfang dieser Themen“.362 Das sektorübergreifende Konzept ging auf fünf verschiedene Aspekte ein: Zunächst setzte sich die Kommission mit der Forderung der USA nach PNR-Daten auseinander und nahm Bezug auf die erstmaligen Verhandlungen zu PNR-Daten und den erreichten Ergebnissen.363 Daraufhin wurde die Bedeutung der Information von Passagieren über die Auswertung von PNR-Daten herausgestellt.364 Ein weiteres Element des EU-Konzepts betraf die nach Ansicht der Kommission bestehende Notwendigkeit, PNR-Daten an die Behörden erst nach Filterung zu übermitteln und nicht den Zugriff auf die Daten zu erlauben (sog. Push-System).365 Des Weiteren wurde auch auf erste Ideen für die Entwicklung einer EU-Position zu PNRDaten und deren Nutzen eingegangen.366 Zudem stellte die Kommission die Bedeutung der Schaffung eines multilateralen Rahmens für die Übermittlung von PNR-Daten im Rahmen der internationalen Zivilluftfahrtorganisation ICAO heraus und kündigte entsprechende Initiativen an; die Übermittlung von PNR-Daten sei nämlich ein internationales und nicht lediglich ein bilaterales Problem.367 361

Europäische Kommission, Mitteilung der Kommission an den Rat und das Parlament: Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept, KOM(2003)826 endgültig, 16.12.2003, S. 3 f. 362 Europäische Kommission, Kommissionsmitteilung zur Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept, KOM(2003)826 endgültig, 16.12.2003, S. 4. 363 Europäische Kommission, Kommissionsmitteilung zur Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept, KOM(2003)826 endgültig, 16.12.2003, S. 5 ff.; dazu näher unten S. 413 ff. 364 Europäische Kommission, Kommissionsmitteilung zur Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept, KOM(2003)826 endgültig, 16.12.2003, S. 8. 365 Europäische Kommission, Kommissionsmitteilung zur Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept, KOM(2003)826 endgültig, 16.12.2003, S. 9. 366 Europäische Kommission, Kommissionsmitteilung zur Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept, KOM(2003)826 endgültig, 16.12.2003, S. 9 f. 367 Europäische Kommission, Kommissionsmitteilung zur Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept, KOM(2003)826 endgültig, 16.12.2003, S. 11.

348

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Schließlich ging die Kommission noch auf den Verhaltenskodex im Zusammenhang mit computergesteuerten Buchungssystemen368 und die Rolle der Systeme ein, die jedoch noch nicht abschließend geklärt werden konnte.369 Die Kommission schloss ihre Ausführungen mit einer Zusammenfassung unter nochmaliger Betonung der angesprochenen Aspekte.370 2. EU-Konzept für die Übermittlung von Fluggastdaten 2010 Am 21. September 2010 stellte die Kommission ihr neues Konzept zu zukünftigen PNR-Abkommen vor, das sie als Reaktion auf eine Entschließung des Parlaments nach Inkrafttreten des Vertrags von Lissabon angekündigt hatte. Das Konzept wurde als „Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer“ bezeichnet.371 Nach einer Einleitung ging die Kommission auf „Internationale Trends im Bereich PNR“ ein, nahm zu PNR-Daten und ihrer Verwendung Stellung und erläuterte Bedeutung sowie Auswirkung für die EU.372 Im Folgenden wurden Gründe für die Überarbeitung des sektorübergreifenden PNR-Konzepts genannt sowie Grundprinzipien, die jeder Drittstaat bei einem Abkommen mit der EU einzuhalten hat, dargestellt. Der damalige Europäische Datenschutzbeauftragte Peter Hustinx äußerte sich nach Veröffentlichung der Mitteilung in einer eigenen Stellungnahme zu dem vorgetragenen Konzept. Er begrüßte die Bereitschaft der Kommission, ihn schon während der Ausarbeitung des Konzeptes zu konsultieren und merkte positiv an, dass manche seiner Hinweise eingearbeitet worden waren, stellte zugleich aber auch klar, dass manche Aspekte des Konzepts weiterhin Bedenken in datenschutzrechtlicher Hinsicht aufweisen.373 368 Verordnung (EWG) Nr. 2299/89 des Rates vom 24. Juli 1989 über einen Verhaltenskodex im Zusammenhang mit computergesteuerten Buchungssystemen, ABl. L 220 v. 29.07.1989, S. 1 ff. 369 Europäische Kommission, Kommissionsmitteilung zur Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept, KOM(2003)826 endgültig, 16.12.2003, S. 11. 370 Europäische Kommission, Kommissionsmitteilung zur Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept, KOM(2003)826 endgültig, 16.12.2003, S. 12. 371 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010; auf Englisch wurde das Dokument als „Communication from the Commission on the global approach to transfers of Passenger Name Record (PNR) data to third countries“ bezeichnet. 372 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 4–6. 373 Siehe ausführlich, auch zu generellen positiven Bemerkungen und Kritik, Europäischer Datenschutzbeauftragter, Stellungnahme des Europäischen Datenschutzbeauftragten zu der Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, ABl. C 357 v. 30.12.2010, S. 3–11, 19.10.2010.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

349

Auch die Art.  29-Datenschutzgruppe äußerte sich in einer Stellungnahme zu dem Konzept der Kommission.374 Sie begrüßte zwar grundsätzlich das Konzept, wies jedoch darauf hin, dass der Austausch von Fluggastdaten nicht isoliert betrachtet werden sollte, sondern unter Berücksichtigung sämtlicher von Drittländern ausgewerteten Daten und Vorabkontrollen inklusive API-Daten, Kontrolllistenabgleichen oder weiterer Maßnahmen erfolgen sollte.375 Auch erinnerte die Datenschutzgruppe an ihre bisherigen Stellungnahmen und bemängelte, dass den „zahlreichen Einwänden der Datenschutzgruppe“ nicht Rechnung getragen worden sei.376 In Bezug auf das EU-Konzept ging die Datenschutzgruppe spezifisch auf einige der von der Kommission angesprochenen Aspekte ein. a) Ziele des Konzepts aa) Ausführungen der Kommission Hauptziel der Mitteilung war die erstmalige Festlegung von allgemeinen Kriterien, die als Grundlage für zukünftige Verhandlungen über PNR-Abkommen mit Drittländern dienen sollten.377 Die Kommission ging davon aus, dass diese Kriterien „bei der Anpassung an die derzeitigen Entwicklungen hilfreich sein“ würden und zudem als Unterstützung dienen könnten, ihre „externe PNR-Politik“ sowohl Drittländern als auch Mitgliedstaaten und Bürgern nahezubringen.378 Die in der Mitteilung fixierten allgemeinen Kriterien sollten bei der Aushandlung von PNR-Abkommen als Mindestkriterien beachtet werden, was nicht ausschließe, dass die Kriterien jeweils erweitert werden könnten.379 Da bis jetzt die Abkommen „je nach Bedarf und auf Einzelfallbasis“ geschlossen worden seien und trotz ge-

374 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, http://ec.europa.eu/justice/policies/privacy/ docs/wpdocs/2010/wp178_de.pdf (zuletzt geprüft am 15.03.2015). 375 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 2. 376 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 2 f. 377 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 3. 378 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 3. 379 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 3.

350

Teil 3: Die Übermittlung von PNR-Daten in die USA 

meinsamer Fragestellungen und Regelung derselben Angelegenheiten die jeweiligen Bestimmungen nicht identisch waren und somit unterschiedliche Regelungen für die Luftfahrtunternehmen und für den Datenschutz galten, sollte mit der EU-Strategie nun dem zunehmenden „Bedarf“ an PNR-Abkommen strukturiert begegnet und die Unterschiede verringert werden.380 Somit wurden mit dem EUKonzept ein „Höchstmaß an Kohärenz“ und allgemeine Standards für von Drittländern erwartete Datenschutzgarantien und Kriterien für die Datenübermittlung bezweckt.381Außerdem wurde auf übergeordnete Konzepte eingegangen, die in jedem Abkommen Berücksichtigung finden sollten. bb) Stellungnahme des EU-Datenschutzbeauftragten Der EU-Datenschutzbeauftragte kritisierte in seiner Stellungnahme grundsätzlich an PNR-Systemen, dass deren Entwicklung „eindeutig gerechtfertigt“ werden müsse und dass die reine Möglichkeit, solche Systeme vorzuhalten, nicht aus­ reiche: Es müsse die Notwendigkeit „anhand konkreter Beweise dargelegt und gestützt werden und anschließend sollte sie im Hinblick auf den Grad des Eindringens in die Privatsphäre des Einzelnen bewertet und abgewogen werden, damit der Eingriff angemessen und möglichst gering ist“.382 Dazu wurde prägnant bemerkt: „Die Verfügbarkeit der Mittel sollte nicht zur Rechtfertigung des Ziels herangezogen werden“.383 Besondere Zweifel des Datenschutzbeauftragten bezogen sich auf die Verhältnismäßigkeit in Bezug auf den „zur Risikobewertung vorgenommene[n] Massentransfer von Daten unschuldiger Personen“.384 Dies sei gerade bzgl. der präventiven Verwendung von PNR-Daten zweifelhaft, hinsichtlich der „reaktiven“ Verwendung der Daten bestünden hingegen „keine größeren Bedenken“.385 380 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 6. 381 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 8. 382 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 9 Rn. 16. 383 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 9 Rn. 16. 384 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 9 Rn. 17. 385 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 9 Rn. 17.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

351

cc) Stellungnahme der Art. 29-Datenschutzgruppe Die Art.  29-Datenschutzgruppe bemerkte kritisch, dass die Auswertung von PNR-Daten immer mehr als „notwendiges Instrument“ zur Bekämpfung von Terrorismus und schwerer Kriminalität angesehen, dies aber nicht entsprechend nachgewiesen werde: Es gebe u. a. keine objektiven Statistiken oder Nachweise, die den Wert von Fluggastdaten für die genannten Zwecke aufzeigten, somit sei es nicht möglich, „die Notwendigkeit oder die Angemessenheit des Rückgriffs auf Fluggastdaten zu Strafverfolgungszwecken eindeutig zu bewerten“.386 Daher sollte, bevor neue PNR-Systeme oder -Abkommen in Betracht gezogen werden, eine „ausführliche Analyse der Wirksamkeit der schon bestehenden Datenbanken und des bereits erfolgenden Informationsaustausches“ vorgenommen werden.387 So könnte bspw. die Übermittlung von API-Daten als ausreichend angesehen werden.388 b) Grundprinzipien zum Schutz personenbezogener Daten Um dem Schutz personenbezogener Daten gerecht zu werden, legte die Kommission nach generellen Ausführungen zur Angemessenheit Grundprinzipien fest, die von einem Drittstaat, mit dem ein PNR-Abkommen abgeschlossen werde, eingehalten werden müssten. Der EU-Datenschutzbeauftragte ging in seiner Stellungnahme auch detailliert auf die einzelnen Grundprinzipien ein und bemerkte einleitend, er begrüße „die umfangreiche Liste von Kriterien, die sich erkennbar an den Datenschutzgrundsätzen der EU orientierten und in mehrfacher Hinsicht den Schutz verstärken dürften, der in gesonderten Abkommen vorgesehen ist“.389 Neben dem Datenschutzbeauftragten begrüßte auch die Datenschutzgruppe die von der Kommission vorgestellten Grundprinzipien, legte jedoch Wert darauf, dass diese nicht nur als „bloße Wunschliste für Verhandlungen“, sondern als „Kernpunkte aller künftigen PNR-Abkommen“ betrachtet werden sollten. Zu manchen der von der Kommission aufgeworfenen Fragen nahm sie auch inhaltlich Stellung. 386 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 3 f. 387 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdaten­ sätzen (PNR) an Drittländer, WP 178, 12.11.2010, S.  4 ff. mit weiteren Ausführungen und Nachweisen. 388 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 4. 389 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 9 Rn. 22

352

Teil 3: Die Übermittlung von PNR-Daten in die USA 

aa) Angemessenheit Die Kommission bezog sich in ihrer Mitteilung zunächst allgemein auf das bekannte Kriterium der Angemessenheit des Datenschutzniveaus, das für Datenübermittlungen in Drittländer eine entscheidende Rolle spielt. (1) Ausführungen der Kommission Die Angemessenheit des Datenschutzes werde „im Lichte aller bei einer Datenübermittlung zum Tragen kommenden Umstände bewertet“ und zudem werde geprüft, „inwieweit das Drittland internationale Standards einhält bzw. ob es internationale Rechtsakte zum Datenschutz und generell zu den Menschenrechten ratifiziert hat“.390 Die in der Vergangenheit getroffenen Angemessenheitsentscheidungen würden bei der Beurteilung als Orientierung herangezogen.391 (2) Stellungnahme des EU-Datenschutzbeauftragten Der EU-Datenschutzbeauftragte wies darauf hin, dass die Verbindlichkeit von Abkommen für alle Beteiligten eindeutig festgelegt werden müsse und darüber hinaus ausdrücklich darauf hingewiesen werden sollte, dass die Abkommen direkt durchsetzbare Rechte für die Betroffenen gewährleisten müssten.392 Diese Gesichtspunkte seien „wesentlicher Bestandteil der Angemessenheitsbeurteilung“.393 (3) Stellungnahme der Art. 29-Datenschutzgruppe Die Art. 29-Datenschutzgruppe wies in ihrer Stellungnahme darauf hin, dass es sich bei den Fluggastdaten nicht um überprüfte Angaben handele und die Fluggastdaten daher auch nicht als „genaue Information“ angesehen werden könnten.394

390 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 9. 391 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 9. 392 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 9 Rn. 23. 393 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 9 Rn. 23. 394 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 7.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

353

Daher weise deren Erfassung zu Zwecken der Strafverfolgung auch Fragen in Bezug auf die Angemessenheit und die Genauigkeit auf, sodass die Notwendigkeit in einer Einzelfallbewertung nachgewiesen werden sollte.395 bb) Verwendung von Daten Das erste speziell angesprochene Kriterium war die Zweckbindung, die zunächst im Hinblick auf die Verwendung behandelt wurde. (1) Ausführungen der Kommission Die Kommission legte hinsichtlich der Verwendung von Daten die Kriterien wie folgt fest: In einem Abkommen sollte „klar und präzise“ festgelegt werden, für welche Möglichkeiten die Daten verwendet werden, dabei sollten die Möglichkeiten nicht umfassender sein als es zur Zielerreichung erforderlich sei.396 Mit Bezug auf derzeitige PNR-Abkommen wurde festgelegt, dass die PNR-Daten „einzig für Strafverfolgungs- und Sicherheitszwecke im Zusammenhang mit der Bekämpfung von Terrorismus und schwerer Kriminalität verwendet werden sollten“.397 Dabei sollten maßgebliche Begriffe wie „Terrorismus“ und „schwere Kriminalität grenzüberschreitender Art“ wie in einschlägigen EU-Rechtsakten definiert werden.398 Grundsätzlich ist die strikte Festlegung der Verwendungsmöglichkeiten von PNRDaten sehr zu begrüßen. Die Kommission spricht allein in diesem Abschnitt jedoch vier Mal von „sollten“, was auf eine gewisse Vagheit schließen lässt. Die Kommission benutzt nicht – wie noch im Einleitungssatz399 – Wörter wie „muss“400. 395

Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 7. 396 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 9. 397 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 9. 398 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 9. 399 Dort: „Der ersuchende Drittstaat muss folgende Grundprinzipien für den Schutz personenbezogener Daten einhalten“, Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 9 (Hervorhebung durch den Autor). 400 In der englischen und französischen Fassung der Kommissionsmitteilung wird jedoch sowohl im Einleitungssatz als auch in den Grundprinzipien von „should“ bzw. „devrait“ gesprochen, siehe die jeweiligen Fassungen Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 8 bzw. 9.

354

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Durch den Gebrauch des Wortes „sollte“ wird verdeutlicht, dass die Voraussetzungen der strikten Verwendungsmöglichkeit nicht unabdingbar sind. Die Intention der Kommission und das Bewusstsein für die Zweckbindung werden aber dennoch verdeutlicht. Der Gebrauch des Wortes „sollten“ kann jedoch auch dem Kontext von völkerrechtlichen Verträgen geschuldet sein, die immer das Ergebnis von Kompromissen sind und eine gewisse Flexibilität besteht. Es ist dahingehend zu berücksichtigen, dass die USA bereits Abkommen in Bezug auf die Verwendungsmöglichkeiten  – wie noch zu zeigen sein wird  – einseitig abgeändert haben.401 Die Kommission sollte die Begrenzung der Verwendungsmöglichkeiten einfordern und die Position der EU klar herausstellen. Im Hinblick darauf, dass ein gescheitertes Abkommen „kein Abkommen“ bedeutet und somit auch ein deutlich abgeschwächter Schutz von personenbezogenen Daten bestehen würde, wird die strenge Zweckbegrenzung – obwohl wünschenswert – nicht vollumfänglich durchzusetzen sein. Ein klares Bekenntnis dazu wäre jedoch zu begrüßen. (2) Stellungnahme des EU-Datenschutzbeauftragten Der EU-Datenschutzbeauftragte kritisierte die von der Kommission gewählte Formulierung, „da sie zu der Einschätzung verleiten könnte, dass künftige Abkommen sich nicht exakt auf diese Definitionen stützten, sondern nur an ihnen orientieren“ würden und zudem, dass die Begriffe „ Terrorismus“ und „schwere Kriminalität grenzüberschreitender Art“ genau definiert und die EU-Rechtsakte, auf die verweisen werde, genau bezeichnet werden sollten.402 Des Weiteren sollten die einzelnen Straftaten, bevor sie im PNR-System Berücksichtigung fänden, zunächst auf ihre Notwendigkeit und Verhältnismäßigkeit überprüft werden.403 cc) Umfang der Daten Das Kriterium der Zweckbindung wurde zudem im Hinblick auf den Umfang der Daten behandelt.

401

Siehe dazu unten S. 457 f. Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 9 Rn. 24. 403 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 9 Rn. 24. 402

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

355

(1) Ausführungen der Kommission Hinsichtlich des Umfangs der Daten führte die Kommission aus, dass eine Beschränkung des Datenaustausches „auf das Mindestmaß“ sowie die Einhaltung des Verhältnismäßigkeitsgrundsatzes festgelegt werden sollte.404 Zudem sollten die „Kategorien der zu übermittelnden PNR-Daten“ abschließend genannt werden.405 Auch hier ist wiederum eine gewisse Vagheit in der Wortwahl der Kommission zu erkennen. Zudem wird hinsichtlich des Umfangs der Daten von „Mindestmaß“ gesprochen, was ebenfalls auslegungsbedürftig ist und kein klares Bekenntnis zu einer bestimmten Anzahl an Daten erkennen lässt. Zu begrüßen ist die Festschreibung des Verhältnismäßigkeitsgrundsatzes, die jedoch auch vom geltenden Datenschutzrecht in der EU gefordert wird. Der Bezug auf eine erschöpfende Aufzählung der Kategorien von PNR-Daten ist grundsätzlich wünschenswert, es bleibt jedoch zu berücksichtigen, dass PNR-Kategorien in der Vergangenheit zusammengelegt worden sind und es bei den PNR-Kategorien auch ein sogenanntes „Freifeld“ gibt, das mit zusätzlichen, nicht vorher festgelegten Informationen, gefüllt werden kann.406 Eine Möglichkeit wäre, das „Freifeld“ durch die jeweiligen Abkommen nicht in die zu übermittelnden Kategorien einzubeziehen. (2) Stellungnahme des EU-Datenschutzbeauftragten Der EU-Datenschutzbeauftragte sprach sich in seiner Stellungnahme für eine „gemeinsame und abschließende Auflistung von Datenkategorien in Übereinstimmung mit dem Zweck des Datenaustauschs“ aus, um eine Uneinheitlichkeit der Abkommen sowie die Einbeziehung von unangemessenen Datenkategorien zu verhindern.407

404 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 9. 405 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 9. 406 Siehe dazu Art.  29-Datenschutzgruppe, Stellungnahme 5/2007 zum Folgeabkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika vom Juli 2007 über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security, WP 138, 17.08.2007, S. 10, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/ 2007/wp138_de.pdf (zuletzt geprüft am 15.03.2015); in der Liste fehlte das Datenelement „go show information“ (Informationen über Fluggäste mit Flugschein, jedoch ohne Reservierung). 407 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 25.

356

Teil 3: Die Übermittlung von PNR-Daten in die USA 

dd) Sensible Daten (1) Ausführungen der Kommission Bei Fluggastdaten, aus denen Rückschlüsse auf „die Rasse oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit“ gezogen werden können, sowie „Daten über Gesundheit oder Sexualleben“ sei eine Verwendung verboten („dürfen nicht“) oder „nur unter außergewöhnlichen Umständen“ wie bei unmittelbarer Lebensgefahr oder bei Vorsehen angemessener Sicherheitsvorkehrungen (wie Verwendung auf Einzelfallbasis, nach Genehmigung durch einen hohen Beamten oder unter strenger Zweckbegrenzung) erlaubt.408 Gerade bei sensiblen Daten ist eine Verwendung durch die Sicherheitsbehörden problematisch. Obwohl von der Kommission erst dargestellt wird, dass solche Daten nicht verwendet werden dürfen, erfolgt sogleich eine Einschränkung, wie „unter außergewöhnlichen Umständen“ eine Verarbeitung dennoch erfolgen darf. Problematisch ist vor allem, dass PNR-­Daten relativ schnell Rückschlüsse auf die oben genannten Kategorien wie bspw. religiöse Überzeugung oder Gesundheit erlauben. Allein das Bestellen bspw. eines koscheren Essens oder eines Rollstuhls reicht dafür bereits aus. Dass diese Daten „nur unter außergewöhnlichen Umständen“ verwendet werden oder nur „nach Genehmigung durch einen hohen Beamten“, ist zumindest nicht nachvollziehbar. Die von der Kommission genannten Sicherheiten sind wenig aussagekräftig, da geklärt werden müsste, wie eine Auswertung auf Einzelfallbasis umgesetzt würde, zudem ab wann ein Beamter, der zur Genehmigung befugt ist, als „hoher Beamter“ gilt. Wenn zudem „nicht-sensible“ Daten nur für vorher bestimmte Zwecke verarbeitet werden dürfen, muss dies erst recht für sensible Daten gelten. (2) Stellungnahme des EU-Datenschutzbeauftragten Der Europäische Datenschutzbeauftragte drückte sein Bedauern darüber aus, dass der Bezug auf den Gebrauch der sensiblen Daten in Ausnahmefällen überhaupt aufgenommen worden sei und meinte, die Ausnahmen seien zu weit gefasst und böten keine Garantien.409 Zudem sollte u. a. die Zweckbindung hinsichtlich aller Daten und nicht nur bei sensiblen Daten gelten und als allgemeiner Grundsatz angewandt werden.410 Er führte aus, das Schutzniveau aller PNR-Modelle orientiere sich am Modell mit den geringsten und nicht an dem mit den strengsten da 408 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 9 f. 409 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 26. 410 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 26.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

357

tenschutzrechtlichen Anforderungen, weshalb die „Verarbeitung sensibler Daten prinzipiell vollständig ausgeschlossen“ werden sollte.411 (3) Stellungnahme der Art. 29-Datenschutzgruppe Die Art. 29-Datenschutzgruppe sprach sich in ihrer Stellungnahme für die Filterung von sensiblen Daten durch die Fluggesellschaften als die für die Verarbeitung Verantwortlichen aus, bevor die Daten an die Strafverfolgungsbehörden weiter­ geleitet werden sollten.412 Sollte dies jedoch aus technischen Gründen nicht möglich sein, forderte die Datenschutzgruppe die Zwischenschaltung eines Filtermechanismus, sodass die Behörden nur Zugriff auf die gefilterten Daten erhielten. Ein solcher Vorschlag ist äußerst unterstützenswert, da somit eine Verarbeitung sensibler Daten durch die Sicherheitsbehörden nicht mehr möglich ist. ee) Datensicherheit (1) Ausführungen der Kommission In Bezug auf die Datensicherheit wurde ein Schutz vor Risiken für die „Sicherheit, Vertraulichkeit oder Integrität der Daten“ proklamiert, der mit „angemessenen technischen Mitteln“ und Verfahren gegen „Missbrauch und unrechtmäßigen Zugriff“ gewährleistet werden sollte.413 Eine klare Stellungnahme zur Datensicherheit ist hier erfolgt. Es wird zwar nicht bestimmt, „was mit angemessenen technischen Mitteln“ gemeint ist, dennoch bleibt das Bekenntnis zum Schutz der Daten gegen Missbrauch erkennbar. Ein solcher sollte aber – gerade vor dem Hintergrund der Bedeutung des Datenschutzes in Europa – selbstverständlich sein und bei Verhandlungen zu PNR-Abkommen bestmöglich berücksichtigt werden. (2) Stellungnahme des EU-Datenschutzbeauftragten Der EU-Datenschutzbeauftragte bezeichnete die hier vorgenommene Verpflichtung zur Sicherheitsgewährleistung als „zufriedenstellend“, mochte diese jedoch zur Erhöhung der Verantwortung für eine sichere Datenverarbeitung um eine „Ver 411

Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 27. 412 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 7. 413 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 10.

358

Teil 3: Die Übermittlung von PNR-Daten in die USA 

pflichtung zur gegenseitigen Meldung von Sicherheitsverletzungen“ ergänzen: Diese Maßnahme würde dazu führen, dass die andere Partei des Abkommens über eine rechtswidrige Offenlegung der Daten informiert werde.414 ff) Beaufsichtigung und Rechenschaft (1) Ausführungen der Kommission Eine „unabhängige Datenschutzbehörde“ sollte – nach den Ausführungen der Kommission  – die Aufsicht über Behörden übernehmen, die Fluggastdaten verwenden und dabei mit konkreten „Eingriffs- und Durchsetzungsbefugnissen“ ausgestattet sein.415 Die Behörden, die Fluggastdaten verwenden, müssten die bestehenden Datenschutzvorschriften einhalten und zudem zur Anhörung von Beschwerden berechtigt sein, die im Zusammenhang mit der Verarbeitung von Passagierdaten stehen.416 Der von der Kommission vorgenommene Bezug auf eine „Anhörung von Beschwerden Einzelner“ ist wichtig und sollte bestenfalls noch über dieses Erfordernis hinausgehen und einen Hinweis auf einen Berichtigungsanspruch enthalten. Das Bekenntnis zu einer unabhängigen Datenschutzbehörde ist  – nach der bestehenden Rechtsprechung des EuGH417  – essentiell. Eine unabhängige Aufsicht, wie sie in der EU besteht, müsste somit in Verhandlungen konsequenterweise für die EU unabdingbar sein und in Abkommen durchgesetzt werden. Jedoch ist zu berücksichtigen, dass dieses Erfordernis sehr weit in das nationale Recht der Drittstaaten eingreift und damit Forderungen nach einer Institution angestrebt werden, die in dieser Weise in Drittländern nicht existiert. Bei konsequenter Einforderung dieses essentiellen Kriteriums des EU-Datenschutzrecht könnten somit kaum Verträge mit Drittländern geschlossen werden, was auch nicht im Interesse der EU ist. Es sollte daher zumindest auf die gewünschte Unabhängigkeit der Aufsicht hingewirkt werden. Wichtiger ist die tatsächliche Wirksamkeit einer Aufsicht. Wenn wirksame Aufsichtsstrukturen durchgesetzt werden können, die Unabhängigkeit der Aufsichtsbehörde aber nicht vollständig gewährleistet ist, könnte dies auch ein akzeptabler Weg bzw. eine realistischere Lösung im Rahmen von völkerrechtlichen Verträgen sein. Am Beispiel der unabhängigen Datenschutzbehörde wird die Bedeutung des Kriteriums der 414 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 27. 415 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 10. 416 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 10. 417 Siehe EuGH, Urt. v. 09.03.2010, Rs. C-518/07, Slg. 2010, I-1885.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

359

Angemessenheit erneut offensichtlich. Einerseits gibt es Essentialia, die für das EU-Datenschutzrecht eigentlich unabdingbar sind und zwingend berücksichtigt werden müssten; andererseits erlaubt das Kriterium der Angemessenheit mittlerweile eine gewisse Flexibilität.418 (2) Stellungnahme des EU-Datenschutzbeauftragten Der EU-Datenschutzbeauftragte unterstützte das vorgeschlagene Beaufsichtigungssystem sowie das Recht jeder Person auf einen wirksamen Rechtsbehelf bei Gerichten und Behörden.419 gg) Transparenz und Bekanntmachung Ein weiterer Aspekt, der nach Ansicht der Kommission in PNR-Abkommen festgeschrieben werden muss, ist die Aufklärung der Passagiere darüber, „welchem Zweck die Verarbeitung der personenbezogenen Daten dient, wer die Daten verarbeitet, nach welchen Regeln oder Gesetzen dies geschieht, gegenüber welchen Dritten die Daten offengelegt werden, und wie und bei welcher Stelle ein Rechtsbehelf eingelegt werden kann“.420 Diese Voraussetzungen zu Transparenz und Bekanntmachung scheinen relativ leicht durchsetzbar zu sein. So sollte durch dieses Erfordernis tatsächlich jeder Passagier bei einem Ticketkauf darüber informiert werden, dass und wohin die Daten weitergegeben werden. Dabei ist zu fordern, dass dies in einer Weise geschieht, die klar, verständlich und vor allem öffentlich einfach zugänglich ist. Da die Tatsache, dass die Daten weitergegeben werden, nicht geheim ist, sollte die Benachrichtigung der Passagiere nach den genannten Kriterien erfolgen. hh) Zugriff, Berichtigung und Löschung der Daten (1) Ausführungen der Kommission Die Kommission führte zudem aus, dass jede Person Zugang zu den über sie erhobenen Passagierdaten und „gegebenenfalls“ das Recht auf Berichtigung oder

418

Siehe dazu oben S. 97 ff. Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 28. 420 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 10. 419

360

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Löschung dieser Daten erhalten sollte.421 Abgesehen von der essentiellen Bestimmung zum Zugang zu eigenen Daten ist fraglich, was mit dem Ausdruck „gegebenenfalls“ in Bezug auf Berichtigung oder Löschung der Daten gemeint ist. Sollte „gegebenenfalls“ so verstanden werden, dass dieses Recht davon abhängt, ob die EU es bei Verhandlungen mit Drittländern durchsetzen und zum Gegenstand der Zusicherungen machen kann, kommt der hier erfolgten Mitteilung zum Zugang zu den Daten keine wirkliche Bedeutung zu. Sollte „gegebenenfalls“ so verstanden werden, dass eine Berichtigung oder Löschung nur „gegebenenfalls“ für den Fall in Frage kommt, dass ein Fehler aufgedeckt wird, ist die Aussagekraft umso geringer: Die Berichtigung oder Löschung kann dann nicht zugesichert werden. (2) Stellungnahme des EU-Datenschutzbeauftragten Der EU-Datenschutzbeauftragte begrüßte, dass in Bezug auf die Zugriffsrechte keine Beschränkungen eingeführt werden sollten und forderte, dass im Falle einer ausnahmsweise erforderlichen Beschränkung „ihr genauer Umfang und die notwendigen Garantien, einschließlich eines mittelbaren Zugriffsrechts, ausdrücklich in den Kriterien festgelegt werden“ sollten.422 ii) Rechtsbehelf Zudem müsse – so die Kommission – Personen bei Verletzung der Privatsphäre oder bei Nichteinhalten von Datenschutzbestimmungen das „Recht auf wirksamen Rechtsbehelf bei Gerichten oder Behörden ohne Diskriminierung aufgrund der Staatsangehörigkeit oder des Wohnsitzes“ eingeräumt werden.423 Die Rechtsbehelfe und Sanktionen müssten zudem wirksam und angemessen sein.424 Das Recht auf einen wirksamen und angemessenen Rechtsbehelf sollte Gegenstand jedes PNR-Abkommens werden. Ausreichend ist jedoch nicht nur das formale Festschreiben eines solchen Rechts; es muss vor allem auf die tatsächliche Durchsetzbarkeit geachtet und auf diese hingearbeitet werden.

421 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 10. 422 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 28. 423 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 10. 424 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 10.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

361

jj) Automatisierte Einzelentscheidungen Eine weitere Voraussetzung, die – wie die Kommission ausführt – in PNR-Abkommen verankert werden müsse, sei, dass „Entscheidungen, die für eine Person nachteilige Handlungen oder Auswirkungen nach sich ziehen können […], nicht ausschließlich auf eine automatisierte, ohne menschliches Zutun erfolgende Verarbeitung personenbezogener Daten“ gegründet werden dürfen.425 Fraglich ist bei dieser Aussage der Kommission zunächst, was mit „Handlungen und Auswirkungen“ gemeint ist, die für eine Person nachteilig sein könnten. Wenn damit bereits die Kontrolle einer Person am Flughafen auf Grund einer Auswertung von PNRDaten gemeint ist, würde die Aussage der Kommission einen Aussagegehalt mit sich bringen, der im Kontrast zur eigentlichen Funktion von PNR-Daten steht. Die Auswertung von PNR-Daten erfolgt zunächst immer durch eine solche „automatisierte, ohne menschliches Zutun erfolgende Verarbeitung“. Diese automatisierte Auswertung wird bspw. bei der Nutzung in Echtzeit426 als Vorteil dafür angeführt, sich nicht von Indikatoren wie Hautfarbe oder Staatsangehörigkeit leiten zu lassen, die von Behörden fälschlicherweise mit Sicherheitsrisiken in Verbindung gebracht werden.427 PNR-Daten-Auswertung ist somit zunächst vollautomatisierte Auswertung von Daten. Die Aussage der Kommission ist daher so zu verstehen, dass nach Auswahl der zu überprüfenden Personen, die durch die automatisierte PNR-Daten-Auswertung erfolgt, die eigentlich Entscheidung, einen ausgewählten Passagier auch tatsächlich zu kontrollieren, immer noch einem Sicherheitsbeamten zu überlassen ist. kk) Vorhaltezeiten (1) Ausführungen der Kommission Ein essentieller Aspekt jedes PNR-Abkommens und immer wieder Gegenstand von Diskussionen ist die Länge der Vorhaltezeit.428 In PNR-Abkommen sollte nach der Mitteilung der Kommission die Vorhaltezeit von PNR-Daten „nicht länger als für die festgelegten Aufgaben erforderlich“ sein und dabei die „verschiedenen Arten der Verwendung von PNR-Daten429 […] und die Möglichkeit der 425 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 10. 426 Siehe dazu oben S. 289. 427 Siehe bspw. Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 6. 428 Siehe insbesondere die Erklärungen der Art. 29-Datenschutzgruppe und der Entschließungen des Europäischen Parlaments zu den bisher ergangenen Abkommen. 429 Damit gemeint ist wohl die reaktive Verwendung von Daten, die Verwendung von Daten in Echtzeit sowie die proaktive Verwendung von Daten; siehe dazu ausführlich Europäische­

362

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Beschränkung von Zugangsrechten während der Vorhaltezeit430 berücksichtigt werden“.431 Die von der Kommission genannten „festgelegten Aufgaben“ sind – obwohl begrenzt auf die Bekämpfung von Terrorismus und schweren Straftaten – oftmals sehr umfangreich, da sich viele Sachverhalte unter diese Begriffe subsumieren lassen. Auf Grund der vielseitigen Verwendungsmöglichkeiten von PNR-Daten in reaktiver und proaktiver Weise sowie der Verwendung in Echtzeit,432 ist die Zeitspanne, in der die Daten zu Erkenntnissen herangezogen werden können, sehr weit. Daher ist die Prämisse einer Vorhaltezeit „nicht länger als für die festgelegten Aufgaben erforderlich“ nicht sehr aussagekräftig. Das grundsätzlich erkennbare Bekenntnis zu einer Beschränkung ist jedoch zu befürworten. (2) Stellungnahme des EU-Datenschutzbeauftragten Nach Ansicht des Europäischen Datenschutzbeauftragten müssen die erhobenen Daten grundsätzlich gelöscht werden, „wenn die Kontrollen, die anlässlich der Datenübermittlung durchgeführt wurden, keine Zwangsmaßnahmen ausgelöst haben“.433 Sollte die „nationale Situation eine beschränkte Speicherungsfrist rechtfertigen“, müsse jedoch eine maximale Speicherungsfrist in den Kriterien festgelegt werden.434 Des Weiteren sprach sich der Datenschutzbeauftragte für den „Grundsatz der Beschränkung von zeitlichen Zugangsrechten von Beamten“ sowie für die „schrittweise Anonymisierung von Daten als Verpflichtung“ aus.435 (3) Stellungnahme der Art. 29-Datenschutzgruppe Die Art.  29-Datenschutzgruppe sprach sich für angemessene und verhältnis­ mäßige Vorhaltezeiten aus: So sollten die Daten im Normalfall unmittelbar nach ihrer Analyse gelöscht werden.436 Wenn die Analyse jedoch eine Untersuchung Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 5 sowie oben S. 287 ff. 430 Beispielhaft genannt wird dabei die „schrittweise Anonymisierung von Daten“. 431 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 10. 432 Zu den Verwendungsmöglichkeiten siehe genauer oben S. 287 ff. 433 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 30. 434 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 30. 435 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 30. 436 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 7.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

363

in Bezug auf einen bestimmten Fluggast auslöse, sollten die Daten „so lange in den betreffenden Akten aufbewahrt werden dürfen, wie es für die laufende Untersuchung erforderlich ist, und dies nach Maßgabe eines geltenden verfahrensrechtlichen Rahmens, der geeignete Garantien für die Sicherheit und die Unversehrtheit der personenbezogenen Daten einschließt“.437 Daraufhin sollte auch eine Löschung aus der Originaldatenbank erfolgen.438 Schließlich sprach sich die Datenschutzgruppe auch dafür aus, in allen zukünftigen PNR-Abkommen die gleiche maximale Vorhaltezeit vorzusehen und sicherzustellen, dass die Vorhaltezeit „nicht länger als nötig“ sein sollte.439 ll) Weiterübermittlung an andere Behörden (1) Ausführungen der Kommission In Bezug auf die Weiterübermittlung der Passagierdaten wurde verdeutlicht, dass diese „nur solchen anderen Behörden gegenüber offengelegt werden dürfen, die über Befugnisse im Kampf gegen den Terrorismus und schwere Kriminalität grenzüberschreitender Art verfügen und die sich gegenüber der Empfängerbehörde verpflichten, denselben Schutz zu gewähren wie die Regierungsstelle, die gemäß dem Abkommen die Empfängerbehörde ist“.440 Zudem solle eine pauschale Übermittlung verhindert und stattdessen nur im Einzelfall durchgeführt werden.441 Dass eine pauschale Übermittlung nicht erfolgen darf, folgt bereits aus der Tat­sache, dass sensible Daten erhoben werden und wie mit diesen umgegangen wird. Hinsichtlich der Weiterübermittlung an andere Behörden scheint es schwierig zu sein, die Einhaltung der Verpflichtung zu Verarbeitungsbeschränkungen, die gegenüber der Ursprungsempfängerbehörden zu erfolgen haben, nachzuprüfen, einzufordern bzw. durchzusetzen. Wie anhand eines Schreibens von US-Seite im Rahmen des PNR-Abkommens von 2006 zu zeigen sein wird, ist eine Änderung der Empfängerbehörde durch eine modifizierte nationale Regelung zumin 437 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 7. 438 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 7. 439 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 7. 440 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 10. 441 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 10.

364

Teil 3: Die Übermittlung von PNR-Daten in die USA 

dest denkbar.442 Eine tatsächliche Durchsetzung dieses Teils der Mitteilung kann somit angestrebt werden, sagt jedoch noch nichts über den tatsächlichen Erfolg der Maßnahme aus. Auf diesen kommt es aber letztendlich an. (2) Stellungnahme des EU-Datenschutzbeauftragten In Bezug auf die Datenübermittlung an andere Behörden betonte der Datenschutzbeauftragte lediglich, dass er die Beschränkung der Datenübermittlung auf Einzelfälle begrüße und machte weitere Ausführungen bzgl. der Weiterübermittlung an Drittländer.443 mm) Weiterübermittlung an Drittländer (1) Ausführungen der Kommission Als letztes Kriterium wurde von der Kommission die Beschränkung der Weiterübermittlung an Drittländer aufgeführt und zwar mit dem Ziel, zu verhindern, dass Abkommen umgangen werden.444 Dabei seien angemessene Sicherheitsvorkehrungen zu treffen; so solle ein Drittland, mit dem ein Abkommen bestehe, „Informationen an eine zuständige Behörde eines anderen Drittlands nur dann übermitteln, wenn dieses andere Drittland sich verpflichtet, bei der Verarbeitung der Daten dasselbe Maß an Schutz zu gewährleisten, wie im Abkommen vereinbart, und wenn die Weiterübermittlung auf den Zweck der Erstübermittlung beschränkt bleibt“ und zudem die Daten „niemals pauschal, sondern nur auf Einzelfallbasis offengelegt werden“.445 Dass eine pauschale Übermittlung nicht erfolgen darf, folgt bereits aus der Tatsache, dass auch sensible Daten erhoben werden. Die vorgesehenen Sicherheiten werden jedoch schwer durchzusetzen sein, da die Übertragung in ein Drittland wiederum bilateralen Verhandlungen zwischen dem Abkommenspartner und einem weiteren Drittland unterliegt. Das Problem besteht vor allem darin, die Kontrolle über den Vorgang der Weiterübermittlung zu behalten bzw. überhaupt erst zu haben. Wenn sich Daten in einem Drittland befinden, ist der Einfluss der EU auf deren Verarbeitung nur noch sehr gering. Zwar wäre es wünschenswert, eine solche Verpflichtung in die Abkommen aufzunehmen, wie dies in der Praxis umgesetzt wird, ist jedoch fraglich. 442

Siehe dazu unten S. 457. Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 29. 444 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 11. 445 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 11. 443

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

365

(2) Stellungnahme des EU-Datenschutzbeauftragten Der EU-Datenschutzbeauftragte begrüßte – wie bei der Datenübermittlung an andere Behörden  –, dass die Datenübermittlung auf Einzelfälle beschränkt sein soll, forderte aber zusätzlich „die Zweckbindung, die für die Übermittlung an Drittländer gilt, auch für die Übermittlung innerhalb des Drittlands an andere Behörden“ auszuweiten.446 Mit dieser Maßnahme könne verhindert werden, „dass PNR-Daten für andere Zwecke weiterverwendet oder mit Informationen, die für andere Zwecke verarbeitet wurden, abgeglichen werden“ und zudem der Gefahr entgegengewirkt werden, dass mit den Daten eine sogenannte „Gegenprüfung“ durchgeführt werde.447 Eine „Gegenprüfung“ erfolge durch einen Abgleich mit Informationen, die aus anderen Datenbanken wie bspw. ESTA in den USA stammen; dieser solle durch eine klare Beschränkung zur Verhinderung eines unangemessenen Datenabgleichs entgegengewirkt werden.448 (3) Stellungnahme der Art. 29-Datenschutzgruppe Die Art.  29-Datenschutzgruppe kritisierte die Ausführungen der Kommission als „nicht besonders klar“, erklärte sich aber mit den Ausführungen inhaltlich einverstanden, würde diese aber noch weiter begrenzen.449 Die Datenschutzgruppe sprach sich für die Geltung des Zweckbegrenzungsgrundsatzes aus, forderte, die Empfangsbehörde auch nach Weiterübermittlung weiterhin als „für die Verarbeitung Verantwortlicher“ anzusehen und sprach sich u. a. auch für eine abschließende Liste der empfangsberechtigten Stellen aus. Es solle zudem das Prinzip der „Zweckbegrenzung“ gelten und die Verwendung der Daten „zu keinem anderen Zweck als der Bekämpfung von schweren grenzüberschreitenden Straftaten und terroristischen Handlungen“ erfolgen.450 Der Ansatz der Datenschutzgruppe, die Verantwortlichkeit auch nach einer Datenübermittlung bestehen zu lassen, ist ein 446

Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 29. 447 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 29. 448 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 29; eine Gegenprüfung wäre beispielsweise durch die bei Bezahlung der ESTA-Gebühren erhobenen Kreditkarteninformationen möglich. 449 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 8. 450 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 8.

366

Teil 3: Die Übermittlung von PNR-Daten in die USA 

bemerkenswerter Ansatz und würde möglichweise die Weiterübermittlung tatsächlich nur nach genauer Prüfung nach sich ziehen. Um jedoch eine Übermittlung von bestimmten Datenarten zu verhindern und sich nicht auf Zusicherungen verlassen zu müssen, könnte – wie bereits von der Datenschutzgruppe vorgeschlagen – eine Filterung bereits vor der ersten Datenübermittlung durch die Fluggesellschaften als verantwortliche Stelle in Erwägung gezogen werden. c) Grundprinzipien in Bezug auf Übermittlungsmodalitäten Neben den in PNR-Abkommen zu berücksichtigenden Prinzipien zum Schutz personenbezogener Daten äußerte sich die Kommission auch zu den Übermittlungsmodalitäten von PNR-Daten und erklärte, diese Regeln „einfach zu gestalten“.451 Sie tat dies, um den Fluggesellschaften „Rechtssicherheit zu bieten und ihre finanzielle Belastung so gering wie möglich zu halten“.452 Aus diesem Grund sollten die Verpflichtungen bzgl. der Übermittlungsmodalitäten einheitlich für alle Abkommen gelten, wodurch gerade die finanziellen Belastungen verringert würden, die durch Investitionen zur Erfüllung der Verpflichtungen entstehen.453 Daher sollte „mindestens eine der folgenden Übermittlungsmodalitäten“ (Art der Übermittlung, Häufigkeit der Übermittlung, keine Verpflichtung der Fluggesellschaften zur Erhebung zusätzlicher Daten) zum Standard werden.454 Neben der explizit bezweckten Einheitlichkeit und Verringerung der finanziellen Belastung für die Fluggesellschaften, können die genannten Übermittlungsmodalitäten als zusätzliche Garantie zum Schutz personenbezogener Daten verstanden werden. Fraglich ist jedoch, warum sich die Kommission darauf beschränkt, „mindestens eine“ der genannten Übermittlungspraktiken zu standardisieren. Grundsätzlich sind verlässliche standardisierte Übermittlungspraktiken zu befürworten. Die Fragen der Art, der Häufigkeit und der Quantität sollten jedoch kumulativ und nicht alternativ berücksichtigt werden, und somit sollte nicht nur eine der genannten Modalitäten zum Standard erhoben werden.

451 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 11. 452 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 11. 453 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 11. 454 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 11.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

367

aa) Art der Übermittlung (1) Ausführungen der Kommission Hinsichtlich der Art der Übermittlung bekannte sich die Kommission zur Befolgung des Push-Systems und bezog sich dabei auch auf den Datenschutz und die Kontrolle über die Daten.455 Das eindeutige Bekenntnis zum Push-System ist zu befürworten. Eine Festschreibung als zwingende Übermittlungsmodalität erfolgte jedoch nicht. Zur effizienten Kontrolle über die Passagierdaten, wäre es zu begrüfßen gewesen, das Push-System nicht zur Disposition zu stellen. Denn gerade durch ausschließlich aktive Weitergabe können bestimmte Sicherheitsvorkehrungen durchgesetzt werden, die mit Hilfe des Pull-Systems leicht überwunden werden könnten. (2) Stellungnahme des EU-Datenschutzbeauftragten Der Europäische Datenschutzbeauftragte begrüßte die vorgeschlagene Übermittlung durch das Push-System, forderte jedoch Garantien, um sicherzustellen, dass dieses das einzige verwendete System sei.456 Es wurde zudem darauf hingewiesen, dass im Hinblick auf „US PNR“ trotz der Verpflichtungen in den Abkommen weiterhin – im Abkommen von 2007 – auf das Pull-Verfahren zurückgegriffen werde und die Behörden neben dem Push-System durch computergestützte Buchungssysteme einen „umfassenderen Zugriff auf PNR-Daten“ hätten.457 Solchen Umgehungen des Push-Systems sollte daher mit rechtlichen sowie technischen Maßnahmen begegnet werden.458 (3) Stellungnahme der Art. 29-Datenschutzgruppe Auch die Art.  29-Datenschutzgruppe begrüßte die von der Kommission vorgeschlagene Beschränkung auf das Push-System, schlug jedoch vor, auch über andere, „datenschutzfreundliche“ Übermittlungsverfahren nachzudenken.459 Die Da 455 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 11. 456 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 31. 457 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 31. 458 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 31. 459 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 7.

368

Teil 3: Die Übermittlung von PNR-Daten in die USA 

tenschutzgruppe schlug ein Übermittlungssystem vor, „bei dem Daten nur dann gespeichert bzw. vorgehalten werden, wenn sie für eine Warnung oder für eine Untersuchung verwendet werden, sodass tatsächlich nur für notwendig erachtete Daten an Strafverfolgungsbehörden übermittelt werden“, und legte zudem Wert darauf, dass dieses System auch „mit den neuesten Sicherheitsvorkehrungen einschließlich Zugriffsprotokollen ausgestattet“ sein müsste.460 Der Vorschlag der Art. 29-Datenschutzgruppe ist wünschenswert. Jedoch ist es sehr fraglich, ob ein solches System bei Verhandlungen insbesondere mit den USA durchgesetzt werden könnte, widerspricht es – wie noch zu zeigen sein wird – doch jeglichen von den USA angewandten Auswertungssystemen. bb) Häufigkeit der Übermittlung (1) Ausführungen der Kommission Zudem befürwortete die Kommission, die Übermittlung der Passagierdaten „auf ein vertretbares Maß“ zu beschränken, „durch das ein angemessener Sicherheitsgewinn erreicht wird und gleichzeitig die Kosten der Fluggesellschaften auf ein Minimum begrenzt werden“.461 Die Kommission sprach sich somit nicht für ein Minimum bzgl. der Frequenz der Übermittlungen aus, sondern bezog sich „auf eine vertretbares Maß“. Was unter „vertretbares Maß“ verstanden wird, bleibt somit voll und ganz den jeweiligen Verhandlungen zu einem Abkommen überlassen. Was jedoch auf ein „Minimum“ begrenzt werden soll, sind die „Kosten der Fluggesellschaften“. Es ist fraglich, ob es notwendig ist, hier ein klares Bekenntnis zur Frequenz der Übermittlung zu geben. Im Ergebnis könnte es tatsächlich eine reine Kostenfrage sein, ob die Daten häufig in kleineren Paketen oder weniger häufig in größeren Paketen übertragen werden. Einfluss könnte die Frequenz der Datenübermittlung aber auf die Verwendungsmöglichkeiten der PNR-Daten haben, da nur eine sofortige Übermittlung der Daten eine reaktive, eine proaktive Bearbeitung sowie eine Bearbeitung in Echtzeit erlaubt. Bei Verzicht auf eine sofortige Übermittlung wäre die Bearbeitung der Daten in Echtzeit nicht zu erreichen. Es ist schwer vorstellbar, dass hier die Kosten der Übermittlung den Sicherheitserwägungen gegenübergestellt werden sollen.

460 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 7. 461 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 11.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

369

(2) Stellungnahme des EU-Datenschutzbeauftragten Der EU-Datenschutzbeauftragte sprach sich für eine Definition der Häufigkeit der Übermittlung („vertretbares Maß“) sowie eine Höchstzahl an Übermittlungen aus, wobei sich an dem PNR-System mit den strengsten Datenschutzbestimmungen orientiert werden sollte.462 (3) Stellungnahme der Art. 29-Datenschutzgruppe Die Art. 29-Datenschutzgruppe sprach sich gegen jegliche Art von „en bloc“Übermittlung von PNR-Daten aus, da „aus dem Blickwinkel der Verhältnismäßigkeit“ eine Übermittlung nur dann akzeptabel sei, wenn sie „strikt auf der Grundlage konkreter Informationen bzw. Hinweise auch nur von Fall zu Fall“ erfolge.463 Die jeweilige Behörde müsse die Notwendigkeit im Einzelfall nachweisen.464 cc) Keine Verpflichtung zur Erhebung zusätzlicher Daten Ein weiteres Kriterium, das die Kommission ansprach, war die Verhinderung der Erhebung zusätzlicher Daten: Fluggesellschaften sollten „nicht verpflichtet werden, mehr Daten als bisher oder zwingend bestimmte Arten von Daten zu erheben; sie sollten lediglich zur Übermittlung von Daten, die sie bereits im Rahmen ihrer Geschäftstätigkeit erheben, verpflichtet werden“.465 Charakteristikum der PNR-Daten ist, dass sie gerade im Rahmen der Geschäftstätigkeit von Fluggesellschaften erhoben werden und sich dann von Sicherheitsbehörden zu Nutzen gemacht werden, um durch die Daten zu Erkenntnissen zu gelangen. Fraglich ist, welche zusätzlichen Daten von Fluggesellschaften noch erhoben werden könnten. Neben der Erhebung der üblichen Daten ist es stets möglich, in einem Freifeld zusätzliche Daten einzugeben. Zudem besteht die Möglichkeit, jedoch nicht die Verpflichtung, API- und Secure-Flight Daten direkt in den PNR-Datensatz aufzunehmen.

462 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 32. 463 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 8. 464 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 8. 465 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 11.

370

Teil 3: Die Übermittlung von PNR-Daten in die USA 

d) Übergeordnete Konzepte Neben Kriterien in Bezug auf den Umgang mit personenbezogenen Daten und deren Übermittlungsmodalitäten ging die Kommission auf „übergeordnete Konzepte“ ein. Auch diese übergeordneten Konzepte dienen letztendlich dem Schutz personenbezogener Daten. aa) Geltungsdauer und Überprüfung (1) Ausführungen der Kommission Hinsichtlich der Geltungsdauer und der Überprüfung der Abkommen sprach sich die Kommission dafür aus, dass die „Bedingungen für eine Zusammenarbeit mit Drittländern“ für eine feste Zeitdauer gelten, und zudem die „Möglichkeit der Kündigung“ und die „Möglichkeit, die Bedingungen der Zusammenarbeit zu überprüfen, wenn dies angemessen erscheint“, bestehen sollten.466 Der hier dargestellten Bestrebung, die aufgestellten Bedingungen für eine Zusammenarbeit mit Drittländern für eine feste Zeitdauer gelten zu lassen, ist zuzustimmen. Um dies jedoch durchsetzen zu können, müsste die Art und Weise, wie die Abkommen in der Vergangenheit geschlossen worden sind, in Frage gestellt werden. Es ist nicht ausreichend, eine Konstruktion zu wählen, die aus dem eigentlichen Abkommen und einem darauf bezogenen Austausch von Schreiben besteht.467 Durch diese Konstruktion ist es möglich, die Bedingungen einseitig abzuändern.468 Bei Abschluss eines reinen völkerrechtlichen Vertrages hingegen wäre die Kündigung – wie gewünscht – möglich und die ausgehandelten Bedingungen könnten nicht einseitig abgeändert werden. Diesbezüglich stellt das Abkommen zwischen der EU und den USA von 2012 – wie noch zu zeigen sein wird – einen Schritt in die richtige Richtung dar, da es zumindest nur noch aus einem, alle Garantien enthaltenden Dokument besteht. (2) Stellungnahme der Art. 29-Datenschutzgruppe Auch die Art. 29-Datenschutzgruppe hielt in ihrer Stellungnahme u. a. die regelmäßige Überprüfung für wesentlich und forderte u. a. die Einführung eines Sanktionsmechanismus für den Fall der nicht oder nicht rechtzeitigen Überprüfung, wobei die Sanktionen bis zur Aufkündigung des Abkommens reichen könnten.469 466 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 11. 467 Siehe dazu bspw. die Ausführungen zum Abkommen mit den USA von 2007 unten S. 461 ff. 468 Siehe dazu unten bspw. S. 457 ff. und 468 ff. 469 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 8.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

371

bb) Überwachung (1) Ausführungen der Kommission Die Kommission betonte zudem die Bedeutung der Überwachung der Abkommen und dazu nötiger Verfahren wie z. B. durch „regelmäßige gemeinsame Überprüfungen der Durchführung sämtlicher Bestandteile des Abkommens  – einschließlich der Zweckbeschränkung, der Fluggastrechte und der Weiterübermittlung von Daten – […], bei denen die Verhältnismäßigkeit der vorgehaltenen Daten danach bewertet wird, welchen Nutzen sie in Bezug auf die Zwecke haben, für die sie übermittelt wurden“ und einer anschließenden Vorlage der Ergebnisse beim Rat und beim Parlament.470 Die gemeinsame Überprüfung der Bedingungen – auch auf ihre Wirksamkeit hin – ist bereits seit dem ersten Abkommen mit den USA eine Bestrebung der EU.471 Diese Maßnahme ist essentiell, um zu klären, ob die Übermittlung von PNR-Daten tatsächlich den erhofften Erfolg bringt oder Anpassungen für künftige Abkommen vorgenommen werden sollten. Ein Bericht an Parlament und Rat ist ebenfalls auf Grund deren Beteiligung am Abschluss von Abkommen essentiell. Jedoch muss dies auch in der Praxis regelmäßig durchgeführt werden. (2) Stellungnahme des EU-Datenschutzbeauftragten Der EU-Datenschutzbeauftragte merkte an, dass Begriffe wie „angemessen“ oder „feste Dauer“ in Bezug auf die übergeordneten Konzepte näher definiert werden sollten, wobei insbesondere die „Regelmäßigkeit der gemeinsamen Überprüfung sowie die Verpflichtung, eine erste Überprüfung innerhalb einer bestimmten Frist nach dem Inkrafttreten der Abkommen durchzuführen“, herausgestellt und als Höchstfrist drei Jahre vorgeschlagen wurde.472 (3) Stellungnahme der Art. 29-Datenschutzgruppe Die Art. 29-Datenschutzgruppe forderte neben der regelmäßigen Überprüfung auch die Einführung einer „Verfallsklausel“: Das Abkommen sollte nach einer bestimmten Zeit umfassend und gründlich evaluiert und bewertet werden und, falls sich die Vertragsparteien nicht auf eine Verlängerung verständigen könnten, 470 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 11. 471 Vgl. dazu die Bestrebungen der EU zum ersten Abkommen von 2004, unten S. 427 ff. 472 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 33.

372

Teil 3: Die Übermittlung von PNR-Daten in die USA 

sollten die Vertragsparteien keinerlei Daten mehr nach Ablauf eines bestimmten Datums austauschen dürfen.473 cc) Streitbeilegung Des Weiteren sollten  – so die Kommission  – „wirksame Verfahren zur Bei­ legung von Streitigkeiten über die Auslegung, Anwendung und Umsetzung der Abkommen vorgesehen werden“.474 Fraglich ist, wie diese Streitbeilegung auszusehen und vor welchen Gremien diese zu erfolgen hat. Eine Unterwerfung unter ein Schiedsgericht ist auf Grund der Betroffenheit essentieller Sicherheitsinteressen von Staaten schwer vorstellbar. dd) Gegenseitigkeit Als letzten Punkt bezog sich die Kommission auf die Gegenseitigkeit. Diese sollte gewährleistet sein „insbesondere in Form der von den zuständigen Behörden des Empfänger-Drittlandes vorgenommenen Übermittlung von aus PNR-­ Daten abgeleiteten analytischen Informationen an die Polizei- und Justizbehörden der Mitgliedstaaten sowie an Europol und Eurojust“.475 Die Gegenseitigkeit ist ein essentielles Thema und zwar sowohl im Hinblick auf Länder, mit denen bereits Abkommen bestehen als auch in Bezug auf Länder, die PNR-Daten von EUBürgern erheben wollen, mit denen aber noch keine Abkommen bestehen. Gerade wegen des geplanten EU-eigenen PNR-Systems muss berücksichtigt werden, dass jedes Land, das Daten an die EU liefern soll, im Gegenzug auch Daten aus der EU fordern könnte. Dies ergibt sich aus dem völkerrechtlichen Grundsatz der Gegenseitigkeit. Offen ist, in welchem Umfang die EU dann auch tatsächlich Daten an Drittländer übermittelt. Letztendlich bleibt dies eine Frage der Verhandlungen zwischen der EU und den jeweiligen Drittstaaten und ist daher einer pauschalen Einschätzung nicht zugänglich.

473

Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 9. 474 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 12. 475 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 12.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

373

e) Zusammenfassende Stellungnahmen aa) Stellungnahme des EU-Datenschutzbeauftragten Zunächst nahm der EU-Datenschutzbeauftragte auf den horizontalen Ansatz des Konzepts der Kommission Bezug und begrüßte ein solches Vorgehen, indem er ihn als „wichtigen Schritt im Hinblick auf die Ausarbeitung eines umfassenden Rahmens für den Austausch von PNR-Daten“ bezeichnete, daraufhin aber gleich anmerkte, dass diese Auffassung „durch mehrere schwerwiegende Bedenken getrübt“ würde.476 Er stellte daraufhin dar, dass die in der Mitteilung genannten PNR-Systeme „die Anforderungen an die Notwendigkeit und Verhältnismäßigkeit, […] die in der vorliegenden Stellungnahme und den früheren Stellungnahmen des [EU-­ Datenschutzbeauftragten] und der Datenschutzgruppe ‚Artikel 29‘ entwickelt wurden“ nicht erfüllten und war vor allem über die Verwendung „zwecks Risikobewertung oder Profiling“ besorgt.477 Um eine Zulässigkeit zu erreichen, müssten daher die „Bedingungen für die Erhebung und Verarbeitung personenbezogener Daten erheblich eingeschränkt werden“.478 Hinsichtlich der PNR-Standards müssten die Datenschutzregelungen und die damit verbundenen Rechtsentwicklungen innerhalb der EU sowie Datenaustauschabkommen im Allgemeinen und vor allem mit den USA Berücksichtigung finden.479 Es müsse sichergestellt werden, dass PNR-Abkommen mit den USA sowie PNR-Abkommen mit weiteren Drittländern mit dem allgemeinen Datenschutzabkommen mit den USA in Einklang stehen.480 Auch hält es der Datenschutzbeauftragte für „unabdingbar“, dass jedes PNR-­Abkommen die Datenschutzanforderungen einhält, die „im institutionellen Rahmen nach Lissabon ausgearbeitet werden“ und zudem die Mindestgarantien, die in der Mitteilung der Kommission genannt wurden, „konkreter festgelegt werden müssen“ (insbesondere strengere Voraussetzungen in Bezug auf sensible Daten, den Grundsatz der Zweckbindung, die Übermittlungsbedingungen sowie die Datenaufbewahrung).481 Zuletzt wies der Datenschutzbeauftragte noch „nachdrücklich“ darauf hin, dass „jedes Abkommen unmittelbar durchsetzbare Rechte der Betroffenen festlegen sollte“.482 Für 476

Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 34. 477 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 35. 478 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 35. 479 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 36. 480 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 36. 481 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 37 f. 482 Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 39.

374

Teil 3: Die Übermittlung von PNR-Daten in die USA 

die Beurteilung der Angemessenheit seien zudem „[w]irksame Durchsetzungsverfahren sowohl für die Betroffenen als auch für die Aufsichtsbehörden“ wesentliche Voraussetzung.483 bb) Stellungnahme der Art. 29-Datenschutzgruppe Nach Ansicht der Art.  29-Datenschutzgruppe ist die Mitteilung der Kommission „ein Schritt in die richtige Richtung“.484 Die Datenschutzgruppe hinterfragte jedoch auch den Nutzen des betriebenen Profiling anhand von PNR-Daten und warb  – wie bereits in der Einleitung ihrer Stellungnahme  – erneut um ein sektorübergreifendes Konzept für sämtliche Passagierdaten und nicht nur für PNR-­ Daten.485 Zudem stellte die Datenschutzgruppe u. a. noch klar, dass die von der Kommission dargelegten Anforderungen nur „als das Mindestmaß des durch künftige PNR-Abkommen zu gewährleistenden Datenschutzes“ gesehen werden und die Standards „noch in mehreren Punkten weiterentwickelt“ werden sollten.486 Abschließend forderte die Datenschutzgruppe die Berücksichtigung ihrer Vorschläge, sie über Entwicklungen zu informieren und bei der Ausarbeitung zukünftiger Abkommen zu Rate zu ziehen.487 f) Bedeutung und Aussagegehalt des EU-Konzepts – Kriterien der Angemessenheit? Die Bedeutung und der Aussagegehalt des EU-Konzepts sind einerseits darin zu sehen, dass sich die Kommission als Verhandlungsführerin für zukünftige PNRAbkommen an den durch das EU-Konzept aufgestellten Grundsätzen messen lassen muss. Die „Mitteilung der Kommission“ als solche ist nicht im Katalog der Rechtsakte des Art. 288 AEUV explizit aufgeführt.488 Es wird jedoch davon aus 483

Europäischer Datenschutzbeauftragter, Stellungnahme des EU Datenschutzbeauftragten zum Sektorübergreifenden EU Konzept 2010, Abl. C 357 v. 30.12.2010, 19.10.2010, S. 10 Rn. 33. 484 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 9. 485 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 9. 486 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 10. 487 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 10. 488 Ausführlich zu den Mitteilungen der Kommission siehe Adam, Die Mitteilungen der Kommission: Verwaltungsvorschriften des Europäischen Gemeinschaftsrechts? sowie Brohm, Die „Mitteilungen“ der Kommission im europäischen Verwaltungs- und Wirtschaftsraum.

§ 13 Nutzung von PNR-Daten zu Sicherheitszwecken

375

gegangen, dass diese Mitteilungen der Kommission europarechtliche Verwaltungsvorschriften darstellen, die der Kanalisierung der politischen Steuerung durch die Kommission dienen, für eine einheitliche Verwaltungspraxis sorgen, eine Informationsfunktion in Bezug auf die Verwaltungstätigkeit haben und zudem die Rechtssicherheit erhöhen.489 Die grundsätzlich durch die Mitteilung erfolgende Selbstbindung der Kommission490 ist hier jedoch begrenzt. Der Bereich der PNRAbkommen und der Bereich der internationalen Abkommen als solcher sind einer Selbstbindung schon nur sehr begrenzt zugänglich. Internationale Abkommen sind immer das Ergebnis von Verhandlungen und Zugeständnissen der teilnehmenden Vertragsparteien. Somit kann von einer wirklichen „Selbstbindung“ der Kommission in diesem Fall auf Grund der nicht möglichen vollständigen Durchsetzung ihrer aufgestellten Prinzipien nicht gesprochen werden. Die Mitteilung darf aber als politische Bindung dergestalt verstanden werden, dass die angesprochenen Konzepte bestmöglich durchgesetzt werden müssen. Diese politische Bindung in Bezug auf die bestmögliche Durchsetzung der Konzepte wird jedoch durch die sich durch die komplette Mitteilung ziehende Verwendung vager Worte wie „sollte“ oder das Formulieren von Alternativen zudem abgeschwächt. Die Mitteilungen werden somit auch als „primär politisch“ bezeichnet und beziehen sich nicht „auf die Anwendung des bestehenden Rechts“, sondern haben „zuvörderst dessen gesetzgeberische Fortentwicklung de lege ferenda im Blick“.491 Die Mitteilung der Kommission ist zudem als Antwort auf die nach Inkrafttreten des Vertrags von­ Lissabon erstarkte Position des Parlaments zu sehen. Hätte die Kommission auf die noch näher zu erläuternde Entschließung des Parlaments492 nicht mit einem klaren Bekenntnis zu entsprechenden, auch vom Parlament geforderten Sicherheiten reagiert, wäre eine Blockadehaltung des Parlaments in Bezug auf die PNRAbkommen denkbar gewesen. Somit ist das EU-Konzept auch ein Bekenntnis zur Bedeutung des Parlaments. Des Weiteren stellt das Konzept einen geschriebenen Kodex dar, der für den interessierten Bürger das Verständnis der Kommission zu PNR-Abkommen verdeutlicht. Das EU-Konzept ist folglich auch als Schritt zu mehr Transparenz zu sehen, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen weniger stark ausgeprägt ist und gerade auch im Hinblick auf Forderungen der USA, die Verhandlungsprotokolle unter Verschluss zu halten,493 mehr Beachtung verdient. Der Versuch der Kommission, die zu berücksichtigenden Grundprinzipien zum Schutz personenbezogener Daten darzustellen, ist zu begrüßen. Aus datenschutzrechtlicher Sicht wünschenswert wäre jedoch ein klareres Bekenntnis der Kom 489

Ruffert, in: Calliess/Ruffert, EUV, AEUV, 4. Aufl. 2011, Art. 288 AEUV Rn. 103. Siehe dazu Ruffert, in: Calliess/Ruffert, EUV, AEUV, 4.  Aufl. 2011, Art.  288 AEUV Rn. 103 m. w. Nachw. 491 Brohm, Die „Mitteilungen“ der Kommission im europäischen Verwaltungs- und Wirtschaftsraum, S. 30. 492 Siehe dazu unten S. 476 f. 493 Dazu unten S. 471 ff. 490

376

Teil 3: Die Übermittlung von PNR-Daten in die USA 

mission zu den genannten Prinzipien gewesen, ohne Relativierungen. Vor dem Hintergrund völkerrechtlicher Verträge ist diese Vorgehensweise jedoch verständlich. Die Kommission nennt in ihrer Mitteilung einerseits Grundprinzipien für den Schutz personenbezogenener Daten, die der Drittstaat einhalten „muss“, relativiert diese jedoch in ihren Ausführungen durch die Nutzung vager Formulierungen.494 Eine solche Vorgehensweise lässt sich mit dem im Rahmen der Übermittlung in einen Drittstaat essentiellem Kriterium der Angemessenheit, wie es mittlerweile angewandt wird, vereinbaren. Zur Sicherstellung eines angemessenen Schutzniveaus sind grundsätzlich essentielle Datenschutzprinzipien wie die Zweckbindung, der Umgang mit sensiblen Daten, die Datenschutzaufsicht, das Recht auf Berichtigung, Sperrung und Löschung erforderlich.495 Dahingehend macht die Rechtsprechung des EuGH teilweise konkrete Vorgaben.496 Jedoch ist auch offensichtlich, dass diese im Rahmen von völkerrechtlichen Verhandlungen nicht vollumfänglich durchgesetzt werden können. Angemessenheit als Kriterium für die eine Datenübermittlung in Drittstaaten muss daher  – entgegen seiner ursprünglichen Intention – eine gewisse Abwägung erlauben. Neben den essentiellen datenschutzrechtlichen Interessen können auch Erwägungen rechtspolitischer oder wie im Rahmen der Safe Harbor-Vereinbarung wirtschaftspolitischer oder eben wie im Rahmen von PNR-Daten sicherheitspolitischer Art bzw. die dahinterstehenden Grundrechte Dritter in die Abwägung miteinbezogen werden. Es ist daher auch nicht ersichtlich, warum zwingend an einem essentiellen Kriterium des EUDatenschutzrechts in seiner in der EU vorhandenen Ausprägung festgehalten werden sollte, wenn dadurch – wie hier relevant – der Schutz eines anderen Grundrechts wie das Recht auf Leben nicht ausreichend berücksichtigt werden könnte. Es ist selbstverständlich, dass die von der Kommission genannten Datenschutz­ kriterien im Rahmen der Verhandlungen zwingend zu berücksichtigen sind, jedoch sind auch Kompromisse einzugehen. Der Bezugnahme auf Übermittlungsmodalitäten durch die Kommission ist zuzustimmen. Jedoch ist die Relativierung, dass nur eine der drei sogenannten „Übermittlungsmodalitäten“ durchgesetzt werden soll, fragwürdig. Sie behandeln unterschiedliche Aspekte im Rahmen einer Übermittlung und stehen somit nicht in einem Alternativitätsverhältnis. Auch die übergeordneten Konzepte der Kommission sind grundsätzlich zu begrüßen. Jedoch sind in diesem Bereich weitere Konkretisierungen im Rahmen der Überwachung, der Streitbeilegung und der Gegenseitigkeit notwendig, um von einer tragfähigen Grundlage sprechen zu können und der Bedeutung der drei Konzepte gerade im Hinblick auf zukünftige Konzepte gerecht zu werden. 494 Siehe Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 9 ff. 495 Siehe dazu oben S. 97 ff. 496 Siehe bspw. zur Datenschutzaufsicht EuGH, Urt. v. 09.03.2010, Rs. C-518/07, Slg. 2010, I-1885.

§ 14 Grundlagen der Datenauswertung

377

Insgesamt lässt sich anhand der Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen an Drittländer ein Aspekt der Einstellung der EU zur Datenauswertung und insbesondere der PNR-Datenauswertung sehen und lässt erkennen, welche Kriterien des Datenschutzes in Verhandlungen eine Rolle spielen sollen. In der Gesamtschau – wie bspw. an bestehenden und nicht bestehenden PNR-Regelungen in den Mitgliedstaaten – oder anhand der noch aufzuzeigenden Konflikte zwischen den verschiedenen Positionen der Institutionen gesehen werden kann, besteht jedoch keine Homogenität. Es kann nicht von einer Einstellung der EU zu diesem Thema gesprochen werden. Ähnliches gilt für die Position der USA. Es kann jedoch in den USA ein stärkeres Bekenntnis zur Datenauswertung und somit zur „Sicherheit“ erkannt werden. In der EU überwiegt  – trotz bestehender Unterschiede  –­ dagegen ein Bekenntnis zum Datenschutz.

§ 14 Grundlagen der Datenauswertung und Auswertungssysteme Um PNR-Daten und weitere, vor allem im Rahmen einer Flugbuchung erhobene Datenarten elektronisch auch für den Sicherheitsbereich nutzen zu können, mussten Verfahren geschaffen werden, die die Identifizierung solcher Personen ermöglichen, die ein potenzielles Sicherheitsrisiko darstellen oder auf Grund begangener Straftaten bereits gesucht werden. Dafür werden Daten systematisch ausgewertet. Um die Nutzung von PNR-Daten im Sicherheitsbereich zu verdeutlichen, ist zunächst die grundsätzliche Idee, Daten systematisch auszuwerten  – sog. Data-­ Mining – zu erläutern (I.), bevor auf die im Laufe der Zeit vor allem durch die USA entwickelten Programme zur Auffindung von Passagieren, die ein potenzielles Sicherheitsrisiko darstellen, eingegangen wird (II.).

A. Data-Mining Data-Mining497 wird u. a. als „die Funktionalität, in einer Menge von unstrukturierten Daten statistische Zusammenhänge aufzuzeigen, die signifikant und hilfreich sind“,498 bezeichnet. Es ist Ziel des Data-Mining, mit Hilfe von hoch entwickelten und technisch ausgefeilten Datenanalyseprogrammen in einer Datenbank bzw. in Datenbeständen vorher unbekannte, bestimmte Regeln, Muster, Regelmäßigkeiten, Verbindungen, Auffälligkeiten oder Verhaltensmuster zu erkennen, um damit – je nach Anwendungsbereich des Data-Mining – verschiedene Zielsetzungen zu ver 497

Siehe hierzu Frosch-Wilke, DuD 2003, 597; Schumann, DuD 2010, 709; Hahn, DuD 2003, 605. 498 Hahn, DuD 2003, 605 (607); sowie ausführlich Witten/Frank/Hall, Data mining; Han/ Kamber/Pei, Data mining – Concepts and techniques.

378

Teil 3: Die Übermittlung von PNR-Daten in die USA 

folgen.499 Begrifflich wird – ähnlich wie beim Begriff Datenschutz – der Terminus Data Mining nicht als vollends zufriedenstellend erachtet, da nicht nach Daten gesucht wird, sondern bestimmte Informationen aus einer Vielzahl von Daten extrahiert werden.500 Neben dem Begriff Data-Mining haben Begriffe wie knowledge mining from data, knowledge extraction, data/pattern analysis, data dredging oder data archeology eine ähnliche Bedeutung, konnten sich aber nicht im allgemeinen Sprachgebrauch durchsetzen.501 Die für das Data-Mining verwendeten Datenanalyseprogramme können statistische Modelle, mathematische Algorithmen sowie Algorithmen, die ihre Leistung automatisch durch vorherige Erfahrungen verbessern, enthalten.502 Als Datenquellen kommen Datenbanken, data warehouses, das Internet, weitere Informationsquellen oder Daten, die konstant erhoben werden, in Betracht.503 Data-Mining wird sowohl in der Privatwirtschaft als auch im öffentlichen Bereich eingesetzt: Unternehmen wie bspw. Banken oder Versandhäuser nutzen Data-Mining, um Kosten zu reduzieren oder ihre Verkaufszahlen durch das Anbieten von für den Kunden interessanten Produkten (personalisierte Werbung) zu erhöhen; Behörden nutzten Data-Mining ursprünglich, um Betrugsfälle aufzudecken aber auch, um Gemeinsamkeiten bei Flugzeugunfällen herauszufinden.504 Mit Hilfe von DataMining-Programmen können somit bestimmte Datenbestände ausgewertet werden, sie stellen jedoch keine autarken, unabhängigen Programme dar.505 Für ein erfolgreiches Data-Mining werden technische und analytische Spezialisten benötigt, die die Auswertung strukturieren und die Datenausgabe interpretieren können.506 DataMining kann folglich zwar bestimmte Muster und Verbindungen auf­zeigen, vermittelt dem Nutzer aber nicht, welchen Wert oder welche Bedeutung diese haben; dies bleibt dem Nutzer selbst überlassen.507 Die Aussagekraft der erkannten Muster 499 Vgl. Schumann, DuD 2010, 709 (709); Frosch-Wilke, DuD 2003, 597 (602); Seifert, Congressional Research Service – Data Mining and Homeland Security: An Overview, 27.08.2008, S. 1, http://assets.opencrs.com/rpts/RL31798_20080827.pdf (zuletzt geprüft am 15.03.2015); Han/Kamber/Pei, Data mining  – Concepts and techniques, S.  8 definieren Data-Mining als „[…] the process of discovering interesting patterns and knowledge from large amounts of data“; Witten/Frank/Hall, Data mining, S. 5 beschreiben Data-Mining als „the process of discovering patterns in data. The process must be automatic or […] semiautomatic. The patterns discovered must be meaningful in that they lead to some advantage, usually an economic one. The data is invariably present in substantial quantities.“ 500 Vgl. zur Diskussion um den Begriff Data-Mining Han/Kamber/Pei, Data mining – Concepts and techniques, S. 5. 501 Vgl. Han/Kamber/Pei, Data mining – Concepts and techniques, S. 6. 502 Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008, S. 1; zu verschiedenen Zielsetzungen des Data-Mining und den dazu verwendeten unterschiedlichen Methoden und Verfahren siehe Frosch-Wilke, DuD 2003, 597 (602 ff.). 503 Han/Kamber/Pei, Data mining – Concepts and techniques, S. 8. 504 Vgl. Schumann, DuD 2010, 709 (709); Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008, S. 2 und 4 mit Auflistung verschiedener Beispiele aus dem privaten und dem öffentlichen Sektor. 505 Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008, S. 3. 506 Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008, S. 3. 507 Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008, S. 3.

§ 14 Grundlagen der Datenauswertung

379

ist abhängig davon, wie sie mit tatsächlichen Sachverhalten der „realen Welt“ vergleichbar sind: Um bspw. die Aussagekraft eines Data-Mining-Programms zu be­ urteilen, das zur Identifizierung potentieller Terroristen aus einer großen Gruppe von Menschen programmiert wurde, kann der Nutzer das gefundene Profil mit Daten, die Informationen über bekannte Terroristen enthalten, abgleichen.508 Dadurch kann möglicherweise ein bestimmtes Profil bestätigt werden, es bedeutet jedoch nicht notwendigerweise, dass das Programm einen Verdächtigen identifizieren wird, dessen Verhalten bedeutend vom festgelegten Profil abweicht.509 Zudem kann DataMining zwar Verbindungen zwischen Verhaltensweisen oder vorher festgelegten Variablen identifizieren, es kann jedoch keine kausalen Verknüpfungen aufzeigen.510 So kann ein Programm bspw. identifizieren, dass eine bestimmte Verhaltensweise – etwa die Gewohnheit ein Flugticket erst kurz vor Abflug eines Fluges zu kaufen – in Verbindung mit Charakteristika wie Bildungslevel, Einkommen oder Internetnutzung steht, jedoch nicht, dass der Ticketkauf durch eine dieser Variablen ausgelöst wurde.511 Der Ticketkauf kann auch durch völlig andere Variablen bedingt sein, wie bspw. durch Gründe, die mit dem Beruf (kurzfristige Dienstreise) oder der Familie (kurzfristiger Besuch eines erkrankten Familienmitglieds) in Verbindung stehen.512

B. Datenauswertung für den Sicherheitsbereich Die hier relevanten PNR-Daten sowie weitere Datenarten können mit Hilfe verschiedener Programme ausgewertet werden. Neben den folgenden Programmen, die in den USA verwendet werden bzw. wurden, gibt es noch weitere, die teilweise jedoch nicht mehr benutzt werden oder für die Auswertung von PNR-­Daten ir­relevant sind.513 I. Anfänge der Auswertung von Fluggastdaten Die Anfänge der Auswertung von Fluggastdaten gehen bis in die 1960er Jahre zurück: Damals ordnete die Bundesluftfahrtbehörde der USA, die Federal Aviation Administration (FAA), als Antwort auf eine zunehmende Anzahl von Flugzeug­ 508

Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008, S. 3. Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008, S. 3. 510 Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008, S. 3. 511 Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008, S. 3. 512 Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008, S. 3. 513 Ausführlich zu den verschiedenen Systemen: Seifert, Data Mining and Homeland ­Security: An Overview, 27.08.2008; Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Pre­ screening 2009, 30.12.2009; ausführlich auch der Blog Hasbrouck, What’s in a Passenger Name Record (PNR)? mit umfassenden Informationen zum Thema Datenauswertung zu Sicherheitszwecken; sehr aufschlussreich mit weiteren Erläuterungen zu den Systemen sowie zu weiteren Sicherheitsmaßnahmen Elias, Airport and aviation security, S. 159 ff. 509

380

Teil 3: Die Übermittlung von PNR-Daten in die USA 

entführungen an, Passagierdaten anhand bestimmter typischer Kriterien, die angeblich auf Flugzeugentführer zutrafen, auszuwerten und das Gepäck zu durchleuchten sowie die Passagiere selbst genauer zu überprüfen.514 Die FAA bediente sich dabei ihres für diesen Zweck erstellten „Anti-Air-Hijack Profile“, das aus 25 Parametern bestand, die empirisch erhoben wurden und auf bereits gefasste Flugzeugentführer zutrafen.515 Die FAA verfolgte jedoch diesen Ansatz ab 1972 nicht mehr weiter, da sich das System als ineffektiv erwies und ging stattdessen dazu über, grundsätzlich jedes Handgepäckstück zu durchleuchten.516 II. CAPS bzw. CAPPS Was Sicherheitsbestimmungen für Flugpassagiere betrifft, wurden in den USA – im Gegensatz zu den meisten anderen Ländern – nicht alle Passagiere und jedes Gepäckstücke einer Kontrolle unterzogen.517 Die Kommission (Commission on Aviation Safety and Security518) unter der Leitung des damaligen Vizepräsidenten der USA, Al Gore, die als Reaktion auf die Abstürze der Flüge TWA 800 und Pan Am 103 eingesetzt worden war, diskutierte in den Jahren 1996 und 1997 darüber, ob – wie in anderen Staaten üblich – alle Passagiere und ihr gesamtes Gepäck einer Überprüfung unterzogen oder dabei eher selektiv vorgegangen werden sollte.519 Universelle Überprüfung wurden von vielen Experten bevorzugt und auch die Kommission selbst sprach sich in manchen Vorschlägen dafür aus, jedoch entschied man sich – wohl auch durch die gute Lobbyarbeit der Fluggesellschaften beeinflusst, die durch zusätzliche Sicherheitsüberprüfungen Verspätungen für die meisten Passagiere befürchteten – auf diese universellen Sicherheitsüberprüfungen zu verzichten.520 Der Schlussbericht der Gore-Kommission sprach sich im Folgenden auch gegen diese universellen Überprüfungen aller Passagiere und für ein Profiling sowie selektive Überprüfungen aus, zusätzlich sollte vor dem Abflug eines Fluges jedes Gepäckstück dem entsprechenden Passagier zugeordnet werden.521

514

So Ravich, U. Miami L. Rev. 62 (2007), 1 (9 f.). Ravich, U. Miami L. Rev. 62 (2007), 1 (9) mit Verweis auf darauf eingehende, dieses Vorgehen bestätigende Rechtsprechung (464 F.2d 1180, 1183 (3d Cir. 1972)) sowie w. Nachw. 516 Ravich, U. Miami L. Rev. 62 (2007), 1 (10). 517 Edward Hasbrouck, Total Travel Information Awareness – Travel Data and Privacy. 518 Die Kommission wurde nach dem Absturz des Fluges TWA 800 durch Executive Order 13015 des Präsidenten eingesetzt; siehe President of the United States of America, White House Commission on Aviation Safety and Security  – Executive Order 13015, 22.08.1996, http://ntl.bts.gov/DOCS/eo13015.html (zuletzt geprüft am 15.03.2015). 519 Dazu der Blog von Edward Hasbrouck, Total Travel Information Awareness  – Travel Data and Privacy, http://hasbrouck.org/articles/travelprivacy.html#history (zuletzt geprüft am 15.03.2015); vgl auch Elias, Airport and aviation security, S. 167. 520 Edward Hasbrouck, Total Travel Information Awareness – Travel Data and Privacy. 521 White House Commission on Aviation Safety and Security-Vice President Al Gore, Final Report to President Clinton, 12.02.1997. Die Übereinstimmung von Passagier und Gepäck 515

§ 14 Grundlagen der Datenauswertung

381

Da eine Entscheidung gegen universelle Überprüfungen getroffen worden war, war folglich ein System erforderlich, mit dem ein Screening durchgeführt und zu kontrollierende Passagiere ausgewählt werden konnten. Das Auswertungs­system CAPS (Computer Assisted Passenger Screening System) wurde daher von der Luftfahrtbehörde FAA in Zusammenarbeit mit Northwest Airlines entwickelt und der erste Prototyp 1997 eingeführt.522 1997 begannen auch andere Airlines in den USA an Screening-Systemen zu arbeiten und 1998 hatten alle großen Fluggesellschaften CAPS eingeführt, die übrigen arbeiteten an einer Einführung.523Ab 1999 verpflichtete die Luftfahrtbundesbehörde FAA alle größeren US-Fluggesellschaften, das System CAPS in ihr Computerreservierungssystem aufzunehmen.524 Die FAA veröffentlichte dazu 1999 eine sogenannte „notice of proposed rulemaking“ über die Sicherheit von Gepäck auf Flügen innerhalb der USA,525 die immer noch Gültigkeit hat und nach der bei inneramerikanischen Flügen das von der FAA genehmigte Screening Programm CAPS verwendet werden muss, um die Passagiere auszuwählen, deren eingechecktes Gepäck zusätzlichen Sicherheitsüberprüfungen wie einem Sprengstofftest unterzogen werden muss.526 CAPS sammelte bis zu 39 Daten über Passagiere und wurde schließlich direkt in das interne Computerreservierungssystem jeder Fluggesellschaft eingebunden.527 Die Behörden präsentierten CAPS nicht als System, um Profile von Passagieren zu erstellen, sondern als „management tool“ mit dem Ziel, „nicht die Nadel im Heuhaufen zu finden, sondern lediglich den Heuhaufen kleiner zu machen“.528 CAPS ist ein regelbasiertes System: Es nutzt die Daten, die über Passagiere beim Kauf eines Flugtickets als PNR-Datensatz vermerkt worden waren, dazu, zu

stück wurde dabei als wichtigster Schritt, um den Luftverkehr gegen Terroranschläge zu schützen, angesehen; dazu der Blog von Edward Hasbrouck, Total Travel Information Awareness – Travel Data and Privacy, http://hasbrouck.org/articles/travelprivacy.html#history (zuletzt geprüft am 15.03.2015); Ravich, U. Miami L. Rev. 62 (2007), 1 (10 ff.). 522 Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008; Ravich, U. Miami L. Rev. 62 (2007), 1 (11 f.); siehe auch White House Commission on Aviation Safety and ­Security-Vice President Al Gore, Final Report to President Clinton, 12.02.1997, zur Entstehungsgeschichte von CAPPS siehe Fainberg, Transportation Law Journal 25 (1998), 175. 523 Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008. 524 Elias, Airport and aviation security, S. 168. 525 14 C. F. R. Part 108; Security of Checked Baggage on Flights Within the United States, Extension of Comment Period, Proposed Rule, Federal Register, Vol. 64, No. 112, 11.06.1999, Proposed Rules Docket No FAA-1999–5536, abzurufen unter http://www.gpo.gov/fdsys/pkg/ FR-1999-06-11/html/99-14833.htm (zuletzt geprüft am 15.03.2015). 526 Ravich, U. Miami L. Rev. 62 (2007), 1 (13) sowie insb. die Nachweise in Fn. 52. 527 Ian Kilroy, Flying in the Face of Privacy, Irish Times, 5.11.2003, S. 15; Bill Dedman, FAA Looking To Expand System, Boston Globe, 12.10.2001, A27; jeweils zitiert nach Ravich, U. Miami L. Rev. 62 (2007), 1 (11 f.); Elias, Airport and aviation security, S. 168. 528 Bill Dedman, FAA Looking To Expand Syste, Boston Globe, 12.10.2001, A27: „not to pick a needle out of the haystack, […] but to make the haystack smaller“, zitiert nach Ravich, U. Miami L. Rev. 62 (2007), 1 (12).

382

Teil 3: Die Übermittlung von PNR-Daten in die USA 

bestimmen, ob der jeweilige Passagier in eine von zwei Kategorien passt.529 Die erste Kategorie betrifft sogenannte „Selectees“, also Passagiere, die einer zusätzlichen Sicherheitsüberprüfung unterzogen werden; die zweite Kategorie betrifft die Passagiere, die keinen weiteren Kontrollen unterzogen werden.530 Das System gleicht jeden Passagiernamen mit einem von den Behörden zur Verfügung gestellten Suchalgorithmus ab.531 Welche Kriterien zur Profilbildung herangezogen werden, wurde von den Behörden nicht veröffentlicht, jedoch ist davon auszugehen, dass u. a. die Zahlungsmethode, die Zeitspanne zwischen dem Kauf des ­Tickets und der Durchführung des Fluges, der Zielort des Fluges und weitere Daten des PNR-Datensatzes Grundlage dafür sind, ob ein Passagier zur weiteren Überprüfung herangezogen wird.532 Bereits 1998 fand im Rahmen des Testbetriebs eine erste gründliche Evaluierung des Systems durch die FAA und Bürgerrechtsorganisationen statt, die zu dem Ergebnis kam, dass bei den zur Risikoeinschätzung genutzten Kriterien keine Kriterien wie Religion, Geschlecht, Rasse oder ethnische Herkunft des Passagiers heranzogen würden.533 Bedenken, dass dennoch Informationen wie spezielle Ver­ pflegungswünsche an Bord herangezogen werden und dadurch Rückschlüsse auf die Religion gezogen werden könnten, blieben.534 Jedoch können darüber keine abschließenden Aussagen getroffen werden, da die Entscheidungskriterien nicht veröffentlicht wurden.535 Nach der Einführung des Systems wurde es in CAPPS (Computer Assisted Passenger Prescreening System) umbenannt, vermutlich, um klarzustellen, dass das System keine Rolle in der tatsächlichen physischen Kontrolle von Passagieren, Handgepäck und Aufgabegepäck spielte, sondern eine risikobasiertes Prescreening auf Grund von Datenauswertung vornahm und dadurch vor allem der Gefahr von Sprengstoff in Gepäckstücken begegnet.536 So wurden neun der 19 Attentäter des 11. September 2001 zwar von CAPPS identifiziert, wegen der Fokussierung von CAPPS auf das Gepäck, die Gefahr jedoch nicht richtig erkannt und lediglich das 529 Zu den verschiedenen internationalen Standards der Überprüfung von Passagieren und ihrem Gepäck sowie der Behauptung, CAPPS diene nicht der Sicherheit der Passagiere, sondern vielmehr den kommerziellen Interessen der Fluggesellschaften vgl. ausführlich Hasbrouck,­ Total Travel Information Awareness – Travel Data and Privacy, http://hasbrouck.org/articles/ travelprivacy.html#history (zuletzt geprüft am 15.03.2015). 530 Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008, S. 8; vgl auch Elias, Airport and aviation security, S. 168. 531 Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008, S.  8; Edward Hasbrouck, Total Travel Information Awareness – Travel Data and Privacy, http://hasbrouck. org/articles/travelprivacy.html#history (zuletzt geprüft 15.03.2015). 532 Vgl. Ravich, U. Miami L. Rev. 62 (2007), 1 (12 f.) m. w. Nachw. und Nachweisen zu Kritik an diesem System; vgl. auch Elias, Airport and aviation security, S. 168. 533 Elias, Airport and aviation security, S. 168, vgl. auch Fainberg, Transportation Law Journal 25 (1998), 175 (200). 534 Elias, Airport and aviation security, S. 168. 535 Elias, Airport and aviation security, S. 168. 536 Vgl. Elias, Airport and aviation security, S. 168.

§ 14 Grundlagen der Datenauswertung

383

Gepäck genauer kontrolliert.537 Nach den Anschlägen des 11.  September 2001 sollte das System jedoch verbessert werden.538 Nach den Anschlägen verlagerten sich der Schwerpunkt und der Zweck des Systems mehr auf das Prescreening von Passagieren vor ihrer Ankunft an der Sicherheitskontrolle, um vor allem zu bestimmen, welche Passagiere selbst unabhängig von einer intensiveren Kontrolle ihres Gepäcks einer intensiveren Kontrolle unterzogen werden sollten.539 Nach Übertragung fast aller Sicherheitsüberprüfungen auf die neu geschaffene TSA entschied diese sich, CAPPS als eine Komponente des Prescreenings von Flugpassagieren und ein Element der auf mehreren Schichten basierenden Sicherheitsstrategie für den Luftverkehr beizubehalten.540 Das System wird weiterhin in die Reservierungssysteme von US-Fluggesellschaften wie SABRE eingebunden.541 III. CAPPS-II Eine Weiterentwicklung von CAPPS führte zum System CAPPS-II, das seit 2002 entwickelt wurde und über erweiterte Funktionen verfügen sollte.542 Das neu entwickelte System sollte zum einen die Funktion der von den Fluggesellschaften betriebenen Systeme zum Abgleich von Beobachtungslisten (Automatic Selectee- und No Fly-Listen) übernehmen und zum anderen komplizierte Data-­ Mining-Funktionen durchführen, bei denen mit Hilfe kommerzieller Datenbanken und solcher der Regierung die Identität eines Passagiers bestätigt sowie dessen Sicherheitsrisiko eingeschätzt werden sollte.543 In der Praxis hätte CAPPS-II Daten, die aus den PNR-Daten jedes Passagiers bestehen, bspw. an kommerzielle Datenanbieter (data warehouses) für einen Abgleich weitergeleitet, um von diesen eine Risikoauswertung zu erhalten.544 Diese basiert auf Modellen, die von der TSA zur Verfügung gestellt werden und nach der Auswertung ein bestimmtes Risikolevel angeben.545 Das Risikolevel „Grün“ steht für normale Sicherheitskontrollen, das Level „Gelb“ für zusätzliche Sicherheitskontrolle und das Level „Rot“ bringt eine 537

Elias, Airport and aviation security, S. 168. Ravich, U. Miami L. Rev. 62 (2007), 1 (16). 539 Vgl. Elias, Airport and aviation security, S. 168. 540 Elias, Airport and aviation security, S. 168. 541 Elias, Airport and aviation security, S. 176 u. S. 168; vgl. Fainberg, Transportation Law Journal 25 (1998), 175 (200). 542 Vgl. dazu ausführlich Elias, Airport and aviation security, S. 171 sowie auch bspw. Edward Hasbrouck, Computer-Assisted Passenger Prescreening 2 (CAPPS-II), http://hasbrouck.org/ cfp2003/index.html (zuletzt geprüft am 15.03.2015) auf Deutsch dazu Schröder, RDV 2003, 285. 543 Elias, Airport and aviation security, S.  171, vgl. auch Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 15; Ravich, U. Miami L. Rev. 62 (2007), 1 (17). 544 O’Harrow, Jr., Washington Post 14.03.2003, A 16; Ravich, U. Miami L. Rev. 62 (2007), 1 (16). 545 O’Harrow, Jr., Washington Post 14.03.2003, A 16; Ravich, U. Miami L. Rev. 62 (2007), 1 (16). 538

384

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Untersagung, den gebuchten Flug anzutreten, mit sich und löst Maßnahmen durch die Strafverfolgungsbehörden aus.546 Das System hätte somit erhebliche Datenmengen ausgewertet, die weit über die aus PNR-Daten extrahierbaren Informationen oder den limitierten Profilbildungsmöglichkeiten durch das Prescreeningsystem CAPPS hinausgegangen wären.547 Das CAPPS-II System sollte zudem die Brücke zwischen Strafverfolgungs- und Geheimdienstdatenbanken schlagen und u. a. melden, wenn ein Haftbefehl für eine bestimmte Person vorliegt.548 Obwohl die TSA zudem auf Daten von kommerziellen Anbietern zurückgreifen wollte, betonte sie, dass sie die Informationen, die zur Berechnung des Risikolevels benötigt würden, nicht zugänglich gemacht bekommen und auch keine Informationen über Reisende speichern würde.549 Eine bedeutende Änderung von CAPPS zu CAPPSII war vor allem auch, dass nicht mehr die Fluggesellschaften selbst, sondern die TSA für das Screening der Passagiere verantwortlich sein sollte.550 Das CAPPS-II-System erfuhr jedoch heftige Kritik wegen seines „bisher noch nie da gewesenen von der Regierung gesponserten Eingriffs in die Privatheit“.551 So übermittelten u. a. mehrere Fluggesellschaften Daten an die TSA oder an für die Aufgaben von CAPPS-II ausgewählte kommerzielle Unternehmen.552 Gerade die Weiterleitung an kommerzielle Unternehmen löste Kritik aus, da dadurch bspw. Personen, die wegen Zahlungsunfähigkeit Insolvenz anmelden mussten und im Zahlungsrückstand sind, aufgespürt werden könnten, obwohl der Grund ihrer Auffälligkeit keinerlei Terrorismusbezug mit sich brachte.553 Zudem begann auch die EU, Bedenken zu äußern, und die mögliche anderweitige Verwendung der Daten (sog. Mission Creep) wie bspw. zum Auffinden von innerhalb der USA per Haft­ befehl gesuchten Personen oder die mögliche Übertragung an Behörden, die nicht für die Sicherheit des Luftverkehrs zuständig sind, wurde heftig kritisiert.554 Auf Grund der mannigfaltigen Kritik schlug die TSA drei Änderungen am CAPPS-II-System vor: Zunächst sollten die meisten erhobenen Daten innerhalb von sieben Tagen nach Beendigung der Reise gelöscht werden, eine Überprü 546

Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008, S. 8 m. w. Nachw. Elias, Airport and aviation security, S. 171. 548 Ravich, U. Miami L. Rev. 62 (2007), 1 (16). 549 Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008, S. 8. 550 National Commission on Terrorist Attacks upon the United States./Kean/Hamilton/United States. National Commission on Terrorist Attacks upon the United States., The 9/11 Commission Report, S. 393. 551 Vgl. dazu Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 15; Elias, Airport and aviation security, S. 171. 552 Für eine Aufstellung der Vorfälle vgl. Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008, S. 9 f. 553 Zu diesem Beispiel siehe Ravich, U. Miami L. Rev. 62 (2007), 1 (16). 554 Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008, S. 10; Ravich, U. Miami L. Rev. 62 (2007), 1 (17); für eine weitere ausführliche Aufführung von Kritikpunkten zu CAPPS-II vgl. Edward Hasbrouck, What’s wrong with CAPPS-II? (and what should be done about it?), http://hasbrouck.org/articles/CAPPS-II.html (zuletzt geprüft am 15.03.2015). 547

§ 14 Grundlagen der Datenauswertung

385

fungsmöglichkeit der Entscheidung für fälschlicherweise zu weiteren Kontrollen ausgewählten Passagiere möglich sein und des Weiteren sollte die Nutzung kommerzieller Daten von privaten Anbietern zur Erstellung eines Sicherheitsprofils eines Reisenden eingeschränkt und diese Daten nur noch zur Bestätigung der Identität eines Reisenden herangezogen werden.555 Die kommerziellen Anbieter sollten lediglich abgleichen, ob der Passagier tatsächlich derjenige ist, der er bei der Buchung des Fluges vorgab zu sein.556 Das CAPPS-II-System würde daraufhin die Identität mit Strafverfolgungs- und Geheimdienstdatenbanken abgleichen und bei etwaigen positiven Treffern weitere Überprüfungen oder Maßnahmen der Behörden auslösen.557 Jedoch konnten die vorgeschlagenen Verbesserungen die Kritiker nicht überzeugen.558 Der Höhepunkt des Widerstandes gegen das CAPPS-II-System war jedoch erst nach Bekanntwerden der Tatsache erreicht, dass verschiedene Fluggesellschaften freiwillig der TSA und bspw. mit der TSA Verträge unterhaltenden Data-MiningUnternehmen Listen ihrer Passagiere inklusive deren Namen, Adressen und Telefonnummern zur Verfügung stellten, um das CAPPS-II-System zu testen.559 Dies erfolgte ohne das Wissen und ohne die Zustimmung der Passagiere.560 Viele Fluggesellschaften, die an diesem CAPPS-II-Probebetrieb teilnahmen, wurden nach großer Entrüstung über ihr Vorgehen der im Nachhinein von verärgerten Passagieren verklagt.561 Diese und andere Kritik wie u. a. die Speicherungsdauer der Passagierdaten an den zum Zugriff berechtigten Stellen oder die zweifelhafte Genauigkeit der durch die kommerziellen Dienstleister benutzten Daten führte dazu, dass die TSA das CAPPS-II-System nicht weiter verfolgte und im August 2004 einstellte.562 Statt 555

Ravich, U. Miami L. Rev. 62 (2007), 1 (18) mit Verweis auf Interim Final Privacy Notice, 68 Fed. Reg. 45,265, 45,267; 45,269 sowie 45,266 (Aug. 1, 2003); Privacy Notice Act, 68 Fed. Reg. 2101 (Jan. 15, 2003). 556 Interim Final Privacy Notice, 68 Fed. Reg. 45,266. 557 Interim Final Privacy Notice, 68 Fed. Reg. 45,266; Ravich, U. Miami L. Rev. 62 (2007), 1 (18). 558 Ravich, U. Miami L. Rev. 62 (2007), 1 (18). 559 So Ravich, U. Miami L. Rev. 62 (2007), 1 (19) m. w. Nachw. 560 Siehe Jetblue Airways Corp. Privacy Litig., 379 F. Supp. 2d 299 (E. D. N. Y. 2005). 561 Bspw. American Airlines, Inc., Privacy Litig., 370 F. Supp. 2d 552 (N. D. Tex. 2005); Elec. Privacy Info. Ctr. v. Dep’t of Homeland Sec., 384 F. Supp. 2d 100, 104 (D. D. C. 2005); Dyer v. Northwest Airlines Corps., 334 F; Jetblue Airways Corp. Privacy Litig., 379 F. Supp. 2d 299 (E. D. N. Y. 2005); In re Northwest Airlines Privacy Litig., No. 04–126, 2004 WL 1278459 (D. Minn. June 6, 2004); Turrett v. JetBlue Airways, No. 03–6785, 2003 WL 22843134 (C. D. Cal. Nov. 25, 2003) aus der Literatur dazu und zitiert nach Shenkman, Alb. L. J. Sci. & Tech. 17 (2007), 667. 562 Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008, S. 11; Krouse/ Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S.  15; Elias, Airport and aviation security, S. 171 f.; siehe auch den Blog Electronic Privacy Information Center, Secure Flight, http://epic.org/privacy/airtravel/secureflight.html#resources (zuletzt geprüft am 15.03.2015).

386

Teil 3: Die Übermittlung von PNR-Daten in die USA 

dessen verfolgte die TSA wenig später ausgeweitete Prescreening-Möglichkeiten unter einem neuen System namens „Secure Flight“.563 Das Konzept, PNR-Daten mit kommerziellen Datenbanken und Datenbanken der Strafverfolgungsbehörden zu verbinden, wurde somit auf Grund der bestehenden Bedenken zunächst beendet. IV. Secure Flight-System Ein weiteres System, das zur Auswertung von Fluggastdaten genutzt wird, ist das sog. Secure Flight-System als Nachfolger des gescheiterten Auswertungssystems CAPPS-II.564 Nach den Empfehlungen der Kommission zum 11. September 2001 fügte der US-Kongress mehrere Bestimmungen in den Intelligence Reform and Terrorism Prevention Act 2004565 ein, die insbesondere das Screening von Passagieren mit Hilfe eines Abgleichs von Listen mit Namen von (mutmaßlichen) Terroristen beinhalteten.566 Besonders section 4012 dieses Gesetzes verpflichtete die TSA, den Abgleich mit den Namenslisten von den Fluggesellschaften zu übernehmen und zuvor ein ausgereifteres Prescreening-System einzuführen, das eine größere Anzahl verschiedener Namenslisten mit mutmaßlichen Terroristen abgleichen kann.567 Durch Gesetz wurde das DHS zudem dazu verpflichtet, auch interna­ tionale Flüge einer Überprüfung zu unterziehen und die Passagiernamen mit der konsolidierten Kontrolllistendatenbank TSDB vor Abflug eines Fluges abzugleichen.568 Um diesem Mandat gerecht zu werden, wurde – nachdem das CAPPS-II System nicht weiter verfolgt worden war – das sogenannte Secure Flight-System569 563 Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008, S. 11; Krouse/ Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S.  15; Elias, Airport and aviation security, S. 171 f.; siehe auch Electronic Privacy Information Center, Secure Flight Passenger Data Overview. 564 Siehe ausführlich zur Diskussion um das Secure Flight Programm Electronic Privacy Information Center, Secure Flight Passenger Data Overview mit vielen weiteren Nachw., sowie Elias, Airport and aviation security, S. 172 ff. 565 Reform and Terrorism Prevention Act 2004, P. L. 108–458. 566 Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 15. 567 Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 15; die genannten Namenslisten mit (mutmaßlichen) Terroristenlisten, wurden in einer konsolidierten, vom FBI verwalteten Datenbank, der sogenannten Terrorist Screening Database (TSDB), zusammengefasst. 568 Dies wurde durch vom CBP durch einen Abgleich der API-Daten durchgeführt; Krouse/ Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 15. 569 Ausführlich zum Secure Flight-System und damit einhergehenden Kontroversen Krouse/ Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 15 ff.; Seifert, Data Mining and Homeland Security: An Overview, 27.08.2008, S. 11; eine Antwort auf relevante Fragen zu dem Secure Flight-System ist zu finden auf The Identity Project, ­Secure Flight: Frequently Asked Questions, http://www.papersplease.org/sf_faq.html (zuletzt geprüft am 15.03.2015).

§ 14 Grundlagen der Datenauswertung

387

entwickelt, um zunächst Passagiere auf inneramerikanischen Flügen und später auch Passagiere auf internationalen Flügen einem Screening zu unterziehen.570 Das Programm wurde erstmals im August 2004 vorgestellt. Das Secure Flight-System beruhte auf derselben Technologie wie sein umstrittener Vorgänger CAPPS-II, was zu Aussagen führte, Secure Flight sei lediglich ein Euphemismus mit einem konsumentenfreundlichen Namen.571 Im Secure FlightSystem sollte die Durchführung des Prescreenings von Passagieren nicht mehr von den Fluggesellschaften, sondern von den US-Bundesbehörden selbst vorgenommen werden: Zwar glichen bisher die Fluggesellschaften Passagiernamen mit von den Behörden zur Verfügung gestellten Listen ab, jedoch waren manche Listen mit besonders sensiblen Daten für die Fluggesellschaften nicht einsehbar, sodass mit dem neuen System und der vollen Verantwortung der Bundesbehörden diese Lücke geschlossen werden sollte.572 Genau wie sein Vorgänger sollte das Programm zunächst auf kommerzielle Datenbanken zugreifen, aber nur, um die tatsächliche Identität einer Person zu bestätigen und eine Risikoeinschätzung ausschließlich für die Luftverkehrssicherheit zu generieren.573 Anfang des Jahres 2005 begann die TSA das Secure Flight-System zu testen, wobei das System während der Testphase von bedeutenden Bestimmungen des Privacy Act of 1974 ausgenommen worden war  – diese Ausnahmen wurden jedoch im Juni 2005 wieder zurückgenommen.574 Für Testzwecke forderte die TSA bei amerikanischen Airlines PNR-Daten an, womit die Anforderungen von Secure Flight über die Anforderungen von CAPPS-II hinausgingen, das lediglich den Namen, das Geburtsdatum, die Adresse und die Telefonnummer gefordert hatte.575 Daher wurde Secure Flight teilweise als invasiver als sein Vorgänger bezeichnet.576 Es wurden Daten von 72 Fluggesellschaften angefordert, die jeweils verpflichtet wurden, die Daten vom Juni 2004 zu übermitteln.577 Während der Testphase wurde die Möglichkeit genutzt, kommerzielle Daten in das Programm einzubinden, um diese Daten dazu zu verwenden, Fehler in den Passagierdaten durch einen Abgleich aufzudecken sowie auch Personen zu finden, deren Namen sich nicht auf 570 Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 15; sowie Electronic Privacy Information Center, Secure Flight Passenger Data Overview. 571 Siehe Ravich, U. Miami L. Rev. 62 (2007), 1 (20) mit Verweis auf Bill Scannell, TSA Cannot Be Trusted, USA Today, 28.09.2004, S. 12A. 572 Ravich, U. Miami L. Rev. 62 (2007), 1 (20 f.). 573 Ravich, U. Miami L. Rev. 62 (2007), 1 (21). 574 Blog des Electronic Privacy Information Center unter Electronic Privacy Information Center, Secure Flight Passenger Data Overview. 575 Ravich, U. Miami L. Rev. 62 (2007), 1 (21 f.) mit Verweis auf Matthew L. Wald, U. S. Airlines Forced To Give Data on Travelers; For Antiterror Screen, Government Wants Name, Numbers, Meals, Int’l Herald Trib., Sept. 23, 2004, S. 1. 576 Ravich, U. Miami L. Rev. 62 (2007), 1 (22) mit Verweis auf Jon Hilkevitch, Privacy Fears Dog Terror Screen; Foes: New System Is More Intrusive, Chi. Trib., Sept. 22, 2004, S. 13. 577 So die Ausführungen im Blog des Electronic Privacy Information Center unter Electronic Privacy Information Center, Secure Flight Passenger Data Overview.

388

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Kontrolllisten befanden.578 Auf Grund von Datenschutzbedenken und einer Untersuchung des Datenschutzbeauftragten des Heimatschutzministeriums wurde dieses Vorgehen im Herbst 2005 jedoch wieder aufgegeben.579 Weitere massive Sicherheits- und Datenschutzbedenken, die auch in Reporten der Regierung bspw. durch die Identifikation von 144 Sicherheitslücken herausgestellt wurden, führten dazu, dass das Secure Flight-Programm im Februar 2006 für eine umfassende Überprüfung komplett ausgesetzt wurde.580 Die Aussetzung des Secure Flight-Programms dauerte über ein Jahr, dann kündigte das DHS 2007 größere Überarbeitungen des umstrittenen Programms an: So wurde die bisher geplante Verwendungsmöglichkeit zur Risikoeinschätzung für mögliches kriminelles Verhalten von Passagieren aufgegeben; das Programm sollte stattdessen nur noch zum Abgleich von Passagierdaten mit den sog. „govern­ment watchlists“ und anschließender Benachrichtigung der Fluggesellschaften verwendet werden.581 Trotz der Verbesserungen wurde das Secure Flight-Programm von Bürgerrechtsorganisationen weiterhin als mängelbehaftet angesehen, und es wurde eine weitere Aussetzung des Programms gefordert, da es auf dem Abgleich mit Kontrolllisten gründet und diese Listen fehlerbehaftet seien.582 Die TSA veröffentlichte am 28. Oktober 2008 die sog. „Final Rule“ und legte darin die Grundsätze des Programms fest: Neben einem Vergleich zwischen den Anforderungen des ursprünglich geplanten und dem endgültigen Secure FlightProgramm enthielt die Final Rule den Implementierungsablauf, die zu erhebenden

578 The New York Times, More Privacy Questions for Air Safety Agency, 16.06.2005, http:// www.nytimes.com/2005/06/16/national/16privacy.html?_r=0 sowie Electronic Privacy Information Center, Secure Flight Passenger Data Overview, u.a auch mit Verweis auf Initiativen des DHS sowie – bereits 2001 – von kommerziellen Anbietern wie Axciom, im Rahmen von Lobby­ kampagnen, die Nutzung von kommerziellen Daten in Zukunft zu erlauben, dazu u. a. ­Singel, Secure Flight Hits Turbulence, 15.06.2005, http://web.archive.org/web/20100731100900/http:// www.wired.com/politics/security/news/2005/06/67875 (zuletzt geprüft am 15.03.2015). 579 Die Untersuchung über Datenschutzverletzungen kam zustande, weil die TSA trotz anders lautender Beteuerungen im Herbst 2004 kommerzielle Daten eingebunden hatte; siehe dazu The New York Times, More Privacy Questions for Air Safety Agency, 16.06.2005 und zu weiteren Ausführungen und Nachweisen den Blog Electronic Privacy Information Center, Secure Flight Passenger Data Overview. 580 So die Ausführungen bei Electronic Privacy Information Center, Secure Flight Passenger Data Overview mit Verweis auf die Reporte der Regierung (nicht mehr online verfügbar); siehe zu weiteren Ausführungen bzgl. Initiativen im Kongress Elias, Airport and aviation security, S. 172. 581 So die Ausführungen bei Electronic Privacy Information Center, Secure Flight Passenger Data Overview mit Verweis auf Presseerklärungen des DHS (nicht mehr auf der Homepage des DHS vorhanden); siehe auch zu den Diskussionen http://hasbrouck.org/blog/archives/001286. html. 582 Electronic Privacy Information Center, Secure Flight Passenger Data Overview, sowie genauer und ausführlich Electronic Privacy Information Center, Secure Flight Should Remain Grounded Until Security and Privacy Problems Are Resolved, 2007, http://epic.org/privacy/ surveillance/spotlight/0807/default.html (zuletzt geprüft am 15.03.2015).

§ 14 Grundlagen der Datenauswertung

389

Daten, die Abgleichmöglichkeiten im Regelfall mit der No Fly- und der SelecteeListe der TSDB583 sowie Antworten auf Fragen und Kritikpunkte, die im Laufe des Implementierungsprozesses aufgekommen waren.584 Die Implementierung sollte zunächst für nationale Flüge, dann für internationale Flüge erfolgen und schließlich auf Flüge, die lediglich die USA – mit Ausnahme von Hawaii und Alaska – überfliegen, ausgeweitet werden.585 Bis zur vollständigen Implementierung des Secure Flight-Programms sollte das CBP zudem für den Abgleich von Kontroll­ listen zuständig sein.586 Die von Secure Flight genutzten primären Technologien bestehen aus standardisierten elektronischen Kommunikations- und Datenspeicherungssystemen.587 Secure Flight bedient sich bereits existierender DHS-Systeme, um die Verbindung und den Datenaustausch zwischen den Fluggesellschaften und dem System sicherzustellen und erhält die zum Abgleich notwendigen Daten aus der TSDB des TSC; diesem übermittelt das Programm elektronisch mögliche Übereinstimmungen sowie Resultate über ein sicheres Netzwerk des DHS.588 Am 31. März 2009 veröffentlichte die TSA schließlich eine Presseerklärung, in der sie die Einführung des Secure Flight-Programms – vorerst mit vier Fluggesellschaften – bekanntgab, nochmals vor allem auf den Abgleich der Secure FlightDaten mit No Fly- oder Selectee-Beobachtungslisten und den Übergang dieser Aufgabe von den Fluggesellschaften auf die TSA hinwies.589 Die neben den Passagiernamen zusätzlich erhobenen Daten dienten dem Ausschluss von Falschidentifikationen.590 Zudem besteht für die Passagiere die Möglichkeit, über den Beschwerdemechanismus DHS TRIP die Berichtigung ihrer Daten zu beantragen.591 Anzugebende Daten sind u. a. der vollständige Name, so wie er auf dem zur Reise genutzten offiziellen Dokument ausgestellt wurde, das Geburtsdatum, das Geschlecht sowie – wenn anwendbar – die zum Schutz vor falscher Identifizierung 583 Zugriff auf weitere Datenbanken kann bspw. bei besonders risikoreichen Flügen erfolgen, siehe US DHS, Privacy Impact Assessment for the Secure Flight Program, 21.10.2008, S. 8. 584 Dazu ausführlich US DHS/TSA, Secure Flight Program, Final Rule, 49 CFR Parts 1540, 1544, 1560, 28.10.2008; siehe auch US DHS, Privacy Impact Assessment for the Secure Flight Program, 21.10.2008 sowie aus der Literatur Elias, Airport and aviation security, S. 172 f. 585 Dazu US DHS/TSA, Secure Flight Program, Final Rule, 49 CFR Parts 1540, 1544, 1560, 28.10.2008 sowie US DHS, Privacy Impact Assessment for the Secure Flight Program, 21.10.2008; siehe auch Elias, Airport and aviation security, S. 174. 586 Elias, Airport and aviation security, S.  174 mit Verweis auf „APIS pre departure protocols“, die wie die Secure Flight-Daten über dasselbe Portal an das DHS übermittelt werden. 587 US DHS, Privacy Impact Assessment for the Secure Flight Program, 21.10.2008, S. 26 mit weiteren Ausführungen zur verwendeten Technologie. 588 US DHS, Privacy Impact Assessment for the Secure Flight Program, 21.10.2008, S. 8, 18. 589 TSA, Press Release – TSA’s Secure Flight Begins Vetting Passengers, 31.03.2009, http:// www.tsa.gov/press/releases/2009/03/31/tsas-secure-flight-begins-vetting-passengers (zuletzt geprüft am 15.03.2015). 590 TSA, Press Release – TSA’s Secure Flight Begins Vetting Passengers, 31.03.2009. 591 TSA, Press Release – TSA’s Secure Flight Begins Vetting Passengers, 31.03.2009; siehe dazu die Beschwerdemöglichkeiten unter http://www.dhs.gov/dhs-trip (zuletzt geprüft am 15.03.2015).

390

Teil 3: Die Übermittlung von PNR-Daten in die USA 

auf Antrag ausgegebene Redress Nummer.592 Die TSA selbst sieht die Ziele des Secure Flight-Systems in der Unterstützung der TSA-Aufgabe, Hochrisikopassagiere für angemessene Sicherheitsmaßnahmen zu identifizieren, sowie Passagieren mit geringerem Risiko die Sicherheitsmaßnahmen zu erleichtern, sowie Personen, die auf der No Fly Liste stehen, das Boarden eines Flugzeugs zu verweigern.593 Zudem sollen durch das Secure Flight-Programm bei Personen, die auf der Selectee-Liste stehen und weiteren Sicherheitsüberprüfungen unterzogen werden, die Falschidentifizierung minimiert und zusätzliche risikobasierte Sicherheitsmaßnahmen eingeführt werden, um Prozesse zu vereinfachen und höherem Fluggastaufkommen gerecht zu werden sowie um die Daten von Passagieren vor unerlaubter Nutzung und Offenlegung zu schützen.594 Auf der Webseite der TSA wird zudem der Einsatz von kommerziellen Daten mittlerweile verneint.595 Secure Flight-Daten werden schließlich seit Oktober 2009 erhoben, und seit November 2010 findet bei allen inner- und außeramerikanischen Fluggesellschaften mit Flügen in die, aus den oder innerhalb der USA eine Erhebung von Secure Flight-Daten sowie ein Abgleich mit den Kontrolllisten durch die TSA statt.596 Seit dem 8. März 2012 erfolgt eine Nutzung des Secure Flight-Systems auch bei Flügen über das Staatsgebiet der USA – ohne dass sich das Ziel oder der Ursprung des Fluges in den USA befindet.597 Nach Inkrafttreten des Secure Flight-Programs hat das DHS u. a. Modifikationen am Programm vorgenommen, weitere Daten erhoben sowie das Programm auf den routinemäßigen Abgleich mit anderen Datenbanken und Systemen erweitert.598 So erfolgt ein Abgleich der Passagierinformationen mittlerweile auch mit der Center for Disease Control and Prevention Do Not Board List, einer Datenbank des Gesundheitsministeriums (Department of Health and Human Services, kurz CDC), die Namen von Personen enthält, die eine Gefahr für die öffentliche Gesundheit darstellen und denen daher das Boarden eines Flugzeuges untersagt 592 US DHS/TSA, Secure Flight Program, Final Rule, 49 CFR Parts 1540, 1544, 1560, 28.10.2008, TSA, Frequently Asked Questions  – Secure Flight, http://www.tsa.gov/content/ frequently-asked-questions-secure-flight (zuletzt geprüft am 15.03.2015); für eine gute Übersicht über Secure Flight-Daten in Gegenüberstellung zu API-Daten siehe Elias, Airport and aviation security, S. 174. 593 TSA, Frequently Asked Questions – Secure Flight. 594 TSA, Frequently Asked Questions – Secure Flight mit weiteren Ausführungen zu Vorteilen des Secure Flight-Systems sowie weiteren für den Passagier relevanten Informationen. 595 TSA, Frequently Asked Questions – Secure Flight. 596 TSA, Frequently Asked Questions – Secure Flight; siehe auch TSA, Press Release – TSA’s Secure Flight Begins Vetting Passengers, 31.03.2009, die eine vollständige Überprüfung der nationalen Flüge für Anfang 2010, für internationale Flüge für Ende 2010 vorsah. 597 Ausgenommen davon sind die Bundesstaaten Alaska und Hawaii; für eine Liste der betroffenen Flüge siehe http://www.tsa.gov/sites/default/files/assets/pdf/sf_overflight_table_ mspchange_19_29july2013.pdf (zuletzt geprüft am 15.03.2015). 598 Siehe ausführlich zu den Änderungen US DHS, Privacy Impact Assessment Update for Secure Flight, DHS/TSA/PIA – 018(e), 13.04.2012 sowie US DHS, Privacy Impact Assessment Update for Secure Flight, DHS/TSA/PIA-018(b), 15.08.2011.

§ 14 Grundlagen der Datenauswertung

391

werden sollte.599 Zudem nutzt auch das CBP zur Übertragung der ESTA-Resultate an die Fluggesellschaften das Secure Flight-System, um mehrere Benachrichtigungen zu einem Passagier durch verschiedene Behörden zu vermeiden, wobei die TSA jedoch nicht auf die ESTA-Ergebnisse zugreift, sondern diese lediglich überträgt.600 Des Weiteren nutzt die TSA nun auch Daten zum Trusted Traveler Programm des CBP und zum TSA pre-check Programm, um bestimmten, vorher besonders überprüften Passagieren die Möglichkeit beschleunigter Sicherheitskontrollen zu geben.601 Zu diesem Zweck erhebt die TSA auch Vielfliegerinformationen von den Fluggesellschaften.602 Außerdem wird  – nach Aussagen des DHS  – die Sicherheitsüberprüfung erhöht, indem ein automatisierter zufälliger Auswahlprozess zur weiteren Sicherheitsprüfung in das Secure Flight-System eingefügt wird.603 Die in Bezug auf den Datenschutz tiefgreifendste Neuerung für das Secure Flight-System ist eine Verbindung mit dem ATS, dem Auswertungssystem des CBP, um dadurch auch Personen aufzufinden, die eventuell ein Risiko darstellen und kriminellen oder terroristischen Aktivitäten nachgehen könnten.604 Somit nutzt die TSA durch die Verbindung mit dem ATS nun doch ein System, das auf kommerzielle und öffentlich zugängliche Informationen zugreift und Informationen – ähnlich wie PNR-Daten – nach vorher festgelegten Rastern auswertet und daraufhin Entscheidungen zur weiteren Überprüfung fällt. Eine solche Auswertung war im Rahmen der Entstehung des Secure Flight-Programms gerade heftig diskutiert worden und führte u. a. zur zeitweisen Aussetzung seiner Entwicklung. Nun besteht zumindest wieder eine Verbindung zu einem System, das den kritisierten Datenabgleich vornehmen kann. Interessanterweise gibt das DHS in einem seiner Privacy Impact Assessments für das Secure Flight-System selbst an, dass Secure Flight-Daten nicht mit den PNR-Daten übereinstimmen und trifft zudem Aussagen zur Vereinbarkeit mit der ­ ecure DSRL: „SFPD [Secure Flight Passenger Data] collected by TSA under S Flight is security information exempt from European Union Data Protection D ­ irec­ 599 US DHS, Privacy Impact Assessment Update for Secure Flight, DHS/TSA/PIA-018(b), 15.08.2011, S. 2 sowie ausführlich S. 4 f. mit einer Auflistung der Rechtsgrundlage sowie der relevanten Krankheiten. 600 US DHS, Privacy Impact Assessment Update for Secure Flight, DHS/TSA/PIA-018(b), 15.08.2011, S. 2, 5. 601 US DHS, Privacy Impact Assessment Update for Secure Flight, DHS/TSA/PIA – 018(e), 13.04.2012, S. 1, 2. 602 US DHS, Privacy Impact Assessment Update for Secure Flight, DHS/TSA/PIA – 018(e), 13.04.2012, S. 1, 2. 603 US DHS, Privacy Impact Assessment Update for Secure Flight, DHS/TSA/PIA-018(b), 15.08.2011, S.  2, 5: „Secure Flight will also transmit instructions to the airlines identifying individuals requiring enhanced screening derived from real-time threat-based intelligence­ scenarios run by the CBP Automated Targeting System (ATS)“; US DHS, Privacy Impact Assessment Update for Secure Flight, DHS/TSA/PIA – 018(e), 13.04.2012, S. 3, 4. 604 Siehe US DHS, Privacy Impact Assessment Update for Secure Flight, DHS/TSA/PIA-018(b), 15.08.2011, S. 2, 5; US DHS, Privacy Impact Assessment Update for Secure Flight, DHS/TSA/ PIA – 018(e), 13.04.2012, S. 3, 4.

392

Teil 3: Die Übermittlung von PNR-Daten in die USA 

tives and typically from other data privacy governance around the world. It is not the same as PNR which is collected by aircraft operators for commercial purposes and thus, it is not subject to the DHS-EU PNR agreement“.605 Ob Secure FlightDaten schlicht als von Datenschutzregelungen ausgenommen angesehen werden können, ist fraglich. Dass sie jedoch nicht unter die PNR-Abkommen fallen, ist auf Grund ihrer anderen Verwendung und ihres Umfangs zutreffend. Fraglich ist, ob für sie eine eigene Regelung, die den Datenfluss in die USA legitimiert, geschaffen werden muss. Dies ist noch zu klären. V. APIS Ein weiteres System, das zur Verarbeitung von Fluggastdaten, insbesondere API-Daten verwendet wird, ist das System APIS. In engem Zusammenhang mit APIS stehen vor allem das TECS, ferner die Systeme BCI (Border Crossing Information) und ADIS (Arrival and Departure Information System) sowie andere Systeme und Datenbanken. Bereits 1988 wurde von Vorgängerbehörden des CBP das APIS als ein Modul des sog. Treasury Enforcement Communications System (heute nur noch TECS) geschaffen, ein System, das von Beamten an der Grenze genutzt wird und sie bei der Grenzabfertigung und insbesondere bei Fragen der Einreiseerlaubnis unterstützt.606 TECS selbst enthält neben dem APIS als Untersystem noch weitere Untersysteme wie das BCI-System, die sich alle auf der TECS Plattform befinden.607 TECS wird vom DHS wie folgt beschrieben: „TECS is an information-sharing platform, which allows users to access different databases that may be maintained on the platform or accessed through the platform, and the name of a system of records that include temporary and permanent enforcement, inspection, and operational records relevant to the anti-terrorism and law enforcement mission of CBP and numerous o­ ther fed 605

US DHS, Privacy Impact Assessment for the Secure Flight Program, 21.10.2008, S. 14 f. Vgl. Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 7, Fn. 28 sowie S. 8 zur Weiterübermittlung in weitere Komponenten von TECS; US DHS CBP, Federal Register Vol. 72, No. 163 19 CFR Parts 4 and 122; 6 CFR Part 5; Advance Electronic Transmission of Passenger and Crew Member Manifests for Commercial Aircraft and Vessels; Final Rule, 23.08.2007; US DHS, Privacy Impact Assessment for the TECS System: CBP Primary and Secondary Processing, 22.12.2010, S. 25, http://www.dhs. gov/xlibrary/assets/privacy/privacy-pia-cbp-tecs.pdf (zuletzt geprüft am 15.03.2015); siehe auch die Beschreibung durch das DHS „APIS is a border security system which permits the advance vetting of persons intending to cross the U. S. border. The data collected within APIS is maintained using an existing data module that is part of TECS, an established law enforce­ ment and border security database within CBP.“ (US DHS, Privacy Impact Assessment for the Advance Passenger Information System – APIS, 18.11.2008, S. 23, http://www.dhs.gov/ xlibrary/assets/privacy/privacy_pia_cbp_apisfinalrule.pdf (zuletzt geprüft am 15.03.2015)). 607 Siehe dazu und zu den anderen Untersystemen US DHS, Privacy Impact Assessment for the TECS System: CBP Primary and Secondary Processing, 22.12.2010, S. 25, zudem zu weiteren Systemen, die mit TECS verbunden sind, S. 27 f. 606

§ 14 Grundlagen der Datenauswertung

393

eral agencies that it supports. TECS not only provides a platform for interaction between these databases and defined TECS users, but also serves as a data repository to support law enforcement ‚lookouts‘, border screening, and reporting for CBP’s primary and secondary inspection processes.“.608 TECS erlaubt CBP-Beamten zudem Freitexteingaben von Gegebenheiten, die ihnen bspw. beim Gespräch während der Einreiseformalitäten aufgefallen sind und Informationen über bestimmte Gegenstände im Besitz des Reisenden oder bestimmte Verhaltensweisen und Angaben enthalten (sog. MOIRs – Memoranda of Information Received).609 Nach den Anschlägen des 11.  September 2001 wurde die Übermittlung von API-Daten gemäß dem Aviation Transportation Security Act of 2001 (ATSA) für kommerzielle Flug- und Schiffsverbindungen in die USA, sowie gemäß dem Enhanced Border and Visa Entry Reform Act of 2002 (EBSVERA) für kommerzielle Flug- und Schiffsverbindungen aus den USA verpflichtend.610 Zweck der Er­hebung von API-Daten ist, – wie das DHS angibt – Anfragen von Strafverfolgungsbehörden nachzukommen und Passagiere und Crewmitglieder zu identifizieren, die ein hohes Risiko oder eine Bedrohung für ein Schiff, Flugzeug oder die nationale Sicherheit darstellen und gleichzeitig das Reisen von gesetzestreuen Passagieren und Crewmitgliedern zu vereinfachen und dazu beizutragen, die Einreise in die USA zu vereinfachen und zu beschleunigen.611 Neben der Erhebung der im maschinenlesbaren Teil  des Reisepasses befindlichen API-Daten612 direkt beim Reisenden vor dem Abflug werden folgende weitere API-Daten durch die Fluggesellschaft an das CBP übermittelt: die erste Adresse, an der sich der Passagier in den USA aufhalten wird; der Flughafen, an dem die Passagiere und die Crew ihre Reise in die USA begannen bzw. an dem sie nach einer Reise aus den USA ankommen werden; der Ort, an dem die Einreiseformalitäten erledigt werden sollen; bei Passagieren und Crewmitgliedern, die sich lediglich zu Transitzwecken in den USA aufhalten, ihren Ankunftsflughafen sowie bei Crewmitglieder diese Informationen auch, wenn sie lediglich die USA überfliegen; den Status des Crewmitglieds an Bord sowie des Weiteren Ankunfts 608

US DHS, Privacy Impact Assessment Update for the TECS System, 05.08.2011, S. 2. Siehe dazu mit weiteren Ausführungen US DHS, Privacy Impact Assessment Update for the TECS System, 05.08.2011, S. 2. 610 ATSA: P. L. 107–71, 19.11.2001, 115 Stat. 597; § 115; EBSVERA: P. L. 107–173, May 14, 2002, 116 Stat. 543, § 402; Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 7; US DHS CBP, Federal Register Vol. 72, No. 163 19 CFR Parts 4 and 122; 6 CFR Part 5; Advance Electronic Transmission of Passenger and Crew Member Manifests for Commercial Aircraft and Vessels; Final Rule, 23.08.2007, S. 48321. 611 US DHS, Privacy Impact Assessment Update for the Advance Passenger Information System (APIS), 05.06.2013, S. 2: „The purpose of this collection is to perform law enforcement queries and to identify high-risk passengers and crew members who may pose a risk or threat to vessel or aircraft safety or to national security, while simultaneously facilitating the travel of legitimate passengers and crewmembers. This information collection also assists in expediting processing of travelers at ports of entry, resulting in a significant time savings“. 612 Siehe zu den erhobenen Daten oben S. 310 ff. 609

394

Teil 3: Die Übermittlung von PNR-Daten in die USA 

bzw. Abflugsdatum, Airlinecode, Flugnummer, Ankunfts- und Abflugsort sowie das Land, in dem das Flugzeug registriert ist.613 Nach Ankunft am Zielflughafen werden die API-Daten durch die Reisedokumente verifiziert sowie ein sog. ID Inspector hinzugefügt.614 Durch die Verwendung des APIS können die Beamten schnell auf die Ergebnisse einer Suchanfrage an die Strafverfolgungsdatenbanken zugreifen und dadurch unverzüglich Entscheidungen bzgl. des vom Reisenden ausgehenden Sicherheitsrisikos treffen, bspw. die Einreise erlauben oder versagen oder eine andere Entscheidung des Kontroll- und Screeningprozesses des CBP (bspw. genauere Überprüfung des Passagiers) treffen.615 Das APIS selbst analysiert keine Daten, jedoch kann auf die im APIS hinterlegten API-Daten von anderen Systemen wie dem ATS aus zugegriffen werden und dadurch eine Datenanalyse vorgenommen werden.616 Die Informationen, die sich im APIS befinden, werden mit anderen Datenbanken des CBP wie TECS, Auswertungssystemen wie dem ATS, Informationen in der Terrorist Screening Database TSBD (und somit Kontrolllisten), ausstehenden Haftbefehlen und Informationen, die bei anderen Bundesbehörden vorgehalten werden, abgeglichen sowie auch zur Aufdeckung von Verletzungen des US-Straf- bzw. Zivilgesetze genutzt.617 Während der Sicherheitsüberprüfung werden bestimmte API-Daten in das BCISystem (Border Crossing Information) kopiert, nämlich Name, Geburtsdatum, Geschlecht, Ankunfts- und Abreisedatum, Ankunftszeit, Luft- oder Seeweg, primary inspection lane, ID Inspector, Reisedokument, Abreiseort, Airlinecode, Flugnummer sowie das Ergebnis der Überprüfung durch das CBP; eine weitere Kopie erfolgt in TECS.618 Das BCI ist ein System, das Informationen über den Grenzübertritt von Personen sammelt, auswertet und u. U. an andere Stellen weitergibt.619 Außerdem erfolgt eine Kopie von gewissen API-Daten von Reisenden, die unter das US-VISIT-Programm fallen, in das Arrival and Departure Information System (ADIS); diese Daten sind: Name, Geburtsdatum, Geschlecht, Staatsangehö 613 US DHS, Privacy Impact Assessment for the Advance Passenger Information System – APIS, 18.11.2008, S. 8; mit zusätzlichen Informationen zur Vorgehensweise bei nichtkommerziellen Flügen. 614 US DHS, Privacy Impact Assessment for the Advance Passenger Information System – APIS, 18.11.2008, S. 8. 615 US DHS, Privacy Impact Assessment for the Advance Passenger Information System – APIS, 18.11.2008, S. 10, 8. 616 US DHS, Privacy Impact Assessment for the Advance Passenger Information System – APIS, 18.11.2008, S. 11. 617 US DHS, Privacy Impact Assessment for the Advance Passenger Information System – APIS, 18.11.2008, S. 10, siehe auch Elias, Airport and aviation security, S. 176. 618 US DHS, Privacy Impact Assessment for the Advance Passenger Information System – APIS, 18.11.2008, S. 3. 619 Siehe dazu US DHS, DHS-2008-0024, Border Crossing Information, SORN, Vol.  73, No. 144, 25.07.2008; zu Kritik daran siehe The Identity Project, DHS plays a „shell game“ with border crossing records, http://www.papersplease.org/wp/2008/08/25/dhs-plays-a-shell-gamewith-border-crossing-records/ (zuletzt geprüft am 15.03.2015).

§ 14 Grundlagen der Datenauswertung

395

rigkeit, für Personen, die in den USA arbeiten dürfen, die Passnummer, die Alien Registration Nummer sowie das Ausstellungsland des Passes, Abflugsdatum, Ankunftsdatum, Ausreiseflughafen, Datum der Ausreise, Land des Wohnortes, Status an Bord des Beförderungsmittels, Adresse innerhalb der USA sowie Ablaufdatum des Reisepasses.620 Das US-VISIT-System speichert Fingerabdrücke sowie Fotos von Einreisenden und gleicht sie bspw. mit bei Beantragung eines Visas angegebenen biometrischen Daten ab.621 Das ADIS ist ein System zur Speicherung und Nutzung von biographischen und biometrischen Daten sowie von Daten von Nicht-US-Bürgern, die eine Einreise beantragt haben, eingereist oder die USA verlassen haben (sog. encounter data) und wird unter anderem dazu genutzt, die Personen zu identifizieren, die ihren Aufenthalt über die ihnen gestattete Zeitspanne hinaus verlängert haben.622 Die Speicherdauer in APIS beträgt 12 Monate, in anderen Systemen, in die die API-Daten kopiert werden, kann eine Speicherung jedoch durchaus länger erfolgen.623 API-Daten werden oftmals als vorgezogene Passkontrolle bezeichnet. Wie an den Ausführungen, die sich auf offizielle Regierungsdokumente stützen, gesehen werden kann, geht die API-Datenauswertung jedoch darüber hinaus. Somit ist auch hier im Rahmen der Untersuchung zu klären, ob die Datenübermittlung durch eigene Abkommen zu regeln ist. VI. ESTA Als weiteres System zur Auswertung von Daten, die vor einer Flugreise in die USA übermittelt werden müssen, ist das Electronic System for Travel Autho­ rization (ESTA) zu nennen. Der 9/11 Act, der am 3. August 2007 unterzeichnet wurde, forderte in section 711, der die Modernisierung des Visa Waiver Program regelt, eine Ausweitung und Verbesserung des Programms inklusive der Entwicklung eines vollautomatischen Systems – dem Electronic System for Travel Autho­ rization: Demnach sollten Personen aus Ländern, die am Visa Waiver Program teilnehmen, also für bestimmte Zwecke kein Visum bei der Botschaft beantragen 620 US DHS, Privacy Impact Assessment for the Advance Passenger Information System – APIS, 18.11.2008, S. 3. 621 Zu weiteren Informationen über das US-VISIT-System siehe die Homepage des DHS unter http://www.dhs.gov/us-visit-traveler-information (zuletzt geprüft am 15.03.2015). 622 Siehe dazu ausführlich US DHS, DHS-2007-0049, Arrival and Departure Information System (ADIS), SORN, 22.08.2007, http://www.gpo.gov/fdsys/pkg/FR-2007-08-22/html/E716473.htm (zuletzt geprüft am 15.03.2015); encounter data werden dort wie folgt beschrieben: „Encounter data provides the context of the interaction between the immigrant or non-­ immigrant and the border management authority. This data includes, but is not limited to, encounter location, document types, document numbers, document issuance information, and address while in the United States“; es ist auch eine Freitexteingabe in ADIS möglich. 623 US DHS, Privacy Impact Assessment for the Advance Passenger Information System – APIS, 18.11.2008, S. 13.

396

Teil 3: Die Übermittlung von PNR-Daten in die USA 

müssen, vor ihrer Reise auf dem Luft- oder Seeweg in die USA im Besitz einer zuvor über ESTA beantragten Reisegenehmigung sein.624 Dies gibt gleichzeitig dem DHS die Möglichkeit, den Antragsteller einer vollen Sicherheitsüberprüfung zu unterziehen, um u. a. seine Berechtigung, unter dem Visa Waiver Program ein­ reisen zu dürfen, zu bestimmen.625 Das System ist sei Januar 2009 vollständig einsatzbereit.626 ESTA ist ein unabhängiges, neukonstruiertes System mit einer webbasierten Benutzeroberfläche, das mit den Systemen TECS und insbesondere manche Funktionen des auf TECS aufbauenden APIS627 (zum Auffinden von Personen, die für die Strafverfolgungsbehörden von Interesse sind)  und ATS (zum Auffinden von Terroristen oder Bedrohungen für den Flugverkehr oder die Sicherheit der Grenzen) sowie anderen CBP-Sicherheitsüberprüfungssystemen (DHS IT Systems) in Verbindung steht und diese nutzt.628 Neben den genannten Datenbanken erfolgt auch ein Abgleich mit einer INTERPOL-Datenbank zu verlorenen oder gestohlenen Pässen.629 ESTA selbst analysiert jedoch keine Daten, sondern nutzt die genannten Systeme des DHS.630 Der ESTA-Antrag erfolgt über eine sichere Webseite, auf der auch der Status der Reisegenehmigung überprüft werden kann, wobei das DHS Reisenden rät, die ESTA-Genehmigung mindestens 72 Stunden vor Reiseantritt in die USA zu beantragen, um im Falle einer Ablehnung alternative Möglichkeiten in Betracht ziehen zu können.631 Für den Antrag müssen die Reisenden online über die Webseite ein Formular mit den verlangten Informationen korrekt ausfüllen, dies bestä 624 US DHS, Privacy Impact Assessment for the Electronic System for Travel Authorization (ESTA), 02.06.2008, S.  2, http://www.dhs.gov/xlibrary/assets/privacy/privacy_pia_cbp_esta_ 20080602.pdf (zuletzt geprüft am 15.03.2015); zur Beantragung der Reisegenehmigung durch Dritte (bspw. Verwandte oder das Reisebüro), S. 5 u. 8. 625 US DHS, Privacy Impact Assessment for the Electronic System for Travel Authorization (ESTA), 02.06.2008, S. 2. 626 Elias, Airport and aviation security, S. 178. 627 So zumindest US DHS, Privacy Impact Assessment for the Electronic System for Travel Authorization (ESTA), 02.06.2008, S. 11. 628 US DHS, Privacy Impact Assessment for the Electronic System for Travel Authorization (ESTA), 02.06.2008, S.  24, 9, 3 mit weiteren Ausführungen zu den technischen Vorausset­ zungen. 629 Elias, Airport and aviation security, S. 179. 630 US DHS, Privacy Impact Assessment for the Electronic System for Travel Authorization (ESTA), 02.06.2008, S. 9; dazu auch US DHS, Privacy Impact Assessment Update for the Electronic System for Travel Authorization – Internet Protocol Address and System of Records Notice Update, DHS/CBP/PIA-007(b), 18.07.2012, http://www.dhs.gov/sites/default/files/publica tions/privacy/privacy_piaupdate_cbp_esta_07182012.pdf (zuletzt geprüft am 15.03.2015) sowie zuletzt US DHS, Privacy Impact Assessment Update for the Electronic System for Travel Authorization, 05.06.2013, https://www.dhs.gov/sites/default/files/publications/privacy-pia-cbp-estaupdate-20130606.pdf (zuletzt geprüft am 15.03.2015). 631 US DHS, Privacy Impact Assessment for the Electronic System for Travel Authorization (ESTA), 02.06.2008, S. 7.

§ 14 Grundlagen der Datenauswertung

397

tigen632 und elektronisch absenden.633 Daraufhin wird dem Antrag von ESTA eine individuelle Kennziffer zugewiesen, die u. a. dem Antragsteller dazu dient, durch deren Eingabe in Kombination mit anderen persönlichen Informationen auf die ESTA-Webseite zuzugreifen, dort seinen Antrag aufzurufen und zu aktualisieren sowie auch den Status der Bearbeitung zu überprüfen.634 Nach Abschluss der Eingabe werden die Informationen durch das System übertragen, sowie die Sicherheitsüberprüfung vorgenommen und die Daten gespeichert.635 Das DHS wird die durch ESTA gesammelten Informationen – nach eigenen Angaben – dazu nutzen, um zu bestimmen, ob die Reise eines Passagiers ein Sicherheitsrisiko darstellt, was durch eine Sicherheitsüberprüfung in Bezug auf die nationale Sicherheit, die Strafverfolgung, verlorene und gestohlene Pässe, frühere Visumsstornierungen bzw. -rücknahmen sowie die Berechtigung zur Teilnahme am Visa-Waiver-Program erfolgt.636 Das CBP wird dazu im Einzelnen die Informationen an die CBP-Programme zu Sicherheitsüberprüfungen weiterleiten, um zunächst zu bestimmen, ob der Antragsteller aus einem Land stammt, das an dem Visa-Waiver-Program teilnimmt, anschließend die Daten mit der Terrorist Screening Database (TSDB) sowie den Datenbanken für verlorene oder gestohlene Pässe von Interpol und dem US-Außenministerium abgleichen und auch die Datenbank des Außenministerium zu Visumsrücknahmen befragen, um zu bestimmen, ob in der Reise des Antragstellers ein Sicherheitsrisiko zu sehen ist. Sollte es zu negativen Resultaten kommen, wird der Antrag an das CBP National ­Targeting 632 Die erforderlichen Informationen sind: Geburtsdatum, Geburtsland, Land des Hauptwohnsitzes, E-Mail-Adresse, Vor- und Nachname, Geschlecht, Telefonnummer, Ausstellungsund Ablaufdatum sowie Ausstellungsland und Nummer des Reisepasses, Angaben zum Namen der Transportgesellschaft, die Flugnummer bzw. der Name des Schiffes, der Abflugort, die Zieladresse in den USA, Kreditkarteninformationen für die Rechnungsausstellung, Angaben zu ansteckenden Krankheiten, körperlichen oder geistigen Erkrankungen, Drogenkonsum, Angaben über vorangegangene Straffälligkeit und Verurteilung, Angaben darüber, ob in den USA ein Beschäftigungsverhältnis aufgenommen oder ein US-Bürger an der Ausübung eines Sorgerechts für ein Kind gehindert werden soll, Angaben zu früheren Verweigerungen der Einreise in die USA sowie Angaben über die Inanspruchnahme auf Schutz vor Strafverfolgung; für eine Auflistung und weitere Ausführungen zu den aktuell notwendigen Informationen siehe https://esta.cbp.dhs.gov/esta/WebHelp/helpScreen_de.htm#ata2 (zuletzt geprüft am 15.03.2015). 633 US DHS, Privacy Impact Assessment for the Electronic System for Travel Authorization (ESTA), 02.06.2008, S. 7. 634 US DHS, Privacy Impact Assessment for the Electronic System for Travel Authorization (ESTA), 02.06.2008, S. 7; eine Aktualisierung ist jedoch nur in Bezug auf die Adresse in den USA, die Fluggesellschaft, die Flugnummer, den Abflughafen, die E-Mail-Adresse sowie die Telefonnummer möglich; andere Änderungen ziehen möglicherweise eine andere Entscheidung hinsichtlich der Einreisegenehmigung nach sich, sodass eine neue Einreiseerlaubnis beantragt werden müsste. 635 US DHS, Privacy Impact Assessment for the Electronic System for Travel Authorization (ESTA), 02.06.2008, S. 7. 636 US DHS, Privacy Impact Assessment for the Electronic System for Travel Authorization (ESTA), 02.06.2008, S. 8 f.

398

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Center (NTC)637 zu weiteren Sicherheitsüberprüfungen weitergeleitet und bei dessen Ablehnung an das Außenministerium weitergeleitet.638 Die Informationen zum ESTA-Antrag werden zudem bei der Einreise durch CBP-Grenzbeamte überprüft, indem die bei ESTA angegebenen Daten mit denen des Reisepasses abgeglichen werden.639 Nach der vorgenommenen Sicherheitsüberprüfung wird ESTA nach Speicherung im System eines von drei möglichen Resultaten über das System kommunizieren, die durch den Antragsteller eingesehen werden können: Die möglichen Resultate sind „authorized to travel“ (Reisegenehmigung erteilt für zwei Jahre bzw. bis zum Ablauf des Reisepasses), „pending“ (Verfahren noch nicht abgeschlossen, Aufforderung später nochmals die Webseite für weitere Informationen aufzusuchen) oder „not authorized to travel“ (Reisegenehmigung nicht erteilt und Hinweise zur Beantragung eines Visums bei einer US-Vertretung).640 Das Ergebnis der Sicherheitsüberprüfung wird auch mit Hilfe des APIS/AQQ Systems641 an die Fluggesellschaften übertragen, damit diese über den Status des Passagiers informiert sind und nach einem Abgleich des Reisepasses beim Check-In mit den über ESTA angegebenen Informationen entsprechend das Boarding verweigern bzw. erlauben können.642 Bei ESTA handelt es sich lediglich um eine Reisegenehmigung und nicht um eine Einreisegenehmigung, da auch einem von ESTA autorisierten Reisenden nach einer weiteren Überprüfung bei der Einreise diese noch verweigert werden kann.643 ESTA kann im Rahmen der Luftsicherheit als Ergänzung zu den Funktionen des APIS sowie als zusätzliche, frühzeitige „Sicherheitsschicht“ angesehen werden, um Unregelmäßigkeiten aufzudecken, die ansonsten möglicherweise unentdeckt geblieben wären und u. U. sogar Passagiere bereits daran zu hindern, überhaupt ein Flugticket zu kaufen.644 Zwar sei der Hauptzweck von ESTA, die Zoll- und Einwanderungskontrolle an internationalen Flughäfen zu stärken, es habe aber auch den zusätzlichen Vorteil, Passagiere bereits vor einem Screening durch APIS überprüfen zu können645 637

Zum NTC siehe bspw. Elias, Airport and aviation security, S. 177. US DHS, Privacy Impact Assessment for the Electronic System for Travel Authorization (ESTA), 02.06.2008, S. 9; die Weiterleitung an das Außenministerium erfolgt, da bei negative Bescheidung der Genehmigung immer noch ein Visum beantragt werden kann. 639 US DHS, Privacy Impact Assessment for the Electronic System for Travel Authorization (ESTA), 02.06.2008, S. 9 u. 10. 640 US DHS, Privacy Impact Assessment for the Electronic System for Travel Authorization (ESTA), 02.06.2008, S. 7, 9. 641 Siehe zum APIS/AQQ oben S. 310 ff. 642 US DHS, Privacy Impact Assessment for the Electronic System for Travel Authorization (ESTA), 02.06.2008, S. 9 u. 10. 643 Elias, Airport and aviation security, S. 179. 644 Elias, Airport and aviation security, S. 179. 645 Elias, Airport and aviation security, S. 179. 638

§ 14 Grundlagen der Datenauswertung

399

VII. ATS Ein weiteres System, das zur Auswertung von Passagierdaten herangezogen wird, ist das Automated Targeting System (ATS). Da es weder möglich war, alle Personen, die in die USA einreisen möchten, genau zu kontrollieren noch alle Waren, die in die USA eingeführt wurden, tatsächlich zu inspizieren, entwickelte der nun im DHS aufgegangene U. S. Customs Service Mitte der 1990er Jahre das ATS in seiner ursprünglichen Form.646 Das System war zunächst dazu ausgelegt und darauf beschränkt, Grenzbeamte dabei zu unterstützen, u. a. bereits durch Drogenhandel oder Schmuggel aufgefallene Personen wie Spediteure, Händler oder auch Unternehmen zu identifizieren und eine weitere Überprüfung zu veranlassen.647 Nach den Anschlägen des 11. September 2001 wurde das System jedoch umgestaltet und in seinem Anwendungsbereich mit dem Ziel ausgeweitet, auch bereits bekannte oder mutmaßliche Terroristen aufzuspüren und eine Risiko­einschätzung für Passagiere und Fracht abzugeben.648 Als Rechtsgrundlage für das ATS, jedoch wohl nicht als abschließend angesehen,649 gibt das DHS 19 U. S. C. §§ 482, 1461, 1496, 1581, 1582; 8 U. S. C. § 1357; 49 U. S. C. § 44909; den Enhanced Border­ Security and Visa Reform Act of 2002 (EBSVRA) (Pub. L. No. 107–173); den Trade Act of 2002 (Pub. L. No. 107–210); den Intelligence Reform and Terrorism Prevention Act of 2004 (IRTPA) (Pub. L. No. 108–458) sowie den Security and Accountability for Every Port Act of 2006 (SAFE Port Act) (Pub. L. No. 109–347) an.650 Das ATS selbst wird als Entscheidungshilfe für die jetzt zuständige Zoll- und Grenzschutzbehörde der USA, CBP, verwendet und gleicht Informationen über Reisende, Fracht und Beförderungsmittel mit Strafverfolgungs-, Geheimdienstund anderen Informationen, die zur Rechtsdurchsetzung herangezogen werden, ab.651 Es nutzt risikobasierte Auswertungskriterien, um eine Auswahl zu treffen, welche Passagiere bspw. einer weiteren Überprüfung unterzogen werden.652 Das ATS hat drei Grundfunktionen: Zunächst die Abgleichsfunktion (Comparison) mit bestehenden Datenbanken wie der Terrorist Screening Database (TSDB) 646 Elias, Airport and aviation security, S. 176 f.; Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 8. 647 Vgl. Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 8; Elias, Airport and aviation security, S. 177. 648 Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 8. 649 Das DHS spricht von: „ATS derives its authority primarily from […]“ (Hervorhebung hinzugefügt). 650 US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 9, http://www.dhs.gov/xlibrary/assets/privacy/privacy_pia_cbp_ats006b.pdf (zuletzt geprüft am 15.03.2015). 651 US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 2. 652 US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 2: „risk-based targeting scenarios and assessments“; Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 8.

400

Teil 3: Die Übermittlung von PNR-Daten in die USA 

oder ausstehenden Haftbefehlen, des Weiteren die risikobasierte Auswertung der Daten auf bestimmte vorher festgelegte Muster, die auf Erfahrungen von CBPBeamten, der Analyse von bisherigen verdächtigen Aktivitäten oder Strafverfolgungs- und Geheimdienstinformationen653 basieren und schließlich eine Suchfunktion (Federated Query), die Nutzern erlaubt, in vielen verschiedenen Datenbanken und Systemen zu suchen und eine konsolidierte Übersicht über Daten, die auf eine Anfrage in Bezug auf eine Person oder Gesellschaft zutreffen, zu erhalten.654 Zur Ausführung der genannten drei Funktionen bedient sich das ATS Informationen aus einer Vielzahl verschiedener Systeme, wobei in manchen Fällen das ATS selbst die offizielle Quelle für die Informationen ist (sog. Official Record), in anderen Fällen das ATS die Informationen als Kopie eines anderen Systems vorhält (sog. Ingestion of Data) oder auf die Informationen in einem anderen System verweist (sog. Pointer System).655 Das ATS ist bspw. offizielle Quelle für PNR-­Daten,656 die Kombination von Nummernschildinformationen, beim Department of Motor Vehicle (DMV) hinterlegte Daten und auch für biographische Daten im Zusammenhang mit einer Grenzüberschreitung sowie auch für verschiedene Daten, die zur Strafverfolgung dienen.657 Geheimdienstinformationen sowie von CBP-Analysten entwickelte Projekte, die auch öffentlich zugängliche Informationen enthalten können, gehören ebenfalls dazu.658 Beispiele für im ATS als Kopien – zumindest in entscheidenden Teilen enthaltene – Datenbanken sind u. a. das Arrival and Departure Information System (ADIS), das Advance Passenger Information System (APIS), das Electronic System for Travel Authorization (ESTA), das Student Exchange and Visitor Information System (SEVIS), die Terrorist Screening Database (TSDB) sowie bspw. auch eine Datenbank über Personen, denen die Erteilung eines Visums verweigert wurde.659 ATS greift zudem auf zusätzliche Datenbanken zu wie bspw. das Automated Biometric Identification System des DHS (IDENT), das National Crime Information Center des Justizministeriums (NCIC), die private Datenbank gestohlener Kraftfahrzeuge (National Insurance Crime Bureau – NICB) und nutzt diese, ohne die Daten jedoch direkt in das eigene System zu inkorporieren.660 653

„The patterns are based on CBP officer experience, analysis of trends of suspicious activity, law enforcement cases and raw intelligence.“ 654 US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 2. 655 US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 2 f., für eine ausführliche Zusammenfassung der verschiedenen Quellen und ihre Zuordnung siehe S. 3. 656 Rechtsgrundlage für die Erhebung durch das CBP ist 49 U. S.C § 44909 in der Umsetzung durch 19 C. F. R. 122.49d. 657 US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 3. 658 US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 3. 659 US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 3; als Gründe für das Vorhalten der Datenbanken wird vom DHS „to minimize the impact of processing searches on the operational systems and to act as a backup for certain operational systems“ angeführt. 660 US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 3; für eine Auflistung der Datenbanken siehe auch Appendix D, S. 39.

§ 14 Grundlagen der Datenauswertung

401

Mittlerweile gibt es zudem Schnittstellen zur TSA im Rahmen eines „Common Operating Picture (COP) program“, das zusätzlich den Austausch von Informationen über Passagiere auf Beobachtungslisten zwischen den Behörden als neues Element des ATS ermöglicht.661 Des Weiteren wird das ATS auch dazu verwendet, bestimmte Daten von Hand zu bearbeiten, um u. a. bestimmte Daten zueinander in Beziehung zu setzen.662 Das ATS besteht aus insgesamt fünf verschiedenen Modulen:663 Das Automated Targeting System-Antiterrorism (ATS-AT), das Automated Targeting System-N (ATS-N), das Automated Targeting System-Land (ATS-L), das für Passagierdaten besonders relevante Automated Targeting System-Passenger (ATS-P), sowie ein Verbindungsmodul, das Automated Targeting System-Targeting Framework (ATS-TF). Alle ATS-Module und Webressourcen befinden sich im National Data Center (NDC) und/oder in den Datencentern des DHS und können durch eine webbasierte Benutzeroberfläche oder verschlüsselte mobile Geräte von autorisierten Beamten aufgerufen werden.664 Das Automated Targeting System-Antiterrorism (ATS-AT) evaluiert die von Exporteuren in Bezug auf Frachtgut übermittelten Informationen und gleicht diese mit vorhandenen Informationen über bspw. Schmuggel von Arzneimitteln oder Geld hinsichtlich etwaiger Auffälligkeiten ab.665 Das Automated Targeting System-N (ATS-N) wertet bspw. aus den Ladepapieren gewonnene Informationen über Frachtgut, das in die USA importiert wird, oder mit dem Import im Zusammenhang stehendenen Personen aus und erstellt eine Sicherheitseinschätzung, um verdächtiges Frachtgut zu identifizieren, zur genauen Kontrolle auszuwählen oder zu stoppen.666 Das Automated Targeting System-Land (ATS-L) wertet frühere Ein- und Ausreisen von Personen im Abgleich mit verschiedenen Datenbanken aus und evaluiert auch im ATS-L gespeicherte Fahrzeugdaten wie Daten zu Nummernschildern, um Auffälligkeiten aufzudecken und weitere Maßnahmen zu veranlassen.667 661 US DHS, Privacy Impact Assessment Update for the Automated Targeting System – TSA/ CBP Common Operating Picture Program, DHS/CBP/PIA – 006 (c), 31.01.2014, http://www. dhs.gov/sites/default/files/publications/privacy-pia-cbp-atsupdate-01312014.pdf (zuletzt geprüft am 15.03.2015). 662 US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 4. 663 Siehe dazu ausführlich US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 4 ff.; für eine zuvor vorgenommene Kategorisierung siehe Krouse/ Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, S. 9 ff. 664 US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 9. 665 Dazu ausführlicher US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 4, zu den im Rahmen des ATS-AT u. a. erhobenen Daten siehe die Ausführungen und die Auflistung der Daten auf S. 10 f. 666 Dazu ausführlich US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 3 f. u. a.mit Darstellung der drei Submodule des ATS-N (ATS-I, CERTS und TAP), von denen ATS-I auch ausländischen Zollbehörden beschränkten Zugriff auf das System bietet; für eine Auflistung der im Rahmen des ATS-N u. a. erhobenen Daten siehe S. 11 f. 667 Dazu ausführlich US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 4 f mit Nennung der zur Abgleichung herangezogenen Datenbanken; zu den im Rahmen des ATS-L u. a. erhobenen Daten siehe die Ausführungen und die Auflistung der Daten auf S. 13.

402

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Das Automated Targeting System-Passenger (ATS-P) ist ein webbasiertes Instrument, das die Beamten des CBP an den Grenzen in der Entscheidungsfindung, ob eine genauere Überprüfung des Passagiers oder Crewmitglieds vorgenommen werden sollte, unterstützt und das genutzt wird, um Informationen zur Identifizierung von potentiellen Terroristen, international tätigen Kriminellen und anderen Personen, die ein Risiko für eine Verletzung von US-Recht darstellen, zu sammeln, zu analysieren und zu verbreiten.668 Neben den Grenzbeamten nutzen auch weitere Stellen die in ATS-P vorgehaltenen Informationen: Darunter sind die analytischen Einheiten des CBP an den Flug- und Seehäfen (sog. Passenger Analytical Units (PAUs)), das National Targeting Center (NTC), Beamte der sog. Border Patrol, Analysten von Geheimdienstinformationen im CBP-Hauptsitz, Analysten und Beamte im Department of Homeland Security, Beamte im Office of Intelligence and Analysis (I&A), die Polizei- und Zollbehörde United States Immigration and Customs Enforcement (ICE), die US-Küstenwache sowie die Transport­ sicherheitsbehörde TSA.669 Insbesondere das National Targeting Center (NTC), das bereits am 21. Oktober 2001 gegründet wurde, führt 24 Stunden und sieben Tage die Woche Analysen von Personen- und Frachtdaten zur Terrorismusbekämpfung durch das CBP aus und ist auch die Behörde innerhalb des CBP, die die PNRDaten zunächst erhält.670 Durch den Ausschluss von arbeitsintensiver „manueller“ Auswertung von Passagierdaten oder Interviews mit Passagieren erlaubt ATS-P – so die Aussage des DHS – die Konzentration auf Passagiere, die ein hohes Risiko darstellen, wozu der Auswertungsprozess der Informationen auf einer Reihe von benutzerdefinierten und einheitlichen Regeln basiert.671 ATS-P hat verschiedene Anwendungsgebiete. So wird ATS-P bspw. dazu genutzt, Visumsanträge für das Außenministerium zu prüfen oder Ankunfts- und Abflugsinformationen, die u. a. aus der Datenbank des Arrival and Departure Information System (ADIS) gewonnen werden, bspw. auf eine mögliche Überschreitung der zugelassenen Aufenthaltsdauer zu überprüfen.672 Mit Zugriff auf ATS-P können autorisierte DHS- oder CBP-Beamte Informationen von bereits genannten, mit 668

So US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 6. 669 US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 6. 670 Siehe dazu US Customs and Border Protection Today, National Targeting Center keeps terrorism at bay, März 2005, http://web.archive.org/web/20111023225909/http://www.cbp.gov/ xp/CustomsToday/2005/March/ntc.xml (zuletzt geprüft am 15.03.2015), (bspw. „Like modern day archeologists the personnel at U. S. Customs and Border Protection’s National Targeting Center (NTC) sift through information looking for miniscule pieces of evidence.“), sowie auch Elias, Airport and aviation security, S. 177. 671 US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 6; die Regeln, nach denen diese Auswertung erfolge, basierten wiederum auf verschiedenen Quellen, die vom DHS – sehr weit – mit „specific operational, tactical, intelligence, or local enforcement efforts“ beschrieben werden. 672 US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 6 u. a. mit Beschreibung des Vorgehens bei der Prüfung eines Visumsantrags oder dem Vorgehen bei Überschreitung der zugelassenen Aufenthaltsdauer.

§ 14 Grundlagen der Datenauswertung

403

Passagieren in Verbindung stehenden Datenbanken einsehen, Anfragen an andere Systeme der Bundesregierung stellen sowie auch auf öffentlich zugängliche Informationen im Internet über die Benutzeroberfläche des ATS-P zugreifen.673 Wie bereits beschrieben, enthält ATS-P auch – wie andere Module des ATS – Kopien anderer Datenbanken.674 ATS-P erlaubt zudem besonders autorisierten Personen, wohl DHS-Beamten,675 den Zugriff auf PNR-Daten, die von den Fluggesellschaften oder ihren Reservierungssystemen durch das Airline Reservation Monitoring System (ResMon) erhoben wurden: Dazu ist das ResMon an das Reservierungssystem der Fluggesellschaft gekoppelt und erlaubt dem Reservierungssystem der Flug­ gesellschaft PNR-Daten nach dem „Push-System“ zu übermitteln, bzw. erlaubt bei bestimmten Fluggesellschaften dem CBP die Daten nach einem festgelegten Ablaufplan nach dem „Pull-Verfahren“ aus dem Reservierungssystem zu ziehen.676 ResMon erlaubt außerdem autorisierten CBP-Beamten, Daten unter gewissen Umständen auf ad-hoc Basis, mit Zustimmung eines Vorgesetzten, nach dem Pull-Verfahren aus dem Reservierungssystem zu ziehen, um sicherzustellen, dass das CBP die neuesten erhältlichen Informationen über Hochrisiko-Passagiere oder -flüge erhält.677 Die im ATS-P enthaltenen personenbezogenen Daten umfassen die Folgenden, sind jedoch – nach Angaben des DHS – nicht auf diese beschränkt: Name, Alias­name, Adresse, Telefonnummer, E-Mail-Adresse, Nummernschildkennung des Fahrzeugs, Geburtsdatum, Staatsangehörigkeit, Geburtsland, Zahlungsinformationen (bspw. Kreditkartennummer), Geschlecht, Art des Reisedokuments, sowie Ausstellungsdatum, -ort und -land, Art und Nummer des Visums, dessen Ausstellungsdatum und -ort, den sog. Employment Occupation Code, falls Fingerabdrücke erhoben wurden, deren Nummer (FIN), physische Erscheinung der Person wie Größe, Gewicht, Augenfarbe oder Haarfarbe, PNR-Daten, Sozialversicherungsnummer, vom DHS als „ethnicity and/or race“ bezeichnete Daten (TECS), biographische und biometrische Informationen aus Visums- oder ESTA-Anträgen (inklusive, wenn erhältlich: Name, Adresse sowie Telefonnummer des Sponsors, des angegebenen Kontakts in den USA sowie des Arbeitgebers, Email-Adresse, IPAdresse, Antragsnummer, Familienstand, die sog. Alien number, Sozialversicherungsnummer, wiederum Art des Reisedokuments, sowie Ausstellungsdatum, -ort und -land, Steuernummer, Name der Organisation, Einkommensinformationen für Sponsoren, Bildungsgrad, militärische Erfahrung, sowie die Antworten auf die im Rahmen der Einreiseformalitäten bzw. des Visumsantrags gestellten Fragen).678 673

US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 6. US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 7; demnach handelt es sich nach Angaben des DHS um Kopien der Datenbanken APIS, I-94, NIIS, ESTA, BCI, TECS, SAVI, TSDB sowie CCD. 675 Das hier herangezogene Dokument spricht hier lediglich von „specifically authorized ATS users“. 676 Vgl. US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 7. 677 US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 7. 678 US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 13 f. 674

404

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Durch die Benutzeroberfläche des ATS-P können autorisierte CBP-Beamte ad hoc Anfragen hinsichtlich ausgewählter Strafverfolgungsdaten, Ankunfts- und Abflugsinformationen, Reservierungsinformationen, Visums- und ESTA-Anträgen oder bereits früher erfolgten zusätzlichen Überprüfungen (sog. „secondary referral“) stellen; diese Benutzeroberfläche kann auch auf vorher genehmigten mobilen Geräten dargestellt werden, um Beamte im Rahmen von Tätigkeiten im Immigration Advisory Program (IAP) oder an den Abfertigungsstellen zu unterstützen.679 Eine entscheidende Rolle spielt zudem noch das Automated Targeting SystemTargeting Framework (ATS-TF) als fünftes Modul des ATS. Nur eine beschränkte Anzahl an Nutzern kann auf das ATS-TF zugreifen und nutzt es, um in anderen Modulen des ATS erhältliche Informationen weiterzuverfolgen, in Volltextsuche zu suchen und zu analysieren, wobei Informationen aus diesen Suchanfragen mit anderen ATS-TF-Nutzern geteilt werden können.680 Falls ein Nutzer keinen Zugang zum System haben sollte, wird eine Suchanfrage – nach Angaben des DHS – keine Suchergebnisse liefern.681 Das ATS-TF verfügt über verschiedene Funktionen zur effizienten Nutzung und Auswertung von Daten: So fördert das ATS-TF die Zusammenarbeit zwischen den Datenanalysten, in dem es bspw. allen Nutzern erlaubt, die vorherigen Suchanfragen einzusehen und somit weitere Informationen über ein Suchobjekt zu erhalten.682 Außerdem gestattet ATS-TF, Aufgaben zur weiteren Bearbeitung an andere Stellen zu verweisen und ganze Projekte zur fortdauernden Bearbeitung anzulegen, Berichte über bestimmte Aktionen oder Analysen anzulegen und öffentliche zugängliche Quellen wie Internetlinks und mit der Suchanfrage in Zusammenhang stehende Dokumente in diese Projekte einzuarbeiten.683 Eine weitere bedeutende Funktion besteht zudem in der Fähigkeit des ATSTF, Daten verschiedener Quellen in das System einzuspeisen und mögliche Verhältnisse zwischen Datenelementen und somit zwischen Personen aufzuzeigen.684 Nutzer des ATS-TF haben – je nach Zugriffsberechtigung – die Möglichkeit, alle vier anderen ATS-Module zu durchsuchen sowie auch auf andere Systeme und Datenbanken wie biometrische Daten oder Kontrolllisten zuzugreifen.685 679

US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 7. 680 Vgl. US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 7, 8, für eine Auflistung der im Rahmen des ATS-TF u. a. erhobenen Daten sowie manuell erhobenen Daten siehe S. 14 f. 681 Siehe US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 7. 682 Siehe dazu US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 7, 8. 683 Siehe dazu US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 7, 8. 684 US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 7. 685 Siehe US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 7; für eine nicht abschließende Liste siehe S. 8 oben, für eine Übersicht über Subsysteme von ATS-F siehe S. 8 unten.

§ 14 Grundlagen der Datenauswertung

405

C. Nutzen der Systeme für den Sicherheitsbereich Fraglich ist jedoch der Nutzen dieser Systeme für den Sicherheitsbereich. Jonas und Harper sind der Ansicht, dass Data-Mining als solches zwar viele wertvolle Nutzungsmöglichkeiten bietet, sich jedoch nicht eignet, um Terroristen aufzufinden.686 Es wäre zwar u. U. bereits mit den Methoden, die vor den Anschlägen des 11. September 2001 zur Verfügung standen, möglich gewesen, die Attentäter aufzuspüren und die Anschläge eventuell zu verhindern, sodass es keiner neuen Technologien oder neuen Gesetze bedurft hätte, sondern lediglich einer stärkeren Konzentration und der Fähigkeit, Informationen effizienter aufzufinden und zu verbinden.687 Das Data-Mining als solches, das mit Hilfe von statistischen, induktiven Prozessen versucht, neue Informationen zu generieren (sog. „predictive data mining“688), eigne sich überhaupt nicht zur Terrorismusbekämpfung.689 Als Gründe dafür werden einerseits das Fehlen von passenden Rastern und Verhaltensmustern zur Entwicklung sinnvoller Algorithmen, die auf eine terroristische Betätigung hindeuten, angeführt, andererseits, die statistische Wahrscheinlichkeit, falsche Treffer zu erhalten, was zu Grundrechtbeeinträchtigungen und Ressourcenverschwendung führe.690 Zudem ist auch fraglich, ob die vorhandenen Informationen fehlerfrei und zuverlässig sind.691 Neben diesen Ausführungen sind auch weitere Überlegungen zum Nutzen der Auswertungssysteme von Interesse. Dabei sind nicht nur tatsächlich mit Data-Mining im Zusammenhang stehende PNR-Daten zu berücksichtigen, sondern auch der Abgleich mit bestehenden Kontrolllisten. I. Fehlen von passenden Rastern und Verhaltensmustern Die Grundlage für Data-Mining sind Raster und Verhaltensmuster, auf die zurückgegriffen werden kann: Diese Muster entstehen durch Erfahrungen, vor allem im Zusammenhang mit kommerziellen Zwecken, die dann zu bestimmten Verhaltensmustern verbunden werden.692 Es wird oft das Beispiel von Windeln und Bier 686 Jonas/Harper, Effective Counterterrorism and the Limited Role of Predictive Data Mining, 11.12.2006, S. 2, http://www.cato.org/pubs/pas/pa584.pdf (zuletzt geprüft am 15.03.2015). 687 Siehe dazu ausführlich Jonas/Harper, Effective Counterterrorism and the Limited Role of Predictive Data Mining – Policy Analysis, 11.12.2006, S. 2 ff. 688 Krouse/Elias, Terrorist Watchlist Checks and Air Passenger Prescreening 2009, 30.12.2009, „Predictive data mining“ beruht dabei auf Vorhersagen und auf Prognosen und nicht klassisch auf Verdächtigungen. 689 Jonas/Harper, Effective Counterterrorism and the Limited Role of Predictive Data Mining – Policy Analysis, 11.12.2006, S. 6 f. 690 Jonas/Harper, Effective Counterterrorism and the Limited Role of Predictive Data Mining – Policy Analysis, 11.12.2006, S. 6 f. 691 Jonas/Harper, Effective Counterterrorism and the Limited Role of Predictive Data Mining – Policy Analysis, 11.12.2006, S. 6 f. 692 Jonas/Harper, Effective Counterterrorism and the Limited Role of Predictive Data Mining – Policy Analysis, 11.12.2006, S. 7.

406

Teil 3: Die Übermittlung von PNR-Daten in die USA 

genannt: Ein großer Supermarkt in den USA fand nach Auswertung seines Bonusprogrammes heraus, dass Kunden, die Bier kauften, auch häufig Windeln kauften, sodass als Konsequenz dieser Erkenntnis die Produkte zusammen platziert und somit die Verkaufszahlen beider Produkte erhöht werden konnten.693 Ein weiteres triviales Beispiel ist die durch Data-Mining gewonnene Erkenntnis, dass Menschen, die Kakaopulver kauften, auch häufig Milch in ihren Einkaufswagen legten. Durch die Analyse von Millionen von Einkäufen lassen sich – wie an den Beispielen gesehen – entsprechende Verhaltensmuster herausbilden, die dann zu kommerziellen Zwecken verwendet werden können.694 Zudem gibt es weitere Bereiche, in denen sich Data-Mining als hilfreich erweist: So kann bei der Aufdeckung von Kreditkartenbetrugsfällen auf Bewegungsprofile zurückgegriffen werden, die durch DataMining auf der Grundlage von Tausenden bekannten Betrugsfällen erstellt worden sind, um mit diesen Erkenntnissen bei Auffälligkeiten oder Abweichungen entsprechend reagieren zu können.695 Auf diese Tausende bzw. Millionen von Beispielsfällen und die dadurch mögliche Erstellung von Verhaltensmustern kann jedoch bei Terrorismus gerade nicht zurückgegriffen werden, da es jedes Jahr nur eine relativ geringe Anzahl an Terroranschlagsversuchen sowie jeweils in Planung und Ausführung völlig verschiedene Anschläge gibt.696 Auf Grund dieser – für die Auswertung durch Data-Mining – geringen Anzahl an Anschlägen können keine Verhaltensmuster erstellt werden, die die Planung oder Durchführung von Terroranschlägen aussagekräftig demonstrieren könnten.697 Data-Mining würde somit im Falle von Terrorismus keine aussagekräftigeren Ergebnisse liefern als demographische und direkt erhobene Einzeldaten.698 Die Nutzung von Data-­Mining zur Terrorismusbekämpfung wird daher auch als „schlimmer“ als ein Suchen nach Terroristen auf „gut Glück“ bezeichnet, da Terroristen sich durch „normales“ Verhalten schützen könnten und auf Grund fehlender Verhaltensmuster im Bereich des Terrorismus jede vermeintliche Unregelmäßigkeit im Verhalten als Basis für eine Untersuchung, ob ein Terroranschlag geplant wurde, genutzt werden 693

Zitiert nach Witten/Frank/Hall, Data mining, S. 36 f. Vgl. Jonas/Harper, Effective Counterterrorism and the Limited Role of Predictive Data Mining – Policy Analysis, 11.12.2006, S. 7. 695 Vgl. Jonas/Harper, Effective Counterterrorism and the Limited Role of Predictive Data Mining – Policy Analysis, 11.12.2006, S. 7; wird bspw. die Kreditkarte eines bestimmten Nutzers immer nur in Deutschland verwendet und erscheint auf einmal auf der Abrechnung ein Posten aus China und einer aus den USA innerhalb eines Tages, ist es möglich, dass das Kreditkartenunternehmen Nachforschungen über die tatsächliche Benutzung durch den Karteninhaber anstellt. 696 Vgl. Jonas/Harper, Effective Counterterrorism and the Limited Role of Predictive Data Mining – Policy Analysis, 11.12.2006, S. 7 f. 697 Vgl. Jonas/Harper, Effective Counterterrorism and the Limited Role of Predictive Data Mining  – Policy Analysis, 11.12.2006, S.  8, die den Nutzen von Data-Mining wie folgt beschreiben: „The one thing predictable about predictive data mining for terrorism is that it would be consistently wrong.“ 698 Vgl. Jonas/Harper, Effective Counterterrorism and the Limited Role of Predictive Data Mining – Policy Analysis, 11.12.2006, S. 8. 694

§ 14 Grundlagen der Datenauswertung

407

kann.699 Von der Regel abweichendes Verhalten als verdächtig einzustufen, mag somit zwar wissenschaftlich anmuten, ohne sorgfältig erstellte Algorithmen, die auf aussagekräftigen Verhaltensmustern beruhen, wird möglicherweise Data-­Mining zur Terrorismusbekämpfung nicht erfolgreich sein, sondern stattdessen den nationalen Sicherheitssystemen eine Vielzahl an vermeintlich positiven Verdachtsfällen aufzeigen, die in Wirklichkeit Unschuldige betreffen.700 Zudem gibt es anscheinend Hinweise darauf, dass die bisherigen Aktivitäten nicht die gewünschten Ergebnisse bringen.701 II. Fehlerfreiheit der vorhandenen Daten und Zuverlässigkeit der Auswertungssysteme Neben der Frage, ob es überhaupt möglich ist, aussagekräftige Verhaltensmuster zu erstellen, ist auch entscheidend, dass die genutzten Auswertungssysteme zuverlässig arbeiten, die genutzten Daten fehlerfrei sind und somit eine gewisse „Datenqualität“ besitzen.702 Die Komponenten der Fehlerfreiheit der Daten und die Zuverlässigkeit der Auswertungssysteme sind eng miteinander verbunden: Die Fehlerfreiheit der Daten ist einerseits abhängig von der Fähigkeit der Sicherheitsbehörden, umfassende Informationen über Personen zu liefern, die eine Gefahr für den Luftverkehr und die nationale Sicherheit darstellen bzw. darstellen könnten und andererseits auch hinreichend genaue Daten zu liefern, um falsche Treffer703 zu verhindern.704 Zu bedenken ist jedoch auch, dass eine Vielzahl der Informationen von Passagieren bzw. Reisebüros generiert werden, was auf Grund der Vielzahl der Nutzer ebenfalls eine Fehlerquelle birgt. Entscheidend für die Fehlerfreiheit der vorhandenen Daten und damit auch die Zuverlässigkeit der Auswertungssysteme sind außerdem umfassende und zeitnahe Aktualisierungen der zur Verfügung stehenden Datenbanken wie der TSDB sowie die Kooperation der Beteiligten.705 Die TSA und ihr Secure Flight-System sowie das CBP mit dem System APIS und andere Nutzer des DHS können als Endnutzer verschiedener Datenban 699

Vgl. Jonas/Harper, Effective Counterterrorism and the Limited Role of Predictive Data Mining – Policy Analysis, 11.12.2006, S. 8. 700 Vgl. Jonas/Harper, Effective Counterterrorism and the Limited Role of Predictive Data Mining – Policy Analysis, 11.12.2006, S. 8. 701 Siehe Cate, Harv. Civ. Rights-Civ. Liberties Law Rev. 43 (2008), 435 (468) jedoch ohne weiterführende Hinweise; darauf Bezug nehmend Art. 29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 5, Fn. 3. 702 Vgl. Elias, Airport and aviation security, S. 180; siehe auch Cate, Harv. Civ. Rights-Civ. Liberties Law Rev. 43 (2008), 435 (469 f.) m. w. Nachw. 703 Dazu sogleich. 704 Vgl. Elias, Airport and aviation security, S. 180; Cate, Harv. Civ. Rights-Civ. Liberties Law Rev. 43 (2008), 435 (469 f.). 705 Vgl. Elias, Airport and aviation security, S. 180 mit weiteren Ausführungen zu bestimmten Systemen.

408

Teil 3: Die Übermittlung von PNR-Daten in die USA 

ken wie der TSDB und ihren Untersystemen angesehen werden.706 Die Datenbanken, auf die zugegriffen werden, müssen daher einerseits für die Endnutzer verlässlich sein, jedoch müssen diese selbst ihr Auswertungssystem einer ständigen Kontrolle unterziehen.707 III. Wahrscheinlichkeit falscher Treffer Des Weiteren ist auch die Wahrscheinlichkeit für falsche Treffer zu bedenken, die wiederum eng mit der benannten erforderlichen Fehlerfreiheit der vorhandenen Daten und der Zuverlässigkeit der Auswertungssysteme verbunden ist. Dabei werden bei jedem der Datenauswertungssystemen wie APIS oder Secure-Flight zwei Arten von Fehlern unterschieden, nämlich Fehler 1. Art (falsch positiv), bei denen das System fälschlicherweise eine Übereinstimmung anzeigt und Fehler 2. Art (falsch negativ), bei denen das System fälschlicherweise nicht entdeckt, was es entdecken sollte.708 1. Fehler 1. Art Im Rahmen der Auswertung von Passagierdaten, bspw. durch das Secure FlightSystem, besteht ein Fehler 1. Art darin, dass eine Person ohne jegliche Zugehörigkeit oder Verbindung zu Terroristen durch das Auswertungssystem ausgewählt wird und daraufhin entweder genauer kontrolliert oder ihr das Boarden des Flugzeugs verweigert wird.709 Ein Fehler 1. Art liegt somit immer dann vor, wenn eine Person fälschlicherweise vom Auswertungssystem identifiziert wird, aber tatsächlich keinerlei Gefahr für die Sicherheit des Luftverkehrs von ihr ausgeht.710 2. Fehler 2. Art Im Rahmen von Passagierscreeningsystemen liegt ein Fehler 2. Art dann vor, wenn ein bekannter oder mutmaßlicher Terrorist oder eine Person, die eine Bedrohung für den Luftverkehr darstellt, nicht durch das Auswertungssystem identi 706

Elias, Airport and aviation security, S. 180. Elias, Airport and aviation security, S. 180. 708 Elias, Airport and aviation security, S. 181; siehe auch mit Ausführungen zum Ursprung in der Wahrscheinlichkeitstheorie und Anwendungsbeispielen aus der Medizin Jonas/Harper, Effective Counterterrorism and the Limited Role of Predictive Data Mining – Policy Analysis, 11.12.2006, S. 8; sieher hierzu und zum Folgenden bereits Baumann, in: Dix/Franßen/­Kloepfer/ Schaar/Schoch/Voßhoff/Deutsche Gesellschaft für Informationsfreiheit, Informationsfreiheit und Informationsrecht Jahrbuch 2014, 2015, S. 44 ff. 709 Elias, Airport and aviation security, S. 181. 710 Elias, Airport and aviation security, S. 181. 707

§ 14 Grundlagen der Datenauswertung

409

fiziert wird und daher einen Flug ohne zusätzliche Sicherheitsüberprüfung antreten kann.711 Ein Fehler 2. Art kann einerseits das Ergebnis fehlender Informationen sein: Sicherheitsbehörden könnten bspw. nicht von der Bedrohung, die von einer bestimmten Person ausgeht, gewusst haben oder zwar von der Bedrohung gewusst, die Person jedoch nicht in die relevante Datenbank aufgenommen haben.712 Ein Fehler 2. Art kann aber auch auf ein Problem mit dem Auswertungssystem oder dem Auswertungsprozess selbst zurückgeführt werden: Dabei ist bspw. ein falsch geschriebener Name denkbar, der bei einem Abgleich zwischen PNR-Daten und Datenbanken der Sicherheitsbehörden folglich keinen Treffer ergibt.713 Neben einer falschen Schreibweise des Namens sind auch Namensänderungen (bspw. durch Scheidung oder Heirat), Personen mit dem gleichen Namen oder verschiedene Adressen (dienstlich und privat oder nach einem Umzug) denkbar, die die Datenbestände anfälliger für Fehler machen.714 Ein weiterer Fehler 2. Art besteht zudem, wenn eine Person unter Vorspiegelung einer falschen Identität versucht, ein Flugzeug zu boarden und dies vom Auswertungssystem nicht aufgedeckt wird.715 3. Ausgleich zwischen den Fehlerarten Die Fehler 1. Art sind besonders problematisch für die Reisenden, wohingegen Fehler 2. Art in besonderem Maße auch die Sicherheitsbehörden beunruhigen.716 Fehler 1. Art sind zudem bedeutend häufiger als Fehler 2. Art, da davon ausgegangen werden kann, dass nur eine sehr kleine Prozentzahl der Passagiere gesuchte oder mutmaßliche Terroristen sind.717 Im Rahmen der Nutzung von Auswertungssystemen ist stets ein Ausgleich zwischen Fehlern 1. Art und 2. Art zu finden: Dieser Ausgleich zwischen den Fehlerarten spielt auch eine Rolle in der Gestaltung der Auswertungssysteme, wobei einerseits die Datenqualität, andererseits aber auch die Kriterien eine Rolle spielen, die die Auswertungssysteme nutzen.718 In der Entwicklung des Secure Flight-Auswertungssystems war bspw. eine bedeutende Frage, wieviele Informationen über eine Person notwendig seien, um sicherzustellen, dass Fehler 2. Art auf ein Mindestmaß reduziert würden, ohne jedoch eine unakzeptabel hohe Menge an Fehlern 1. Art zu produzieren oder in unverhält-

711

Elias, Airport and aviation security, S. 181. Elias, Airport and aviation security, S. 181. 713 Elias, Airport and aviation security, S. 181. 714 Siehe Cate, Harv. Civ. Rights-Civ. Liberties Law Rev. 43 (2008), 435 (470 f.); zur Verbesserung wird die Erhebung der Social Security Number erwägt, dies jedoch ebenfalls kritisiert. 715 Elias, Airport and aviation security, S. 181 sowie Cate, Harv. Civ. Rights-Civ. Liberties Law Rev. 43 (2008), 435 (472 f.) zur fehlerhaften Identifizierung von Personen wie dem ehemaligen Senator Edward Kennedy vor allem auch im Zusammenhang mit der No Fly-Liste, wobei es sich jedoch um einen Fehler 1. Art handelt. 716 Vgl. Elias, Airport and aviation security, S. 181. 717 Elias, Airport and aviation security, S. 182. 718 Vgl. dazu ausführlich Elias, Airport and aviation security, S. 181 f. 712

410

Teil 3: Die Übermittlung von PNR-Daten in die USA 

nismäßiger Weise in die Privatheit der Passagiere einzugreifen.719 Die Grundsatzentscheidung als Antwort auf diese Frage spiegelt sich zu einem großen Teil in Art und Anzahl der PNR-Datenelemente wider, die von den Fluggesellschaften an die Sicherheitsbehörden übermittelt werden müssen und das Ergebnis von extensiven Verhandlungen zwischen verschiedenen Akteuren wie dem Kongress, Unterbehörden des DHS, dem Außenministerium der USA, den Geheimdiensten, der EU und weiteren Staaten sind.720 4. Überlegungen zu möglichen Kosten Zudem spielt auch eine Kosten-Analyse bei der Ausarbeitung der Auswertungssysteme eine Rolle. Fehler 1. Art sind zwar stets viel häufiger als Fehler 2. Art, jedoch kann ein einziger Fehler 2. Art die Kosten für die Folgen von häufigeren Fehlern 1. Art bei Weitem übersteigen.721 Die Kosten von Fehlern 1. Art beschränken sich vor allem auf Kosten für zusätzliche Sicherheitsüberprüfungen und die Aufarbeitung von Beschwerden von Passagieren, wobei die Kosten für einen Fehler 2. Art sehr schwer zu beziffern sind, da diese auch davon abhängen, ob weitere Sicherheitsschichten wirksam sind und den Fehler 2. Art wieder auffangen.722 Falls jedoch die zusätzlichen Sicherheitsschichten bspw. durch weitere Auswertungssysteme, verstärkte Cockpittüren oder bewaffnete Piloten den Fehler nicht kompensieren können, könnte dies zu Kosten in Höhe von mehreren Milliarden Dollar an direkten Kosten sowie andauernde wirtschaftliche Auswirkungen auf die Luftfahrtindustrie nach sich ziehen. Eine Hauptüberlegung für die Verantwortlichen in den USA ist daher, ob die Kosten für einen Fehler 1. Art (fälschliche Identifizierung eines harmlosen Passagiers als Bedrohung) dadurch ausgeglichen werden, dass es weniger wahrscheinlich ist, dass ein Fehler 2. Art (Terrorist wird nicht identifiziert) geschieht. So wird ein Experte nach dem 11.  September 2001 wie folgt zitiert: „[T]he growth in danger from Type II errors necessitates altering our tolerance for Type I errors. More fundamentally, our goal should be to minimize both sorts of errors“.723 Informationen darüber, wie häufig die beiden Fehlertypen tatsächlich auftreten, sind – soweit ersichtlich – jedoch nicht veröffentlicht.

719

Elias, Airport and aviation security, S. 182. So Elias, Airport and aviation security, S. 182. 721 Elias, Airport and aviation security, S. 182 mit dem Hinweis auf die Schwierigkeit, dies tatsächlich zu beziffern. 722 Elias, Airport and aviation security, S. 182 f. 723 Stellungnahme von Paul Rosenzweig, Senior Legal Research Fellow, Center for Legal and Judicial Studies, The Heritage Foundation Before the U. S. House of Representatives, Committee on Transportation and Infrastructure, Subcommittee on Aviation Regarding the Transportation Security Aministration’s Computer-Assisted Passenger Prescreening System (CAPPS II), 17.03.2004; zitiert nach Elias, Airport and aviation security, S. 183. 720

§ 14 Grundlagen der Datenauswertung

411

D. Ausblick Das vor allem in den USA verfolgte Konzept der Auswertung von PNR-Daten und weiteren Datenarten zu Sicherheitszwecken wie der Terrorismusbekämpfung oder der Bekämpfung schwerer Kriminalität bedient sich einer Vielzahl von Auswertungssystemen, die nicht einfach zu durchschauen und oftmals in komplexer Weise miteinander verwoben sind und die Möglichkeit zum Informationsaustausch untereinander bieten. Zwar werden auch in der EU Daten mit Hilfe von Systemen ausgewertet, die Art der Datenauswertung in den USA geht jedoch weit darüber hinaus. Gerade seit den Anschlägen des 11. September 2001 ist das Sicherheitsinteresse in den USA immens und die Art der Auswertung komplex. Es ist mehr als fraglich, ob das hier dargestellte Bild der Passagierdatenauswertung bereits ein komplettes Bild der Realitäten bieten kann. Gerade das System ATS bietet eine Vielzahl an Auswertungsmöglichkeiten. Durch seine Verknüpfung mit einer Vielzahl weiterer Datenbanken ist offensichtlich, dass die Datenauswertung über die Zwecke der Terrorismusbekämpfung und der Bekämpfung schwerer Kriminalität hinausgehen kann. Auch das Secure Flight-System – um nur ein weiteres Beispiel zu nennen – verdeutlicht dies bspw. durch den Abgleich der Secure Flight-­Daten mit Listen des Department of Health and Human Services Centers for Disease­ Control and Prevention (CDC), auf denen die Namen von Personen verzeichnet sind, denen das Boarden eines Flugzeugs aus Gründen der öffentlichen Gesundheit versagt wird.724 Durch die verschiedenen Sicherheitsschichten, die auf verschiedenen Auswertungssystemen und den verschiedenen Datenarten beruhen, sich gegenseitig ergänzen, teilweise gleiche bzw. ähnliche Aufgaben haben und zudem Fehler eines anderen Systems korrigieren sollen, soll eine möglichst effektive Datenauswertung gewährleistet werden. Diese Datenauswertung ist nach den Anschlägen des 11. September 2001 vor allem fokussiert auf Bedrohungen, die von Menschen selbst ausgehen und somit nicht mehr allein auf Bombengefahren, die von einem Gepäckstück ausgehen können, konzentriert. Trotz der Komplexität der Auswertungssysteme wird deren Wirksamkeit kontrovers diskutiert oder sogar komplett in Frage gestellt. Auch bieten die Datenqualität und die Fehleranfälligkeit Raum für Diskussionen. Zwar mag es sein, dass die Wirksamkeit der Auswertungssysteme nicht besonders gut ist, bewiesen ist dies jedoch nicht. Letztendlich lässt sich über den Nutzen der einzelnen Systeme jedoch relativ wenig aussagen, da einerseits viele Informationen für die Öffentlichkeit weder bekannt noch zugänglich sind und es sich andererseits bei der Auswahl der Sicherheitsmaßnahmen um politische Entscheidungen handelt. Mit diesen Tatsachen ist umzugehen, sodass ein Ansatz, der sich auf die Änderung der Sicherheitssysteme konzentriert, schwer zu erreichen sein wird. Es scheint zudem zumindest denkbar, dass bei einer derart weitgehenden Datenauswertung durchaus auch hilfreiche Ergebnisse erzielt werden können. Zudem ist die Entscheidung für das System aus verschiedenen Sicher 724 US DHS, Privacy Impact Assessment Update for Secure Flight, DHS/TSA/PIA – 018(e), 13.04.2012, S. 2.

412

Teil 3: Die Übermittlung von PNR-Daten in die USA 

heitsschichten und Auswertungssystemen eine politische Entscheidung eines souveränen Staates, die trotz Kritik bspw. aus der EU nur sehr schwer oder gar nicht abänderbar sein wird. Dass jedoch die vorgenommene Praxis der Datenauswertung auch innerhalb der USA nicht kritiklos akzeptiert wird, zeigt die Aufgabe des Auswertungssystems CAPPS II oder die jahrelange Verzögerung des Secure FlightSystems nach Kritik u. a. von Bürgerrechtsorganisationen. Von Seiten der EU sollte ein Bewusstsein für die Reichweite der US-Auswertungssysteme vorhanden sein, jedoch weiterhin auf die Bedeutung des Datenschutzes hingewiesen werden und gleichzeitig sollten keine illusorischen Erwartungen zur Abschaffung der Auswertungssysteme der USA gehegt werden. Stattdessen könnte darauf hingearbeitet werden, weniger Daten an die Sicherheitsbehörden zu übermitteln, die dann mit den vorhandenen Systemen ausgewertet werden können. Zudem sollte bei der Verhandlung von Abkommen zwischen der EU und den USA auf die verschiedenen Sicherheitsschichten eingegangen werden können. Dabei sollten neben der Übermittlung von PNR-Daten auch die Übermittlung von API- und Secure Flight-Daten an die Sicherheitsbehörden der USA rechtlich geregelt werden. Auf diese Aspekte ist genauer im Rahmen der Findung einer Interessenbalance einzugehen. Zunächst sind jedoch bestehende PNR-Abkommen zwischen der EU und den USA sowie die damit einhergehenden Kontroversen von Interesse.

§ 15 Die PNR-Abkommen zwischen der EU und den USA Die EU hat mit den USA, mit Australien und mit Kanada Abkommen über die Übermittlung von PNR-Daten abgeschlossen. Weitere Länder haben ebenfalls Anfragen zu einem PNR-Datenaustausch an die EU gestellt.725 Von den bisher abgeschlossenen Abkommen stellen die mit den USA die am meisten und am kontroversesten diskutierten Abkommen dar, was vor allem der unterschiedlichen Herangehensweise der EU und der USA zu den Themen Umgang mit Daten und Datenschutz geschuldet ist. Von Interesse im Rahmen dieser Untersuchung ist zum einen die Entwicklung von den Anfängen der ersten Forderung der USA nach PNR-Daten aus der EU zu dem am 1. Juni 2012 in Kraft getretenen aktuellen Abkommen. Zur Verdeutlichung der Ausgangssituation, der Entwicklung und der Kontroversen im Rahmen der Verhandlungen zum aktuellen Abkommen ist insbesondere eine Beschreibung des ersten Abkommens aus dem Jahr 2004 und des aktuellen Abkommens zwischen der EU und den USA aus dem Jahr 2012 angezeigt. Im Rahmen der Beschreibung der einzelnen PNR-Abkommen ist eine Konzentration auf besonders relevante Ereignisse während der Verhandlungen erforderlich und notwendig. Von besonderer Relevanz sind dabei das Kriterium der Angemessenheit des Schutzniveaus, da es die essentielle – vom EU-Datenschutz 725

Siehe dazu S. 345.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

413

recht geforderte  – Voraussetzung für einen rechtmäßigen Datentransfer in ein Drittland ist, und seine Entwicklung im Laufe der verschiedenen Abkommen. Von Interesse sind daher auch die sich in den jeweiligen Abkommen durch Gerichtsentscheidungen und Änderungen der EU-Verträge bedingten unterschiedlichen Regelungskonstruktionen und Rechtsgrundlagen, um ein angemessenes Schutzniveau sicherzustellen. So wechselte die einschlägige Rechtsgrundlage nahezu bei jedem der Abkommen, und auch die Abkommen selbst wurden stets durch verschiedene Erklärungen und Regelungskonstruktionen ergänzt. Der Inhalt der Abkommen ist im Rahmen der Diskussion über die jeweiligen Abkommen durch die Positionen der unterschiedlichen Beteiligten aufzuzeigen.

A. Die Situation vor dem Erlass konkreter Regelungen Die im Folgenden zu beschreibende Situation zwischen der EU und den USA vor dem Abschluss des ersten PNR-Abkommens zeigt bereits deutlich den bestehenden Konflikt bzgl. des Datenschutzes zwischen der EU und den USA. Nach den Kontroversen um Safe Harbor wird erneut das Bedürfnis nach einer bereichsspezifischen Lösung offenbar. Die Komplexität der Materie und die Funktion von PNR-Daten an der Schnittstelle von kommerzieller Nutzung und Nutzung zu Sicherheitszwecken verdeutlichen diesen bereits vorher identifizierten Befund. I. Die Ausgangssituation nach dem 11. September 2001 und die Situation der Fluggesellschaften Nach Verabschiedung der Gesetze, die den Fluggesellschaften die Zurverfügungstellung von API- und PNR-Daten auferlegte,726 wurden im Juni 2002 Übergangsregelungen von der US-Zollbehörde veröffentlicht, mit denen die Verpflichtungen des Aviation and Transportation Security Act 2001 umgesetzt werden sollten.727 Die Fluggesellschaften waren diesen Gesetzen unterworfen. Jedoch stellte sich für jede europäische Fluggesellschaft, die auch US-Ziele bediente, das Problem, neben den amerikanischen Gesetzen auch nationalen Gesetzen der Mitgliedstaaten, die auf Grundlage der DSRL erlassen worden waren, unterworfen zu sein. So stand nach Verabschiedung der ersten PNR-Gesetze durch die USA und der im Juni 2002 veröffentlichten Übergangsregelungen zur Umsetzung des Aviation and Transportation Security Act 2001 und der damit einhergehenden tatsächlichen Verpflichtung zur 726

Zu den relevanten Gesetzen siehe oben S. 321 ff. Interim Rules of the Department of Treasury (Customs)  – Passenger and Crew Manifests Required for Passenger Flights in Foreign Air Transportation to the United States, Federal Register, Vol. 66 No. 250, 31.12.01, sowie Passenger Name Record Information Required for Passengers on Flights in Foreign Air Transportation to or from the United States, Federal­ Register, Vol. 67, No. 122, 25.06.02. 727

414

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Datenübertragung zur Diskussion, ob die Zurverfügungstellung von PNR-­Daten an die US-Behörden mit den Vorgaben der DSRL bzw. den EU-Grundrechten vereinbar sei.728 Dies war ohne Sicherheiten nicht der Fall, da den USA von der EU kein angemessenes Datenschutzniveau attestiert wurde. Folglich waren die Fluggesellschaften – vor allem auch wegen des Fehlens globaler Übereinstimmung zu diesem Thema – mit der Situation konfrontiert, entweder ihren kommerziellen Interessen zu folgen und den USA die PNR-Daten zur Verfügung zu stellen – damit aber gegen EU-Recht zu verstoßen – oder dies nicht zu tun und damit even­tuell Sanktionen durch die US-Behörden ausgesetzt zu werden, die von Geldstrafen i. H. v. ca. 5000 $ durch die US-Zollbehörden bzw. 1000 $ durch die US-Einwanderungsbehörde bis zur Versagung von Landerechten reichen konnten.729 Auf Grund von Bedenken der EU wurde das Inkrafttreten der Übergangsregelungen, das für den 14. November 2002 vorgesehen war, und somit die Verpflichtung, PNR-Daten an US-Behörden zu übertragen, zunächst verschoben.730 Die Situation, in der sich die Fluggesellschaften aus der EU befanden, kann durchaus mit der Situation von US-Unternehmen verglichen werden, die zum Abschluss der Safe Harbor Regelungen731 führte.732 Jedoch waren es im letzten Fall US-Unternehmen, die auf Grund der DSRL und ihren Regelungen zur Übermittlung von Daten in Drittländer potentiell vom Handel mit EU-Unternehmen ausgenommen worden waren.733 II. Kritik an den Forderungen der USA durch die Art. 29-Datenschutzgruppe Die Vereinbarung der geplanten US-Regelung mit den EU-Datenschutzstandards wurde zunächst von der Artikel 29-Datenschutzgruppe bestritten, die am 24. Oktober 2002 eine erste Stellungnahme zu diesem Thema herausgab.

728

So bspw. Art.  29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP  66, 24.10.2002, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/ wp66_de.pdf (zuletzt geprüft am 15.03.2015). 729 Vgl. Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 4 f.; vgl. Siemen, Datenschutz als europäisches Grundrecht, S. 307; vgl. Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 614 so auch Europäisches Parlament, Entschließung des Europäischen Parlaments zur Übermittlung personenbezogener Daten durch Luftfahrtgesellschaften bei transatlantischen Flügen  – Weitergabe personenbezogener Daten durch Luftfahrtgesellschaften an die Einwanderungsbehörde der Vereinigten Staaten, 13.03.2003, ABl. C 61 E v. 10.03.2004, 381–384, S.  383; Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (899 f.). 730 So Siemen, Datenschutz als europäisches Grundrecht, S. 307. 731 Vgl. zu den Safe Harbor Regelungen oben S. 109 ff. und S. 268 f. 732 So de Busser, Data protection in EU and US criminal cooperation, S. 363. 733 So de Busser, Data protection in EU and US criminal cooperation, S. 363.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

415

1. Grundsatz der Zweckbindung und Grundsatz der Verarbeitung sensibler Daten Die veröffentlichte Stellungnahme stützte sich zunächst auf den Grundsatz der Zweckbindung des Art. 6 I lit. b DSRL. PNR-Daten wurden von den Fluggesellschaften bzw. Reisebüros zur Erfüllung ihrer vertraglichen Pflichten erhoben, die sie den Passagieren gegenüber haben und nicht für die nun geforderten Zwecke.734 Des Weiteren wies die Art.  29-Datenschutzgruppe darauf hin, dass PNR-Daten sensible Daten i. S. d. Art. 8 I DSRL enthalten könnten, die u. a. Rückschlüsse auf „rassische oder ethnische Herkunft und religiöse Überzeugungen“ ermöglichten und somit unter besonderem Schutz stünden.735 Ohne eine ausdrückliche Einwilligung zu einem bestimmten Zweck könnten die Daten nicht weiterverarbeitet werden, wobei auch die Frage gestellt werden müsse, ob das Einholen einer solchen Einwilligung von allen Fluggästen überhaupt praktisch möglich sei.736 2. Übermittlung in Drittländer und das Kriterium der Angemessenheit Die Art. 29-Datenschutzgruppe gab in ihrer Stellungnahme eine erste Einschätzung zum Kriterium der Angemessenheit ab und ging auf mögliche Sicherheiten ein, mit denen eine Datenübermittlung legitimiert werden könnte. Gemäß Art. 25 DSRL dürfen personenbezogene Daten nur in ein Drittland übermittelt werden, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet.737 Die Art. 29-Datenschutzgruppe stellte klar, dass dieses angemessene Schutzniveau nicht für die Weiterverarbeitung durch die US-Bundesbehörden bestünde, da zwar auch die USA im Hinblick auf die Daten einen gewissen Schutz böten, dieser jedoch zunächst nur für amerikanische Staatsbürger und Einwohner mit

734

Vgl. Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 5 f. 735 Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 8. 736 Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 8; vgl. auch Art. 8 II lit. a DSRL, wonach in den Rechtsvorschriften der Mitgliedstaaten festgelegt werden kann, dass auch eine Einwilligung das Verbot des Art. 8 I DSRL nicht aufheben kann. 737 Auf Deutsch wird der Begriff „angemessen“ verwendet, auf Englisch „adequate“ und auf Französisch „adéquat“. Der Begriff „adequate“ wird dabei auch als sog. „falscher Freund“ bezeichnet, da das französische „adéquat“ im englischen eigentlich eher den Begriffen „equivalent“ oder „satisfactory“ entspricht. Dazu Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 614, Fn. 12.

416

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Daueraufenthaltsgenehmigung gelte.738 Die im Zusammenhang mit dem angemessenen Schutzniveau gerade im Hinblick auf Datenfluss in die USA erarbeiteten Safe Harbor-Regelungen könnten zudem nicht fruchtbar gemacht werden, weil der hier relevante Datenfluss an staatliche Behörde adressiert und somit nicht vom Geltungsbereich der Safe Harbor-Regelungen gedeckt sei.739 Die in Art. 26 DSRL angesprochenen Ausnahmen von der Regelung des Art. 25 DSRL seien – nach Ansicht der Art. 29-Datenschutzgruppe – nicht einschlägig:740 Zunächst sei es kompliziert, die nach Art. 26 I lit. a DSRL generell mögliche Einwilligung des Betroffenen zu erlangen, da dem Betroffenen alle erforderlichen Informationen (Art. 10, 11 DSRL) und gegebenenfalls ein Hinweis auf den unzu­ reichenden Schutz im Drittland mitgeteilt werden müssten.741 Dies sei auf Grund der vielfältigen Möglichkeiten, ein Flugticket aus der EU in die USA quasi von und an jedem Ort der Welt zu buchen, schwierig.742 Zudem könne die in Art. 26 I lit. b DSRL genannte Ausnahme der Erforderlichkeit der Datenübertragung in ein Drittland zur Erfüllung eines Vertrages schon wegen des Umfangs der Daten nicht geltend gemacht werden.743 Viele der erhobenen Daten könnten nicht als für die Erfüllung eines Vertrages „erforderlich“ erachtet werden.744 In keinem Fall jedoch gelte diese Ausnahme für die Übermittlung von Daten der Passagiere, die nicht in die USA reisten.745 Weiterhin auszuschließen sei die Ausnahme zur Wahrung eines wichtigen öffentlichen Interesses gem. Art. 26 I lit. c DSRL: Es wurde zum einen darauf verwiesen, dass die Weitergabe zu diesem Zweck nicht nachgewiesen sei 738 Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 6; so auch Siemen, Datenschutz als europäisches Grundrecht, S. 308, mit Bezug auf den Privacy Act of 1974, 5 U. S. C. § 552 a. 739 Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 6. 740 Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 6 f. 741 Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 6. 742 Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 6. 743 Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 7. 744 Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 7. 745 Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 7.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

417

und es zudem nicht hinnehmbar sei, dass die öffentlichen Interessen eines Drittlandes zu einer massiven Übermittlung von durch die DSRL geschützten Daten führten.746 Ebenso sei die Weitergabe für die Wahrung eines lebenswichtigen Interesses der betroffenen Personen, Art. 26 I lit. d DSRL, nicht einschlägig.747 Die Datenschutzgruppe wies mit Bezugnahme auf die DSRL darauf hin, dass „die Übermittlung von personenbezogenen Daten genehmigt werden kann, wenn der für die Verarbeitung Verantwortliche (Empfänger) ausreichende Garantien für den Schutz der Daten bietet“ und forderte, einen „Dialog“ mit den amerikanischen Behörden und den Mitgliedstaaten aufzunehmen, der sachdienlicherweise durch einen gemeinsamen Ansatz auf EU-Ebene erfolgen sollte.748 3. Schlussfolgerungen der Art. 29-Datenschutzgruppe Die Art. 29-Datenschutzgruppe wies in ihren Schlussfolgerungen u. a. darauf hin, dass die USA als souveräner Staat grundsätzlich einen Entscheidungsspielraum bzgl. der Regelung habe, die bestimme, welche Informationen von Einreisenden in die USA verlangt werden dürften.749 Zugleich wurde aber darauf verwiesen, dass die hier erfolgten Maßnahmen unverhältnismäßig seien und zu einer systematischen Weitergabe der entsprechenden Daten führten, die der DSRL unterliegen.750 Die Maßnahmen würden zu Problemen mit der DSRL führen, gingen über die Kompetenzen der einzelnen Fluggesellschaften hinaus und sollten daher von den Mitgliedstaaten und eventuell von der Kommission bearbeitet werden, möglicherweise durch einen gemeinsamen Ansatz auf EU-Ebene.751 Zudem wies die Art. 29-Datenschutzgruppe nochmals auf die besonderen Anforderungen zur Übermittlung sensibler Daten hin752 746

Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 7. 747 Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 7. 748 Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 7. 749 Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 9. 750 Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 9. 751 Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 9. 752 Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 10.

418

Teil 3: Die Übermittlung von PNR-Daten in die USA 

und verlangte, das Aushandeln der genaueren Voraussetzungen und Bedingungen zur Übermittlung von Fluggastdaten mit den amerikanischen Behörden festzulegen und vor allem auf Garantien, die aus der DSRL folgen, Rücksicht zu nehmen.753 Dabei wurde auch auf die Kooperationsmechanismen im Rahmen der ehemaligen 3. Säule verwiesen und gemahnt, diese nicht durch einen Bezug auf die Maßnahmen der 1. Säule zu umgehen.754

B. Vorläufige Regelung in Form einer Verpflichtungserklärung der USA Wegen des Bedenkens der EU wurde das Inkrafttreten der Übergangsregelungen, das zunächst für den 14. November 2002 geplant war, zunächst verschoben.755 Auf Grund des Konflikts zwischen der EU und den USA suchten beide Seiten nach möglichen Lösungen und einigten sich schließlich zunächst auf eine vorläufige Regelung. Zwar waren die Behörden der USA auf Grund der Bedenken aus der EU zunächst bereit, das Inkrafttreten der Übergangsregelungen zu verschieben, lehnten es jedoch ab, das Auferlegen von Sanktionen gegen Fluggesellschaften, die sich nicht an die US-Gesetzgebung hielten und nicht die geforderten Daten übermittelten, länger als bis zum 5. März 2003 auszusetzen.756 Daraufhin erlaubte die Kommission nach einem Treffen mit den US-Behörden und der Abgabe einer gemeinsamen Stellungnahme den Fluggesellschaften, PNR-Daten an die Zollbehörde US Customs Service als einer Vorgängerbehörde des CBP im DHS zu übermitteln – jedoch nur unter den Voraussetzungen, dass eine Verpflichtungserklärung und die Verpflichtung, ein vollumfängliches internationales Abkommen zu verhandeln, 753 Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 10. 754 Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 10. 755 Vgl. Siemen, Datenschutz als europäisches Grundrecht, S. 307; wie auch aus dem Urteil des EuGH in der verb. Rs. C-317/04 und C-318/04 hervorgeht, teilte die Kommission den Behörden der USA bereits im Juni 2002 mit, dass die Verpflichtungen zur Übertragung von Passagierdaten „mit den Rechtsvorschriften der Gemeinschaft und der Mitgliedstaaten über den Schutz personenbezogener Daten und mit einigen Bestimmungen der Verordnung (EWG) Nr. 2299/89 des Rates von 24. Juli 1989 über einen Verhaltenskodex im Zusammenhang mit computergesteuerten Buchungssystemen (ABl. L 220, S.  1) in der Fassung der Verordnung (EG) Nr. 323/1999 des Rates vom 8. Februar 1999 (ABl. L 40, S. 1) in Konflikt geraten könnten“, vgl EuGH, Urt. v. 30.05.2006, verb. Rs. C-317/04 u. C-318/04, Slg. 2006, I-4795, 4822. 756 Vgl. European Commission, US Customs, European Commission/US Customs talks on PNR transmission – 17/18 February Joint statement, 19.02.2003, S. 1, http://ec.europa.eu/trans port/air/doc/security_2003_02_17_prn_joint_declaration.pdf (zuletzt geprüft am 15.03.2015); siehe auch EuGH, Urt. v. 30.05.2006, verb. Rs. C-317/04 u. C-318/04, Slg. 2006, I-4795, 4822.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

419

seitens der USA garantiert würde.757 Vor allem auf Grund der Bereitschaft der USZollbehörde, eine den Bedenken der EU Rechnung tragende Verpflichtungserklärung abzugeben und obwohl eine Angemessenheitsentscheidung gem. Art. 25 VI DSRL noch ausstand, war die Kommission der Auffassung, dass die EU-Datenschutzbehörden keine Maßnahmen gegen Fluggesellschaften durchführen sollten, die den Anforderungen der US-Gesetze Folge leisteten.758 Die Verpflichtungserklärung der US-Zollbehörde enthielt verschiedene Zugeständnisse an die EU wie bspw. eine Beschränkung der zum Zugriff berechtigten Personen, keinen direkten Zugang zur Datenbank der US-Zollbehörde für ausländische oder US-­Behörden auf Bundes-, Staaten- oder lokaler Ebene sowie eine Übermittlung von PNR-­Daten an andere Behörden nur nach Ermessen der US Zollbehörde und nur aus Gründen der nationalen Sicherheit oder zur Förderung anderer legitimer Zwecke der Strafverfolgung.759 Das Verhalten der Kommission wurde vom EU-Parlament stark kritisiert: Dabei machte dieses u. a. Zweifel geltend, ob die Daten, nach Übertragung an die US-Behörden, wirklich „angemessen“ geschützt würden und drückte zudem sein Bedauern darüber aus, dass die Kommission das Parlament und den Rat erst so spät über die hier in Frage stehenden Kontroversen informiert hatte.760 Hauptkritikpunkt des EU-Parlaments war aber die besagte gemeinsame Erklärung von EUKommission und US-Zollbehörde vom 19. Februar 2003, „die jeglicher Rechtsgrundlage entbehrt und als indirekte Aufforderung an die nationalen Behörden ausgelegt werden könnte, das Gemeinschaftsrecht nicht zu respektieren“.761 Nach der Einigung zwischen der Kommission und der US-Zollbehörde begannen Flug 757 Vgl. Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (901); European Commission, US Customs, European Commission/US Customs talks on PNR transmission – 17/18 February Joint statement, 19.02.2003. 758 Vgl. European Commission, US Customs, European Commission/US Customs talks on PNR transmission – 17/18 February Joint statement, 19.02.2003, S. 1, so heißt es im Originaltext: „Pending a Commission decision under Article 25.6 of the Data Protection Directive and in view of the good faith effort of US Customs to provide the necessary information and undertakings […] which would allow the Commission to take such a decision, the European Commission will keep under review the enforcement of Article 11 of the Computer Reservation Systems (CRS) regulation. In view of the above process, the Commission side considered that EU data protection authorities may not find it necessary to take enforcement actions against airlines complying with the US requirements.“ 759 Siehe für die Verpflichtungserklärung der US-Zollbehörde den Annex des European Commission, US Customs, European Commission/US Customs talks on PNR transmission – 17/18 February Joint statement, 19.02.2003, S. 4. 760 Europäisches Parlament, Entschließung des EU Parlaments 2003, ABl. C 61 E v. 10.03.2004, S. 383; dazu ausführlich Spooner, Freedom, Security, and Democracy in the European Union: the intervention of the European Parliament in the negotiation of the Passenger Name Record, September 2007, http://www.statewatch.org/news/2008/jan/eu-usa-pnr-dissertation-2007.pdf (zuletzt geprüft am 15.03.2015). 761 Europäisches Parlament, Entschließung des EU Parlaments 2003, ABl. C 61 E v. 10.03.2004, S.  384, in Europäische Kommission, Kommissionsmitteilung zur Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept, KOM(2003)826 endgültig, 16.12.2003, S. 6, stellt die Kommission dar, dass eine Weigerung der Datenübertragung politisch gerechtfertigt gewesen wäre, jedoch den „Einfluss gemäßigterer und kooperativer Kreise in

420

Teil 3: Die Übermittlung von PNR-Daten in die USA 

gesellschaften ab dem 5. März 2003, den US-Behörden die erwünschten Daten zur Verfügung zu stellen.762 Positiv zu bewerten ist, dass eine Regelung vereinbart wurde. Ohne Regelung wären entweder sämtliche Daten ohne Schutz in die USA übertragen worden, wobei dann aber die Fluggesellschaften gegen die europäischen Datenschutzgesetze verstoßen hätten, oder die Fluggesellschaften hätten, bei einer Weigerung, Daten zu übertragen, u. U. mit Sanktionen der USA rechnen müssen. Eine Regelung ist somit generell einem anhaltenden Konflikt ohne explizite Regelung vorzuziehen. Es ist dem EU-Parlament jedoch zuzugeben, dass die EU-Kommission hier ohne Rechtsgrundlage handelte. Gerade weil es sich bei der Thematik der PNR-Daten um eine grundrechtssensible Angelegenheit handelt, wäre eine Rechtsgrundlage für das Handeln der Kommission zwingend notwendig gewesen. Zudem sind die Zugeständnisse, die die US-Zollbehörde hier machte, nur marginal. Vor allem die – explizit genannte – Weitergabe der Daten an andere US-Behörden, die in das Ermessen der US-Zollbehörde gestellt wurde, zeigt, dass die Verpflichtungserklärung der USA das Verhalten der Kommission nicht rechtfertigen kann. Auch sind die in der Verpflichtungserklärung gewählten Formulierungen sehr vage und einer Vielzahl von Interpretationen zugänglich. Da für die europäischen Fluglinien massive finanzielle Einbußen auf dem Spiel standen, ist die Bemühung um ein Einvernehmen zwar begrüßenswert, dieses Einvernehmen kann aber nur im Rahmen des geltenden Rechts erfolgen. Die EU-DSRL macht hierzu klare Vorgaben, die von der Kommission auch einzuhalten gewesen wären. Ohne Angemessenheitsentscheidung oder sonstige Garantien nach den EU-Datenschutzregelungen hätte keine Übermittlung erfolgen dürfen. Gerade deswegen ist auch die Aussage der Kommission, dass die nationalen Datenschutzbehörden nicht eingreifen würden bzw. sollten, zu beanstanden.763 Dadurch wurden die nationalen Datenschutzbehörden dazu aufgerufen, in diesem Fall nicht für die Einhaltung der DSRL zu sorgen, sondern die Fluggesellschaften gewähren zu lassen.764 Folglich lässt sich ein derartiges Verhalten durch die EU-Kommission nicht rechtfertigen. Auch politisch ist das Verhalten zu kritisieren, da die EU auf Grund ihrer Größe und wirtschaftlichen Kraft eine entsprechende Verhandlungsposition hat und zudem fraglich ist, ob es tatsächlich zu den angedrohten Sanktionen gekommen wäre. Die Quasi-Aussetzung der Voraussetzungen der DSRL, wie es eine britische EU-Parlamentarierin formulierte, „just on the say-so of the Commission“765 ist daher abzulehnen. Washington untergraben“ hätte, was zu einer „Machtprobe“ geführt hätte. Mit Beginn der „kooperativen Phase“ seien „erhebliche Fortschritte“ zur Erreichung der EU Ziele einhergegangen. 762 Vgl. EuGH, Urt. v. 30.05.2006, verb. Rs. C-317/04 u. C-318/04, Slg. 2006, I-4795, 4822; vgl. auch Schulzki-Haddouti, US-Zoll hat Zugriff auf Kundendaten der Fluglinien, http://heise. de/-75643 (zuletzt geprüft am 15.03.2015). 763 Siehe oben Fn. 758. 764 So auch de Busser, Data protection in EU and US criminal cooperation, S. 364 f. 765 MEP Baroness Sarah Ludford, zitiert nach Spooner, Freedom, Security, and Democracy in the European Union: the intervention of the European Parliament in the negotiation of the Passenger Name Record, September 2007, S. 17.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

421

C. Aktualisierung der Verpflichtungserklärung Der Konflikt um die PNR-Daten war durch die Verpflichtungserklärung der USA jedoch noch nicht gelöst. Die Übermittlung der PNR-Daten wurde nur geduldet, eine rechtliche Grundlage gab es hingegen weiterhin nicht. Jedoch plante die Kommission, eine Angemessenheitsentscheidung in Bezug auf von Fluggesellschaften und Betreibern von GDS766 erhobene PNR-Daten zu erlassen und damit die Übermittlung von PNR-Daten rechtlich abzusichern.767 Das seit 1. März 2003 bestehende CBP und die TSA besserten daher zur Unterstützung dieses Plans der Kommission in einer weiteren Verpflichtungserklärung nach.768 I. Zugeständnisse durch eine Verpflichtungserklärung seitens der USA In der Verpflichtungserklärung vom 22.  Mai 2003 gingen die Behörden zunächst ausführlich auf die im US-Recht bestehenden Ermächtigungsgrundlagen für die Übermittlung von Passagierdaten ein und druckten diese im Wortlaut als Anhang der Erklärung ab.769 Im Anschluss wurde die Nutzung von PNR-Daten durch das CBP und die TSA erläutert: Zwar könnten die meisten Datenelemente auch durch die Auswertung von Tickets und sonstigen Reisedokumenten im Rahmen der normalen Grenzkontrollen durch das CBP erlangt werden, durch die vorherige elektronische Übermittlung würde jedoch u. a. die effektive und effiziente Sicherheitseinschätzung in Bezug auf die Passagiere möglich; die TSA benötigte zudem die Daten bevor die Passagiere das Flugzeug boardeten, um die Sicherheit aller Passagiere sicherzustellen.770 Das CBP würde zudem die Daten nur zur Verhütung und Bekämpfung von Terrorismus und schweren Straftaten nutzen mit dem Ziel, das CBP in der Sicherung der Grenzen zu unterstützen und bereits bekannte sowie potenzielle Attentäter aufzuspüren.771 Die TSA würde die PNR-­Daten zum Aufspüren von bekannten und bis jetzt unbekannten Personen mit Beziehungen zu terroristischen Taten nutzen, die versuchen, innerhalb der USA sowie in die 766

Siehe dazu oben S. 296 ff. Vgl. DHS CBP/TSA, Undertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Adminstiration, 22.05.2003, S.  1, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2003/wp78-pnrf-annex_en.pdf (zuletzt geprüft am 15.03.2015). 768 DHS CBP/TSA, Undertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Adminstiration, 22.05.2003. 769 DHS CBP/TSA, Undertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Adminstiration, 22.05.2003, S. 1 sowie Anhang A auf S. 11 ff. 770 DHS CBP/TSA, Undertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Adminstiration, 22.05.2003, S. 1. 771 Vgl. DHS CBP/TSA, Undertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Adminstiration, 22.05.2003, S. 2. 767

422

Teil 3: Die Übermittlung von PNR-Daten in die USA 

oder aus den USA zu fliegen.772 Dadurch würde das Reisen für harmlose Passagiere erleichtert und gesichert und Ressourcen könnten auf die besonderen Risiken konzentriert werden.773 Die Verpflichtungserklärung nannte zudem die benötigten PNR-Daten774, äußerte ihren Willen, sensible Daten zu filtern,775 erklärte die Methoden, wie auf PNR-Daten in den GDS und den Reservierungssystemen der Fluggesellschaften durch das Pull-Verfahren zugegriffen werde,776 sowie die Speicherung der Daten bis zu 15 Jahren777. Des Weiteren ging die Erklärung auch auf die Sicherheit des Computersystems sowie Zugangsrechte des CBP und der TSA ein, wobei in Bezug auf die TSA eine Risikoeinschätzung ausschließlich durch den Computer angezeigt wurde.778 Zudem hätten auch keine weiteren Behörden direkten elektronischen Zugriff auf die Datenbanken von CBP und TSA.779 Auch wurde auf das – schließlich auf Grund von Datenschutzprotesten in den USA aufgegebene780 – Auswertungssystem CAPPS-II eingegangen.781 Weitere Aspekte der Verpflichtungserklärung waren u. a. die Übermittlung an andere Behörden unter bestimmten Bedingungen,782 die Information der Öffentlichkeit sowie etwaige Rechtsmittel für Betroffene,783 die Evaluation der Einhaltung der Verpflichtungserklärung784 sowie eine vage gehaltene Bestimmung zur Reziprozität bei Einführung eines PNR-Systems in Europa785.

772

DHS CBP/TSA, Undertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Adminstiration, 22.05.2003, S. 2. 773 DHS CBP/TSA, Undertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Adminstiration, 22.05.2003, S. 2. 774 DHS CBP/TSA, Undertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Adminstiration, 22.05.2003, S. 2. 775 DHS CBP/TSA, Undertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Adminstiration, 22.05.2003, S. 2 mit weiteren Ausführungen bis zur Möglichkeit der Einführung solcher Filter. 776 DHS CBP/TSA, Undertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Adminstiration, 22.05.2003, S. 3 f. 777 DHS CBP/TSA, Undertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Adminstiration, 22.05.2003, S. 4. 778 DHS CBP/TSA, Undertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Adminstiration, 22.05.2003, S. 4 f. 779 DHS CBP/TSA, Undertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Adminstiration, 22.05.2003, S. 5. 780 Siehe dazu oben S. 383 ff. 781 DHS CBP/TSA, Undertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Adminstiration, 22.05.2003, S. 5. 782 DHS CBP/TSA, Undertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Adminstiration, 22.05.2003, S. 7 f. 783 DHS CBP/TSA, Undertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Adminstiration, 22.05.2003, S. 8 f. 784 DHS CBP/TSA, Undertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Adminstiration, 22.05.2003, S. 9. 785 DHS CBP/TSA, Undertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Adminstiration, 22.05.2003, S. 10.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

423

II. Stellungnahme der Art. 29-Datenschutzgruppe In der auf die Verpflichtungserklärung folgenden Stellungnahme der Art.  29-­ Datenschutzgruppe vom 13. Juni 2003 wurde vor allem darauf hingewiesen, den US-Behörden – sobald dies technisch möglich wäre – keinen direkten Zugriff mehr auf die Daten zu geben (Pull-Verfahren), sondern stattdessen die Daten von den Fluggesellschaften an die US-Behörden weiterleiten zu lassen (Push-Verfahren).786 Im Falle der Anwendung des Pull-Verfahrens wäre nämlich die gesamte DSRL inklusive den Art. 4, 6 und 13 auf die US-Behörden anwendbar gewesen, da es sich dann nicht mehr um eine Datenübertragung in ein Drittland gehandelt hätte.787 Dies wäre jedoch nur der Fall gewesen, wenn sich die Daten, auf die die US-Behörden zugreifen wollten, auf EU-Territorium befunden hätten und somit der Anwendungsbereich der EU-Datenschutzbestimmungen eröffnet worden wäre. Des Weiteren äußerte die Art. 29-Datenschutzgruppe u. a. Kritik zum weiten Verwendungszweck der Daten, zur Notwendigkeit, die Daten nur an vorher bezeichnete Behörden zu vorher festgelegten Zwecken weiterzugeben sowie der Speicherungsdauer, der Informationsrechte der Betroffenen und deren Durchsetzung.788 Zudem wurde ­darauf hingewiesen, dass Verpflichtungserklärungen der USA zumindest im Federal Register amtlich bekannt gemacht werden sollten, um damit eine uneingeschränkte Bindung der USA nach sich zu ziehen.789 III. Inhalt der aktualisierten Verpflichtungserklärung Am Ende der darauf folgenden weiteren Verhandlungen stand eine aktualisierte – jedoch nur noch vom CBP und nicht mehr von der TSA verfasste – Verpflichtungserklärung, die teilweise Verbesserungen der bereits dargelegten Kritikpunkte zum Inhalt hatte und u. a. darauf einging, dass PNR-Daten nur von Flügen genutzt würden, die Start- oder Zielflughafen in den USA haben oder innerhalb der USA verlaufen.790 Zudem würden die maximal zu übertragenden Daten auf 34 786 Art. 29-Datenschutzgruppe, Stellungnahme 4/2003 zum Niveau des Schutzes für in die Vereinigten Staaten übermittelte Passagierdaten, WP 78, 13.06.2003, S. 6, http://ec.europa.eu/ justice/policies/privacy/docs/wpdocs/2003/wp78_de.pdf (zuletzt geprüft am 15.03.2015); dies ist Gegenstand fortdauernder Diskussionen bis zum PNR-Abkommen von 2012. 787 Art. 29-Datenschutzgruppe, Stellungnahme 4/2003 zum Niveau des Schutzes für in die Vereinigten Staaten übermittelte Passagierdaten, WP 78, 13.06.2003, S. 6; vgl auch Siemen, Datenschutz als europäisches Grundrecht, S. 310. 788 Art. 29-Datenschutzgruppe, Stellungnahme 4/2003 zum Niveau des Schutzes für in die Vereinigten Staaten übermittelte Passagierdaten, WP 78, 13.06.2003, S. 7 ff. 789 Art. 29-Datenschutzgruppe, Stellungnahme 4/2003 zum Niveau des Schutzes für in die Vereinigten Staaten übermittelte Passagierdaten, WP 78, 13.06.2003, S. 10. 790 Europäische Kommission, Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, ABl. L 235 v. 06.07.2004, 14.05.2004, S. S. 15 (17), Nr. 15; US DHS CBP, ­Undertakings

424

Teil 3: Die Übermittlung von PNR-Daten in die USA 

beschränkt, sensible Daten i. S. d. Art 8 DSRL nicht zur Verfügung gestellt, sondern gelöscht und Daten, auf die nach 3,5 Jahren noch nicht zugegriffen wurde, ebenso gelöscht.791 Des Weiteren sollte ein Push-System entwickelt werden und die Schaffung des Postens eines obersten Datenschutzbeauftragten (Chief Privacy Officer) im Department of Homeland Security erfolgen, an den sich Betroffene wenden könnten.792 Diese Erklärung vom 12. Januar 2004 war Grundlage für die Angemessenheitsentscheidung der Kommission.793 Sie gab entsprechende Garantien, die zur Evaluierung, ob von einem angemessen Schutzniveau ausgegangen werden konnte, herangezogen wurden. Die Verpflichtungserklärungen lassen erkennen, dass ein Auseinandersetzen mit der Position der EU stattgefunden hat und veranschaulichen zugleich die Bedeutung der PNR-Daten für die USA. Auffallend ist – im Vergleich mit den noch vorzustellenden Regelungen  – das Bekenntnis zum geplanten Aufspüren von noch nicht in Erscheinung getretenen Terroristen und der Nutzung automatisierter Computersysteme im Rahmen der Datenauswertung. Die Verpflichtungserklärung – als Basis für eine Angemessenheitsentscheidung nach der DSRL  – verblieb jedoch an vielen Stellen vage und ließ weiten Spielraum für Interpretationen. Doch trotz einer gewissen Vagheit war die Bedeutung der Erklärung – auch für die EU – nicht zu unterschätzen, war sie doch Grundlage für eine Angemessenheitsentscheidung und notwendig als Reaktion auf die Kritik zur vorläufigen Regelung und vor allem zur Rechtssicherheit für betroffene Passagiere und Fluggesellschaften.

D. Die Angemessenheitsentscheidung und das PNR-Abkommen zwischen der EU und den USA 2004 Wie die Kommission dem Rat und dem Parlament mitteilte, plante sie neben einer Angemessenheitsentscheidung gem. Art. 25 VI DSRL, für die die USA bereits Verpflichtungserklärungen abgegeben hatten und diese für die eigentliche Entof the Department of Homeland Security Bureau of Customs and Border Protection (CBP), 12.01.2004, S. 2 ff., http://www.statewatch.org/news/2004/jan/EUUSAG2.pdf (zuletzt geprüft am 15.03.2015); Europäische Kommission, Kommissionsmitteilung zur Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept, KOM(2003)826 endgültig, 16.12.2003, S. 6 ff. 791 Europäische Kommission, Angemessenheitsentscheidung der Kommission 2004, ABl. L 235 v. 06.07.2004, 14.05.2004, S. S.  15 (17), Nr.  15; US DHS CBP, Undertakings of the Department of Homeland Security Bureau of Customs and Border Protection (CBP), 12.01.2004, S. 2 ff.; Europäische Kommission, Kommissionsmitteilung zur Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept, KOM(2003)826 endgültig, 16.12.2003, S. 6 ff. 792 Europäische Kommission, Kommissionsmitteilung zur Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept, KOM(2003)826 endgültig, 16.12.2003, S. 6; US DHS CBP, Undertakings of the Department of Homeland Security Bureau of Customs and Border Protection (CBP), 12.01.2004, S. 6 f. 793 Siehe dazu unten S. 427.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

425

scheidung nochmals aktualisierten794, auch den Abschluss eines internationalen Abkommens mit den USA. I. Erlass einer Angemessenheitsentscheidung 1. Beginn der Verhandlungen zum Erlass einer Angemessenheitsentscheidung Zunächst nahm die EU Verhandlungen mit den US-Behörden auf, mit dem Ziel, die Rechtssicherheit für alle Beteiligten sicherzustellen sowie am Ende der Verhandlungen gem. Art 25 VI DSRL den USA ein „angemessenes Schutzniveau“ zu bescheinigen.795 In einer Mitteilung an das Parlament und den Rat von Mitte Dezember 2003 informierte die Kommission jene beiden Organe, dass sie nun das Verfahren gem. Art.  25 VI DSRL durchführen würde und dass diese Angemessenheitsentscheidung zudem durch den Abschluss eines internationalen Abkommens ergänzt werden sollte.796 Die Kommission strebe den Abschluss der Verfahren bis März 2004 an, benötige dazu aber die Unterstützung aller zuständigen Stellen.797 Diese mahnenden Worte waren wohl vor allem an das Parlament auf Grund ihrer vorherigen kritischen Stellungnahmen gerichtet. Die Kommission bereitete daraufhin einen Vorschlag für eine Angemessenheitsentscheidung gem. Art. 25 DSRL vor, der sich inhaltlich an der Verpflichtungserklärung der USA orientierte.798 2. Stellungnahme der Art. 29-Datenschutzgruppe Zu diesem Dokument nahm die Art. 29-Datenschutzgruppe am 29. Januar 2004 Stellung799 und wies darauf hin, dass durch gesetzliche Auflagen Wirtschaftsteilnehmer in der EU verpflichtet seien, Daten in einer Art und Weise, die nicht der 794

Siehe dazu oben S. 423. Dazu ausführlich Siemen, Datenschutz als europäisches Grundrecht, S. 309 ff. 796 Europäische Kommission, Kommissionsmitteilung zur Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept, KOM(2003)826 endgültig, 16.12.2003, S. 8; um eine Angemessenheitsentscheidung gem. Art. 25 VI DSRL zu erlangen, muss das in Art. 31 DSRL geregelte Verfahren durchlaufen werden. 797 Europäische Kommission, Kommissionsmitteilung zur Übermittlung von Fluggastdatensätzen (PNR): Ein sektorübergreifendes EU-Konzept, KOM(2003)826 endgültig, 16.12.2003, S. 8. 798 European Commission, Draft Commission Decision on the adequate protection of personal data contained in the PNR of air passengers transferred to United States’ Bureau of Customs and Border Protection, 2004, S.  311, http://www.statewatch.org/news/2004/mar/com-draftdec-adequacy-usa.pdf (zuletzt geprüft am 15.03.2015), dazu auch Siemen, Datenschutz als europäisches Grundrecht, S. 311, Fn. 55. 799 Siemen, Datenschutz als europäisches Grundrecht, S.  312; Art.  29-Datenschutzgruppe, Stellungnahme 2/2004 zur Angemessenheit des Schutzes der personenbezogenen Daten, die in den Fluggastdatensätzen (Passenger Name Records – PNR) enthalten sind, welche dem United 795

426

Teil 3: Die Übermittlung von PNR-Daten in die USA 

DSRL entspräche, zu übermitteln.800 In der Stellungnahme zum Kommissionsentwurf überprüfte die Art. 29-Datenschutzgruppe die genannte Verpflichtungserklärung auf ihre Vereinbarkeit mit der DSRL und kam zu dem Ergebnis, dass eine Angemessenheitsentscheidung nicht abgegeben werden dürfe.801 3. Übermittlung des Entwurfs der Angemessenheitsentscheidung an das Parlament Am 1. März 2004 übermittelte die Kommission dem Parlament den Entwurf der Angemessenheitsentscheidung.802 Das Parlament äußerte sich negativ zu diesem Vorschlag und stützte die vorgetragenen Bedenken vor allem darauf, dass eine Angemessenheitsentscheidung eine reine Durchführungsmaßnahme der DSRL sei, die nicht zum Absinken des Datenschutzstandards führen dürfe, wofür in diesem Fall aber die Gefahr bestünde.803 Zudem sei die Bindungswirkung der US-Verpflichtungserklärung zweifelhaft, und sie begründe – was zu bemängeln sei – keine Rechte für Dritte. Die Entschließung des Parlaments forderte höhere Standards und gab essentielle Inhaltspunkte für ein internationales Abkommen ­unter Beachtung der Grundrechte vor wie bspw. die Klärung der Frage des Rechtsmittels oder eine explizite Beschränkung der zum Empfang der Daten berechtigten Stellen.804 States Bureau of Customs and Border Protection (US CBP – Zoll- und Grenzschutzbehörde der Vereinigten Staaten) übermittelt werden sollen, WP 87, 29.01.2004, http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/2004/wp87_de.pdf (zuletzt geprüft am 15.03.2015). 800 Siemen, Datenschutz als europäisches Grundrecht, S.  312; Art.  29-Datenschutzgruppe, Stellungnahme 2/2004 zur Angemessenheit des Schutzes der personenbezogenen Daten, die in den Fluggastdatensätzen enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden sollen, WP 87, 29.01.2004. 801 Siemen, Datenschutz als europäisches Grundrecht, S.  312; Art.  29-Datenschutzgruppe, Stellungnahme 2/2004 zur Angemessenheit des Schutzes der personenbezogenen Daten, die in den Fluggastdatensätzen enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden sollen, WP 87, 29.01.2004. 802 Zum Ablauf des Verfahrens siehe EuGH, Urt. v. 30.05.2006, verb. Rs. C-317/04 u. C-318/04, Slg. 2006, I-4795, 4823. 803 Europäisches Parlament, Entschließungsantrag zu einer Entschließung des Europäischen Parlaments zu dem Entwurf einer Entscheidung der Kommission über die Angemessenheit des Schutzes personenzogener Daten, die in den Fluggastdatensätzen (PNR) enthalten sind, welche dem United Bureau of Customs and Border Protection (Zoll- und Grenzschutzbehörde der Vereinigten Staaten) übermittelt werden, 19.03.2004, S. 6 f., http://www.europarl.europa.eu/sides/ getDoc.do?pubRef=-//EP//NONSGML+MOTION+B5-2004-0156+0+DOC+PDF+V0//DE (zuletzt geprüft am 15.03.2015), Grundlage der Stellungnahme ist Art. 8 des Ratsbeschlusses 99/368/EC (sog. Komitologiebeschluss): Das Parlament kann damit den Erlass einer Durchführungsmaßnahme beeinflussen, indem es erklärt, dass der Entwurf die im Basisrechtsakt (hier die DSRL) vorgesehenen Durchführungsbefugnisse, Art. 31 DSRL, überschreiten würde. 804 Europäisches Parlament, Entschließungsantrag zu einer Entschließung des Europäischen Parlaments zu dem Entwurf einer Entscheidung der Kommission über die Angemessenheit des Schutzes personenzogener Daten, die in den Fluggastdatensätzen (PNR) enthalten sind, welche dem United Bureau of Customs and Border Protection (Zoll- und Grenzschutzbehörde der Vereinigten Staaten) übermittelt werden, 19.03.2004, S. 7.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

427

4. Erlass der Angemessenheitsentscheidung Am 14. Mai 2004 erließ die Kommission trotz der vielfältigen Kritik verschiedener Stellen eine Entscheidung über die Angemessenheit des Schutzes der personenbezogenen Daten bei der Übertragung von PNR-Daten in die USA.805 Die Kommission verdeutlichte damit, dass sie in dem Kriterium der Angemessenheit ein flexibles Kriterium sah, dass trotz offensichtlich bestehender Defizite im Datenschutzniveau im Vergleich zu dem der EU, den Datenfluss in ein Drittland ermöglichte. Im Rahmen der Abwägung wurden offensichtlich Sicherheitsinteressen sowie wirtschaftliche Interessen der Fluggesellschaften und sonstiger auf den transatlantischen Luftverkehr angewiesene Industriezweige berücksichtigt. Eine solche Abwägung mag notwendig gewesen sein, jedoch wäre eine stärkere Berücksichtigung der in der EU essentiellen Datenschutzprinzipien wünschenswert gewesen. Es muss der Kommission jedoch zugestanden werden, dass das Datenschutzrecht der DSRL im Jahr 2004 noch nicht derart durch Rechtsprechung und Literatur ausdifferenziert war, wie es heute der Fall ist. II. Abschluss des PNR-Abkommens zwischen der EU und den USA 2004 Neben der Angemessenheitsentscheidung sollte zudem noch ein PNR-Abkommen mit den USA geschlossen werden. 1. Gründe für den zusätzlichen Abschluss eines Abkommens Der Abschluss eines internationalen Abkommens neben und zusätzlich zur Angemessenheitsentscheidung der Kommission wurde als notwendig angesehen, um darin diejenigen rechtlichen Probleme zu behandeln, die in der Angemessenheitsentscheidung nicht angesprochen wurden.806 Zunächst sollte daher in dem Abkommen das sogenannte „Pull-Verfahren“ thematisiert werden, dessen Ausführung dann eine Ausübung amerikanischer Hoheitsgewalt auf EU-Territorium darstelle, wenn US-Behörden auf sich in der EU befindende Server zugreifen.807 Ein weiteres Problem stand im Zusammenhang mit Art. 7 DSRL: Der Artikel behandelt 805

Siehe Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, ABl. L 235 v. 06.07.2004, S. 11–22; diese ist identisch mit der Erklärung vom 12.01.2004, siehe dazu oben S. 423. 806 European Commission, Commission Staff Working Paper – An EC-U. S. Agreement on Passenger Name Records (PNR), SEC(2004) 81, 21.01.2004, S. 3: „[…] is necessary to deal with such legal problems as are not addressed by the adequacy finding“. 807 European Commission, 21.01.2004, S. 3.

428

Teil 3: Die Übermittlung von PNR-Daten in die USA 

die „Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten“ und insbesondere in lit. c, dass eine Datenverarbeitung erfolgen dürfe, wenn „die Verarbeitung […] für die Erfüllung einer rechtlichen Verpflichtung erforderlich [sei], der der für die Verarbeitung Verantwortliche unterliegt“.808 Die hier angesprochene „rechtliche Verpflichtung“ umfasste jedoch nur Maßnahmen der EU und der Mitgliedstaaten, nicht jedoch solche eines Drittlandes wie der USA.809 Die Kommission war daher der Ansicht, dass mit einem internationalen Abkommen eine solche rechtliche Verpflichtung für Fluggesellschaften und Computerreservierungssysteme geschaffen werden könne, um Daten entsprechend der DSRL verarbeiten zu können.810 Neben diesen beiden Hauptpunkten wollte die Kommission mit dem Abkommen noch generelle Prinzipien wie die Nicht-Diskriminierung (in Bezug auf die Nutzung der PNR-Daten von EU-Passagieren) und die Gegenseitigkeit (in Bezug auf die Unterstützung durch die USA für ein in der Zukunft mögliches EUPNR-System) in dem Abkommen thematisieren.811 Zudem sollte das Abkommen das sog. „joint review“ – die gemeinsame Überprüfung – der Einhaltung der USVerpflichtungserklärung beinhalten.812 2. Beginn der Verhandlungen Im Februar 2004 beauftragte der Rat die Kommission – trotz aller Kritik – zur Verhandlung eines Abkommens mit den USA.813 Daraufhin legte die Kommission im März 2004 einen Vorschlag für einen Beschluss des Rates über den Abschluss 808

European Commission, 21.01.2004, S. 3. European Commission, 21.01.2004, S. 3. 810 European Commission, 21.01.2004, S. 3. 811 European Commission, 21.01.2004, S. 3. 812 European Commission, 21.01.2004, S. 3. 813 Ratsdokument 7628/04, Vermerk des Generalsekretariats vom 23.02.2004  für den Ausschuss der ständigen Vertreter zum Vorschlag für einen Beschluss des Rates über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des Ministeriums für nationale Sicherheit der Vereinigten Staaten, Interinstitutionelles Dossier 2204/0064/CNS, zitiert nach Siemen, Datenschutz als europäisches Grundrecht, S. 313, Fn. 59; auf das Ratsdokument v. 23.02.2004 ebenfalls Bezug nehmend Europäische Kommission, Vorschlag für eine Beschluss des Rates über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des US Department of Homeland Security, KOM(2004)190 endgültig, 17.03.2004, S.  2 und Rat der Europäischen Union, Beschluss des Rates vom 17.  Mai 2004 über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und der Übermittlung durch die Fluggesellschaften and das Bureau of Cusoms and Border Protection des United States Department of Homeland Security, 17.05.2004, ABl. L 183 v. 20.05.2004, S. 83–85. 809

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

429

eines Abkommens zwischen der EU und den USA vor.814 Der im Anschluss an den Vorschlag angehängte Entwurf des zukünftigen Abkommens nahm in seinem ersten Absatz explizit Bezug auf die konfligierenden Interessen der EU und der USA, den Schutz „der Privatsphäre, und deren Achtung bei gleichzeitiger Verhütung und Bekämpfung des Terrorismus […]“815. Essentialia des Entwurfes waren die Einführung eine Pull-Systems bis zu dem Zeitpunkt, an dem es technisch möglich sein würde, dass die Fluggesellschaften nach dem Push-System die Daten übermitteln, die Bezugnahme auf die Verpflichtungserklärung der USA, die Befolgung der US-Gesetze und keine unrechtmäßige Diskriminierung, die gemeinsame Überprüfung des Abkommens, die Bereitschaft zur Reziprozität im Falle eines zukünftigen EU-PNR-Systems und die Anmerkung, dass das Abkommen keine Rechte für Dritte begründe.816 Rechtsgrundlage für das Abkommen war die Rechtsangleichung im Binnenmarkt, der damalige Art. 95 EGV (jetzt Art. 114 AEUV) in Verbindung mit den Regelungen über den Abschluss von Abkommen mit Drittstaaten, hier Art. 300 II Unterabs. 1 S. 1. EGV (jetzt Art. 218 AEUV).817 Die Wahl dieser Rechtsgrundlage eröffnete somit erst die Anwendung der DSRL, auf die in sämtlichen Kontroversen Bezug genommen wurde. 3. Anhörung des Parlaments Bevor es zu einem Ratsbeschluss über das Abkommen kommen konnte, musste gem. Art. 300 III EGV das Parlament angehört werden. Dieses verwies die Sache in die Ausschüsse, wobei der Ausschuss „Bürgerliche Freiheiten, Justiz und Inneres“ (LIBE) die Federführung übernahm und der Ausschuss für „Auswärtige Angelegenheiten, Menschenrechte, gemeinsame Sicherheits- und Verteidigungspoli 814 Europäische Kommission, Vorschlag für eine Beschluss des Rates über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des US Department of Homeland Security, KOM(2004)190 endgültig, 17.03.2004. 815 Europäische Kommission, Vorschlag für eine Beschluss des Rates über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des US Department of Homeland Security, KOM(2004)190 endgültig, 17.03.2004, S. 5. 816 Europäische Kommission, Vorschlag für eine Beschluss des Rates über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des US Department of Homeland Security, KOM(2004)190 endgültig, 17.03.2004, S. 6. 817 Vgl. Europäische Kommission, Vorschlag für eine Beschluss des Rates über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des US Department of Homeland Security, KOM(2004)190 endgültig, 17.03.2004, S. 3.

430

Teil 3: Die Übermittlung von PNR-Daten in die USA 

tik“ als mitberatender Ausschuss tätig wurde.818 Der federführende Ausschuss kam zu dem Ergebnis, dass das Parlament sich nicht mit dem Abschluss des Abkommens einverstanden erklären solle, der Parlamentspräsident zudem den Rat auffordern solle, das Abkommen nicht abzuschließen, bis der Gerichtshof ein Gutachten über die Vereinbarung mit dem Vertrag gemäß Art. 300 VI EGV (jetzt Art. 218 XI AEUV) abgegeben habe. Zunächst kritisierte der Ausschuss in seiner Stellungnahme, dass der Rat mit dem Abkommen versuche, eine rechtliche Verpflichtung zu schaffen, die gem. Art.  7 DSRL zwingend notwendig sei, um die Datenverarbeitung in Form der Übermittlung von Fluggastdaten überhaupt erst zu erlauben.819 Der dahinterstehende Gedanke war, dass die Angemessenheitserklärung gem. Art. 25 VI DSRL nicht dazu ausgereicht hätte, diese Verpflichtung zu begründen, da die Angemessenheitserklärung die Datenübertragung lediglich für zulässig, nicht jedoch für verpflichtend erklärt, wie es von den US-Behörden angestrebt wurde.820 Gäbe es nur die Angemessenheitserklärung, wäre die Übertragung von Passagierdaten folglich zwar erlaubt, stünde aber immer noch im Ermessen der Fluggesellschaften.821 Ein weiterer Kritikpunkt des Ausschusses war, dass das geplante Abkommen – jedenfalls im Hinblick auf den Datenaustausch mit den USA – eine Abänderung der DSRL darstelle.822 Zum einen würden Rechtsvorschriften der USA für die EU und ihre Bürger für anwendbar erklärt werden, zudem würden Entscheidungsgewalten auf die EU-Ebene verlagert, die eigentlich gem. Art. 13 DSRL ausdrücklich den Mitgliedstaaten vorbehalten waren und schließlich würden neue Verpflichtungen hinsichtlich Folgemaßnahmen und der Überwachung für ein problemloses Funktionieren des Abkommens geschaffen.823 Im Folgenden kritisierte der Bericht die Vorgehensweise der Kommission im Hinblick auf die Gemeinschaftsgrundrechte und führte an, dass der Entwurf des Abkommens weder das Ausmaß noch die Grenzen der Datenschutzgrundsätze824 festlege, sondern lediglich eine einseitige Kommissionsentscheidung berücksichtigt werde; in dieser wurde wiederum nur auf einseitige Verpflichtungserklärungen der USA Bezug genommen, die auf geltende und zukünftige US-Vorschriften abstellen.825 Zusätzlich zu diesen Kritikpunkten wurde darauf hingewiesen, dass das 818 Europäisches Parlament, Bericht über den Vorschlag für einen Beschluss des Rates über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des US Department of Homeland Security (KOM(2004) 190  – C5-0162/2004  – 2004/0064(CNS)), Ausschuss für die Freiheiten und Rechte der Bürger, Justiz und innere Angelegenheiten – Berichterstatterin Johanna L. A. Boogerd-Quaak, S. 7. 819 Europäisches Parlament, S. 7. 820 Siemen, Datenschutz als europäisches Grundrecht, S. 315. 821 Vgl. Siemen, Datenschutz als europäisches Grundrecht, S. 315. 822 Europäisches Parlament, S. 7 f. 823 Europäisches Parlament, S. 7 f. 824 Der Ausschussbericht stützt sich daher  – nach einer generellen Bezugnahme auf den Grundrechtsstandard in Art. 6 II EUV – auf den Datenschutz in Art. 8 EMRK. 825 Europäisches Parlament, S. 8.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

431

Abkommen als zu allgemein erscheine, „um als angemessene und unabhängige Rechtsgrundlage für eine Übergabe der Befugnisse der Mitgliedstaaten an die Organe der Europäischen Gemeinschaft in Betracht zu kommen“ und zudem – da es sich nach Ansicht des Ausschusses um eine Änderung der DSRL handele – nicht nur eine Konsultation des EU-Parlaments notwendig gewesen wäre, sondern sogar dessen Zustimmung gem. Art. 300 Unterabs. 2 EGV.826 Den Vorschlägen des Ausschusses kam das Parlament nach und beschloss die Einholung eines Rechtsgutachtens gem. Art. 300 VI EGV.827 4. Abschluss der Verhandlungen Nachdem im Folgenden der Rat den Abschluss des Abkommens beschlossen hatte, wurde das Abkommen schließlich von den Vertragsparteien am 28. Mai 2004 unterzeichnet und trat gemäß Punkt 7 des Abkommens am gleichen Tag in Kraft.828 III. Nichtigkeitsklagen des EU-Parlaments Da wegen des Inkrafttretens des Abkommens das Gutachtenverfahren gem. Art.  300 VI EGV nicht mehr durchgeführt werden konnte829, erhob das Europäische Parlament zwei Nichtigkeitsklagen gem. Art.  230 EGV (jetzt Art.  263 AEUV). Klagegenstand war zum einen der Ratsbeschluss über den Abschluss des Abkommens (Rs. C-317/04830) und zum anderen die Angemessenheitsentscheidung der Kommission (Rs. C-318/04831).

826

Europäisches Parlament, S. 8. Laut Siemen, Datenschutz als europäisches Grundrecht, S. 316, Fn. 69 fanden die Abstimmung am 21. April 2004 sowie am 4. Mai 2004 statt. Eine zweite Abstimmung wurde vom Rat gefordert, um eine Entscheidung des EuGH im beschleunigten Verfahren durchführen zu können. Laut Siemen bestand dabei aber die Hoffnung eines anderen Abstimmungsergebnisses, da nach der Osterweiterung auf die EU-25 auch die Abgeordneten der neuen Mitgliedstaaten abstimmen durften. 828 Abkommen zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des United States Department of Homeland Security, ABl. L 183 v. 20.5.2004, S. 83–85. 829 EuGH, Entscheidung v. 13.12.1995 zum Gutachten 3/94, Slg. 1995, I-4577 Rn. 19, 23; dazu Terhechte, in: Schwarze, EU-Kommentar, 2. Aufl. 2009, Art. 300 EGV Rn. 40; „[…] ein Gutachtenantrag über ein geplantes Gutachten wird nach Abschluss des Abkommens gegenstandslos, weil der Präventivzweck des Art. 300 VI EGV nicht mehr erreicht werden kann […]“. 830 Europäisches Parlament, Klage des Europäischen Parlaments gegen den Rat der Euro­ päischen Union, eingereicht am 27. Juli 2004 (Rs. C-317/04), ABl. C 228 v. 11.09.2004, S. 31 f. 831 Europäisches Parlament, Klage des Europäischen Parlaments gegen die Kommission der Europäischen Gemeinschaften, eingereicht am 27.  Juli 2004 (Rs. C-318/04), ABl. C 228 v. 11.09.2004, S. 32 f. 827

432

Teil 3: Die Übermittlung von PNR-Daten in die USA 

1. Klagegegenstände der Nichtigkeitsklagen a) Nichtigkeitsklage gegen die Angemessenheitsentscheidung der Kommission (Rs. C-318/04) Bezüglich der Angemessenheitsentscheidung führte das Parlament vier Gründe an: Erstens habe die Kommission ihre Befugnisse überschritten, indem sie die Bestimmungen der DSRL nicht beachtet habe832; zweitens verletze die Angemessenheitsentscheidung wesentliche Grundsätze der DSRL833; drittens verstoße die Angemessenheitsentscheidung gegen Grundrechte – insbesondere gegen das in Art. 8 EMRK normierte Recht auf Achtung des Privatlebens und Schutz personenbezogener Daten  – und viertens sei die Angemessenheitsentscheidung unverhältnismäßig, vor allem wegen der übermäßigen Anzahl der zu übermittelnden Flug­ gastdatensätze und der langen Speicherdauer durch die US-Behörden.834 b) Nichtigkeitsklage gegen den Ratsbeschluss über den Abschluss des Abkommens (Rs. C-317/04) Hinsichtlich des Ratsbeschlusses über den Abschluss des Abkommens stützte das Parlament seine Klage auf sechs Gründe: Erstens sei Art. 95 EGV als Rechtsgrundlage wegen der neuen Rechtsprechung des Gerichtes und auf Grund der Tatsache, dass es in dem Abkommen um Datenverarbeitungen gehe, die vom Anwendungsbereich der DSRL835 ausgenommen seien, nicht gerechtfertigt; zweitens impliziere das Abkommen eine Änderung der DSRL836, sodass das Parlament seine Zustimmung hätte erteilen müssen; drittens verstoße das Abkommen gegen

832 Dabei bezieht sich das Parlament insbesondere auf einen Verstoß gegen Art. 3 II 1. Spiegelstrich der DSRL, der die Verarbeitung von Daten, die nicht in den Anwendungsbereich des Gemeinschaftsrecht fallen, vom Anwendungsgebiet der DSRL ausschließt. Zudem sei die Zollund Grenzschutzbehörde der USA kein Drittland i. S. d. Art. 25 DSRL, sodass die Angemessenheitsentscheidung auch eine Übermittlung an andere US Regierungsbehörden sowie Dritt­ länder erlaube. Ein weiterer Verstoß wird gegen Art. 13 DSRL gesehen. 833 Das Parlament stellt dabei auf das Prinzip der Zweckbindung ab: das angestrebte Ziel der Datenverarbeitung stimme nicht mit dem ursprünglichen Ziel der Datenverarbeitung überein. Zudem gebe es keine rechtliche Verpflichtung zur Datenverarbeitung, und die Grundsätze der DSRL seien hinsichtlich der Verarbeitung sensibler Daten, des Zugriffsrechts und der zusammenhängenden Rechte verletzt. Des Weiteren sei das Recht auf gerichtlichen Rechtsschutz nicht gewährleistet und die Erlaubnis, Daten an andere amerikanische Behörden und andere Länder zu übermitteln, sei ohne einen wirksamen Schutz mit der DSRL unvereinbar. 834 Europäisches Parlament, Klage des Europäischen Parlaments gegen die Kommission der Europäischen Gemeinschaften, eingereicht am 27.  Juli 2004 (Rs. C-318/04), ABl. C 228 v. 11.09.2004, S. 32 f. 835 Die DSRL wurde auf der Grundlage von Art. 95 EGV erlassen. 836 Die DSRL wurde nach dem Verfahren des Art. 251 EGV erlassen; dieses Verfahren erforderte die Zustimmung des Parlaments.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

433

Grundrechte, insbesondere gegen den Kernbereich des Rechts auf den Schutz personenbezogener Daten und stelle zudem einen nicht gerechtfertigten Eingriff in das in Art.  8 EMRK normierte Recht auf Privatleben dar; viertens verstoße das Abkommen auch gegen den Verhältnismäßigkeitsgrundsatz, da das Abkommen die Übermittlung einer übermäßigen Anzahl von Fluggastdaten und eine zu lange Speicherdauer durch die US-Behörden fordere; fünftens fehle es für einen derartigen Rechtsakt an einer hinreichenden Begründung und sechstens verstoße das Abkommen gegen den in Art. 10 EGV normierten Grundsatz der vertrauensvollen Zusammenarbeit.837 2. Schlussanträge des Generalanwalts Léger Generalanwalt Philippe Léger stellte am 22. November 2005 seine Schlussanträge zu den mittlerweile verbundenen Rechtssachen C-317/04 und C-318/04 vor.838 a) Stellungnahme zur Klage gegen die Angemessenheitsentscheidung der Kommission aa) Klagegrund 1: Befugnisüberschreitung der Kommission Zu einer etwaigen Befugnisüberschreitung durch die Kommission839 und insbesondere zur Frage, ob die Angemessenheitsentscheidung wirksam auf die DSRL gestützt werden könne, nahm der Generalanwalt wie folgt Stellung: Er führte zunächst aus, dass er im Gegensatz zum Parlament der Meinung sei, der Zugang zu PNR-Daten durch das CBP könne unter den Begriff „Übermittlung in ein Drittland“ subsumiert werden.840 Im Rahmen der eigentlichen Frage der Befugnisüberschreitung nahm der Generalanwalt zunächst auf den sachlichen Geltungsbereich der DSRL Bezug und erklärte: „Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 bestimmt nämlich, dass sie keine Anwendung auf die Verarbeitung personenbezogener Daten findet, die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, bspw. Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die

837 Europäisches Parlament, Klage des Europäischen Parlaments gegen den Rat der Euro­ päischen Union, eingereicht am 27. Juli 2004 (Rs. C-317/04), ABl. C 228 v. 11.09.2004, S. 32. 838 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724. 839 Für eine Zusammenfassung der Ausführungen der Beteiligten siehe Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, 4745 ff., sowie zur Würdigung S. 4747 ff. 840 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S. 4749 Rn. 91.

434

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Tätigkeiten des Staates im strafrechtlichen Bereich“.841 Der Generalanwalt war daher der Meinung, dass „das Abfragen der Fluggästedaten aus den von den Fluggesellschaften im Hoheitsgebiet der Mitgliedstaaten betriebenen Buchungssystemen sowie die Benutzung und die Bereitstellung dieser Daten durch bzw. für das CBP eine Verarbeitung von personenbezogenen Daten […], die die öffentliche Sicherheit betreffen und staatliche Tätigkeiten im strafrechtlichen Bereich zum Gegenstand haben“ darstellten und somit nicht in den Geltungsbereich der DSRL fielen.842 Er ergänzte: „Die Richtlinie 95/46, insbesondere Artikel 25 Absatz 6, ist meines Erachtens keine geeignete Rechtsgrundlage dafür, dass die Kommission einen Durchführungsakt wie die Entscheidung über die Angemessenheit des Schutzes von personenbezogenen Daten erlässt, die einer Verarbeitung unterliegen, für die die Richtlinie 95/46 ausdrücklich nicht gilt. Würde die Übermittlung dieser Daten auf der Grundlage dieser Richtlinie genehmigt, würde durch die Hintertür der Geltungsbereich der Richtlinie erweitert.“843 Die Argumentation des Generalanwalts stellt des Weiteren darauf ab, dass die Erhebung und Speicherung von PNR-Daten durch die Flug­gesellschaften zwar ursprünglich ein kommerzielles Ziel, nämlich eine Dienstleistung, auf die die DSRL Anwendung findet, betreffe, die Datenverarbeitung, auf die die Angemessenheitsentscheidung Bezug nimmt jedoch „von ganz anderer Art“ sei und eine „der ursprünglichen Datenerhebung nachfolgenden Phase“ erfasse.844 Im Ergebnis stelle die Angemessenheits­ entscheidung somit „einen Verstoß gegen den in der Richtlinie 95/46 liegenden Basisrechtsakt dar, insbesondere gegen deren Artikel 25, der für sie nicht die richtige Rechtsgrundlage“ sei; folglich sei die Angemessenheitserklärung „für nichtig zu erklären“.845 bb) Klagegrund 2: Verstoß gegen die wesentlichen Grundsätze der DSRL Auf den zweiten Klagegrund des Parlaments bzgl. der Angemessenheitsentscheidung, der auf einen Verstoß gegen die wesentlichen Grundsätze der DSRL abstellte, ging der Generalanwalt nicht ein, da die Angemessenheitsentscheidung nicht in den Anwendungsbereich der DSRL falle und letztere somit nicht zu prüfen sei.846 841 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4750 Rn. 96, Hervorhebungen durch den Generalanwalt. 842 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S. 4750 f. Rn. 98; weitere Ausführungen mit Bezug zum Wortlaut der Angemessenheitsentscheidung in den folgenden Rn. 843 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4751 Rn. 100. 844 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4752 Rn. 102. 845 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S. 4752 f. Rn. 105. 846 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4753 Rn. 106.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

435

Dies bedeute jedoch nicht, dass die Angemessenheitsentscheidung Grundrechte nicht einzuhalten brauche.847 cc) Klagegründe 3 und 4: Verstoß gegen Grundrechte und den Verhältnismäßigkeitsgrundsatz Der Generalanwalt machte daraufhin erste Ausführungen zu einem Verstoß gegen Grundrechte, insbesondere gegen den vom Parlament angesprochenen Art. 8 EMRK und den im Hinblick auf die Anzahl der verlangten PNR-Daten und die Aufbewahrungszeit der Daten vom Parlament angeführten Verhältnismäßigkeitsgrundsatz.848 Der Generalanwalt war der Meinung, dass die von der Gemeinschaft gewählte dreiteilige Regelungskonstruktion aus Angemessenheitsentscheidung, der dieser Angemessenheitsentscheidung beigefügten Verpflichtungserklärung sowie dem Abkommen, wie durch den Beschluss des Rates genehmigt, nicht getrennt voneinander betrachtet werden könnten, da sie – bspw. durch die Präambel des Abkommens – miteinander verbunden seien und auch das Parlament in seiner Klagebegründung auf die verschiedenen Elemente der Regelungskonstruktion verweise.849 Da das System somit aus „mehreren untrennbar miteinander verbundenen Elementen“ bestehe, dürfe die Prüfung nicht willkürlich aufgespalten werden; ein Eingriff in die Privatsphäre erfolge durch die Gesamtregelung, folglich seien alle genannten Regelungen im Rahmen der Klage auf Nichtigerklärung des Ratsbeschlusses zu prüfen.850 b) Stellungnahme zur Klage gegen den Ratsbeschluss über den Abschluss des Abkommens aa) Klagegrund 1: Fehlerhafte Entscheidung für Art. 95 EGV als Rechtsgrundlage Wiederum erfolgte eine Diskussion der Rechtsgrundlage, diesmal bzgl. des Ratsbeschlusses über den Abschluss des Abkommens. Das Parlament hielt Art. 95 EGV, die Bestimmung über die Angleichung des Binnenmarktes – wie schon bei der Angemessenheitsentscheidung  – nicht für die richtige Rechtsgrundlage; der Rat hingegen verwies weiterhin auf Art. 95 EGV, da das Abkommen Wettbewerbs 847 Dazu ausführlich Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S. 4753 Rn. 106, Fn. 59. 848 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4753 Rn. 108. 849 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4753 Rn. 107 f. 850 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4755 Rn. 114 f.

436

Teil 3: Die Übermittlung von PNR-Daten in die USA 

verzerrungen zwischen Fluggesellschaften aus der EU und denen aus Drittländern beseitigen sollte.851 Die Kommission wies in ihrem Streithilfeschriftsatz darauf hin, dass auf Grund der engen Verbindung der drei Maßnahmen und deren Wechselbeziehungen Art. 95 EGV heranzuziehen war und zudem die DSRL beeinträchtigt worden wäre, wenn die Mitgliedstaaten außerhalb des Gemeinschaftsrahmens ein Abkommen geschlossen hätten.852 Des Weiteren sei der ursprüngliche Zweck der Datenverarbeitung durch die Fluggesellschaften kommerzieller Natur gewesen und zudem liege die Nutzung der Daten durch die USA nicht außerhalb der DSRL.853 In seiner Würdigung der Klage setzte sich der Generalanwalt eingehend mit den vorgetragenen Argumenten der Institutionen auseinander und kam schließlich zu dem Ergebnis, dass Art. 95 EGV nicht die einschlägige Rechtsgrundlage für den hier in Frage stehenden Beschluss des Rates darstelle.854 Die Wahl der Rechtsgrundlage müsse sich auf „objektive, gerichtlich nachprüfbare Umstände gründen […], zu denen insbesondere das Ziel und die Inhalte des Rechtsakts gehören“.855 Aus der Präambel des Abkommens gehe hervor, dass dieses zwei Ziele verfolge, nämlich „zum einen die Verhütung und Bekämpfung des Terrorismus und damit verbundener Verbrechen sowie sonstiger schwerer Verbrechen transnationaler Art einschließlich der organisierten Kriminalität und zum anderen die Achtung grundlegender Rechte und Freiheiten, insbesondere den Schutz der Privatsphäre“.856 Er erinnerte mit Verweis auf die Rechtsprechung des EuGH daran, dass „der bloße Umstand, dass durch einen Rechtsakt die Errichtung oder das Funktionieren des

851 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4755 Rn. 116 ff. fasst die Argumente des Parlaments zusammen, für die Gegenargumente des Rats siehe, S.  4756 Rn.  119 ff.; Wettbewerbsverzerrungen seien möglich, wenn nur einige Fluggesellschaften Daten übertragen müssten. Dies wäre auf Grund von bilateralen Abkommen denkbar. 852 Siehe Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S. 4757 Rn. 124 für die Zusammenfassung der Argumente des Parlaments mit Verweis auf die AETR-Rechtsprechung des EuGH (Urt. v. 31.03.1971, Rs. 22/70, Kommission/Rat, AETR, Slg 1971, 263). 853 Siehe die Zusammenfassung bei Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S. 4757 Rn. 123. 854 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4757 Rn. 126 ff. 855 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4757 Rn. 126 mit Verweis auf Urteile v. 11.06.1991 in der Rs. C-300/89 (Kommission/Rat, „Titan­ dioxid“, Slg. 1991, I-2867 Rn. 10), v. 12.11.1996 in der Rs. C-84/94 (Vereinigtes Königreich/ Rat, Slg. 1996, I-5755 Rn.  25), v. 25.02.1999 in den Rs. C-164/97 u. C-165/97 (Parlament/Rat, Slg. 1999, I-1139 Rn. 12), v. 04.04.2000 in der Rs. C-269/97 (Kommission/Rat, Slg. 2000, I-2257 Rn.  43), v. 19.09.2002 in der Rs. C-336/00 (Huber, Slg. 2002, I-7699 Rn. 30), v. 29.04.2004 in der Rs. C-338/01 (Kommission/­Rat, Slg. 2004, I-4829 Rn. 54) und v. 13.09.2005 in der Rs. C-176/03 (Kommission/Rat, Slg. 2005, I-7879 Rn. 45). 856 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4758 Rn. 129.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

437

Binnenmarktes betroffen ist, nicht [genüge], um den Rückgriff auf diese Bestimmung als Rechtsgrundlage des Aktes zu rechtfertigen“.857 Zudem sei bei mehrfacher Zielsetzung eines Rechtsakts die Rechtsgrundlage für den Rechtsakt mit überwiegender Zielsetzung zu wählen und nur im Ausnahmefall, „wenn gleichzeitig Ziele verfolgt werden, die untrennbar miteinander verbunden sind, ohne dass das eine im Verhältnis zum anderen zweitrangig ist und mittelbaren Charakter hat“, verschiedene Rechtsgrundlagen genannt werden könnten.858 Weiter führte der Generalanwalt unter Verweis auf die Begründungserwägungen aus: „Selbst wenn davon auszugehen wäre, dass das Abkommen die drei Ziele in untrennbarer Weise verfolgte, müsste die Entscheidung des Rates, seinen Beschluss rechtlich nur auf Artikel 95 EG zu stützen, nach dieser Rechtsprechung dennoch als un­angebracht angesehen werden“.859 Begründet wurde dies u. a. damit, dass die vom Rat angeführten Gründe bzgl. der Fluggesellschaften und ihrer wirtschaftlichen Lage  – nach Aussage des Generalanwalts – eher im Verfahren als beim eigentlichen Inhalt des Abkommens eine Rolle gespielt hätten.860 In Bezug auf die stattdessen zu wählende Rechtsgrundlage wies der Generalanwalt zwar darauf hin, dass dies nicht Gegenstand des Verfahrens sei, machte aber dennoch verschiedene Ausführungen hierzu:861 Vor allem erklärte er mit Verweis auf die Stellungnahme der Art. 29-Datenschutzgruppe, die die Rechtsgrundlage in der „Dritten Säule“ sah, dass „ein Rechtsakt über das Abfragen und die Benutzung personenbezogener Daten durch eine Einheit, die die innere Sicherheit eines Staates gewährleisten soll, sowie über die Bereitstellung dieser Daten für eine solche Einheit vergleichbar ist mit einem Akt der Zusammenarbeit zwischen staatlichen Stellen“.862 Dabei soll es keine Rolle spielen, ob die Daten direkt zwischen staatlichen Stellen ausgetauscht oder ob eine juristische Person (also die

857 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4762 Rn. 149 mit Verweis auf das Urt. d. EuGH v. 09.11.1995, Rs. C-426/93, Deutschland/Rat, Slg. 1995, I-3723 Rn. 33. 858 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S. 4762 f. Rn. 150 mit Verweis auf Urt. v. 17.03.1993, Rs. C-155/91, Kommission/Rat, Slg. 1993, I-939 Rn. 19 u. 21; Urt. v. 23.02.1999, Rs. C-42/97, Parlament/Rat, Slg. 1999, I-869 Rn. 39 u. 40; Urt. v. 30.01.2001, Rs C-36/98, Spanien/Rat, Slg. 2001, I-779 Rn. 59; Urt. v. 12.12.2002, Rs. C-281/01, Kommission/Rat, Slg. 2002, I-12049 Rn. 34 sowie die Urteile Titandioxid (Rn. 13 u. 17), Parlament/Rat v. 23.02.1999 (Rn. 38 u. 43), Huber (Rn. 31) und Kommission/Rat v. 12.12.2002 (Rn. 35). 859 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4763 Rn. 151. 860 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4763 Rn. 152 u. 153, siehe auch weitere Argumente in Rn. 154. 861 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4764 Rn. 157 ff. 862 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4764 Rn. 159 mit dem Verweis in Fn. 75 auf die Stellungnahme der Art. 29-Datenschutzgruppe von 2002.

438

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Fluggesellschaften) zur Übermittlung verpflichtet werde: „Entscheidend ist die verbindliche Weitergabe von Daten für Sicherheits- und Strafverfolgungszwecke, nicht aber ihre spezielle Ausgestaltung in dem einen oder anderen Fall“.863 bb) Klagegrund 2: Verstoß gegen das Zustimmungserfordernis des Parlaments bei Änderung der DSRL Da wegen der Wahl der falschen Rechtsgrundlage der Ratsbeschluss zum Abschluss des Abkommens nach Ansicht des Generalanwaltes für nichtig erklärt werden sollte, prüfte er die folgenden Klagegründe lediglich hilfsweise.864 Dabei ging er zunächst auf den vom Parlament vorgebrachten Klagegrund ein, das Abkommen habe unter Einhaltung des Verfahrens nach Art. 300 II Unterabsatz 2 EGV der Zustimmung des Parlaments bedurft: Einer solchen Zustimmung bedurfte es beim Abschluss von Abkommen, die eine Änderung eines nach Art. 251 EGV angenommenen Rechtsakts nach sich ziehen.865 Das Parlament war der Ansicht, dass das Abkommen die nach Art. 251 EGV erlassene DSRL abändere und daher die Zustimmung des Parlaments erforderlich gewesen sei. Das Abkommen habe nämlich zur Folge, „dass von bestimmten wesentlichen Grundsätze der Richtlinie abgewichen und eine Datenverarbeitung gerechtfertigt werde, die nach der Richtlinie nicht zulässig sei.“866 Nach Bezugnahme auf die Regelung des Art. 300 EGV zum Abschluss von völkerrechtlichen Abkommen durch die Gemeinschaft sowie seiner unterschiedlichen Verfahren und Auslegungsmöglichkeiten erteilte der Generalanwalt dem Argument eine Absage, das Abkommen ändere den Inhalt der DSRL.867 Der Generalanwalt stützte seine Begründung vor allem darauf, dass die beiden Rechtsakte DSRL und Abkommen – wie er bereits im Rahmen der Diskussion um Art. 95 EGV ausgeführt hatte – „unterschiedliche Ziele und unterschiedliche Geltungsbereiche“ hätten und daher nicht ersichtlich sei, „wie der Inhalt des einen den Inhalt des anderen ändern könnte“.868

863 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4764 Rn. 160. 864 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4765 Rn. 162. 865 Siehe die Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S. 4766 Rn. 163. 866 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4766 Rn. 163 f.; zu den Argumenten für eine Änderung der DSRL siehe Rn. 165–170; die Auffassung des Parlaments wurde vom EU-Datenschutzbeauftragten unterstützt, siehe Rn. 171; für die Auffassung des Rates, die von der Kommission unterstützt wurde, dass das Abkommen keine Änderung der DSRL darstelle, siehe Rn. 172 ff. 867 Siehe die Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S. 4769 Rn. 177–184. 868 Siehe zur Diskussion Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S. 4770 Rn. 185–190 und insbes. Rn. 187.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

439

cc) Klagegründe 3 und 4: Verstoß gegen Grundrechte und den Verhältnismäßigkeitsgrundsatz Wie bereits im Rahmen seiner Ausführungen zur Angemessenheitsentscheidung angekündigt, sind die Angemessenheitsentscheidung, der Ratsbeschluss als Grundlage des Abkommens sowie die Verpflichtungserklärung von Seiten der USA gemeinsam auf einen Verstoß gegen Grundrechte und die Einhaltung des Verhältnismäßigkeitsgrundsatzes zu überprüfen. Dazu stellte der Generalanwalt zunächst nochmals die Positionen der Verfahrensbeteiligten dar, bevor er Aus­ führungen zu den in Frage stehenden rechtlichen Problemen machte. (1) Vorbringen der Beteiligten Nach den Ausführungen des Parlaments verstoße die PNR-Regelung gegen das insb. in Art. 8 EMRK verankerte Recht auf Schutz personenbezogener Daten, wobei sich das Parlament in seinen Ausführungen eng am Wortlaut des Art. 8 EMRK orientierte und darlegte, dass der Eingriff in den Schutzbereich des Art. 8 EMRK nicht nach Art.  8 II EMRK gerechtfertigt sei.869 Der Europäische Datenschutzbeauftragte unterstützte die Position des Parlaments und war zudem der Meinung, dass sich aus sechs der 34 zu erhebenden Datenkategorien „eindeutig“ eine Verletzung des Rechts auf Privatsphäre ergebe, da die Möglichkeit der Erstellung von Persönlichkeitsprofilen eröffnet werde.870 Der Rat und die Kommission hingegen waren der Auffassung, dass die PNR-Regelung im Einklang mit den Voraussetzungen des Art. 8 II EMRK stehe.871 Auch das Vereinigte Königreich war diesbezüglich ähnlicher Auffassung.872

869 Siehe zur Zusammenfassung der Position des Parlaments Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S. 4772 Rn. 193- 198; die Argumente werden in den Ausführungen zur Stellungnahme des Generalanwalts berücksichtigt. 870 Siehe zur Position des EU-Datenschutzbeauftragten: Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S. 4774 Rn. 199; als fragliche Datenkategorien werden genannt (Fn.  88): „Nr. 11 ‚Vielflieger-Eintrag (beschränkt auf abgeflogene Meilen und Anschrift[en])‘, Nr.  19 ‚Allgemeine Bemerkungen‘, Nr.  26 ‚Spezielle Service-Anforderungen (OSI – Special Service Requests)‘, Nr. 27 ‚Spezielle Service-Anforderungen (SSI/SSR –­ Special Service Requests)‘, Nr. 30 ‚Zahl der Reisenden im PNR‘ und Nr. 33 ‚Etwaige APIS [Advanced Passenger Information System]-Informationen‘“. 871 Siehe zur Zusammenfassung der Position des Rates: Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S. 4775 Rn. 200- 203; zur Position des Parlaments, S. 4776 Rn. 204. 872 Siehe zur Position des Vereinigten Königreichs: Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S. 4776 Rn. 205–206.

440

Teil 3: Die Übermittlung von PNR-Daten in die USA 

(2) Ausführungen des Generalanwalts Vor Würdigung der Klagegründe machte der Generalanwalt zunächst allgemeine Ausführungen zur Bedeutung von Grundrechten, die als allgemeine Rechtsgrundsätze des Gemeinschaftsrechts anerkannt sind, insbesondere zur Bedeutung der EMRK.873 Er stellte die Bedeutung des Rechts auf Achtung des Privatlebens als Grundsatz des Gemeinschaftsrechts dar, wobei wiederum das Recht auf Schutz personenbezogener Daten ein Aspekt dieses Rechts und sowohl durch Art.  8 EMRK als auch in der Gemeinschaftsrechtsordnung über die allgemeinen Rechtsgrundsätze geschützt sei.874 Daraufhin nahm der Generalanwalt eine genaue Prüfung der Frage vor, ob die PNR-Regelung einen Verstoß gegen das Recht auf Achtung des Privatlebens darstelle und ging dabei zunächst auf einen möglichen Eingriff in das Privatleben der Fluggäste ein und prüfte im Anschluss eine mögliche Rechtfertigung dieses Eingriffs:875 Der Generalanwalt war der Ansicht, dass die dreiteilige PNR-Gesamtregelung in das Privatleben eingreife und es zudem „offenkundig“ sei, dass „das Abfragen der Fluggästedaten aus den von den Fluggesellschaften im Hoheitsgebiet der Mitgliedstaaten betriebenen Buchungssystemen sowie die Benutzung und die Bereitstellung dieser Daten durch bzw. für das CBP einen Eingriff staatlicher Stellen in das Privatleben der Fluggäste“ darstelle.876 Er wies auch darauf hin, dass die Liste der vom CBP verlangten PNR-Datenelemente „als Ganzes betrachtet“ werden müsse, da eine Erstellung von Persönlichkeitsprofilen durch den Datenabgleich möglich sei.877 Nach Bejahung des Eingriffs in das Rechts auf Privatleben beschäftigte sich der Generalanwalt mit dessen Rechtfertigung, orientierte sich eng am Wortlaut des Art. 8 II EMRK und prüfte, ob der Eingriff gesetzlich vorgesehen sei, ein legitimes Ziel verfolge und zudem in einer demokratischen Gesellschaft notwendig sei.878 Zur ersten Frage, ob der Eingriff gesetzlich vorgesehen gewesen sei, nahm der Generalanwalt zunächst zu den diesbezüglichen Anforderungen des EGMR Stellung und erläuterte, dass zur Erfüllung dieser Voraussetzung nicht nur überhaupt 873 Schlussanträge Rn. 208. 874 Schlussanträge Rn. 209. 875 Schlussanträge Rn. 210 ff. 876 Schlussanträge Rn. 211. 877 Schlussanträge Rn. 212. 878 Schlussanträge Rn. 214 ff.

Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4777 Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4777 Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4778 Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4778 Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4778 Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4778

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

441

eine gesetzliche Grundlage notwendig sei, sondern dass die Rechtsgrundlage auch eine gewisse „Qualität“ hinsichtlich der Zugänglichkeit für den Bürger sowie der Bestimmbarkeit und Voraussehbarkeit erfüllen müsse.879 Die Sichtweise des Parlaments, dass diese Voraussetzungen im in Frage stehenden Fall nicht erfüllt seien, teilte der Generalanwalt jedoch nicht. Er war vielmehr der Auffassung, dass der Wortlaut von Teilen der Regelungskonstruktion durchaus den Fluggesellschaften und Passagiere erlaube, sich genau zu informieren und ihr Verhalten danach zu richten, zudem sei u. a. die Verpflichtungserklärung des CBP „recht detailliert“ ausgefallen und auch die Angemessenheitsentscheidung enthalte „Verweisungen auf das einschlägige Gesetz der Vereinigten Staaten“.880 Der Generalanwalt war auch wegen dieser Gründe der Ansicht, dass der hier vorliegende Eingriff in das Privatleben der Fluggäste als „gesetzlich vorgesehen“ i. S. d. Art. 8 II EMRK zu betrachten sei.881 Bezüglich des für eine Rechtfertigung erforderlichen „legitimen Ziels“ des Eingriffs war der Generalanwalt der Meinung, dass die PNR-Regelung sowohl im Hinblick auf den „Kampf gegen den Terrorismus“ als auch hinsichtlich des Kampfes gegen „andere schwere Straftaten“ ein legitimes Ziel verfolge.882 Daraufhin erfolgte eine Prüfung der Verhältnismäßigkeit und eine Beschäftigung mit der Frage, ob ein solcher Eingriff in einer demokratischen Gesellschaft zur Verhütung und Bekämpfung des Terrorismus und anderer schwerer Straftaten notwendig sei.883 Diesbezüglich stellte der Generalanwalt zunächst Ausführungen zu der vom Gerichtshof auszuübenden Kontrolldichte in verschiedenen Situationen an: Dazu verwies er auf Rechtsprechung des EGMR und erläuterte, dass das Wort „notwendig“ in Art. 8 II EMRK bedeute, dass „ein zwingendes gesellschaftliches Bedürfnis“ bestehen und die Maßnahme zudem „in einem angemessenen Verhältnis zum verfolgen Zweck“ stehen müsse, wobei die nationalen Behörden über einen im Umfang und in der Zielsetzung sowie im Wesen des Eingriffs abhängigen Beurteilungsspielraum verfügten.884 Im Rahmen der Überprüfung des Beurteilungsspielraumes prüfe der EGMR zunächst eine aus­reichende Begründung des Eingriffs, dann, ob ein angemessenes Verhältnis zwischen Eingriff und 879

Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4779 Rn. 215 mit Verweis auf einschlägige Rechtsprechung des EGMR. 880 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4779 Rn. 216–218, siehe auch Rn. 219–220. 881 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4780 Rn. 221. 882 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4780 Rn. 222–223. 883 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4780 Rn. 221 ff. 884 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4781 Rn. 226 mit Verweis auf insbesondere EGMR, Urt. v. 24.11.1986, Gillow./.Vereinigtes Königreich, Serie A Nr. 109, § 55 sowie EGMR, Urt. v. 26.03.1987, Leander./.Schweden, Serie A Nr. 116, § 59.

442

Teil 3: Die Übermittlung von PNR-Daten in die USA 

dem legitimen Zweck bestehe und schließlich, ob eine Abwägung zwischen Allgemeininteresse und Individualinteressen stattgefunden habe.885 Der Generalanwalt machte weiterhin Ausführungen zur unterschiedlichen Überprüfbarkeit des Beurteilungsspielraums je nach Zweck des Eingriffs: Sei der Zweck des Eingriffs im Schutz der nationalen Sicherheit oder im Kampf gegen den Terrorismus zu sehen, räume der EGMR den Staaten einen größeren Beurteilungsspielraum ein.886 Ein strengerer Maßstab mit beschränktem Beurteilungsspielraum des Staates gelte in der Rechtsprechung des EGMR dagegen bei der Wahrung der Vertraulichkeit personenbezogener Gesundheitsdaten.887 Im Hinblick auf die PNR-Regelung der EU legte der Generalanwalt daraufhin prägnant dar, welcher Kontrollmaßstab im hier vorliegenden Fall anzuwenden sein sollte: „Angesichts des Wesens und der Bedeutung des Zieles der Terrorismusbekämpfung, das im Rahmen der PNR-Regelung von ausschlaggebender Bedeutung ist, und unter Berücksichtigung des politisch sensiblen Kontextes, in dem die Verhandlungen zwischen der Gemeinschaft und den Vereinigten Staaten stattgefunden haben, sollte der Gerichtshof in der vorliegenden Rechtssache meines Erachtens Rat und Kommission für die Verhandlungen mit den Vereinigten Staaten über den Inhalt der PNR-­Regelung einen weiten Beurteilungsspielraum zugestehen. Dem­ gemäß sollte sich die Kontrolle des Gerichtshofes über die Notwendigkeit des Eingriffs auf die Überprüfung eines etwaigen offensichtlichen Beurteilungsfehlers der beiden Organe beschränken […]. Eine solche eingeschränkte Kontrolle verhindert, dass der Gerichtshof die Beurteilung der politischen Stellen der Gemeinschaft bzgl. der Frage, welche Maßnahmen im Kampf gegen den Terrorismus und andere schwere Straftaten ihrem Wesen nach angemessen und zweckmäßig sind, durch seine eigene Beurteilung ersetzt.“.888 Der Gerichtshof könnte sich zudem neben einer Berücksichtigung der Rechtsprechung des EGMR auch an seiner eigenen Rechtsprechung orientieren, wonach im Falle des Bestehens eines weiten Ermessens in einem bestimmten Bereich „die Rechtmäßigkeit einer in diesem Bereich erlassenen Maßnahme nur dann beeinträchtigt sein [könne], wenn diese Maßnahme zur Erreichung des Ziels, das das zuständige Organ verfolgt, offensichtlich un­geeignet ist.“.889 Aus diesen Gründen sprach sich der Generalanwalt für einen weiten Be­urteilungsspielraum und die Einhaltung des Gewaltenteilungs-

885 Siehe Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S. 4781 Rn. 227 f. 886 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4781 Rn. 229 f. 887 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4781 Rn. 229 mit Verweis auf EGMR, Urt. v. 25.02.1997, Z../.Finnland, Reports 1997–1. 888 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4782 Rn. 231. 889 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4783 Rn. 232 mit Beispielen von Urteilen zur Agrarpolitik (Urt. des Gerichtshofes v. 13.11.1990, Rs. C-331/88, Fedesa u. a., Slg. 1990, I-4023 Rn. 14) und Antidumpingzöllen (Urt. des Gerichts vom 5.06.1996, Rs. T-162/94, NMB Frankreich u. a./Kommission, Slg. 1996, II-427 Rn. 70).

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

443

prinzips aus, das vom Gerichtshof verlange, „die politische Verantwortung der gesetzgebenden Organe und Verwaltungsbehörden der Gemeinschaft zu achten und sich bei den von diesen zu treffenden politischen Entscheidungen nicht an ihre Stelle zu setzen“.890 Nach Darlegung des anzuwendenden Überprüfungsmaßstabs legte der Generalanwalt nochmals konkret dar, dass überprüft werden müsse, ob mit Annahme der PNR-Regelung Rat und Kommission „im Hinblick auf das Recht auf Achtung des Privatlebens, insbesondere das Recht auf Schutz der personenbezogenen Daten der Fluggäste, die Grenzen ihres Beurteilungsspielraums unter Berücksichtigung des verfolgten legitimen Ziels offensichtlich überschritten“ hätten.891 Im Folgenden stellte der Generalanwalt dar, dass insbesondere die Verpflichtungserklärung wegen der inhaltlichen Garantien besondere Bedeutung habe und er zudem die Annahme für falsch halte, die Verpflichtungserklärung habe keine bindende Wirkung.892 Unter Bezugnahme auf die dargelegten Grundsätze und den damit einhergehenden weiten Beurteilungsmaßstab der Organe im vorliegenden Fall erteilte der Generalanwalt schließlich dem Klagegrund, die PNR-Regelung sei unverhältnismäßig und stelle einen ungerechtfertigten Eingriff in das Privatleben dar, eine Absage: Dabei setzte er sich mit den von den Beteiligten angeführten Argumenten zu einer möglichen überhöhten Anzahl verlangter Fluggastdaten,893 der Verwendung sensibler Daten,894 einer möglicherweise zu langen Speicherungsdauer,895 eventuell fehlenden (gerichtlichen) Rechtsbehelfen und Berichtigungsmöglichkeiten896 sowie der Weiterübermittlung an andere staatliche Stellen897 auseinander, wobei die genannten Argumente jeweils unter Berücksichtigung des weiten Be­ urteilungsspielraums und die nicht erfolgte offensichtliche Verkennung des Rechts auf Achtung des Privatlebens nicht durchdringen konnten.898

890 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Rn. 233. 891 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Rn. 234. 892 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Rn. 235. 893 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Rn. 238. 894 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Rn. 239. 895 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Rn. 240–243. 896 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Rn. 247–255. 897 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Rn. 255–261. 898 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Rn. 237–262, insbes. Rn. 238, 239, 243, 246, 254 und 261.

Slg. 2006, I-4724, S.  4783 Slg. 2006, I-4724, S.  4783 Slg. 2006, I-4724, S.  4784 Slg. 2006, I-4724, S.  4784 Slg. 2006, I-4724, S.  4785 Slg. 2006, I-4724, S.  4785 Slg. 2006, I-4724, S.  4786 Slg. 2006, I-4724, S.  4788 Slg. 2006, I-4724, S.  4784

444

Teil 3: Die Übermittlung von PNR-Daten in die USA 

dd) Klagegrund 5: Fehlende hinreichende Begründung Daraufhin erfolgte noch eine knappe Auseinandersetzung des Generalanwalts mit dem Argument des Parlaments, der Ratsbeschluss genüge nicht dem in Art.  253 EGV dargelegten Begründungserfordernis.899 Diesem Argument widersprach der Generalanwalt und war der Meinung, die Beschlussbegründung sei „zwar kurz, aber ausreichend“.900 In seiner Begründung verwies er auf Rechtsprechung des EuGH; demnach müsse u. a. die in Art. 253 EGV „vorgeschriebene Begründung der Natur des betreffenden Rechtsakts angepasst sein und die Überlegungen des Gemeinschaftsorgans, das den Rechtsakt erlassen hat, so klar und eindeutig zum Ausdruck bringen, dass die Betroffenen ihr die Gründe für die erlassene Maßnahme entnehmen können und der Gerichtshof seine Kontrolle ausüben kann“.901 Diesen Anforderungen genüge die hier in Frage stehende Regelung, wie der Generalanwalt ausführte: „Anhand des Beschlusses des Rates in Verbindung mit der Präambel des Abkommens kann der Gerichtshof, wie die Prüfung der vorstehenden Klagegründe zeigt, seine Kontrolle ausüben, insbesondere in Bezug auf die Frage, ob die gewählte Rechtsgrundlage geeignet ist.“.902 ee) Klagegrund 6: Verstoß gegen den Grundsatz des Art. 10 EGV Zuletzt behandelte der Generalanwalt noch die Frage, ob der Rat durch den Abschluss des Abkommens, trotz des vorherigen Gutachtenantrags des Parlaments beim EuGH nach Art. 300 VI EGV, gegen den Grundsatz der loyalen Zusammenarbeit nach Art. 10 EGV verstoßen habe.903 Auch diesem Klagegrund erteilte der Generalanwalt eine Absage und machte u. a. Ausführungen zur Reichweite von Art.  10 EGV zwischen Organen und Mitgliedstaaten sowie den Organen untereinander, zum Verfahrensgang und zur nicht bestehenden aufschiebenden Wirkung des Verfahrens nach Art. 300 VI EGV.904

899

Siehe die Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S. 4790 Rn. 263 ff.; der Rat unterstützt von der Kommission und dem Vereinigten Königreich war hingegen der Auffassung, die Begründung sei ausreichend, s. Rn. 264. 900 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4764 Rn. 265. 901 Siehe die Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4790 mit weiteren Ausführungen Rn.  266 mit Verweis auf das Urt. v. 29.02.1996, Rs. C-56/93, Belgien/Kommission, Slg. 1996, I-723 Rn. 86. 902 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4791 Rn. 268. 903 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4791 Rn. 270 ff. 904 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4791 Rn. 272–281.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

445

c) Ergebnis der Schlussanträge Auf Grund der genannten Ausführungen schlug Generalanwalt Léger dem Gerichtshof abschließend vor, sowohl die Angemessenheitsentscheidung 2004/535/ EG der Kommission vom 14.  Mai 2004 sowie den Beschluss 2004/496/EG des Rates vom 17. Mai 2007 über den Abschluss des PNR-Abkommens mit den USA für nichtig zu erklären.905 Die Stellungnahme des Generalanwalts hinsichtlich des Rechts auf Achtung des Privatlebens ist in der Zusammenschau mit dem von ihm unter Hinweis auf Rechtsprechung von EGMR und EuGH dargelegten Prüfungsmaßstab überzeugend und nachvollziehbar. Fraglich ist jedoch, ob der Prüfungsmaßstab im vorliegenden Fall hätte derart aufgestellt werden sollen und dürfen. Wie der Generalanwalt mit Verweis auf die Rechtsprechung des EGMR selbst ausführte, ist der Beurteilungsspielraum für Staaten, wenn es um das Recht auf Wahrung der Vertraulichkeit personenbezogener Gesundheitsdaten gehe, beschränkt, bei der Terrorismus­ bekämpfung dagegen ist der Beurteilungsspielraum durchaus weiter und dies sei im Hinblick auf den Gewaltenteilungsgrundsatz erforderlich.906 Gerade im vorliegenden Fall sind durchaus auch sensible Daten die u. a. Rückschlüsse auf die Religion oder die Gesundheit von Passagieren zuließen und in der Gesamtschau eine Profilbildung ermöglichen, betroffen.907 Auf Grund der möglichen Verbindung der PNR-Regelung mit sensiblen Daten wäre somit eine enge Prüfungsdichte zu fordern. Eine solche enge Prüfungsdichte kann jedoch nur durchgeführt werden, wenn der EuGH überhaupt für die Überprüfung der PNR-Regelung zuständig ist. Im Rahmen der ehemals ersten Säule besteht eine solche Kompetenz. Da der Generalanwalt jedoch die PNR-Regelung nicht für eine Maßnahme hielt, die auf Art. 95 EGV gestützt werden kann, wäre somit auch die Überprüfungsmöglichkeit des EuGH fraglich gewesen, vgl. Art. 35 EUV. Jedoch wählten die zuständigen Institutionen mit Art. 95 EGV eine Ermächtigungsgrundlage aus der ersten Säule, sodass auch die Zuständigkeit des EuGH begründet wurde und die Überprüfung mit enger Prüfungsdichte hätte erfolgen sollen. Da sich aber der institutionelle Rahmen nach Inkrafttreten des Vertrages von Lissabon verschoben hat und auch die GRCh mittlerweile in Kraft getreten ist, ist diese Frage an gegebener Stelle erneut zu erörtern.908

905 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4794 Rn. 284. 906 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4781 Rn. 229 mit Verweis auf EGMR, Urt. v. 25.02.1997, Z../.Finnland, Reports 1997–1. 907 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4778 Rn. 212. 908 Siehe dazu unten S.  476 ff. und S.  509 ff.; zur Verschiebung des institutionellen Rahmens siehe auch Hanschmann, in: Matz-Lück/Hong, Grundrechte und Grundfreiheiten im Mehr­ ebenensystem – Konkurrenzen und Interferenzen, 2012 sowie Hijmans/Scirocco, C ­ ommon Market Law Review 46 (2009), 1485 (1502 ff.).

446

Teil 3: Die Übermittlung von PNR-Daten in die USA 

3. Urteil des EuGH hinsichtlich der Angemessenheitsentscheidung und des Abkommens Der Gerichtshof verband die beiden Rechtssachen, und nachdem Generalanwalt Léger am 20.  November 2005 seine Schlussanträge gestellt hatte909, erging am 30. März 2006 das Urteil.910 Der EuGH erklärte sowohl die Kommissionsentscheidung als auch den Ratsbeschluss für nichtig und stützte sich – dem Generalanwalt folgend – darauf, dass die Übermittlung von Passagierdaten nicht in den Anwendungsbereich der DSRL bzw. der gewählten Rechtsgrundlage, Art. 95 EGV falle und somit Regelungen zur Übermittlung nicht auf diese gestützt werden könnten.911 a) Urteil in Bezug auf die Angemessenheitsentscheidung Der EuGH stützte sich auf das vom Parlament vorgetragene Argument, die Kommission habe ihre Befugnisse überschritten und insbesondere gegen Art. 3 II 1. Spiegelstrich DSRL verstoßen, der die Verarbeitung von Daten, die nicht in den Anwendungsbereich des Gemeinschaftsrecht fallen, vom Anwendungsgebiet der DSRL ausschließt.912 Dazu führte der EuGH aus: „Es trifft zwar zu, dass die PNRDaten von den Fluggesellschaften ursprünglich im Rahmen einer unter das Gemeinschaftsrecht fallenden Tätigkeit erhoben worden sind, nämlich im Rahmen des Verkaufs eines Flugscheins, der zu einer Dienstleistung berechtigt; die Datenverarbeitung, die in der Angemessenheitsentscheidung Berücksichtigung findet, ist jedoch von ganz anderer Art. Denn diese Entscheidung bezieht sich […] auf eine Datenverarbeitung, die nicht für die Erbringung einer Dienstleistung erforderlich ist, sondern zum Schutz der öffentlichen Sicherheit und zu Strafverfolgungszwecken als erforderlich angesehen wird.“913 Der Gerichtshof folgerte nach weiteren Erwägungen, dass die Angemessenheitsentscheidung eine Verarbeitung i. S. d. Art. 3 II 1. Spiegelstrich DSRL betreffe und die Angemessenheitsentscheidung daher nicht vom Anwendungsbereich der DSRL umfasst sei.914 Folglich erklärte der EuGH die Angemessenheitsentscheidung für nichtig, ohne noch im Folgenden auf die weiteren Argumente des Parlaments einzugehen.915

909

Hierzu Mendez, European Constitutional Law Review 3 (2007), 127 (130 f.). EuGH, Urt. v. 30.05.2006, verb. Rs. C-317/04 u. C-318/04, Slg. 2006, I-4795; zu dem Urteil siehe u. a. Simitis, NJW 2006, 2011; Mendes de Leon, Air & Space Law 31 (2006), 320 (326 ff.); Mendez, European Constitutional Law Review 3 (2007), 127; Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885; Ehricke/Becker/Walzel, RDV 2006, 149; Guild/­ Brouwer, CEPS Policy Brief No. 110 26.07.2006; Schaar, MMR 2006, 425. 911 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4791 Rn. 268. 912 EuGH, Urt. v. 30.05.2006, verb. Rs. C-317/04 u. C-318/04, Slg. 2006, I-4795 Rn. 54 ff. 913 EuGH, Urt. v. 30.05.2006, verb. Rs. C-317/04 u. C-318/04, Slg. 2006, I-4795 Rn. 57. 914 EuGH, Urt. v. 30.05.2006, verb. Rs. C-317/04 u. C-318/04, Slg. 2006, I-4795 Rn. 59. 915 EuGH, Urt. v. 30.05.2006, verb. Rs. C-317/04 u. C-318/04, Slg. 2006, I-4795 Rn. 61. 910

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

447

b) Urteil in Bezug auf den Ratsbeschluss Hinsichtlich des Ratsbeschlusses führte der Gerichtshof aus, dass Art. 95 EGV i. V. m. Art.  25 DSRL eine Zuständigkeit der Gemeinschaft zum Abschluss des Abkommens nicht begründen könne: „Das Abkommen betrifft nämlich die gleiche Datenübermittlung wie die Angemessenheitsentscheidung und damit eine Verarbeitung von Daten, die […] nicht in den Anwendungsbereich der Richtlinie fällt“.916 Folglich wurde auch der Ratsbeschluss für nichtig erklärt, ohne dass der Gerichtshof auf die weiteren, vom Parlament vorgetragenen Gründe einging.917 c) Auswirkung des Urteils auf die Regelungen Nach Punkt 7 des Abkommens konnte dieses jederzeit gekündigt werden, wobei die Kündigung 90 Tage nach Notifizierung der Kündigung wirksam geworden wäre.918 Wie in den Punkten 1 und 2 des Abkommens geregelt, bestand das Zugriffsrecht des CBP sowie die Verpflichtung der Fluggesellschaften zur Verarbeitung von PNR-Daten nur, solange die Angemessenheitsentscheidung Gültigkeit hatte.919 Aus Gründen der Rechtssicherheit und zum Schutz betroffener Personen, hielt es der EuGH für gerechtfertigt, die Geltungsdauer des Abkommens, bis zum Wirksamwerden der Kündigung des Abkommens aufrechtzuerhalten, längstens aber bis zum 30. September 2006.920 d) Auswirkung des Urteils auf die Rechtsgrundlage von PNR-Abkommen Zusammenfassend lässt sich festhalten, dass die Verarbeitung von PNR-Daten durch die Sicherheitsbehörden zum Schutz der öffentlichen Sicherheit und zu Strafverfolgungszwecken geschieht. Aus diesem Grund konnten die in diesem Zusammenhang ergriffenen Maßnahmen nicht auf Art. 95 EGV und somit die Erste Säule gestützt werden. Folglich ist auch der Anwendungsbereich der DSRL, der seit Beginn der Kontroverse immer als Argumentationsgrundlage herangezogen worden war, nicht eröffnet. Schwerpunkt der Entscheidung des EuGH war die Kompetenzfrage.921 Zunächst ist festzustellen, dass es nicht völlig fernliegend zu sein scheint, dass Daten, die von nicht-öffentlichen Stellen wie den Fluggesellschaften verarbeitet werden, den 916

EuGH, Urt. v. 30.05.2006, verb. Rs. C-317/04 u. C-318/04, Slg. 2006, I-4795 Rn. 67 f. EuGH, Urt. v. 30.05.2006, verb. Rs. C-317/04 u. C-318/04, Slg. 2006, I-4795 Rn. 70. 918 EuGH, Urt. v. 30.05.2006, verb. Rs. C-317/04 u. C-318/04, Slg. 2006, I-4795 Rn. 70. 919 EuGH, Urt. v. 30.05.2006, verb. Rs. C-317/04 u. C-318/04, Slg. 2006, I-4795 Rn. 72. 920 EuGH, Urt. v. 30.05.2006, verb. Rs. C-317/04 u. C-318/04, Slg. 2006, I-4795 Rn. 74; zu den Konsequenzen der Entscheidung des Gerichtshofs, die Angemessenheitsentscheidung noch aufrechtzuerhalten, siehe Mendez, European Constitutional Law Review 3 (2007), 127 (137 ff.). 921 Simitis, NJW 2006, 2011 (2011). 917

448

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Voraussetzungen und Anforderungen der DSRL unterliegen und somit hinsichtlich Überprüfungen und Bescheinigung eines angemessenen Schutzniveaus im Drittland, in den Zuständigkeitsbereich der Kommission fallen.922 Eine solche Argumentation greift aber zu kurz, wenn sie im Kontext der Entstehungsgeschichte der DSRL gesehen wird, in der sich der Rat nicht mit der Begrenzung des Anwendungsbereiches der DSRL auf das Gemeinschaftsrecht begnügte.923 Er forderte konkrete Formulierungen, die es nicht bei einer schlichten Begrenzung auf das Gemeinschaftsrecht beließen, sondern der DSRL u. a. explizit eine Einwirkungsmöglichkeit auf Datenverarbeitungen im Rahmen der Außenpolitik sowie der polizei­lichen und justiziellen Zusammenarbeit bzw. öffentlichen Sicherheit und der Sicherheit des Staates924 verbot.925 Die gleiche Zurückhaltung ist auch in Art. 13 I DSRL zu erkennen, der eine lange Liste an Ausnahmen zum Auskunftsrecht der Betroffenen enthält.926 Daher überrascht gerade vor diesem Hintergrund die Bereitschaft von Rat und Kommission, eine Position einzunehmen, die nicht mit diesem ursprünglichem Verständnis der Kompetenzverteilung in Einklang zu bringen ist, und vor allem die Position des Rates, der bei allen Verarbeitungen im Rahmen der öffentlichen Sicherheit eine Alleinzuständigkeit für sich reklamierte.927 Vor diesem Hintergrund wird es daher teilweise für „unhaltbar“ gehalten, den tatsächlichen Verwendungszweck der Daten mit einem schlichten Hinweis auf die Fluggesellschaften als nicht-öffentliche Stellen zu „verleugnen“ bzw. aus denselben Gründen Art. 95 EGV als Rechtsgrundlage heranzuziehen.928 Als Grund wird angeführt, dass die Union sich immer mehr „aus einem gemeinsamen Markt in eine politische Union“ umwandelt.929 Ein gewichtigeres Argument für ein solches Vorgehen von Rat und Kommission scheint jedoch die nachdrückliche Forderung der USA zu sein, schnellstmöglich die Weitergabe von Passagierdaten rechtlich abzusichern, 922

Vgl. Simitis, NJW 2006, 2011 (2011 f.); Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (901); für Art. 95 EGV bzw. Art. 25 V DSRL als Rechtsgrundlage und somit für die Kompetenz der Gemeinschaft Siemen, Datenschutz als europäisches Grundrecht, S. 323, jedoch noch vor Ergehen des Urteils des EuGH. 923 Simitis, NJW 2006, 2011 (2012) mit Hinweis auf Bestrebungen des Rates während der Entstehung der DSRL; zur Entstehungsgeschichte der DSRL Simitis, in: Simitis, BDSG, 8. Aufl. 2014, Einleitung Rn. 203 ff. 924 Vgl. Art. 3 II 1. Spiegelstrich, wonach die DSRL nicht gilt für die Verarbeitung personenbezogener Daten, „die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich“. 925 Simitis, NJW 2006, 2011 (2012) mit Hinweis auf Bestrebungen des Rates während der Entstehung der DSRL. 926 Simitis, NJW 2006, 2011 (2012). 927 Simitis, NJW 2006, 2011 (2012). 928 So Simitis, NJW 2006, 2011 (2012) mit Hinweis auf den Beschluss des Deutschen Bundestages v. 7.2.2006, BT-Drs. 16/545, I, 13. 929 Simitis, NJW 2006, 2011 (2012).

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

449

wodurch sich die handelnden Organe dazu veranlasst sahen, mit der Angemessenheitsentscheidung gestützt auf Art. 25 VI DSRL ein Regelungsinstrument zu wählen, das eine Übermittlung von Daten „schneller und wirksamer als jedes andere“ ermöglichte.930 Die Anwendung der falschen Rechtsgrundlage war auch notwendig, um dem EuGH überhaupt nach Abschluss des Abkommens ein Urteil zu erlauben, da Maßnahmen außerhalb der ersten Säule nur sehr eingeschränkt der Überprüfung durch den Gerichtshof unterliegen.931 Ein weiterer Grund könnte gewesen sein, dass die EU durch unterschiedliche Schutzniveaus eine Spaltung des Binnenmarktes befürchtete und somit bilateralen Verhandlungen der einzelnen Mitgliedstaaten mit den USA zuvorkommen wollte.932 Es ist jedoch auch zu beachten, dass der Bezug auf die DSRL während der Verhandlungen und der generell hohe Stellenwert des Datenschutzes in der EG dazu beigetragen haben mögen, dass die USA überhaupt zu entsprechenden Zugeständnissen bereit waren.933 Zwar waren die Zugeständnisse der USA nicht weitreichend und das Abkommen wies immer noch Mängel in Bezug auf den Datenschutz auf, jedoch wären die USA sicherlich weniger kompromissbereit gewesen, wenn sie nicht mit der DSRL konfrontiert worden wären.934 Dies könnte auch erklären, warum der – im Urteil entscheidungsrelevante – Art. 3 II 1. Spiegelstrich DSRL lediglich im Rahmen der Klagen des Parlaments vor dem EuGH, nicht jedoch während der Verhandlungen des Abkommens angesprochen wurde.935 Die Erwägungen und Entscheidungen der Organe hatten  – wie am Ausgang des Verfahrens gesehen kann – Auswirkungen auf die Entscheidung des EuGH. Es ist offensichtlich, dass das Urteil weitreichende Auswirkungen auf den Datenschutz in der EU haben würde, weil es klarstellt, dass eine Datenverarbeitung außerhalb der DSRL und wie in Art. 3 (2) DSRL normiert auch dann außerhalb der DSRL anzusiedeln ist, wenn die Daten ursprünglich – wie bei den Fluggesellschaften geschehen – im Rahmen des Gemeinschaftsrechts und somit im Rahmen der DSRL verarbeitet wurden.936 Folglich stellt das Urteil vor allem eine Zurückweisung der Herangehensweise der EU in Bezug auf bilaterale PNR-Abkommen dar und hatte – wie zu noch zu zeigen sein wird – Einfluss auf sämtliche noch fol 930

Simitis, NJW 2006, 2011 (2012 f.) mit Verweis auf eine wiederholte Missachtung der Kompetenzgrenzen zu Lasten des Rates in dem ursprünglichen Kommissionsvorschlag zur Vorratsdatenspeicherungsrichtlinie. 931 Mendez, European Constitutional Law Review 3 (2007), 127 (135). 932 Mendez, European Constitutional Law Review 3 (2007), 127 (135). 933 Vgl. Mendez, European Constitutional Law Review 3 (2007), 127 (135); Papakonstan­ tinou/de Hert, Common Market Law Review 46 (2009), 885 (901). 934 Mendez, European Constitutional Law Review 3 (2007), 127 (135). 935 Mendez, European Constitutional Law Review 3 (2007), 127 (135); in Art.  29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002 wurden Maßnahmen im Rahmen der dritten Säule zwar angesprochen, in späteren Stellungnahmen jedoch nicht mehr diskutiert. 936 Mendez, European Constitutional Law Review 3 (2007), 127 (135).

450

Teil 3: Die Übermittlung von PNR-Daten in die USA 

gende EU-Abkommen in diesem Bereich.937 Neben dem Einfluss auf bilaterale PNR-Abkommen mag das Urteil auch im Rahmen der Vorratsdatenspeicherungsrichtlinie zumindest zu einer Hinterfragung der rechtlichen Grundlage geführt haben.938 Gestützt wurde diese jedoch auf Art. 95 EGV und diese Vorgehensweise vom EuGH durch Urteil bestätigt.939 Das vorliegende Urteil könnte zwar dafür kritisiert werden, dass es eine Schutzlücke im eigentlich vorhandenen Datenschutzstandard des Gemeinschaftsrechts zu schaffen scheint; dies ist jedoch keine Unzulänglichkeit, die durch das Gericht erst geschaffen worden wäre, sondern eine Konsequenz der damals vorhandenen Säulenstruktur der EU mit ihren unterschiedlichen Schutzstandards.940 Der EuGH hat somit keinen Schutz durch die DSRL versagt. Er hat lediglich konsequent und korrekt das Recht angewandt.941 Auch die fehlende Auseinandersetzung mit den materiell-rechtlichen Kontroversen – wie sie vom Parlament in dessen Klageanträgen angesprochen worden waren – kann rein entscheidungstechnisch nicht kritisiert werden: Eine Prüfung der formellen Voraussetzungen geht den materiellen vor, sodass bei fehlender Zuständigkeit es keines Eingehens auf die übrigen Aspekte mehr bedarf.942 Das Ergebnis darf jedoch nicht in der Weise interpretiert werden, dass lediglich die Kommission durch den Rat ersetzt werden müsse und die bisherige Art der Übermittlung bei­ behalten werden könnte.943 Im Ergebnis ruft das Urteil die Unterschiede zwischen der Datenverarbeitung in der ersten und der in den beiden anderen Säulen in Erinnerung und verdeutlicht den Institutionen, dass die Übertragung von Passagierdaten nicht im Rahmen des Gemeinschaftsrechts und der DSRL seine Rechtsgrundlage finden kann. Hinsichtlich der materiellen Voraussetzungen für eine Bereitstellung von PNR-­ Daten bringt das Urteil jedoch keinen Gewinn.944 Die Tatsache, dass der Gerichtshof die korrekte Rechtsgrundlage nicht explizit nannte, löste daher zunächst innerhalb der EU-Institutionen und anderen Gremien Diskussionen darüber aus, ob als Rechtsgrundlage Titel V des EUV (Gemeinsame Außen- und Sicherheitspolitik, zweite Säule) oder Titel VI des EUV (Polizeiliche und justizielle Zusammenarbeit in Strafsachen, Dritte Säule) heranzuziehen ist.945 Die praktische Auswirkung des Urteils war folglich, dass das erste PNR-Abkommen zwischen den USA und der EU umgehend ersetzt werden musste und dass weitere PNR-Abkommen die Verfahren, die im Rahmen der Dritten Säule vorgesehen sind, durchlaufen müssten, 937

Vgl. Mendez, European Constitutional Law Review 3 (2007), 127 (135 f.). Siehe dazu ausführlicher Mendez, European Constitutional Law Review 3 (2007), 127 (136 f.); Simitis, NJW 2006, 2011 (2013); vgl. auch Schaar, MMR 2006, 425 (426). 939 EuGH, Urt. v. 10.02.2009, verb. Rs. C-301/06, Slg. 2009, I-593. 940 Mendez, European Constitutional Law Review 3 (2007), 127 (137). 941 Simitis, NJW 2006, 2011 (2013). 942 Simitis, NJW 2006, 2011 (2013); Mendes de Leon, Air & Space Law 31 (2006), 320 (328). 943 Simitis, NJW 2006, 2011 (2013). 944 Vgl. dazu auch Schaar, MMR 2006, 425 (425). 945 Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 616; vgl. dazu näher unten S. 452. 938

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

451

um in Kraft treten zu können (quasi Ausschluss der Kommission von Verhandlungen und Übertragung dieser Aufgaben auf die Ratspräsidentschaft und den Rat).946 In materieller Hinsicht soll keine weitere Analyse des ersten PNR-Abkommens mehr vorgenommen werden. Auf Bedenken bzgl. des Inhalts wurde im Rahmen der Darstellung des Zustandekommens sowie in der Darstellung der Schlussanträge des Generalanwalts hingewiesen. Zudem wurde das Abkommen annulliert und seine Bestimmungen in weiteren Abkommen – die im Folgenden näher untersucht werden – wiederholt bzw. modifiziert.947 Zwar ist es bedauerlich, dass für die hier in Frage stehenden Regelungen die falschen Rechtsgrundlagen gewählt wurden. Dieser Bezug auf die falsche Rechtsgrundlage hat aber paradoxerweise wohl zu einer Verbesserung des Datenschutzniveaus geführt hat, auch wenn dieses Niveau nicht als besonders hoch angesehen werden kann. Der Kommission kann zugegeben werden, dass sie die kommerziellen Interessen der Fluggesellschaften, weiterhin in den USA landen zu dürfen, im Blick gehabt hat. Zudem ist die Erlaubnis, in den USA weiterhin zu landen, nicht nur für die Fluggesellschaften und ihre finanziellen Interessen relevant, sondern auch für eine Vielzahl anderer Industriezweige, die auf den Flugverkehr zwischen den USA und Europa angewiesen sind. Das Bedürfnis nach einer schnellen Regelung darf jedoch nicht essentielle Kompetenzzuweisungen übergehen. Zunächst wurde die vorläufige Regelung ohne die erforderliche Rechtsgrundlage verabschiedet und im Folgenden das eigentliche Abkommen und die Angemessenheitsentscheidung auf Basis der „falschen“ Rechtsgrundlage erlassen. Die Kommission steckte zwar in einem Dilemma zwischen wirtschaftlichen Interessen, Sicherheitsinteressen und denen des Schutzes personenbezogener Daten, hat dieses jedoch zu sehr zu Gunsten der wirtschaftlichen Interessen – hinsichtlich der Industrie – und zu Gunsten der Sicherheit – hinsichtlich der USA – gelöst. Zudem ist fraglich, ob ein solches Vorgehen der EU notwendig war. Die EU ist ein wichtiger Handelspartner der USA und hat den USA gegenüber eine Verhandlungsposition, die nicht zu vernachlässigen ist: Auch die USA mit den dort angesiedelten Industriezweigen ist wirtschaftlich auf den Flugverkehr zwischen Europa und den USA angewiesen, sodass die Verweigerung von Landerechten für EU-Fluggesellschaften – trotz entsprechender Drohungen – nicht zwingend auch durchgesetzt worden wäre. Es ist daher nicht von der Hand zu weisen, dass möglicherweise eine gründlichere, mehr auf die Anliegen der EU eingehende Lösung auch auf Basis der tatsächlich einschlägigen Rechtsgrundlagen hätte gefunden werden können. Es ist jedoch auch in Betracht zu ziehen, dass die USA ein souveräner Staat ist, der auf seinem Territorium die Gesetze einführen kann, die er für notwendig erachtet und folglich auch die hier in Frage stehenden Gesetze zur Bereitstellung von Passagierdaten. Die Verhandlungsposition der USA ist daher ebenfalls signifikant, die 946

Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (903). Ähnlich auch Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (903) mit Verweis auf eine ausführliche rechtliche Analyse. 947

452

Teil 3: Die Übermittlung von PNR-Daten in die USA 

EU-Positionen hätten jedoch durchaus mehr Gewicht haben können. Im Ergebnis ist jedenfalls die zunächst gefundene Lösung – was durch das Urteil des EuGH bestätigt wird – keine tragfähige Lösung, eine solche ist aber – zugegebenermaßen auf Grund der signifikanten konfligierenden Interessen – auch schwer zu finden.

E. Das vorläufige PNR-Abkommen zwischen der EU und den USA 2006 I. Initiative zur Verhandlung des Abkommens Auf Grund des Urteils des EuGH musste so schnell wie möglich eine Lösung gefunden werden. Der Rat beschloss daraufhin am 27. Juni 2006, den Ratsvorsitz zu ermächtigen, mit Unterstützung der Kommission Verhandlungen über ein neues Abkommen mit den USA aufzunehmen.948 Es ist grundsätzlich zu begrüßen, dass nach dem Scheitern des ersten Abkommens von 2004 ein vorläufiges Abkommen geschaffen werden sollte. Der Schutz der personenbezogenen Daten durch ein Abkommen – auch wenn er, wie zu zeigen sein wird, Lücken aufwies – ist in jedem Fall einer Situation vorzuziehen, in der die Akteure (Fluggesellschaften und Passagiere) ohne Abkommen und somit ohne jeglichen „Schutz“ die Regeln der USA befolgen müssten. II. Rechtsgrundlage Die Rechtsgrundlage war nach dem Urteil des EuGH folgerichtig nicht mehr im Gemeinschaftsrecht zu finden. Der Rat entschied sich, nun Art. 24 EUV und Art.  38 EUV und damit Titel VI des EUV (Polizeiliche und justizielle Zusammenarbeit in Strafsachen, Dritte Säule) als Rechtsgrundlage zu wählen.949 Die Zuständigkeit der Union im Rahmen der Dritten Säule wurde angenommen, ohne jedem der Mitgliedstaaten zumindest die Möglichkeit zu geben, entsprechende bilaterale Verhandlungen mit den USA aufzunehmen.950 Die Entscheidung für die 948 Beschluss 2006/729/GASP/JI des Rates vom 16. Oktober 2006 über die Unterzeichnung – im Namen der Europäischen Union – eines Abkommens zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security, 16.10.2006, ABl. L 298 v. 27.10.2006, S. 27 f., Erwägungsgrund 1; weitere offizielle Dokumente zu den Verhandlungen sind auf offiziellen Webseiten der EU bzw. der USA – soweit ersichtlich – nicht zugänglich. 949 Vgl. Beschluss 2006/729/GASP/JI des Rates vom 16. Oktober 2006 über die Unterzeichnung  – im Namen der Europäischen Union  – eines Abkommens zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security, 16.10.2006, ABl. L 298 v. 27.10.2006, S. 27 f. 950 Vgl. Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (904).

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

453

Dritte Säule wurde in den Schlussanträgen des Generalanwalts Bot in der Rechtssache zur Vorratsdatenspeicherung von 2009 auch vor dem EuGH dargelegt, von diesem aufgegriffen und schien damit die Diskussion über die korrekte Rechtsgrundlage zu beenden.951 Um die beiden Fälle Vorratsdatenspeicherung und PNR zu unterscheiden, bezog sich der Generalanwalt auf das PNR-Urteil des EuGH und legte dazu Folgendes dar: „Die internationale Bedeutung der eingerichteten Zusammenarbeit und die Ausgestaltung der Zusammenarbeit zwischen den Fluggesellschaften und dem CBP, die meiner Ansicht nach dazu führt, dass sie in den Anwendungsbereich von Titel VI des EU-Vertrags fällt, bilden folglich zwei grundlegende Unterschiede zu der in der vorliegenden Rechtssache streitigen Situation [der Vorratsdatenspeicherung]“.952 Im darauffolgenden Urteil zur Vorratsdatenspeicherung von 2009 äußerte sich der Gerichtshof in Bezug auf das PNR-Urteil dahingehend, „dass diese Entscheidung [das PNR-Urteil] eine Datenverarbeitung zum Gegenstand hat, die nicht für die Erbringung einer Dienstleistung durch die Fluggesellschaften erforderlich war, sondern als erforderlich zum Schutz der öffentlichen Sicherheit und zu Strafverfolgungszwecken angesehen wurde“953. Durch die Äußerungen des Generalanwalts und des EuGH wurde klar, dass PNR-Abkommen im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen und somit auf Grundlage der Bestimmungen der Dritten Säule und nicht im Rahmen der gemeinsamen Außen- und Sicherheitspolitik zu verabschieden waren.954 Sowohl Urteil als auch Stellungnahme des Generalanwalts bestätigten daher auch die Vorgehensweise des Rates, Art. 24 und 38 EUV als Rechtsgrundlage zu wählen.955 Überraschend sind die Ausführungen des EuGH in der Rechtssache zur Vorratsdatenspeicherung. Ein Unterschied zwischen der Erhebung von Daten im Rahmen der Vorratsdatenspeicherung und der Erhebung der Daten im Rahmen der PNR-Regelungen lässt sich schwer begründen. Die Begründung des EuGH, dass das PNR-Urteil „eine Datenverarbeitung zum Gegenstand hat, die nicht für die Erbringung einer Dienstleistung durch die Fluggesellschaften erforderlich war, sondern als erforderlich zum Schutz der öffentlichen Sicherheit und zu Strafverfolgungszwecken angesehen wurde“,956 überzeugt nicht. Die Verarbeitung von PNR-Daten ist durchaus für die Erbringung einer Dienstleistung durch Fluggesellschaften erforderlich und ihr ursprünglicher Hauptnutzen. Dass sowohl bei der Vorratsdatenspeicherung als auch bei der Auswertung von 951 Vgl. Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 616; zu der Frage der korrekten Rechtsgrundlage nach dem Vertrag von Lissabon vgl. Parlamentarische Anfrage der Abgeordneten in ’t Veld v. 02.04.2012, P-003536/2012; zum geltenden Datenschutzstandard siehe Hanschmann, in: Matz-Lück/Hong, Grundrechte und Grundfreiheiten im Mehrebenensystem – Konkurrenzen und Interferenzen, 2012; Hijmans/Scirocco, Common Market Law Review 46 (2009), 1485 (1502 ff.); Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (888 ff.). 952 Schlussanträge Generalanwalt Bot v. 14.08.2008, EuGH Slg. 2009, I-595, S. 623 Rn. 119. 953 EuGH, Urt. v. 10.02.2009, verb. Rs. C-301/06, Slg. 2009, I-593; Rn. 88. 954 Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 616. 955 Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 616. 956 EuGH, Urt. v. 10.02.2009, verb. Rs. C-301/06, Slg. 2009, I-593 Rn. 88.

454

Teil 3: Die Übermittlung von PNR-Daten in die USA 

PNR-Daten auch Sicherheits- und Strafverfolgungsinteressen eine Rolle spielen, ist offensichtlich. Daher ist die Auffassung, Regelungen zu PNR-Daten seien im Rahmen der Dritten Säule und Regelungen zur Vorratsdatenspeicherung im Rahmen der Ersten Säule zu erlassen, inkonsequent und nicht überzeugend. Vielmehr müsste von einem Gleichlauf der beiden Regelungen ausgegangen werden. Die höheren Schutzstandards materieller und verfahrensrechtlicher Art sind im Rahmen der Ersten Säule gegeben. Jedoch ist inhaltlich für die in Frage stehenden Regelungen die Auswertung der Daten für Sicherheits- und Strafverfolgungszwecke schwerpunktmäßig einschlägig, sodass im Ergebnis die Rechtsgrundlage in der Dritten Säule  – wenn auch aus Datenschutzerwägungen nicht wünschenswert  – richtig zu sein scheint. III. Versuch des Parlaments, an den Verhandlungen beteiligt zu werden Da das Abkommen auf die Dritte Säule gestützt werden sollte, war das Parlament von jeglichen legislativen Beteiligungen am Verfahren ausgeschlossen. Dies veranlasste den Parlamentspräsidenten Fontelles bereits am 9.  Juni 2006 dazu, sich in einem Brief an Kommissionspräsident Barroso zu wenden, um die Bedeutung des Datenschutzes – gerade auch im Hinblick auf entsprechende Vorhaben im Rahmen der Dritten Säule  – herauszustellen und vor allem eine volle Beteiligung des Parlaments während des Prozesses zu fordern.957 Dies begründete der Parlamentspräsident vor allem mit dem Prinzip der loyalen Zusammenarbeit aus Art. 10 EGV (jetzt Art. 4 III EUV).958 Der Kommissionspräsident betonte in seiner Antwort, dass die Kommission die Bedeutung des Datenschutzes teile, wies jedoch darauf hin, dass der Gerichtshof die materiellen Bestimmungen der PNR-­Regelungen in seinem Urteil nicht beanstandet habe.959 Dies mag zwar formell richtig sein; dass das Schweigen des Gerichtshof aber lediglich entscheidungstaktische Gründe gehabt haben mag und die Regelungen auch materiell beanstandungswürdig sein könnten, nennt der Kommissionspräsident in seinem Brief verständlicherweise nicht.960 Das Parlament würde – nach Aussage des Kommissionspräsidenten – voll über die Vorgänge informiert; auf eine aktivere Rolle 957 Fontelles, Brief an Kommissionspräsident Barrosso bezüglich des PNR-Urteils des EuGH und eines PNR Abkommens auf Grundlage der Dritten Säule, 09.06.2006, http://www.statewatch.org/news/2006/jun/eu-usa-pnr-borrell-letter2.pdf (zuletzt geprüft am 15.03.2015); im Originaltext: „Parliament should fully be kept involved in the process aiming at the replacement of the annulled decisions.“ 958 Siehe Fontelles, Brief an Kommissionspräsident Barrosso bezüglich des PNR-Urteils des EuGH und eines PNR Abkommens auf Grundlage der Dritten Säule, 09.06.2006. 959 Barroso, Brief an Parlamentspräsident Fontelles bezüglich des PNR-Urteils des EuGH und eines PNR Abkommens auf Grundlage der Dritten Säule, 19.07.2006, http://www.statewatch.org/ news/2006/aug/eu-usa-pnr-barrosi-letter.pdf (zuletzt geprüft am 15.03.2015). 960 So auch Simitis, NJW 2006, 2011 (2013).

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

455

des Parlaments wurde hingegen nicht eingegangen.961 Obwohl das Parlament somit nicht offiziell in das Verfahren für das neue Abkommen eingebunden worden war, erließ es dennoch eine Empfehlung an den Rat zu den Verhandlungen über das neue Abkommen.962 IV. Positionen des Parlaments In seiner Empfehlung sprach sich das Parlament kurzfristig für ein Abkommen aus, das die Laufzeit des ursprünglichen Abkommens abdeckte und langfristig für eine Lösung im Rahmen der Internationalen Zivilluftfahrt-Organisation (ICAO).963 Allgemein empfahl das Parlament eine stärkere Berücksichtigung der Rechte der Passagiere und der Datenschutzgrundsätze gem. Art. 8 EMRK.964 Im Einzelnen befürwortete das Parlament u. a. die Empfehlungen des Europäischen Datenschutzbeauftragten und der Art.  29-Datenschutzgruppe zu berücksichtigen, die Verpflichtungserklärung der USA in den eigentlichen Text des Abkommens aufzunehmen, um dieser damit tatsächliche Rechtsverbindlichkeit zu verleihen.965 Zudem sollten noch nicht umgesetzte Zusagen der USA wie bspw. das Push-­System, der Grundsatz der Zweckbindung oder die gerichtliche Beschwerdemöglichkeit in das Abkommen aufgenommen werden.966 Auch zum Inhalt eines über das vorläufige Abkommen hinausgehenden weiteren Abkommens äußerte sich das Parlament und empfahl vor allem die damals noch nicht erfolgte Annahme eines Rahmenbeschlusses über den Datenschutz zur Geltung im Rahmen von Maßnahmen der Dritten Säule.967 Darüber hinaus empfahl das Parlament die Aktivierung der sogenannten passerelle-Klausel des Art. 42 EUV, der die Möglichkeit eröffnet, Kompetenzen im Rahmen der Dritten Säule auf die Erste Säule zu übertragen und somit 961 Barroso, Brief an Parlamentspräsident Fontelles bezüglich des PNR-Urteils des EuGH und eines PNR Abkommens auf Grundlage der Dritten Säule, 19.07.2006; im Originaltext: „We will keep the European Parliament fully informed throughout the adoption process of the new agreement.“ 962 Empfehlung des Europäischen Parlaments an den Rat zu den Verhandlungen über ein Abkommen mit den Vereinigten Staaten von Amerika über die Verwendung von Fluggastdatensätzen (PNR) zur Verhütung und Bekämpfung von Terrorismus und grenzüberschreitender Kriminalität, einschließlich organisierter Kriminalität (2006/2193(INI)), 07.09.2006, ABl. C 305 E v. 14.12.2006, S. 250 ff. (Empfehlung des Europäischen Parlaments an den Rat zu den Verhandlungen über ein vorläufiges PNR-Abkommen 2006, ABl. C 305 E v. 14.12.2006). 963 Empfehlung des Europäischen Parlaments an den Rat zu den Verhandlungen über ein vorläufiges PNR-Abkommen 2006, ABl. C 305 E v. 14.12.2006, S. 252. 964 Empfehlung des Europäischen Parlaments an den Rat zu den Verhandlungen über ein vorläufiges PNR-Abkommen 2006, ABl. C 305 E v. 14.12.2006, S. 252. 965 Empfehlung des Europäischen Parlaments an den Rat zu den Verhandlungen über ein vorläufiges PNR-Abkommen 2006, ABl. C 305 E v. 14.12.2006, S. 252 f. 966 Empfehlung des Europäischen Parlaments an den Rat zu den Verhandlungen über ein vorläufiges PNR-Abkommen 2006, ABl. C 305 E v. 14.12.2006, S. 252 f. 967 Empfehlung des Europäischen Parlaments an den Rat zu den Verhandlungen über ein vorläufiges PNR-Abkommen 2006, ABl. C 305 E v. 14.12.2006, S. 253.

456

Teil 3: Die Übermittlung von PNR-Daten in die USA 

die Mitbestimmung des Parlaments sowie auch die Gerichtsbarkeit des Gerichtshofes zu eröffnen.968 Zudem bezog sich das Parlament auf bereits früher geäußerte Standpunkte hinsichtlich einer mengenmäßigen Beschränkung der Daten, der Filterung sensibler Daten sowie gleichen Rechtsschutz für US-Bürger und Nicht-USBürger.969 V. Abschluss des Abkommens ohne spürbare Berücksichtigung der Parlamentspositionen Das Abkommen wurde am 16. bzw. 19. Oktober 2006 in Luxemburg bzw. Washington unterzeichnet.970 Somit gab es – nachdem die bisher bestehenden PNRRegelungen am 30.  September endgültig außer Kraft getreten waren  – für etwa zwei Wochen keine Regelung über die Übertragung von PNR-Daten in die USA und somit einen Rückfall auf das Schutzniveau – kein Schutzniveau –, das vor dem ersten Abkommen bestand. Bemerkenswert war, dass weder im Ratsbeschluss über die Unterzeichnung des Abkommens971 vom 16. Oktober 2006 noch in dem eigentlichen Abkommen972 die vom Parlament genannten Punkte spürbar berücksichtigt worden waren; so galt bspw. immer noch das Pull-System, „bis ein zufrieden stellendes System für die Übermittlung solcher Daten durch die Fluggesellschaften vorhanden ist“.973 Des Weiteren wurde lediglich auf die Verpflichtungserklärung der USA zum ersten Abkommen von 2004974 Bezug genommen.975 Somit wurde die Verpflichtungserklärung, auf die sich das erste PNR-Abkommen bezog und auf deren Grundlage die Angemessenheitsentscheidung erging, als immer noch gültig 968 Empfehlung des Europäischen Parlaments an den Rat zu den Verhandlungen über ein vorläufiges PNR-Abkommen 2006, ABl. C 305 E v. 14.12.2006, S. 253. 969 Empfehlung des Europäischen Parlaments an den Rat zu den Verhandlungen über ein vorläufiges PNR-Abkommen 2006, ABl. C 305 E v. 14.12.2006, S. 253. 970 Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security, 16. u. 19.10.2006, ABl. L 298 v. 27.10.2006, S. 29–31. 971 Beschluss 2006/729/GASP/JI des Rates vom 16. Oktober 2006 über die Unterzeichnung – im Namen der Europäischen Union – eines Abkommens zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security, 16.10.2006, ABl. L 298 v. 27.10.2006, S. 27 f.; das eigentliche Abkommen ist dem Ratsbeschluss beigefügt. 972 Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security, 16. u. 19.10.2006, ABl. L 298 v. 27.10.2006, S. 29–31. 973 Art. 2 des Abkommens. 974 Die Verpflichtungserklärung befindet sich im Anhang zu der Angemessenheitsentscheidung der Kommission. 975 Siehe die Erwägungsgründe des Abkommens.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

457

für die Zwecke des vorläufigen Abkommens betrachtet.976 Daher ist u. a. die Speicherungsdauer für Daten mit der des ursprünglichen Abkommens identisch. Es bestand somit auf Grund fehlender datenschutzrechtlicher Instrumente in der Dritten Säule im Rahmen des vorläufigen Abkommens keine offizielle Angemessenheitsentscheidung. Der vom Parlament gewünschten Aktivierung der passerelle Klausel des Art. 42 EUV wurde nicht entsprochen, da das Abkommen sich auf Art. 24 und Art. 38 EUV und somit die Dritte Säule stützte. Bis dahin unterschied sich das vorläufige PNR-Abkommen dem Inhalt nach nicht substanziell von seinem Vorgänger.977 Jedoch war zu berücksichtigen, dass das DHS nach Abschluss der Verhandlungen der Ratspräsidentschaft und der Kommission ein Schreiben übermittelte, in dem einige Bestimmungen der Verpflichtungserklärung,978 die nun auch Gegenstand des vorläufigen Abkommens waren, neu interpretiert wurden.979 Dieses Schreiben und das Antwortschreiben980 von Kommission und Ratspräsidentschaft wurden am gleichen Tag wie der Ratsbeschluss und das unterzeichnete Abkommen im Amtsblatt der EU veröffentlicht – das Schreiben und die entsprechende Antwort jedoch nicht wie der Ratsbeschluss und das Abkommen im Amtsblatt L (für Rechtsvorschriften), sondern lediglich im Amtsblatt C (Mitteilungen und Bekanntmachungen). Zwar ergab sich dadurch keine rechtliche Konsequenz, da in dem Abkommen auf die Verpflichtungserklärung Bezug genommen wird, jedoch wäre es transparenter gewesen – gerade weil das Abkommen und die Ratsentscheidung am gleichen Tag veröffentlicht wurden –, die Änderung der Verpflichtungserklärung nicht „durch die Hintertür“ zu kommunizieren. VI. Neuinterpretation der Verpflichtungserklärungen durch ein Schreiben des US Department of Homeland Security Die zunächst trügerische inhaltliche Quasiidentität zwischen dem PNR-Abkom­ men von 2004 und dem vorläufigen Abkommen von 2006 konnte jedoch nur angenommen werden, wenn das von den USA übermittelte Schreiben zur Neu­ inter­pretation der Verpflichtungserklärung  – auf die in dem Abkommen Bezug genommen wurde – unberücksichtigt gelassen wird. Dies scheint jedoch nicht ge 976 Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (905); siehe dazu auch S. 900. 977 Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (905). 978 Siehe Anhang der Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, ABl. L 235 v. 06.07.2004, S. 15 ff. 979 Schreiben des DHS an die Ratspräsidentschaft und die Kommission über die Auslegung einiger Bestimmungen der Verpflichtungserklärungen, die von der [sic] DHS am 11. Mai 2004 im Zusammenhang mit der Übermittlung von Fluggastdatensätzen (Passenger Name Records – PNR) durch die Fluggesellschaften abgegeben wurden, ABl. C 259 v. 27.10.2006, S. 1–3. 980 Antwort der Ratspräsidentschaft und der Kommission auf das Schreiben des Department of Homeland Security der USA, ABl. C 259 v. 27.10.2006, S. 4.

458

Teil 3: Die Übermittlung von PNR-Daten in die USA 

boten. In dem Schreiben des DHS an die Ratspräsidentschaft und die Kommission, das seine Grundlage in Nummer 35 der Verpflichtungserklärungen hatte,981 wurde auf ein amerikanisches Gesetz – den Intelligence Reform and Terrorism Prevention Act von 2004 – eingegangen, nach dem „der Präsident ein Umfeld des Informationsaustausches schaffen [müsse], das den Austausch von Informationen in Bezug auf den Terrorismus erleichtert“.982 Bezugnehmend auf dieses Gesetz – wie aus dem Schreiben des DHS hervorging – „erließ der Präsident am 25. Oktober 2005 den Executive Order 13388, der die Anweisung enthält, dass das DHS und andere Einrichtungen den Leitern aller anderen Einrichtungen zur Terrorismus­ bekämpfung unverzüglich Zugang zu terrorismusbezogenen Informationen geben, und mit der ein Mechanismus zur Umsetzung des Informationsaustausches eingerichtet wird“.983 In dem Schreiben teilte die Behörde zudem mit, dass dem in durch Gesetz und Executive Order geforderten Informationsaustausch zwischen den einzelnen US-Einrichtungen „möglicherweise verschiedene Bestimmungen der Verpflichtungserklärungen entgegenstehen, die den Informationsaustausch zwischen US-Einrichtungen einschränken“.984 Die Behörde suggerierte quasi, dass sie  – obwohl sie nur von „Auslegung“ der Bestimmungen spricht – durch ein nationales Gesetz dazu verpflichtet sei, die Verpflichtungserklärungen, so wie sie abgegeben worden waren, nicht mehr einhalten zu können; dadurch kam es faktisch aber auch zu einer Änderung des Abkommens, weil dieses auf die Verpflichtungserklärungen Bezug nahm.985 Neben der bedeutenden Tatsache, dass von nun an alle Einrichtungen, die in der Terrorismusbekämpfung involviert waren, Zugang zu terrorismusbezogenen Informationen986 haben konnten und damit die genannten Verpflichtungserklärungen

981

Nummer 35 der Verpflichtungserklärungen lautet wie folgt: „Keine der hier aufgeführten Bestimmungen darf der Nutzung oder Offenlegung von PNR-Daten im Zusammenhang mit Strafprozessen oder anderen gesetzlichen Erfordernissen im Wege stehen. Das CBP wird die Europäische Kommission über die Verabschiedung aller US-Rechtsvorschriften informieren, die sich substanziell auf die in dieser Verpflichtungserklärung gemachten Zusagen auswirken“. 982 Schreiben des DHS an die Ratspräsidentschaft und die Kommission über die Auslegung einiger Bestimmungen der Verpflichtungserklärungen, die von der [sic] DHS am 11. Mai 2004 im Zusammenhang mit der Übermittlung von Fluggastdatensätzen (Passenger Name Records – PNR) durch die Fluggesellschaften abgegeben wurden, ABl. C 259 v. 27.10.2006, S. 1. 983 Schreiben des DHS an die Ratspräsidentschaft und die Kommission über die Auslegung einiger Bestimmungen der Verpflichtungserklärungen, die von der [sic] DHS am 11. Mai 2004 im Zusammenhang mit der Übermittlung von Fluggastdatensätzen (Passenger Name Records – PNR) durch die Fluggesellschaften abgegeben wurden, ABl. C 259 v. 27.10.2006, S. 1. 984 Schreiben des DHS an die Ratspräsidentschaft und die Kommission über die Auslegung einiger Bestimmungen der Verpflichtungserklärungen, die von der [sic] DHS am 11. Mai 2004 im Zusammenhang mit der Übermittlung von Fluggastdatensätzen (Passenger Name Records – PNR) durch die Fluggesellschaften abgegeben wurden, ABl. C 259 v. 27.10.2006, S. 1; dabei wird auf die Nummern 17, 28, 29, 30, 31, 32 „oder Teile davon“ Bezug genommen. 985 Vgl. Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (906); Mendez, European Constitutional Law Review 3 (2007), 127 (141). 986 Diese können aus den PNR-Daten gewonnen werden.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

459

weichen mussten987, nahm die US-Behörde in ihrem Schreiben noch zu weiteren Verpflichtungserklärungen Stellung, deren Änderung im Hinblick auf das Abkom­ men ebenso bedenkenswert war:988 So kam es u. a. zu Einschränkungen hin­ sichtlich der gemeinsamen Überprüfung,989 einer Ausweitung der zu speichernden Daten auf die Vielfliegerdaten,990 einem möglichen Zugriff auf die Daten „im Zusammenhang mit ansteckenden Krankheiten und anderen Gefahren für die Fluggäste“991 sowie einer möglichen Ausweitung der Speicherungsdauer der Daten992. Die durch das Schreiben des DHS geänderten Verpflichtungserklärungen waren – abgesehen von jeglichem materiellem Gehalt – auch im Hinblick darauf bedenklich, dass sie am selben Tag wie das unterzeichnete Abkommen im Amtsblatt der EU veröffentlicht wurden. Da das Schreiben selbst nicht datiert war, ist davon auszugehen, dass dieses mit Veröffentlichung im Amtsblatt wirksam werden sollte. Ob eine solche Wirksamkeit jedoch wirklich entfaltet werden konnte, ist zu klären: Zwar erlaubte Nr. 35 der Verpflichtungserklärung eine Notifizierung und einen Hinweis an die andere Partei, falls sich die innerstaatliche Rechtslage ändere und die Erklärungen anderen gesetzlichen Erfordernissen der Vertragspartner entgegenstünden, jedoch könnte im Hinblick auf das gerade abgeschlossenen Abkommen und der Bezugnahme darauf über ein widersprüchliches Verhalten, einem „venire contra factum proprium“, der USA nachgedacht werden. Es ließe sich aber auch argumentieren, dass die Änderungen, die mit dem Schreiben vorgenommen worden sind, gerade in den Verpflichtungserklärungen angelegt waren und die USA daher lediglich von dieser, ihnen eingeräumten Möglichkeit Gebrauch gemacht haben.993 Die Sache könnte ebenso positiv betrachtet werden und anerkennen, dass die USA überhaupt bereit waren, Verpflichtungserklärungen umzuset 987

So Mendez, European Constitutional Law Review 3 (2007), 127 (141). Vgl. dazu ausführlich zu den folgenden Ausführungen Mendez, European Constitutional Law Review 3 (2007), 127 (141 ff.). 989 Schreiben des DHS an die Ratspräsidentschaft und die Kommission über die Auslegung einiger Bestimmungen der Verpflichtungserklärungen, die von der [sic] DHS am 11. Mai 2004 im Zusammenhang mit der Übermittlung von Fluggastdatensätzen (Passenger Name Records – PNR) durch die Fluggesellschaften abgegeben wurden, ABl. C 259 v. 27.10.2006, S. 2; dazu Mendez, European Constitutional Law Review 3 (2007), 127 (141). 990 Schreiben des DHS an die Ratspräsidentschaft und die Kommission über die Auslegung einiger Bestimmungen der Verpflichtungserklärungen, die von der [sic] DHS am 11. Mai 2004 im Zusammenhang mit der Übermittlung von Fluggastdatensätzen (Passenger Name Records – PNR) durch die Fluggesellschaften abgegeben wurden, ABl. C 259 v. 27.10.2006, S. 3. 991 Schreiben des DHS an die Ratspräsidentschaft und die Kommission über die Auslegung einiger Bestimmungen der Verpflichtungserklärungen, die von der [sic] DHS am 11. Mai 2004 im Zusammenhang mit der Übermittlung von Fluggastdatensätzen (Passenger Name Records – PNR) durch die Fluggesellschaften abgegeben wurden, ABl. C 259 v. 27.10.2006, S. 3; Hervorhebung durch den Autor. 992 Schreiben des DHS an die Ratspräsidentschaft und die Kommission über die Auslegung einiger Bestimmungen der Verpflichtungserklärungen, die von der [sic] DHS am 11. Mai 2004 im Zusammenhang mit der Übermittlung von Fluggastdatensätzen (Passenger Name Records – PNR) durch die Fluggesellschaften abgegeben wurden, ABl. C 259 v. 27.10.2006, S. 2. 993 Mendez, European Constitutional Law Review 3 (2007), 127 (143). 988

460

Teil 3: Die Übermittlung von PNR-Daten in die USA 

zen.994 Hinsichtlich des geschlossenen vorläufigen Abkommens scheint die von den USA vorgenommene Neuinterpretation der Verpflichtungserklärungen rein rechtlich gesehen somit nicht zu beanstanden zu sein. Die Voraussetzungen für eine spätere Neuinterpretation waren bereits in den Verpflichtungserklärungen angelegt (vgl. etwa Verpflichtungserklärungen 7, 13, 14, 34 oder 35) und von diesen Möglichkeiten haben die USA Gebrauch gemacht. Abgesehen von der rechtlichen Einordnung war dieses Verhalten – gerade im Hinblick auf die kurz zuvor vorgenommene Rückbeziehung auf die Verpflichtungserklärungen im Rahmen des vorläufigen Abkommens – rein politisch nicht zu begrüßen. Besonders befremdlich war, dass die USA trotz eingegangener Verpflichtungserklärungen, auf die in einem völkerrechtlichen Vertrag Bezug genommen wird, die vereinbarte Löschung der Daten nach dreieinhalb Jahren zur Disposition stellen und auf zukünftige Beratungen verweisen.995 VII. Antwort der EU auf die Neuinterpretation der Verpflichtungserklärung Die Antwort der EU auf das Schreiben der USA fiel verhalten aus. So wurde zunächst der Empfang des Schreibens bestätigt, daraufhin die Bedeutung der Wahrung der Grundrechte und des Schutzes personenbezogener Daten in der EU und ihren Mitgliedstaaten bekräftigt und zudem darauf hingewiesen, dass auf Grund der Zusagen des DHS, die Verpflichtungserklärungen fortdauernd umzusetzen, davon ausgegangen werde, dass das DHS ein angemessenes Datenschutzniveau sicherstelle.996 Die Antwort der EU ist vor dem Hintergrund zu betrachten, dass für das vorläufige Abkommen auf Grund der Verortung in der Dritten Säule keine Angemessenheitsentscheidung bestand und nicht vorgesehen war. Es ist beachtlich, dass die EU trotzdessen und trotz der erheblichen Einschränkungen der Datenverarbeitungsgarantien durch die USA weiterhin auf ein angemessenes Datenschutzniveau Bezug nimmt. In der Konsequenz waren somit die jeweiligen Datenschutzniveaus des ersten und des vorläufigen Abkommens angemessen, obwohl diese sich  – gerade vor dem Hintergrund der Neuinterpretation  – signifikant unterschieden. Bezüglich des vorläufigen Abkommens hätte es aufgrund der fehlenden Instrumentarien einer solchen Aussage der Kommission nach dem EU-Datenschutzrecht nicht bedurft. Die Aussage der Kommission mag jedoch der Rechts 994

Antwort der Ratspräsidentschaft und der Kommission auf das Schreiben des Department of Homeland Security der USA, ABl. C 259 v. 27.10.2006, S. 4; so auch Mendez, European Constitutional Law Review 3 (2007), 127. 995 Vgl. Mendez, European Constitutional Law Review 3 (2007), 127, der sogar davon spricht, dass die EU mit den vorher gespeicherten Daten bei zukünftigen Verhandlungen erpresst werden könnten („the European Union can be held to ransom in future negotiations as to previously collected data“). 996 Antwort der Ratspräsidentschaft und der Kommission auf das Schreiben des Department of Homeland Security der USA, ABl. C 259 v. 27.10.2006, S. 4.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

461

sicherheit der Fluggesellschaften gegolten haben. Letztendlich war das Abkommen jedoch nur vorläufiger Natur und sollte bald durch eine langfristige Regelung ersetzt werden.

F. Das Abkommen zwischen der EU und den USA 2007 I. Zweck und Rechtsgrundlage des Abkommens Wurde mit dem vorläufigen Abkommen noch die Verhinderung einer Rechtsschutzlücke nach dem Urteil des EuGH bezweckt, sollte mit einem neuen Abkommen nun der Datenfluss von PNR-Daten zwischen der EU und den USA auf eine längerfristige Basis gestellt werden. Rechtsgrundlagen waren – wie bereits beim vorläufigen Abkommen – Art. 24 EUV und 38 EUV, also Maßnahmen im Rahmen der Dritten Säule.997 Die materiellrechtlichen Anforderungen an das Kriterium Angemessenheit des Datenschutzniveaus waren jedoch im Rahmen dieses Abkommens – wie zu zeigen sein wird – sehr beschränkt: II. Verhandlung und Vorgehensweise bei der Regelung Die Verhandlungen über das Abkommen fanden in der zweiten Jahreshälfte des Jahres 2006 und der ersten Jahreshälfte des Jahres 2007 statt und wurden – entgegen aller Erwartungen – noch vor dem Auslaufen des Übergangsabkommens Ende Juli 2007 beendet.998 Dies war vor allem der deutschen Ratspräsidentschaft geschuldet, die die Frage des PNR-Abkommens mit der des SWIFT-Falles koppelte.999 Die neuen Regelungen zum Datenfluss von PNR-Daten setzten sich aus drei verschiedenen Teilen zusammen: dem eigentlichen Abkommen1000, einem Schreiben der USA an die EU,1001 in dem die USA Zusicherungen machte, wie sie in Zukunft mit PNR-Daten aus der EU umgehen würde und einem Antwortschreiben der EU,1002 in dem der USA auf der Basis der Zusicherungen ein angemessenes Schutzniveau 997

Beschluss 2007/551/GASP/JI des Rates vom 23. Juli 2007 über die Unterzeichnung – im Namen der Europäischen Union – eines Abkommens zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das U ­ nited States Department of Homeland Security (DHS) (PNR-Abkommen von 2007), ABl. L 204 v. 04.08.2007, S. 16. 998 Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (907). 999 Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (907). 1000 Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland­ Security (DHS), 23. u. 26.07.2007, ABl. L 204 v. 04.08.2007, S. 18–20. 1001 Schreiben der USA an die EU, ABl. L 204 v. 04.08.2007, S. 21–24. 1002 Schreiben der EU an die USA, ABl. L 204 v. 04.08.2007, S. 25.

462

Teil 3: Die Übermittlung von PNR-Daten in die USA 

attestiert wurde. Diese Lösung wurde teilweise als „kreativ“ beschrieben und erfolgte, um dem Kriterium der „Angemessenheit“ des Schutzniveaus für PNR-­ Daten Rechnung zu tragen.1003 Zumindest zum Zeitpunkt der Verhandlungen gab es keine anwendbaren Verfahren bzw. Möglichkeiten, um im Rahmen der Dritten Säule eine Angemessenheitsentscheidung zu treffen.1004 Dennoch musste die EU die Anforderungen der Datenschutzkonvention des Europarates befolgen, und da die USA dieser Konvention nicht beigetreten war, musste eine gangbare Lösung gefunden werden, die Übermittlung der Daten in die USA zu erlauben, ohne gegen die Konvention zu verstoßen.1005 Art. 2 des Zusatzprotokolls 181 zur Datenschutzkonvention1006 regelt den grenzüberschreitenden Verkehr personenbezogener Daten mit einem Empfänger, der nicht der Hoheitsgewalt einer Vertragspartei des Übereinkommens untersteht. Dabei sieht Art. 2 I vor, dass personen­bezogene Daten an einen solchen Empfänger nur dann übermittelt werden dürfen, wenn ein „angemessenes Schutzniveau für die beabsichtigte Datenweitergabe“ gewährleistet ist. Der Explanatory Report zur Datenschutzkonvention bezieht sich hingegen im Zusammenhang mit der Ausnahmebestimmung des Art. 12 III lit. b auf ein „zufriedenstellendes“ bzw. „ausreichendes“ Datenschutzniveau.1007 Doch stellt der Explanatory Report zum Zusatzprotokoll der Konvention fest, dass einem Drittland nur dann ein zufriedenstellendes bzw. aus­reichendes Datenschutzniveau bescheinigt werden kann, wenn es ein angemessenes Schutzniveau hat.1008 Ob ein solches angemessenes Schutzniveau besteht, muss im Lichte aller Umstände beurteilt werden, die mit dem Transfer der Daten im Zusammenhang stehen.1009 Das Schutzniveau soll für jede Übertragung oder Übertragungskategorie individuell bestimmt werden.1010 1003 So Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 617. 1004 Vgl. Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 617. 1005 So Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 617. 1006 Zusatzprotokoll zum Europäischen Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten bzgl. Kontrollstellen und grenzüberschreitendem Datenverkehr vom 8.11.2001, SEV NR. 181; siehe dazu Hornung, DuD 2004, 719 sowie Gridl, CR 1999, 279. 1007 Siehe Council of Europe, Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, 1981, http://www.conventions. coe.int/treaty/en/Reports/Html/108.htm (zuletzt geprüft am 15.03.2015), Nr. 70, die verbindlichen englischen und französischen Versionen sprechen von „satisfactory data protection regime“ bzw. „régime satisfaisant de protection des données“. 1008 So Council of Europe, Explanatory Report to the Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows, http://www.conventions.coe.int/Treaty/EN/ Reports/Html/181.htm (zuletzt geprüft am 15.03.2015), Nr. 25. 1009 Council of Europe, Explanatory Report to the Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows, Nr. 26. 1010 Council of Europe, Explanatory Report to the Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

463

Im Einzelnen soll eine Untersuchung der Übertragungsumstände stattfinden: Dabei sollen insbesondere die Art der Daten, der Zweck und die Fortdauer der Verarbeitung, für die die Daten übertragen werden, das Ursprungs- und Empfängerland, die allgemeinen und sektoralen Gesetze der jeweiligen Länder bzw. Organisationen sowie die jeweiligen Unternehmens- und Sicherheitsregeln in die Beurteilung mit einfließen.1011 Wie mittlerweile in Einzelfällen auch im EU-Recht, erlaubt das hier Anwendung findende Kriterium der Angemessenheit eine gewisse Flexibilität bei deren Bewertung. Die Anforderungen sind jedoch weniger streng, da die Datenschutzkonvention insgesamt nur einen Mindeststandard vorschreibt. Die EU sollte sich jedoch bei der Bewertung der Angemessenheit als Ausgangspunkt an den essentiellen Datenschutzprinzipien, wie sie in EU bestehen und durch den EuGH konkretisiert wurden, orientieren. Problematisch war jedoch, dass dieser Standard für die hier vorgenommene Datenübermittlung de lege lata keine Geltung hatte. Die Rechtsprechungskompetenz des EuGH in der Dritten Säule war begrenzt, die Grundrechtecharta war 2007 noch nicht rechtsverbindlich, in der Dritten Säule bestanden nur sektorspezifische Regelungen und die DSRL fand keine Anwendung bei der Übermittlung von PNR-Daten. Es ist somit zu begrüßen, dass versucht wurde, trotz beschränkter rechtlicher Bindung, einen gewissen, angemessenen Datenschutzstandard bei der Datenübermittlung sicherzustellen. Durch die für das PNR-Abkommen von 2007 gefundene Lösung in Form einer Anzahl von Selbstverpflichtungen, die in einem dem eigentlichen Abkommen angehängten Schreiben enthalten sind, sollte sich daher die USA dazu verpflichten, einen „angemessenen“ Datenschutzstandard zu garantieren.1012 III. Einfluss des Parlaments auf die Verhandlungen Obwohl im Rahmen der Dritten Säule formal nicht beteiligt, versuchte das Europäische Parlament die Verhandlungen über das langfristige PNR-Abkommen sowie dessen Inhalt zu beeinflussen und verabschiedete – wie auch schon beim vorläufigen Abkommen von 2006 – Entschließungen,1013 die dem Rat, der Kommission supervisory authorities and transborder data flows, Nr. 27; im Englischen heißt es: „assessed on  a case-by-case basis for each transfer or category of transfers made“, im Französichen­ „évalué au cas par cas et pour chaque transfert ou catégorie de transfert effectué“. 1011 Council of Europe, Explanatory Report to the Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows, Nr. 27. 1012 Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 617. 1013 Eine Entschließung wurde vor und eine nach der Veröffentlichung des Abkommensentwurfs veröffentlicht; für den Entwurf des Abkommens siehe Presidency of the Council of the European Union, Draft Council Decision on the signing, on behalf of the European Union, of an Agreement between the European Union and the United States of America on the processing and transfer of passenger name record (PNR) data by air carriers to the United States Department of Homeland Security, 28.06.2007, http://register.consilium.europa.eu/pdf/en/07/st11/ st11354.en07.pdf (zuletzt geprüft am 15.03.2015).

464

Teil 3: Die Übermittlung von PNR-Daten in die USA 

sowie auch den EU-Mitgliedstaaten und den USA übermittelt wurden.1014 Das Parlament begründete seine Forderung nach Beteiligung u. a. damit, dass „internationalen Abkommen, da sie die Grundrechte von EU-Bürgern und US-Bürgern berühren, unter uneingeschränkter Mitwirkung des Europäischen Parlaments und der nationalen Parlamente der Mitgliedstaaten sowie des amerikanischen Kongresses auszuhandeln wären“.1015 Inhaltlich bekräftigte das Parlament seine schon in den Vorgängerabkommen vertretenen Positionen und forderte u. a. einen angemessen Datenschutzstandard in den USA,1016 die Umstellung auf ein Push-System,1017 eine klare Zweckbegrenzung,1018 einen besseren Schutz von EU-Bürgern im USRecht insbesondere durch die Ausweitung des US Privacy Acts of 1974 auf EUBürger1019 oder auch Kritik an den einseitig änderbaren nicht verbindlichen Zusicherungen der USA1020. Zudem wies das Parlament darauf hin, dass vor einem erneuten Abschluss eines Abkommens die Wirksamkeit des laufenden Abkommens getestet werden sollte.1021 Die Entschließungen fanden jedoch – was noch zu zeigen sein wird – ebenso wie der EU-Datenschutzbeauftragte1022 und die nach dem 1014

Europäisches Parlament, Entschließung des Europäischen Parlaments zu der SWIFT, dem Abkommen über Fluggastdatensätze und dem transatlantischen Dialog über diese Themen, P6_TA(2007)0039, 14.02.2007; Europäisches Parlament, Entschließung des Europäischen Parlaments vom 12. Juli 2007 zum Abkommen mit den Vereinigten Staaten von Amerika über Fluggastdatensätze, P6_TA(2007)0347, 12.07.2007. 1015 Europäisches Parlament, Entschließung des Europäischen Parlaments zu der SWIFT, dem Abkommen über Fluggastdatensätze und dem transatlantischen Dialog über diese Themen, P6_TA(2007)0039, 14.02.2007, Nr. 8; siehe auch Nr. 13 g. 1016 Europäisches Parlament, Entschließung des Europäischen Parlaments vom 12. Juli 2007 zum Abkommen mit den Vereinigten Staaten von Amerika über Fluggastdatensätze, P6_ TA(2007)0347, 12.07.2007, Nr.  13–20; Europäisches Parlament, Entschließung des Euro­ päischen Parlaments zu der SWIFT, dem Abkommen über Fluggastdatensätze und dem transatlantischen Dialog über diese Themen, P6_TA(2007)0039, 14.02.2007, insbesondere Nr. 13 d und e. 1017 Europäisches Parlament, Entschließung des Europäischen Parlaments zu der SWIFT, dem Abkommen über Fluggastdatensätze und dem transatlantischen Dialog über diese Themen, P6_TA(2007)0039, 14.02.2007, Nr. 13 h. 1018 Europäisches Parlament, Entschließung des Europäischen Parlaments vom 12. Juli 2007 zum Abkommen mit den Vereinigten Staaten von Amerika über Fluggastdatensätze, P6_ TA(2007)0347, 12.07.2007, vgl. Nr.  7, 25, 28; Europäisches Parlament, Entschließung des Europäischen Parlaments zu der SWIFT, dem Abkommen über Fluggastdatensätze und dem transatlantischen Dialog über diese Themen, P6_TA(2007)0039, 14.02.2007, Nr. 13 b. 1019 Europäisches Parlament, Entschließung des Europäischen Parlaments zu der SWIFT, dem Abkommen über Fluggastdatensätze und dem transatlantischen Dialog über diese Themen, P6_TA(2007)0039, 14.02.2007, Nr. 6. 1020 Europäisches Parlament, Entschließung des Europäischen Parlaments vom 12. Juli 2007 zum Abkommen mit den Vereinigten Staaten von Amerika über Fluggastdatensätze, P6_ TA(2007)0347, 12.07.2007, Nr. 6. 1021 Europäisches Parlament, Entschließung des Europäischen Parlaments zu der SWIFT, dem Abkommen über Fluggastdatensätze und dem transatlantischen Dialog über diese Themen, P6_TA(2007)0039, 14.02.2007, Nr. 13 a. 1022 Europäischer Datenschutzbeauftragter, Brief des EU-Datenschutzbeauftragten Peter Hustinx an Bundesinnenminister Wolgang Schäuble zum PNR-Abkommen mit den Vereinig-

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

465

Abschluss des Verfahren veröffentlichte Stellungnahme der Art. 29-Datenschutzgruppe1023 wenig Gehör, da neben dem Parlament auch die übrigen Akteure lediglich im Rahmen der Gemeinschaftssäule eine formale Position im Gesetzgebungsverfahren aufweisen konnten. In geringem Ausmaß fanden die Bedenken jedoch Berücksichtigung; so wurde bspw. der Privacy Act of 1974 auf EU-Bürger ausgeweitet,1024 zudem bei technischer Möglichkeit auf ein Push-System umgestellt1025 und die Anzahl erhobenen Daten auf 19 pro PNR-Datensatz beschränkt1026. Zwar wurden die vom Parlament vertretenen Positionen nur geringfügig berücksichtigt, jedoch konnte das Parlament zumindest Entschließungen einreichen. Zudem nahm US Secretary Michael Chertoff die Möglichkeit war, vor dem LIBEAusschuss eine Stellungnahme abzugeben1027 und auch Justizkommissar Franco Frattini äußerte sich im Plenum des Parlaments.1028 Ob die – wenn auch geringe – Berücksichtigung der Parlamentspositionen auf Grund der Einmischung in den Verhandlungsprozess erfolgte, oder auf gleichlaufende Interessen von Rat und Kommission zurückzuführen sind, kann auf Grund der fehlenden formellen Position des Parlaments nicht abschließend bestimmt werden.1029 Rein formal-juristisch ten Staaten von Amerika, 27.06.2007, http://www.statewatch.org/news/2007/jun/eu-us-pnrhustinx-letter.pdf (zuletzt geprüft am 15.03.2015). 1023 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007. 1024 Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security (DHS), 23. u. 26.07.2007, ABl. L 204 v. 04.08.2007, S. 18–20, 10. Erwägungsgrund mit Bezug auch auf den Freedom of Information Act und den E-Government Act 2002 sowie andeutend Art.  4; vgl. dazu auch Europäisches Parlament, Entschließung des Europäischen Parlaments vom 12. Juli 2007 zum Abkommen mit den Vereinigten Staaten von Amerika über Fluggastdatensätze, P6_TA(2007)0347, 12.07.2007, Nr. 13. 1025 Art.  2 des PNR-Abkommens von 2007; dies generell begrüßend Europäisches Parlament, Entschließung des Europäischen Parlaments vom 12. Juli 2007 zum Abkommen mit den Vereinigten Staaten von Amerika über Fluggastdatensätze, P6_TA(2007)0347, 12.07.2007, Nr. 8, jedoch mit Hinweis, dass die technischen Möglichkeiten schon vorhanden seien. 1026 Schreiben der USA an die EU, ABl. L 204 v. 04.08.2007, S. 21–24, Abschnitt III; dies wurde jedoch dahingehend kritisiert, dass „diese Verringerung im Wesentlichen kosmetischer Art ist, da es sich dabei um Zusammenlegung und Umbenennung von Datenfeldern statt um tatsächliche Streichungen handelt“, siehe Europäisches Parlament, Entschließung des Euro­ päischen Parlaments vom 12. Juli 2007 zum Abkommen mit den Vereinigten Staaten von Amerika über Fluggastdatensätze, P6_TA(2007)0347, 12.07.2007, Nr. 18. 1027 Siehe US DHS, Secretary Chertoff’s Remarks to European Parliament, 15.05.2007, https:// www.hsdl.org/?view&did=478396 (zuletzt geprüft am 15.03.2015). 1028 Siehe die Stellungnahme im Anhang zu Council of the European Union, Commission statement – PNR Agreement with the United States, 11.07.2007, http://www.statewatch.org/ news/2007/jul/ep-pnr-council-report.pdf (zuletzt geprüft am 15.03.2015). 1029 Koesters/Lachenmaier/van Bergen/Wagner/Winter/Wirtz, Who cares about Strasbourg? The Role of the European Parliament in the PNR Agreements, 2010, S. 17, http://www.fdcw.unimaas. nl/mesp/Papers%20 %282006 %29/MESP_Koesters%20et%20al.%20_2010_.%20Role%20 of%20EP%20in%20PNR%20Agreements_PUBLICATION.pdf (zuletzt geprüft am 15.03.2015).

466

Teil 3: Die Übermittlung von PNR-Daten in die USA 

gesehen ist der geringe Einfluss des Parlaments nicht zu beanstanden, da das Parlament im Rahmen der polizeilichen und justiziellen Zusammenarbeit keinerlei Mitbestimmung hatte. Jedoch wäre es politisch gesehen nicht nachvollziehbar gewesen, ein Organ, das die direkt gewählte Vertretung von über 500 Millionen Europäern darstellt, nicht anzuhören. Dies ist im Endeffekt nicht geschehen, da Entschließungen des Parlaments veröffentlicht wurden und sich sowohl Vertreter von Kommission und DHS mit dem Parlament austauschten. Ihr Einfluss auf die Verhandlungen bleibt jedoch unklar. IV. Brief des EU-Datenschutzbeauftragten Der EU-Datenschutzbeauftragte – auf Grund der Rechtsgrundlage des Abkommens in der Dritten Säule nicht am Verfahren beteiligt – schrieb am 27. Juni 2007 einen Brief an Bundesinnenminister Schäuble als Vertreter der deutschen Rats­ präsidentschaft, um seine Bedenken im Hinblick auf das neue PNR-Abkommen auszudrücken.1030 Der Datenschutzbeauftragte bezog sich in seinem Brief auf Informationen zu dem neuen Abkommen, die er lediglich durch eine Stellungnahme Schäubles vor dem LIBE-Ausschuss sowie über im Internet zugängliche Zusammenfassungen über Treffen von EU-Vertretern in der PNR-Angelegenheit erlangt hatte.1031 Er betonte zwar die Bedeutung eines Abkommens der EU mit den USA, um bilaterale Abkommen zu verhindern, wies jedoch auch darauf hin, dass, wenn das neue PNR-Abkommen tatsächlich ähnlich zu dem sein sollte, was „berichtet“ werde, er die europäischen Datenschutzrechte in Gefahr sehe.1032 Seine hauptsächlichen Bedenken betrafen u. a. die folgenden Punkte: Die Ausweitung der Speicherzeit auf bis zu 15 Jahre, die Einführung des Konzepts von „ruhenden“ Daten, die Zugänglichkeit der Daten von EU-Bürgern für eine Vielzahl von US-Behörden und keine Beschränkungen hinsichtlich des Zwecks der Verarbeitung, keine stabilen Rechtsbehelfsmechanismen für EU-Bürger sowie kein bindendes Abkommen auf Grund fehlendem „Exchange of Letters“.1033 Der Datenschutzbeauftragte wies 1030 Europäischer Datenschutzbeauftragter, Brief des EU-Datenschutzbeauftragten Peter­ Hustinx an Bundesinnenminister Wolgang Schäuble zum PNR-Abkommen mit den Vereinigten Staaten von Amerika, 27.06.2007. 1031 Europäischer Datenschutzbeauftragter, Brief des EU-Datenschutzbeauftragten Peter­ Hustinx an Bundesinnenminister Wolgang Schäuble zum PNR-Abkommen mit den Vereinigten Staaten von Amerika, 27.06.2007, S. 1; der EU-Datenschutzbeauftragte bezog sich dabei auf das PNR-Dossier 10994/07, das im Internet zugäng gewesen sein soll. 1032 Europäischer Datenschutzbeauftragter, Brief des EU-Datenschutzbeauftragten Peter­ Hustinx an Bundesinnenminister Wolgang Schäuble zum PNR-Abkommen mit den Vereinigten Staaten von Amerika, 27.06.2007, S. 1: „[…] if the final agreement with the USA is similar to that which has been reported, then I believe that European data protection rights will be at risk“. 1033 Europäischer Datenschutzbeauftragter, Brief des EU-Datenschutzbeauftragten Peter­ Hustinx an Bundesinnenminister Wolgang Schäuble zum PNR-Abkommen mit den Vereinigten Staaten von Amerika, 27.06.2007, S. 1.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

467

zudem darauf hin, dass die EU-Bürger von den Institutionen erwarteten, dass jedes der Rechte der GRCh auch geschützt werde und bekräftigte nochmals seine Zweifel an der vollen Vereinbarkeit der Verhandlungsergebnisse mit europäischen Grundrechten, die sowohl der Rat als auch die Kommission als „nicht verhandelbar“ bezeichnet hätten.1034 V. Die Regelungskonstruktion aus Abkommen und Briefwechsel Die schließlich verabschiedeten neuen Regelungen zum Datenfluss von PNRDaten beruhten auf folgenden drei Elementen: 1. Abkommen zwischen der EU und den USA Das eigentliche Abkommen wurde nach dem Beschluss des Rates über die Unterzeichnung des Abkommens vom 23. Juli 20071035 am selben Tag von der EU in Brüssel sowie am 26. Juli 2007 von den USA in Washington unterzeichnet.1036 Das Abkommen fällt mit seiner Regelungsmaterie unter die Titel V und VI des EUV und war somit allein vom Rat – jedoch mit Unterstützung der Kommission in der Aushandlung – zu schließen. Es enthielt – wie auch das Schreiben der USA an die EU – Zusicherungen, die an die Stelle der früheren Angemessenheitsentscheidung treten sollten.1037 Das Abkommen selbst enthielt u. a. Bestimmungen zu der Bereitschaft der EU, Daten zu übermitteln,1038 der geplanten Umstellung auf das PushSystem,1039 der Nichtdiskriminierung von EU-Bürgern,1040 einer Evaluierung des Abkommens,1041 der Reziprozität,1042 der Bescheinigung eines angemessenen Schut 1034 Europäischer Datenschutzbeauftragter, Brief des EU-Datenschutzbeauftragten Peter­ Hustinx an Bundesinnenminister Wolgang Schäuble zum PNR-Abkommen mit den Vereinigten Staaten von Amerika, 27.06.2007, S. 2. 1035 Beschluss 2007/551/GASP/JI des Rates vom 23. Juli 2007 über die Unterzeichnung – im Namen der Europäischen Union – eines Abkommens zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security (DHS), ABl. L 204 v. 04.08.2007, S. 16 f. 1036 Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security (DHS), 23. u. 26.07.2007, ABl. L 204 v. 04.08.2007, S. 18–20; (im Folgenden: PNRAbkommen zwischen der EU und den USA von 2007). 1037 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 7. 1038 PNR-Abkommen zwischen der EU und den USA von 2007, (1). 1039 PNR-Abkommen zwischen der EU und den USA von 2007, (2). 1040 PNR-Abkommen zwischen der EU und den USA von 2007, (3). 1041 PNR-Abkommen zwischen der EU und den USA von 2007, (4). 1042 PNR-Abkommen zwischen der EU und den USA von 2007, (5).

468

Teil 3: Die Übermittlung von PNR-Daten in die USA 

zes von PNR-Daten durch die USA,1043 der Information von Flugpassagieren über die Verarbeitung von PNR-Daten,1044 der Kündigung und dem Inkrafttreten des Abkommens1045. 2. Schreiben der USA an die EU Das zweite Element der Regelungskonstruktion war ein Schreiben der USA an die EU,1046 in dem die USA Zusicherungen machten, wie sie in Zukunft mit PNRDaten aus der EU umgehen würden. Diese Zusicherungen traten – zusammen mit den Zusicherungen aus dem Abkommen – an die Stelle der Verpflichtungserklärung vom Mai 2004, auf die die Kommission bei den bisherigen Abkommen ihre Angemessenheitsentscheidung gestützt hatte.1047 Das Schreiben der USA an die EU enthielt Ausführungen zum Verwendungszweck der PNR, ihrem Austausch, eine Auflistung der Arten der erhobenen Informationen und Erklärungen zu sen­ siblen Daten und deren Nutzung in Ausnahmefällen.1048 Des Weiteren wurden Ausführungen zum Zugang zu Rechtsmitteln, der Durchsetzung von Rechten, der Bekanntmachung der PNR-Erhebung an Reisende, der Speicherung von Daten und ihrer Übermittlung sowie zur Gegenseitigkeit und zur Überprüfung der Regelungen gemacht.1049 3. Antwortschreiben der EU an die USA Das dritte Element der Regelungskonstruktion bestand aus einem Antwortschreiben der EU, in dem dem DHS auf der Basis der Zusicherungen ein angemessenes Schutzniveau für die Verarbeitung von Fluggastdatensätzen attestiert wurde.1050 Die EU sicherte in dem Schreiben den USA zudem zu, alle erforderlichen Schritte zu unternehmen, eine Einmischung von Drittländern oder internationalen Organisationen in die Übermittlung von PNR-Daten aus der EU in die USA zu verhindern und sprach die Möglichkeit einer Übermittlung von analy­ tischen Informationen sowie die Information der Fluggäste an.1051

1043

PNR-Abkommen zwischen der EU und den USA von 2007, (6). PNR-Abkommen zwischen der EU und den USA von 2007, (7). 1045 PNR-Abkommen zwischen der EU und den USA von 2007, (8) und (9). 1046 Schreiben der USA an die EU, ABl. L 204 v. 04.08.2007, S. 21–24. 1047 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 7. 1048 Schreiben der USA an die EU, ABl. L 204 v. 04.08.2007, S. 21 und 22. 1049 Schreiben der USA an die EU, ABl. L 204 v. 04.08.2007, S. 23 und 24. 1050 Schreiben der EU an die USA, ABl. L 204 v. 04.08.2007, S. 25. 1051 Schreiben der EU an die USA, ABl. L 204 v. 04.08.2007, S. 25. 1044

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

469

VI. Stellungnahme der Art. 29-Datenschutzgruppe Nach Unterzeichnung des Abkommens nahm die Art. 29-Datenschutzgruppe am 17. August 2007 zum Abkommen zwischen der EU und den USA Stellung.1052 Die Datenschutzgruppe bewertete es zunächst u. a. positiv, dass ein langfristiges Abkommen zu Stande gekommen sei und somit eine Rechtsgrundlage für die Übermittlung der PNR-Daten geschaffen wurde.1053 Sie stellte die Bedeutung der Bekämpfung des Terrorismus heraus und räumte ein, dass personenbezogene Daten für diese Zwecke von großem Wert sein könnten, jedoch müssten neben der Auswertung personenbezogener Daten auch andere Möglichkeiten genutzt werden, um ein sicheres Reisen mit dem Flugzeug zu ermöglichen.1054 Sie verdeutlichte, dass auch bei der Bekämpfung des Terrorismus die Grundrechte beachtet werden müssten und erläuterte: „Wenn diese Grundrechte und Freiheiten beschnitten werden, muss es dafür gute Gründe geben, wobei zwischen dem notwendigen Schutz der öffentlichen Sicherheit und anderen Interessen der Allgemeinheit wie dem Recht auf Schutz der Privatsphäre das richtige Gleichgewicht gefunden werden muss. Eine ungerechtfertigte und unverhältnismäßige generelle Überwachung durch ein Drittland wäre mit der Menschenwürde und dem Recht auf Schutz der Privatsphäre nicht vereinbar.“1055 Nach Darlegung der Entstehungsgeschichte der PNR-Regelung und seiner Regelungskonstruktion nahm die Datenschutzgruppe eine Hintergrundanalyse zu PNRDaten vor, bevor sie genauer auf das neue PNR-Abkommen einging.1056 Dabei nahm sie vor allem zu Geltungsbereich und Rechtsnatur,1057 zur Zweckbindung,1058 zu den Empfängern der Fluggastdatensätze,1059 deren Weiterübermittlung,1060 den Datenelementen,1061 den erhobenen analytischen Informationen,1062 der Art der Übermitt 1052 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007. 1053 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 6. 1054 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 6. 1055 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 6. 1056 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, passim. 1057 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 7. 1058 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 8. 1059 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 8 f. 1060 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 9. 1061 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 10 f.; mit Ausführungen zu den Änderungen. 1062 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 11.

470

Teil 3: Die Übermittlung von PNR-Daten in die USA 

lung der PNR-Daten,1063 dem Herausfiltern von sensiblen Daten, der Datenvorhaltung,1064 der gemeinsamen Überprüfung,1065 der Rechte der betroffenen Personen1066 sowie den Auswirkungen des Abkommens auf eine etwaige EU-PNR-Regelung1067 Stellung. Maßstab für die Stellungnahme der Art. 29-Datenschutzgruppe waren die Grundsätze der DSRL und des Übereinkommens 108 des Europarats sowie frühere Stellungnahmen zu PNR-Abkommen.1068 Die Datenschutzgruppe war der Auffassung, das Abkommen sei von „größter Bedeutung“, damit sowohl für die Mitgliedstaaten als auch für die Fluggesellschaften und für Flugreisende „kein rechtliches Vakuum“ entstehe.1069 Sie lobte die bessere Transparenz der PNR-Datenverarbeitung durch Hinweise an die Flugreisenden und die erfolgte „politische Entscheidung“ des DHS, den Datenschutz im Gegensatz zu früheren Abkommen auch für Nicht-US-Bürger gelten zu lassen.1070 Die Datenschutzgruppe bedauerte jedoch, dass diese „geringfügigen Verbesserungen angesichts der generellen Senkung des Datenschutzniveaus kaum ins Gewicht“ fielen.1071 Sie bemängelte ein Zurückfallen hinter die frühere Verpflichtungserklärung des DHS und kritisierte die fehlende Beteiligung einer „anerkannten Datenschutzinstanz“ im Rahmen der Verhandlungen.1072 Ihre Beteiligung wäre trotz neuer Rechtsgrundlage in der Dritten Säule angezeigt gewesen, da Mitglieder der Datenschutzgruppe auch für die Einhaltung der Datenschutzbestimmungen durch die Fluggesellschaften verantwortlich wären und die Fluggesellschaften das Abkommen umsetzen müssten.1073 Die Datenschutzgruppe schloss ihre Stellungnahme prägnant mit folgenden Ausführungen: „Die Datenschutzgruppe verkennt nicht, dass das neue PNR-Abkommen im Vergleich zu dem früheren Abkommen 1063 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 12 f., mit weiteren kritischen Ausführungen zur Übermittlungspraxis. 1064 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 13 f. 1065 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 15. 1066 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 16 f. 1067 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 17. 1068 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 7. 1069 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 17. 1070 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 17. 1071 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 18. 1072 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 18. 1073 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 4.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

471

einige kleinere Verbesserungen enthält, macht aber auch aus ihrer Enttäuschung über das unzureichende Datenschutzniveau des neuen PNR-Abkommens keinen Hehl. Das neue Abkommen weist noch nicht einmal das Datenschutzniveau des früheren PNR-Abkommen auf, das von der Datenschutzgruppe in ihren vorangegangenen Stellungnahmen bereits als niedrig eingestuft wurde. Das neue PNRAbkommen schneidet gemessen an anerkannten Datenschutzgrundsätzen wie denen des Übereinkommens 108 und der Datenschutzrichtlinie nicht gut ab. Es wird bei Transatlantikreisenden, die sich um ihre Rechte im Bereich des Datenschutzes sorgen, verständliche Bedenken hervorrufen. It will cause understandable concern for all transatlantic travellers who are worried about their privacy rights.“1074 VII. Briefwechsel zur Vertraulichkeit der Verhandlungsdokumente Kurz nach Abschluss des Abkommens gab es bereits neue Entwicklungen bzgl. des Abkommens zwischen der EU und den USA, die möglicherweise Rückschlüsse zu den Verhandlungen geben könnten. 1. Anfrage der USA Am 30. Juli 2007 erhielt die portugiesische Ratspräsidentschaft einen Brief des Acting Assistant Secretary for Policy Paul Rosenzweig im DHS und die Kommission eine Kopie dieses Briefes, der die Sicht der USA bzgl. der Vertraulichkeit der Verhandlungsdokumente zur neuen PNR-Regelung darlegte und von der EU eine Bestätigung über die Einhaltung bestimmter Vertraulichkeitsstandards einforderte:1075 Zunächst legte der Brief dar, dass die USA Dokumente und Informationen im Zusammenhang mit den PNR-Abkommen seit Beginn der Verhandlungen vertraulich behandelt haben und diese Vertraulichkeit beibehalten werden soll.1076 Zu Klarstellungszwecken wurden daraufhin eine Einhaltung bestimmter Standards und eine Bestätigung dieser Standards durch die EU eingefordert.1077 Kern der von den USA geforderten Standards war die Vertraulichkeit der Verhandlungen und diesbezüglicher Dokumente: So sollten u. a. die mit den Verhandlungen in Verbindung stehenden Dokumente für mindestens zehn Jahre nach Inkrafttreten des Abkommens vertraulich behandelt werden.1078 Die Strategie hinter diesem Ansatz – so der Brief – sei u. a. die Vertraulichkeit der Dokumente zu be 1074

Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 18 u. 19. 1075 Siehe Rat der Europäischen Union, Notiz der Präsidentschaft an Coreper/Rat vom 31.08.2007, Dokumentennummer 12307/07; der Brief des DHS zur Vertraulichkeit der Verhandlungsdokumente zur neuen PNR-Regelung ist dem Dokument angehängt (im Folgenden: US DHS, Brief zu Vertraulichkeit der Verhandlungsdokumente EU-US-PNR 2007). 1076 US DHS, Brief zu Vertraulichkeit der Verhandlungsdokumente EU-US-PNR 2007, S. 1. 1077 US DHS, Brief zu Vertraulichkeit der Verhandlungsdokumente EU-US-PNR 2007, S. 1. 1078 US DHS, Brief zu Vertraulichkeit der Verhandlungsdokumente EU-US-PNR 2007, S. 2.

472

Teil 3: Die Übermittlung von PNR-Daten in die USA 

wahren sowie gleichzeitig den Parteien zu erlauben, ihre Verhandlungspositionen zu entwickeln und intern miteinander zu kommunizieren.1079 2. Antwort der EU In einem Dokument der Ratspräsidentschaft vom 31.  Juli 2007 schlug diese vor, den USA mit Verweis auf die einschlägigen EU-Regelungen zum Zugang zu Dokumenten1080 zu antworten und forderte das Coreper unter Einhaltung des einschlägigen Verfahrens auf, dem Rat den Antwortbrief zur Zustimmung vorzulegen.1081 Der Antwortbrief der portugiesischen Ratspräsidentschaft für die EU stellte zunächst klar, dass die EU die Auffassung der USA hinsichtlich der Vertraulichkeit des Verhandlungsprozesses teile und wies darauf hin, dass die Verhandlungen durch die Ratspräsidentschaft mit Unterstützung durch das Generalsekretariat des Rates und die Kommission durchgeführt worden seien und die EU nur rechtliche Verpflichtungen bzgl. des Zugangs zu Dokumenten ihrer eigenen Institutionen (in diesem Fall Rat und Kommission) habe.1082 Bezüglich des Zugangs zu Dokumenten inklusive E-Mails, die sich in Besitz der EU-Institutionen befänden, sei die Verordnung Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission einschlägig, wonach Art. 4 (1)(a), dritter Spiegelstrich bestimme, dass der Zugang zu einem Dokument verweigert werde, wenn dessen Verbreitung den Schutz des öffentlichen Interesses im Hinblick auf die internationalen Beziehungen beeinträchtige.1083 Im Rahmen der Verordnung müsste jede Anfrage nach einem Dokument – auch im Hinblick auf zukünftige Anfragen zu Dokumenten aus den PNR-Verhandlungen – im Einzelfall geprüft und beantwortet werden.1084 Solche Anfragen würden stets nach bestem Gewissen in dem Bewusstsein der von den USA dargelegten Erwartungen über die Vertraulichkeit der Verhandlungsdokumente und unter Beachtung des EURechts geprüft.1085 Hinsichtlich des internen Umgangs mit Verhandlungsdokumenten in den Institutionen solle die normale Vertraulichkeitspflicht einschlägig sein 1079

US DHS, Brief zu Vertraulichkeit der Verhandlungsdokumente EU-US-PNR 2007, S. 2. Verordnung Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission, ABl. L 135 v. 31.05.2001, S. 43 ff. 1081 Siehe Rat der Europäischen Union, Notiz der Präsidentschaft an Coreper/Rat vom 31.08.2007, Dokumentennummer 12305/07. 1082 Siehe Rat der Europäischen Union, Notiz der Präsidentschaft an Coreper/Rat vom 31.08.2007, Dokumentennummer 12309/07; der Entwurf des Briefes des Portugiesischen Botschafters in Washington für die EU zur Vertraulichkeit der Verhandlungsdokumente zur neuen PNR-Regelung ist dem Dokument angehängt (im Folgenden: EU, Antwortbrief zu Vertraulichkeit der Verhandlungsdokumente EU-US-PNR 2007). 1083 EU, Antwortbrief zu Vertraulichkeit der Verhandlungsdokumente EU-US-PNR 2007, S. 1 f. 1084 EU, Antwortbrief zu Vertraulichkeit der Verhandlungsdokumente EU-US-PNR 2007. S. 2. 1085 EU, Antwortbrief zu Vertraulichkeit der Verhandlungsdokumente EU-US-PNR 2007, S. 2. 1080

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

473

und in Bezug auf Dokumente, die ausschließlich bei Behörden der Mitgliedstaaten vorgehalten werden, seien der öffentliche Zugang und die Vertraulichkeit einzig Angelegenheiten, die von den Gesetzen der Mitgliedstaaten reguliert würden.1086 VIII. Bedeutung der vorläufigen Geltung des Abkommens Das Abkommen wurde Ende Juli 2007 unterzeichnet. Das einschlägige Verfahren ist in Art. 24 EUV zu finden. Es wurde vor der Unterzeichnung des Abkommens ein Ratsbeschluss vorgenommen.1087 In Art.  9 des Abkommens wurde bestimmt, dass es „am ersten Tag des Monats in Kraft [tritt], der auf den Tag folgt, an dem die Vertragsparteien einander den Abschluss der einschlägigen internen Verfahren notifiziert haben“, jedoch trat das Abkommen bereits „ab dem Tag der Unterzeichnung“ in vorläufige Geltung. Ein Abkommen kann grundsätzlich durch eine solche Bestimmung – wie hier in Art. 9 – zur vorläufigen Geltung vor dem eigentlichen Inkrafttreten ergänzt werden.1088 Die EU bedient sich dieser Möglichkeit regelmäßig bei gemischten Abkommen, die die Ratifikation durch alle Mitgliedstaaten erfordern, was sich oftmals als zeitintensiv herausstellt.1089 Wie am PNR-Abkommen zu sehen ist, wurde diese Möglichkeit jedoch auch bei internationalen Abkommen, die auf der Basis von Art. 24 EUV im Rahmen der polizeilichen und justiziellen Zusammenarbeit geschlossen wurden, durchgeführt. In diesem Rahmen wurden die Abkommen im Namen der EU und nicht im Namen der Mitgliedstaaten geschlossen, was sich direkt aus Art. 24 EUV sowie auch aus der Praxis ergab.1090 Dieses Verfahren der vorläufigen Inkraftsetzung ist zwar völkerrechtlich anerkannt, wie schon Art. 25 des Wiener Übereinkommens über das Recht der Verträge verdeutlicht, jedoch nicht zwingend. Fraglich ist daher, wie ein solches Vorgehen in Bezug auf PNR-­ Abkommen zu beurteilen ist. Einerseits könnte für ein solches Vorgehen sprechen, dass der Schutz, der unabhängig vom tatsächlichen Inkrafttreten durch die vorläufige Geltung für den Bürger vermittelt wird, in jedem Fall besser ist als kein Schutz. Ein solcher besteht nämlich, solange das Abkommen noch nicht von allen Staaten ratifiziert wurde. Diese Argumentation würde daher stark für die vorgenommene Praxis der vorläufigen Geltung von Abkommen sprechen. Andererseits könnte jedoch angeführt 1086

EU, Antwortbrief zu Vertraulichkeit der Verhandlungsdokumente EU-US-PNR 2007, S. 2. Beschluss 2007/551/GASP/JI des Rates vom 23. Juli 2007 über die Unterzeichnung – im Namen der Europäischen Union – eines Abkommens zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security (DHS), ABl. L 204 v. 04.08.2007, S. 16 f. 1088 Vgl. Eeckhout, EU external relations law, S. 201; dieser Grundsatz ist auch in Art. 25 des Wiener Übereinkommens über das Recht der Verträge dargelegt. 1089 Eeckhout, EU external relations law, S. 201. 1090 Eeckhout, External relations of the European Union, S. 183. 1087

474

Teil 3: Die Übermittlung von PNR-Daten in die USA 

werden, dass eine vorläufige Geltung eines Abkommens in einem so grundrechtssensiblen Bereich nicht vorgenommen werden sollte, solange nicht alle Staaten das Abkommen ratifiziert haben. Dem ist jedoch entgegenzuhalten, dass das vorläufig in Kraft gesetzte Abkommen bereits vor seiner Unterzeichnung in – wenn auch im Falle von Kommission und Rat indirekt – demokratisch legitimierten Instanzen ausgehandelt und beraten wurde. Zudem wird Bedenken gegen eine vorläufige Regelung durch zwei rechtliche Vorkehrungen begegnet. Die eine ergibt sich direkt aus dem Wiener Übereinkommen über das Recht der Verträge. Art. 25 II WÜRV bestimmt: „Sofern der Vertrag nichts anderes vorsieht oder die Verhandlungsstaaten nichts anderes vereinbart haben, endet die vorläufige Anwendung eines Vertrages […] hinsichtlich eines Staates, wenn dieser den anderen Staaten, zwischen denen der Vertrag vorläufig angewendet wird, seine Absicht notifiziert, nicht Vertragspartei zu werden.“ Bei der EU handelt es sich zwar um keinen Staat, aber für die EU muss das gleiche gelten. Zudem gab es auch noch eine zweite rechtliche Vorkehrung. Art. 24 V EUV bestimmte Folgendes: „Ein Mitgliedstaat, dessen Vertreter im Rat erklärt, dass in seinem Land bestimmte verfassungsrechtliche Vorschriften eingehalten werden müssen, ist durch eine solche Übereinkunft nicht gebunden; die anderen Mitglieder des Rates können übereinkommen, dass die Übereinkunft dennoch vorläufig gilt.“1091 Die Bundesrepublik Deutschland hat wie andere Mitgliedstaaten im Falle dieses PNR-Abkommens von diesem Recht Gebrauch gemacht und erklärt, dass – „unbeschadet der vorläufigen Anwendung im Rahmen des nationalen Rechts“ – zunächst die innerstaatlichen verfassungsrechtlichen Vorschriften eingehalten werden und der Abschluss dieser Verfahren daraufhin der EU notifiziert wird.1092 In Deutschland ist mit den „innerstaatlichen verfassungsrechtlichen Vorschriften“ der Erlass eines Zustimmungsgesetzes (Vertragsgesetzverfahren1093) 1091

Eeckhout, External relations of the European Union, S. 183 nennt diese Vorschrift „most enigmatic“ – „äußerst rätselhaft/schillernd“. 1092 Gesetzentwurf der Bundesregierung zu dem Abkommen vom 26. Juli 2007 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records  – PNR) und deren Übermittlung durch die Flug­ gesellschaften an das United States Department of Homeland Security (DHS), 22.10.2007, BTDrs. 16/6750. In seinem Buch von 2004 bemerkt Eeckhout zu dieser Vorschrift noch: „There is hitherto no relevant practice, as no Council member appears to have made use of the provision“, vgl. Eeckhout, External relations of the European Union. Neben der Bundesrepublik Deutschland haben folgende Länder eine Erklärung gem. Art. 24 V EUV abgegeben: Belgien, Finnland, Lettland, Litauen, Malta, Niederlande, Polen Spanien, Tschechien und Ungarn; vgl. Council of the European Union, Agreement between the European Union and the United States of America on the processing and transfer of passenger name record (PNR) data by air carriers to the ­United States Department of Homeland Security (DHS) – Declarations made in accordance with Article 24 (5) TEU – State of Play, 19.03.2009, S. 1, http://www.statewatch.org/news/2009/mar/ eu-usa-pnr-data-state-of-play-5311-rev1-09.pdf (zuletzt geprüft am 15.03.2015). 1093 Gesetzentwurf der Bundesregierung zu dem Abkommen vom 26. Juli 2007 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records  – PNR) und deren Übermittlung durch die Flug­ gesellschaften an das United States Department of Homeland Security (DHS), 22.10.2007, BTDrs. 16/6750, S. 17.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

475

nach Art. 59 II 1 GG gemeint.1094 Auf Grund der genannten Sicherheiten, die aktiviert wurden, war eine vorläufige Geltung des PNR-Abkommens jedenfalls unschädlich, da so zumindest – unabhängig vom materiellen Gehalt des Abkommens selbst – ein gewisses Schutzniveau festgeschrieben wurde. Zudem erfolgt eine Notifizierung erst nach Abschluss der Ratifizierungsverfahren in den Mitgliedstaaten. IX. Ratifikation in den Mitgliedstaaten Vor Abschluss der Verfahren in den Mitgliedstaaten bzgl. der Umsetzung des PNR-Abkommens mit den USA von 2007 trat der Vertrag von Lissabon am 1. Dezember 2009 in Kraft.1095 Auf Grund der beschriebenen vorläufigen Inkraftsetzung des Abkommens hatte dies zunächst keinen Einfluss auf die faktische Wirksamkeit des Abkommens.1096 Deutschland erließ zur erforderlichen Umsetzung am 20. Dezember 2007 ein Gesetz, das sowohl dem Abkommen über die Verarbeitung der PNR-Daten als auch dem begleitenden Briefwechseln zwischen der EU und den USA zustimmte.1097 Zu begrüßen ist, dass trotz des Fehlens einschlägiger EU-­ Datenschutzbestimmungen in der Dritten Säule eine Lösung mit gewissen da­ tenschutzrechtlichen Garantien gefunden wurde und somit der Datenschutz und der Austausch von PNR-Daten auf eine breitere Anwendungsbasis gestellt wurden. An dem Kriterium der Angemessenheit wurde faktisch festgehalten.

1094 Vgl. Gesetzentwurf der Bundesregierung zu dem Abkommen vom 26.  Juli 2007 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security (DHS), 22.10.2007, BT-Drs. 16/6750, S. 1. 1095 Vgl. dazu Council of the European Union, Agreement between the European Union and the United States of America on the processing and transfer of passenger name record (PNR)  data by air carriers to the United States Department of Homeland Security (DHS)  – Declarations made in accordance with Article 24 (5) TEU – State of Play, 19.03.2009, S. 2 mit Ausführungen zu den in den jeweiligen Mitgliedstaaten erforderlichen Verfahren. 1096 Siehe zu den Entwicklungen und der damit einhergehenden neuen institutionellen Position des EU-Parlaments unten S. 476 ff. 1097 Siehe das Gesetz zu dem Abkommen vom 26.  Juli 2007 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security (DHS) (PNR-Abkommen 2007) vom 20.12.2007, BGBl. II 2007 Nr. 41 vom 29.12.2007, S. 1978–1987.

476

Teil 3: Die Übermittlung von PNR-Daten in die USA 

G. Das Abkommen zwischen der EU und den USA 2012 I. Auswirkungen des Vertrages von Lissabon auf bestehende Abkommen 1. Neue Rechtsgrundlage Bevor alle Mitgliedstaaten ihre nationalen Verfahren in Bezug auf das PNRAbkommen mit den USA von 2007 abschließen konnten,1098 trat der Vertrag von­ Lissabon am 1.  Dezember 2009 in Kraft, wodurch die PNR-Abkommen nicht mehr unter die Verfahren der Art. 24 EUV und 28 EUV fallen konnten, da diese fortan nicht mehr existierten.1099 Obwohl das Verfahren unter diesen Artikeln begonnen hatte, war mit Inkrafttreten des Vertrages von Lissabon die neue Rechtsgrundlage des Art. 218 VI AEUV1100 einschlägig und somit auch die Zustimmung des Parlaments notwendig geworden.1101 2. Zustimmungsaufforderung an das Parlament Auf Grund der neuen Rechtsgrundlage wurde das Parlament aufgefordert, dem Abkommen mit den USA und auch dem Abkommen mit Australien die Zustimmung zu erteilen. Wegen der vorangegangen, negativen Entschließungen des Parlaments war es jedoch unwahrscheinlich, dass das Parlament den Abkommen zustimmen würde.1102 Eine Versagung der Zustimmung hätte die Beendigung der Abkommen bedeutet und somit schwerwiegende negative Konsequenzen für Fluggesellschaften und Passagiere nach sich gezogen.1103 So wären bspw. Flug­ gesellschaften, die wegen eines fehlenden Abkommens keine PNR-Daten an die zuständigen Behörden gesandt hätten, mit Strafen in den Zielländern belegt worden oder falls trotz Fehlens eines Abkommens Daten übermittelt worden wären, hätten die nationalen Datenschutzbehörden entsprechende Sanktionen festsetzen können.1104

1098 Vgl. dazu Council of the European Union, Agreement between the European Union and the United States of America on the processing and transfer of passenger name record (PNR)  data by air carriers to the United States Department of Homeland Security (DHS)  – Declarations made in accordance with Article 24 (5) TEU – State of Play, 19.03.2009, S. 2. 1099 Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 618. 1100 Für PNR-Abkommen gilt nun Art. 218 VI lit. a v) AEUV; zur Abschlusskompetenz mit Bezug zum SWIFT-Abkommen ausführlich Ambrock, Die Übermittlung von S. W. I. F.T.-Daten an die Terrorismusaufklärung der USA, S. 54 ff. 1101 Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 618. 1102 Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 619. 1103 Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 619. 1104 Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 619.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

477

3. Entschließung des Parlaments mit Mindestanforderungen an PNR-Abkommen Als Antwort auf die Aufforderung des Rates verabschiedete das Parlament am 5. Mai 2010 eine Entschließung1105 mit dem Inhalt, die Abkommen mit Australien und den USA sowie auch das neue geplante Abkommen mit Kanada unter Berücksichtigung von Mindestanforderungen, die für das Parlament akzeptabel seien, zu verhandeln. Als Mindestanforderungen nannte das Parlament u. a. die Zweck­ bindung für „Strafverfolgungs- und Sicherheitszwecke in Fällen von schwerwiegender organisierter und grenzübergreifender Kriminalität oder grenzüberschreitendem Terrorismus“, die Vereinbarkeit mit europäischen Datenschutznormen,1106 ein Verbot zur Erstellung von Personenprofilen und der gezielten Extraktion von Daten, die ausschließliche Nutzung des Push-Verfahrens, das Verbot, ein Flug­ verbot allein auf eine automatisierte Durchsuchung von Datenbanken zu stützen, Daten nicht nur im Einzelfall zu verwenden und bei einer Übermittlung der Daten in ein Drittland Bedingungen wie Rechtssicherheit und Gleichbehandlung in einem verbindlichen internationalen Abkommen festzulegen und die Angemessenheit des Datenschutzstandards einzuhalten.1107 Zudem beschloss das Parlament, „die Abstimmung über das Ersuchen um Zustimmung zu den Abkommen mit den USA und Australien zu vertagen und erst dann vorzunehmen, wenn die Optionen für Regelungen für die Verwendung von Fluggastdatensätzen, die den EUVorschriften entsprechen, geprüft sind und den Bedenken, die es in früheren Entschließungen zu den Fluggastdatensätzen zum Ausdruck gebracht hat, Rechnung getragen wurde“.1108 Dieses Verhalten des Parlaments wurde teilweise als Hinweis darauf gewertet, wie das Parlament seine neue institutionelle Rolle auffasst.1109 Diese Ansicht wurde dadurch bekräftigt, dass das Parlament dem „Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der Europäischen Union an die Vereinigten Staaten für die Zwecke des Programms 1105

Europäisches Parlament, Entschließung des Europäischen Parlaments vom 5. Mai 2010 zum Start der Verhandlungen über Abkommen über Fluggastdatensätze mit den USA, Australien und Kanada, P7_TA(2010)0144, 05.05.2010, http://www.europarl.europa.eu/sides/getDoc.do? pubRef=-//EP//TEXT+TA+P7-TA-2010-0144+0+DOC+XML+V0//DE (zuletzt geprüft am 15.03.2015). 1106 Insbesondere nennt das Parlament dabei Zweckbeschränkung, Verhältnismäßigkeit, Rechtsmittel sowie die Beschränkung des Umfangs der zu erfassenden Daten und ihre Speicherdauer. 1107 Europäisches Parlament, Entschließung des Europäischen Parlaments vom 5. Mai 2010 zum Start der Verhandlungen über Abkommen über Fluggastdatensätze mit den USA, Australien und Kanada, P7_TA(2010)0144, 05.05.2010, Nr. 9. 1108 Europäisches Parlament, Entschließung des Europäischen Parlaments vom 5. Mai 2010 zum Start der Verhandlungen über Abkommen über Fluggastdatensätze mit den USA, Australien und Kanada, P7_TA(2010)0144, 05.05.2010, Nr. 4. 1109 So Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 619.

478

Teil 3: Die Übermittlung von PNR-Daten in die USA 

zum Aufspüren der Finanzierung des Terrorismus“1110 (SWIFT-Abkommen) seine Zustimmung verweigerte.1111 Gleichzeitig bedeutete die Tatsache, dass das Parlament sich dazu entschied, die Zustimmung zu den PNR-Abkommen lediglich zu vertagen und nicht zu verweigern, dass es eine konstruktive Rolle in der Ausarbeitung der EU-Politik zu PNR-Abkommen einnehmen und nicht die schwierigen Konsequenzen, die eine Ablehnung mit sich gebracht hätte, riskieren wollte.1112 Nach der Entschließung des Parlaments kündigte die Kommission an, eine „Communication on PNR external strategy“1113 zu veröffentlichen und den Rat um ein Verhandlungsmandat zur Neuverhandlung der PNR-Abkommen mit Australien und den USA unter Berücksichtigung der vom Parlament aufgestellten Mindestanforderungen zu ersuchen.1114 Die Entschließung des Parlaments hatte somit zur Konsequenz, dass alle PNR-Abkommen neu verhandelt werden mussten.1115 4. Anwendbares Datenschutzrecht und das Kriterium der Angemessenheit Fraglich ist, welche Datenschutzbestimmungen bei den neuen Verhandlungen um PNR-Abkommen Anwendung finden sollten. Mit Inkrafttreten des Vertrages von Lissabon wurde die bis dahin bestehende Säulenstruktur des EU-Rechts aufgelöst. Die Übermittlung von PNR-Daten fällt seit dem EuGH-Urteil in den Bereich der Polizeilichen und Justiziellen Zusammenarbeit.1116 Die Bestimmungen über die Polizeiliche und Justizielle Zusammenarbeit – die bisherige sog. Dritte Säule – wurden in den allgemeinen, bisherigen Gemeinschaftsrechtsrahmen über 1110 Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der Europäischen Union an die Vereinigten Staaten für die Zwecke des Programms zum Aufspüren der Finanzierung des Terrorismus, ABl. L 8 v. 13.01.2010, S. 11 ff.; dazu monographisch Ambrock, Die Übermittlung von S. W. I. F.T.-Daten an die Terrorismusaufklärung der USA. 1111 So Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 619; zur Verweigerung der Zustimmung siehe Europäisches Parlament, Legislative Entschließung des Europäischen Parlaments vom 11. Februar 2010 zu dem Vorschlag für einen Beschluss des Rates über den Abschluss des Abkommens zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der Europäischen Union an die Vereinigten Staaten für die Zwecke des Programms zum Aufspüren der Finanzierung des Terrorismus (05305/1/2010 REV 1  – C7-0004/2010  – 2009/0190(NLE)), 11.02.2010, http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP// TEXT+TA+P7-TA-2010-0029+0+DOC+XML+V0//DE (zuletzt geprüft am 15.03.2015). 1112 So Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 619. 1113 Dies geschah letztendlich durch Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010. 1114 Vgl. Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 619. 1115 Faull, in: Arnull/Barnard/Dougan/Spaventa, A constitutional order of states?, 2011, S. 619. 1116 Siehe dazu oben S. 446 ff.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

479

führt und sind nun im AEUV unter Titel V als „Der Raum der Freiheit, der Sicherheit und des Rechts“ aufzufinden. Dies hatte jedoch nicht automatisch zur Folge, dass die in der bisherigen Ersten Säule geltende DSRL automatisch auch für Datenverarbeitungen im Bereich der bisherigen Dritten Säule Anwendung fand.1117 Der bereits im Rahmen des PNR-Urteils relevante Art. 3 II 1. Spiegelstrich DSRL regelt nämlich, dass die Richtlinie konkret keine Anwendung auf „Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich“ findet und somit – nach den Klarstellungen des EuGH im PNR-Urteil – keine Anwendung auf PNR-Daten finden kann, wenn sie für­ Sicherheitszwecke genutzt werden.1118 Somit musste die datenschutzrechtlichen Sicherheiten in für die ehemalige Dritte Säule geltenden Datenschutzbestimmungen verortet werden. Art. 9 des Protokolls Nr. 36 zum Lissabonner Vertrag regelt nämlich, dass Regelungen, die vor Inkrafttreten des Vertrages verabschiedet wurden, weiterhin Geltung beanspruchen, bis sie „aufgehoben, für nichtig erklärt oder geändert werden“.1119 Es galten daher eine „Vielzahl von sektorspezifischen und mit divergierenden Schutzstandards versehene Datenschutzregelungen“ im Rahmen des Titel V AEUV, dem Raum der Freiheit, der Sicherheit und des Rechts.1120 Fraglich ist jedoch, welche davon auf die Nutzung von PNR-Daten für Sicherheitszwecke Anwendung finden sollten. Spezifische Regelungen wie die Datenschutzbestimmungen des Schengener Informationssystems (SIS),1121 des Schengener Informationssystems II (SIS II)1122 oder des Visa-Informationssystems 1117 Hanschmann, in: Matz-Lück/Hong, Grundrechte und Grundfreiheiten im Mehrebenensystem – Konkurrenzen und Interferenzen, 2012, S. 327. 1118 Siehe dazu Hijmans/Scirocco, Common Market Law Review 46 (2009), 1485 (1502 ff. und S. 1515 ff. m. w. Nachw.); Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (888 ff.); Hanschmann, in: Matz-Lück/Hong, Grundrechte und Grundfreiheiten im Mehrebenensystem – Konkurrenzen und Interferenzen, 2012, S. 327. 1119 Siehe Art. 9 des Protokolls Nr. 36 zum Vertrag von Lissabon über die Übergangsbestimmungen; dazu Hijmans/Scirocco, Common Market Law Review 46 (2009), 1485 (1516), die jedoch auf Art. 10 des Protokolls abstellen. 1120 So Hanschmann, in: Matz-Lück/Hong, Grundrechte und Grundfreiheiten im Mehr­ ebenen­system – Konkurrenzen und Interferenzen, 2012, S. 327. 1121 Übereinkommen zur Durchführung des Übereinkommens von Schengen vom 14.  Juni 1985 zwischen den Regierungen der Staaten der Benelux-Wirtschaftsunion, der Bundesrepublik Deutschland und der Französischen Republik betreffend den schrittweisen Abbau der Kontrollen an den gemeinsamen Grenzen, ABl. L 239 v. 22.9.2000, S. 19 ff. 1122 Verordnung (EG) Nr.  1987/2006 des Europäischen Parlaments und des Rates vom 20. Dezember 2006 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems der zweiten Generation (SIS II), ABl. L 381 v. 28.12.2006, S. 4 ff.; Beschluss des 2007/533/JI Rates vom 12.  Juni 2007 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems der zweiten Generation (SIS II), ABl. L 205 v. 07.08.2007, S. 63 ff.; Verordnung (EG) Nr. 1986/2006 des Europäischen Parlaments und des Rates vom 20. Dezember 2006 über den Zugang von für die Ausstellung von Kfz-Zulassungsbescheinigungen zuständigen Dienststellen der Mitgliedstaaten zum Schengener Informationssystem der zweiten Generation (SIS II), ABl. L 381 v. 28.12.2006, S. 1 ff.

480

Teil 3: Die Übermittlung von PNR-Daten in die USA 

(VIS)1123 konnten aufgrund ihrer offensichtlichen speziellen Geltung für die genannten Informationssysteme nicht auf die PNR-Datenübermittlung angewendet werden. Auch andere spezifische Rechtsakte, die gem. Art. 28 DSRB Vorrang vor dem DSRB haben, sind nicht ersichtlich. Fraglich ist jedoch ob die Regelungen des DSRB selbst, die bei Verhandlung des PNR-Abkommens von 2007 noch nicht verabschiedet worden waren, als Datenschutzstandard herangezogen werden konnten und sich somit eine Angemessenheitsentscheidung auch nach den dort aufgestellten Kriterien in Art. 13 zu richten hatte. Der DSRB stellt Kriterien auf, die bei der Datenverarbeitung im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen beachtet werden müssen. Der DSRB kann als „first step towards a legal framework with general application in the Third Pillar“ betrachtet werden, jedoch noch nicht als „equivalent to Directive 95/46“, da er einige Schwachstellen aufweist.1124 In Art. 13 nennt er das Kriterium der Angemessenheit.1125 In der Literatur wird der DSRB teilweise zusammen mit dem noch nicht bestehenden EU PNR-System als „firm institutional basis“ und somit als Grundlage für das nach dem Lissabonner Vertrag notwendig gewordene neue Abkommen bezeichnet.1126 Somit würde sich die Angemessenheit nach den Voraussetzungen des Art. 13 DSRB richten. Die im DSRB enthaltenen Datenschutzprinzipien gelten demnach als „common principles for alle EU security-related personal data processing“.1127 Die EU nennt im Rahmen ihres Vorschlags für eine PNR-Richtlinie für die EU ebenfalls den DSRB als grundlegenden datenschutzrechtlichen Standard, indem sie erklärt: „Der Vorschlag ist mit den Datenschutzgrundsätzen vereinbar und seine Bestimmungen stehen im Einklang mit dem Rahmenbeschluss 2008/977/JI des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden („Rahmenbeschluss 2008/977/JI“). Dies beinhaltet auch, dass betroffenen Personen das Recht auf Auskunft, Berichtigung, Löschung oder Sperrung sowie das Recht auf Schadenersatz und Rechtsmittel gewährt werden. Um dem Grundsatz der Verhältnismäßigkeit Rechnung zu tragen, sieht der Vorschlag zudem in Bezug auf bestimmte Aspekte Datenschutzbestimmungen 1123 Entscheidung des Rates vom 8. Juni 2004 zur Einrichtung des Visa-Informationssystems (VIS) Amtsblatt Nr.  L 213 v. 15.06.2004 S.  5–7; Verordnung (EG) Nr.  767/2008 des Euro­ päischen Parlaments und des Rates vom 9. Juli 2008 über das Visa-Informationssystem (VIS) und den Datenaustausch zwischen den Mitgliedstaaten über Visa für einen kurzfristigen Aufenthalt (VIS-Verordnung), ABl. L 218 v. 13.08.2008, S. 60 ff.; Beschluss 2008/633/JI des Rates vom 23. Juni 2008 über den Zugang der benannten Behörden der Mitgliedstaaten und von Europol zum Visa-Informationssystem (VIS) für Datenabfragen zum Zwecke der Verhütung, Aufdeckung und Ermittlung terroristischer und sonstiger schwerwiegender Straftaten, ABl. L 218 v. 13.08.2008, S. 129 ff. sowie Europäischer Rat, Erklärung zum Kampf gegen den Terrorismus des Europäischen Rates, 25.03.2004. 1124 So zumindest Hijmans/Scirocco, Common Market Law Review 46 (2009), 1485 (1494). 1125 Siehe dazu oben S. 134 ff. 1126 Siehe Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (919); siehe auch S. 900 Fn. 55 und S. 908. 1127 So Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (919).

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

481

vor, die strenger sind als die des Rahmenbeschlusses“.1128 Auch in dem eigentlichen Richtlinienvorschlag für ein EU PNR-System nimmt die Kommission auf den DSRB Bezug.1129 Die Art. 29-Datenschutzgruppe und der Europäische Datenschutzbeauftragte hielten hingegen den DSRB für das EU PNR-System nicht für anwendbar, da dieser nicht die innerstaatliche Datenverarbeitung erfasse.1130 Auch für Abkommen mit Drittstaaten kann der DSRB letztendlich nicht als Datenschutzstandard herangezogen werden. Sein Anwendungsbereich ist bereits gem. Art. 1 DSRB i. V. m. Art. 13 DSRB bei Datenübermittlungen in ein Drittland begrenzt auf Daten, die der Mitgliedstaat von einem weiteren Mitgliedstaat erhalten hat und umfasst somit nicht solche Daten, die ursprünglich in dem Mitgliedstaat bzw. von Privaten gesammelt worden sind.1131 Für die Übermittlung von PNR-Daten in Drittländer scheint diese Auffassung jedoch auch von der Kommission geteilt zu werden. Weder in ihrer Mitteilung über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen an Drittländer noch im Entwurf für ein neues PNR-Abkommen mit den USA nahm sie auf den DSRB Bezug. Bezug genommen wurde stattdessen auf die Datenschutzkonvention des Europarates und ihr Zusatzprotokoll 181, das mit Art. 2 ebenfalls das Kriterium der Angemessenheit für eine Datenübermittlung in ein Drittland für erforderlich hält.1132 Das Kriterium der Angemessenheit wurde jedoch in diesem Fall nicht wie in der DSRL von umfassenden Verfahrensregeln flankiert.1133 Da die USA nicht Vertragsstaat der Konvention sind, schien sich das Angemessenheitskriterium – wie bereits beim Abkommen von 2007 – aus dem Zusatzprotokoll 181 zur Datenschutzkonvention des Europarates zu ergeben, jedoch datenschutzrechtlich eine Aufwertung zu erfahren. Zu berücksichtigen waren nämlich zusätzlich Art. 8 der EMRK sowie insbesondere nach der Rechtsverbindlichkeit der GRCh die Art. 7 und 8 der GRCh, die die Kommission ebenfalls nannte.1134 Aufgewertet wurde der

1128 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 9; siehe auch S. 13. 1129 Siehe Erwägungsgrund 23, 24 und 31 sowie Art. 8 lit. a, 11 I und II, 12; zudem Erwägungsgrund 26 mit der Einschränkung, dass zur Weitergabe an Drittstaaten weitere Anforderungen an Datenschutzprinzipien gestellt werden. 1130 Siehe Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 11 mit Verweis auf die Stellungnahme der Art. 29-Datenschutzgruppe. 1131 Vgl. auch Hanschmann, in: Matz-Lück/Hong, Grundrechte und Grundfreiheiten im Mehrebenensystem – Konkurrenzen und Interferenzen, 2012, S. 321, Fn. 95. 1132 Siehe Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S.  9 sowie die Erwägungsgründe des Abkommens, ABl. L 215 v. 11.08.2012, S. 5; zum Zusatzprotokoll der Datenschutzkonvention siehe oben S. 462 f. 1133 Vgl. bereits Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (900). 1134 Siehe Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S.  8 sowie die Erwägungsgründe des Abkommens, ABl. L 215 v. 11.08.2012, S. 5.

482

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Datenschutzstandard zudem durch Art. 16 AEUV.1135 Jedoch war weiterhin zu berücksichtigen, dass nur ein „angemessenes“ und kein „gleichwertiges“ Datenschutzniveau gefordert wird und somit – wie es mittlerweile gängige Praxis zu sein scheint – weitere Erwägungen, die nicht im Datenschutz zu verorten sind, Berücksichtigung finden. Das Kriterium der Angemessenheit ist mittlerweile zu einem stets zu beachtenden Kriterium bei Datenübermittlungen in ein Drittland geworden. Art. 19 des letztendlich verabschiedeten PNR-Abkommen von 2012 schreibt in Art. 19 fest: „Im Hinblick auf dieses Abkommen und seine Anwendung wird davon ausgegangen, dass das DHS die PNR-Daten im Sinne der einschlägigen Datenschutzvorschriften der EU bei der Verarbeitung und Verwendung angemessen schützt. Wenn Fluggesellschaften dem DHS nach Maßgabe dieses Abkommens PNR-Daten übermittelt haben, gelten die einschlägigen rechtlichen Anforderungen in der EU bezüglich der Übermittlung solcher Daten aus der EU an die Vereinigten Staaten als erfüllt.“. Eine solche Aussage muss Geltung während der kompletten Geltungsdauer des Abkommens von sieben Jahren haben (vgl. Art. 26 I des Abkommens). Aus diesem Grund sollte sich die Angemessenheit bereits an den neuen, im Laufe der Geltungsdauer des Abkommens zu verabschiedenden neuen Angemessenheitsregelungen des Art. 34 DSRL-PJ zumindest orientieren.1136 Somit hätte sich der im Rahmen des neuen PNR-Abkommens zu beachtende angemessene Datenschutzstandard aus Art. 2 des Zusatzprotokolls 181 zur Datenschutzkonvention des Europarates in Zusammenschau mit Art. 7, 8 GRCh, Art. 16 AEUV und unter Berücksichtigung der Art. 34 DSRL-PJ ergeben sollen. Der tatsächlich erreichte Datenschutzstandard ist nach der Darstellung des weiteren Entstehungsprozesses des Abkommens zu klären. II. Position der USA zu erneuten Verhandlungen In den USA stießen die Pläne aus Europa, das PNR-Abkommen von 2007 neu zu verhandeln, vorerst nicht auf Zustimmung. Der Senat und das Repräsentantenhaus äußerten sich zu den Vorstößen der EU, ein neues Abkommen verhandeln zu wollen: Am 9.  Mai 2011 wurde im US-Senat ein Resolutionsentwurf ein­gebracht.1137 Einen Tag später wurde ein nahezu identischer Entwurf im Re 1135 Erwägungsgründe des Abkommens, ABl. L 215 v. 11.08.2012, S.  5; dazu ausführlich Hijmans/Scirocco, Common Market Law Review 46 (2009), 1485 (1517 ff.). 1136 So Hornung/Boehm, Comparative Study on the 2011 Draft Agreement between the United States of America and the European Union on the use and transfer of Passenger Name Records (PNR) to the United States Department of Homeland Security, 14.03.2012, S. 18 f., http:// www.greens-efa.eu/fileadmin/dam/Documents/Studies/PNR_Study_final.pdf (zuletzt geprüft am 15.03.2015). 1137 Resolutionsentwurf im US Senat, S. Res. 174, 112th Cong., 09.05.2011; siehe dazu die Übersicht zu dem von Senator Joseph Lieberman eingebrachten Resolutionsentwurf „A resolution expressing the sense of the Senate that effective sharing of passenger information from inbound international flight manifests is  a crucial component of our national security and that the Department of Homeland Security must maintain the information sharing standards­

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

483

präsentantenhaus vorgestellt.1138 Verabschiedet wurde schließlich nur der Resolutionsentwurf des Senats.1139 Die Resolution bezeichnete den effektiven Austausch von Passagierinformationen internationaler Flüge als „crucial component of our national security“ und gab die Meinung des Senats wieder, das DHS müsse dafür sorgen, dass die Standards des Abkommens von 2007 beibehalten würden.1140 In seiner Resolution erinnerte der Senat an die Bedeutung von PNR-Daten für die Terrorismusbekämpfung und nannte Beispiele für ihren Erfolg, verwies zudem nochmals auf die Rechtsgrundlagen für die Erhebung der Daten, die erfolgreiche Evaluierung des Abkommens von 20071141 sowie die Bedeutung des Datenschutzes und der individuellen Privatheit sowohl für die EU als auch für die USA.1142Am Ende der Resolution erfolgte nochmals die Aufforderung an das DHS, jegliche Versuche der Modifikation des Abkommens von 2007, die den Nutzen von PNRDaten zur Identifizierung von Terroristen gefährden würde, zurückzuweisen, kein Abkommen abzuschließen, das europäische Aufsichtsstrukturen in den USA einführen würde und jeglichen Versuchen der EU entgegenzutreten, sich in die Kooperation zur Terrorismusbekämpfung zwischen dem DHS und nichteuro­päischen Ländern einzumischen.1143 Zudem wurden in den Medien die Pläne der EU, das Abkommen von 2007 neu zu verhandeln, kritisch aufgenommen1144 und auch die ehemalige Ministerin für Heimatschutz, Janet Napolitano, äußerte sich zunächst ablehnend zum Vorstoß der EU und bezeichnete Pläne, den Datenschutz in den Abkommen zu stärken als „quite frankly unrealistic“.1145 Später äußerte sich required under the 2007 Passenger Name Record Agreement between the United States and the European Union“ unter http://www.govtrack.us/congress/bills/112/sres174 (zuletzt geprüft am 15.03.2015). 1138 Resolutionsentwurf im House of Representatives, H. Res. 255, 112th Cong., 10.05.2011; siehe dazu die Übersicht zu dem von dem Abgeordneten Peter „Pete“ King eingebrachten­ Resolutionsentwurf „A resolution expressing the sense of the House of Representatives that effective sharing of passenger information from inbound international flight manifests is a crucial component of our national security and that the Department of Homeland Security must maintain the information sharing standards required under the 2007 Passenger Name Record Agreement between the United States and the European Union“ unter http://www.govtrack.us/ congress/bills/112/hres255 (zuletzt geprüft am 15.03.2015). 1139 Siehe den Ablauf der Verfahren unter http://www.govtrack.us/congress/bills/112/sres174 (Senat) bzw. http://www.govtrack.us/congress/bills/112/hres255 (Repräsentantenhaus) (jeweils zuletzt geprüft am 15.03.2015). 1140 US Senat, S.Res 174, 112th Cong., S. 1. 1141 Zur Evaluation des aktuellen Abkommens siehe unten S. 578 ff. 1142 US Senat, S.Res 174, 112th Cong., S. 2 ff. 1143 US Senat, S.Res 174, 112th Cong., S. 4. 1144 Siehe bspw. The Washington Post – Editorials, Europe’s dangerous refusal to share air-travel data, 03.11.2010, http://www.washingtonpost.com/wp-dyn/content/article/2010/11/03/AR20101 10307453.html (zuletzt geprüft am 15.03.2015) sowie ferner Cody, Armed with new treaty, Europe amplifies objections to U. S. data-sharing demands, 26.10.2010, http://www.washington post.com/wp-dyn/content/article/2010/10/26/AR2010102603612_pf.html (zuletzt geprüft am 15.03.2015). 1145 Beary, Will Napolitano change 2007 PNR accord?, 29.09.2010, http://www.highbeam. com/doc/1G1-239629825.html (zuletzt geprüft am 15.03.2015).

484

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Napolitano jedoch auf einem gemeinsamen „Justice and Home Affairs“-Treffen zwischen der EU und den USA in Washington D. C. insofern, dass das Abkommen doch verbessert werden könne und erklärte sich bereit, manche der für die EU wichtigen Punkte nochmals anzusprechen.1146 III. Beginn der Verhandlungen zu einem neuen Abkommen Am 21. September 2010 ersuchte die Kommission wie geplant den Rat um ein Verhandlungsmandat zur Aufnahme von Verhandlungen über ein neues PNR-Abkommen zwischen der EU und den USA.1147 Daraufhin erließ das Parlament am 11.  November 2010 eine Entschließung zu diesem Gesuch, begrüßte den Vorschlag der Kommission und wies wiederum auf Anforderungen an neue PNR-Abkommen hin.1148 Den Bestrebungen der Kommission um Aufnahme von Verhandlungen im Namen der EU gab der Rat am 2. Dezember 2010 statt,1149 woraufhin die Verhandlungen nach der Verhandlungsrichtlinie des Rates zwischen der EU und den USA beginnen konnten. Rechtsgrundlage für das Abkommen war Art. 218 VI lit. a AEUV sowie Art. 82 I lit. a und 87 II lit. d AEUV.1150

1146 Beary, Napolitano: PNR accord „can be improved“, 10.12.2010, http://www.highbeam. com/doc/1G1-243972024.html (zuletzt geprüft am 15.03.2015). 1147 Europäische Kommission, Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010, S. 3; daneben wurde auch um ein Verhandlungsmandat mit Australien und Kanada ersucht. Siehe für einen Überblick über den Gang des Verfahrens das Legal Obser­ vatory des Europäischen Parlaments unter der Vorgangsnummer 2011/0382(NLE), abzuru­fen unter http://www.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2011/0382%28 NLE%29 (zuletzt geprüft am 15.03.2015). 1148 Entschließung des Europäischen Parlaments vom 11. November 2010 zu einem sektorübergreifenden Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer und den Empfehlungen der Kommission an den Rat zur Ermächtigung zur Aufnahme von Verhandlungen zwischen der Europäischen Union und Australien, Kanada beziehungsweise den Vereinigten Staaten von Amerika, ABl. C 74 E v. 13.03.2012, S. 8, 10. 1149 Siehe die Pressemitteilung 16918/10 des Rates vom 2./3.12.2010, S. 7. Den Verhandlungen mit Australien und Kanada wurde ebenfalls zugestimmt. 1150 So das Legal Observatory des Europäischen Parlaments, Vorgangsnummer 2011/0382(NLE), abzurufen unter http://www.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2011/ 0382 %28NLE%29 (zuletzt geprüft am 15.03.2015).

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

485

IV. Erste Version des Abkommensentwurfs 1. Leak des Abkommensentwurfs durch den Guardian Am 25. Mai 2011 veröffentlichte die britische Tageszeitung The Guardian einen bis dahin geheimen Entwurf des geplanten neuen Abkommens zwischen der EU und den USA.1151 Auch EU-Parlamentariern war zuvor der Zugang zu dem Dokument nur sehr restriktiv zugänglich: Die Abgeordneten durften den Vertragsentwurf nur in einem „geheimen Leseraum“ einsehen, und es war ihnen weder gestattet, Aufzeichnungen über den Entwurf zu machen, noch darüber zu sprechen.1152 2. Inhalt der ersten Version des Abkommensentwurfs Der erste Abkommensentwurf unterschied sich nicht grundlegend von den bisherigen Abkommen. Hinsichtlich der Speicherfrist bestimmte er eine Speicherfrist von fünf Jahren in einer offenen Datenbank, eine Depersonalisierung der Daten nach sechs Monaten, die wieder rückgängig gemacht werden konnte, sowie eine darauffolgende zehnjährige Speicherung in einer ruhenden Datenbank, auf die nur bestimmte Beamten Zugriff haben sollten.1153 PNR-Daten durften nach dem Entwurf vor allem zu Zwecken der Verhütung, Aufdeckung, Untersuchung und strafrechtlichen Verfolgung von terroristischen Straftaten sowie schweren Straf­ taten mit einer Mindeststrafe von drei Jahren verwendet werden.1154 Der Entwurf sah zudem eine Speicherung von 19 Datenkategorien vor1155 und ging auf Regelungen zu Rechtsbehelfen für betroffene Passagiere ein.1156 Auf die Inhalte des ersten Abkommensentwurfs ist im Rahmen der folgenden Diskussion detaillierter einzugehen.

1151

Siehe Travis, US to store passenger data for 15 years, 25.05.2011, http://www.theguardian. com/world/2011/may/25/us-to-store-passenger-data (zuletzt geprüft am 15.03.2015) mit einem Link zu dem ersten Entwurf des Abkommens (Erster Abkommensentwurf); zu Berichterstattung zu diesem Fall aus deutschen Medien siehe Biermann, Passagierdaten sollen 15 Jahre und länger gespeichert werden, 26.05.2011, http://www.zeit.de/digital/datenschutz/2011-05/pnr-usapassagierdaten (zuletzt geprüft am 15.03.2015). 1152 So die Schilderung des fraktionslosen Mitglieds des Europäischen Parlaments Martin Ehren­hauser auf seiner Homepage, siehe http://www.ehrenhauser.at/us-pnr-abkommen (zuletzt geprüft am 15.03.2015). 1153 Siehe Erster Abkommensentwurf, Art. 8. 1154 Siehe dazu genauer: Erster Abkommensentwurf, Art. 4. 1155 Siehe Erster Abkommensentwurf, Anhang. 1156 Siehe Erster Abkommensentwurf, Art. 13.

486

Teil 3: Die Übermittlung von PNR-Daten in die USA 

3. Stellungnahme des Juristischen Dienstes zur ersten Version des Abkommensentwurfs Die britische Bürgerrechtsbewegung „statewatch“ veröffentlichte am 3. Juni 2011 auf ihrer Internetseite eine Stellungnahme des Juristischen Dienstes der Euro­ päischen Kommission vom 18. Mai 2011, die an den Generaldirektor der Generaldirektion für Inneres (DG Home) gerichtet war und den Abkommensentwurf zum neuen EU-US-PNR-Abkommen zum Thema hatte.1157 Zunächst rief der Juristische Dienst in seiner Stellungnahme in Erinnerung, dass ein internationales Abkommen, das von der Union abgeschlossen werde, wie jeder andere Sekundärrechtsakt mit Primärrecht und somit auch mit Grundrechten in Einklang stehen müsse.1158 Im vorliegenden Fall seien vor allem das Recht auf Datenschutz aus Art. 16 AEUV sowie Art. 8 GRCh relevant, in dessen Rahmen jede Datenverarbeitung auf das, was notwendig und verhältnismäßig sei, beschränkt werden müsse.1159 Der Abkommensentwurf sei anhand dieser Grundlage überprüft worden und man habe starke Zweifel, ob dieser mit dem Recht auf Datenschutz vereinbar sei.1160 Der Juristische Dienst nahm keinen expliziten Bezug auf das Kriterium der Angemessenheit, sondern allein auf die Vereinbarkeit mit Grundrechten. Zwar gab es mit dem DSRB mittlerweile weitere Datenschutzregelungen auf Sekundärebene, diese hatten jedoch nur einen eingeschränkten Anwendungsbereich.1161 Der Juristische Dienst nahm Stellung zu den aus seiner Sicht schwerwiegendsten Bedenken:1162 Ein Hauptkritikpunkt war bspw. Art. 4 des ersten Entwurfs, der die Verwendung von PNR-Daten zum Gegenstand hatte.1163 Die Verarbeitung von PNR-Daten war nach Art.  4 (1) (b)  des ersten Abkommensentwurfs zum Zwecke der Verhütung und Aufdeckung1164 von „schweren Straftaten“ möglich. Diese „schweren Straftaten“ wurden in Art.  4 (1) (b)  des ersten Abkommensentwurfs definiert als Straftaten, die „Auslieferungsfähige Straftaten“ im Sinne des Art. 4 des Abkommens zwischen der Europäischen Union und den Vereinigten Staaten

1157

Siehe dazu statewatch, European Commission’s Legal Service says EU-USA PNR agreement is „not compatible with fundamental rights“, 03.06.2011, http://www.statewatch.org/ news/2011/jun/03eu-us-pnr-com-ls.htm (zuletzt geprüft am 15.03.2015) mit einem Link zu der Stellungnahme des Juristischen Dienstes vom 18.05.2011 (im Folgenden: Stellungnahme Juris­ tischer Dienst). 1158 Stellungnahme Juristischer Dienst, S. 1. 1159 Stellungnahme Juristischer Dienst, S. 1. 1160 Stellungnahme Juristischer Dienst, S. 1: „[…] there are grave doubts as to its compatibility with the fundamental right to data protection“. 1161 Siehe dazu oben S. 131 ff. 1162 Siehe hierzu und zum Folgenden Stellungnahme Juristischer Dienst, S. 1 ff. 1163 Stellungnahme Juristischer Dienst, S. 1. 1164 Im Originaltext nennt der Vorschlag zudem noch die Untersuchung und strafrechtliche Verfolgung.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

487

von Amerika über Auslieferung1165 darstellen.1166 Nach Art. 4 I des Auslieferungsabkommens werde u. a. „wegen Straftaten, die nach dem Recht des ersuchenden und des ersuchten Staates mit einer Freiheitsstrafe im Höchstmaß von mindestens einem Jahr oder einer strengeren Strafe bedroht sind“, ausgeliefert. Diese Regelung in Art. 4 (1) (b) des ersten Abkommensentwurfs i. V. m. dem Auslieferungsabkommen sah der Juristische Dienst als zu weitreichend an: Die Definition von „schweren Straftaten“ sei demnach um einiges umfangreicher als in dem Vorschlag der EU für ihr eigenes PNR-System (Höchstmaß von mindestens mehr als drei Jahren) oder dem Abkommensentwurf für das PNR-Abkommen mit Australien (vier Jahre).1167 Auf Grund des geringen Höchstmaßes der Freiheitsstrafe sei es wahrscheinlich, dass eine große Anzahl an Straftaten in den Anwendungsbereich mit aufgenommen würden, die nicht als „schwer“ eingestuft werden könnten, was auch die Verhältnismäßigkeit des Abkommens in Frage stelle.1168 Der Juristische Dienst wies auch darauf hin, dass die Definition von auslieferungsfähigen Straf­ taten in diesem Kontext nicht relevant sei, da die Definition – im Gegensatz zu den PNR-Daten – nur Personen beträfe, die bereits einer Straftat verdächtigt oder deswegen bereits verurteilt seien und nicht unbescholtene Personen.1169 Auch mehrere andere Bestimmungen des Entwurfs zur Verwendung von PNR-Daten wurden vom Juristischen Dienst kritisiert.1170 Der Juristische Dienst führte zudem aus, dass die Kritik bereits während der Verhandlungen an die zuständigen Stellen weitergegeben worden sei und kam schließlich zu der Schlussfolgerung, dass trotz gewisser – lediglich auf die Präsentation bezogener – Verbesserungen der Abkommensentwurf keine ausreichend substantielle Verbesserung im Vergleich zum provisorisch angewandten Abkommen von 2007 darstelle, dem das EU-Parlament aus Datenschutzgründen seine Zustimmung verweigert hatte.1171 In Bezug auf den in Art. 4 (3) des Abkommensentwurfs genannten Zweck der Sicherung der Grenzen stelle der Entwurf sogar einen Rückschritt in Bezug auf den Datenschutz dar.1172 Aus diesen Gründen sehe er – 1165 Siehe dazu das Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über Auslieferung, ABl. L 181 v. 19.07.2003 S. 27–33; in Kraft getreten 2010 nach Beschluss 2009/820/GASP des Rates v. 23. Oktober 2009 über den Abschluss im Namen der Europäischen Union des Abkommens über Auslieferung zwischen der Europäischen Union und den Vereinigten Staaten von Amerika und des Abkommens über Rechtshilfe zwischen der Europäischen Union und den Vereinigten Staaten von Amerika, ABl. L 291 v. 07.11.2009, S. 40–41. 1166 Siehe Erster Abkommensentwurf, Art. 4 (1) (b). 1167 Stellungnahme Juristischer Dienst, S. 1. 1168 Stellungnahme Juristischer Dienst, S. 1. 1169 Stellungnahme Juristischer Dienst, S. 1. 1170 Siehe Stellungnahme Juristischer Dienst zu Art. 4 (2) und (3) (Zweckbegrenzung), Art. 8 (Speicherungsdauer von Daten), Art. 13 (Rechtsbehelfe für Einzelpersonen), Art. 14 (Einhaltung von Datenschutzgarantien), Art.  24 und 27 (Aussetzung des Abkommens und Schlussbestimmung) des Ersten Abkommenentwurfs, S. 1 f. 1171 Stellungnahme Juristischer Dienst, S. 2. 1172 Stellungnahme Juristischer Dienst, S. 2 f.

488

Teil 3: Die Übermittlung von PNR-Daten in die USA 

so der Juristische Dienst – das Abkommen in seiner jetzigen Form als nicht mit Grundrechten in Einklang stehend an.1173 V. Zweite Version des Abkommensentwurfs Aus weiteren Verhandlungen ergab sich schließlich der endgültige Entwurf des Abkommens. Dieser wurde nach knapp einjährigen Verhandlungen nach deren endgültigem Abschluss am 17. November 2011 von den Parteien paraphiert, wobei das ausgehandelte Abkommen nach eigenen Angaben neben der Verhandlungsrichtlinie des Rates auch die in ihrem sektorübergreifenden Konzept zur Übermittlung von Fluggastdaten an Drittländer aufgestellten Kriterien berücksichtige.1174 Die Kommission legte daraufhin am 23. November 2011 in Brüssel einen Vorschlag für einen Beschluss des Rates gem. Art. 218 VI lit. a AEUV über die Genehmigung eines neuen Abkommen vor.1175 Dieser Vorschlag der Kommission wurde am selben Tag an Parlament und Rat weitergeleitet, die dem Abkommen noch zustimmen mussten.1176 1. Die gewählte Regelungskonstruktion a) Das eigentliche Abkommen Kern der neuen Regelung ist das dem Ratsbeschluss als Anhang I beigefügte „Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of Homeland Security“.1177 Der Abkommensentwurf enthielt neben einer ausführlichen Präambel vier Kapitel (Allgemeine Bestimmungen, Garantien für die Verwendung von PNR-Daten, Übermittlungsmodalitäten, Durchführungs- und Schlussbestimmungen) sowie insgesamt 27 Artikel. Als Anhang ist dem Abkommensentwurf zudem eine Liste mit insgesamt 19 „Arten von PNR-Daten“ beigefügt.1178 1173

Stellungnahme Juristischer Dienst, S. 3: „For these reasons, the Legal Service does not consider the agreement in its present form as compatible with fundamental rights.“ 1174 Siehe Europäische Kommission, Vorschlag für einen Beschluss des Rates über den Abschluss des Abkommens zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of Homeland Security, KOM(2011)807 endgültig, 23.11.2011, S. 3; sowie Europäische Kommission, Pressemitteilung – Neues PNR-Abkommen EU-USA stärkt Datenschutz sowie Verbrechens- und Terrorismusbekämpfung, IP/11/1368, 17.11.2011, http:// europa.eu/rapid/press-release_IP-11-1368_de.htm (zuletzt geprüft am 15.03.2015). 1175 Europäische Kommission, 23.11.2011. 1176 Europäische Kommission, Pressemitteilung  – Neues PNR-Abkommen EU-USA stärkt Datenschutz sowie Verbrechens- und Terrorismusbekämpfung, IP/11/1368, 17.11.2011. 1177 Europäische Kommission, 23.11.2011, S. 8 ff. 1178 Europäische Kommission, 23.11.2011, S. 25.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

489

b) Die Erklärung der EU zum Abkommen Als Anhang II wurde dem Ratsbeschluss eine „Erklärung der EU zum Abkommen über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of Homeland Security […] in Bezug auf ihre Verpflichtungen nach Artikel 17 und 23 des Abkommens“ beigefügt.1179 Die Erklärung enthält drei Ziffern, in denen die Artikel 17 (Übermittlung von Informationen in Drittländer) und 23 (Überprüfung und Evaluierung) spezifiziert werden. 2. Der Inhalt des Kommissionsvorschlags a) Das eigentliche Abkommen Inhaltlich wurde durch die Kommission darauf hingewiesen, dass das Abkommen „mehrere bedeutsame Datenschutzgarantien für die Personen, deren Daten übermittelt und verwendet werden“, enthalte.1180 Beispielsweise erfolge eine Zweckbeschränkung auf die „Vorbeugung, Aufdeckung, Untersuchung und strafrechtliche Verfolgung von terroristischen Straftaten und grenzübergreifender schwerer Kriminalität“, eine begrenzte Speicherfrist der PNR-Daten werde angeordnet, wobei eine kürzere Speicherfrist bei grenzüberschreitender Kriminalität und eine längere Speicherfrist bei Terrorismus gelten und zudem eine Anonymisierung der Daten nach Ablauf von sechs Monaten gewährleistet werde.1181 Herauszustellen sei auch das Recht von Personen auf „Auskunft, Berichtigung der Daten, Rechtsbehelf und Informationen“ sowie die Anerkennung des Push-Verfahrens als Standard, der von allen Fluggesellschaften in einer Umsetzungsfrist von zwei Jahren eingeführt werden müsse.1182 In Bezug auf sensible Daten stellte die Kommission dar, dass diese nur in „sehr wenigen Ausnahmefällen verwendet“ und zudem „sehr schnell wieder gelöscht“ würden und die Einhaltung der Vorschriften sowohl von „unabhängigen Datenschutzbeauftragen verschiedener Einrichtungen sowie dem Office of Inspector General des DHS, dem Government Accountability Office und dem amerikanische Kongress überprüft und beaufsichtigt“ würden.1183 Im Vergleich zum ersten Abkommensentwurf und der insbesondere im Gutachten des Juristischen Dienstes der Kommission anklingenden Kritik stellte die zweite Version des Abkommensentwurfs teilweise eine Verbesserung dar, teilweise wurde jedoch auf die geäußerte Kritik nicht eingegangen: Im Einzelnen wurde bspw. auf den Verweis auf das Auslieferungsabkommen und die auslieferungsfähigen Straftaten verzichtet und stattdessen eine Mindeststrafe von drei Jah 1179

Europäische Kommission, 23.11.2011, S. 26. Europäische Kommission, 23.11.2011, S. 3. 1181 Europäische Kommission, 23.11.2011, S. 3. 1182 Europäische Kommission, 23.11.2011, S. 3. 1183 Europäische Kommission, 23.11.2011, S. 3. 1180

490

Teil 3: Die Übermittlung von PNR-Daten in die USA 

ren explizit in den Text von Art. 4 (1) (b) aufgenommen.1184 Die mögliche Nutzung von PNR-Daten nach Anordnung eines Gerichts gem. Art. 4 (2) und die damit – laut des Gutachtens des Juristischen Dienstes  – einhergehende Ausweitung des Anwendungsbereichs war jedoch weiterhin an gleicher Stelle des neuen Abkommensentwurfs vorhanden.1185 Ein weiterer Kritikpunkt des Juristischen Dienstes bzgl. Art. 4 (3) des ersten Abkommensentwurfs, der kritisierte, dass PNR-Daten auch zur „Sicherung der Grenzen“ eingesetzt werden, schien jedoch berücksichtigt worden zu sein, da diese Bestimmung im zweiten Entwurf nicht mehr vorhanden war.1186 Hinsichtlich der in Art. 8 geregelten Speicherfrist wurde im zweiten Abkommensentwurf neben der allgemeinen Speicherfrist von zehn Jahren für bestimmte Zwecke (Art. 4 (1) (b)) eine Speicherfrist von fünf Jahren eingeführt.1187 Die Regelung des Art. 8 VI, die im ersten Abkommensentwurf noch den Umgang mit vor Inkrafttreten des neuen Abkommens erhobenen PNR-Daten regelte, war im zweiten Abkommensentwurf nicht mehr vorhanden.1188 In Art. 13 des Abkommensentwurfs, dem Artikel über Rechtsbehelfe für Einzelpersonen, wurde im Vergleich zum ersten Abkommensentwurf die Bestimmung des Art. 13 (5) gelöscht, nach der die genannten Rechtsbehelfe unabhängig vom Zeitpunkt der Erhebung der PNR-Daten Anwendung fanden.1189 Der ebenfalls kritisierte Art. 14 des ersten Abkommensentwurfs, in dem die Aufsicht über die Einhaltung der Datenschutzgarantien des Abkommens geregelt wurde und der vom Juristischen Dienst auf Grund fehlender unabhängiger Aufsicht, wie sie vom EU Datenschutzrecht voraus­gesetzt werde, kritisiert wurde, war wortgleich im zweiten Abkommensentwurf enthalten.1190 Auch die übrigen kritisierten Artikel des ersten Abkommensentwurfs fanden sich – abgesehen von kleinen sprachlichen Änderungen – identisch im zweiten Abkommensentwurf wieder.1191 b) Die Erklärung der EU zum Abkommen Die drei Ziffern der im Anhang II des Ratsbeschlusses enthaltenen Erklärung spezifizierten Art. 17 (Übermittlung von Informationen in Drittländer) und 23 (Überprüfung und Evaluierung). Ziffer 1 der Erklärung stellte klar, dass im Rahmen der ein Jahr nach Inkrafttreten und danach regelmäßig stattfindenden Evaluierungen des Abkommens die EU „gegebenenfalls die Vereinigten Staaten um Auskunft über die Weiterleitung von PNR-Daten von Bürgern und Einwohnern der Europäischen 1184

Europäische Kommission, 23.11.2011, Art. 4 (1)(b). Europäische Kommission, 23.11.2011, Art. 4 (2). 1186 Europäische Kommission, 23.11.2011, Art. 4 (3). 1187 Europäische Kommission, 23.11.2011, Art. 8 (3) a. E. 1188 Europäische Kommission, 23.11.2011, Art. 8 VI; entspricht Art. 8 VII des ersten Entwurfs. 1189 Europäische Kommission, 23.11.2011, lediglich Art. 13 (1)–(4) vorhanden. 1190 Europäische Kommission, 23.11.2011, Art. 14. 1191 Europäische Kommission, 23.11.2011, Art. 14.; bspw. enthält Art. 27 kleinere sprachliche Anpassungen. 1185

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

491

Union an Behörden von Drittländern“1192 ersuchen werde. Eine Übermittlung von PNR-Daten an Drittländer dürfe unter den Voraussetzungen des Art. 17 des Kommissionsvorschlags stattfinden. Art. 17 Nr. 4 gab dem DHS auf, im Falle einer Übertragung von PNR-Daten eines EU-Bürgers an ein Drittland den betreffenden Mitgliedstaat zu unterrichten. Die Erklärung statuierte nun ein Informieren der EU, jedoch nicht zwingend, sondern lediglich „gegebenenfalls“. Weniger vage war hingegen Ziffer 2 der Erklärung, die besagte, dass im Rahmen der Überprüfung des Abkommens „die EU die Vereinigten Staaten um Vorlage sämtlicher Informationen zum Nachweis der Erfüllung der Bedingungen für die Weiterleitung von Daten gemäß Artikel 17 ersuchen“ werde.1193 Fraglich ist, warum diese Spezifikationen nicht bereits in den Wortlaut des Art. 23 des Kommissionsentwurfs aufgenommen wurden, sondern erst in der zusätzlichen Erklärung Berücksichtigung fanden. Nach Ziffer 3 der Erklärung werde die EU schließlich im Rahmen der Evaluierung des Abkommen nach Art. 23 „ein besonderes Augenmerk auf die Beachtung aller Garantien für die Einhaltung von Artikel 17 Absatz 2 richten, um sicherzugehen, dass die Dritt­ länder, die Daten erhalten, zugesichert haben, dass sie auf die betreffenden Daten Datenschutzgarantien anwenden, die denen des DHS im Rahmen dieses Abkommens gleichwertig sind.“1194 Diese Ausführungen bringen keinen inhaltlichen Mehrwert, stellen jedoch die Bedeutung der Einhaltung von Garantien für die EU dar. VI. Stellungnahme des Europäischen Datenschutzbeauftragten zu dem Vorschlag Nachdem der Europäische Datenschutzbeauftragte bereits am 9. November 2011 informell zum Vorschlag der Kommission konsultiert worden war, wurden die Antworten in der offiziellen Stellungnahme vom 9. Dezember 2011 ergänzt und öffentlich gemacht; die Stellungnahme beruhte auf früheren Stellungnahmen des Datenschutzbeauftragen und der Art. 29-Datenschutzgruppe zu PNR-Daten.1195 Nach einer kurzen Wiedergabe der Geschichte des Abkommens, den Positionen des Europäischen Parlaments und seinen datenschutzrechtlichen Anforderungen an zukünftige PNR-Abkommen stellte der Datenschutzbeauftragte einleitend und mit Bezug auf vergangene Stellungnahmen dar, dass ein Beweis für „die Notwendigkeit und Verhältnismäßigkeit der PNR-Regelungen und der Massenübermittlung von PNR-Daten an Drittstaaten“ bis jetzt fehle und diese Ansicht sowohl vom Europäischen Wirtschafts- und Sozialausschuss als auch von der Agentur 1192

Europäische Kommission, 23.11.2011, S. 26. Europäische Kommission, 23.11.2011, S. 26. 1194 Europäische Kommission, 23.11.2011, S. 26. 1195 So Europäischer Datenschutzbeauftragter, Stellungnahme des Europäischen Datenschutzbeauftragten zu dem Vorschlag für einen Beschluss des Rates über den Abschluss des Abkommens zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of Homeland Security, 09.12.2011, ABl. C 35 v. 09.02.2012, S. 16 ff., hierzu genau S. 16. 1193

492

Teil 3: Die Übermittlung von PNR-Daten in die USA 

für Grundrechte geteilt werde.1196 Insgesamt bescheinigte der Datenschutzbeauftrage dem Abkommen im Vergleich zu dem des Jahres 2007 zwar einige Verbesserungen und bestätigte, dass es „geeignete Schutzmaßnahmen zu Datensicherheit und Aufsicht“ beinhalte, jedoch weder die Hauptkritikpunkte aus früheren Stellungnahmen noch die Bedingungen des Parlaments erfüllt seien.1197 Der Datenschutzbeauftragte führte u. a. die folgenden neun Kritikpunkte auf: Zunächst forderte der Datenschutzbeauftragte, den Zweck des Abkommens genauer zu bestimmen.1198 Des Weiteren forderte der Datenschutzbeauftragte, die Liste der zu übermittelnden PNR-Daten einzuschränken und kritisierte sie – wie bereits im Rahmen des Vorgängerabkommens  – als „unverhältnismäßig“.1199 Der Datenschutzbeauftragte forderte zudem, dass das DHS sensible Daten in Bezug auf EU-Bürger nicht verarbeiten sollte und eine Übertragung solcher Daten von den Fluggesellschaften an das DHS daher nicht erfolgen und dies durch Aufnahme in das Abkommen klargestellt werden sollte.1200 Ein weiterer Kritikpunkt behandelte die Festlegung in Art. 8 des Abkommens, PNR-Daten bis zu fünf Jahre in einer aktiven Datenbank und danach bis zu zehn Jahre in einer ruhenden Datenbank zu speichern und die Daten nach Ablauf der ersten sechs Monate zu anonymisieren und unkenntlich zu machen. Die Kritik bezog sich vor allem darauf, dass eine Speicherdauer von 15 Jahren  – unabhängig davon, ob nun in einer „aktiven“ oder „ruhenden“ Datenbank  – „unverhältnismäßig“ sei.1201 Zwar begrüßte der Datenschutzbeauftragte, dass in Art. 15 I des Abkommens die Übermittlung mit Hilfe des Push-Verfahrens geregelt werde, kritisierte jedoch, dass Art. 15 V weiterhin in bestimmten Fällen die Durchführung per Pull-System ermögliche und empfahl daher, das Pull-System ausdrücklich zu untersagen.1202 1196 Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 18, Nr. 6, m. w. Nachw. 1197 Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 18, Nr. 7; siehe auch S. 22, Nr. 32 f. 1198 Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 18, Nr. 8 u. 9, mit genauer Aufzählung der­ „vagen“ Formulierungen. 1199 Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 19, Nr. 10–13. 1200 Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 19, Nr. 15–16. 1201 Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 20, Nr. 17 f. 1202 Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 20, Nr. 19.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

493

Der Datenschutzbeauftragte begrüßte zudem die Regelungen zu Datensicherheit und Integrität in Art. 5 des Abkommens sowie die Verpflichtung zur Benachrichtigung von Personen im Falle eines Datenschutzverstoßes, mahnte jedoch Verbesserungen im Falle eines Datenschutzverstoßes an.1203 Positiv sah der Datenschutzbeauftragte zudem eine Beaufsichtigung und Überprüfung durch unabhängige Datenschutzbeauftragte, wie in Art. 14 I des Abkommens festgelegt, forderte jedoch, dass der Europäische Datenschutzbeauftragte sowie die nationalen Datenschutzbehörden in Bezug auf Verfahren und Durchführung der Ausübung von Betroffenenrechten mit dem DHS zusammenarbeiteten und diese Zusammenarbeit sich des Weiteren im Abkommen widerspiegele.1204 Zudem äußerte sich der Datenschutzbeauftragte zu späteren nationalen und internationalen Übermittlungen. Zwar begrüßte er die Bestimmung des Art. 16 des Abkommens, die eine Datenübermittlung an weitere Behörden in den USA untersagt, wenn sie nicht über „die in diesem Abkommen festgelegten oder vergleichbare Garantien“1205 verfügten, forderte jedoch eine genauere Bestimmung der Behörden, die für den Empfang von PNR-Daten in Frage kämen.1206 Unter dem Punkt „Form und Überarbeitung des Abkommens“ führte der Datenschutzbeauftragte zudem aus, dass sowohl die von den USA gewählte Rechtsform als auch die Frage, wie das Abkommen für die USA rechtliche Bindung erlangen würde, „nicht klar“ seien und forderte eine diesbezügliche Verdeutlichung.1207 Des Weiteren erfolgte auch eine Äußerung zu der in Art. 20 II des Abkommens angesprochenen Kohärenz mit einer zukünftigen EU-eigenen PNR-Regelung, wobei gleichermaßen strenge Schutzmaßnahmen in sämtlichen PNR-Regelungen gefordert wurden.1208 Insgesamt gesehen äußerte sich der Datenschutzbeauftragte in seiner Schlussfolgerung positiv hinsichtlich der Datensicherheit und der Aufsicht und begrüßte die Verbesserungen im Vergleich zum PNR-Abkommen von 2007; Bedenken bestünden jedoch vor allem in Bezug auf „die Kohärenz des globalen Konzepts in Bezug auf PNR, die Zweckbindung, die Kategorien von an das DHS zu übermittelnden Daten, die Verarbeitung von sensiblen Daten, den Speicherzeitraum, die Aus 1203

Siehe dazu Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 20, Nr. 21. 1204 Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 20, Nr. 23. 1205 Siehe Art. 16 I lit. c. 1206 Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 21, Nr. 25. 1207 Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 21, Nr. 28. 1208 Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 21, Nr. 29.

494

Teil 3: Die Übermittlung von PNR-Daten in die USA 

nahmen von der Push-Methode, die Rechte der betroffenen Person und spätere Übermittlungen an Dritte.1209 VII. Beschluss des Rates über die Unterzeichnung Am 13. Dezember 2011 genehmigte der Rat die Unterzeichnung des Abkommens vorbehaltlich seines späteren Abschlusses im Namen der Union und kündigte die Unterzeichnung für den 14. Dezember 2011 an.1210 VIII. Verfahren im Parlament Im Zustimmungsverfahren nach Art. 218 VI AEUV wurde der Kommissionsvorschlag zum Ratsbeschluss zunächst im Ausschuss beraten, bevor das Parlament über seine Zustimmung entschied. Federführend zuständig war in diesem Fall der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres; Berichterstatterin war die niederländische Abgeordnete und Angehörige der Fraktion der Allianz der Liberalen und Demokraten für Europa (ALDE) Sophia in ’t Veld. 1. Beratung im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres a) Entwurf einer Empfehlung des Ausschusses durch die Berichterstatterin Berichterstatterin Sophia in ’t Veld empfahl dem Ausschuss in ihrer Stellungnahme, in dem als Grundlage für die Plenumsabstimmung dienenden „Entwurf einer legislativen Entschließung“ vorzuschlagen, die Zustimmung zum Abschluss des Abkommen zu verweigern.1211 In ihrer Empfehlung nahm die Berichterstatte 1209

Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 22, Nr. 32. 1210 Siehe Beschluss des Rates vom 13. Dezember 2011 über die Unterzeichnung – im Namen der Union  – des Abkommens zwischen den Vereingiten Staaten von Amerika und der Europäischen Union über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of Homeland Security, ABl. L 215 v. 11.08.2012, S. 1 ff.; siehe auch folgende Pressemitteilung: Council of the European Union, Council gives green light for the new EU-US agreement on Passenger Name Records (PNR), 18454/11, 13.12.2011, http:// www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/jha/126892.pdf (zuletzt geprüft am 15.03.2015). 1211 in ’t Veld, Entwurf einer Empfehlung an den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres zu dem Entwurf eines Beschlusses des Rates über den Abschluss des Abkommens zwischen den Vereinigten Staaten von Amerika und der Europäischen Union über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of Homeland Security, PE 480.773v01-00, 01.02.2012, S. 6, http://www.europarl.europa.eu/sides/

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

495

rin zunächst auf die vom EU-Parlament am 5. Mai 2010 und 11. November 2010 erlassenen Entschließungen Stellung, in denen die Bedingungen für die Zustimmung zu PNR-Abkommen dargelegt sind.1212 Den Abkommensentwurf überprüfte sie anhand der in diesen Entschließungen verabschiedeten Kriterien1213 und kam zu dem Ergebnis, dass das Abkommen ganz im Gegensatz zu dem am 13. Dezember 2011 geschlossenen Abkommen mit Australien nicht den vom Parlament aufgestellten und von Rat und Kommission mitgetragenen Kriterien entspreche und sogar in vielen Punkten im Vergleich zum EU-US-PNR-Abkommen von 2004 eine Verschlechterung darstelle: Unter Berücksichtigung der Tatsache, dass das Parlament bereits das Abkommen von 2004 mit einer Nichtigkeitsklage vor dem EuGH angegriffen hatte, empfahl die Berichterstatterin daher, dem Abkommen nicht zuzustimmen.1214 Im Einzelnen erfolgte eine detaillierte Stellungnahme zu der – nach Ansicht der Berichterstatterin  – von der Kommission nicht hinreichend deutlich gemachten Notwendigkeit und Verhältnismäßigkeit der Maßnahme,1215 zur unzureichenden Zweckbegrenzung für die Datenverarbeitung,1216 sowie zu der zu langen Speicherungsdauer sowie der Anonymisierung bzw. Löschung von Daten.1217 Die Berichterstatterin äußerte sich des Weiteren kritisch zu der in Art. 6 des Abkommensentwurfs geregelten Verwendung von sensiblen Daten: Nach ihrer Ansicht ermöglicht der Artikel nämlich „die volle und unbegrenzte Verwendung sensibler Daten“.1218 Zudem wies die Berichterstatterin darauf hin, dass bereits im Abkommen von 2007 eine Frist zur Umstellung auf das push-Verfahren geregelt worden sei, diese aber nicht durchgesetzt wurde.1219 Hinsichtlich der Weitergabe der PNR-Daten ingetDoc.do?pubRef=-//EP//TEXT+COMPARL+PE-480.773+01+NOT+XML+V0//DE (zuletzt geprüft am 15.03.2015), (im Folgenden: Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.773v01-00). 1212 Siehe dazu oben S. 476 ff. sowie auch S. 348 ff. 1213 Diese Kriterien sind: Beweis von Notwendigkeit der Datensammlung, Verhältnismäßigkeit, Zweckbeschränkung, Vereinbarkeit mit nationalen und europäischen Datenschutzvorschriften, konsequente Durchsetzung des Push-Verfahrens, keine gezielte Extraktion von Daten und keine Erstellung von Personenprofilen, angemessenes Datenschutzniveau bei Weiterübermittlung an Drittländer, Mitteilung der Ergebnisse an die EU sowie die betroffenen Mitgliedstaaten, Rechtsgrundlage für das Abkommen unter Einschluss von Art. 16 AEUV sowie eine unabhängige Überprüfung, gerichtliche Aufsicht und demokratische Kontrolle. 1214 in ’t Veld, Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, S. 8 f. sowie auch S. 14. 1215 in ’t Veld, Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.773v01-00, 01.02.2012, S. 9 f. 1216 in ’t Veld, Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.773v01-00, 01.02.2012, S. 10 f. 1217 Dazu in ’t Veld, Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.773v01-00, 01.02.2012, S. 11 f. 1218 in ’t Veld, Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.773v01-00, 01.02.2012, S. 12. 1219 in ’t Veld, Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.773v01-00, 01.02.2012, S. 12.

496

Teil 3: Die Übermittlung von PNR-Daten in die USA 

nerhalb der USA (Art.  16) sowie der Übermittlung von Informationen in Dritt­ länder (Art. 17) stellte die Berichterstatterin fest, dass seit dem ersten Abkommen von 2004 keine Fortschritte gemacht worden seien.1220 Auch die Rechtsgrundlage des Abkommens wurde von der Berichterstatterin kritisiert. Gemäß dem Abkommensentwurf sind die Art. 82 I lit. d sowie Art. 87 II lit. a i. V. m. Art. 218 VI lit. a AEUV Rechtsgrundlage für das Abkommen.1221 Nach Meinung der Berichterstatterin sollte jedoch stattdessen der Artikel über den Datenschutz, Art. 16 AEUV, die Rechtsgrundlage des Abkommens bilden und nicht lediglich in der Einleitung „allgemein und unverbindlich“ auf ihn verwiesen werden: Zweck des Abkommens sei es nämlich – wie bereits der Europäische Datenschutzbeauftragte in seiner Stellungnahme vom 15. Juli 2011 hervorhob –, sicherzustellen, dass „die Weitergabe von Daten den Datenschutznormen der EU entspricht“ und deshalb nicht Art. 82 I lit. d sowie Art. 87 II lit. a AEUV einschlägig seien.1222 Zudem begrüßte die Berichterstatterin die Einfügung eines Artikels zu Rechtsbehelfen (Art. 13), bezweifelte jedoch den tatsächlichen Einfluss des Abkommens, da es sich bei dem PNRAbkommen lediglich um ein „Verwaltungsabkommen“ handele und die USA ohne eine vorherige Beteiligung des Kongresses ihre Gesetze, aus denen sich ein solches Recht ergeben könnte, nicht ändern könnten.1223 Zudem verwies sie auf Art. 21 und die Stellungnahme des EU-Datenschutzbeauftragten: Art. 21 des Abkommensentwurfs regele, dass durch das Abkommen nach dem Recht der USA „keinerlei Rechte oder Vergünstigungen für Personen oder Einrichtungen privater oder öffentlicher Art begründet oder auf diese übertragen“ werden, was der Datenschutzbeauftragte1224 nicht als Entsprechung des Rechtsschutzes innerhalb der EU ansieht.1225 In Bezug auf Art. 14 (Aufsicht) wurde zwar die Einbeziehung des Kongresses in die Aufsicht über die Anwendung des Abkommens begrüßt, jedoch auch darauf hingewiesen, dass der relevante Art. 14 des Abkommensentwurfs keine unabhängige Aufsicht fordert, wie es sowohl die Rechtsprechung des EuGH1226 als auch die GRCh vorsieht.1227 Des Weiteren nahm die Berichterstatterin kritisch Bezug auf die in Anhang I des Abkommensentwurfs enthaltenen 19 Arten von PNR-Daten, von denen die meisten bereits in den Abkommen von 2007 und 2004 1220 in ’t Veld, Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.773v01-00, 01.02.2012, S. 12. 1221 Europäische Kommission, 23.11.2011, S. 5. 1222 in ’t Veld, Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.773v01-00, 01.02.2012, S. 13. 1223 in ’t Veld, Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.773v01-00, 01.02.2012, S. 13. 1224 Siehe Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 21, Nr. 24; genauer dazu oben Kritikpunkt 7. 1225 in ’t Veld, Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.773v01-00, 01.02.2012, S. 13. 1226 EuGH, Urt. v. 09.03.2010, Rs. C-618/07, Slg. 2010, I-1885. 1227 in ’t Veld, Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.773v01-00, 01.02.2012, S. 13.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

497

enthalten waren und auch vom EU-Datenschutzbeauftragten sowie der Art.  29-­ Datenschutzgruppe als „unverhältnismäßig“ angesehen wurden.1228 Als letzten Punkt ihrer Stellungnahme gab die Berichterstatterin noch zu bedenken, dass das in Frage stehende Abkommen zwar für die Übermittlung von PNR-Daten an das DHS Anwendung finde, jedoch die US-Regierung nicht daran hindere, PNR-­ Daten, die sich auf in den USA gelegenen Computer­reservierungssystemen1229 oder im Besitz von in den USA operierenden Flug­gesell­schaften befänden, durch die Befugnisse des Patriot Act zu erlangen.1230 b) Stellungnahme des Ausschusses für auswärtige Angelegenheiten Der Ausschuss für auswärtige Angelegenheiten gab am 5. März 2012 im LIBEAusschuss ebenfalls eine Stellungnahme ab, die vom Abgeordneten der EVP Traian Ungureanu verfasst wurde.1231 Die Stellungnahme unterschied sich wesentlich von der Stellungnahme der Berichterstatterin, da sie dem LIBE-Ausschuss vorschlug, dem Parlament die Zustimmung zum Abkommen zu empfehlen.1232 In der Begründung wurde zunächst in Erinnerung gerufen, dass die USA und die EU in ihrem Ziel, eine wirksame Terrorismusbekämpfung zu gewährleisten, gemeinsame Herausforderungen zu bestehen hätten, zu deren Lösung PNR-Daten beitragen sollten.1233 Nach Hinweisen auf das Abkommen von 2007, die Zustimmungsverweigerung durch das Parlament sowie die Entschließung des Parlaments mit seinen Forderungen nach höheren Schutzstandards nahm der Ausschuss für auswärtige Angelegenheiten zum hier in Frage stehenden Abkommensentwurf folgendermaßen Stellung: Das Abkommen ermögliche den Strafverfolgungsbehörden einen besseren Informationsaustausch, die Datenschutzbestimmungen und -garantien würden verbessert, es bestehe eine Zweckbeschränkung in Bezug auf die Datenverarbeitung, die Speicherfrist sowie die Offenlegung der Daten seien 1228 in ’t Veld, Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.773v01-00, 01.02.2012, S. 13 f. 1229 Siehe dazu oben S. 293 ff. 1230 in ’t Veld, Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.773v01-00, 01.02.2012, S. 14. 1231 Ungureanu, Stellungnahme des Ausschusses für auswärtige Angelegenheiten für den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres zu dem Entwurf eines Beschlusses des Rates über den Abschluss des Abkommens zwischen den Vereinigten Staaten von Amerika und der Europäischen Union über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of Homeland Security, PE 480.856v02-00, 05.03.2012, S. 3 f, http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+COMPARL+PE480.856+02+NOT+XML+V0//DE (zuletzt geprüft am 15.03.2015). 1232 Ungureanu, Stellungnahme des Ausschusses für auswärtige Angelegenheiten zu dem Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.856v02-00, 05.03.2012, S. 4. 1233 Vgl. Ungureanu, Stellungnahme des Ausschusses für auswärtige Angelegenheiten zu dem Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.856v02-00, 05.03.2012, S. 3.

498

Teil 3: Die Übermittlung von PNR-Daten in die USA 

beschränkt worden, das Push-Verfahren sei als Standardverfahren anerkannt worden und zudem seien den Betroffenen „wirksame administrative und gerichtliche Rechtsbehelfe“ bereit gestellt worden.1234 Obwohl der Berichterstatter der Ansicht war, dass der Entwurf zwar „eine Reihe von Mängeln“ enthalte und dabei vor allem auf die Zweckbestimmung, die Speicherfristen sowie die Weitergabe der Daten an Drittstaaten verwies, unterstütze er „voll und ganz“ ein Abkommen, dass dem gemeinsamen Vorgehen der EU und der USA gegen den Terrorismus diene.1235 Nach Prüfung des Abkommens war der Berichterstatter schließlich der Meinung, „dass der neue Entwurf eines Abkommens ein wichtiges und notwendiges Element der engen transatlantischen Zusammenarbeit bei der erfolgreichen gemeinsamen Bekämpfung des Terrorismus darstellt und die grundlegenden Garantien dafür bietet, dass die Rechte der Unionsbürger auf den Schutz ihrer Daten geachtet werden.“1236 c) Empfehlung des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres Am 27. März 2012 wurde im Ausschuss über die von der Berichterstatterin vorgelegte Empfehlung zu einem „Entwurf einer legislativen Entschließung des Europäischen Parlaments“ abgestimmt. Neben einer Enthaltung, stimmten 23 Ausschussmitglieder dafür, dem Parlament die Verweigerung der Zustimmung zu dem Abschluss des Abkommens zu empfehlen und 31 Ausschussmitglieder stimmten dagegen.1237 Somit erließ der Ausschuss einen Entwurf einer legislativen Entschließung des Europäischen Parlaments, der zum Inhalt hatte, dass das Parlament seine Zustimmung zum Abschluss des Abkommens geben solle und das Verfahren zum Abkommen von 2007 hinfällig sei.1238 1234 Ungureanu, Stellungnahme des Ausschusses für auswärtige Angelegenheiten zu dem Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.856v02-00, 05.03.2012, S. 3. 1235 Ungureanu, Stellungnahme des Ausschusses für auswärtige Angelegenheiten zu dem Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.856v02-00, 05.03.2012, S. 3. 1236 Ungureanu, Stellungnahme des Ausschusses für auswärtige Angelegenheiten zu dem Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.856v02-00, 05.03.2012, S. 3. 1237 Ausschuss für bürgerliche Freiheiten, Justiz und Inneres, Empfehlung zu dem Entwurf eines Beschlusses des Rates über den Abschluss des Abkommens zwischen den Vereinigten Staaten von Amerika und der Europäischen Union über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of Homeland Security, A7-0099/2012, 03.04.2012. 1238 Ausschuss für bürgerliche Freiheiten, Justiz und Inneres, Empfehlung zu dem Entwurf eines Beschlusses des Rates über den Abschluss des Abkommens zwischen den Vereinigten Staaten von Amerika und der Europäischen Union über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of Homeland Security, A7-0099/2012, 03.04.2012.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

499

d) Minderheitsansicht Gemäß Art. 52 III der Geschäftsordnung des Europäischen Parlaments1239 gaben die Abgeordneten der Grünen/Europäische Freie Allianz im Ausschuss eine Minderheitenansicht zum Abkommensentwurf ab.1240 Die Abgeordneten vertraten die Ansicht, dass das Abkommen nicht mit den „unverzichtbaren Bedingungen“ der vom Parlament verabschiedeten Entschließungen im Einklang stehe: So habe die Kommission nicht bewiesen, dass Speicherung sowie Verarbeitung von PNR-Daten „notwendig und angemessen“ seien, noch habe sie „weniger einschneidende Alternativen ernsthaft ausgelotet“ und zudem nicht das Abkommen von 2007 verbessert.1241 Besondere Kritikpunkte waren die Erstellung von Profilen von Reisenden, die Einteilung in „intransparente Risikokategorien“, die Speicherungsdauer von 15 Jahren, sowie die darauf folgende „vollständige Anonymisierung anstatt einer vollständigen Löschung.1242 Sie legten ihre Bedenken hinsichtlich der Vereinbarkeit eines Abkommens mit der GRCh, der Rechtsprechung von EGMR sowie BVerfG dar, betonten zudem ihr „Engagement für eine Zusammenarbeit mit den USA und anderen Drittstaaten bei der Bekämpfung des Terrorismus“, vertraten aber auch die Meinung, „dass die pauschale Speicherung und Verarbeitung von Fluggastdatensätzen sämtlicher Fluggäste nicht mit ihrer Vorstellung von einer­ offenen Gesellschaft vereinbar ist“.1243 2. Plenardebatte zum PNR-Abkommen 2012 Am 19. April 2012 fand in Straßburg die letzte Plenardebatte zum EU-US-PNRAbkommen von 2012 statt.1244 Ziel war eine parlamentarische Entschließung zu dem von der Kommission eingebrachten Entwurf eines Beschlusses des Rates über den Abschluss des PNR-Abkommens 2012. Zunächst erläuterte die Berichterstatterin nochmals den Ausschussbericht, woraufhin ein Vertreter der dänischen Rats 1239

Art. 52 III der GO des EP: „Wird in dem Ausschuss keine Einstimmigkeit erzielt, so enthält der Bericht auch eine Darstellung der Minderheitenansichten. Anlässlich der Abstimmung über den gesamten Text zum Ausdruck gebrachte Minderheitenansichten können auf Antrag ihrer Verfasser Gegenstand einer schriftlichen Erklärung von höchstens 200 Wörtern sein, die der Begründung als Anlage beigefügt wird.“ 1240 Albrecht/Tavares, Minderheitenansicht gemäß Artikel 52 Absatz 3 der Geschäftsordnung zum Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+ A7-2012-0099+0+DOC+XML+V0//DE (zuletzt geprüft am 15.03.2015). 1241 Albrecht/Tavares, Minderheitenansicht gemäß Artikel 52 Absatz 3 der Geschäftsordnung. 1242 Albrecht/Tavares, Minderheitenansicht gemäß Artikel 52 Absatz 3 der Geschäftsordnung. 1243 Albrecht/Tavares, Minderheitenansicht gemäß Artikel 52 Absatz 3 der Geschäftsordnung. 1244 Übersicht über den Gang des Verfahrens, Dokumente und Protokolle zur Plenardebatte vom 19. April 2012 unter: http://www.europarl.europa.eu/sides/getDoc.do?type=PV&reference= 20120419&secondRef=ITEM-004&language=DE&ring=A7-2012-0099 (zuletzt geprüft am 15.03.2015).

500

Teil 3: Die Übermittlung von PNR-Daten in die USA 

präsidentschaft sowie Innenkommissarin Malmström Stellung nahmen.1245 Im Anschluss folgte eine Debatte von Parlamentariern im Plenum. Später – bevor es zur eigentlichen Abstimmung über die Parlamentarische Entschließung kam – gab es erneut die Möglichkeit, zum geplanten EU-US-PNR-Abkommen Stellung zu nehmen. a) Stellungnahme der Berichterstatterin Sophia in ’t Veld Die Berichterstatterin eröffnete die Debatte mit einer Erinnerung an die nunmehr seit März 2003 und damit neun Jahre lang andauernde Debatte zwischen der EU und den USA und zeigte sich enttäuscht über das nach dieser Zeit Erreichte, der Spaltung des Parlaments bzgl. dieser Frage und forderte ein Nachdenken in Bezug auf die Rolle der EU im transatlantischen Prozess: „We have been working on this transatlantic data sharing deal for nine years, and I think that – whatever the outcome of today’s vote – one conclusion that we can already draw is that it is telling and disappointing that, after nine years of negotiations with our c­ losest friend and ally, we can only come up with an agreement that commands half-­hearted support from a divided House. I therefore think that, whatever today’s outcome, we need to have a closer look at how we deal with our transatlantic friends and at the position of the European Union in the transatlantic partnership. We need to reflect on whether we are not weak compared with our partner.“1246 Sie erinnerte an die Abstimmung im Ausschuss, an weiterhin offene Fragen, sowie daran, dass die von der Kommission vorgelegte Interpretation des Abkommens nur deren Sicht betreffe und für die USA nicht bindend sei.1247 Auch erteilte sie einem Vorschlag der Fraktion „Vereinte Europäische Linke/Nordische Grüne Linke“ im Ergebnis eine Absage, das Abkommen durch den EuGH prüfen zu lassen und damit die Verantwortlichkeit der demokratischen Entscheidungsfindung „outzusourcen“.1248 Am Schluss ihrer Ausführung stellte die Berichterstatterin noch drei Fragen an die Kommission: Erstens, warum die Kommission davon ausgehe, Art. 4 des Abkommensentwurfs verbiete explizit die Verwendung der Daten für andere als die vorgesehenen Zwecke; zweitens wieso die Kommission davon ausgehe, dass das PullVerfahren – trotz anderslautender Nachweise1249 – nur selten angewandt werde und 1245

Die Redebeiträge der Abgeordneten und Vertreter der Institutionen können in Original­ sprache abgerufen werden unter http://www.europarl.europa.eu/sides/getDoc.do?type=CRE& reference=20120419&secondRef=ITEM-004&language=DE&ring=A7-2012-0099. (zuletzt geprüft am 15.03.2015) (im Folgenden: Plenardebatte vom 19.4.2012 zum EU-US-PNR-Abkommen 2012). 1246 S. Stellungnahme v. Sophia in ’t Veld, Plenardebatte vom 19.4.2012 zum EU-US-PNRAbkommen 2012. 1247 S. Stellungnahme v. Sophia in ’t Veld, Plenardebatte vom 19.4.2012 zum EU-US-PNRAbkommen 2012. 1248 S. Stellungnahme v. Sophia in ’t Veld, Plenardebatte vom 19.4.2012 zum EU-US-PNRAbkommen 2012. 1249 Die Berichterstatterin bezog sich dabei auf eine Statistik der Association of European Airlines, nach der das Pull-Verfahren allein im Dezember 2010 82500 Mal angewandt worden sei.

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

501

drittens, warum die Kommission davon ausgehe, dass es für EU-Bürger die Möglichkeit von Rechtsmitteln gebe, obwohl der Abkommensentwurf klarstelle, dass keine Rechte für Individuen aus dem Abkommen abgeleitet werden können.1250 b) Stellungnahme von Justizminister Morten Bødskov als Vertreter der dänischen Ratspräsidentschaft Der dänische Justizminister Morten Bødskov als Vertreter der dänischen Ratspräsidentschaft stellte die Bedeutung von PNR-Daten als sehr wichtiges Instrument zur Verbrechensbekämpfung heraus und Verwies auf Beispiele, ohne diese jedoch konkret auszuführen.1251 Zugleich wies er jedoch auch auf die Bedeutung der Einhaltung bestimmter Anforderungen bei der Verwendung von PNR-Daten hin und verdeutlichte die Bedeutung der Privatsphäre der Bürger – auch im Rahmen der Bekämpfung von schwerer Kriminalität.1252 Der neue Entwurf enthalte eine Reihe von neuen und verbesserten Garantien, sei zwar auch nicht zu 100 % perfekt, aber das bestmögliche Ergebnis unter den gegebenen Umständen und nicht das Ende des transatlantischen Dialogs über die Verwendung von PNR-Daten.1253 Zudem dankte der Vertreter der Ratspräsidentschaft dem EU-Parlament für die Interessenvertretung der Europäischen Bürger und bat u. a. um Unterstützung für das Abkommen.1254 c) Stellungnahme von Innenkommissarin Cecilia Malmström In ihrer Stellungnahme empfahl Innenkommissarin Cecilia Malmström dem Parlament, seine Zustimmung zum neuen Abkommen zu geben und nannte dafür drei Gründe: Erstens bräuchten Behörden PNR-Daten, um sich mit den Sicherheitsbedrohungen, die in den USA bestehen, zu befassen (aa)); zweitens stelle das Abkommen eine bedeutende Verbesserung im Vergleich zum existierenden Abkommen dar (bb)) und drittens sei es schwierig, Alternativen zu finden, die besser den Interessen der EU-Passagiere und Fluglinien dienen würden (cc)).1255

1250 S. Stellungnahme v. Sophia in ’t Veld, Plenardebatte vom 19.4.2012 zum EU-US-PNRAbkommen 2012. 1251 S. Stellungnahme v. Morten Bødskov, Plenardebatte vom 19.4.2012 zum EU-US-PNRAbkommen 2012. 1252 S. Stellungnahme v. Morten Bødskov, Plenardebatte vom 19.4.2012 zum EU-US-PNRAbkommen 2012. 1253 S. Stellungnahme v. Morton Bødskov, Plenardebatte vom 19.4.2012 zum EU-US-PNRAbkommen 2012. 1254 S. Stellungnahme v. Morten Bødskov, Plenardebatte vom 19.4.2012 zum EU-US-PNRAbkommen 2012. 1255 S. Stellungnahme v. Cecilia Malmström, Plenardebatte vom 19.4.2012 zum EU-USPNR-Abkommen 2012.

502

Teil 3: Die Übermittlung von PNR-Daten in die USA 

aa) Grund 1 für den Abschluss des Abkommens: Notwendigkeit Nach Aussagen von Kommissarin Malmström hat die Kommission den Mitgliedern des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres mehrmals Beweise für die Notwendigkeit von PNR-Daten präsentiert; dies zeige, dass PNR-Daten zur Bekämpfung von Terrorismus wichtig seien und ein bedeutendes Werkzeug im Kampf gegen Drogenschmuggel und Menschenhandel.1256 bb) Grund 2 für den Abschluss des Abkommens: Verbesserung Die Kommissarin stellte zudem dar, dass das neue Abkommen als bedeutende Verbesserung im Vergleich zum Abkommen von 2007 angesehen werden könne: In Zusammenarbeit mit dem Ausschuss für bürgerliche Freiheiten, Justiz und Inneres habe man das Abkommen seit seinem ersten Entwurf im Mai 2011 verbessert und die USA zu weiteren Zugeständnissen bewegt.1257 Dies sei auch ein gutes Beispiel für die Funktionsweise des Vertrages von Lissabon und zeige, wie die drei Institutionen Rat, Parlament und Kommission zusammenarbeiteten.1258 Die Kommission habe eine klare Position in ihren Verhandlungen mit den USA verfolgen können.1259 Die gute Zusammenarbeit zeige sich in mehr Klarheit, stärkerer Reziprozität und einem besseren Datenschutz für die Passagiere, ohne jedoch den Einfluss des PNRSystems und die Sicherheit auf beiden Seiten des Atlantiks zu untergraben.1260 Zudem spiegele es die Bedenken des Parlaments wider, achte die Grundrechte und das Verhältnismäßigkeitsprinzip.1261 Daraufhin stellte die Kommissarin Details des Abkommens dar: Das Abkommen sei im Gegensatz zum Abkommen von 2007 ein einziger, rechtlich verbindlicher Text der in „echter Vertragssprache“1262 abgefasst sei, zudem stärke es die Gegenseitigkeit und Sicherheit, da die USA die aus PNR-Daten gewonnenen Hinweise mit Strafverfolgungsbehörden in der EU teilen müssten und setze strenge Grenzen bzgl. der Zwecke, für die PNR-Daten benutzt werden könnten.1263 Im Folgenden ging die Kommissarin auch auf die Bedenken 1256 S. Stellungnahme v. Cecilia Malmström, PNR-Abkommen 2012 mit Beispielen. 1257 S. Stellungnahme v. Cecilia Malmström, PNR-Abkommen 2012. 1258 S. Stellungnahme v. Cecilia Malmström, PNR-Abkommen 2012. 1259 S. Stellungnahme v. Cecilia Malmström, PNR-Abkommen 2012. 1260 S. Stellungnahme v. Cecilia Malmström, PNR-Abkommen 2012. 1261 S. Stellungnahme v. Cecilia Malmström, PNR-Abkommen 2012. 1262 Im Original: „proper treaty language“. 1263 S. Stellungnahme v. Cecilia Malmström, PNR-Abkommen 2012.

Plenardebatte vom 19.4.2012 zum EU-USPlenardebatte vom 19.4.2012 zum EU-USPlenardebatte vom 19.4.2012 zum EU-USPlenardebatte vom 19.4.2012 zum EU-USPlenardebatte vom 19.4.2012 zum EU-USPlenardebatte vom 19.4.2012 zum EU-USPlenardebatte vom 19.4.2012 zum EU-US-

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

503

der Berichterstatterin in Bezug auf die Zweckbindung ein und stellte bspw. klar, dass das Abkommen in Art. 4 (1) des Abkommens detaillierte Definitionen der Begriffe „Terrorist offences“ und „Transnational ­Crimes“ gebe, und Ausführungen in Art. 4 nicht die Zwecke, zu denen die Daten genutzt werden könnten, ausweiten würden.1264 Zudem bekräftigte die Kommissarin, dass die Kommission nach der in Art. 23 festgelegten Evaluierung und Überprüfung Parlament und Rat unverzüglich informieren würde und Bedenken hinsichtlich des Abkommens genau prüfen und entsprechend reagieren werde.1265 Des Weiteren führte die Kommissarin nochmals die Errungenschaften des Abkommens an: Reduzierung der Speicherdauer von 15 auf zehn Jahre im Regelfall, Speicherdauer von 15 Jahren bei Terrorismus, De­personalisierung der Daten nach sechs Monaten, Vorschriften darüber, dass die Letztentscheidung durch einen Menschen und nicht einen Computer zu erfolgen hat und damit illegale Profilbildung verhindert wird, neue Regeln zur Datensicherheit, Korrekturrechte für Passagiere, strengere Voraussetzungen zur Weitergabe der Daten, Einführung des Push-Systems als Norm, gemeinsame Kontrollmechanismen und Kontrollmechanismen in den USA durch das DHS und weitere Stellen, sowie Regeln zur Konfliktlösung, Aussetzung oder Beendigung des Abkommens.1266 Am Ende ihrer Stellungnahme fasste die Kommissarin wie folgt zusammen: „This is an international agreement. Like all international agreements, it is not 100 % perfect. We have to give and take. The Commission has presented to Parliament and the LIBE Committee a draft agreement from May. There you gave clear instructions on where to make changes. We went back to the US and achieved a lot of those changes: on purpose limitation, scope, retention periods and other points. We now have an agreement that fully respects EU law.“1267 Ob die vollständige Einhaltung von EU-Recht tatsächlich erreicht wurde, wird zu klären sein. cc) Grund 3 für den Abschluss des Abkommens: Alternativlosigkeit Schließlich ging Kommissarin Malmström noch auf die – nach ihrer Meinung – bestehende Alternativlosigkeit des Abkommens ein, denn Nachverhandlungen mit den USA seien nicht wirklich eine Option.1268 Sie stellte klar, dass es im Falle einer negativen Abstimmung des Parlaments zu einer Beschädigung der transatlan­ 1264 S. Stellungnahme v. Cecilia Malmström, Plenardebatte vom 19.4.2012 PNR-Abkommen 2012. 1265 S. Stellungnahme v. Cecilia Malmström, Plenardebatte vom 19.4.2012 PNR-Abkommen 2012, zur nunmehr erfolgten Evaluation siehe unten S. 578 ff. 1266 S. Stellungnahme v. Cecilia Malmström, Plenardebatte vom 19.4.2012 PNR-Abkommen 2012. 1267 S. Stellungnahme v. Cecilia Malmström, Plenardebatte vom 19.4.2012 PNR-Abkommen 2012. 1268 S. Stellungnahme v. Cecilia Malmström, Plenardebatte vom 19.4.2012 PNR-Abkommen 2012.

zum EU-USzum EU-USzum EU-USzum EU-USzum EU-US-

504

Teil 3: Die Übermittlung von PNR-Daten in die USA 

tischen Beziehungen käme, da die „Daten sowieso gesammelt“1269 würden und zudem die EU eine sehr wichtige Gelegenheit verlieren würde, die US-Strategie in Bezug auf die Nutzung von Daten zu beeinflussen.1270 Des Weiteren würden die Fluggesellschaften in eine sehr schwierige Situation gebracht, da sie einerseits die Daten übertragen müssten, jedoch andererseits in der EU keine Rechtsgrundlage für diesen Transfer bestünde und folglich Rechtsstreitigkeiten nicht auszuschließen seien.1271 Die negative Konsequenz bei einem Scheitern des Abkommens sah Malmström jedoch darin, dass die EU nicht die Interessen der mehr als 48 Millionen Passagiere schützen würde, die jährlich von der EU in die USA fliegen und es ohne Abkommen keine bindenden internationalen Regeln zum Schutz des Datenschutzes der Passagiere gebe.1272 Zwar könne man die Möglichkeit von bilateralen Abkommen zwischen den USA und den Mitgliedstaaten nicht ausschließen, jedoch bezweifelte Malmström in ihrer Stellungnahme, dass die Mitgliedstaaten in bilateralen Verhandlungen ein Schutzniveau in Bezug auf Passagierrechte er­ reichen könnten, das über das von der EU erreichte Schutzniveau hinausginge.1273 Am Schluss ihrer Stellungnahme bat die Kommissarin nochmals um die Unterstützung des neuen PNR-Abkommens zwischen den EU und den USA.1274 Am Ende der auf die Stellungnahme Malmströms folgende Plenardebatte hatten nochmals die Innenkommissarin, der Vertreter der dänischen Ratspräsidentschaft sowie Berichterstatterin in ’t Veld das Wort und erläuterten erneut ihre bereits am Anfang der Plenardebatte ausgeführten Positionen, bekräftigten diese und gingen auf im Rahmen der Plenardebatte aufgekommene Punkte ein.1275 3. Abstimmung über die Legislative Entschließung des Parlaments Nach der Plenardebatte folgte das Parlament der Empfehlung des Ausschusses und gab seine Zustimmung zum Abschluss des Abkommens.1276 Das Abkommen wurde mit 409 Ja-Stimmen zu 226 Nein-Stimmen und 33 Enthaltungen angenom-

1269

Im Original: „this data will be collected anyway“. S. Stellungnahme v. Cecilia Malmström, Plenardebatte vom 19.4.2012 zum EU-USPNR-Abkommen 2012. 1271 S. Stellungnahme v. Cecilia Malmström, Plenardebatte vom 19.4.2012 zum EU-USPNR-Abkommen 2012; die Kommissarin sprach von einem „legal limbo“. 1272 S. Stellungnahme v. Cecilia Malmström, Plenardebatte vom 19.4.2012 zum EU-USPNR-Abkommen 2012. 1273 S. Stellungnahme v. Cecilia Malmström, Plenardebatte vom 19.4.2012 zum EU-USPNR-Abkommen 2012. 1274 S. Stellungnahme v. Cecilia Malmström, Plenardebatte vom 19.4.2012 zum EU-USPNR-Abkommen 2012. 1275 Siehe die Stellungnahme am Ende der Plenardebatte von Malmström, in ’t Veld und Bødskov, Plenardebatte vom 19.4.2012 zum EU-US-PNR-Abkommen 2012. 1276 Legislative Entschließung des Europäischen Parlaments vom 19. April 2012 zu dem Entwurf eines Beschlusses des Rates über den Abschluss des Abkommens zwischen den Vereinigten 1270

§ 15 Die PNR-Abkommen zwischen der EU und den USA 

505

men.1277 Die Berichterstatterin in ’t Veld ließ nach der Abstimmung ihren Namen von dem Bericht des Ausschusses, der die Zustimmung empfahl, entfernen.1278 Des Weiteren wurde ein Antrag der Abgeordneten Cornelia Ernst abgelehnt, das Abkommen dem EuGH zur Prüfung vorzulegen.1279 In der darauffolgenden Aussprache wurde nochmals auf das Abkommen Bezug genommen und sowohl Lob als auch Kritik geäußert. IX. Formelle Annahme durch den Rat Nach Zustimmung des Parlaments fehlte nur noch die formelle Annahme durch den Rat der EU. Diese erfolgte durch einen Ratsbeschluss über den Abschluss des Abkommens am 26. April 2012,1280 sodass das Abkommen schließlich am 1. Juni 2012 in Kraft treten konnte und das Abkommen von 2007 ersetzte1281. Es ist fraglich, ob die institutionelle Stärkung des Parlaments tatsächlich zu einem besseren Schutzniveau geführt hat. Zudem ist von Interesse, wie die in Art. 19 des Abkommens erfolgte Qualifizierung des Schutzniveaus als „angemessen“ zu bewerten ist. Diese und weitere Fragen sind im Folgenden zu klären.

Staaten von Amerika und der Europäischen Union über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of Homeland Security, P7_TA(2012)0134, dazu http://www.europarl.europa.eu/oeil/popups/summary.do?id=1203060 &t=d&l=en (zuletzt geprüft am 15.03.2015). 1277 Europäisches Parlament, Pressemitteilung – Parlament stimmt Fluggastdatenabkommen mit den USA zu, 19.04.2012, http://www.europarl.europa.eu/news/de/news-room/content/2012 0419IPR43404/html/Parlament-stimmt-Fluggastdatenabkommen-mit-den-USA-zu (zuletzt geprüft am 15.03.2015). 1278 Europäisches Parlament, Pressemitteilung – Parlament stimmt Fluggastdatenabkommen mit den USA zu, 19.04.2012; siehe auch die Stellungnahme von Sophia in ’t Veld vor und nach der Abstimmung, aus der dies nicht in dieser Deutlichkeit hervorgeht; abzurufen unter http:// www.europarl.europa.eu/sides/getDoc.do?type=CRE&reference=20120419&secondRef= ITEM-006-05&language=DE&ring=A7-2012-0099 (zuletzt geprüft am 15.03.2015). 1279 Europäisches Parlament, Pressemitteilung – Parlament stimmt Fluggastdatenabkommen mit den USA zu, 19.04.2012; siehe dazu Entschließungsantrag v. 12.04.2012 gem. Art. 90 VI der Geschäftsordnung v. Cornelia Ernst im Namen der GUE/NGL-Fraktion zur Beantragung eines Gutachtens des Gerichtshofs zur Vereinbarkeit des Abkommens zwischen der Euro­päischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das US Department of Homeland Security mit den Verträgen (2012/2615(RSP)), abzurufen unter http://www.europarl.europa.eu/sides/getDoc.do?type=MOTION&reference=B7-2012-0200& language=DE (zuletzt geprüft am 15.03.2015). 1280 Siehe Beschluss des Rates vom 26. April 2012 über den Abschluss des Abkommens zwischen den Vereinigten Staaten von Amerika und der Europäischen Union über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of Homeland Security, ABl. L 215 v. 11.08.2012, S. 4. 1281 Abkommen zwischen den Vereinigten Staaten von Amerika und der Europäischen Union über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of Homeland Security, ABl. L 215 v. 11.08.2012, S. 5 ff.

506

Teil 3: Die Übermittlung von PNR-Daten in die USA 

§ 16 Rechtliche Würdigung der PNR-Regelungen Zwar ist im Rahmen der Debatte über die jeweiligen Abkommen bereits eine Diskussion der besonders streitigen Punkte erfolgt, diese sind jedoch – vor allem mit besonderem Bezug auf das Abkommen von 2012 – nochmals aufzugreifen und zu bewerten. Dies ist erforderlich, um später Optimierungsmöglichkeiten zur Herstellung einer Interessenbalance aufzuzeigen. Besondere Relevanz in der Diskussion um die PNR-Daten hat das in der EU primärrechtlich normierte Grundrecht auf Datenschutz und die Frage nach der Angemessenheit des Datenschutzniveaus bei der Datenübermittlung in die USA. Zudem sind weitere Aspekte im Rahmen der PNR-Abkommen und damit im Zusammenhang stehender Problematiken kontrovers und klärungsbedürftig.1282 Aufgrund der mittlerweile gestiegenen Bedeutung des Grundrechts auf Datenschutz in der Rechtsprechung des EuGH1283 ist auch bei einer etwaigen Überprüfung von PNR-Abkommen durch den EuGH eine engmaschige Überprüfung am Maßstab des Grundrechts auf Datenschutz denkbar. Im Folgenden soll daher eine Prüfung am Maßstab des Grundrechts auf Datenschutz vorgenommen werden.1284

A. Grundrecht auf Datenschutz aus Art. 8 GRCh bzw. Art. 8 EMRK Hauptkritikpunkt an den Abkommen ist die fehlende Vereinbarkeit mit Grundrechten. Relevante Grundrechte sind insbesondere Art. 7 und Art. 8 GRCh sowie Art. 8 EMRK. Art. 16 AEUV nimmt ebenso – Art. 8 I GRCh wörtlich entsprechend – Bezug auf den Datenschutz.1285 Art. 7 GRCh regelt die Achtung des Privat- und Familienlebens, wurde Art. 8 EMRK nachgebildet und wird im Gegensatz zu Art. 8 GRCh auch in der Entsprechungsliste der Erläuterungen des Präsidiums zu Art. 52 III GRCh genannt.1286 Von Art. 8 EMRK wird auch der Datenschutz umfasst. Art. 8 GRCh ist lex specialis zu Art. 7 GRCh.1287 Es besteht eine Kohärenz 1282 Siehe dazu auch die kritische Evaluation des Abkommensvorschlags durch Hornung/ Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, insbesondere S. 20 f.: „It thus appears that a rejection of the proposal would not considerably lower the data protection of EU citizens with regard to the use of PNR data, while sticking to its constitutional obligation to protect the fundamental rights of Union citizens as well as promoting these rights in its external affairs.“ 1283 Siehe bspw. EuGH, Urt. v. 07.04.2014, verb. Rs. C-293/12 u. C-594/12 sowie Urt. v. 13.05.2014, Rs. C-131/12. 1284 Siehe dazu unten S. 514 ff. 1285 Zur dogmatischen Einordnung von Art. 16 AEUV auch im Hinblick auf die Schrankenproblematik Schneider, Die Verwaltung 44 (2011), 499 (502 ff.); siehe auch Spiecker gen. Döhmann/ Eisenbarth, JZ 2011, 169 (172): die Vorschrift schaffe „inhaltlich […] keinen darüber hinausgehenden Schutzeffekt“. 1286 Schneider, Die Verwaltung 44 (2011), 499 (501). 1287 Kingreen, in: Calliess/Ruffert, EUV, AEUV, 4. Aufl. 2011, Art. 8 GRCh Rn. 1.

§ 16 Rechtliche Würdigung der PNR-Regelungen

507

der Grundrechtsrechtsprechung in Bezug auf den Datenschutz von EuGH und EGMR.1288 Die Kohärenz beruht momentan noch auf einer „freiwilligen Pflege eines Kooperationsverhältnisses“.1289 Im Rahmen der folgenden Grundrechtsprüfung ist vor allem auf Art. 8 GRCh als unmittelbares Grundrecht in der EU auf Datenschutz einzugehen. Der Verweis auf Art. 8 EMRK ist jedoch auf Grund der bestehenden Kohärenz der Grundrechtsrechtsprechung und dem geplanten Beitritt der EU zur EMRK durchaus geboten. I. Schutzbereich Vom persönlichen Schutzbereich des Art. 8 GRCh sind natürliche Personen umfasst. Ob auch juristische Personen mit eingeschlossen sind, ist nicht vollständig geklärt.1290 Relevanz hätte dies u. U. bei Nennung von Daten Dritter in den PNR einer natürlichen Person wie bspw. bei Nennung des Arbeitsgebers in der Rechnungsadresse oder bei Informationen über juristische Personen in den Freifeldern der PNR. II. Eingriff Ein Eingriff in den Schutzbereich von Art. 8 GRCh bzw. Art. 8 EMRK liegt offensichtlich vor: Bereits Generalanwalt Léger war in der Rechtssache zum ersten PNR-Abkommen in Bezug zu Art. 8 EMRK der Ansicht, dass die dort relevante dreiteilige PNR-Gesamtregelung in das Privatleben eingreife und es zudem „offenkundig“ sei, dass „das Abfragen der Fluggästedaten aus den von den Flug­ gesellschaften im Hoheitsgebiet der Mitgliedstaaten betriebenen Buchungssystemen sowie die Benutzung und die Bereitstellung dieser Daten durch bzw. für das CBP einen Eingriff staatlicher Stellen in das Privatleben der Fluggäste“ darstelle.1291 Er wies auch darauf hin, dass die Liste der vom CBP verlangten PNRDatenelemente „als Ganzes betrachtet“ werden müsse, da eine Erstellung von Persönlichkeitsprofilen durch den Datenabgleich möglich sei.1292 Auch für die übrigen Abkommen, die nicht Gegenstand der EuGH-Entscheidung waren, ergibt sich nichts anderes.

1288

Vgl. Schneider, Die Verwaltung 44 (2011), 499 (501). Schneider, Die Verwaltung 44 (2011), 499 (501 f.). 1290 Siehe EuGH, Urt. v. 09.11.2010, verb. Rs. C-92/09 und C-93/09, „Schecke“, Slg. 2010, I-11063 ff. sowie die Schlussanträge von Generalanwältin Sharpston in der Rs., Slg. 2010, I-11117 ff. sowie auch Schneider, Die Verwaltung 44 (2011), 499 (509). 1291 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4778 Rn. 211. 1292 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4778 Rn. 212. 1289

508

Teil 3: Die Übermittlung von PNR-Daten in die USA 

III. Rechtfertigung gemäß Art. 52 I 1 GRCh Fraglich ist jedoch die Rechtfertigung des Eingriffs. Im Rahmen der Rechtfertigung sind die mit den Abkommen verfolgten Sicherheitsaspekte wie die Bekämpfung des Terrorismus relevant. Jedoch ist zu klären, ob die dazu genutzten Methoden tatsächlich zu rechtfertigen sind. Grundsätzlich sind Eingriffe in das Grundrecht auf Datenschutz nach Art. 8 II EMRK, Art. 8 II 1 GRCh sowie Art. 52 I 1 GRCh rechtfertigungsfähig, müssen jedoch bestimmten Anforderungen genügen.1293 In Bezug auf Art. 8 GRCh sind insbesondere Art. 52 I 1 GRCh, in dem die Verhältnismäßigkeit des Eingriffs verortet ist, sowie Art. 8 II GRCh, der die Zweckbindung nennt, relevant. Der EuGH übergeht teilweise Art. 8 II GRCh und prüft eine Rechtfertigung aus der GRCh lediglich anhand von Art. 52 I 1 GRCh.1294 Die Prüfung von Art. 52 I 1 GRCh ist in Bezug auf die Verhältnismäßigkeit der Maßnahme geboten. 1. Eingriff in das Grundrecht gesetzlich vorgesehen Zunächst müsste der Eingriff in den Schutzbereich des Grundrechts gesetzlich vorgesehen sein, vgl. Art. 52 I 1 GRCh. In dem Fall vor dem EuGH im Jahr 2005 nahm der Generalanwalt zu den diesbezüglichen Anforderungen des EGMR Stellung und erläuterte, dass zur Erfüllung dieser Voraussetzung im Rahmen der EMRK nicht nur überhaupt eine gesetzliche Grundlage notwendig sei, sondern die Rechtsgrundlage auch eine gewisse „Qualität“ hinsichtlich der Zugänglichkeit für den Bürger sowie der Bestimmbarkeit und Voraussehbarkeit erfüllen müsse.1295 Im Fall der Regelungskonstruktion des ersten Abkommens war der Generalanwalt der Auffassung, dass Teile der Regelungskonstruktion durchaus den Fluggesellschaften und Passagieren erlaubten, sich genau zu informieren und ihr Verhalten danach zu richten.1296 Auch sei die in dem Fall relevante Verpflichtungserklärung des CBP „recht detailliert“ ausgefallen, und die damals noch verwendete Angemessenheitsentscheidung habe „Verweisungen auf das einschlägige Gesetz der Vereinigten Staaten“ enthalten.1297 Er betrachtete daher die im damaligen Fall frag 1293 Britz, EuGRZ 2009, 1 (9); diesbezüglich identisch Britz, Das Grundrecht auf Datenschutz in Art. 8 der Grundrechtecharta, 09.12.2008, S. 16, http://www.datenschutz.hessen.de/download. php?download_ID=188 (zuletzt geprüft am 15.03.2015); vgl. auch Kingreen, in: Calliess/Ruffert, EUV, AEUV, 4. Aufl. 2011, Art. 8 GRCh Rn. 3 zur Schrankenproblematik von Art. 8 GRCh, insbes. auch in Bezug zu Art. 16 AEUV. 1294 So EuGH, Urt. v. 09.11.2010, verb. Rs. C-92/09 und C-93/09, „Schecke“, Slg. 2010, I-11149; Kritik zu diesem Vorgehen durch Brink/Wolff, JZ 2011, 206 (207). 1295 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4779 Rn. 215 mit Verweis auf einschlägige Rechtsprechung des EGMR. 1296 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4779 Rn. 216–218, siehe auch Rn. 219–220. 1297 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4779 Rn. 216–218, siehe auch Rn. 219–220.

§ 16 Rechtliche Würdigung der PNR-Regelungen

509

liche Regelung als „gesetzlich vorgesehen“ i. S. d. Art. 8 II EMRK.1298 Ähnlich liegt der Fall auch in den weiteren PNR-Abkommen und insbesondere im Abkommen von 2012. Detailliert wird beschrieben, welche Daten im Rahmen der PNR-Daten­ auswertung relevant sind und an die zuständigen Stellen in den USA übertragen werden. Der Eingriff ist somit gesetzlich vorgesehen. 2. Gemeinwohlziel Zudem ist gem. Art. 52 I GRCh eine dem Gemeinwohl dienende Zielsetzung erforderlich. Die Bekämpfung terroristischer Straftaten und grenzüberschreitender Kriminalität, wie sie die Erwägungsgründe des Abkommens von 2012 nennen, stellt zweifelsfrei eine solche dem Gemeinwohl dienende Zielsetzung dar. Dies war auch bereits in Bezug auf die Vorgängerabkommen der Fall. So führte die Art. 29-Datenschutzgruppe zum Abkommen von 2007 Ähnliches aus. Zudem stellte der Generalanwalt – hinsichtlich Art. 8 EMRK – fest, dass die im Fall relevante PNR-Regelung von 2004 sowohl im Hinblick auf den „Kampf gegen den Terrorismus“ als auch bzgl. des Kampfes gegen „andere schwere Straftaten“ ein legitimes Ziel verfolge.1299 3. Verhältnismäßigkeit a) Prüfungsmaßstab Von den Rechtfertigungsanforderungen ist der in Art.  52 I 2 GRCh aufgeführte Verhältnismäßigkeitsgrundsatz praktisch besonders bedeutsam.1300 Nach der Rechtsprechung des EuGH verlangt der Grundsatz der Verhältnismäßigkeit, „dass die von einem Unionsrechtsakt eingesetzten Mittel zur Erreichung des verfolgten Ziels geeignet sind und nicht über das Erforderliche hinausgehen“.1301 Es ist somit im Folgenden eine zweistufige Prüfung bestehend aus „Geeignetheit“ und „Erforderlichkeit“ vorzunehmen. Die Beschränkung auf eine zweistufige Prüfung scheint am ehesten mit dem Prüfprogramm des EuGH übereinzustimmen. Die anhand dieses Maßstabes zu berücksichtigenden Kriterien sind vielfältig.1302 So sind in Bezug auf das Datenschutzgrundrecht neben dem Anlass der Speicherung 1298 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4780 Rn. 221. 1299 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4780 Rn. 222–223. 1300 Britz, EuGRZ 2009, 1 (9). 1301 EuGH, Urt. v. 09.11.2010, verb. Rs. C-92/09 und C-93/09, „Schecke“, Slg. 2010, I-11149 Rn. 74 mit Verweis auf EuGH, Urt. v. 08.06.2010, Rs. C-58/08, „Vodafone u. a.“, Slg. 2010, I-4999 Rn. 51 und die dort genannten weiteren Nachweise. 1302 Vgl. ähnlich Britz, EuGRZ 2009, 1 (10): „Die Kriterien, nach denen sich die Verhältnismäßigkeit eines Eingriffs in das Datenschutzgrundrecht messen lässt, sind mannigfaltig“.

510

Teil 3: Die Übermittlung von PNR-Daten in die USA 

von Daten auch der Grund und die Dauer der Speicherung relevant.1303 Im Rahmen von Fluggastdaten sind zudem die „Datenzahl“ und die „Speicherungslänge“ unter Erforderlichkeits- und Angemessenheitsgesichtspunkten zu thematisieren.1304 Eine Prüfung der meisten bei der Kritik von PNR-Regelungen relevanten Aspekte ist folglich im Rahmen der Verhältnismäßigkeit anzusprechen. Zunächst sind jedoch die objektiv-rechtliche Bindung sowie die Prüfungsdichte von Interesse. b) Objektiv-rechtliche Bindung Fraglich ist zunächst, welche objektiv-rechtliche Bindung besteht. Das in der EU geltende Datenschutzrecht fordert bei einer Datenübermittlung in ein Drittland stets das Bestehen eines angemessenen Datenschutzniveaus in diesem Drittland. Dieses angemessene Schutzniveau muss somit auch den Datenschutzstandard darstellen, der bei der Aushandlung von PNR-Abkommen zu beachten ist. Eine Gleichwertigkeit zu den innerhalb der EU bestehenden Datenschutzregelungen ist nicht erforderlich. Wie an bisherigen Datenschutzregelungen zu erkennen war, kann das Datenschutzniveau durchaus variieren. Teilweise ist das Datenschutzniveau bei einem Drittland, für das eine Angemessenheitsentscheidung ergeht, mit dem in der EU bestehenden Schutzniveau nahezu identisch. Als Beispiel sind Angemessenheitsentscheidungen für Drittländer zu nennen, die ihr Datenschutzrecht dem der EU angepasst haben.1305 Teilweise reicht das Datenschutzniveau jedoch nicht an das der EU heran und das Datenschutzniveau im Drittland wird – wie im Rahmen der Safe Harbor-Regelung – bis jetzt noch als angemessen angesehen.1306 Zwar ist anerkannt, dass bestimmte Elemente wie das Recht auf Einsicht oder Löschung als Kernbestand des EU-Datenschutzrechts grundsätzlich für ein angemessenes Datenschutzniveau erforderlich sind, jedoch scheint das Kriterium der Angemessenheit – wie es seine bisherige Anwendung zeigt – mittlerweile durch die Entscheidungsträger der EU so verstanden zu werden, zu erlauben, flexibel auf tatsächliche Gegebenheiten reagieren zu können.1307 Der Rahmen der Datenschutzprinzipien ist somit vorgegeben, von diesem kann jedoch abgewichen werden. Im Rahmen einer Abwägung können neben den essentiellen datenschutzrechtlichen Interessen weitere Erwägungen zur Erreichung eines Interessenausgleichs berücksichtigt werden. In Betracht kommen – wie bereits erwähnt – essentielle Erwägungen rechtspolitischer, wirtschaftspolitischer und sicherheitspolitischer Art, hinter denen sich Grundrechte, die mit dem Datenschutz in Abwägung gebracht werden können, verbergen. Der Begriff bietet somit eine Stellschraube. Eine solche ist ge 1303

Kingreen, in: Calliess/Ruffert, EUV, AEUV, 4. Aufl. 2011, Art. 8 GRCh Rn. 17. Verweis auf Generalanwalt Léger im PNR-Fall von 2005 und Zusammenfassung seiner Ausführungen durch Britz, EuGRZ 2009, 1 (10). 1305 Siehe dazu bereits oben S. 108. 1306 Siehe dazu oben S. 109 ff. 1307 Zu den grundsätzlich erforderlichen Kriterien siehe oben S. 97 ff. 1304

§ 16 Rechtliche Würdigung der PNR-Regelungen

511

rade auch im Rahmen von völkerrechtlichen Verträgen wie dem PNR-Abkommen zwingend erforderlich, da im Rahmen von Verhandlungen nie die eigene Verhandlungsposition kompromisslos durchgesetzt werden kann. Das Abkommen muss somit die essentiellen Datenschutzprinzipien des EU-Datenschutzrechtes berücksichtigen, scheint jedoch bei entsprechender Rechtfertigung von ihnen abweichen zu dürfen. Fraglich ist jedoch, wie sich das Kriterium der Angemessenheit und seine bestehende Anwendung mit der zunehmenden Bedeutung des Grundrechts auf Datenschutz in der EU vereinbaren lassen. Von besonderer Relevanz ist dabei das Urteil des EuGH zur Vorratsdatenspeicherung. Sollte es generell auf die Situation der Datenübermittlung in Drittländer übertragen werden können, ist zweifelhaft, ob das Kriterium der Angemessenheit weiterhin derart angewandt werden könnte und PNRAbkommen grundsätzlich dergestalt geschlossen werden dürften. Die Übertragbarkeit der Grundsätze des Urteils des EuGH zur Vorratsdatenspeicherung und ihr Einfluss auf die objektiv-rechtliche Bindung sind daher im Folgenden zu klären.1308 Am 8. April 2014 hat der EuGH die Richtlinie 2006/24/EG, die sog. Vorratsdatenspeicherungsrichtlinie, in einem Urteil für ungültig erklärt.1309 Dabei berücksichtigte der EuGH in bisher noch nicht gesehener Deutlichkeit die Bedeutung der Rechte auf Datenschutz und Privatleben. Der EuGH entschied zwar, dass die Richtlinie „eine dem Gemeinwohl dienende Zielsetzung“ habe, „ein nützliches Mittel für strafrechtliche Ermittlungen“ sei und „als zur Erreichung des mit der Richtlinie verfolgten Ziels geeignet“ sei,1310 sah aber den mit der Richtlinie einhergehenden Grundrechtseingriff nicht als gerechtfertigt an. Zudem bekräftigt der EuGH, dass „nach Art. 6 der Charta jeder Mensch nicht nur das Recht auf Freiheit, sondern auch auf Sicherheit hat“.1311 Die anlasslose Speicherung von Daten sei aber geeignet, bei den Betroffenen „das Gefühl zu erzeugen, dass ihr Privatleben Gegenstand einer ständigen Überwachung ist“ und der Eingriff zudem als „besonders schwerwiegend“ anzusehen.1312 Der Gerichtshof wies darauf hin, dass Ausnahmen vom Schutz personenbezogener Daten sowie Einschränkungen sich „auf das absolut Notwendige“ beschränken müssten und die „Unionsregelung klare und präzise Regeln für die Tragweite und die Anwendung der fraglichen Maßnahme vorsehen und Mindestanforderungen aufstellen [müssen], sodass die Personen, deren Daten auf Vorrat gespeichert wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchs­ risiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder un­ berechtigten Nutzung ermöglichen“.1313 Das Urteil kritisierte zudem, dass die 1308 Siehe zu der Ansicht, das Urteil mache Korrekturen u. a. am PNR-Abkommen erforderlich Boehm/Cole, ZD 2014, 553 (557). 1309 EuGH, Urt. v. 07.04.2014, verb. Rs. C-293/12 u. C-594/12. 1310 EuGH, Urt. v. 07.04.2014, verb. Rs. C-293/12 u. C-594/12 Rn. 41 u. 49. 1311 EuGH, Urt. v. 07.04.2014, verb. Rs. C-293/12 u. C-594/12 Rn. 42. 1312 EuGH, Urt. v. 07.04.2014, verb. Rs. C-293/12 u. C-594/12 Rn. 37. 1313 EuGH, Urt. v. 07.04.2014, verb. Rs. C-293/12 u. C-594/12 Rn. 52 u. 54.

512

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Richtlinie auch für Personen Geltung beanspruche, „bei denen keinerlei Anhaltspunkt dafür besteht, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten stehen könnte“ und auch für Personen gelte, die nach nationalen Vorschriften dem Berufsgeheimnis unterliegen.1314 Neben den genannten Punkten kritisierte der Gerichtshof des Weiteren, dass es der Richtlinie an objektiven Kriterien fehle, nach denen die Speicherungsfrist festgelegt wird und sie auf das „absolut Notwendige“ beschränkt wird.1315 Abschließend stellte der EuGH fest, der Unionsgesetzgeber habe mit der Richtlinie „die Grenzen überschritten […], die er zur Wahrung des Grundsatzes der Verhältnismäßigkeit im Hinblick auf die Art. 7, 8 und 52 Abs. 1 der Charta einhalten musste“ und erklärte daher die Richtlinie für ungültig.1316 Fraglich ist, welche Bedeutung das Urteil des EuGH zur Vorratsdatenspeicherung auf die Übermittlung von PNR-Daten in die USA haben wird. Die Weiterleitung in die und die Speicherung von PNR-Daten in den USA erfolgt zwar auch „auf Vorrat“, jedoch besteht hier mit einem Flug in die USA – einem Staat, in dem mit Hilfe von Flugzeugen Terroranschläge verübt worden sind – durchaus ein konkreter Anlass für die Datenverarbeitung.1317 Die vom EuGH aufgestellten Kriterien können nicht ohne Weiteres auf die Übermittlung von PNR-Daten übertragen, jedoch durchaus gewisse Rückschlüsse aus ihnen gezogen werden. Die Speicherung von PNR-Daten durch die USA und die Speicherung von Verbindungsdaten in Europa sind ähnlich, jedoch nicht vollumfänglich vergleichbar, sodass auch die Grundsätze des Urteils zur Vorratsdatenspeicherung nicht gänzlich übertragbar sind. Dass die beiden Maßnahmen nicht vollumfänglich vergleichbar sind, hat bereits der EuGH in vorherigen Urteilen – wenn auch mit nicht überzeugender Begründung – dargelegt: Der EuGH sah die Übermittlung von PNR-­Daten in die USA als eine Maßnahme der dritten Säule an, die Vorratsdatenspeicherung hingegen als eine Maßnahme, die im Rahmen der ersten Säule auf Art. 95 EGV gestützt werden konnte.1318 Nach Auflösung der Säulenstruktur und Kompetenz der EU für beide Bereiche nach dem Vertrag von Lissabon könnte diese Unterscheidung als vernachlässigbar angesehen werden, jedoch bestehen  – zumindest einfachgesetzlich – mit der DSRL und den Datenschutzvorschriften im Rahmen des Raums der Freiheit, der Sicherheit und des Recht sowie auch nach der Datenschutzreform unterschiedliche Anknüpfungspunkte in datenschutzrechtlicher Hinsicht. Ein weiterer Aspekt, der gegen die vollumfänglich Übertragbarkeit der vom EuGH aufgestellten Grundsätze spricht, ist die Reichweite, die die Vorratsdatenspeicherung im Gegensatz zur PNR-Datenübermittlung in die USA hat. Der EuGH betonte in seinem Urteil, dass die Vorratsdatenspeicherung sowie die Nutzung der 1314

EuGH, Urt. v. 07.04.2014, verb. Rs. C-293/12 u. C-594/12 Rn. 58. EuGH, Urt. v. 07.04.2014, verb. Rs. C-293/12 u. C-594/12 Rn. 64. 1316 EuGH, Urt. v. 07.04.2014, verb. Rs. C-293/12 u. C-594/12 Rn. 69. 1317 A. A. aber Boehm/Cole, ZD 2014, 553, für die hier kein konkreter Anlass besteht. 1318 Siehe dazu oben S. 447 ff. 1315

§ 16 Rechtliche Würdigung der PNR-Regelungen

513

Daten ein Gefühl ständiger Überwachung erzeugten sowie die Richtlinie einen „Eingriff in die Grundrechte fast der gesamten europäischen Bevölkerung“ darstelle.1319 Im Rahmen der Vorratsdatenspeicherungsrichtlinie werden somit sämtliche Verbindungsdaten europäischer Bürger anlasslos gespeichert. Einen Eingriff mit derartiger Reichweite ist jedoch in der Übermittlung von PNR-Daten in die USA nicht zu erkennen. Zwar geschieht auch die Speicherung von PNR-Daten ohne einen konkreten Verdacht, betrifft jedoch ausschließlich die in Verbindung mit Flügen in die USA stehenden Personen. Folglich kann auch kein Gefühl „ständiger Überwachung“ aufkommen, da die Daten nur im Rahmen eines Fluges in die USA und somit nicht ständig erhoben werden. Zudem sprechen politische und wirtschaftliche Gründe sowie sicherheitspolitische Gründe gegen die Anwendung der vom EuGH aufgestellten Grundsätze auf die Übermittlung von PNR-Daten. Die USA fordern von der EU Fluggastdaten und werden dies auch trotz eines Urteils zur Vorratsdatenspeicherung weiterhin tun. Die aus einer Weigerung der Übermittlung von PNR-Daten resultierenden Konsequenzen für Fluggesellschaften und die wirtschaftlichen Beziehungen zwischen der EU und den USA sind sowohl in der EU als auch in den USA nicht erwünscht. Folglich werden wohl kaum die im Rahmen einer neuen Vorratsdatenspeicherungsrichtlinie anwendbaren Grundsätze auch bei der PNR-Übermittlung angewandt werden können. Diese derart hohen Standards könnten darüber hinaus auch im Rahmen von Verhandlungen nicht erreicht werden, da das Ergebnis von Verhandlungen zwangs­ läufig einen Kompromiss darstellt. Die vollständige Geltung europäischer Standards ist darüber hinaus bei der PNR-Datenübermittlung nicht erforderlich: Zum einen handelt es sich bei der Datenübermittlung in die USA nicht um eine rein europäische Angelegenheit, zum anderen fordern die europäischen Datenschutzgesetze auch keine „gleichwertiges“, sondern nur ein „angemessenes“ Datenschutzniveau, was mittlerweile weiteren Raum zur Ausgestaltung anhand flexibler Kriterien zu lassen scheint. Jedoch ist die Bedeutung des Urteils des EuGH auch nicht zu gering einzuschätzen. Das Urteil zeigt eindrücklich die Bedeutung des Datenschutzes in der EU. Datenschutz ist ein Grundrecht und im Primärrecht der EU verankert. Als solches ist es gebührend im Rahmen von Verhandlungen zu Datenschutzabkommen mit Drittstaaten und somit bei der Bestimmung der Angemessenheit zu berücksichtigen. Dass es dabei mit anderen Interessen abgewogen werden muss, liegt auf der Hand, jedoch darf es keinesfalls vernachlässigt werden. Nur bei eingehender Berücksichtigung von Datenschutz und den Forderungen der USA kann eine Interessen­ balance erreicht werden. Dahingehend ist auch die objektiv-rechtliche Bindung im Rahmen der PNR-Abkommen zu verstehen. Neben dieser ist jedoch auch die vom EuGH vorzunehmende Prüfungsdichte von Interesse. 1319

EuGH, Urt. v. 07.04.2014, verb. Rs. C-293/12 u. C-594/12 Rn. 37 u. 56.

514

Teil 3: Die Übermittlung von PNR-Daten in die USA 

c) Prüfungsdichte Fraglich ist zudem die Prüfungsdichte, die an die Überprüfung von PNR-Regelungen anzulegen ist. Ein Indiz könnten wiederum zunächst die Ausführungen von Generalanwalt Léger im PNR-Verfahren vor dem EuGH sein. Nachdem er dar­ gelegt hatte, dass nationale Behörden über einen im Umfang von Zielsetzung und Wesen des Eingriffs abhängigen Beurteilungsspielraum verfügten,1320 führte er – jedoch noch vor Inkrafttreten der GRCh und mit Bezug auf Art. 8 EMRK – aus: „Angesichts des Wesens und der Bedeutung des Zieles der Terrorismusbekämpfung, das im Rahmen der PNR-Regelung von ausschlaggebender Bedeutung ist, und unter Berücksichtigung des politisch sensiblen Kontextes, in dem die Verhandlungen zwischen der Gemeinschaft und den Vereinigten Staaten stattgefunden haben, sollte der Gerichtshof in der vorliegenden Rechtssache meines Er­achtens Rat und Kommission für die Verhandlungen mit den Vereinigten Staaten über den Inhalt der PNR-Regelung einen weiten Beurteilungsspielraum zugestehen. Demgemäß sollte sich die Kontrolle des Gerichtshofes über die Notwendigkeit des Eingriffs auf die Überprüfung eines etwaigen offensichtlichen Beurteilungsfehlers der beiden Organe beschränken […]. Eine solche eingeschränkte Kontrolle verhindert, dass der Gerichtshof die Beurteilung der politischen Stellen der Gemeinschaft bzgl. der Frage, welche Maßnahmen im Kampf gegen den Terrorismus und andere schwere Straftaten ihrem Wesen nach angemessen und zweckmäßig sind, durch seine eigene Beurteilung ersetzt.“1321 Wie bereits oben ausgeführt, verwies der Generalanwalt auch auf Rechtsprechung des EuGH, die jedoch nicht mit der Terrorismusbekämpfung im Zusammenhang stand, aber sich auf Bereiche bezog, in denen auch ein weiter Spielraum bestehe. Demnach könne im Falle des Bestehens eines weiten Ermessens „die Rechtmäßigkeit einer in diesem Bereich erlassenen Maßnahme nur dann be­ einträchtigt sein, wenn diese Maßnahme zur Erreichung des Ziels, das das zuständige Organ verfolgt, offensichtlich ungeeignet ist.“1322 Es ist jedoch fraglich, ob im Hinblick auf das Recht auf Datenschutz der Fluggäste lediglich ein offensichtlicher Beurteilungsfehler überprüft werden und nicht stattdessen eine engere Prüfungsdichte anzulegen sein sollte.

1320 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4781 Rn. 226 mit Verweis auf insbesondere EGMR, Urt. v. 24.11.1986, Gillow./.Vereinigtes Königreich, Serie A Nr. 109, § 55 sowie EGMR, Urt. v. 26.03.1987, Leander./.Schweden, Serie A Nr. 116, § 59. 1321 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4782 Rn. 231. 1322 Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4783 Rn. 232 mit Beispielen von Urteilen zur Agrarpolitik (Urteil des Gerichtshofes vom 13.11.1990 in der Rs. C-331/88 (Fedesa u. a., Slg. 1990, I-4023 Rn. 14)) und Antidumpingzöllen (Urteil des Gerichts vom 5.06.1996 in der Rs. T-162/94 (NMB Frankreich u. a./Kommission, Slg. 1996, II-427 Rn. 70)).

§ 16 Rechtliche Würdigung der PNR-Regelungen

515

Wie weit der Beurteilungsspielraum im Einzelfall geht, ist äußerst schwierig zu bestimmen. So variiert dieser sowohl – wie der EGMR in seiner Entscheidung Rasmussen ausführt – „according to the circumstances, the subject matter and its background“ als auch abhängig davon, welches der in Art. 8 II EMRK genannten Rechtfertigungsziele betroffen ist.1323 Wie eine Analyse der Rechtsprechung des EGMR und der bis 1998 eingesetzten Kommission für Menschenrechte des Europarates durch Siemen zeigte, wurde die Bedrohung durch den Terrorismus als „sehr ernste Gefahr“ betrachtet, sodass in den analysierten Entscheidungen erkennbar wurde, dass auch schwerwiegende Eingriffe in den Schutzbereich des Art. 8 EMRK als verhältnismäßig angesehen wurden:1324 So wurde bspw. im Fall McVeigh entschieden, dass neben Durchsuchung und Befragung eines Verdächtigen auch das Abnehmen von Fingerabdrücken sowie die – trotz fehlenden Verdachts der Begehung einer Straftat  – erfolgte Aufbewahrung der Daten nicht unverhältnismäßig waren.1325 In einem Fall, in dem es um die geheime Telefonüberwachung durch das G10-Gesetz ging, wurde ebenfalls von der Notwendigkeit der Maßnahme ausgegangen, dann jedoch in Bezug auf die Verhältnismäßigkeit durchaus ein strengerer Maßstab angelegt.1326 Eine weitmaschige Prüfungsdichte unter Zugeständnis eines weiten Beurteilungsspielraums fand sich hingegen wieder in der Entscheidung Leander, in der die Speicherung personenbezogener Daten ohne Zugang für die Öffentlichkeit und die Verwendung für eine Sicherheitsüberprüfung als verhältnismäßig erachtet wurde.1327 Andere Fälle wie der Fall Z. gegen Finnland verdeutlichen jedoch auch, dass dem Datenschutz durchaus eine besondere Bedeutung durch den EGMR beigemessen wird und in manchen Fällen damit eine engmaschigere Überprüfung einhergehen kann.1328 Der Fall betraf Gesundheitsdaten und somit sensible Daten, hatte jedoch keinen Bezug zur Terrorismusbekämpfung. Im Ergebnis ihrer Analyse stellte Siemen fest, dass die Anforderungen des EGMR 1323 Siemen, Datenschutz als europäisches Grundrecht, S. 155 mit Verweis u. a. auf EGMR, Urt. v. 28.11.1984, Rasmussen./.Dänemark, Serie A Nr. 87, § 40; EGMR, Urt. v. 20.09.1994, Otto-­Preminger-Institut./.Österreich, Serie A Nr.  295-A, § 50; EGMR, Urt. v. 26.04.1979, Sunday Times./.Vereinigtes Königreich, Serie A Nr.  30; § 59; EGMR, Urt. v. 22.10.1981,­ Dudgeon./.Vereinigtes Königreich, Serie A Nr. 45, § 52. 1324 Siehe Siemen, Datenschutz als europäisches Grundrecht, S.  161; für eine Analyse von Entscheidungen mit Bezug zum Datenschutz siehe ausführlich und differenzierend S. 154 ff. 1325 EGMR, Ber. v. 18.03.1981, Mc Veigh u. a../.Vereinigtes Königreich0, DR. 25, § 225;­ Siemen, Datenschutz als europäisches Grundrecht, S. 159 m. w. Nachw. 1326 EGMR, Urt. v. 06.09.1978, Klass u. a../.Deutschland, Serie A Nr.  28, § 48; Siemen, Daten­schutz als europäisches Grundrecht, S. 160 f. 1327 EGMR, Urt. v. 26.03.1987, Leander./.Schweden, Serie A Nr. 116, § 49; Siemen, Datenschutz als europäisches Grundrecht, S. 162 ff. mit weiteren Ausführungen zum Prüfungsmaßstab, Maßnahmen zum Schutz der nationalen Sicherheit und dem Gedanken, dass trotz Bezuges der Entscheidungen auf den Terrorismus der 1970er Jahre, die Erwägungen auch auf den heutigen Terrorismus anzuwenden seien. 1328 EGMR, Urt. v. 25.02.1997, Z../.Finnland, Reports 1997–1; Siemen, Datenschutz als europäisches Grundrecht, S. 165 ff.; dazu bereits auch schon Schlussanträge Generalanwalt ­Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S.  4781 Rn.  229 mit Verweis auf EGMR, Urt. v. 25.02.1997, Z../.Finnland, Reports 1997–1.

516

Teil 3: Die Übermittlung von PNR-Daten in die USA 

„je nach Eingriffsintensität und der Art des verfolgten Zwecks“ variierten und der Gerichtshof bei Maßnahmen zum Schutz der nationalen Sicherheit einen weiten Beurteilungsspielraum zugesteht und in Fällen der Verarbeitung personenbezogener Daten zu anderen Zwecken ein solcher Beurteilungsspielraum hingegen nicht besteht.1329 Es scheint somit durchaus vertretbar, sich wie Generalanwalt Léger im PNRFall vor dem EuGH 2005 für einen weiten Beurteilungsspielraum der zuständigen Stellen in dem hier einschlägigen Fall einer Maßnahme zur Terrorismus­ bekämpfung auszusprechen. Andererseits ist jedoch im Rahmen der Verarbeitung von PNR-Daten die Möglichkeit gegeben, dass sensible Daten ebenfalls verarbeitet werden. Die Relevanz sensibler Daten ist zwar nicht so evident und konkret wie im Fall Z. gegen Finnland, in dem es um die Bekanntgabe einer HIV-Infektion ging, jedoch zeigt der Fall, dass, wenn es um sensible Daten geht, durchaus auch eine engmaschigere Prüfungsdichte zu rechtfertigen wäre.1330 Generalanwalt ­Léger schien dem Fall jedoch keine Bedeutung in Bezug auf PNR-Daten beizumessen; er verwies zwar auf ihn, nahm jedoch keine Stellung dazu, ob der dort angelegte Maßstab auch für die Verarbeitung von PNR-Daten relevant sein könnte.1331 Weitere Anhaltspunkte zur anzuwendenden Prüfungsdichte könnten jedoch die Rechtsverbindlichkeit der GRCh und die damit einhergehende Bedeutung von Art. 8 GRCh als rechtsverbindlich normiertes Datenschutzgrundrecht ergeben.1332 In der Rechtssache Schecke,1333 in der es um die Veröffentlichung von Agrar­ subventionen im Internet durch die Kommission ging, nahm der EuGH im Rahmen der Verhältnismäßigkeitsprüfung eine Gewichtung zwischen dem Datenschutz und dem aus Art. 1 III EUV abgeleiteten Transparenzgrundsatz vor und sah den Datenschutz dabei als überwiegend an. In dem Urteil wird ein Beurteilungsspielraum der Organe im Rahmen der Verhältnismäßigkeit der Maßnahme nicht erwähnt und stattdessen darauf hingewiesen, dass die Abwägung der Interessen im Rahmen der Verhältnismäßigkeitsprüfung einer strikten Überprüfung unterzogen wird, da 1329

Siemen, Datenschutz als europäisches Grundrecht, S. 176 f. Zur bisherigen Zurückhaltung des EuGH in Bezug auf das Grundrecht auf Datenschutz siehe m. w. Nachw. aus der Rechtsprechung Spiecker gen. Döhmann/Eisenbarth, JZ 2011, 169. 1330 Sich in dieser Hinsicht für einen flexiblen Maßstab aussprechend Frenz, EuZW 2009, 6 (7) mit weiteren Ausführungen insb. auch mit Verweis auf die Schlussanträge von Generalanwältein Kokott in der Rs. Promusicae und den darin enthaltenen Verweisen auf die Vorratsdatenspeicherung und Rechtsprechung des BVerfG. 1331 Siehe Schlussanträge Generalanwalt Léger v. 22.11.2005, EuGH Slg. 2006, I-4724, S. 4781 Rn. 229 mit Verweis auf EGMR, Urt. v. 25.02.1997, Z../.Finnland, Reports 1997–1. 1332 Zur Überprüfung von Ausgestaltungsspielräumen im Verhältnis zu den Mitgliedstaaten bzw. den EU-Organen siehe Schneider, Die Verwaltung 44 (2011), 499 (511 f. bzw. 513 ff.) m. w. Nachw.; zur bisherigen Zurückhaltung des EuGH in Bezug auf das Grundrecht auf Datenschutz und dem damit einhergehenden Beurteilungsspielraum für die Mitgliedstaaten siehe des Weiteren m. w. Nachw. aus der Rechtsprechung Spiecker gen. Döhmann/Eisenbarth, JZ 2011, 169 (174 f.). 1333 EuGH, Urt. v. 09.11.2010, verb. Rs. C-92/09 und C-93/09, „Schecke“, Slg. 2010, I-11149.

§ 16 Rechtliche Würdigung der PNR-Regelungen

517

eine Grundrechtsbeschränkung auf das „absolut Notwendige“ zu erfolgen habe.1334 Weitere Stimmen in der Literatur sehen in dem Urteil Schecke eine Andeutung, dass der EuGH mit Inkrafttreten der GRCh seine Grundrechtsprüfung intensiviere.1335 So prüfe der EuGH mittlerweile die Einhaltung datenschutzrechtlicher Vorgaben gegenüber Mitgliedstaaten und Unionsgesetzgeber „relativ intensiv“ und es stünden dem Unionsgesetzgeber auch nicht mehr „die sonst üblichen weiten Ermessensspielräume“ zu.1336 Für allgemeingültige Aussagen, dass der EuGH nach Inkrafttreten der GRCh eine engmaschige Grundrechtskontrolle vornimmt, ist es zu früh, jedoch kann u. a. das genannte Urteil zumindest als Indiz gewertet werden, welcher Prüfungsdichte im Rahmen der Überprüfung der PNR-Regelungen anzuwenden ist.1337 Darüber hinaus ist auch in Erwägung zu ziehen, dass der EuGH im Zusammenhang mit der Terrorismusbekämpfung durchaus grundrechtsfreundliche Entscheidungen getroffen hat: So überprüfte er in der Rechtssache Kadi in EGVerordnungen umgesetzte Sanktionen des UN-Sicherheitsrats am Maßstab der EU-Grundrechte auf effektiven Rechtsschutz und Eigentum und stellte deren Verletzung fest.1338 Ein weiterer zu berücksichtigender Aspekt ist, dass mit der Rechtsverbindlichkeit der GRCh auch Art. 47 GRCh Rechtsverbindlichkeit erlangte. Art. 47 GRCh garantiert u. a. das Recht auf einen wirksamen Rechtsbehelf. Eine bloße kurso­ rische Kontrolle der PNR-Abkommen könnte somit möglicherweise gegen diesen Artikel der Charta verstoßen. Ähnlich Art. 19 IV GG müsste somit ein wirksamer Rechtsbehelf möglich sein.1339 1334 Schroeder, EuZW 2011, 462 (466) mit Verweis auf Rn. 77 u. 86 des Urteils; a. A. wohl Guckelberger, EuZW 2010, 946 und Guckelberger, EuZW 2011, 126: „Den Legislativorganen kommt bei der Abwägung der konfligierenden Rechtsgüter ein Beurteilungsspielraum zu“; sowie differenzierend Schneider, Die Verwaltung 44 (2011), 499 (515): Der EuGH binde den Gesetzgeber „nur in Schranken inhaltlich, verlangt von diesem aber seinerseits den Nachweis eines nachvollziehbaren und begründeten Regelungskonzepts mit klar definierten Zielen, an denen die Erforderlichkeit einer Datenveröffentlichug gemessen werden kann“. 1335 Streinz, JuS 2011, 278 (280). 1336 Streinz, in: Streinz, EUV/AEUV, 2012 Rn. 11, kritischer hingegen Kühling/Klar, JURA 2011, 771 (776 f.). 1337 Siehe zu einer Ausweitung des Prüfungsmaßstabes gerade auch zur Verhinderung von Konflikten mit dem BVerfG Spiecker gen. Döhmann/Eisenbarth, JZ 2011, 169 (174 ff.); siehe auch Schneider, Die Verwaltung 44 (2011), 499 (513) mit Verweis auf die Rs. Stauder, in der noch ein weiter Beurteilungsspielraum zugestanden wurde sowie des Weiteren die Rs. Bavarian Lager, C-28/08, in der Art. 8 EMRK als Prüfungsmaßstab herangezogen wurde. 1338 EuGH, Urt. v. 03.09.2008, C- 402/05 P u. C-415/05 P, „Kadi“, Slg- 2008, I-6351; siehe dazu Schroeder, EuZW 2011, 462 (465), der der Ansicht ist, der EuGH habe mit der Entscheidung „Vorstellungen nach einem grundrechtsfreien Raum bei der Umsetzung von Sicherheitsratsbeschlüssen durch die Union“ eine Absage erteilt und übernehme damit völkerrechtlich eine „Vorbildfunktion“. 1339 Siehe zur angezeigten Kontrolldichte Schoch, in: Hoffmann-Riem/Schmidt-Aßmann/ Voßkuhle, Grundlagen des Verwaltungsrechts – Band III, 2. Aufl. 2013, § 50 Rn. 396 ff.

518

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Gerade auch im Hinblick auf die möglicherweise betroffenen sensiblen Daten ist daher eine enge Prüfungsdichte durch den EuGH durchaus angezeigt. Dass eine engmaschige Kontrolle auch vom EuGH anerkannt ist, wird im Urteil zur Vorratsdatenspeicherung vom April 2014 deutlich. In diesem führt der Gerichtshof überzeugend aus: „Im vorliegenden Fall ist angesichts der besonderen Bedeutung des Schutzes personenbezogener Daten für das Grundrecht auf Achtung des Privatlebens und des Ausmaßes und der Schwere des mit der Richtlinie 2006/24 verbundenen Eingriffs in dieses Recht der Gestaltungsspielraum des Unionsgesetzgebers eingeschränkt, sodass die Richtlinie einer strikten Kontrolle unterliegt.“1340 Eine enge Prüfungsdichte ist zudem notwendig, um möglichen Konflikten mit dem Bundesverfassungsgericht von vornherein „aus dem Weg“ zu gehen; das BVerfG hat mit seinem Vorratsdatenspeicherungsurteil1341 in einem mit der PNRProblematik durchaus ähnlichen Bereich ebenfalls strenge Vorgaben gemacht.1342 Somit ist grundsätzlich bei einer Überprüfung durch den EuGH eine engmaschige Prüfungsdichte anzulegen. Die Prüfungsdichte kann jedoch stets nur so weit reichen wie die objektiv-rechtliche Bindung besteht. Bei einer EU internen PNR-Regelung müsste das anwendbare EU-Datenschutzrecht umfassender zur Geltung kommen. Im Rahmen von PNR-Abkommen ist jedoch kein gleichwertiges, sondern lediglich ein angemessenes Datenschutzniveau gefordert und somit Prüfungsmaßstab. Auf jeden Fall kann der EuGH den unbestimmten Rechtsbegriff der Angemessenheit vollumfänglich überprüfen, insbesondere dahingehend, ob das Grundrecht auf Datenschutz zu wenig Berücksichtigung gefunden hat. Jedoch wird auch dem EuGH die Bedeutung des Kriteriums bewusst sein. Aufgrund der Bedeutung des Grundrechts auf Datenschutz wird auch in der folgenden Prüfung ein strenger Prüfungsmaßstab anzuwenden sein.1343 Möglich ist jedoch, dass der EuGH der Ansicht ist, dass das im EU-Sekundär­ recht verankerte Kriterium der Angemessenheit generell nicht mit dem EU-­Primär­ recht und somit nicht mit Art.  8 GRCh und Art.  16 AEUV vereinbar ist. Dann müsste dieses Kriterium aufgegeben werden. Die Folgen wären jedoch schwerwiegend und nicht zu begrüßen. Das Kriterium der Angemessenheit hat sich als Funktionsbegriff etabliert und führt zu vertretbaren Ergebnissen, ohne dass ein grundsätzliches Absinken des Datenschutzes für den Bürger zu erkennen ist. Das Kriterium der Angemessenheit stellt ein Korrektiv zu dem hohen Datenschutzstandard innerhalb der EU dar und erlaubt und ermöglicht somit den Datenfluss im internationalen Kontext. Ohne das Kriterium der Angemessenheit wäre ein legitimer Datenfluss nur schwer zu erreichen. Zudem ist die EU auch durch ihre Mitglied 1340

EuGH, Urt. v. 07.04.2014, verb. Rs. C-293/12 u. C-594/12 Rn. 48. BVerfGE 125, 260. 1342 Siehe dazu Spiecker gen. Döhmann/Eisenbarth, JZ 2011, 169 (176 f.). 1343 Vgl. zuletzt EuGH, Urt. v. 07.04.2014, verb. Rs. C-293/12 u. C-594/12 sowie Urt. v. 13.05.2014, Rs. C-131/12. 1341

§ 16 Rechtliche Würdigung der PNR-Regelungen

519

staaten völkerrechtlich an das Kriterium der Angemessenheit gebunden, da diese das Zusatzprotokoll der Datenschutzkonvention, in dem das Kriterium der Angemessenheit ebenfalls enthalten ist, ratifiziert haben. Letztendlich wird der EuGH das Kriterium der Angemessenheit nicht leichtfertig für unvereinbar mit dem EUDatenschutzrecht erklären. Sollte es zu einer Überprüfung des PNR-Abkommens kommen wird er diese anhand des Kriteriums der Angemessenheit vornehmen. Eine erste Möglichkeit wird der EuGH im Rahmen der Überprüfung des neu verhandelten PNR-Abkommens mit Kanada bekommen.1344 Hier ist jedoch die Vereinbarkeit des PNR-Abkommens zwischen der EU und den USA mit EU-Datenschutzrecht und insbesondere mit dem Kriterium der Angemessenheit und Art. 8 GRCh von Interesse. Im Rahmen der streitigen Punkte wie der Anzahl der erhobenen Daten oder der Speicherdauer ist daher – wie bereits erwähnt – zu prüfen, ob die von einem Unionsrechtsakt eingesetzten Mittel zur Erreichung des verfolgten Ziels geeignet sind und nicht über das zur Erreichung der verfolgten berechtigten Ziele Erforderliche hinausgehen.1345 Im Rahmen der Erforderlichkeit – wie sie der EuGH versteht1346 – ist zu berücksichtigen, ob die Organe der EU die Bekämpfung des Terrorismus und der grenzübergreifenden schweren Kriminalität auf der einen Seite und das Recht der Flugpassagiere auf Schutz ihrer personenbezogenen Daten auf der anderen Seite ausgewogen gewichtet haben.1347 Ausnahmen und Einschränkungen in Bezug auf den Schutz personenbezogener Daten sind dabei auf das absolut Notwendige zu beschränken.1348 d) Anzahl und Art der erhobenen Datenelemente Relevant im Rahmen der Erhebung von PNR-Daten sind die Anzahl und die Art der erhobenen Datenelemente. Das Abkommen von 2012 sieht die Erhebung von 19 verschiedenen PNR-Datenkategorien vor, sodass die Anzahl der erhobenen Daten­elemente im Vergleich zu dem Abkommen von 2007 gleich geblieben ist.1349 Im Gegensatz zu dem Abkommen von 2004 erfolgte zwar 2007 eine Reduktion auf 1344 Siehe dazu Europäisches Parlament, Press Release – MEPs refer EU-Canada air passenger data deal to the EU Court of Justice, 25.11.2014. 1345 Vgl. EuGH, Urt. v. 09.11.2010, verb. Rs. C-92/09 und C-93/09, „Schecke“, Slg. 2010, I-11149 f. Rn. 74, 79 mit Verweis auf EuGH, Urt. v. 08.06.2010, Rs. C-58/08, „Vodafone u. a.“, Slg. 2010, I-4999 Rn. 51 und die dort genannten weiteren Nachweise. 1346 In der deutschen Grundrechtsdogmatik entspricht dies im Rahmen der Verhältnismäßigkeitsprüfung der „Angemessenheit“; der EuGH nimmt jedoch normalerweise nur eine zwei­ stufige Prüfung vor. 1347 Vgl. EuGH, Urt. v. 09.11.2010, verb. Rs. C-92/09 und C-93/09, „Schecke“, Slg. 2010, Slg. 2010, I-11149 f. Rn. 77. 1348 Vgl. EuGH, Urt. v. 09.11.2010, verb. Rs. C-92/09 und C-93/09, „Schecke“, Slg. 2010, I-11149 f. Rn. 77 mit Verweis auf EuGH, Urt. v. 16.12.2008, C-73/07, Slg. 2008, I-9831 Rn. 56. 1349 Abkommen EU-US PNR 2012, Anhang, ABl. L 215 v. 11.8.2012, S. 14.

520

Teil 3: Die Übermittlung von PNR-Daten in die USA 

19 Datenelemente, jedoch sind 33 der 34 Datenelemente teilweise in leichter Veränderung weiterhin in der Liste enthalten, und es erfolgte lediglich eine Zusammenfassung dieser Datenelemente auf 19.1350 Letztendlich kommt es jedoch vor allem auf die Inhalte der Datenelemente an. Es ist somit fraglich, ob eine derartige Erhebung verhältnismäßig ist. aa) Geeignetheit Von Interesse ist zunächst, ob die Erhebung dieser Daten überhaupt geeignet ist, die Ziele der Bekämpfung des Terrorismus und der grenzüberschreitenden schweren Kriminalität zu verfolgen. Die Kommission verwies im Rahmen der Verhandlungen zum Abkommen von 2012 immer wieder auf die Erfolge, die mit der Auswertung von PNR-Daten erreicht worden seien.1351 Die genannten Erfolge wurden jedoch auf wenige Beispiele beschränkt, und es ist allgemein nicht bekannt, welche weiteren Erfolge es durch die Auswertung der Daten gab. Durchaus verständlich ist, dass sich die zuständigen Stellen nicht völlig transparent geben, was die Erfolge der Datenauswertung betrifft. Wie anhand der Beschreibung des zur Auswertung von PNR-Daten hauptsächlich herangezogenen Systems ATS jedoch erkennbar ist, nimmt das System ATS einen derart umfassenden Abgleich mit den verschiedensten Quellen und eine Verknüpfung mit einer Vielzahl von Daten­banken vor, dass es wahrscheinlich ist, dadurch relevante Erkenntnisse zur Terrorismusbekämpfung oder zur Aufdeckung schwerer Straftaten zu erlangen.1352 Es ist zudem zu berücksichtigen, dass das Wissen um die Tatsache, dass PNR-Daten von Sicherheitsbehörden ausgewertet werden, eine mögliche Abschreckung von potenziellen Terroristen bzw. Straftätern bewirken könnte. Neben Berichte zu Erfolgen bei der Verwendung von PNR im Rahmen der Terrorismusbekämpfung treten jedoch auch Stimmen, die den Nutzen von PNR-Daten für diese Zwecke anzweifeln.1353 1350

Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 10; in der Liste fehlte das Datenelement „go show information“ (Informationen über Fluggäste mit Flugschein, jedoch ohne Reservierung). 1351 Siehe dazu oben S. 399 ff. 1352 Siehe dazu oben S.  395 ff.; um jedoch den Anforderungen des PNR-Abkommens gerecht zu werden, wurden Änderungen wie Depersonalisierungsmechanismen in das System integriert; siehe dazu Europäische Kommission, Joint Review of the implementation of the Agreement between the European Union an the United States of America on the processing and transfer of passenger name records to the United States Department of Homeland Security,­ Accompanying the Report from the Commission to the European Parliament and to the Council on the joint review of the implementation of the Agreement between the European Union and the United States of America on the processing and transfer of passenger name records to the United States Department of Homeland Security, Sec(2013) 630 final, S. 4 mit Verweis auf Änderungen im System of Records Notice zum ATS, dazu Federal Register, Volume 77, Number 99 (22.05.2012), abzurufen unter http://gpo.gov/fdsys/pkg/FR-2012-05-22/html/2012-12396. htm (zuletzt geprüft am 15.03.2015). 1353 Siehe dazu bspw. einige Stellungnahmen im Rahmen der Debatten im EU-Parlament, oben S. 499 ff.

§ 16 Rechtliche Würdigung der PNR-Regelungen

521

Dass jedoch die Bekämpfung des Terrorismus bedeutsam ist und dass personenbezogene Daten für diese Zwecke von großem Wert sein können, stellte sogar die Art. 29-Datenschutzgruppe nicht in Abrede.1354 Wenn zudem berücksichtigt wird, mit welchem Nachdruck PNR-Daten zunehmend von immer mehr Staaten auf der Welt zu Sicherheitszwecken gefordert werden und dass sogar die EU selbst als sehr datenschutzsensibler Global Player an der Planung eines eigenen PNR-­Systems arbeitet, sind starke Indizien, dass PNR-Daten zum Erreichen der Zwecke der Bekämpfung des Terrorismus und der grenzüberschreitenden schweren Kriminalität durchaus geeignet sind. Es ist möglich, dass teilweise bereits ein einzelnes Datum zur Erreichung der Zwecke geeignet ist. Am plausibelsten scheint dahingehend das PNR-Datum des Namens zu sein. In den meistens Fällen wird jedoch erst eine Kombination verschiedener PNR-Datenelemente die Eignung für die genannten Zwecke begründen. Dass jedoch stets nur das „Gesamtpaket“ aller Daten geeignet ist, ist zweifelhaft. bb) Erforderlichkeit – Problematik Fraglich ist daraufhin, ob eine ausgewogene Gewichtung dieser Zwecke mit dem Schutz personenbezogener Daten vorgenommen wurde und Ausnahmen und Einschränkungen in Bezug auf den Schutz personenbezogener Daten auf das absolut Notwendige beschränkt wurden. Die Erhebung jeder der 19 Datenelemente stellt einen Eingriff in das Recht auf Datenschutz dar. Eine ausgewogene Gewichtung der in Frage stehenden Interessen bestünde in diesem Fall dann, wenn die Erhebung des jeweiligen Datenelements zur Erreichung des Zwecks notwendig gewesen wäre und entsprechende Datenschutzinteressen dabei ausreichend berücksichtigt worden wären. Es ist nicht genau bekannt, wofür die jeweiligen Datenelemente genutzt werden und welche Rückschlüsse aus bestimmten Parametern von den Sicherheitsbehörden gezogen werden. Eine größere Transparenz würde auf der einen Seite zwar die Abwägung vereinfachen, auf der anderen Seite jedoch u. U. Sicherheitsinteressen konterkarieren und Informationen offenlegen, die bei der Planung von Terroranschlägen berücksichtigt werden könnten. Sollten die Problematiken im Zusammenhang mit PNR-Daten jemals gerichtlich verhandelt werden, wären sicherlich im Rahmen des Vorbringens der Parteien zumindest für das Gericht weiterführende Ausführungen und Einblicke dienlich. Die Erkenntnisse über die Nutzung sind somit nicht sehr ergiebig. So führte auch die Art. 29-Datenschutzgruppe prägnant aus: „Es gibt einfach keine objektiven Statistiken und Nachweise, die den Wert von Fluggastdaten für die internationale Bekämpfung von Terrorismus und schweren grenzüberschreitenden 1354

Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 6, jedoch müssten neben der Auswertung personenbezogener Daten auch andere Möglichkeiten genutzt werden, um ein sicheres Reisen mit dem Flugzeug zu ermöglichen.

522

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Straftaten deutlich aufzeigen. Somit ist es nicht möglich, die Notwendigkeit oder die Angemessenheit des Rückgriffs auf Fluggastdaten zu Strafverfolgungszwecken eindeutig zu bewerten.“1355 Im Rahmen der Abwägung sind auf Grund der fehlenden Informationen daher Plausibilitätserwägungen anzustellen. Sollten die Zwecke bereits bei Anlegen dieser relativ geringen Anforderungen nicht erreichbar sein, ist nicht von der Notwendigkeit der Datenerhebung auszugehen. Zu berücksichtigen sind jedoch auch Überlegungen, dass das jeweilige Datenelement erst in Kombination mit einem oder mehreren anderen Datenelementen für die Terrorismusbekämpfung dienlich sein könnte. Eine Berücksichtigung dieser Tatsache könnte dadurch erfolgen, dass die Erforderlichkeit in jedem Fall dann verneint werden müsste, wenn die Übermittlung eines Datenelements allein betrachtet bereits als unverhältnismäßig an­ gesehen werden kann. Im Rahmen der Abwägung kann zudem davon ausgegangen werden, dass eine doppelte Erhebung von Daten – gerade auch im Hinblick auf die ausgefeilten technischen Möglichkeiten zur Auswertung  – nicht erforderlich ist. Zudem ist eine Verarbeitung von sensiblen Daten – auch wenn gerade mit ihnen möglicherweise entscheidende Erkenntnisse zur Terrorismusbekämpfung erreicht werden könnten – aufgrund des besonderen Schutzes durch das EU-Datenschutzrecht (vgl. Art. 8 DSRL) zu vermeiden. cc) Erforderlichkeit der Übermittlung des PNR-Buchungscodes Das erste erhobene Datenelement1356 betrifft den PNR-Buchungscode (Record Locator Code), auch Buchungsreferenz genannt, und ermöglicht in Verbindung mit dem Namen das Auffinden und Einsehen sowie die Abänderung der kompletten Buchung durch den Passagier selbst oder Dritte. In Verbindung mit dem Namen des Passagiers kann somit bspw. auf der Seite der Fluggesellschaft der Flug geändert oder storniert werden, es können Zusatzleistungen wie bestimmte Verpflegungen oder Mobilitätshilfen dazu gebucht oder auch Vielfliegerinformationen nachträglich eingegeben werden.1357 Informationen über die Vielfliegernummer sind jedoch bei manchen Fluggesellschaften bei erneutem Aufrufen der Buchung nur noch teilweise zu erkennen. Insgesamt gesehen ermöglicht der PNR 1355 Art.  29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 3. 1356 Siehe für die Auflistung der jeweiligen Datenelemente Abkommen EU-US PNR 2012, Anhang, ABl. L 215 v. 11.8.2012, S. 14. 1357 Neben dem Aufrufen der Buchung auf den Seiten der Fluggesellschaften direkt besteht bei verschiedenen Buchungssystemen auf speziellen Webseiten auch die Möglichkeit, die Buchung einzusehen und teilweise auch zusätzliche Leistungen hinzuzubuchen Meistens muss dafür aber direkt der Reiseanbieter bzw. der Reservierungsvermittler kontaktiert werden. Die Webseiten sind die Folgenden: www.virtuallythere.com (Sabre), www.viewtrip.com (Travelport) und www.checkmytrip.com (Amadeus) (jeweils zuletzt überprüft am 15.03.2015).

§ 16 Rechtliche Würdigung der PNR-Regelungen

523

Buchungscode somit Zugriff auf eine Vielzahl von Daten. Manche dieser Daten können durchaus als sensibel angesehen werden und Rückschlüsse auf die Gesundheit oder die Religion des Reisenden zulassen. Zu denken ist bspw. an die Information, dass ein Rollstuhl benötigt wird oder Verpflegung gebucht wurde, die bestimmten diätischen oder religiösen Voraussetzungen entspricht. Da die meisten der durch die Verbindung von PNR-Buchungscode und Name zugänglichen Daten bereits durch andere PNR-Datenelemente übermittelt werden und ein Zugriff auf sensible Daten zumindest möglich ist, ist der Buchungscode nicht erforderlich und somit zur Erreichung des Zwecks nicht notwendig. dd) Erforderlichkeit der Übermittlung des Datums der Buchung Das zweite PNR-Datenelement betrifft das Datum der Buchung bzw. der Ausstellung des Flugscheins. Aus diesem Datenelement könnten möglicherweise Rückschlüsse auf die Planung der Reise bspw., ob diese kurzfristig erfolgt ist oder nicht, gezogen werden. Es ist nachvollziehbar, dass eine solche Information wertvolle Rückschlüsse für die Sicherheitsbehörden geben kann. Auch ist in diesem Fall kein besonders intensiver Eingriff in Datenschutzinteressen zu erkennen, sodass die Erhebung dieser Information durchaus als erforderlich anzusehen ist. ee) Erforderlichkeit der Übermittlung des Datums des geplanten Fluges Das dritte zu übermittelnde Datenelement ist das Datum bzw. sind die Daten des geplanten Fluges. Mehr noch als das Datum der Reisebuchung ist dieses Datenelement essentiell, um zu wissen, wann die Einreise in die USA geplant ist. Die Informationen über die Einreise würden die zuständigen Behörden ansonsten spätestens bei der tatsächlichen Einreise erhalten. Ein Verweis darauf, dass dies ausreichend ist, überzeugt jedoch nicht. Sollte eine Verweigerung der Einreise erst in den USA erfolgen, wäre dies für den Reisenden mit deutlich mehr Aufwand verbunden.1358 Die Übermittlung dieses dritten Datenelements ist somit ebenfalls erforderlich. ff) Erforderlichkeit der Übermittlung des Namens des Reisenden Das vierte Datenelement betrifft den Namen bzw. die Namen des Reisenden. Diese Information ist essentiell für die Verbindung zu allen weiteren Datenelementen. Jedoch sollte sichergestellt werden, dass es auf Grund von Namensdopplun 1358 Die Einreiseformalitäten werden für Flüge aus Europa, mit Ausnahme bestimmter Flüge von den Flughäfen Dublin und Shannon in Irland, in den USA vorgenommen. In Dublin und Shannon erfolgt für bestimmte Flüge eine sog. U. S. Customs and Border Protection pre-clearance, sodass bestimmte Flüge von diesen Flughafen in den USA als Inlandsflug behandelt werden. Weitere solche pre-clearance Stationen befinden sich bspw. in Kananda und der Karibik.

524

Teil 3: Die Übermittlung von PNR-Daten in die USA 

gen nicht zu Nachteilen für den Reisenden kommt, wie bereits im Rahmen der Beobachtungslisten berichtet wurde.1359 In dieser Hinsicht auftretende Probleme sind jedoch u. U. durch das Redressprogramm des DHS zu korrigieren.1360 Der Name ist somit als erforderliches Datenelement anzusehen. gg) Erforderlichkeit der Übermittlung von Vielflieger- und Bonusdaten Das fünfte zu übermittelnde Datenelement betrifft verfügbare Vielflieger- und Bonusdaten. Erklärend fügt das Abkommen hinzu, dass dies „Gratisflugscheine, Upgrades usw.“ erfasse. Fraglich ist, ob hier eine ausgewogene Gewichtung der in Frage stehenden Interessen vorgenommen wurde. Die Tatsache, ob für einen Flug bezahlt wurde, ob dieser mit Bonusmeilen eines anderen Kunden gebucht wurde oder ein Upgrade in eine höhere Reiseklasse gewählt wurde, mag für die Sicherheitsbehörden der USA von Nutzen sein. Die Vielfliegerdaten werden eigentlich zur Erlangung von bestimmten Vorteilen – wie Freiflügen oder anderen Prämien  – von den Passagieren angegeben. Die Fluggesellschaften nutzen diese hingegen, um zu überprüfen, ob ein Passagier Anrecht auf eine bestimmte Leistung wie den Zugang zu einer Lounge hat oder auch zu Maßnahmen der Kundenbindung oder zur Optimierung des angebotenen Produkts. Es ist zu beachten, dass nur von bestimmten Passagieren, also solchen, die Mitglieder des Vielfliegerprogramms der jeweiligen Fluggesellschaft oder einer ihrer Partnerfluggesellschaft sind, entsprechende Daten erhoben werden und somit auch nur von diesen Passagieren die Daten an die US-Sicherheitsbehörden weitergegeben werden. Die Tatsache, dass nicht über alle Passagiere mangels Teilnahme am Vielfliegerprogramm solche Daten übermittelt werden, lässt die Annahme zu, dass die Daten zwar nützlich sein können, jedoch nicht unbedingt zur Erreichung des Zwecks erforderlich sind. Die Vielfliegerdaten mögen somit lediglich einen zusätzlichen Erkenntnisgewinn für die Sicherheitsbehörden mit sich bringen. Dies kann jedoch nicht ausreichend sein, um die Erforderlichkeit dieser Daten zu begründen. Daher sollte in zukünftigen Abkommen darauf hingewirkt werden, dass diese Daten nicht mehr übermittelt werden müssen. Die Auswertung von anderen Daten kann durchaus ausreichend sein. Sollten Erkenntnisse aus Vielfliegerdaten essentielle Vorteile zur Erreichung des verfolgten Zwecks bieten können, wären diese zumindest den verantwortlichen Stellen auf Seiten der EU darzulegen und mit konkreten Fällen zu belegen.

1359

Zu den Beobachtungslisten siehe oben S. 314 ff. Zu dem Redressprogramm des DHS siehe unten S. 556 ff.

1360

§ 16 Rechtliche Würdigung der PNR-Regelungen

525

hh) Erforderlichkeit der Übermittlung von anderen im PNR-Datensatz enthaltenen Namen Als Datenelement Nr.  6 werden andere Namen, die in dem PNR-Datensatz enthalten sind, einschließlich der Anzahl der in dem Datensatz erfassten Reisenden übermittelt. Die Erforderlichkeit dieser Daten ist wiederum fraglich. Zunächst ist anhand der Formulierung darauf zu schließen, dass jegliche Namen, die im PNR genannt sind, übermittelt werden müssen. Dies würde neben Mitreisenden bspw. auch Namen von Personen einschließen, die den Flug mit ihrer Kreditkarte bezahlt haben oder den Flug im Reisebüro gebucht haben, jedoch nicht an Bord des ­Fluges sind. Rückschlüsse für die verfolgten Zwecke könnten sich für die Sicherheitsbehörden bspw. aus der Information über die Zahlung des Tickets ergeben. Bei Personen, die bspw. das Ticket bezahlt haben, aber nicht selbst an Bord des Flugzeuges sind, ist zumindest die unmittelbare Gefahr für den konkreten Flug als geringer einzuschätzen. Von Personen, die den Flug bezahlt haben und auch an Bord sind, wird derselbe PNR-Datensatz sowieso übertragen. Da aber somit u. U. auch Daten von Personen übertragen und weiterverarbeitet werden, die nicht selbst an Bord des Flugzeugs sind, scheint keine ausreichende Berücksichtigung von Datenschutzinteressen dieser Personen vorgenommen worden zu sein. Da von ihnen personenbezogene Daten erhoben werden, sie selbst aber nicht derart unmittelbar wie ein Passagier im Zusammenhang mit dem konkreten Flug in die USA stehen, kann die Übermittlung dieser Daten folglich nicht als erforderlich und damit unverhältnismäßig angesehen werden. Dies kann mit überzeugenden Argumenten auch anderes gesehen werden. So sind durch entsprechende Informationen Rückschlüsse auf Hintermänner bzw. Befehlshaber und Netzwerke möglich. Letztendlich muss jedoch ein Ausgleich der konfligierenden Interessen erreicht werden. Dabei scheint es interessengerecht, gerade die Daten, die nicht konkret im Zusammenhang mit dem jeweiligen Flug stehen, nicht zu erheben. Dass die Anzahl der erfassten Reisenden übermittelt wird, geht mit der Übermittlung der Namen der Reisenden einher und ist logische Folge dieser Übermittlung. ii) Erforderlichkeit der Übermittlung von sämtlichen verfügbaren Kontaktinformationen Des Weiteren sind als siebtes Datenelement sämtliche verfügbaren Kontaktinformationen, einschließlich Informationen zum Dateneingeber, zu übermitteln. Ähnliches wie zum Datenelement Nr.  6 gilt für dieses Datenelement. Informationen zum Dateneingeber, wenn dieser sich nicht selbst auf dem Flug befindet und somit von ihm kein eigener PNR-Datensatz übermittelt wird, sind nach der hier vertretenen Auffassung nicht erforderlich, da keine derart unmittelbare Gefahr von diesen Personen wie von den Passagieren auf dem konkreten Flug ausgeht. Aus diesem Grund sollte in Zukunft darauf hingewirkt werden, dieses Daten­

526

Teil 3: Die Übermittlung von PNR-Daten in die USA 

element nicht mehr zu übermitteln oder es entsprechend abzuändern, sodass nur noch die tatsächlich auf diesem Flug reisenden Passagiere betroffen sind. jj) Erforderlichkeit der Übermittlung von Zahlungs- bzw. Abrechnungsinformationen Zudem müssen als achtes Datenelement sämtliche verfügbaren Zahlungs- bzw. Abrechnungsinformationen an die zuständigen Behörden in den USA übertragen werden. Einschränkend wird jedoch hinzugefügt, dass die Übermittlung „ohne weitere Transaktionsdetails für eine Kreditkarte oder ein Konto, die nicht mit der die Reise betreffenden Transaktion verknüpft sind“, zu erfolgen hat. Zahlungsdaten sind für die USA seit langem eine wichtige Quelle im Rahmen der Terrorismusbekämpfung, was bereits an der Diskussion um die Übermittlung von SWIFTDaten und dem diesbezüglichen Abkommen ersichtlich wird.1361 Zahlungs- bzw. Abrechnungsinformationen scheinen eine besondere Bedeutung vor allem in Bezug auf Rückschlüsse zur Finanzierung des Terrorismus zu haben. Dieses Datenelement ist auch das einzige der 19 Datenelemente, das in der Aufzählung bereits eine Einschränkung enthält, wodurch die beiden Interessen Datenschutz und Sicherheit zum Ausgleich gebracht worden zu sein scheinen. Es sind die Transak­ tionsdetails für die konkrete Reise zu übermitteln, darüber hinausgehende Daten nicht. Sollte dies tatsächlich technisch möglich sein, kann die Forderung dieses Datenelements zwar grundsätzlich als verhältnismäßig angesehen werden. Sollte die Zahlung jedoch von einem Dritten durchgeführt worden sein, sind die Buchungsdetails – aus den bereits genannten Erwägungen – nicht zu übermitteln und somit nicht erforderlich. kk) Erforderlichkeit der Übermittlung der Reiseroute Als Datenelement Nr. 9 wird die Übermittlung der von dem jeweiligen PNR-Datensatz umfassten Reiseroute gefordert. Dieses Datenelement kann nur eine Rolle spielen, wenn über den ersten Flug hinaus ein Weiterflug geplant ist. Die Flug­ nummer des Fluges zwischen der EU und den USA ist stets bekannt. Ob eine Übermittlung der weiteren Reiseroute erforderlich ist, ist zu klären. Zunächst ist in Bezug auf die Reiseroute bei Flügen in die USA festzustellen, dass weitere rechtliche Anforderungen ausschließlich Angelegenheit der Vereinigten Staaten sind, es steht ihnen auf Grund ihrer Hoheitsbefugnisse frei, von Einreisenden den weiteren Verlauf ihrer Reise – wünschenswert aus europäischer Sicht auf der Basis einer rechtlichen Grundlage – zu verlangen. Vereinfacht wird dies für Passagiere, wenn dies bereits durch die Übermittlung der PNR-Daten erfolgt, notwendig ist dies jedoch nicht. In Bezug auf Flüge aus den USA nach Europa könnte jedoch etwas anderes 1361

Siehe dazu ausführlich Hummer, Archiv des Völkerrechts 49 (2011), 203.

§ 16 Rechtliche Würdigung der PNR-Regelungen

527

gelten. Diese Flüge sind gem. Art. 2 II und III des Abkommens auch vom PNRAbkommen umfasst. Die möglichen Erkenntnisse aus der Information, wohin ein Passagier nach seiner Rückkehr aus den USA weiterreist, könnten sehr relevant für die Terrorismusbekämpfung sein. Gleiches gilt zudem für den Umstieg auf der Reise­route vor Erreichen der USA. Die damit einhergehende Einschränkung der Datenschutzinteressen eines Passagiers scheint relativ gering. Unter Abwägung der Interessen ist daher noch von der Erforderlichkeit der Übermittlung auszugehen. ll) Erforderlichkeit der Übermittlung von Informationen über das Reisebüro Außerdem muss als zehntes Datenelement die Information über das „Reisebüro“ übertragen werden. Auch bei diesem Datenelement stellt sich die Frage nach der Erforderlichkeit. Rückschlüsse aus den Informationen zur Erreichung des Zwecks könnten durch positive Treffer mit anderen Buchungen, die Terrorverdächtige im selben Reisebüro vorgenommen haben, erlangt werden. Zwar scheint die Information darüber, in welchem „Reisebüro“ gebucht wurde, nicht besonders schwer in das Datenschutzgrundrecht des Reisenden einzugreifen, jedoch werden wiederum Daten von unbeteiligten Dritten erhoben. Ob diese u. U. als juristische Personen in den Schutzbereich des Datenschutzgrundrechts fallen, ist jedoch nicht vollständig geklärt. Zu berücksichtigen ist zudem, dass Flugbuchungen heutzutage oftmals nicht mehr in „klassischen“ Reisebüros vorgenommen werden, sondern bei großen Reiseportalen im Internet erfolgen. Rückschlussmöglichkeiten aus der Information, dass ein Reisender, wie zehntausende andere Reisende, bei einem der großen Reiseportale gebucht hat, scheinen daher gering zu sein. Da zumindest die Möglichkeit besteht, auch Daten von unbeteiligten Dritten zu erheben und der Nutzen zum Erreichen der Zwecke nicht besonderes groß erscheint, ist die Übermittlung dieser Information nicht als erforderlich anzusehen. Zwar ist auch hier wieder die Möglichkeit gegeben, durch die Erhebung dieser Daten Infor­ mationen über den Hintergrund bei Netzwerken zu erlangen, im Rahmen eines Ausgleichs der konfligierenden Interessen sollte jedoch auf die Erhebung dieser Daten verzichtet werden. mm) Erforderlichkeit der Übermittlung von Code-Sharing-Informationen Daneben sind als elftes Datenelement Code-Sharing-Informationen zu übermitteln. Unter Code-Sharing ist eine Form der Kooperation zwischen Fluggesellschaften zu verstehen, bei der eine Fluggesellschaft den Flug durchführt und eine oder mehrere andere Fluggesellschaften unter eigener Flugnummer Plätze auf diesem Flug anbieten. Aus den Code-Sharing-Informationen lässt sich bspw. ableiten, dass der Passagier einen der von einer anderen Fluggesellschaft angebotenen

528

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Plätze auf dem Flug erworben hat. Die Grundrechtsrelevanz dieser Information ist gering, ein Nutzen der Information wohl nur in Kombination mit anderen Informationen relevant. Die Erhebung dieser Daten kann als erforderlich angesehen werden. nn) Erforderlichkeit der Übermittlung von Informationen über Buchungssplitting Darüber hinaus werden als Datenelement Nr. 12 auch Informationen über Buchungssplitting bzw. Buchungsteilung verlangt. Beim Buchungssplitting wird ein PNR-Datensatz, in den zwei oder mehrere Passagiere aufgenommen wurden, geteilt. Die aus dem ursprünglichen PNR-Datensatz herausgelösten Informationen werden zu einem eigenständigen PNR-Datensatz mit einem eigenen PNR-­ Buchungs­code. Eine solche Buchungsteilung erfolgt bspw., wenn eine Person den Flug umbuchen will und nicht mehr die identische Strecke wie die anderen Personen, deren Buchung weiterhin im ursprünglichen PNR-Datensatz enthalten sind, abfliegt. Fraglich ist die Erforderlichkeit der Datenübermittlung bzgl. dieses Datenelements. Ein Nutzen einer solchen Information zu den vorgesehenen Zwecken ist durchaus vorstellbar. So könnte die Tatsache, dass mehrere Passagier, die ursprünglich einen gemeinsamen Reiseverlauf gebucht haben und nach Umbuchung zu völlig verschiedenen Destinationen weiterfliegen, Anlass geben, die Gründe dafür näher zu erforschen. In Verbindung mit anderen Informationen kann diese Information zu weitreichenderen Erkenntnissen führen. Die Grundrechtsrelevanz der Information, dass eine Buchung „gesplittet“ wurde, ist jedoch nicht besonders hoch. Daher ist hier ein Überwiegen der Sicherheitsinteressen erkennbar und die Übermittlung dieses Datenelements als erforderlich anzusehen. oo) Erforderlichkeit der Übermittlung des Reisestatus des Fluggastes Zudem wird als Datenelement Nr. 13 auch der Reisestatus des Fluggastes einschließlich „Bestätigungen und Eincheckstatus“ für relevant gehalten und muss übermittelt werden. Unter „Bestätigungen“ könnten u. a. Informationen zur ESTARückmeldung verstanden werden.1362 Aus dem Eincheckstatus lässt sich zunächst selbstverständlich erkennen, ob der Passagier sich auch für den Flug eingecheckt hat, und dann auch, ob er sich tatsächlich an Bord des Fluges befindet. Diese Informationen können in Verbindung mit anderen Informationen möglicherweise zur Risikoeinschätzung genutzt werden. Auch aus der Tatsache, dass ein Passagier den Flug nicht angetreten hat, lassen sich Rückschlüsse ziehen. Zumindest die Information über die Tatsache, dass sich ein Passagier an Bord des Flugzeuges befindet, ist unter Abwägung des angestrebten Zwecks der Maßnahme mit dem Datenschutz verhältnismäßig: Die datenschutzrechtliche Relevanz dieser Information ist nicht 1362

Siehe dazu oben S. 395 ff.

§ 16 Rechtliche Würdigung der PNR-Regelungen

529

besonders bedeutsam, sie besagt lediglich, dass ein gebuchter Flug tatsächlich angetreten wurde. Diese Information würde ansonsten wenige Stunden später bei der Einreise bekannt. Fraglich ist, ob etwas anderes für Passagiere zu gelten hat, die ihren Flug nicht angetreten haben. Da Daten bereits erstmals Stunden vor dem Abflug übertragen werden, kann dieser Rückschluss bereits aus den vorhandenen Informationen und einer Nichtmeldung des Boarding gezogen werden. Es ist jedoch nicht auszuschließen, dass sich bei Flügen aus dem Eincheckstatus wichtige Informationen über einen längeren, möglicherweise illegalen, Verbleib auf US-­Boden ergeben können. Ein Abgleich mit Visumsdatenbanken findet im Rahmen des ATS nämlich ebenfalls statt.1363 Diesbezüglich fehlt der EU aber ein Einfluss auf die USA, da diese Maßnahme sich auf US-Hoheitsgebiet abspielt. Somit sind Informationen über den Eincheckstatus ebenfalls als erforderlich anzusehen. pp) Erforderlichkeit der Übermittlung von Flugscheininformationen Datenelement Nr. 14 betrifft Flugscheininformationen (Ticketing Information), inklusive Flugscheinnummer, Hinweis auf einen etwaigen einfachen Flug (One Way Ticket) und automatische Tarifanzeige (Automatic Ticket Fare Quote). Seit dem 1.  Juni 2008 hat die Luftfahrtindustrie zu einhundert Prozent auf elektronische Tickets umgestellt, sodass keine Papiertickets mehr ausgestellt werden und somit diese auch nicht mehr verloren werden können. Sämtliche Informationen zu einem Ticket sind elektronisch gespeichert und gehen über die im Daten­element Nr.  14 explizit genannten Flugscheininformationen hinaus. So beinhalten die Ticket­informationen u. a. noch Informationen zum erlaubten Gepäck, zur Gültigkeitsdauer und zum Namen. Der Wortlaut des Datenelements Nr. 14 lässt darauf schließen, dass sämtliche Ticketinformationen übertragen werden sollen, die vorhanden sind. Fraglich ist bereits die Erforderlichkeit der drei explizit genannten Flugscheininformationen. Hinsichtlich der Flugscheinnummer gilt das bereits zur Erforderlichkeit des PNR-Buchungscodes ausgeführte: Bei vielen Fluggesellschaften ist damit ein Zugriff auf die komplette Buchung und somit auch etwaige sensible Informationen möglich.1364 Aus diesem Grund ist die Flugscheinnummer nicht erforderlich und sollte daher nicht übermittelt werden. Die zweite genannte Information betrifft den Hinweis auf einen etwaigen einfachen Flug. Gerade diese Information scheint zur Erreichung des verfolgten Zwecks eine bedeutende Relevanz aufzuweisen. Die Grundrechtsrelevanz ist jedoch auch in diesem Fall nicht besonders hoch, da bei der Einreise oftmals glaubhaft gemacht werden muss, dass kein Vorhaben besteht, auf Dauer in den USA bleiben zu wollen und als Nachweis dafür oftmals ein Rückflugticket nachgewiesen wird. Die 1363

Siehe dazu oben S. 399 ff. Siehe dazu oben bereits die Ausführungen zur Erforderlichkeit des PNR-Buchungscode, S. 522. 1364

530

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Möglichkeiten, die diese Information bietet, in Verbindung mit der relativ geringen Grundrechtsrelevanz führt daher dazu, die Übermittlung dieser Information als erforderlich anzusehen. Die dritte explizit genannte Flugscheininformation betrifft die automatische Tarifanzeige (Automatic Ticket Fare Quote)  und umfasst neben der Art des gebuchten Tarifs auch den Preis. Gebuchter Tarif und Preis weisen eine geringe Grundrechtsrelevanz auf, dürften jedoch  – gerade in Kombination mit weiteren Datenelementen – bedeutende Rückschlüsse erlauben. So ist bspw. die Flexibilität eines Tickets ersichtlich, ob es umgebucht werden kann, der Rückflug bereits festgelegt ist oder nur an einem bestimmten Tag Gültigkeit hat. Die Übermittlung dieser Information ist somit erforderlich. Insgesamt ist daher auf die Übermittlung der Flugscheinnummer zu verzichten. Die Übermittlung der beiden weiteren explizit genannten Informationen ist jedoch verhältnismäßig. Grundsätzlich sollten die geforderten Ticketinformationen enumerativ aufgezählt werden und auch nur diese übertragen werden. Die hier genutzte Formulierung zum Datenelement Nr.  14 genügt diesen Anforderungen­ jedoch nicht, da davon sämtliche Ticketinformationen umfasst sind. qq) Erforderlichkeit der Übermittlung von Informationen zum Gepäck Das fünfzehnte zu übermittelnde Element umfasst sämtliche Informationen zum Gepäck. Ein beträchtlicher Erkenntnisgewinn für die Verfolgung der Zwecke ist denkbar. So könnte bspw. die Tatsache, dass eine mehrwöchige Reise ohne Gepäck angetreten wird, Anlass geben, die Ursachen dafür genauer zu evaluieren. Die Information darüber, dass und wieviel Gepäck mitgenommen wurde, scheint hingegen nicht besonders grundrechtsrelevant zu sein. Somit ist die Übermittlung von Informationen über das Gepäck als erforderlich anzusehen. rr) Erforderlichkeit der Übermittlung von Sitzplatzinformationen Als Datenelement Nr. 16 sind Sitzplatznummer und sonstige Sitzplatzinformationen zu übermitteln. Fraglich ist zunächst, worin der Erkenntnisgewinn einer solchen Information bestehen kann. Einen Erkenntnisgewinn könnte die Information nämlich wohl nur in Verknüpfung mit anderen Informationen ergeben. Ein Beispiel für die Relevanz des Sitzplatzes für die Terrorismusbekämpfung zeigt das Beispiel des sog. „Schuhbombers“ Richard Reid, der möglicherweise durch eine PNR-­Datenauswertung aufgefallen wäre.1365 Der Brite Richard Reid hatte am 22. Dezember 2001 auf einem Flug von Paris nach Miami seinen Sitzplatz über den 1365

Siehe dazu Kringiel, Qaida-Terrorist Richard Reid – Der Mann, der uns die Schuhe auszog, http://einestages.spiegel.de/external/ShowTopicAlbumBackground/a27181/l0/l0/F.html (zuletzt geprüft am 15.03.2015).

§ 16 Rechtliche Würdigung der PNR-Regelungen

531

Tragflächen, in denen sich das Kerosin befindet, ausgewählt.1366 Er versuchte während des Fluges, eine in seinem Schuh befindliche Bombe zu zünden, woran er jedoch von Passagieren noch gehindert werden konnte.1367 Das Beispiel verdeutlicht, dass ein Erkenntnisgewinn durch die Information möglich ist. Eine besondere Grundrechtsrelevanz ist hier nicht zu erkennen, sodass das Interesse an der Verfolgung von schweren Straftaten und Terrorismus hier überwiegt und die Übermittlung von Informationen über den Sitzplatz daher als erforderlich anzusehen ist. ss) Erforderlichkeit der Übermittlung von allgemeinen Eintragungen Des Weiteren sind auch als siebzehntes Datenelement sog. „allgemeine Eintragungen einschließlich OSI, SSI- und SSR-Informationen“ zu übermitteln. OSI steht für „Other Service Information“, SSR ist die Abkürzung „Special Service Request“ und SSI bedeutet „Special Service Information“.1368 Die genannten zu übermittelnden PNR-Daten stellen selbst keine sensiblen Daten dar, jedoch können die genannten Datenfelder durchaus sensible Datenelemente beinhalten.1369 Unter „Other Service Information“ werden nur Informationen über den Passagier an die Fluggesellschaft im Freitext weitergegeben (bspw. VIP, Informationen über Anschlussflüge oder Informationen darüber, dass der Reisende mit einem Säugling reist), jedoch nicht über die Bestellung spezieller Dienstleistungen.1370 In das Feld „Special Service Request“ werden spezielle Dienstleistungsanfragen an die Flug­ gesellschaft eingegeben, die dann bereit gestellt werden wie bspw. dass ein Kind alleine reist, ein älterer Reisender einen Rollstuhl benötigt oder ein bestimmte Art von Verpflegung gewünscht ist.1371 In das Feld wird bspw. im Buchungssystem Amadeus jeweils ein vierstelliger Code für eine bestimmte Information eingegeben wie 1366

Siehe dazu bspw. Wald, Safety Board Complains to F. A. A. Over Fuel Tanks, 14.07.2005, http://www.nytimes.com/2005/07/14/nyregion/14twa.html?pagewanted=print&_r=0 (zuletzt geprüft am 15.03.2015). 1367 Siehe dazu bspw. Wald, Safety Board Complains to F. A. A. Over Fuel Tanks, 14.07.2005. 1368 So bspw. Amadeus, Amadeus Passenger Name Record – User Guide, S. 13, http://www. amadeusschweiz.com/en/documentation/usermanuals.html?file=assets/theme/content/docs/ en/usermanuals/Amadeus_Passenger_Name_Record.pdf (zuletzt geprüft am 15.03.2015); AEA – Association of European Airlines, Q&A: Passenger Name Record data (PNR), http://files.aea. be/News/AEA_QAPNR.pdf (zuletzt geprüft am 15.03.2015). 1369 Vgl. bereits Art.  29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 13; die Datenfelder, die sensible Daten enthalten könnten, sind dort die Datenfelder Nr. 17 „Allgemeine Bemerkungen einschließlich OSI, SSI und SSR“ und Nr. 19 „Historie aller Änderungen der PNR-Daten“. 1370 AEA  – Association of European Airlines, Q&A:  Passenger Name Record data (PNR); Amadeus, Amadeus Passenger Name Record – User Guide, S. 13; siehe dazu auch die Diskussion im Datenschutzforum des BfDI unter https://www.bfdi.bund.de/bfdi_forum/archive/index. php/t-1863.html (zuletzt geprüft am 15.03.2015), u. a. mit Verweis auf das Dokument der AEA. 1371 Amadeus, Amadeus Passenger Name Record – User Guide, S. 13; AEA – Association of European Airlines, Q&A: Passenger Name Record data (PNR).

532

Teil 3: Die Übermittlung von PNR-Daten in die USA 

„VGML“ für vegetarian meal bzw. vegetarisches Essen.1372 Weitere Codes, die eingegeben werden können, sind bspw. „DBML“ für ein Diabetiker-Menü, „LFML“ für ein Cholesterin- und fettreduziertes Menü, „LSML“ für ein natriumreduziertes Menü für Passagiere mit Bluthochdruck, „MOML“ für ein Halal Menü oder auch „BLND“ für einen Passagier, der nicht sehen kann, „WCHR“ für einen Rollstuhl oder „WEAP“ für eine angemeldete Waffe.1373 In das Feld „Special Service Information“ können zudem zusätzliche Informationen, die nicht von einem Code als SSR gedeckt sind, oder sonstige Eintragungen im Freitext vorgenommen werden.1374 In den Feldern SSI und SSR kann es somit zu Überschneidungen kommen, wenn eine bereits durch einen Code eingegebene Information im Feld SSR nochmals im Freitext als SSI wiederholt wird.1375 Wie bereits an den Beispielen erkennbar ist, sind gerade diese Informationen zur Erreichung der mit der PNR-Auswertung angestrebten Ziele äußerst relevant, da sie eine Vielzahl an unterschiedlichen Informationen enthalten und möglicherweise Rückschlüsse erlauben, welche Passagiere einer genaueren Überprüfung unterzogen werden sollten und welche nicht (bspw. wäre wohl keine weitere Sicherheitsüberprüfung notwendig bei einem alleinreisenden Kind von sieben Jahren). Insbesondere die Eintragungen im Feld SSR scheinen für die Auswertung Relevanz zu haben, da sie bspw. bei Amadeus standardisiert einen vierstelligen Code enthalten und auf bestimmte Codes durchsucht werden können. In den Freitextfeldern werden hingegen möglicherweise unterschiedliche Formulierungen verwendet. Diese sind anfälliger für Rechtschreibfehler, sodass eine Überprüfung nicht in der Weise standardisiert vorgenommen werden können mag wie bei dem SSR Textfeld. Neben dem besonders hohen Nutzen für die mit der PNR-Auswertung verfolgten Ziele ist auch eine hohe Grundrechtsrelevanz erkennbar. Viele der in den genannten Feldern eingegebenen Informationen können nämlich als sensible Informationen angesehen werden und dürften daher – zumindest nach EU-Datenschutzstandards, vgl. Art. 8 DSRL – nur unter besonderen Voraussetzungen verarbeitet werden. Die Gefahr der Verarbeitung von sensiblen Daten wird auch im Abkommen angesprochen. Art. 6 des Abkommens von 2012 widmet sich ausschließlich diesen Daten. Nach Art. 6 I des Abkommens „filtert das DHS mit Hilfe automatisierter Systeme die sensiblen Daten aus den PNR-Daten heraus und macht sie unkenntlich“. Das Verarbeitungsverbot aus Art. 6 I wird jedoch in Art. 6 III eingeschränkt. Es erlaubt Zu 1372

Amadeus, Amadeus Passenger Name Record – User Guide, S. 13. Amadeus, Amadeus Air Advanced – Grundlagenseminar Trainingshandbuch, Januar 2009, S. 10 f., http://www.amadeus.com/at/documents/aco/at/AMADEUS%20AIR%20ADVANCED. pdf (zuletzt geprüft am 15.03.2015); siehe auch die sehr auschlussreiche Aufstellung mit Erklärungen von verschiedenen angebotenen Verpflegungen auf der Homepage der Fluggesellschaft Emirates unter http://www.emirates.com/de/german/plan_book/essential_information/dietary_ requirements.aspx (zuletzt geprüft am 15.03.2015). 1374 Siehe dazu bspw. AEA – Association of European Airlines, Q&A: Passenger Name Record data (PNR). 1375 Siehe die dazu die Diskussion im Datenschutzforum des BfDI unter https://www.bfdi. bund.de/bfdi_forum/archive/index.php/t-1863.html (zuletzt geprüft am 15.03.2015). 1373

§ 16 Rechtliche Würdigung der PNR-Regelungen

533

griff, Verarbeitung und Verwendung in Ausnahmefällen unter Einhaltung bestimmter Verfahren und bei Genehmigung durch einen leitenden DHS-Bediensteten. Die Ausnahmen sind einschlägig, „wenn eine Gefahr für Leib und Leben von Personen“ besteht. Art. 6 IV enthält zudem Löschungsfristen für die sensiblen Daten, erlaubt jedoch die Aufbewahrung „zwecks Ermittlungen, Strafverfolgungs- oder Strafvollzugsmaßnahmen in einem konkreten Fall für die in den Vorschriften der Vereinigten Staaten vorgesehene Dauer“. Diese „Sicherheiten“ können jedoch nicht überzeugen. Zwar werden bestimmte verfahrensrechtliche Voraussetzungen angeführt, die Verwendung der Daten, „wenn eine Gefahr für Leib und Leben von Personen“ besteht, ist aber sehr weit gefasst. Es ist Zweck der Terrorismusbekämpfung, dass sie eine „Gefahr für Leib und Leben von Personen“ abwenden soll. Daher ist es zumindest denkbar, dass dieses Argument stets angeführt werden könnte, wenn eine Auswertung von sensiblen Daten im Einzelfall gewünscht ist. Es kann somit keine ausgewogene Gewichtung der in Fragen stehenden Interessen erkannt werden. Zwar ist nachvollziehbar, dass gerade sensible Informationen essentiell für die Einschätzungen der Sicherheitsbehörden sein können, jedoch ist auch zu beachten, dass bereits eine Vielzahl anderer Datenelemente übermittelt und ausgewertet werden. Gerade bei sensiblen Daten ist zudem das in Europa bestehende erhöhte Schutzerfordernis für diese Daten zu berücksichtigen und in die Abwägung der konfligierenden Interessen einzubeziehen. Die Übermittlung von sensiblen Daten hat daher nicht zu erfolgen. Zudem sollten die Daten nicht beim DHS nach Übermittlung gefiltert werden, sondern bereits vor Übermittlung bei den ursprünglichen Datenverarbeitern, den Fluggesellschaften mit Hilfe der Buchungssysteme.1376 tt) Erforderlichkeit der Übermittlung von APIS-Informationen Unter Datenelement Nr. 18 werden zudem APIS-Informationen, auch API-Daten genannt, angefordert. API-Daten sind nach Definition der EU „die biografischen Informationen aus dem maschinenlesbaren Teil des Reisepasses“1377 und umfassen in der EU vor allem Name, Staatsangehörigkeit, Geburtsdatum und Nummer des Reisedokuments, die Flugnummer, Abflugs- sowie Ankunftszeit und auch Ab- und Zielflughafen.1378 In den USA werden darüber hinaus noch weitere Daten wie bspw. die Adresse in den USA oder der Status an Bord (Crew oder Passagier) oder auch der PNR-Buchungscode erhoben.1379 Das Abkommen fordert, dass sämtliche im PNR 1376

So auch Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 13. 1377 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 7. 1378 Rat der Europäischen Union, API-Richtlinie, ABl. L 261 v. 06.08.2004, Art. 3 II. 1379 US DHS, Privacy Impact Assessment Update for the Advance Passenger Information System (APIS), 23.06.2011, S. 3 f.; Informationen über API-Daten und ihre unterschiedliche Reichweite bietet von Seiten der Fluggesellschaften bspw. Emirates unter http://www.emirates. com/de/german/help/faqs/FAQDetails.aspx?faqId=193410 (zuletzt geprüft am 15.03.2015).

534

Teil 3: Die Übermittlung von PNR-Daten in die USA 

enthaltenen APIS-Informationen übertragen werden.1380 Fraglich ist, ob die Übermittlung dieser Daten erforderlich ist. Zunächst von Interesse ist jedoch, ob API-­ Daten überhaupt im Rahmen des PNR-Abkommen übertragen werden dürfen. Bei der Übermittlung von Daten in ein Drittland sind angemessene Garantien zum Datenschutz notwendig. Dies ist der Grund für den Abschluss des PNRAbkommens zwischen der EU und den USA. Gegenstand des Abkommens sind PNR-Daten, also Daten, die ursprünglich von Fluggesellschaften für kommerzielle Zwecke erhoben worden sind. API-Daten sind jedoch keine ursprünglich für kommerzielle Zwecke erhobenen Daten und daher eine von PNR-Daten zu unterscheidende Kategorie von Daten. Dass es sich bei API-Daten um eine von PNR-Daten verschiedene Kategorie von Daten handelt, macht die EU selbst in ihrem Entwurf für ein EU-eigenes PNR-System deutlich. Dort führt die Kommission aus: „PNRDaten sind keine erweiterten Fluggastdaten (API-Daten) und dürfen nicht damit verwechselt werden. API-Daten sind die biografischen Informationen aus dem maschinenlesbaren Teil des Reisepasses und enthalten den Namen, den Geburtsort und die Staatsangehörigkeit des Betreffenden sowie die Nummer und die Gültigkeitsdauer des Reisepasses. Es handelt sich dabei also um andere Daten, deren Umfang im Vergleich zu PNR-Daten stärker begrenzt ist.“1381 API-Daten werden von Fluggesellschaften oftmals innerhalb des PNR gespeichert, dies ist jedoch nicht zwingend notwendig, da auch ein anderer, separater Speicherungsort möglich wäre.1382 Zwar scheinen API-Daten weniger in Datenschutzgrundrechte von Personen einzugreifen, da nur bereits bekannte Straftäter damit entdeckt werden können1383 und auch keine Auswertung mit Hilfe von kommerziellen Daten wie bei PNR-Daten erfolgt. Jedoch lassen gerade die vielfältigen Abgleichmöglichkeiten einen weiteren Erkenntnisgewinn durch API-Daten zumindest möglich erscheinen.1384 Teilweise wird die Übermittlung von APIS-Informationen dadurch gerechtfertigt, dass die darauffolgende Überprüfung lediglich eine vorgezogene Passkontrolle darstellt und diese Daten bei der Einreise in ein Land sowieso hätten angegeben werden müssen.1385 Dies kann jedoch nicht überzeugen und wäre u. U. lediglich bei ausschließlicher Weitergabe der im maschinenlesbaren Teil des Passes gespeicherten Informationen zu rechtfertigen. Jedoch würde eine Übermittlung der Daten auch von Passagieren vorgenommen, die letztendlich gar nicht fliegen, 1380 Im Deutschen wird dies mit „Etwaige APIS-Informationen“, im Englischen mit „Any collected APIS information“ umschrieben. 1381 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 7. 1382 Vgl. dazu Hasbrouck, What’s in a Passenger Name Record (PNR)? mit weiteren Ausführungen zur API-Datenerhebung. 1383 So Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 8. 1384 Siehe dazu insb. oben S. 399 ff. 1385 Vgl. dazu bspw. die Darstellung der Praxis bei Hasbrouck, What’s in a Passenger Name Record (PNR)?.

§ 16 Rechtliche Würdigung der PNR-Regelungen

535

da – wie es das Abkommen gem. Art. 15 III bestimmt – bereits erstmals 96 Stunden vor Abflug die Daten übermittelt werden müssen. API-Informationen, die bspw. die USA einfordern, gehen zudem mittlerweile weit über die Informationen im maschinenlesbaren Teil des Reisepasses hinaus und umfassen u. a. auch Angaben zur Adresse im Zielland oder den PNR-Buchungscode.1386 Das Abkommen zu PNR-Daten ist im Hinblick auf die dort im Vordergrund stehenden Daten, die ursprünglich für kommerzielle Zwecke erhoben wurden, auch nicht als Rechtsgrundlage heranzuziehen, da es sich bei API-Daten  – wie ausgeführt  – nicht um kommerzielle Daten handelt. Die bloße Nennung von API-­ Daten als eines der Datenelemente ist auch nicht als ausreichende Rechtsgrundlage anzusehen. Somit erfolgt die Übermittlung von API-Daten ohne Rechtsgrundlage. Daher ist eine Rechtsgrundlage für die Übermittlung von API-Daten zu fordern. Dass eine solche notwendig ist, ist auch am Vorgehen der EU selbst im Hinblick auf API-Datenübermittlung im Verhältnis zu den EU Außengrenzen zu erkennen. Für die Übermittlung von API-Daten bei Flügen in die EU existiert die sog. APIRichtlinie, die in innerstaatliches Recht umgesetzt wurde und damit Rechtsgrundlage für den API-Transfer bei den Flügen in die EU ist.1387 Ein Verweis auf das Prinzip der Gegenseitigkeit als Grundlage für die Übermittlung von API-Daten in die USA kann nicht überzeugen, da eine reziproke Übermittlung u. a. nur dann erfolgen könnte, wenn die jeweiligen API-Daten auch identisch sind.1388 Des Themas einer Rechtsgrundlage für die Übermittlung von API-Daten durch Fluggesellschaften an Drittländer nahm sich im Sommer 2013 auch die Art. 29-­ Datenschutzgruppe in einem Brief an Innenkommissarin Malmström an.1389 Dabei stellte die Datenschutzgruppe zunächst heraus, dass zwar mit der Richtlinie 2004/ 82/EG des Rates vom 29. April 2004 über die Verpflichtung von Beförderungsunternehmen, Angaben über die beförderten Personen zu übermitteln, eine Rechtsgrundlage für Flüge aus Drittländern in die EU existiere.1390 Es bestehe jedoch keine Rechtsgrundlage im europäischen Recht für den Transfer von API-Daten aus 1386 US DHS, Privacy Impact Assessment Update for the Advance Passenger Information System (APIS), 23.06.2011, S. 3 f. 1387 Siehe Rat der Europäischen Union, API-Richtlinie, ABl. L 261 v. 06.08.2004, in Deutschland hat der Gesetzgeber die API-Richtlinie durch das Dritte Gesetz zur Änderung des BPolG v. 22.12.2007, BGBl. I 2007 S. 3214 in § 31a BPolG umgesetzt; dazu Gnüchtel, in: ­Heesen, Bundespolizeigesetz, 5. Aufl. 2012, § 31 a PolG – Übermittlung von Fluggastdaten. 1388 So verweist Hummer, Archiv des Völkerrechts 49 (2011), 203 (238 f.) auf einen Austausch auf „reziproker Basis“, stützt sich dabei jedoch nicht auf die APIS-RL und die Rechtsgrundlagen in den USA (dazu oben S. 393, Fn. 610), sondern verweist stattdessen auf die Verordung (EWG) Nr. 2299/89 des Rates vom 24. Juli 1989 über einen Verhaltenskodex im Zusammenhang mit computergesteuerten Buchungssystemen, ABl. L 220 v. 29.07.1989, S. 1–7. 1389 Siehe Art. 29-Datenschutzgruppe, Brief an EU-Innenkommissarin Cecilia Malmström zu Advance Passenger Information (API), 11.07.2013, http://ec.europa.eu/justice/data-protection/ article-29/documentation/other-document/files/2013/20130711_letter-to-malmstrom_api_en. pdf (zuletzt geprüft am 15.03.2015). 1390 Art. 29-Datenschutzgruppe, Brief an EU-Innenkommissarin Cecilia Malmström zu API, 11.07.2013, S. 1.

536

Teil 3: Die Übermittlung von PNR-Daten in die USA 

der EU an Grenzschutzbehörden in Drittländern.1391 Die Datenschutzgruppe merkte daraufhin prägnant an: „This lack of specific legislation raises concerns regarding the protection of passengers’ personal data“.1392 Eine vorgenommene Analyse des bestehenden Rechtsrahmens habe keine klaren Antworten auf die Frage gegeben, ob eine Rechtsgrundlage existiert: Die nationalen Praktiken würden sich unterscheiden und diese Unterschiede in der Anwendung bestehender Vorschriften würden nicht nur ein Problem für den Schutz personenbezogener Daten darstellen, sondern könnten auch den Binnenmarkt in bedeutendem Maße beeinflussen.1393 Daraufhin setzte sich die Art. 29-Datenschutzgruppe mit der Frage auseinander, ob das Chicagoer Abkommen – das 1944 unterzeichnete Abkommen über die internationale Zivilluftfahrt1394 und Basis für Luftfahrtsrecht auf völkerrechtlicher Grundlage – als Grundlage für den Transfer von API-Daten an Drittländer herangezogen werden könnte: Zwar werde dies von manchen vertreten,1395 jedoch wäre dies nur möglich, wenn das Chicagoer Abkommen sehr weit und vorteilhaft interpretiert und so verstanden würde, dass es die Anforderungen der Art. 25 und 26 der DSRL erfülle.1396 Die Datenschutzgruppe rief daraufhin in Erinnerung, dass jede Vorschrift, die in das Recht auf Datenschutz eingreift, bindend und spezifisch sein sollte, um eine angemessene Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten zu bieten: Die Verpflichtungen des Chicagoer Abkommens seien jedoch allgemeiner Natur, und die Datenschutzgruppe sei daher besorgt darüber, dass die Bestimmungen des Abkommens von Chicago keine ausreichende Rechtsgrundlage für eine solche Verarbeitung darstellen könnten.1397 Als Gründe für diese Auffassung gab die Datenschutzgruppe an, dass das Chicagoer Abkommen nicht ausdrücklich auf API-Daten Bezug nehme.1398 Zudem sehe es auch nicht direkt den Transfer von Daten vor der Landung an der geplanten Destination oder bei absichtlichem oder unabsichtlichem Überflug eines anderen Landes vor (sog. „overflight“).1399 1391 Art. 29-Datenschutzgruppe, Brief an EU-Innenkommissarin Cecilia Malmström zu API, 11.07.2013, S. 1. 1392 Art. 29-Datenschutzgruppe, Brief an EU-Innenkommissarin Cecilia Malmström zu API, 11.07.2013, S. 1. 1393 Art. 29-Datenschutzgruppe, Brief an EU-Innenkommissarin Cecilia Malmström zu API, 11.07.2013, S. 1. 1394 Siehe für die deutsche Übersetzung die Homepage der Bundesbehörden der Schweizer Eidgenossenschaft unter http://www.admin.ch/opc/de/classified-compilation/19440105/2010111 80000/0.748.0.pdf (zuletzt geprüft am 15.03.2015). 1395 Nachweise hierzu werden jedoch nicht genannt. 1396 Art. 29-Datenschutzgruppe, Brief an EU-Innenkommissarin Cecilia Malmström zu API, 11.07.2013, S. 1. 1397 Art. 29-Datenschutzgruppe, Brief an EU-Innenkommissarin Cecilia Malmström zu API, 11.07.2013, S. 1 f. 1398 Art. 29-Datenschutzgruppe, Brief an EU-Innenkommissarin Cecilia Malmström zu API, 11.07.2013, S. 2. 1399 Art. 29-Datenschutzgruppe, Brief an EU-Innenkommissarin Cecilia Malmström zu API, 11.07.2013, S. 2.

§ 16 Rechtliche Würdigung der PNR-Regelungen

537

Des Weiteren machte die Arbeitsgruppe ihr Bewusstsein für den historischen Kontext des Chicagoer Abkommens von 1946 (sic) sowie den Anstieg des Reise­ aufkommens und den seitdem erfolgten technischen Fortschritt deutlich.1400 Zwar wies die Datenschutzgruppe darauf hin, dass API-Daten die gleichen Daten seien, die gewöhnlich an der Grenze als Teil der üblichen Grenzkontrolle vor Einreise in ein Drittland von den zuständigen Behörden gesammelt werden,1401 sie erwähnte jedoch nicht, dass es mittlerweile zwischen verschiedenen Ländern durchaus Unter­schiede bzgl. des Umfangs und des Inhalts der Informationen gibt.1402 Die Datenschutzgruppe hielt es jedoch für fraglich, ob die Datensammlung von Fluggesellschaften auf dem Gebiet der EU und die Übermittlung an ein Drittland eine rechtliche Grundlage in der weiten Interpretation eines allgemeinen Texts finden könne.1403 Sie erinnerte daraufhin zutreffend daran, dass sogar, wenn das ­Chicagoer Abkommen so interpretiert würde, dass es eine rechtliche Grundlage für die Verarbeitung von API-Daten darstelle, dies nie zu einer schleichenden Ausweitung der Zweckbestimmung führen und eine Ausweitung auf andere Daten wie PNR-Daten erfahren sollte: Die Verarbeitungen von API-Daten und PNR-Daten unterscheiden sich nämlich in ihrer Menge, Sensibilität und ihrem Zweck und die weite Interpretation des Chicagoer Abkommens würde in jedem Fall stets auf die Daten limitiert sein, die normalerweise von einem Passagier bei der Einreise in ein Land an der Grenze angegeben werden.1404 Zur Beseitigung von rechtlicher Unsicherheit und zur Sicherstellung von Einheitlichkeit hielt die Datenschutzgruppe es für notwendig und dringend geboten, dass die EU-Kommission Schritte unternimmt, um eine ausdrückliche Rechtsgrundlage in das europäische Recht einzuführen.1405 Sie regte an, die folgenden Überlegungen zu berücksichtigen: Erstens sollten API-Daten nur gesammelt und übermittelt werden, wenn es nach den Gesetzen des Ziellandes erforderlich ist; zweitens sollten die Daten nur beim Check-In durch die Fluggesellschaften und, um Grenzkontrollverpflichtungen zu erfüllen, gesammelt und übermittelt werden und bei Ankunft des Flugzeugs am Zielort umgehend gelöscht werden; drittens sollte der Umfang der übermittelten Daten auf die Informationen begrenzt sein, die 1400 Art. 29-Datenschutzgruppe, Brief an EU-Innenkommissarin Cecilia Malmström zu API, 11.07.2013, S. 2. 1401 Art. 29-Datenschutzgruppe, Brief an EU-Innenkommissarin Cecilia Malmström zu API, 11.07.2013, S. 2. 1402 Siehe bspw. die Aufzählung der für die Einreise in die USA erforderlichen API-Daten unter US DHS, Privacy Impact Assessment Update for the Advance Passenger Information System (APIS), 23.06.2011, S. 3 f.; dass die Reichweite der API-Daten durchaus unterschiedlich sein kann, nennt auf Seiten der Industrie bspw. Emirates unter http://www.emirates.com/de/ german/help/faqs/FAQDetails.aspx?faqId=193410 (zuletzt geprüft am 15.03.2015). 1403 Art. 29-Datenschutzgruppe, Brief an EU-Innenkommissarin Cecilia Malmström zu API, 11.07.2013, S. 2. 1404 Art. 29-Datenschutzgruppe, Brief an EU-Innenkommissarin Cecilia Malmström zu API, 11.07.2013, S. 2. 1405 Art. 29-Datenschutzgruppe, Brief an EU-Innenkommissarin Cecilia Malmström zu API, 11.07.2013, S. 2.

538

Teil 3: Die Übermittlung von PNR-Daten in die USA 

im maschinenlesbaren Teil des Reisepasses oder eines anderen Reisedokuments gespeichert sind; viertens sollten keine biometrischen Daten übertragen werden dürfen; fünftens sollten die Passagiere einer Fluggesellschaft bereits vor dem Kauf des Tickets sowie auch im Moment der Datenerhebung informiert werden und die EU-Kommission diesbezüglich die Initiative ergreifen und schließlich sollte sechstens die neue rechtliche Grundlage auch für angemessene Sicherheiten für das Datensubjekt sorgen, inklusive Modalitäten zur Ausübung seiner Rechte.1406 Die Datenschutzgruppe forderte schließlich nochmals, dass die EU-Kommission die Initiative auf EU-Ebene zur Aufnahme des Verfahrens ergreifen solle, um eine praktikable Rechtsgrundlage („solid legal basis“) für die Übermittlung von APIDaten an Drittländer zu schaffen und machbare Lösungen zu untersuchen.1407 Dies könnte – so die Datenschutzgruppe – bspw. im Rahmen der Evaluierung und Überarbeitung der bestehenden API-Richtlinie erfolgen.1408 Die Datenschutzgruppe forderte die EU-Kommission und die Mitgliedstaaten am Ende des Briefes an Kommissarin Malmström außerdem noch dazu auf, einen Dialog mit der internationalen Gemeinschaft, insbesondere innerhalb der ICAO, zu beginnen, um ein internationales rechtliches Instrument zu den globalen Voraussetzungen für den Transfer von API-Daten einzurichten und die notwendigen Datenschutzsicherheiten zu bieten.1409 Der Auffassung der Art.  29-Datenschutzgruppe ist zuzustimmen. Wie bereits dargestellt, besteht keine Rechtsgrundlage für die Übermittlung von APIS-Informationen. Das von der Art. 29-Datenschutzgruppe genannte Abkommen von Chicago kann den Anforderungen an eine Rechtsgrundlage nicht genügen. Von der Datenschutzgruppe wurde nicht erwähnt, welche Bestimmungen diskutiert wurden. Die in diesem Rahmen jedoch zumindest diskussionswürdigen Art. 13 und 22 des Abkommens sind entweder zu unbestimmt (Art. 131410) bzw. bedürfen weiterer Regelungen im nationalen Recht (Art. 221411). Zwar ist die Übermittlung von 1406 Art. 29-Datenschutzgruppe, Brief an EU-Innenkommissarin Cecilia Malmström zu API, 11.07.2013, S. 2. 1407 Art. 29-Datenschutzgruppe, Brief an EU-Innenkommissarin Cecilia Malmström zu API, 11.07.2013, S. 2. 1408 Art. 29-Datenschutzgruppe, Brief an EU-Innenkommissarin Cecilia Malmström zu API, 11.07.2013, S. 2. 1409 Art. 29-Datenschutzgruppe, Brief an EU-Innenkommissarin Cecilia Malmström zu API, 11.07.2013, S. 3. 1410 Art.  13, „Einflug- und Abfertigungsvorschriften“, des Chicagoer Abkommens lautet: „Die Gesetze und Vorschriften eines Vertragsstaates über den Einflug oder Ausflug von Fluggästen, Besetzung oder Fracht in Luftfahrzeugen in sein oder aus seinem Hoheitsgebiet, wie Einflug, Abfertigs-, Einreise-, Pass-, Zoll- und deren Quarantänevorschriften, sind von den Fluggästen oder der Besatzung oder in deren Namen und hinsichitlich der Fracht bei Einflug oder Ausflug sowie innerhalb des Hoheitsgebietes dieses Staates zu befolgen.“ 1411 Art. 22, „Erleichterung der Formalitäten“, des Chicagoer Abkommens lautet: „Jeder Vertragsstaat erklärt sich einverstanden, durch Erlassen besonderer Vorschriften oder auf andere Weise alle möglichen Massnahmen zu treffen, um den Verkehr von Luftfahrzeugen zwischen

§ 16 Rechtliche Würdigung der PNR-Regelungen

539

API-Daten weniger grundrechtsrelevant als die Übermittlung von PNR-Daten, um den Vorschriften der EU-Regelungen jedoch gerecht zu werden, sollte eine rechtliche Grundlage für die Übermittlung von API-Daten geschaffen werden. Die Rechtsgrundlage wird wohl vor allem in bilateralen Abkommen – ähnlich den PNR-­Abkommen – geschaffen werden müssen. Die von der Datenschutzgruppe angeregte Diskussion, im Rahmen der ICAO für ein internationales rechtliches Instrument unter Einhaltung von Datenschutzsicherheiten zu sorgen, wird wohl nur absolute Mindeststandards setzen können, da einerseits das Verständnis vom Umfang von API-Daten immer mehr auseinander geht und zudem in puncto Datenschutz keine einheitliche Auffassung besteht.1412 Da mittlerweile auch der UN-­ Sicherheitsrat die Auswertung von API-Daten von den Mitgliedstaaten gefordert hat,1413 ist umso mehr eine rechtliche Grundlage zu schaffen, um Rechtsunsicherheiten vorzubeugen. Da somit momentan noch keine wirksame Rechtsgrundlage für die Übermittlung der APIS-Informationen besteht, kann erst recht nicht von der Erforderlichkeit der Übermittlung im Rahmen des PNR-Abkommens ausgegangen werden. uu) Erforderlichkeit der Übermittlung der Historie aller Änderungen Schließlich muss gemäß dem Anhang des Abkommens als neunzehntes Datenelement noch die „Historie aller Änderungen in Bezug auf die unter den Nummern 1 bis 18 aufgeführten PNR-Daten“ übermittelt werden. Auch für dieses Daten­ element ist die Erforderlichkeit der Übermittlung zu klären. In der PNR Historie wird der „Werdegang“ einer Buchung gespeichert und dabei von der Erstellung bis zur Löschung jede Änderung an einem PNR dokumentiert.1414 Auch ist in der Historie genau hinterlegt, welche Stelle bzw. welches Reisebüro die Änderung vorgenommen hat (sog. „office identification“), zudem weitere Informationen über die Modifikation („agent sign“ und „agent duty code“) sowie auch Datum und Uhrzeit der Änderung.1415 Bis drei Tage nach Ende des letzten Flugsegments kann die Buchung zudem noch aufgerufen werden.1416 Eine Änderung ist jedoch nicht nur über ein Reisebüro möglich, sondern kann für manche Bereiche des PNR auch selbst auf der Homepage der Fluggesellschaft durch Eingabe des PNR-Buchungs­ codes und Namens vorgenommen werden. den Hoheitsgebieten der Vertragsstaaten zu erleichtern und zu beschleunigen und unnötige Verspätungen für Luftfahrzeuge, Besatzungen, Fluggäste und Fracht zu verhindern, besonders bei Anwendung der Gesetze über Einreise, Quarantäne, Zoll und Abfertigung.“ 1412 Siehe zu den bereits erfolgten Initiativen unten S. 602 ff. 1413 Dazu United Nations – Securtiy Council, Resolution 2178 (2014), 24.09.2014, S. 5. 1414 Amadeus, Amadeus Air Advanced – Grundlagenseminar Trainingshandbuch, Januar 2009, S. 29; Amadeus, Amadeus Passenger Name Record – User Guide, S. 69. 1415 Amadeus, Amadeus Passenger Name Record – User Guide, S. 69. 1416 Amadeus, Amadeus Air Advanced  – Grundlagenseminar Trainingshandbuch, Januar 2009, S. 29.

540

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Problematisch an diesem Datensatz ist zunächst, dass bei Vorhandensein bestimmter Informationen die Änderung von jedermann vorgenommen werden kann. Zudem enthält die PNR-Historie Informationen über Dritte, wie das Reisebüro und seine Mitarbeiter, die die Änderungen vorgenommen haben. Des Weiteren enthält die PNR Historie sensible Daten aus den anderen PNR-Datenelementen. Selbst wenn die ursprünglichen Datenelemente mit möglichen sensiblen Daten und In­ formationen über Dritte nicht mehr übermittelt werden würden, ließe die Auf­ listung aller Änderungen an den PNR-Daten jedoch weiterhin eine Information über sensible Daten und Dritte zu. Die Erkenntnisgewinne durch dieses Daten­ element wären sicherlich sehr groß, da eine Zusammenstellung aller Daten in einem Datenelement vorliegt, jedoch sollte auf Grund der Sensibilität mancher Daten und der Gefahr der Übermittlung von Daten Dritter dieses Datenelement nicht an die USA übermittelt werden. Daher ist die Übermittlung dieses Datenelements als unverhältnismäßig anzusehen. vv) Ausblick hinsichtlich Anzahl und Art der erhobenen Daten Es wurde der Versuch unternommen, eine ausgewogene Gewichtung der in Frage stehenden Interessen vorzunehmen. Sowohl das Interesse an der Sicherheit als auch das Interesse am Datenschutz haben ihre Berechtigung. Die Interessen sind jedoch nicht pauschal gegenläufig in den jeweiligen Rechtsordnungen, sondern finden sowohl in den USA als auch in der EU Beachtung, wenn auch in unterschiedlicher Intensität. Selbst das so stark in der Kritik stehende Konzept der Auswertung von PNR-Daten wird in der EU selbst mit einem eigenen geplanten PNR-System verfolgt. Jedoch sind auch stets der Datenschutz zu berücksichtigen und die Tatsache, dass „verdächtige“ Parameter in den PNR auch triviale Erklärungen haben können. Nach der vorgenommenen Abwägung steht hier das Ergebnis, dass die Übermittlung mancher Datenelemente als erforderlich anzusehen ist, manche Übermittlungen jedoch nicht erforderlich und damit unverhältnismäßig sind. Letztendlich sind im Rahmen des vom EuGH vorzunehmenden Prüfkriteriums der Erforderlichkeit – nach deutscher Grundrechtsdogmatik der Angemessenheit – zu einem großen Teil Wertungsfragen relevant. Entscheidend ist es, die konfligierenden Interessen zum Ausgleich zu bringen. Die vorstehenden Ausführungen zeigen eine derartige Möglichkeit auf; andere Interpretationen sind jedoch bei anderer Akzentuierung der konfligierenden Interessen möglich. Zusammenfassend wurden in der hier vorgenommenen Abwägung die folgenden Datenelemente noch als zur Er­reichung des verfolgten Zwecks erforderlich angesehen: „Datum der Buchung bzw. der Ausstellung des Flugscheins“, „Datum bzw. die Daten des geplanten Flugs“, „Name bzw. die Namen des Reisenden“, „im PNR-Datensatz enthaltene Namen“ sowie „sämtliche verfügbare Kontaktinformationen“, soweit sie Reisende auf einem konkreten Flug betreffen, „Zahlungs- bzw. Abrechnungsinformationen“, soweit sie von dem Reisenden selbst stammen, „Reiseroute“, „Code-Sharing-Informationen“,

§ 16 Rechtliche Würdigung der PNR-Regelungen

541

„Informa­tionen über Buchungssplitting bzw. Buchungsteilung“, „Reise­status des Fluggastes“, bestimmte und begrenzte „Flugscheininformationen“, „Informationen zum Gepäck“ sowie „Sitzplatznummer und sonstige Sitzplatzinformationen“. Die Übermittlung der folgenden Datenelemente hingegen stellten sich nach der hier vorgenommenen Bewertung als nicht erforderlich dar: „PNR-Buchungscode“, „Vielflieger- und Bonus Daten“, „im PNR-Datensatz enthaltene Namen“ und „sämtlichen verfügbaren Kontaktinformationen“, sofern sie Personen betreffen, die sich nicht auf dem Flug befinden, „Zahlungs- bzw. Abrechnungsinformationen“ soweit sie nicht von dem Reisenden selbst stammen, „Information über das Reisebüro“, bestimmte „Flugscheininformationen“, „allgemeine Eintragungen einschließlich OSI, SSI- und SSR-Informationen“, „APIS-Informationen“, zumindest nicht im Rahmen der PNR-Datenübermittlung, sowie die Historie aller Änderungen. Zusammenfassend ist die Erforderlichkeit somit vor allem bei Datenelementen, die sensible Daten oder Daten Dritter enthalten können, zu verneinen. Ebenso sind APIS-Informationen als eigene, von PNR-Daten verschiedene, Datenkategorie nicht ohne eigene Rechtsgrundlage zu übermitteln. Des Weiteren bei der Übermittlung der Datenelemente von Bedeutung sind die Faktoren Zeit sowie Art der Übermittlung. Um sicherzustellen, dass tatsächlich nur Daten von Passagieren und nicht von Dritten übermittelt werden, sollten die Daten nicht mehr – wie es Art. 15 III des Abkommens mit der erstmaligen Übermittlung 96 Stunden vor Abflug vorsieht – derart früh übermittelt werden, sondern die Übermittlung sollte später erfolgen.1417 Zudem sollte das Push-Verfahren als einzig zulässige Übermittlungsmethode vorgeschrieben werden. Aus Datenschutzgründen wäre sicherlich eine weitere Eindämmung der Datenübermittlung wünschenswert, jedoch ist auch das Sicherheitsinteresse – das nicht nur in den USA, sondern auch in Europa besteht – angemessen zu berücksichtigen. Zur Erreichung einer Interessenbalance mag daher der verfolgte Ansatz hinsichtlich der Anzahl und der Art der erhobenen Daten ein Vorschlag sein. Dass wohl auch eine zielführende Auswertung mit weniger Datenelementen möglich ist, zeigt auch eine Aussage des DHS mit Bezug zu dem für die PNR-Datenauswertung genutzten System ATS und der Kombination dieses Systems mit weiteren Systemen: „ATS aggregates data from many systems, which may exceed the minimal amount necessary to achieve its missions.“1418 e) Speicherungsdauer Ein weiterer relevanter Punkt im Rahmen der Erhebung von PNR-Daten betrifft die Dauer der Datenspeicherung. Bei einem Vergleich der bisher zwischen der EU und den USA abgeschlossenen Abkommen ist eine Ausweitung der Speicherungs 1417

Dazu unten S. 590 ff. US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 17.

1418

542

Teil 3: Die Übermittlung von PNR-Daten in die USA 

dauer zu erkennen.1419 Die Speicherungsdauer in der Verpflichtungserklärung von 2004 wurde noch mit drei Jahren und sechs Monaten angegeben, woraufhin bei in dieser Zeit nicht erfolgtem Zugriff die Löschung eintrat und bei erfolgtem Zugriff sich eine weitere Speicherung von acht Jahren anschloss.1420 Wenn PNR-Daten jedoch mit einem speziellen Ermittlungsverfahren verknüpft waren, war eine weitergehende Aufbewahrung der Daten „bis zum Schließen der Akte“ möglich.1421 Für das vorläufige Abkommen von 2006 ergab sich die gleiche Speicherungsdauer, da die Verpflichtungserklärung von 2004 als immer noch gültig für die Zwecke des vorläufigen Abkommens betrachtet wurde.1422 Das Abkommen von 2007 sah bereits eine insgesamt fünfzehnjährige Speicherfrist (sieben Jahre in einer aktiven Datenbank und acht Jahre in einer ruhenden Datenbank) vor und erlaubte zudem die Speicherung, die im Zusammenhang mit einem bestimmten Fall steht, bis zur Archivierung.1423 Das Abkommen von 2012 wiederum sieht in Art. 8 eine Speicherung „bis zu fünf Jahre lang in einer aktiven Datenbank“ vor, eine Anonymisierung und Unkenntlichmachung nach Ablauf der ersten sechs Monate unter bestimmten Voraussetzungen,1424 sowie auch die Speicherung in einer „ruhenden Datenbank“ bis zu zehn Jahren. Nach Ablauf der Speicherungszeit in der ruhenden Datenbank erfolgt gem. Art. 8 IV des Abkommens eine gänzliche Anonymisierung. Ähnlich wie in den Vorgängerabkommen findet sich in Art. 8 V des Abkommens von 2012 wiederum eine Bestimmung für laufende Verfahren, die weitgehender ist. Sie lautet: „Daten zu einem konkreten Fall oder für bestimmte Ermittlungen können in der aktiven PNR-Datenbank gespeichert werden, bis der Fall oder Ermittlungen archiviert sind. Dieser Absatz gilt unbeschadet der Vorgaben für die Speicherung der Daten zu einzelnen Ermittlungs- oder Strafverfolgungsakten.“ Bei Betrachtung der Bestimmungen ist die Aussage, dass in der neuesten Regelung zwischen der EU und den USA überhaupt keine Speicherungsgrenze mehr existiere,1425 insoweit korrekt, als dass die Speicherungsgrenze nicht zeitlich genannt wird. Jedoch wird durchaus angegeben, dass bspw. Daten „zu einem konkreten Fall oder 1419 Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 11 sprechen von einer „remarkable extension regarding the retention period“. 1420 Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, ABl. L 235 v. 06.07.2004, S. 17, Nr. 15. 1421 Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, ABl. L 235 v. 06.07.2004, S. 17, Nr. 15. 1422 Siehe zu den Parallelen Papakonstantinou/de Hert, Common Market Law Review 46 (2009), 885 (905). 1423 Schreiben der USA an die EU, ABl. L 204 v. 04.08.2007, S. 23, Nr. VII. 1424 Siehe dazu Art. 8 II des Abkommens. 1425 Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 11: „the current proposal does not provide for a limit at all“.

§ 16 Rechtliche Würdigung der PNR-Regelungen

543

für bestimmte Ermittlungen“ solange in der aktiven Datenbank gespeichert werden, „bis der Fall oder die Ermittlungen archiviert sind“. Jedoch ist zu beachten, dass auch die vorherigen Abkommen – wie gezeigt wurde – bereits ähnliche Bestimmungen enthielten. aa) Geeignetheit Zunächst müsste die verabschiedete Speicherungsdauer für die Ziele der Bekämpfung des Terrorismus und der grenzüberschreitenden schweren Kriminalität geeignet sein. Wenn bereits von der Geeignetheit der Maßnahme „PNR-Auswertung“ als solcher ausgegangen wird, spricht viel dafür, auch eine Speicherzeit, die in bestimmten Fällen sogar so weit reicht, dass sie nicht konkret bezeichnet wird, auch als geeignet anzusehen. Dafür spricht auch die Auswertung von PNR-Daten durch das System ATS, dem mit dem Zeitraum von sieben Jahren ein nicht geringfügiger Zeitraum zu Auswertungszwecken zur Verfügung steht.1426 Auch die Erfolge, die bei der PNR-Auswertung mit geringeren Speicherungsfristen der Vorgängerabkommen erreicht wurden, deuten u. a. darauf hin, erst recht eine längere Speicherungsfrist als geeignet anzusehen. Wegen der langen Speicherzeit ist daher die Geeignetheit der Speicherungsdauer von bis zu fünf Jahren in einer aktiven Datenbank die Speicherung in einer „ruhenden Datenbank“ bis zu zehn Jahren anzunehmen. bb) Erforderlichkeit Fraglich ist jedoch die Erforderlichkeit der Maßnahme. Dabei müsste auch im Rahmen der Speicherungsdauer eine ausgewogene Gewichtung der angestrebten Zwecke mit dem Schutz personenbezogener Daten vorgenommen und die Ausnahmen vom Schutz personenbezogener Daten auf das absolut Notwendige beschränkt worden sein. Kritik an der Speicherungsdauer gab es bereits seit dem ersten PNR-Abkommen und wurde auch zum aktuellen Abkommen vielfach geäußert. Die Tatsache, dass PNR-Daten nach Ablauf der Speicherungsdauer nicht wie im Abkommen von 2004 „vernichtet“ oder wie im Abkommen von 2007 „gelöscht“, sondern nun lediglich „anonymisiert“ werden, wurde kritisiert.1427 Dies sei eine Veränderung zum Nachteil der Betroffenen, sodass damit quasi keine Beschränkung der Speicherungsdauer mehr erfolge.1428 Zwar wurde angemerkt, dass, wenn es tatsächlich 1426

Siehe dazu oben S. 395 ff. Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 11 f. 1428 So Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 11 f. 1427

544

Teil 3: Die Übermittlung von PNR-Daten in die USA 

keine Möglichkeit zur Repersonalisierung gäbe, es keinen Unterschied für die Datenschutzrechte von Betroffenen gäbe.1429 Jedoch wurde auch auf die Gefahr der Repersonalisierung und auf fehlende Informationen zur technischen Machbarkeit der Anonymisierungen hingewiesen.1430 Die Gefahr einer Repersonalisierung besteht. Im vorliegenden Fall weist aber der Wortlaut des Art. 8 III des Abkommens („auf eine Weise gelöscht […], dass eine Rückgängigmachung der Anonymisierung nicht mehr möglich ist“) eher darauf hin, dass die Bedeutung des Wortes „anonymisiert“ ähnlich wie „gelöscht“ oder „vernichtet“ verstanden werden sollte. Der Kritik an undefinierten entscheidenden Begriffen ist jedoch durchaus zuzustimmen. Es scheint schwierig, genau zu beziffern, welche Speicherungsdauer noch als erforderlich angesehen werden kann. Eine Evaluierung, welche Zeitdauer von den Sicherheitsbehörden realistischerweise zur Verfolgung der Ziele benötigt wird, kann nicht vorgenommen werden. Daher ist auf öffentlich zugängliche Hinweise zur Speicherungsdauer zurückzugreifen. Einen ersten Hinweis könnten das erste Abkommen zwischen der EU und den USA und die dazugehörige Verpflichtungserklärung der USA geben. In der Verpflichtungserklärung von 2004 wurde eine Speicherungsdauer von drei Jahren und sechs Monaten als erforderlich angesehen.1431 Bei Zugriff auf die Daten innerhalb dieser dreieinhalb Jahre erfolgte eine Speicherung für weitere dreieinhalb Jahre; wurde hingegen innerhalb der ersten dreieinhalb Jahre nicht auf die Daten zugegriffen, erfolgte die Löschung.1432 Eine derartige Speicherungsdauer greift weniger stark in das Grundrecht auf Datenschutz ein. Diese Speicherungsdauer, die immerhin bis zum Abschluss des Abkommens von 2007 angewendet wurde, deutet darauf hin, dass eine derartige Speicherungsdauer auch ausreichend sein könnte, die verfolgten Zwecke zu erreichen. Möglicherweise haben jedoch neue Erkenntnisse dazu geführt, dass die USA im Abkommen von 2007 für eine Ausweitung der Speicherungsdauer eintrat und diese 2012 noch weiter ausweiten wollte. Wie jedoch aus dem PNR-Abkommen zwischen der EU und Australien erkennbar ist, das ebenfalls aus dem Jahr 2012 stammt, wird auch in Abkommen neueren Datums durchaus noch eine geringere Speicherungszeit für die Auswertung von PNR-Daten für ausreichend ge-

1429 So Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 12. 1430 So Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 12. 1431 Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, ABl. L 235 v. 06.07.2004, S. 17, Nr. 15. 1432 Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, ABl. L 235 v. 06.07.2004, S. 17, Nr. 15.

§ 16 Rechtliche Würdigung der PNR-Regelungen

545

halten.1433 Das Abkommen zwischen der EU und Australien bestimmt in Art. 16 I eine Speicherungsdauer von „höchstens fünfeinhalb Jahren“ und nach Darlegung weiterer Voraussetzungen in Art. 16 IV zudem eine endgültige Löschung. Auch das ursprünglich bereits für 2013 geplante PNR-Abkommen zwischen der EU und Kanada normierte in einem ersten Entwurf lediglich eine Speicherungsdauer von „höchstens fünf Jahren“.1434 Das geplante EU-PNR-System sieht hingegen nur eine Speicherung für 30 Tage, gefolgt von einer weiteren Speicherung in anonymisierter Form für fünf Jahren vor.1435 Berücksichtigt werden könnte zudem, dass die verschiedenen Rechtsordnungen unterschiedliche Systeme zur Auswertung der PNR-Daten verwenden, wobei die beschriebene Effektivität des Systems der USA „ATS“ eher für die Erforderlichkeit einer geringeren Speicherungsdauer spricht. Ausgehend von den Anschlägen des 11. September 2001 ist zudem über eine größere Bedrohung für die Sicherheit der Vereinigten Staaten und eine dadurch erforderliche längere Speicherungsdauer nachzudenken. Jedoch ist es schwierig, Unterschiede in der Bedrohung zu berücksichtigen, gerade auch im Hinblick dessen, dass eine Terrorismus­gefahr – wie bspw. an den Anschlägen von Madrid 2004, London 2005 und Mumbai 2008 ersichtlich  – eine globale Gefahr ist. Selbst bei Berücksichtigung einer spezifischen Bedrohung für die USA ist nicht ersichtlich, warum die Speicherungsdauer derart über die der bisher mit den USA geschlossenen PNR-Abkommen hinausgehen sollte. Unter Abwägung der mit der PNR-Auswertung verfolgten Ziele und dem Grundrecht auf Datenschutz sowie den Erkenntnissen aus anderen aktuellen und früheren PNR-Regelungen ist daher die im EU-US-PNR-Abkommen von 2012 bestimmte Speicherungsdauer als nicht erforderlich und damit unverhältnismäßig anzusehen. Bei einer Neuverhandlung des Abkommens sollte daher zunächst eine Orientierung am PNR-Abkommen mit Australien oder am Abkommensentwurf zu einem PNR-Abkommen mit Kanada in Erwägung gezogen werden oder aber eine Orientierung am ersten PNR-Abkommen mit den USA von 2004 erfolgen.

1433 Abkommen zwischen der Europäischen Union und Australien über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records  – PNR) und deren Übermittlung durch die Fluggesellschaften an den Australian Customs and Border Protection Service, ABl. L 186 v. 14.07.2012, S. 4 ff. (PNR-Abkommen EU-Australien 2012). 1434 Siehe Art. 16 I des Entwurfs eines Abkommens zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) im Anhang zu Europäische Kommission, Vorschlag für einen Beschluss des Rates über die Unterzeichnung des Abkommens zwischen zwischen Kanada und der Euro­ päischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR), COM(2013)529 final, 18.07.2013. 1435 Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, Art. 9.

546

Teil 3: Die Übermittlung von PNR-Daten in die USA 

IV. Rechtfertigung gemäß Art. 8 II GRCh Der EuGH beschränkt die Prüfung der Rechtfertigung eines Eingriffs in Art. 8 GRCh teilweise auf eine Prüfung von Art. 51 I 1 GRCh.1436 Zumindest in Bezug auf die Zweckbindung ist jedoch auch die Prüfung der Schranken des Art.  8 II GRCh geboten. Demnach dürfen personenbezogene Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Eine Einwilligung besteht nicht, jedoch existiert  – wie bereits im Rahmen von Art. 51 I 1 GRCh beschrieben – mit dem PNR-Abkommen eine gesetzliche Grundlage.1437 Somit ist im Rahmen des Art. 8 II GRCh vor allem die Zweckbindung von Interesse. 1. Prüfungsmaßstab – Komponenten der Zweckbindung Hinsichtlich der Anforderungen an die Zweckbindung bestimmt  – neben der Regelung in Art.  8 II GRCh  – auch das EU-Sekundärrecht bspw. in Art.  6 I lit.  b DSRL, dass die Erhebung „für festgelegte eindeutige und rechtmäßige“ Zwecke zu erfolgen hat und eine Weiterverarbeitung „nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise“ erfolgen darf. Auch die Art. 29-Datenschutzgruppe hat sich in einer Stellungnahme von 2013 zum Prinzip der Zweckbindung geäußert und rief dabei ebenfalls die beiden Komponenten der Zweckbindung in Erinnerung, einerseits die Erhebung der Daten für festgelegte eindeutige und rechtmäßige Zwecke und andererseits das Verbot der Weiterverarbeitung in einer mit diesen Zwecken unvereinbaren Weise.1438 Neben der DSRL normiert zudem der DSRB dieses im EU-Datenschutzrecht anerkannte Grundprinzip der Zweckbindung und bestimmt in Art. 3 I DSRB: „Personenbezogene Daten dürfen von den zuständigen Behörden nur zu festgelegten, eindeutigen und rechtmäßigen Zwecken im Rahmen ihrer Aufgaben erhoben und nur zu dem Zweck verarbeitet werden, zu dem die Daten erhoben worden sind. Die Verarbeitung der Daten muss rechtmäßig sein und den Zwecken entsprechen, für die sie erhoben werden, dafür erheblich sein und darf nicht darüber hinausgehen.“ Im Rahmen der Prüfung der Zweckbindung sind, obwohl es sich bei der PNR-Datenübermittlung um eine Maßnahme handelt, die nicht in den Anwendungsbereich der DSRL fällt, die von der Art. 29-Datenschutzgruppe dargestellten Anforderungen an dieses Grundprinzip des EU-Datenschutzrechts zu berücksichtigen. 1436 So EuGH, Urt. v. 09.11.2010, verb. Rs. C-92/09 und C-93/09, „Schecke“, Slg. 2010, I-11149, Kritik zu diesem Vorgehen durch Brink/Wolff, JZ 2011, 206 (207). 1437 Siehe dazu oben S. 508. 1438 Art. 29-Datenschutzgruppe, Opinion 03/2013 on purpose limitation, WP 203, 02.04.2013, S.  14, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommen dation/files/2013/wp203_en.pdf (zuletzt geprüft am 15.03.2015) mit Ausführung zur Geschichte der Zweckbindung, S. 6 ff.

§ 16 Rechtliche Würdigung der PNR-Regelungen

547

a) Bestimmung des Zwecks Im Rahmen der ersten Voraussetzung müsste die Erhebung zunächst „festgelegt“ sein, was bedeutet, dass die Zwecke, für die die Daten verarbeitet werden sollen, vor oder aber spätestens zum Zeitpunkt der Datenerhebung eindeutig bestimmt werden müssen.1439 Ein Zweck, der entweder vage oder allgemein gehalten wird, genügt diesen Anforderungen nicht.1440 Zudem müssen die Zwecke „eindeutig“ sein, das heißt die Zwecke müssen ohne Vagheit oder Zweideutigkeit offengelegt, erklärt oder ausgedrückt werden.1441 Außerdem müssen die Zwecke „rechtmäßig“ sein und sich somit im Rahmen der Rechtsordnung halten, aber auch im Rahmen des generellen Kontexts und den Tatsachen des jeweiligen Falls beurteilt werden.1442 b) Verbot der mit dem Zweck unvereinbaren Weiterverarbeitung Das Verbot der Weiterverarbeitung in einer mit den festgelegten Zwecken unvereinbaren Weise bedeutet nach Aussagen der Art. 29-Datenschutzgruppe nicht strikt, dass jegliche Weiterverarbeitung, die für einen mit dem ursprünglichen Zweck nicht übereinstimmenden Zweck weiterverarbeitet wird, verboten ist, sondern, dass dies von Fall zu Fall bestimmt werden muss und dabei eine gewisse Flexibilität besteht.1443 Bei der vorzunehmenden Einzelfallbeurteilung werden die folgenden Kriterien angewandt: das Verhältnis zwischen den Zwecken, für die die Daten erhoben wurden, und den Zwecken der Weiterverarbeitung; der Kontext, in dem die Daten erhoben wurden, und die vernünftigerweise anzunehmenden Erwartungen des Betroffenen hinsichtlich der Weiterverarbeitung; die Art der Daten und die Auswirkungen der Weiterverarbeitung auf den Betroffenen sowie die vom Datenverabeiter getroffenen Vorkehrungen zur Sicherstellung einer fairen Verarbeitung und Verhinderung nachteiliger Auswirkungen auf den Betroffenen.1444

1439

Art. 29-Datenschutzgruppe, Opinion 03/2013 on purpose limitation, WP 203, 02.04.2013, S. 15. 1440 Art. 29-Datenschutzgruppe, Opinion 03/2013 on purpose limitation, WP 203, 02.04.2013, S. 16 mit Beispielen. 1441 Art. 29-Datenschutzgruppe, Opinion 03/2013 on purpose limitation, WP 203, 02.04.2013, S. 17 ff. 1442 Art. 29-Datenschutzgruppe, Opinion 03/2013 on purpose limitation, WP 203, 02.04.2013, S. 19 f. 1443 Art. 29-Datenschutzgruppe, Opinion 03/2013 on purpose limitation, WP 203, 02.04.2013, S. 21; Beispiele zur Evaluierung, S. 22 ff. 1444 Art. 29-Datenschutzgruppe, Opinion 03/2013 on purpose limitation, WP 203, 02.04.2013, S.  23 ff., jeweils mit ausführlichen Erläuterungen. Daneben nimmt die Art.  29-Datenschutzgruppe auch auf die Herausforderungen von Big Data und Open Data und die damit einhergehenden Probleme Bezug und schlägt zur Bewältigung der damit einhergehenden Probleme u.a spezielle Sicherheiten wie ein „opt-in“, das frei, spezifisch, informiert und unzweifelhaft erfolgen müsste, vor; dazu S. 45 ff.

548

Teil 3: Die Übermittlung von PNR-Daten in die USA 

2. Bestimmung des Prüfungsgegenstandes Die Diskussion um das Thema Zweckbindung erfolgt im Rahmen der PNR-­ Abkommen unter zwei Aspekten.1445 Zum einen wird auf den Aspekt Bezug genommen, dass Daten, die ursprünglich zu kommerziellen Zwecken auf der Grundlage eines privatrechtlichen Vertrags durch Fluggesellschaften für eigene kommerzielle Zwecke erhoben werden, im Folgenden zu nichtkommerziellen Zwecken durch Sicherheitsbehörden verwendet werden.1446 Zum anderen erfolgte eine Diskussion wegen datenschutzrechtlicher Bedenken bzgl. einer nicht aus­ reichenden Definition der Verwendungszwecke im Rahmen der PNR-Abkommen und der Weiterübermittlung an andere Stellen in den USA oder Drittländern.1447 Die Verarbeitung der PNR-Daten zu Sicherheitszwecken statt zu kommerziellen Zwecken ist – wie die Art. 29-Datenschutzgruppe in mehreren Stellungnahmen betonte – nur unter den Voraussetzungen des Art. 13 DSRL möglich.1448 Dieser ermächtigt die Mitgliedstaaten zum Erlass von Rechtsvorschriften, mit denen u. a. die Pflichten der Zweckbindung für Gründe wie die Sicherheit des Staates oder die Verhütung und Ermittlung von Straftaten eingeschränkt werden können. Derartige Maßnahmen sollten von den Mitgliedstaaten möglichst gemeinsam verfolgt werden,1449 was durch die PNR-Abkommen auch geschehen ist. Im Rahmen der Diskussion um die Vereinbarkeit der Abkommen mit Art.  8 GRCh ist jedoch die weitere zur Zweckbindung geführte Diskussion von Interesse. Die PNR-Abkommen mit den USA können als Ermächtigungsgrundlage zur Übermittlung der Daten von den Fluggesellschaften an die Behörden der USA gesehen werden und legen damit selbst den Zweck, der mit der Übermittlung verfolgt wird, fest. Daher müssen sich im Rahmen der hier vorgenommenen Diskussion die PNR-Abkommen selbst an dem Prinzip der Zweckbindung als Schranke des Art. 8 II GRCh messen lassen. Dabei ist auf die beiden dargelegten Komponen 1445 Siehe dazu bereits oben Art.  29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002. 1446 Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 6; Art. 29-Datenschutzgruppe, Opinion 03/2013 on purpose limitation, WP 203, 02.04.2013, S. 68 f., siehe auch die Diskussion zum ersten PNR-Abkommen von 2004 oben S. 415. 1447 Siehe dazu bspw. oben S. 363 ff., 469 ff. und 494 ff. 1448 So Art.  29-Datenschutzgruppe, Opinion 03/2013 on purpose limitation, WP 203, 02.04.2013, S. 68 f., siehe auch Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 6 und die Diskussion zum ersten PNR-Abkommen von 2004 oben S. 415. 1449 Art. 29-Datenschutzgruppe, Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP 66, 24.10.2002, S. 6.

§ 16 Rechtliche Würdigung der PNR-Regelungen

549

ten der Zweckbindung im Rahmen der Bestimmung der Datenverwendung sowie die Übermittlung der Daten innerhalb der USA sowie an Drittländer einzugehen. 3. Bestimmung der Zwecke der Datenverwendung Bei Vergleich der verschiedenen Abkommen ist eine beträchtliche und konstante Ausweitung der Zwecke, für die die PNR-Daten verwendet werden, zu erkennen.1450 In der Verpflichtungserklärung der USA zum ersten Abkommen von 2004 war die Verwendung von PNR-Daten beschränkt auf Zwecke der Verhütung sowie Bekämpfung „des Terrorismus und damit verknüpfter Straftaten“, „anderer schwerer länderübergreifender Straftaten, einschließlich internationaler organisierter Kriminalität“ sowie „der Flucht vor Haftbefehlen bzw. vor Ingewahrsamnahme im Zusammenhang mit den oben genannten Straftaten“.1451 Für das vorläufige Abkommen von 2006 ergab sich wegen des Bezugs auf dieselbe Verpflichtungserklärung nichts anderes. Das Abkommen von 2007 regelte – wenn auch im Wortlaut leicht abgeändert  – die gleichen Verwendungszwecke wie die Vorgängerabkommen und ergänzte diese durch die mögliche Verwendung der PNR-Daten „zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen oder im Zusammenhang mit Strafprozessen oder anderen gesetzlichen Erfordernissen“.1452 Diese Ergänzungen sind sehr weitgehend und Formulierungen wie „andere gesetzliche Erfordernisse“ oder noch mehr „im Zusammenhang mit Strafprozessen“ lassen Spielraum für eine Vielzahl an Interpretationen.1453 Die Regelungen zur Zweckbestimmung im Abkommen von 2012 sind deutlich komplexer. Die Zwecke umfassen zunächst die „Verhütung, Aufdeckung, Untersuchung und strafrechtliche Verfolgung“ von einerseits terroristischen und damit verbundenen Straftaten und andererseits von sonstigen Straftaten, die mit einer Freiheitsstrafe von drei oder mehr Jahren geahndet werden können.1454 Diese werden genauer bestimmt, weisen aber auch eine gewisse Vagheit auf.1455 Zudem werden in Art. 4 II und III des Abkommens von 2012 die Zwecke weiter ausgeweitet. Daten können hiernach auch „bei einer erheblichen Bedrohung oder zum Schutz lebenswichtiger 1450

So auch Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 9, 11. 1451 Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, ABl. L 235 v. 06.07.2004, S. 15, Nr. 3. 1452 Schreiben der USA an die EU, ABl. L 204 v. 04.08.2007, S. 21, Nr. I. 1453 Siehe auch die Kritik in der Art.  29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 8. 1454 Art. 4 I (a) und (b) des Abkommens. 1455 So auch bereits die Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 18, Nr. 8 u. 9 mit genauer Aufzählung der „vagen“ Formulierungen.

550

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Interessen von Einzelpersonen“, „aus Anordnung eines Gerichts“, „zur Ermittlung von Personen […], die bei Ankunft in den oder bei Abflug aus den Vereinigten Staaten einer ausführlicheren Befragung oder Kontrolle unterzogen werden oder eingehender kontrolliert werden“ verarbeitet und verwendet werden. Zudem gelten diese Zweckbestimmungen gem. Art. 4 IV „unbeschadet der innerstaatlichen Strafverfolgung, justizieller Befugnisse oder Verfahren, wenn bei der Verwendung und Verarbeitung von PNR-Daten andere Gesetzesübertretungen oder Indizien dafür entdeckt werden“. Nach den oben dargelegten Anforderungen müsste die Datenverwendung zu festgelegten, eindeutigen und rechtmäßigen Zwecken erfolgen. Es ist fraglich, ob diese Voraussetzungen erfüllt sind. Die Bestimmung der Datenverwendung im Abkommen von 2012 wurde bereits im Rahmen der Verhandlungen zum Abkommen vielfach kritisiert. Dieser Kritik ist zuzustimmen. Die Bestimmung der Daten­ verarbeitung lässt viel Raum für Interpretationen, ist gekennzeichnet von einer gewissen Vagheit und lässt in weiten Teilen nicht die im Rahmen der Zweckbindung geforderte Festlegung und Eindeutigkeit der Zwecke erkennen. Bereits Art.  4 I (a)  des Abkommens beginnt mit der Nennung von „terroris­ tischen und damit verbundenen Straftaten“, gefolgt von einer Aufzählung von Beispielen, an denen eine Orientierung erfolgen kann, diese aber nicht begrenzt. Dass diese Aufzählung nicht abschließend ist, ergibt sich aus der Nutzung des Wortes „darunter“ vor der Aufzählung der Beispiele.1456 Auch fehlt eine Definition von „terroristischen und damit verbundenen Straftaten“ selbst.1457 Die fehlende Definition und die offene Gestaltung der Aufzählung führen daher zu beträchtlicher rechtlicher Unsicherheit.1458 Ähnliches gilt für Art. 4 I (b), der auf grenzüberschreitende Straftaten, die „mit drei oder mehr Jahren geahndet“ werden, Bezug nimmt. Die Liste der Beispiele, bei der eine Straftat als „grenzüberschreitend“ gilt, ist in der englischen Version des Abkommens als nicht abschließend zu betrachten, da die Liste mit der Formulierung „in particular“ eingeleitet wird.1459 Die deutsche Sprachfassung enthält keine solche Einschränkung, die französische Version jedoch schon („notamment“). Die Aufzählung der Beispiele, wann eine Straftat als „grenzüberschreitend“ gilt, ist

1456 Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 9. 1457 Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 9. 1458 Vgl. Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 9. 1459 So Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 9, bezugnehmend auf die englische Sprachfassung, sowie auch in ’t Veld, Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.773v01-00, 01.02.2012, S. 10.

§ 16 Rechtliche Würdigung der PNR-Regelungen

551

ebenfalls äußerst vage formuliert und bietet viel Raum für Interpretationen.1460 Des Weiteren ist nicht ersichtlich, in welcher Rechtsordnung die Straftat „mit drei oder mehr Jahren geahndet“ werden müsste und somit auch nicht, um welche Straftaten es sich handelt.1461 Neben Absatz 1 gehen auch die Absätze 2 bis 4 sehr weit. Die gemäß Art. 4 II des Abkommens mögliche Verarbeitung bzw. Verwendung „auf Anordnung eines Gerichts“ ist an keine weiteren Bedingungen oder Zwecke geknüpft, sodass es auszureichen scheint, dass ein Gericht die Verwendung für welche Zwecke auch immer anordnet.1462 Zwar wird ein Gericht dies nicht nach Belieben tun, jedoch wäre eine genauere Bestimmung der Fälle, in denen eine Anordnung erfolgen kann, wünschenswert gewesen. Der in Art. 4 III des Abkommens bestimmte Zweck der Datennutzung zur Ermittlung von Personen, die zusätzlichen verschiedenen Grenzkontrollen unter­ zogen werden, ist hinreichend konkret, und bestimmt somit erstmals ausdrücklich auch die Nutzung der Daten zu Zwecken der Grenzkontrolle.1463 Die in Art. 4 IV vorgesehene Geltung der zuvor genannten Absätze lässt ebenfalls eine ungenaue Zweckbestimmung erkennen. Diese gelten nämlich unbeschadet der „innerstaatlichen Strafverfolgung, justizielle[n] Befugnisse oder Verfahren“, wenn im Rahmen der PNR-Auswertung u. a. „andere Gesetzesübertretungen“ entdeckt werden. Die Formulierung „andere Gesetzesübertretungen“ lässt eine Subsumtion unter eine Vielzahl von Straftaten oder auch nur Ordnungswidrigkeiten zu. Zudem könnte diese Bestimmung die Regelung aus Art. 4 I (b) des Abkommens (Ahndung einer Straftat „mit drei oder mehr Jahren“) bedeutungslos werden lassen.1464 Die vorgenommene Analyse verdeutlicht die Vagheit und Unbestimmtheit des Zwecks. Die Behauptung der Kommission im Vorschlag zu diesem Abkommen, dass die Daten „nur für Zwecke der Vorbeugung, Aufdeckung, Untersuchung und strafrechtlichen Verfolgung von terroristischen Straftaten und grenzüberschreiten-

1460 Siehe dazu auch Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 10, mit detaillierter Kritik. 1461 So auch Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 10, mit weiterer Kritik. 1462 Siehe dazu bereits Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 18, Nr. 9; Hornung/ Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 10. 1463 Vgl. Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 10. 1464 Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 11.

552

Teil 3: Die Übermittlung von PNR-Daten in die USA 

der schwerer Kriminalität“1465 verarbeitet würden, erscheint unter Berücksichtigung der Ausnahmebestimmungen des Art. 4 II–IV des Abkommens als „in grober Weise irreführend“.1466 Wie mit der Analyse des zur Auswertung der PNR-Daten in den USA herangezogenen Systems ATS gezeigt wurde und zudem unter Berücksichtigung der Ausnahmebestimmungen wie die Möglichkeit der Datenauswertung nach „Anordnung eines Gerichts“, ist diese Aussage sogar als falsch einzustufen.1467 Das ATS erlaubt eine derart weitreichende Auswertung der Daten, dass eine Beschränkung  – wie sie von der Kommission angesprochen wurde  – im System nach seinen ursprünglichen Funktionen gar nicht vorgesehen ist. Im Grunde genommen nennen jedoch die Bestimmungen der Datenverwendung in Art. 4 des Abkommens gerade wegen ihrer Vagheit „zwischen den Zeilen“ die u. a. mit ATS mögliche PNR-Datenverarbeitung. Damit genügen die Bestimmungen der Datenverwendung in Art. 4 des Abkommens jedoch nicht den Anforderungen, die an die Zweckbestimmung zu stellen sind: Die Bestimmungen sind nämlich weder „festgelegt“ noch „eindeutig“, sodass hier ein Verstoß gegen das Prinzip der Zweckbestimmung als ein Aspekt der Zweckbindung vorliegt. Wenn weiterhin die Auswertung der PNR-Daten mit dem ATS erfolgen sollte, ist dies im Text des Abkommens offenzulegen wie es bspw. die Verpflichtungserklärung von 2004 noch in Bezug auf das CAPPS-II Auswertungssystem tat. 4. Übermittlung der Daten innerhalb der USA sowie an Drittländer Neben der ursprünglichen Bestimmung der Datenverwendung müsste auch die Weitergabe der Daten durch Übermittlung innerhalb der USA sowie an Dritt­länder den Voraussetzungen des Art.  8 GRCh entsprechen. Im Vergleich zu den bisher verabschiedeten Abkommen ist hinsichtlich dieses Punktes eine Ausweitung der Stellen zu erkennen, die die PNR-Daten empfangen können.1468 In der Verpflichtungserklärung von 2004 wurde dem CBP ein Ermessen zugestanden. Dies geschah, um auf Einzelfallbasis Regierungsbehörden im In- und Ausland, die mit der Wahrnehmung von „Terrorismusbekämpfungs- oder Strafverfolgungsaufgaben“ betraut sind, PNR-Daten zur Verhütung und Verfolgung der bereits im Rahmen der Zweckbestimmung genannten Straftaten zur Verfügung zu stellen.1469 Zudem war die Offenlegung der Daten aber auch dann erlaubt, wenn 1465

Europäische Kommission, 23.11.2011, S. 3. So Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 11: „grossly mis­ leading“. 1467 Siehe zum ATS ausführlich oben S. 395 ff. 1468 So auch Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 12 mit weiteren Ausführungen zu den jeweiligen Abkommen. 1469 Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche 1466

§ 16 Rechtliche Würdigung der PNR-Regelungen

553

diese „zum Schutz lebenswichtiger Interessen des Betroffenen oder anderer Personen, insbesondere im Falle erheblicher Gesundheitsrisiken“ erforderlich war oder die Offenlegung oder Nutzung der Daten ansonsten „Strafprozessen oder anderen gesetzlichen Erfordernissen“ entgegengestanden hätte.1470 Zwar sind diese Bestimmungen bereits sehr weitgehend, jedoch normiert die Verpflichtungserklärung auch Voraussetzungen, an die sich einerseits die empfangenden Behörden, andererseits aber auch die Mitarbeiter des CBP bei der Weitergabe der Daten unter Androhung von Sanktionen bzw. möglicher Strafbarkeit zu halten haben.1471 Auf Grund der Bezugnahme auf dieselbe Verpflichtungserklärung änderte sich dies­ bezüglich im vorläufigen Abkommen von 2006 nichts. In der Regelung von 2007 erfolgte eine gewisse Ausweitung der zum Empfang der PNR-Daten berechtigten Stellen auf Regierungsbehörden der USA, die mit Aufgaben „im Bereich der Strafverfolgung, der öffentlichen Sicherheit oder der Terrorismusbekämpfung“ betraut sind, wohingegen die Voraussetzungen und Sicherheiten, an die diese Übermittlungen geknüpft sind, weniger detailliert ausfielen und bspw. auf die Möglichkeit einer Strafbarkeit bei unbefugter Offenlegung der Daten nicht mehr hingewiesen wurde.1472 Jedoch enthielt die Regelung von 2007 eine Bestimmung, die eine Übermittlung an Drittländer nur dann erlaubte, „wenn zuvor die vom Empfänger beabsichtigte[n] Verwendung[en] und die Fähigkeit des Empfängers zum Schutz der Informationen geprüft wurden“.1473 Von Ausnahmen abgesehen, musste zudem das Erfordernis von „ausdrücklichen Vereinbarungen zwischen den Parteien, die Datenschutzmaßnahmen umfassen, die mit denen vergleichbar sind, die das DHS […] auf EU-PNR anwendet“ erfüllt sein.1474 Das Abkommen von 2012 regelt die Weitergabe bzw. Übermittlung der Daten in zwei Artikeln: Art. 16 betrifft die Weitergabe innerhalb der USA; Art. 17 normiert die Übermittlung in Drittländer. Nach Art. 16 darf eine Weitergabe zum einen „nur nach sorgfältiger Prüfung“ von Garantien wie der Einhaltung der Voraussetzungen des Art. 4 (Verwendung von PNR-Daten) erfolgen. Zudem darf ausschließlich eine Weitergabe an „innerstaatliche Staatsbehörden“ zu den Zwecken des Art. 4 sowie unter der Voraussetzung, dass die Empfänger die im Abkommen

dem United States Bureau of Customs and Border Protection übermittelt werden, ABl. L 235 v. 06.07.2004, S. 18, Nr. 29. 1470 Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, ABl. L 235 v. 06.07.2004, S. 19, Nr. 34, 35. 1471 Siehe zu den Voraussetzungen Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, ABl. L 235 v. 06.07.2004, S. 18 f., Nr. 30–33. 1472 Siehe Schreiben der USA an die EU, ABl. L 204 v. 04.08.2007, S. 21, Nr. 2. 1473 Schreiben der USA an die EU, ABl. L 204 v. 04.08.2007, S. 21, Nr. 2. 1474 Schreiben der USA an die EU, ABl. L 204 v. 04.08.2007, S. 21, Nr. 2.

554

Teil 3: Die Übermittlung von PNR-Daten in die USA 

„festgelegten oder vergleichbaren Garantien“ anwenden, durchgeführt werden.1475 Zudem erfolgt die Weitergabe „nur für Untersuchungs- oder Ermittlungszwecke in konkreten Fällen und nur auf der Grundlage schriftlicher Vereinbarungen und nach Maßgabe der Vorschriften der Vereinigten Staaten über den Austausch von Informationen zwischen innerstaatlichen Behörden“.1476 Die genannten Garantien sind auch dann einzuhalten, wenn „analytische Informationen“ übermittelt werden, die aus den PNR-Abkommen im Rahmen des Abkommens gewonnen wurden.1477 Bezüglich der Übermittlung an Drittländer verlangt Art. 17 identisch mit dem Vorgängerabkommen neben der Prüfung des Empfängers die Einhaltung der Bedingungen des Abkommens sowie eine ausdrückliche Vereinbarung zwischen den Parteien zu Datenschutzgarantien mit Ausnahme von Notfallübermittlungen.1478 Zudem darf die Weitergabe ausschließlich „zu Untersuchungs- und Ermittlungszwecken in konkreten Fällen“ erfolgen.1479 Neu hinzugekommen im Abkommen von 2012 ist die Pflicht, die zuständigen Behörden des betreffenden EU-Mitgliedstaates „zum frühestmöglichen Zeitpunkt“ zu benachrichtigen, wenn dem DHS „bekannt“ ist, dass PNR-Daten von einem EU-Bürger oder einem im EU-Gebiet Ansässigen übermittelt werden.1480 Schließlich sind noch die sonstigen in Art. 17 genannten Garantien einzuhalten, wenn im Rahmen des Abkommens gewonnene „analytische Informationen“ übermittelt werden sollen.1481 Fraglich ist, ob die beschriebenen Voraussetzungen für die Weitergabe bzw. Übermittlung an Dritte den Anforderungen, die im Rahmen der Zweckbindung an die Weiterverarbeitung gestellt werden, genügen. Zunächst ist ein unterschiedlicher Wortlaut der Art. 16 und 17 bereits in ihren Überschriften auffällig. Art. 16 spricht von „Weitergabe“ innerhalb der USA, Art.  17 hingegen von „Übermittlung“ in Drittländer. Ob die beiden Begriffe als Synonyme verstanden werden sollten, oder ob damit andere Vorgänge gemeint sind, ist zu klären. Ein Blick auf die englische Version des Abkommens, in dem in Art. 16 von „Domestic sharing“, in Art. 17 aber von „Onward transfer“ gesprochen wird, lässt zumindest auch eine unterschiedliche Deutung der beiden Begriffe zu. Möglich ist somit eine Interpretation dahingehend, dass lediglich in Bezug auf Drittländer das Zugänglichmachen der Daten aktiv erfolgen muss, in Bezug auf Behörden der USA hingegen auch ein Abrufen der Daten durch die Behörden erfolgen kann. Unterstützt werden könnte eine solche Annahme durch die Analyse des zur Auswertung von PNR-Daten herangezogenen Systems ATS. Dieses ermöglicht und erlaubt einen Zugriff auf Daten durch eine Vielzahl von Bundesbehörden. So sind bspw. analytische Einheiten des CBP an den Flug- und Seehäfen (sog. Passenger Analytical Units (PAUs)), 1475

Art. 16 I des Abkommens. Art. 16 I des Abkommens. 1477 Art. 16 II des Abkommens. 1478 Art. 17 I-II des Abkommens. 1479 Art. 17 III des Abkommens. 1480 Art. 17 IV des Abkommens. 1481 Art. 17 V des Abkommens. 1476

§ 16 Rechtliche Würdigung der PNR-Regelungen

555

das National Targeting Center (NTC), Beamte der sog. Border Patrol, ­Analysten von Geheimdienstinformationen im CBP Hauptsitz, Analysten und Beamte im Department of Homeland Security, Beamte im Office of Intelligence and Ana­ ustoms lysis (I&A), die Polizei- und Zollbehörde United States Immigration and C Enforcement (ICE), die US-Küstenwache sowie die Transportsicherheitsbehörde TSA in das System eingebunden.1482 Des Weiteren erlaubt das ATS u. a. auch die Prüfung von Visumsanträgen für das Außenministerium oder, Anfragen an andere Systeme der Bundesregierung zu stellen.1483 Somit ist  – soweit ersichtlich  – gerade für die Behörden, die ein Interesse an den PNR-Daten haben könnten, auf Grund ihrer Einbindung in das ATS ein Zugriff auf die Daten rein technisch sowieso möglich. Art.  16 des Abkommens müsste diese Realität zumindest für die Behörden, die – wie das Außenministerium – nicht dem DHS unterstehen, abbilden, um die Anforderungen an die Zweckbindung zu erfüllen. Die Indikatoren, die für eine zulässige Weiterverarbeitung im Rahmen der DSRL herangezogen werden sollen, könnten auch im Rahmen der Datenübermittlung im Sicherheitsbereich Hinweise liefern:1484 Ein Zusammenhang zwischen den Zwecken, für die die Daten jeweils erhoben werden, besteht vor allem durch die Bezugnahme auf Art. 4 des Abkommens zweifelsfrei, jedoch muss auch berücksichtigt werden, dass die ursprünglichen Zwecke bereits sehr weitreichend und unbestimmt sind, sodass keine klare Aussage zu den Verwendungsmöglichkeiten getroffen ist. Die Erwartungen des Betroffenen hinsichtlich der Weiterverarbeitung sind schwer einzuschätzen. Zumindest in englischer Sprache existieren ausführliche, öffentlich zugängliche Informationen des DHS Privacy Officers über das ATS.1485 Dass Passagiere jedoch aktiv über die verschiedenen möglichen Nutzer des ATS und somit die Nutzung durch verschiedene Bundesbehörden informiert werden, ist nicht ersichtlich. Hier wäre eine aktive Information der Öffentlichkeit – bspw. durch offizielle Broschüren bzw. Aushänge von DHS und EU in den Amtssprachen der EU – angezeigt. Auf Grund der sehr weitreichenden Verwendung der PNR-Daten können die Auswirkungen der Weiterverarbeitung nicht eng umschrieben werden. Zur Sicherstellung einer fairen Verarbeitung und Verhinderung nachteiliger Auswirkungen auf den Betroffenen bestehen zwar Sicherungen wie Beschränkungen der Zugriffsrechte,1486 jedoch ist zumindest eine klar umrissene Einschätzung der möglichen Konsequenzen der Datenverarbeitung nicht möglich. Lediglich die Voraussetzun 1482

US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012,

S. 6.

1483 US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 6 u. a. mit Beschreibung des Vorgehens bei der Prüfung eines Visumsantrags. 1484 Art. 29-Datenschutzgruppe, Opinion 03/2013 on purpose limitation, WP 203, 02.04.2013, S. 23 ff.; siehe dazu oben S. 547. 1485 Siehe bspw. US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 6. 1486 Diese bestehen vor allem im Rahmen des Untermoduls ATS-TF, siehe US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 7, 8.

556

Teil 3: Die Übermittlung von PNR-Daten in die USA 

gen des Art. 16 I (c), der auf „vergleichbare Garantien“ Bezug nimmt, können als substantielle Voraussetzungen für die Übermittlung bezeichnet werden.1487 Die extensive Bezugnahme von Art. 16 auf die Voraussetzungen des Art. 4, dessen Anforderungen bereits ziemlich vage sind, kann hingegen im Ergebnis auch nicht dazu führen, die Anforderungen an die Zweckbindung zu erfüllen. Bei einem neuen PNR-Abkommen sollte auf Verbesserungen hingewirkt und die möglichen Weiterverarbeitungen der PNR-Daten durch andere Bundesbehörden offengelegt werden. Ähnliches gilt für die Voraussetzungen des Art. 17 des Abkommens bzgl. der Weiterübermittlung an Drittländer. In diesem Rahmen ist jedoch bereits das Verhältnis zwischen den Zwecken, für die die Daten erhoben wurden, und den Zwecken der Weiterverarbeitung nicht klar ersichtlich. Im Gegensatz zu Art.  16 des Abkommens verweist Art. 17 nämlich in keiner Weise auf die in Art. 4 festgelegten Zwecke. Dieser fehlende Verweis in Verbindung mit der Tatsache, dass das DHS selbst bestimmt, ob die beabsichtigte Nutzung von dem Abkommen gedeckt ist, lässt eine „Hintertür“ für mögliche andere Transferzwecke offen.1488 Folglich sind auch die Erwartungen des Betroffenen in Bezug auf die Weiterverarbeitung nicht klar auszumachen, da der genaue Umfang nicht bekannt ist. Hinsichtlich der vom Datenverarbeiter getroffenen Vorkehrungen zur Sicherstellung einer fairen Verarbeitung ist zumindest das Vorhandensein der Bestimmung des Art. 17 IV des Abkommens zu begrüßen, die eine Informationspflicht normiert. Jedoch ist diese nicht präzise ausgestaltet. Auch verwundert, dass eine Benachrichtigung von Stellen innerhalb der EU nur erfolgt, wenn die Übermittlung an Drittländer bekannt ist. Dem DHS sollte immer bekannt sein, wenn Daten an Drittländer übertragen werden.1489 Wegen der Unbestimmtheit des Art. 17 sind somit auch hier die Voraussetzungen der Zweckbindung nicht erfüllt, sodass ein Verstoß gegen das Grundrecht auf Datenschutz vorliegt. V. Verstoß gegen Rechte der Betroffenen Ebenso von Interesse sind die Rechte der Betroffenen. Nach europäischem Datenschutzrecht stehen jedem Betroffenen bestimmte Rechte in Bezug auf seine Daten zu. Dazu zählen einerseits das Recht auf Auskunft (bspw. Art.  12 lit.  a 1487 So Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 13; siehe auch positiv dazu Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 21, Nr. 25. 1488 So zutreffend Hornung/Boehm, Comparative Study on the 2011 draft Agreement ­between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 13. 1489 So auch Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 21, Nr. 27.

§ 16 Rechtliche Würdigung der PNR-Regelungen

557

DRSL bzw. Art. 17 DSRB), das Recht auf Berichtigung, Löschung oder Sperrung (bspw. Art. 12 lit. b DSRL bzw. Art. 18 DSRB) und auch Rechtsbehelfe bei Gericht (bspw. Art. 22 DSRL bzw. Art. 20 DSRB). In dieser Reichweite sind diese Rechte in den USA nicht vorhanden. Bei Betrachtung der bisher verabschiedeten Abkommen scheint es jedoch im Vergleich zu den Vorgängerabkommen  – zumindest auf den ersten Blick – zu einer Ausweitung der Betroffenenrechte gekommen zu sein. Einen entscheidenden Einfluss auf die Bewertung haben jedoch auch Bestimmungen im Abkommen, die nicht direkt mit den jeweiligen Bestimmungen zu Betroffenenrechten im Abkommen verbunden sind, jedoch ihren Aussagegehalt bedeutend abschwächen können. Entscheidend ist diesbezüglich Art. 21 I 1 des Abkommens, der bestimmt, dass durch das Abkommen „nach dem Recht der Vereinigten Staaten keinerlei Rechte oder Vergünstigungen für Personen oder Einrichtungen privater oder öffentlicher Art begründet“ werden. Unabhängig davon, was das Abkommen inhaltlich bestimmt, schafft es somit keine Rechte für Personen oder Einrichtungen, die nicht sowieso schon durch das USRecht gewährleistet werden.1490 Dieser Eindruck wird durch weitere Vorschriften bestätigt: So erläutert Art. 5 V des Abkommens, dass „[d]ie Vereinigten Staaten bestätigen, dass sie in ihren Datenschutzvorschriften über wirksame verwaltungs-, zivil- und strafrechtliche Durchsetzungsmaßnahmen in Falle [sic] von Verletzungen des Datenschutzes verfügen“, bestimmt jedoch diese Rechte nicht näher und geht auch nicht auf weitere Rechtsmittel ein.1491 Aufgrund dieser fehlenden Normierung tatsächlicher, neuer Betroffenenrechte aufgrund des Art. 21 I könnte dem Abkommen daher  – im Gegensatz zur ausdrücklichen Bestimmung in Art.  19 des Abkommens  – ein angemessenes Schutzniveau abgesprochen werden.1492 Letztendlich ist jedoch entscheidend, welchen Inhalt die im US-Recht bestehenden Rechte tatsächlich haben und mit welcher Effektivität der Betroffene diese durchsetzen kann. 1. Recht auf Auskunft (Zugang von Einzelpersonen) In der Verpflichtungserklärung des CBP, die für das Abkommen von 2004 sowie das vorläufige Abkommen von 2006 Gültigkeit beanspruchte, wird für Auskunftsanträge über die gespeicherten PNR-Daten auf den Freedom of Information Act verwiesen. Zudem wird klargestellt, dass ebenfalls mit Verweis auf den Freedom of Information Act die Anträge unter bestimmten Voraussetzungen verweigert 1490 Vgl. Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 15. 1491 So Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S.  15, die zudem Art. 10 II des Abkommens nennen (dazu unten). 1492 Sich gegen das Bestehen eines solchen angemessenen Schutzniveaus aussprechend­ Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 15.

558

Teil 3: Die Übermittlung von PNR-Daten in die USA 

werden können.1493 Auch das Schreiben der USA zum Abkommen von 2007 regelt Zugangsrechte für Betroffene und Ausnahmebestimmungen und verweist neben dem Freedom of Information Act erstmals auf den Privacy Act of 1974, der trotz seiner eigentlichen Geltung nur für US-Bürger auch auf Personen anderer Staatsangehörigkeit Anwendung finden soll.1494 Detaillierter ist das Auskunftsrecht im Abkommen von 2012 normiert: Art. 11 des Abkommens regelt den Zugang von Einzelpersonen zu ihren PNRDaten. Gem. Art. 11 I kann jede Person nach dem Freedom of Information Act „unabhängig von ihrer Staatsangehörigkeit, ihrem Herkunfts- oder Wohnsitzland“ ihre PNR-Daten beim DHS verlangen, wobei das DHS wiederum die Daten vorbehaltlich Art. 11 II und III „innerhalb eines angemessenen Zeitraums“ vorzu­legen hat. Die Formulierung „innerhalb eines angemessenen Zeitraums“ lässt jegliche Art von Interpretation zu. Wegen der Auswertung von PNR-Daten durch ein computerbasiertes System scheint es ein Leichtes zu sein, den beantragten Datensatz aufzufinden und über eine Offenlegung zu entscheiden. Eine explizit normierte maximale Bearbeitungszeit scheint daher geboten und ist zu fordern. In zukünftigen Abkommen ist somit auf eine solche hinzuwirken. Unter Berücksichtigung der verschiedenen Interessen scheint eine großzügige Bemessung von drei Monaten angezeigt. Art.  11 II und III enthalten einen weitreichenden Katalog von Ausnahmen, wann eine Offenlegung beschränkt oder sogar verweigert werden kann. Art. 11 II erlaubt „angemessene rechtliche Beschränkungen nach dem Recht der Vereinigten Staaten“ und zwar „beispielsweise Beschränkungen zum Schutz sensibler Informationen“ oder Informationen, die „für die nationale Sicherheit oder für Strafverfolgungszwecke“ relevant sind. Es ist zunächst nachvollziehbar, dass unter gewissen Umständen Beschränkungen des Auskunftsrechts erfolgen. Die vorgesehene Beschränkung ist jedoch zu weitgehend. Die Formulierung, dass die Einschränkungen hier nur „beispielsweise“ genannt werden, ermöglicht einerseits eine Orientierung, in welchen Fällen eine Versagung erfolgen sollte, erlaubt aber zugleich eine umfassende Ausweitung der Versagungs- bzw. Beschränkungsgründe. Das Auskunftsrecht als Vorstufe sonstiger Rechte sollte daher nur aus klar definierten und abschließend zu verstehenden Gründen eingeschränkt bzw. versagt werden können. Einen Anhaltspunkt könnte bspw. die in Art. 17 II DSRB getroffene Formulierung bieten. Der Verweis auf das Recht der Vereinigten Staaten i. V. m. der beschriebenen Situation, die durch Art. 21 I geschaffen wird, verdeutlicht noch 1493

Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, ABl. L 235 v. 06.07.2004, S. 19, Nr. 37, 38 mit Verweis auf das Verfahren und die für Anträge zuständigen Stellen; zum Freedom of Information Act siehe auf Deutsch bspw. Bruch, in: Hart/­Welzel/ Garstka, Informationsfreiheit, 2004, S. 181 ff. 1494 Schreiben der USA an die EU, ABl. L 204 v. 04.08.2007, S. 23, Nr. IV mit Verweis auf die zu kontaktierenden Stellen; dabei wird auch darauf verwiesen, dass die Daten im ATS gespeichert sind, im Rahmen des Verwendungszwecks erfolgt dies aber nicht.

§ 16 Rechtliche Würdigung der PNR-Regelungen

559

mals, dass durch das Abkommen die Rechte der Passagiere nicht ausgeweitet werden und ihnen nur die Rechte zustehen, auf die unter US-Recht sowieso Bezug genommen werden kann.1495 Der Verweis auf das Recht der Vereinigten Staaten sollte daher ebenfalls gestrichen werden, sodass eine Verweigerung nur aus den enumerativ aufgeführten und bereits sehr weitreichenden Gründen möglich ist. In Art. 11 III ist daraufhin noch geregelt, dass die Zugangseinschränkung bzw. -verweigerung schriftlich dem Antragsteller „innerhalb eines angemessenen Zeitraums“ mitzuteilen ist, wobei auch Vorschriften, auf die die Entscheidung gestützt wird, zu nennen sind und auf Rechtsbehelfe nach dem Recht der USA hinzuweisen ist. Auch in Bezug auf die Benachrichtigung des Betroffenen über die Versagung bzw. Beschränkung der Auskunft ist wiederum der Bezug auf eine eindeutig festgelegte Bearbeitungsfrist zu fordern, wobei dies  – wie bereits vorgeschlagen  –­ innerhalb einer dreimonatigen Frist erfolgen könnte. Zudem könnte  – ähnlich Art. 17 III DSRB – neben den rechtlichen Gründen auch die tatsächlichen Gründe für die Beschränkung angegeben werden müssen. Die folgende Bestimmung des Art.  11 IV normiert zunächst sinnvollerweise, dass PNR-Daten nicht der Öffentlichkeit, sondern nur dem Betroffenen bzw. seinem Vertreter offengelegt werden, schränkt dies jedoch daraufhin direkt wieder ein. Neben den Genannten kann eine Offenlegung nämlich auch „anderen Personen“ gegenüber bzw. „wenn dies nach den Rechtsvorschriften der Vereinigten Staaten erforderlich ist“, erfolgen. Die Einschränkungen der Regelungen sind zu weitgehend, da nicht ersichtlich ist, welche „anderen Personen“ gemeint sind und zudem der Bezug auf die „Rechtsvorschriften der Vereinigten Staaten“ eine nicht überblickbare mögliche Ausweitung der Zugang erhaltenen Personen erlaubt. Eine Beschränkung auf die Betroffenen und ihre Vertreter ist somit angezeigt. 2. Recht auf Berichtigung, Sperrung und Löschung Die Verpflichtungserklärung des CBP von 2004 regelt die Möglichkeit der Berichtigung von PNR-Daten und knüpft diese an die Voraussetzung, dass die Berichtigung „gerechtfertigt und korrekt belegt“ ist.1496 Im Schreiben der USA zum Abkommen von 2007 wird die Möglichkeit einer Berichtigung von PNR-Daten nicht explizit angesprochen, sondern es wird nur auf Rechtsmittel verwiesen, die bei Verweigerung eingelegt werden können.1497

1495 Vgl. Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 15. 1496 Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, ABl. L 235 v. 06.07.2004, S. 19 f, Nr. 39, 40. 1497 Siehe Schreiben der USA an die EU, ABl. L 204 v. 04.08.2007, S. 23, Nr. IV.

560

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Das sonst unter der Umschreibung „Recht auf Berichtigung, Sperrung und Löschung“ bekannte Recht eines Betroffenen wird in Art. 12 des PNR-Abkommens zwischen der EU und den USA von 2012 geregelt und dort mit „Recht von Einzelpersonen auf Berichtigung oder Bereinigung“ umschrieben. Der Artikel bestimmt, dass jede Person „unabhängig von ihrer Staatsangehörigkeit, ihrem Herkunftsoder Wohnsitzland“ neben „Berichtigung oder Bereinigung“ auch „Löschung oder Sperrung von Daten“, die als Unterpunkte von Berichtigung und Bereinigung gesehen werden, beim DHS verlangen kann. Geknüpft sind diese Rechte an die „in diesem Abkommen vorgegebenen Verfahren“. Eine solche Regelung ist zwar grundsätzlich zu begrüßen, weist aber aus europäischer Perspektive eine Vielzahl von Defiziten auf.1498 Die „in diesen Abkommen vorgegebenen Verfahren“ sind bspw. überhaupt nicht explizit im Abkommen geregelt, wie es Art. 12 I suggeriert, und vermuten lässt. Lediglich Art. 10 II des Abkommens bestimmt zur Transparenz, dass das DHS „seine Verfahren und Modalitäten für den Zugang, die Berichtigung oder Bereinigung sowie für Rechtsbehelfe“ veröffentlicht und diese an die EU weitergibt, die sie wiederum veröffentlichen kann. Dieser Bezug auf ein Verfahren kann ebenso wenig als ausreichend angesehen werden wie die in Art. 10 III angesprochene Zusammenarbeit mit den Fluggesellschaften, die u. a. die Information der Fluggäste über „die Möglich­keiten zur Beantragung des Zugangs, der Berichtigung und über Rechtsbehelfsmöglichkeiten“ beinhaltet. Auch Art. 13 II und III bestimmen kein „Verfahren“. Zudem kann der vorgenommene Verweis in Art. 13 IV des Abkommens auf das TRIP Programm des DHS nicht den Anforderungen an die Beschreibung eines Verfahrens genügen, obwohl das TRIP Programm durchaus zu Zwecken der Datenberichtigung genutzt werden könnte. Gerade aus dem Grund, dass das Abkommen eine „Vorgabe“ im Abkommen selbst in Aussicht stellt, ist das Nichtvorhandensein kurios. Eine konkrete Nennung der Stelle unter Angabe der Adresse wie bei der Verpflichtungserklärung des CBP von 2004, bei der eine Berichtigung beantragt werden könnte, ist in einem Abkommen zwischen zwei Staaten wohl eher unüblich.1499 Ein Verweis auf die Webseite des DHS mit dort einsehbaren weiteren Informationen zum Verfahren wäre jedoch zumindest ein erster Schritt zu mehr Transparenz. Die Entscheidung über eine Berichtigung oder Bereinigung erfolgt gem. Art. 12 II schriftlich an den Antragsteller und zwar nicht wie nach Art.  11 „in einem angemessenen Zeitraum“, sondern „ohne unangemessene Verzögerung“. Unabhängig davon, ob mit diesen beiden Formulierung das gleiche gemeint ist, sollte auch hier eine Bearbeitungsfrist eingeführt werden. Hierfür scheint wiederum ein Zeitraum von drei Monaten angemessen. 1498

Siehe zu weiterer Kritik Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 15. 1499 Siehe Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, ABl. L 235 v. 06.07.2004, S. 20, Nr. 40.

§ 16 Rechtliche Würdigung der PNR-Regelungen

561

Wie Art. 12 III daraufhin regelt, ist die Verweigerung oder Beschränkung der Berichtigung oder Bereinigung wiederum schriftlich „innerhalb eines angemessenen Zeitraums“ mitzuteilen. Die Vorschriften, auf die die Entscheidung gestützt wird, sind zu nennen. Auf Rechtsbehelfe nach dem Recht der USA ist hinzuweisen. Diese Bestimmung regelt wiederum nicht, was unter einem „angemessenen Zeitraum“ zu verstehen ist. Zudem werden keine Gründe genannt, auf die sich eine Verweigerung der Berichtigung gründen könnte. Ähnlich wie beim Auskunftsrecht könnten wiederum abschließende Gründe genannt werden, die als Verweigerungsgründe in Betracht kämen. Zwar wird normiert, dass die Vorschriften zu nennen sind, auf die sich die Entscheidung des DHS stützt, jedoch wäre es auch wünschenswert, wenn neben den Vorschriften auch der Grund für die Entscheidung genannt würde.1500 Ebenso wäre ein genauer Bezug auf die im US-Recht vorhandenen Rechtsbehelfe dienlich. 3. Rechtsbehelfe für Einzelpersonen Für die PNR-Regelungen von 2004 und 2006 bestimmt die Verpflichtungserklärung des CBP, dass jede Verweigerung des CBP bzgl. des Informationszugangs bei der Verwaltung oder bei Gericht anfechtbar ist. Die Erklärung verweist dabei auch auf den Freedom of Information Act und Stellen, bei denen die Rechtsmittel eingelegt werden können.1501 Auch die Regelung von 2007 enthält dazu Bestimmungen. Das Schreiben der USA verweist jedoch ebenfalls nur darauf, dass die Entscheidung, Informationen nicht offenzulegen, auf administrativem oder gerichtlichem Weg angefochten werden kann.1502 Sie nimmt neben dem Freedom of Information Act auch Bezug auf den Privacy Act of 1974 und Stellen, an die sich Betroffene wenden können.1503 Zudem wird auf „ein System“ unter Angabe der Webseite des DHS verwiesen, das jedermann zugänglich ist und „Rechtsmittel“ für Personen vorsieht, die Zugang zu oder Berichtigung von ihren PNR-Daten beantragen wollen.1504 Gemeint ist damit wohl das noch zu erläuternde TRIP Programm. Im neusten Abkommen von 2012 findet sich in Art. 13 der „Rechtsbehelf für Einzelpersonen“.1505 Nach Art. 13 I können bei einer mit dem Abkommen unzuläs 1500 Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 15. 1501 Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, ABl. L 235 v. 06.07.2004, S. 19, Nr. 38 mit Verweis auf den Freedom of Information Act, siehe 5 U. S. C. 552 (a) (4) (B); 19 C. F. R. 103.7–103.9. 1502 Schreiben der USA an die EU, ABl. L 204 v. 04.08.2007, S. 23, Nr. IV. 1503 Schreiben der USA an die EU, ABl. L 204 v. 04.08.2007, S. 23, Nr. IV. 1504 Schreiben der USA an die EU, ABl. L 204 v. 04.08.2007, S. 23, Nr. IV. 1505 Dazu und zum Folgenden auch Baumann, in: Dix/Franßen/Kloepfer/Schaar/Schoch/­ Voßhoff/Deutsche Gesellschaft für Informationsfreiheit, Informationsfreiheit und Informa­ tionsrecht Jahrbuch 2014, 2015, S. 49 ff.

562

Teil 3: Die Übermittlung von PNR-Daten in die USA 

sigen Datenverarbeitung bzw. -verwendung „wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe nach dem Recht der Vereinigten Staaten“ unabhängig von Staatsangehörigkeit, Herkunfts- oder Wohnsitzland in Anspruch genommen werden. In Zusammenschau mit den folgenden Absätzen des Artikels wird deutlicher, um welche Rechtsbehelfe es sich handelt. Art. 13 II berechtigt jedermann, „Verwaltungsbeschwerde“ gegen Entscheidungen des DHS zur PNR-Datenverarbeitung bzw. -verwendung einzulegen. Mit Verwaltungsbeschwerde ist  – soweit ersichtlich – das in Art. 13 IV näher beschriebene DHS TRIP Verfahren des DHS gemeint. Gegen endgültige Entscheidungen des DHS kann jede Person gem. Art.  13 III nach dem Administrative Procedure Act und „anderen einschlägigen Vorschriften“ bei einem Bundesgericht der USA Rechtsmittel einlegen. Art. 13 III bestimmt weiterhin, dass zudem nach dem Freedom of Information Act, dem Computer Fraud and Abuse Act, dem Electronic Communications Privacy Act sowie „anderen einschlägigen Rechtsvorschriften der Vereinigten Staaten“ Rechtsmittel eingelegt werden können. Abschließend bestimmt Art. 13 IV, dass das DHS ein „Verwaltungsverfahren“ namens DHS TRIP eingeführt habe, das „jeder Person für Anfragen zu Reisen, darunter zur Verwendung von PNR-Daten“ zur Verfügung stehe. Nach der Bestimmung des Art. 13 IV bietet TRIP einen „Rechtsbehelf für Personen, die der Ansicht sind, dass ihnen der Einstieg in ein Verkehrsflugzeug erst verspätet gestattet oder verwehrt wurde, weil sie fälschlicherweise als Bedrohung identifiziert wurden“. Schließlich regelt Art. 13 IV noch, dass jeder Geschädigte ein Rechtsmittel gegen endgültige DHS-Entscheidungen einlegen könne.1506 Wie bereits in vorherigen Regelungswerken existiert kein spezielles Abhilfeverfahren für EU-Bürger; es erfolgt lediglich eine Bezugnahme auf das Recht der Vereinigten Staaten.1507 Diese Bezugnahme in Verbindung mit dem bereits genannten Art. 21 I des Abkommens lässt es fraglich erscheinen, ob Art. 13 überhaupt neue Rechte für EU-Bürger normiert. Die Formulierung lässt eher die Annahme zu, dass Betroffene sich lediglich auf die Rechte beziehen können, die ihnen das USRecht ohne Bezugnahme auf die PNR-Abkommen sowieso zugesteht.1508 Dafür spricht auch die Bezugnahme auf die Liste an möglichen Rechtsbehelfen nach USRecht, die unabhängig vom PNR-Abkommen gelten.1509 Letztendlich ist jedoch für 1506 Das Abkommen verweist dabei auf den Administrative Procedure Act sowie Titel 49 des US Codes, Abschnitt 46110. 1507 Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 16. 1508 Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 16 f.; siehe auch in ’t Veld, Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-­ Abkommen 2012, PE 480.773v01-00, 01.02.2012, S.  13 sowie Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 21, Nr. 24. 1509 Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 16.

§ 16 Rechtliche Würdigung der PNR-Regelungen

563

den Betroffenen ausschlaggebend, welchen Inhalt die im US-Recht bestehenden Rechte tatsächlich haben und mit welcher Effektivität diese durchgesetzt werden können. Es ist zumindest zunächst zu begrüßen, dass überhaupt eine gewisse Anzahl an verschiedenen Rechtsbehelfen im US-Recht vorhanden zu sein scheint und auch eine Auffangklausel für weitere vorhandene Rechtsbehelfe besteht. Auffällig ist jedoch, dass ein Rechtsbehelf im Rahmen des Privacy Act von 1974 nicht mehr zur Verfügung steht, wie es noch im Abkommen von 2007 zumindest formal der Fall war. Dies lässt sich damit erklären, dass im Jahr 2010 PNR-Daten vom Anwendungsbereich des Privacy Act of 1974 ausgenommen worden sind und damit auch die im Rahmen dieses Gesetzes eigentlich zur Verfügung stehenden Rechtsbehelfe nicht mehr zur Verfügung stehen.1510 Die Ausweitung eigentlich nur für US-Bürger zur Verfügung stehender Rechtsbehelfe auf EU-Bürger war ursprünglich erst durch das Abkommen von 2007 normiert worden.1511 a) Der Fall Hasbrouck Neben der Normierung der Rechte müssten diese jedoch vor allem tatsächlich durchsetzbar sein. Von Interesse sind einerseits die Rechtsbehelfe mit Bezug zu den beschriebenen US-Gesetzen und insbesondere dem Freedom of Information Act, der ebenfalls im Abkommen genannt wird. Andererseits sind möglicherweise auch aus Entwicklungen zu dem nicht mehr auf das ATS anwendbaren Privacy Act of 1974 Rückschlüsse zu ziehen. Hinsichtlich der Rechtsbehelfe mit Bezug zu US-Gesetzen ist vor allem der Fall des Reisejournalisten und Bürgerrechtlers Edward Hasbrouck relevant.1512 Soweit ersichtlich, ist der Fall Edward Hasbrouck v. U. S. Customs and Border Protection der vierte Fall, der gegen das Department of Homeland Security bzw. eine seiner Behörden mit Bezug zu Fluggastdaten und insbesondere zum System ATS geführt wurde.1513 Der Fall begann bereits 2007, als Hasbrouck mit Bezug auf seine Zu 1510

So auch Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 16. 1511 Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 16. 1512 Edward Hasbrouck v. U. S. Customs and Border Protection, Case number C 10-03793 RS, U. S. District Court, Northern District of California; siehe dazu Hasbrouck, Why I’m suing the Department of Homeland Security, 25.08.2010, http://www.hasbrouck.org/blog/ archives/001887.html (zuletzt geprüft am 15.03.2015) sowie für eine vollständige Dokumentation des Falles mit Verweisen auf die Klageschrift, im Prozess relevante Dokumente sowie das Urteil The Identity Project, Edward Hasbrouck v. U. S. Customs and Border Protection, http:// www.papersplease.org/wp/hasbrouck-v-cbp (zuletzt geprüft am 15.03.2015). 1513 Die  – soweit ersichtlich  – einzigen weiteren Fälle, die vor Gericht mit Bezug auf das ATS verhandelt wurden, sind: EFF v. DHS (siehe dazu: https://www.eff.org/press/archives/ 2006/12/19), Shearson v. DHS (siehe dazu: http://www.papersplease.org/wp/2011/04/21/dhscant-opt-out-of-liability-for-violating-the-privacy-act) und in ’t Veld v. DHS (siehe dazu: https://www.eff.org/press/archives/2008/07/01) (jeweils zuletzt geprüft am 15.03.2015).

564

Teil 3: Die Übermittlung von PNR-Daten in die USA 

gangsrechte unter dem US Privacy Act of 1974 Einsicht in seine eigenen im ATS gespeicherten Daten verlangte:1514 Er erhielt daraufhin zwar eine Antwort, diese war jedoch offenkundig unvollständig und nahm auf die Ausnahmen des Freedom of Information Act Bezug, der bei einer Anfrage auf Grundlage des Privacy Act of 1974 nicht einschlägig ist.1515 Daraufhin legte Hasbrouck Widerspruch ein, erhielt jedoch keine Antwort von der Behörde. Im Oktober 2009 reichte Hasbrouck eine erneute, weitergehende Anfrage ein und forderte zum einen unter dem Privacy Act of 1974 eine Auflistung seiner im ATS und weiteren Datenbanken des CBP gespeicherten Daten und Informationen. Er wollte wissen, wann und an wen diese Informationen weitergegeben wurden. Des Weiteren forderte er unter Bezugnahme auf den Privacy Act und den Freedom of Information Act Auskunft über den Verbleib seiner ersten Anfrage sowie seines Widerspruchs; außerdem verlangte er im Rahmen des Freedom of Information Act Informationen über die generelle Funktionsweise des ATS wie seine Such- und Zugriffsfunktionen. Nachdem Hasbrouck auf diese Anfrage wiederum keine Antwort erhalten hatte, erhob er abermals Widerspruch. Sieben Monate nachdem er den Widerspruch eingelegt und seitdem immer noch nichts gehört hatte, erhob er am 25. Oktober 2010 vor dem U. S. District Court for the Northern District of California in San Francisco Klage. Hasbrouck forderte in seiner Klage ein sog. „Declaratory Judgment“ und damit ein Urteil, dass bestätigt, dass das CBP seine Pflichten unter dem Privacy Act of 1974 sowie dem FOIA nicht eingehalten hatte. Damit forderte er auch eine gerichtliche Anordnung an das CBP, die Gesetze einzuhalten, die beantragten Informationen zu suchen und ihm alle beantragten Informationen zugänglich zu machen. Ein erstes Urteil zu der von Hasbrouck eingelegten Klage wurde am 23. Januar 2012 verkündet.1516 Richter Richard Seeborg legte dar, dass sich die Parteien nach Klageeinreichung nochmals über mögliche Lösungsansätze ausgesprochen hätten und er nur zu den unüberwindbaren Aspekten durch das Urteil Stellung nehmen wolle und er die Parteien zur weiteren Klärung von weiteren bestehenden Konfliktpunkten aufforderte.1517 1514

Siehe dazu und zum Folgenden The Identity Project, Edward Hasbrouck v. U. S. Customs and Border Protection. 1515 Zu dem Verfahren für Zugangsrechte im Rahmen des Privacy Act of 1974 für US-Bürger über ihre eigenen, bei Bundesbehörden vorgehaltenen Daten siehe http://www.dhs.gov/fileprivacy-act-request; zu dem Verfahren für Zugangsrechte von Individuen über bei Bundesbehörden generell gespeicherten Informationen siehe http://www.dhs.gov/steps-file-foia. Eine gute Übersicht über die Ausnahmen vom Freedom of Information Act bietet http://www.dhs. gov/foia-exemptions (jeweils zuletzt überprüft am 15.03.2015). 1516 Das Urteil ist abrufbar unter http://www.papersplease.org/wp/wp-content/uploads/2012/01/ order-23jan2012.pdf (zuletzt geprüft am 15.03.2015), (im Folgenden: Urteil im Fall Hasbrouck v. 23.01.12); siehe dazu auch die Kommentierung bei The Identity Project, First rulings in our lawsuit over DHS travel records, http://papersplease.org/wp/2012/01/24/first-rulings-in-ourlawsuit-over-dhs-travel-records (zuletzt geprüft am 15.03.2015) sowie die Zusammenfassung von Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 17. 1517 Urteil im Fall Hasbrouck v. 23.01.12, S. 3 Rn. 8–14.

§ 16 Rechtliche Würdigung der PNR-Regelungen

565

Der erste Aspekt, zu dem das Urteil Stellung nahm, war die Tatsache, dass sich das CBP auf die Ausnahme des Auswertungssystems ATS von den Voraussetzungen des Privacy Act of 1974 stützte. Die Ausnahmeregelung stammte aus dem Jahr 2010, wurde aber vom CBP auf Auskunftsanfragen nach dem Privacy Act of 1974 angewandt, die der Kläger bereits 2007 und 2009 gestellt hatte.1518 Zunächst wurde erläutert, dass eine solche Ausnahme mit Bezug auf den FOIA möglich ist.1519­ Hasbrouck hatte in seiner Argumentation u. a. darauf abgestellt, dass diese nicht für den Privacy Act of 1974 gelte, da dieser andere Zwecke verfolge.1520 Dieser Argumentation folgte Richter Seeborg nicht und entschied, dass sich das CBP auf aus dem Jahr 2010 stammende Ausnahmeregelungen als Grundlage für eine Auskunftsverweigerung für Anfragen aus den Jahren 2007 und 2009 berufen könne.1521 Es bestehe kein berechtigtes Interesse an den Rechten aus dem Privacy Act of 1974 auf Zugang zu Informationen, auch wenn der Kläger darauf vertraut habe.1522 Der Kläger ersuche nämlich Abhilfe seiner Anfrage für die Zukunft, also eine gerichtliche Verfügung, die die Herausgabe der Information erst anordne.1523 Im Zeitpunkt der gerichtlichen Anordnung, auf die es ankomme, sei aber die Ausnahmeregelung bereits in Kraft gewesen, sodass gar nicht von einer „Rückwirkung“ gesprochen werden könne.1524 Wenn sich diese Interpretation in der Rechtsprechung durch­ setzen sollte, könnte sich niemand mehr wirksam auf den Privacy Act of 1974 berufen, und zudem würden Anreize für Bundesbehörden gesetzt, nicht mehr auf Anfragen nach dem Privacy Act of 1974 zu reagieren oder gar offenzulegen, welche Systeme in Zukunft mit einer Ausnahmeregelung versehen würden.1525 Sogar wenn eine Behörde verklagt würde, wäre es somit möglich, erst nach Klage­ erhebung Ausnahmeregelungen zu erlassen.1526 Diese Interpretation kann kaum mit den Zwecken, die mit dem Privacy Act of 1974 verfolgt wurden, in Einklang stehen: Falls sich diese Rechtsmeinung weiter durchsetzen sollte, sollte der Kongress daher den Privacy Act dahingehend ändern, dass rückwirkende Ausnahmen verboten werden, sodass Individuen zumindest Informationen über die zum Zeitpunkt der Anfrage gespeicherten Daten erhalten könnten.1527 1518

Urteil im Fall Hasbrouck v. 23.01.12, S. 3 Rn. 18–20. Urteil im Fall Hasbrouck v. 23.01.12, S. 3 Rn. 20 ff. mit Verweis auf Southwest Center For Biological Diversity v. Dep’t of Agriculture, 314 F.3d 1060, 1061 (9th Cir. 2002). 1520 Siehe Urteil im Fall Hasbrouck v. 23.01.12, S. 4 Rn. 11 ff. m. w. Ausf. u. Nachw.: „the purposes of the Privacy Act and the FOIA are quite different: the FOIA was enacted to provide citizens with better access to government records, while the Privacy Act was adopted to safe­ guard individuals against invasions of their privacy“. 1521 Vgl. Urteil im Fall Hasbrouck v. 23.01.12, S. 5 Rn. 19 ff. 1522 So die Interpretation bei The Identity Project, First rulings in our lawsuit over DHS travel records. 1523 Urteil im Fall Hasbrouck v. 23.01.12, S. 4 Rn. 26 ff. 1524 Urteil im Fall Hasbrouck v. 23.01.12, S. 4 f. Rn. 22 ff. mit w. Nachw. 1525 So die Interpretation bei The Identity Project, First rulings in our lawsuit over DHS travel records. 1526 The Identity Project, First rulings in our lawsuit over DHS travel records. 1527 So die Interpretation The Identity Project, First rulings in our lawsuit over DHS travel records. 1519

566

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Der zweite in dem Urteil behandelte Aspekt betraf die Anfrage von Hasbrouck im Rahmen des Privacy Act sowie des FOIA zur Offenlegung einer Liste mit den für das Auffinden von Datensätzen in Systemen wie u. a. ATS oder APIS genutzten Suchparametern.1528 Das CBP hat zwar veröffentlicht, dass die Datenbestände anhand des Namens oder der Adresse durchsucht werden könnten, legt aber nicht offen, welche sonstigen Suchparameter genutzt werden.1529 Das Urteil folgte bzgl. dieser Frage der Auffassung des CBP und stand ihm zu, sich auf die FOIA-­Ausnahme 7 (E)1530 zu berufen, die es erlaubt, Informationen zu Strafverfolgungszwecken zurückzuhalten („law enforcement purposes that would‚ disclose techniques and procedures for law enforcement investigations or prosecutions, or would disclose guidelines for law enforcement investigations or prosecutions if such disclosure could reasonably be expected to risk circumvention of the law“).1531 Interessanterweise äußerte sich das Urteil noch dahingehend, dass es geringe Auswirkungen auf die Strafverfolgung haben werde, offenzulegen, dass das CBP auf Information anhand von offensichtlichen Suchparametern wie Geburtsdaten, Passnummer oder ähnlichen Daten zugreifen könne.1532 Jedoch würde es zu Sicherheitsbedenken führen, offenzulegen, anhand welcher unbekannter Suchparameter das CBP auf Daten zugreife oder sogar, dass nur anhand von offensichtlichen Suchparametern das Auffinden von Informationen möglich sei.1533 Auf die Offenlegung im Rahmen des Privacy Act of 1974 wurde wegen der bestehenden, wirksamen Ausnahme für die Systeme nicht eingegangen. Auch dieser Aspekt des Urteils wurde kritisiert. Zwar wurde ein gewisses Verständnis für Ausnahmeregelungen aus Sicherheitsinteressen gezeigt, jedoch auch das Urteil scharf dafür kritisiert, nicht darauf einzugehen, dass im Rahmen des Privacy Act of 1974 solche Angaben im Federal Register veröffentlicht werden müssen und eine Ausnahme vom Privacy Act of 1974 sich nicht auf diese Anforderung erstrecken dürfte.1534 Falls die Auffassung von Richter Seeborg in anderen Fällen übernommen werde, bedeute dies zudem, dass US-Bürger keine Möglichkeit hätten, zu erfahren, welche Data-Mining-Funktionen die Datenbanken der Bundesbehörden bieten oder welche Suchparameter zum Auffinden von Datensätzen oder für Risikoeinschätzungen verwendet würden.1535 Im Folgenden behandelte das Urteil noch weitere streitige Aspekte. So musste das CBP wegen der genannten Ausnahmeregelungen des FOIA keine Information über die für die CBP-Datenbanken verwendete Software offenlegen.1536

1528

Urteil im Fall Hasbrouck v. 23.01.12, S. 6 Rn. 1 ff. Urteil im Fall Hasbrouck v. 23.01.12, S. 6 Rn. 4 ff. 1530 5 U. S. C. § 552(b)(7)(E). 1531 Urteil im Fall Hasbrouck v. 23.01.12, S. 6 Rn. 8–18. 1532 Urteil im Fall Hasbrouck v. 23.01.12, S. 6 Rn. 19–23. 1533 Urteil im Fall Hasbrouck v. 23.01.12, S. 6 Rn. 19–23. 1534 The Identity Project, First rulings in our lawsuit over DHS travel records. 1535 The Identity Project, First rulings in our lawsuit over DHS travel records. 1536 Urteil im Fall Hasbrouck v. 23.01.12, S. 7 Rn. 1–5. 1529

§ 16 Rechtliche Würdigung der PNR-Regelungen

567

Richter Seeborg urteilte jedoch auch, dass das CBP Suchanfragen mit verschiedenen Schreibweisen von Hasbroucks Namen durchführen müsse:1537 Dies sei nämlich weder unverhältnismäßig noch besonders belastend. Zwar würde H ­ asbrouck seinen Namen selbst wohl kaum falsch schreiben, es sei jedoch plausibel, dass der Name nicht immer in der richtigen Schreibweise in das System eingegeben worden sei. Des Weiteren ging das Urteil auf das Argument des CBP ein, die Anfragen von Hasbrouck beträfen Informationen, die so gar nicht existierten oder zu denen­ Hasbrouck nicht in angemessener Weise erklärt habe, wonach er suche.1538 Zudem nahm es Stellung zu Ausführungen des CBP, dass in gewissen Fällen weitere Informationen zur Verfügung gestellt werden könnten, in anderen jedoch die Suchanfragen keine Ergebnisse lieferten oder gewisse Informationen von der Offen­ legung ausgenommen seien.1539 Das Urteil verlangte vom CBP, seinen sog. Vaughn index zu ergänzen, wenn es sich auf Ausnahmebestimmungen zur Verhinderung der Offenlegung von Informationen stützen wollte.1540 Der Vaughn index ist ein Dokument, das von Behörden im Rahmen von FOIA-Streitigkeiten genutzt wird, um eine versagte Offenlegung einer Information zu rechtfertigen. Es gibt an, aus welchen Gründen ein bestimmtes Dokument nicht zugänglich gemacht werden kann und erklärt, wie die Offenlegung die mit der Versagung verfolgten Interessen konterkarieren würde.1541 Daneben ging das Urteil auch darauf ein, dass das CBP selbstverständlich nicht dazu gezwungen werden könne, Informationen offen­ zulegen, die gar nicht existieren. Die diesbezüglichen Aussagen des CBP müssten vom Kläger akzeptiert werden, auch wenn er glaube, die angeforderten Informationen existierten.1542 Richter Seeborg gab schließlich den Parteien auf, weitere Diskussionen untereinander zu führen, um weiterhin bestehende Konflikte zwischen ihnen zu klären und möglicherweise zu lösen.1543 Schließlich fasste das Urteil zusammen, dass das CBP im dargestellten Rahmen die Informationen nicht offenzulegen habe, jedoch der Klage von Hasbrouck insoweit stattgegeben wurde, dass das CBP weitere Suchvorgänge durchführen müsse und die jeweiligen Treffer offenzulegen habe; im Übrigen wurden sowohl Klage 1537

Dazu und zum Folgenden Urteil im Fall Hasbrouck v. 23.01.12, S. 7 Rn. 6–13. Urteil im Fall Hasbrouck v. 23.01.12, S. 7 Rn. 16–22. 1539 Urteil im Fall Hasbrouck v. 23.01.12, S. 7 Rn. 16–22; das CBP könne entweder im Rahmen eines Treffens gewisse Informationen offenlegen oder aber auch Ausführungen dazu machen, warum es gerade eine weitere Zurverfügungstellung von Informationen nicht für notwendig erachte. 1540 Urteil im Fall Hasbrouck v. 23.01.12, S. 7 Rn. 22 f. 1541 Siehe dazu die Informationen auf der Webseite des FOIA Ombudsmannes unter https:// ogis.archives.gov/Page54.aspx?SourceId=1&ArticleId=214 (zuletzt geprüft am 15.03.2015); der Name des Vaughn index ergibt sich aus dem gleichnamigen Fall Vaughn v. Rosen, in dem erstmals eine solche Auflistung verlangt wurde, siehe 484 F.2d 820 (D. C. Cir. 1973), Annahme durch den Supreme Court verweigert, 415 U. S. 977 (1974). Der im Anschluss an das Verfahren ausgegebene Vaughn index ist abrufbar unter http://papersplease.org/wp/wp-content/uploads/2012/07/ vaughn-index-hasbrouck-supplemental-32212.pdf (zuletzt geprüft am 15.03.2015). 1542 Urteil im Fall Hasbrouck v. 23.01.12, S. 7 Rn. 25–27. 1543 Urteil im Fall Hasbrouck v. 23.01.12, S. 7 Rn. 27 f. 1538

568

Teil 3: Die Übermittlung von PNR-Daten in die USA 

als auch Widerklage abgewiesen.1544 Die Parteien sollten die verbleibenden Konflikte in einem Treffen klären und innerhalb von 60 Tagen einen gemeinsamen Bericht erstellen, der auf folgende Fragen eingeht: zunächst eine Aufstellung von Fragen, die einer weiteren gerichtlichen Klärung bzgl. der Rechte und Verpflichtungen der Parteien bedürfen, dann der Status aller Angelegenheiten, die die Parteien weiterhin klären bzw. wegen möglicher ausstehender Antworten durch das CBP nicht vollständig geklärt werden können, und schließlich Vorschläge zum weiteren Vorgehen im Verfahren.1545 Am 13.  Juli 2012 kamen die Parteien schließlich überein, das Verfahren einzustellen.1546 Diese Einstellung war die Folge der vom Richter angeordneten Treffen zwischen den Parteien, die u. a. mit folgenden Ergebnissen endeten:1547 Das CBP stellte dem Kläger redigierte Informationen sowie zusätzliche Dokumente zur Verfügung, von denen das CBP zunächst behauptet hatte, sie existierten nicht, seien nicht gefunden worden oder überhaupt nicht gesucht worden. Darunter waren Informationen, die bis in das Jahr 1992 zurückgingen, als noch niemand von der Existenz des ATS wusste. Zudem wurde in manchen Dokumenten der Name des Klägers tatsächlich falsch geschrieben. Des Weiteren wurden dem Kläger sog. „correspondence tracking sheets“ zugänglich gemacht, die manche Anfragen und Widersprüche von Herrn Hasbrouck dokumentierten. Diese wurden jedoch lediglich als FOIA-Anfragen gelistet und somit teilweise unvollständig, teilweise nicht korrekt dokumentiert. Außerdem erhielt der Kläger u. a. die Auskunft darüber, dass es nicht möglich sei, nur anhand der Telefonnummer ohne zusätzliche Kenntnis des Namens bestimmte Informationen aufzufinden. Diese Aussage ist jedoch wahrscheinlich falsch, wie der Kläger mit Belegen aufzeigte. Schließlich können aus dem Fall u. a. folgende Rückschlüsse gezogen werden:1548 Selbst amerikanische Staatsbürger, für die der Privacy Act of 1974 eigentlich einschlägig ist, können sich nicht verlässlich auf das Gesetz berufen, da nachträgliche Ausnahmen möglich sind. Die Nutzung von geheimen Algorithmen führt dazu, dass Fluggesellschaften nicht ihren Verpflichtungen nach EU-Recht nachkommen können, Betroffene darüber zu informieren, wie ihre Daten verarbeitet werden. Rechte nach dem FOIA stellen keinen Ersatz für die Rechte aus dem ­Privacy Act of 1974 dar und erlauben – wie der Fall gezeigt hat – keine derart weitreichenden Informationsrechte. Letztendlich sind diese Erkenntnisse das Ergebnis 1544

Urteil im Fall Hasbrouck v. 23.01.12, S. 8 Rn. 1–5. Urteil im Fall Hasbrouck v. 23.01.12, S. 8 Rn. 5–14. 1546 Die Erklärung der Parteien ist abrufbar unter http://papersplease.org/wp/wp-content/ uploads/2012/07/dismissal.pdf (zuletzt geprüft am 15.03.2015). 1547 Siehe dazu und zum Folgenden mit zusätzlichen Informationen und Links zu den im folgenden genannten Dokumenten The Identity Project, Hasbrouck v. CBP dismissed. What have we learned?, http://www.papersplease.org/wp/2012/07/16/hasbrouck-v-cbp-dismissed-what-havewe-learned (zuletzt geprüft am 15.03.2015). 1548 Siehe zum Folgenden The Identity Project, First rulings in our lawsuit over DHS travel­ records sowie The Identity Project, Hasbrouck v. CBP dismissed. What have we learned?. 1545

§ 16 Rechtliche Würdigung der PNR-Regelungen

569

der richterlichen Auslegung. Diese geben einen Hinweis darauf, inwiefern bestehende Rechte durchgesetzt werden können. Eine mögliche richterliche Auslegung ist im Abkommen jedoch verständlicherweise nicht abzubilden, was zusätzliche Unsicherheiten nach sich zieht. Auch die Bedeutung des ATS wurde im Urteil verdeutlicht. So scheint die folgende Aussage zutreffend zu sein: „Clearly, the Automated Targeting System is exactly what the Privacy Act was intended to prohibit: a system of persistent secret government dossiers about the legal activities of people who are not suspected of any crime. The reason for the enactment of the Privacy Act was the recognition that such surveillance systems, regardless of their purposes or the benign intentions of their creators, are inherently likely to be misused.“1549 Wie der Fall zeigte, sind die vor Gericht möglichen Rechtsmittel nicht so effektiv, wie es die PNR-­Abkommen vorgeben. Jedoch ist auch dies das Ergebnis der richterlichen Interpretation. Auch offenbart dieses Verfahren weitere Auswertungsmöglichkeiten des ATS. Diese Tatsache unterstützt somit die bereits geforderte Verringerung der an das DHS zu liefernden Daten. Beachtenswert ist vor allem die Tatsache, dass selbst für US-­ Bürger die Rechtsschutzmöglichkeiten beschränkt sind. Die geringe Reichweite dieser Rechte für EU-Bürger, für die sie bei fehlender anderweitiger Normierung generell nicht gelten, ist somit nur zu vermuten. b) Das DHS-System TRIP Die Einführung des TRIP-Verfahrens im Abkommen durch explizite Bezugnahme ist grundsätzlich zu begrüßen.1550 Fraglich sind jedoch der Nutzen und die Effektivität eines solchen Beschwerdesystems. Das System hat seinen Ursprung in einer gemeinsamen Initiative des damaligen DHS-Ministers Chertoff und der damaligen Außenministerin Rice, die am 17. Januar 2006 als sog. Rice-Chertoff Initiative vorgestellt wurde.1551 Ein Ziel der Initiative wurde beschrieben mit „[to] accelerate efforts to establish a government-wide traveler screening redress process to resolve questions if travelers are incorrectly selected for additional screening“, also die Schaffung eines Abhilfesystems für Reisende, die sich fälschlicherweise weiteren Überprüfungsmaßnahmen unterziehen lassen mussten. 1549

Siehe The Identity Project, First rulings in our lawsuit over DHS travel records. Zum DHS TRIP Verfahren siehe ausführlich US DHS, DHS Traveler Redress Inquiry Program (DHS TRIP), 18.01.2007, http://www.dhs.gov/xlibrary/assets/privacy/privacy_pia_ dhstrip.pdf (zuletzt geprüft am 15.03.2015) sowie http://www.dhs.gov/dhs-trip (zuletzt geprüft am 15.03.2015) mit weiteren Verweisen. 1551 US DHS, DHS Traveler Redress Inquiry Program (DHS TRIP), 18.01.2007, S. 2, US DHS Office of Inspector General, Effectiveness of the Department of Homeland Security Traveler Redress Inquiry Program, OIG-09–103, September 2009, S. 3, http://www.oig.dhs.gov/assets/ Mgmt/OIG-09–103r_Sep09.pdf (zuletzt geprüft am 15.03.2015). 1550

570

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Nach seiner tatsächlichen Einführung im Februar 2007 stellt das DHS TRIP nun ein webbasiertes Programm dar, das als „freiwilliges Programm“ den Reisenden eine zentrale Anlaufstelle für Beschwerden folgender Art bietet: Beschwerden wegen Verweigerung oder Verspätung des Boardings auf Grund weiterer Überprüfungen durch das DHS, Beschwerden über verspätete oder verweigerte Einreise in die oder Ausreise aus den USA auf Grund von DHS-Screening-Programmen sowie Beschwerden über die Auswahl für zusätzliche Überprüfungen (secondary screening).1552 Die Homepage des DHS gibt zudem weitere Hinweise zum DHS TRIP und nennt auch Beschwerden im Zusammenhang mit den Beobachtungslisten des DHS als einen weiteren Anwendungsbereich für das Programm.1553 Unter anderem nehmen am DHS TRIP sowohl die Passagierscreeningprogramme der TSA als auch die des CBP teil, wobei die TSA die Hauptverantwortung für das System übernimmt.1554 Um Beschwerden einzureichen, ist auf der Homepage des DHS ein Formular auszufüllen, das – nach Vergabe einer individuellen Nummer (Redress Control Number) zur Nachverfolgung der Anfrage  – an die zuständigen Stellen zur Klärung des Falles weitergeleitet wird. Nach Klärung der Anfrage kann diese siebenstellige Redress Control Number bei zukünftigen Flugbuchungen angegeben werden, um bspw. darzulegen, dass man nicht die Person ist, die mit einem gleichen Namen auf der No Fly-Liste steht und zu verhindern, wiederum weiteren Überprüfungsmaßnahmen ausgesetzt zu werden oder nicht fliegen zu dürfen.1555 Fraglich sind der Nutzen und die Effektivität eines solchen Systems. Um diese Frage zu klären, wurde das System vom Office of Inspector General des DHS evaluiert; die Ergebnisse der Evaluierung wurden im September 2009 zunächst als „Sensitive Security Information“ veröffentlicht, später jedoch auch auf der DHSWebseite nach Schwärzung bestimmter Teile des Berichts zugänglich gemacht.1556 Der Abschlussbericht zur Evaluierung äußerte sich überraschend kritisch zum DHS TRIP. Zwar habe TRIP manche Abhilfeprozesse durchaus verbessert, jedoch bedürften verschiedene Aspekte des Systems einer Überarbeitung: Bspw. genüge das informationstechnische System des Programms nicht den tatsächlichen Anforderungen des Systems; zudem sei das Programm durch Verantwortlichkeiten und Pflichten beschränkt, die genauer definiert werden könnten.1557 Der Report stellte 1552

Siehe http://www.dhs.gov/dhs-trip (zuletzt geprüft am 15.03.2015). Siehe http://www.dhs.gov/dhs-trip (zuletzt geprüft am 15.03.2015). 1554 US DHS, DHS Traveler Redress Inquiry Program (DHS TRIP), 18.01.2007, S. 2 f. 1555 Zur Redress Control Number und der Änderung der Reservierungssysteme, um die Eingabe dieser Nummer zu ermöglichen, siehe http://www.dhs.gov/redress-control-numbers (zuletzt geprüft am 15.03.2015). 1556 Siehe US DHS Office of Inspector General, Effectiveness of the Department of Homeland Security Traveler Redress Inquiry Program, OIG-09–103, September 2009, der auf knapp 160 Seiten zu den folgenden und weiteren Aspekten ausführlich und kritisch Stellung nimmt. 1557 Siehe US DHS Office of Inspector General, Effectiveness of the Department of Homeland Security Traveler Redress Inquiry Program, OIG-09–103, September 2009, S. 2 f. 1553

§ 16 Rechtliche Würdigung der PNR-Regelungen

571

dar, dass das TRIP Programm Verbesserungen in einer Vielzahl anderer Arbeitsbereiche einführen könnte, wenn eine zusätzliche Finanzausstattung zur Verbesserung der informationstechnischen Systeme bereitgestellt würde und es eine angemessene allumfassende Unterstützung erhielte.1558 Das Programm müsste bspw. aussagekräftige Lösungen für Reisende, die sich an das TRIP wenden, bieten und auch tatsächlich die Lösungen ermöglichen, die es vorgibt.1559 Wie die Evaluierung ergeben habe, seien die vorgegebenen Abhilfemöglichkeiten übertrieben („overstated“), böten zwar effektive Abhilfe für gewisse Angelegenheiten, könnten jedoch bspw. der fälschlichen Aufnahme auf eine Beobachtungsliste nicht effektiv begegnen.1560 Auch biete das TRIP keine unabhängige Überprüfung der Abhilfeanfragen von Passagieren, da die Anfragen oftmals von den Behörden bearbeitet würden, die die Quelle der Unannehmlichkeiten sind.1561 Zudem sei die Kommunikation zwischen den Behörden und den Reisenden, die Abhilfe über das System suchen, verbesserungswürdig, da teilweise die Informationen über die Ergebnisse eines Verfahrens nicht angemessen kommuniziert würden und sich nur auf das Minimum beschränkten.1562 Neben den genannten Punkten wurden in insgesamt 24  Bereichen Verbesserungen hinsichtlich Sicherheit, Datenschutz, Zuverlässigkeit, Bearbeitungsdauer, Transparenz und Leistungsmanagement vorgeschlagen.1563 Wie der Abschlussbericht verdeutliche, habe das DHS eine Anzahl an Maßnahmen vorgeschlagen, die die Defizite beheben könnten, jedoch bräuchten die vorgeschlagenen Maßnahmen auch eine gewisse Zeit zur Umsetzung („more than a year“): Insgesamt habe das DHS jedoch 20 der 24 Vorschläge zugestimmt, einem teilweise zugestimmt und drei Vorschlägen nicht zugestimmt.1564 Die kritische Evaluierung des Programms ist zu begrüßen, verdeutlicht jedoch aussagekräftig Defizite, die teilweise mit dem Ziel des Programms in keiner Weise vereinbar sind. So ist insbesondere die ineffektive Abhilfemöglichkeit in Bezug auf eine fälschliche Aufnahme auf die No Fly-Liste besorgniserregend. Zu diesem Ergebnis kamen auch teilweise Rechtsstreitigkeiten vor US-Gerichten. Im Juni 2014 wurde der – soweit ersichtlich – für die Kläger erfolgreichste 1558 US  DHS Office of Inspector General, Effectiveness of the Department of Homeland­ Security Traveler Redress Inquiry Program, OIG-09–103, September 2009, S. 1. 1559 US  DHS Office of Inspector General, Effectiveness of the Department of Homeland­ Security Traveler Redress Inquiry Program, OIG-09–103, September 2009, S. 33. 1560 US  DHS Office of Inspector General, Effectiveness of the Department of Homeland­ Security Traveler Redress Inquiry Program, OIG-09–103, September 2009, S. 33 f. 1561 US  DHS Office of Inspector General, Effectiveness of the Department of Homeland­ Security Traveler Redress Inquiry Program, OIG-09–103, September 2009, S. 1, 34. 1562 US  DHS Office of Inspector General, Effectiveness of the Department of Homeland­ Security Traveler Redress Inquiry Program, OIG-09–103, September 2009, S. 89 f. 1563 So US DHS Office of Inspector General, Effectiveness of the Department of Homeland Security Traveler Redress Inquiry Program, OIG-09–103, September 2009, S. 2. 1564 US  DHS Office of Inspector General, Effectiveness of the Department of Homeland­ Security Traveler Redress Inquiry Program, OIG-09–103, September 2009, S. 2; eine Auflistung, um welche Empfehlungen es sich handelt, findet sich nicht.

572

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Rechtsstreit entschieden.1565 In dem von der American Civil Liberties Union für 13 Amerikaner betriebenen Verfahren hielt das Gericht das Abhilfeverfahren TRIP des DHS für verfassungswidrig: Die Regelung verstoße gegen den 5. Zusatzartikel der Verfassung auf ein rechtsstatliches Verfahren, weil es „völlig ineffektiv“ („wholly ineffective“) sei.1566 Die Regierung wurde daher durch das Gericht aufgefordert, das System zu reformieren, die Kläger zu informieren, warum sich sich auf der No Fly-Liste befänden und den Klägern eine Abhilfemöglichkeit zu bieten.1567 Auf Grund der angesprochenen Defizite scheint das System somit nicht über die Leistungsfähigkeit zu verfügen, die es vorgibt zu haben. VI. Aufsicht Art. 8 III GRCh bestimmt die Überwachung der Datenschutzvorschriften durch eine unabhängige Stelle. Das Abkommen von 2012 enthält  – im Gegensatz zu den Abkommen von 2004, 2006 und 2007  – mit Art.  14 erstmals einen Artikel zur Aufsicht über das Abkommen. Gemäß Art. 14 I erfolgt eine Überprüfung und Beaufsichtigung auf Einhaltung der Datenschutzgarantien des Abkommens von „unabhängigen Datenschutzbeauftragten der jeweiligen Einrichtung, wie dem obersten Datenschutzbeauftragten des DHS (DHS Chief Privacy Officer)“. Um den Anforderungen an die Datenschutzbeauftragten zu genügen, müssen sie gem. Art. 14 I lit. a-c „nachweislich unabhängige Entscheidungen treffen“, „wirksame Aufsichts-, Ermittlungs-, Interventions- und Prüfungsvollmachten haben“ sowie befugt sein, „bei Zuwiderhandlungen im Zusammenhang mit diesem Abkommen gegebenenfalls eine strafrechtliche Verfolgung einleiten oder Disziplinarmaßnahmen verhängen zu lassen“. Die Datenschutzbeauftragten müssen zudem – wie Art 14 I a. E. weiter bestimmt – dafür sorgen, dass „Beschwerden betreffend Verstöße gegen das Abkommen entgegengenommen, untersucht und beantwortet­ werden und angemessene Abhilfemaßnahmen ergriffen werden“; zudem ist diese Beschwerdemöglichkeit unabhängig von Staatsangehörigkeit, Herkunftsland oder Wohnsitzland zu gewähren. Die Anwendung des Abkommens durch die USA wird gem. Art 14 II durch eine oder mehrere Einrichtungen unabhängig überprüft und einer Aufsicht unterstellt. Das Abkommen nennt in Art. 14 II lit. a–c als Aufsichtsstellen das Office 1565

Dazu und zum Folgenden Baumann, in: Dix/Franßen/Kloepfer/Schaar/Schoch/Voßhoff/ Deutsche Gesellschaft für Informationsfreiheit, Informationsfreiheit und Informationsrecht Jahrbuch 2014, 2015, S. 55 f. 1566 Siehe dazu American Civil Liberties Union, Court Rules No Fly List Process Is Unconstitutional and Must Be Reformed, 24.06.2014, https://www.aclu.org/national-security/court-rulesno-fly-list-process-unconstitutional-and-must-be-reformed (zuletzt geprüft am 15.03.2015) mit Verweis auf das Urteil im Fall Latif, et al. v. Holder, et al., das weitere Urteile diskutiert. 1567 Dazu American Civil Liberties Union, Court Rules No Fly List Process Is Unconstitutional and Must Be Reformed, 24.06.2014.

§ 16 Rechtliche Würdigung der PNR-Regelungen

573

of ­Inspector General des DHS, das vom Kongress eingerichtete Government Accountability Office sowie den Kongress der Vereinigten Staaten selbst. Schließlich bestimmt Art. 14 II a. E. noch, dass die „Ergebnisse der Aufsichtsmaßnahmen und Empfehlungen“ in „öffentlichen Berichten, Anhörungen und Analysen veröffentlicht werden“ können. Kritisiert wird diese Regelungskonstruktion auf Grund der Tatsache, dass sie nicht die hohen Anforderungen, die das Fallrecht des EuGH an eine unabhängige Aufsicht stellt, erfülle.1568 So sei jede der genannten Stellen (mit Ausnahme des Kongresses) nicht frei von „jeglicher Einflussnahme von außen einschließlich der unmittelbaren oder mittelbaren Einflussnahme“ des Staates,1569 wie es das Fallrecht bestimme und es auch in Art. 8 GRCh erwähnt sei.1570 Die Stellen, die in die Verarbeitung von PNR-Daten mit einbezogen sind, insbesondere die des DHS, seien, wenn überhaupt, mit internen Datenschutzbeauftragten vergleichbar, jedoch erfüllten diese Datenschutzbeauftragten nicht das Unabhängigkeitskriterium im EU-Recht.1571 Auch die Bestimmung des Art. 14 II wird kritisiert: Nach dem Wortlaut und dem Bezug auf „eine oder mehrere“ Einrichtungen, die die Überprüfung durchzuführen haben, reiche es aus, dass lediglich eine Stelle des DHS die Überprüfung durchführe. Somit gebe es überhaupt keine verbindliche Überprüfung und Aufsicht durch Stellen außerhalb des DHS.1572 Daher sei die Bestimmung des Art. 14 zwar eine klare Verbesserung im neuen Abkommen, diese Tatsache würde jedoch dadurch wesentlich abgeschwächt, dass es keine wirklich unabhängige Behörde und keine zwingende Aufsicht von einer Stelle außerhalb des DHS gebe.1573 Zutreffend an dieser Kritik ist, dass die Aufsicht über das Abkommen tatsächlich nicht als unabhängig nach den in der EU geltenden Vorgaben anzusehen ist. Es besteht nämlich zumindest die Möglichkeit, die vom Abkommen gedeckt ist, dass lediglich das Office of the Inspector General des DHS die Aufsicht durchführt. Das Amt des Inspector General wurde zunächst 1978 durch den Inspector General Act of 1978 eingeführt, um die Integrität und Funktionsfähigkeit der Regierung zu 1568

So Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 16 mit Verweis auf EuGH, Urt. v. 09.03.2010, C-518/07, Slg. 2010, I-1885. 1569 Im Original lautet die Entscheidung „des Bundes oder der Länder“, im Englischen „of the State or the Länder“. 1570 So Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 16, mit Verweis auf EuGH, Urt. v. 09.03.2010, C-518/07, Slg. 2010, I-1885 Rn. 25. 1571 So Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 16. 1572 So Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 16. 1573 So Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 16.

574

Teil 3: Die Übermittlung von PNR-Daten in die USA 

gewährleisten. Im Jahr 2002 wurde es durch den Homeland Security Act of 2002 zum Office of Inspector General (OIG) innerhalb des DHS ausgebaut, dessen Aufgaben wie folgt beschrieben werden: „The OIG serves as an independent and objective inspection, audit, and investigative body to provide independent oversight and promote excellence, integrity, and accountability within DHS programs and operations.“1574 Der Inspector General wird durch den Präsidenten mit Bestätigung des Senats ernannt.1575 Wie bereits die Beschreibung der Position vermuten lässt, gilt ein derart ausgestaltetes Amt unter den genannten Voraussetzungen in den USA jedoch durchaus als „unabhängig“. Es ist daher zweifelhaft, die strengen europäischen Standards in der gleichen Dimension auch in Abkommen mit Drittstaaten einfordern zu können. Es ist unwahrscheinlich, einen Standard, der bis 2010 auch von einem Mitgliedstaat mit einem sehr hohen Datenschutzniveau, nach Ansicht des EuGH nicht eingehalten wurde,1576 in gleicher Weise auf das US-Datenschutzsystem mit in weiten Teilen sehr unterschiedlicher Herangehensweise in Bezug auf den Datenschutz übertragen zu können. Zudem ist es utopisch, einen in der EU geltenden Standard vollkommen im Rahmen von bilateralen Verhandlungen erreichen zu können. Die Lösung kann nur in einem Kompromiss zu finden sein. Darüber hinaus ist zu berücksichtigen, dass – wie am Beispiel der Evaluierung des TRIP-Beschwerdesystems gesehen werden konnte  – der I­nspector General durchaus eine kritische Überprüfung mit ausdrücklicher und klarer Nennung der Missstände durchzuführen vermag.1577 Wie die Wirkung der Aufsicht jedoch in Bezug auf das PNR-Abkommen aussehen mag, bleibt abzuwarten. Grundsätzlich ist eine Aufsicht, – wie im Abkommen beschrieben – wenn sie entsprechend ausgeübt wird, zu begrüßen.

B. Angemessenheit und Optimierungspotenzial Fraglich ist, ob die mit dem Abkommen von 2012 normierten Datenschutzstandards noch als angemessen i. S. d. EU-Datenschutzrechts angesehen werden können. Zumindest Art. 19 des Abkommens bestimmt dies. Der Artikel normiert: „Im Hinblick auf dieses Abkommen und seine Anwendung wird davon ausgegangen, dass das DHS die PNR-Daten im Sinne der einschlägigen Datenschutzvorschriften der EU bei der Verarbeitung und Verwendung angemessen schützt. Wenn Flug­ gesellschaften dem DHS nach Maßgabe dieses Abkommens PNR-Daten übermittelt haben, gelten die einschlägigen rechtlichen Anforderungen in der EU bezüglich der Übermittlung solcher Daten aus der EU an die Vereinigten Staaten als erfüllt.“ 1574 Siehe dazu und zu weiteren Information über das Office of the Inspector General des DHS http://www.oig.dhs.gov/index.php?option=com_content&view=article&id=94&Itemid= 63 (zuletzt geprüft am 15.03.2015). 1575 http://www.oig.dhs.gov/index.php?option=com_content&view=article&id=94&Itemid=63 (zuletzt geprüft am 15.03.2015). 1576 Siehe EuGH, Urt v. 09.03.2010, Rs. C-518/07, Slg. 2010, I-1885. 1577 Siehe dazu oben S. 569.

§ 17 Optimierungsmöglichkeiten

575

Die demokratisch legitimierten Entscheidungsträger der EU haben diese Formulierung akzeptiert. Sie wurde von der Kommission ausgehandelt und sowohl der Rat als auch das Parlament haben sich damit einverstanden erklärt. Die Bestimmung verdeutlicht nochmals die Bedeutung des Kriteriums der Angemessenheit als Kriterium, das zwingend Datenschutzerwägungen berücksichtigt, jedoch mittlerweile eine gewisse Flexibilität zu erlauben scheint.1578 Bemerkenswert und ein weiteres Indiz für die Flexibilität des Angemessenheitskriteriums ist, dass Art. 19 des Abkommens generell die Vereinbarkeit mit „einschlägigen Datenschutzvorschriften der EU“ bescheinigt und somit die Vereinbarkeit mit bestehenden als auch während der siebenjährigen Geltungsdauer des Abkommens noch zu verabschiedenden Bestimmungen – bspw. im Rahmen des Datenschutzreformpakets der EU – anerkennt.1579 Wie anhand der vorangegangenen Ausführungen erkennbar, reicht das Abkommen nicht an die innerhalb der EU geltenden Datenverarbeitungsgrundsätze heran. Eine Angemessenheit erfordert zwar keine Identität mit bestehenden Datenverarbeitungsgrundsätzen in der EU, jedoch ist zweifelhaft, ob die essentiellen Datenschutzprinzipien der EU noch ausreichend Berücksichtigung gefunden haben. Im Rahmen der mittlerweile bestehenden Prüfungskompetenz des EuGH für Maßnahmen der ehemaligen Dritten Säule, dem jetzigen Raum der Freiheit, der Sicherheit und des Rechts, könnte dies durch den EuGH voll überprüft werden. Es ist jedoch fraglich, ob der EuGH – sollte er die Möglichkeit zu einer Befassung mit dieser Frage bekommen – dem Abkommen tatsächlich die Angemessenheit absprechen oder sogar das Kriterium der Angemessenheit als Kriterium des Sekundärrechts als mit Art. 8 GRCh bzw. Art. 16 AEUV unvereinbar halten wird. Wie an den vorangegangenen Ausführungen ersichtlich, gibt es im aktuellen PNR-Abkommen mit den USA in jedem Fall Optimierungspotenzial in Bezug auf den Datenschutz. Auch von Seiten der USA besteht ein Bedürfnis, ihre Sicherheitsinteressen bestmöglich zu berücksichtigen. Im Folgenden sollen Vorschläge zur Herstellung einer Interessenbalance zwischen den beiden Positionen aufgezeigt werden, die für zukünftige PNR-Abkommen mit den USA Berücksichtigung finden könnten.

§ 17 Optimierungsmöglichkeiten zur Herstellung einer Interessenbalance Wie in der Analyse erkennbar wurde, ist es schwierig, die unterschiedlichen Positionen zum Umgang mit Daten und Datenschutz in den verschiedenen Ländern zu einem Ausgleich zu bringen. Lösungen werden gesucht, sie sind jedoch häufig nicht befriedigend. Im Rahmen der PNR-Problematik stehen von den USA und der 1578

Siehe dazu oben S. 97 ff. Dazu Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 18 f. 1579

576

Teil 3: Die Übermittlung von PNR-Daten in die USA 

EU gefundene Lösungen seit jeher in der Kritik. Bis jetzt gab es keine Regelung, die auf einhellige Zustimmung getroffen ist. Für beide Seiten optimale Lösungen wird es sicherlich nicht geben. Dies ergibt sich bereits daraus, dass in Verhandlungen stets ein Kompromiss zwischen unterschiedlichen Positionen gefunden werden muss. In Erinnerung zu rufen ist jedoch die Tatsache, dass das EU-Recht lediglich ein angemessenes Schutzniveau fordert und eine Identität mit den in Europa bestehenden Standards nicht erforderlich ist. Eine bestmögliche Annäherung an den EU-Standard ist aus europäischer Sicht jedoch wünschenswert. Aus Sicht der USA ist selbstverständlich eine bestmögliche Berücksichtigung ihrer Position gewünscht. Die EU wird akzeptieren müssen, dass die amerikanische Position eine andere ist und dass sie die Auswertung von PNR-Daten als ein entscheidendes Instrument in der Terrorismusbekämpfung ansieht. Die USA werden hingegen die Bedeutung des Datenschutzes als im EU-Primärrecht verankertes Grundrecht akzeptieren müssen. Zudem bleibt zu berücksichtigen, dass auch die EU ein Interesse an Sicherheit hat, wie bspw. die Initiative für ein EU-eigenes PNR-System verdeutlicht. Zudem spielt auch Datenschutz in den USA eine Rolle, ist dort jedoch nicht als Grundrecht verortet. Von besonderem Interesse ist daher die Frage, ob eine Optimierungsmöglichkeit zur Herstellung einer Interessenbalance vorgenommen werden kann.1580 Dies mag auf den ersten Blick zweifelhaft erscheinen, zeigen doch die Enthüllungen des Whistleblowers Edward Snowden, dass es neben dem öffentlich bekannten Datenverkehr zwischen der EU und den USA zu Überwachung und Spionage von USSeite gekommen ist. Diese Überwachung hat die Stellen in Europa sowie die Bevölkerung überrascht. In der Öffentlichkeit werden diese Maßnahmen als illegal bewertet. Vereinzelt werden sie aber auch als legal angesehen.1581 Die NSA-Affäre lässt zumindest an der Einhaltung der verschiedenen Abkommen zwischen der EU und den USA zweifeln.1582 Eine ultimative Lösung, die beiden Seiten voll gerecht wird, wird nicht möglich sein. Optimierungen scheinen jedoch durchaus denkbar und auf diese sollte hingearbeitet werden.

1580

Zu Optimierungsmöglichkeiten im Zusammenhang mit der Fluggastdatenübermittlung siehe Baumann, in: Dix/Franßen/Kloepfer/Schaar/Schoch/Voßhoff/Deutsche Gesellschaft für Informationsfreiheit, Informationsfreiheit und Informationsrecht Jahrbuch 2014, 2015, S. 57 ff. 1581 Siehe dazu bspw. die Interviews mit dem Historiker Foschepoth: DW.de, Foschepoth: „Die NSA überwacht mit Erlaubnis“, 26.07.2013, http://www.dw.de/foschepoth-die-nsa-%C3 % BCberwacht-mit-erlaubnis/a-16976303 (zuletzt geprüft am 15.03.2015) sowie Süddeutsche.de, „Die NSA darf in Deutschland alles machen“ – Historiker Foschepoth über US-Überwachung, 09.07.2014 (zuletzt geprüft am 15.03.2015). 1582 Eine von belgischer und niederländischer Datenschutzbehörde durchgeführte Untersuchung kam zumindest zu dem Ergebnis, dass kein illegaler Zugriff auf SWIFT-Daten erfolgt ist. Siehe dazu SWIFT, Data Protection Authorities confirm positive conclusion to investigation, 08.05.2014, http://www.swift.com/about_swift/shownews?param_dcr=news.data/ en/swift_com/2014/PR_data_protection_confirms_swift_compliance.xml (zuletzt geprüft am 09.05.2014) mit Verweis auf die Berichte der Datenschutzbehörden.

§ 17 Optimierungsmöglichkeiten

577

A. Überwachungs- und Spionageaffäre 2013 Vor jeglichen Ausführungen dazu, wie eine Interessenbalance erreicht werden könnte, ist nochmals auf die Problematik der Überwachungs- und Spionageaffäre 2013 und die daraus zu ziehenden Konsequenzen einzugehen. Sicherlich ist es durch die NSA-Affäre zu einem großen Vertrauensverlust in den transatlantischen Beziehungen gekommen, der ein verständliches Misstrauen mit sich bringt. Entscheidend scheint jedoch trotz allem zu sein, zwischen legalem und illegalem Datenfluss zu unterscheiden und nicht auf Grund der NSA-Affäre sämtlichen Datenfluss in die USA in Frage zu stellen. Die NSA-Affäre sollte nicht daran hindern, weiterhin internationalen Datenfluss zwischen den beiden Rechtsordnungen zu ermöglichen und auf rechtlicher Basis – wie durch Abkommen – abzusichern. Für ein solches Vorgehen sprechen einerseits wirtschaftliche Interessen und andererseits Sicherheitsinteressen auf beiden Seiten des Atlantiks. Damit ist nicht gemeint, die geschehenen Ereignisse wie das Abhören der Mobiltelefone hoch­ rangiger Politiker oder Auswerten riesiger Datenmengen von Bürgern bedingungslos zu akzeptieren, sondern stattdessen eine gewisse Vorsicht walten zu lassen. An der grundsätzlichen Bereitschaft, mit den amerikanischen Partnern zu kooperieren und auch für europäische Interessen daraus zu profitieren, sollte jedoch festgehalten werden. Neben den Forderungen des LIBE-Ausschusses, der u. a. eine Aussetzung der Safe-Harbor-Regelungen oder des SWIFT-Abkommens vorschlug,1583 sprach sich auch das EU-Parlament mit großer Mehrheit für die Aussetzung dieser beiden Regelungen aus.1584 Hinsichtlich des PNR-Abkommens kamen jedoch keine derartigen Forderungen auf. Es ist jedoch zu beachten, dass dem Parlament zumindest in Bezug auf die Safe Harbor-Regelungen keine Kompetenz zusteht, da es sich um eine Maßnahme im Rahmen der DSRL handelte, und somit entsprechende Maßnahmen  – wie die Rücknahme von Angemessenheitsentscheidungen – nur von der Kommission durchgeführt werden könnten.1585 Gleichwohl sind Verbesserungen angezeigt. Eine Aufkündigung von bestehenden Vereinbarungen würde zwar ein Zeichen in Richtung der USA setzen, jedoch auch zu Rechts­ unsicherheiten für Unternehmen und andere Wirtschaftsteilnehmer sowie Individuen führen. Eine Aufkündigung bestehender Vereinbarungen ist somit keine überzeugende Option. Die NSA-Affäre sollte aber zum stärkeren Einfordern und zu stärkerer Kontrolle einmal zugesagter Standards führen. Die Einhaltung von Abkommen ist bspw. durch ständige Evaluierungen genauer zu überprüfen. Auch über eine geringere Geltungsdauer von Abkommen ist zwecks Reaktionsmöglichkeit auf neuere Erkenntnisse nachzudenken. Die bereits angesprochene Vorsicht sollte ebenfalls berücksichtigt werden. Es sollte kein bedingungsloses Vertrauen 1583 Committee on Civil Liberties, Press Release: NSA inquiry: lead MEP presents preliminary conclusions, 18.12.2013. 1584 Europäisches Parlament, Pressemitteilung: Parlament droht mit Konsequenzen, falls USA Massenüberwachung nicht einstellt, 12.03.2014. 1585 Siehe dazu Ustaran, An Honest Recap on Safe Harbor, 20.03.2014; zur Position der Kommission siehe oben S. 109 ff.

578

Teil 3: Die Übermittlung von PNR-Daten in die USA 

auf zugesicherte Standards mehr erfolgen. Zusammenfassend ist somit trotz allem an dem Versuch festzuhalten, eine Interessenbalance zu erreichen.

B. Evaluierung des Abkommens Vor der Diskussion möglicher Optimierungsmöglichkeiten ist die Evaluierung des PNR-Abkommens von 2012 einzubeziehen. Aus dieser Evaluierung könnten Rückschlüsse gezogen werden. I. Ablauf der Evaluierung Die gemeinsame Evaluierung des Abkommens durch die EU und die USA war gem. Art. 23 I des Abkommens erstmals ein Jahr nach Inkrafttreten des Abkommens erforderlich geworden und fand am 8. und 9. Juli 2013 in Washington statt.1586 Im Vorfeld der Evaluierung bat die EU-Kommission das DHS um die Beantwortung eines Fragebogens über die Umsetzung des Abkommens.1587 Während den Evaluierungsgesprächen hatte die aus fünf Kommissionsbeamten und zwei externen Experten bestehende EU-Delegation u. a. Zugang zum National Targeting Center und konnte die Datenauswertung in Echtzeit beobachten sowie deren Ergebnisse durch Erklärungen von DHS-Beamten nachvollziehen.1588 In Gesprächen mit Vertretern des DHS wurden die Antworten aus dem Fragebogen diskutiert und die Umsetzung des Abkommens detailliert besprochen.1589 Außerdem wur 1586 Europäische Kommission, Joint Review of the implementation of the Agreement between the European Union an the United States of America on the processing and transfer of passenger name records to the United States Department of Homeland Security, Accompanying the Report from the Commission to the European Parliament and to the Council on the joint review of the implementation of the Agreement between the European Union and the United States of America on the processing and transfer of passenger name records to the United States Department of Homeland Security, Sec(2013) 630 final, 27.11.2013, (im Folgenden: Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630  final), Evaluierungen zu den Vorgänger­ abkommen fanden bereits 2005 und 2010 statt, siehe dazu Europäische Kommission, Commission Staff Working Paper on the Joint Review of the implementation by the U. S. Bureau of Customs and Border Protection of the Undertakings set out in Commission Decision 2004/535/ EC of 14 May 2004, Redacted Version, COM(2005) final, 12.12.2005 sowie Europäische Kommission, Report on the joint review of the implementation of the Agreement between the ­European Union and the United States of America on the processing and transfer of Passenger Name Record (PNR) data by air carriers to the United States Department of Homeland Security (DHS) 8–9 February 2010, 07.04.2010, https://www.dhs.gov/xlibrary/assets/privacy/ privacy_eu_pnr_aircarriers_feb_2010.pdf (zuletzt geprüft am 15.03.2015). 1587 Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 2, der Fragebogen ist im Anhang an die Evaluierung abgedruckt (S. 21 ff.). 1588 Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 2. 1589 Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 3.

§ 17 Optimierungsmöglichkeiten

579

den von US-Seite Fragen zum Fortgang des EU-PNR-Systems gestellt.1590 Vor den Evaluierungsgesprächen hatte das DHS zudem eine interne Evaluierung durchgeführt.1591 Die Vertreter der EU erhielten während der Evaluierung weitere Informationen, die jedoch vom DHS als „geheim“ bzw. „classified“ eingestuft wurden, sodass nach der Evaluierung von EU-Seite ein sog. Non-disclosure Agreement unterschrieben werden musste, das gewisse Verschwiegenheitsverpflichtungen enthielt.1592 Die Kommission gibt in ihrem Evaluierungsbericht daher auch selbst den Hinweis, den Bericht vor dem Hintergrund dieser Informationsbeschränkungen zu lesen.1593 Die Ergebnisse der Evaluierung wurden neben dem Abschlussbericht auch in einem Kurzbericht für den Rat und das Parlament zusammengefasst.1594 Zum Abschluss der Evaluierung schlugen die Vertragspartner vor, die nächste Evaluierung in der ersten Jahreshälfte 2015 durchzuführen.1595 II. Zusammenfassung der Evaluierungsergebnisse Insgesamt kam die EU in ihrer Evaluierung zu dem Ergebnis, dass das DHS das Abkommen gemäß den darin festgelegten Anforderungen umgesetzt hat.1596 Beispielhaft wird Bezug auf folgende Ergebnisse genommen:1597 1590 Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 3. 1591 Siehe US DHS/Privacy Office, A Report on the Use and Transfer of Passenger Name Records between the European Union and the United States, 03.07.2013, http://www.dhs. gov/sites/default/files/publications/dhs-pnr-privacy-review-20130703.pdf (zuletzt geprüft am 15.03.2015). 1592 Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 3. 1593 Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 3: „The present report should be read in the light of these limitations, as well as in the light of the fact that all members of the EU team had to sign non-disclosure agreements exposing them to criminal and/or civil sanctions for breaches“. 1594 Europäische Kommission, Report from the Commission to the European Parliament and the Council on the joint review of the implementation of the Agreement between the European Union and the United States of America on the processing and transfer of passenger name records to the United States Department of Homeland Security, COM(2013)844 final, 27.11.2013. 1595 Europäische Kommission, Bericht der Kommission an Rat und Parlament zur Evaluierung des PNR-Abkommens von 2012, COM(2013)844 final, 27.11.2013, S. 2; Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 20. 1596 Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 4, 20; Europäische Kommission, Bericht der Kommission an Rat und Parlament zur Evaluierung des PNR-Abkommens von 2012, COM(2013)844 final, 27.11.2013, S. 2. 1597 Insgesamt macht die Evaluation Ausführungen zum Anwendungsbereich (Art.  2), Bereitstellung von PNR (Art. 3), Nutzung von PNR (Art. 4), Datensicherheit (Art. 5), sensible Daten (Art.  6), Automatische Einzelentscheidungen (Art.  7), Vorhalten von Daten (Art.  8), Nicht-­Diskrimi­nierung (Art. 9), Transparenz (Art. 10), Zugang (Art. 11), Korrektur (Art. 12), Rechtsbehelfe (Art. 13), Aufsicht (Art. 14), Übermittlungsmethode (Art. 15), Weitergabe innerhalb der USA (Art. 16) sowie Weiterübermitttlung in Drittländer (Art. 17) sowie Empfehlungen zu bestimmten Punkten.

580

Teil 3: Die Übermittlung von PNR-Daten in die USA 

In Bezug auf den Anwendungsbereich des Abkommens (Art. 2) stellte der Evaluierungsbericht fest, dass das zur Datenauswertung herangezogene System ATS bspw. alle Daten in einem PNR effektiv herausfiltere, die nicht in Verbindung mit einem Flugsegment stehen, das Verbindungen zur USA aufweist.1598 Hinsichtlich der zur Verfügung gestellten Datenelemente (Art.  3 des Abkommens) werde ebenfalls ein effektiver Filter verwendet, der Datenelemente, die über die 19 Datenelemente des Abkommens hinausgehen, herausfiltert.1599 Die von US-Seite angegebene Filterung von Daten mag in der Praxis so umgesetzt werden, birgt jedoch ein Restrisiko der Datenverwendung. Da die herausgefilterten Daten nicht Gegenstand des Abkommens sind, sollten sie daher erst gar nicht in die USA übermittelt werden, sondern bereits von den Fluggesellschaften gefiltert werden.1600 Hinsichtlich der Nutzung von PNR-Daten allgemein und der Nutzung von sensiblen Daten (Art.  4 und 6 des Abkommens) kommt die Evaluierung zu dem Schluss, dass die Unkenntlichmachung und Löschung von sensiblen Daten eingehalten wurde.1601 Zudem kommt sie zu dem Ergebnis, dass von den im Abkommen zur Verfügung stehenden Ausnahmebestimmungen, in Bezug auf sensible Daten nicht, und ansonsten nur geringfügig Gebrauch gemacht werde.1602 Dass die im Abkommen vorgesehene Löschung und Unkenntlichmachung eingehalten wird, ist zu begrüßen. Auch hier wäre jedoch für zukünftige Abkommen eine Verbesserungsmöglichkeit darin zu sehen, dass die Daten bereits bei den Fluggesellschaften vor Übermittlung gelöscht würden. In Bezug auf ausschließlich automatische Entscheidungen, die gem. Art. 7 des Abkommens verboten sind, gibt die Kommission in ihrem Evaluierungsbericht an, dass sie diesbezüglich keine Fragen gestellt habe, da die Erklärungen des DHS 1598 Europäische Kommission, Bericht der Kommission an Rat und Parlament zur Evaluierung des PNR-Abkommens von 2012, COM(2013)844  final, 27.11.2013, S.  2; Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 4 f. mit Verweis auf das Beispiel, dass bei dem Flug Singapur-Brüssel-New York, nur das Flugsegment Brüssel-New York Gegenstand der Auswertung sei, das Flugsegment SingapurBrüssel hingegen herausgefiltert würde. 1599 Europäische Kommission, Bericht der Kommission an Rat und Parlament zur Evaluierung des PNR-Abkommens von 2012, COM(2013)844 final, 27.11.2013, S. 2; Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 5 f. 1600 So bereits Art. 29-Datenschutzgruppe, Stellungnahme 7/2010 zur Mitteilung der Euro­ päischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, S. 7. 1601 Europäische Kommission, Bericht der Kommission an Rat und Parlament zur Evaluierung des PNR-Abkommens von 2012, COM(2013)844 final, 27.11.2013, S. 2; Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 6–9. 1602 Europäische Kommission, Bericht der Kommission an Rat und Parlament zur Evaluierung des PNR-Abkommens von 2012, COM(2013)844  final, 27.11.2013, S.  2; Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 6–9.

§ 17 Optimierungsmöglichkeiten

581

zeigten, dass Entscheidungen nicht ausschließlich auf Grund automatischer Entscheidungen getroffen würden.1603 Hierzu wäre eine genauere Überprüfung von EU-Seite begrüßenswert gewesen. Gerade die Nutzung des Systems ATS legt nahe, dass zumindest ein großer Teil der Entscheidungen – was nach dem Abkommen noch erlaubt wäre – auf Grund automatischer Entscheidungen erfolgte. Nach Aussagen der Kommission setzt das DHS seine Verpflichtungen in Bezug auf die Zurverfügungstellung angemessener Informationen für Passagiere sowie auf Zugangsrechte ohne Ausnahmen um; jedoch sei eine Verbesserung hinsichtlich der Transparenz des Abhilfemechanismus’ für Passagiere notwendig.1604 Es ist zwar richtig, dass das DHS auf seiner Webseite eine Vielzahl an Informationen für Passagiere zur Verfügung stellt. Diese sind jedoch in englischer Sprache verfasst, deren Verständnis  – gerade auf Grund der Komplexität der Materie  – nicht von­ allen Passagieren erwartet werden kann. Es sollte daher darauf hingearbeitet werden, sämtliche Informationen in allen EU-Amtssprachen zur Verfügung zu stellen. Dass der zur Verfügung stehende Abhilfemechanismus verbessert werden sollte, zeigt bereits der dargestellte Rechtsstreit von Edward Hasbrouck. Der Forderung der Kommission nach mehr Transparenz des Abhilfemechanismus’ für Passagiere ist somit zuzustimmen. Zudem ist eine effektivere Durchsetzungsmöglichkeit der im Rahmen des Abkommens bestehenden Rechte zu fordern. Auch die Weiterübermittlung der Daten an andere Stellen innerhalb der USA sowie an Drittländer geschehe in Übereinstimmung mit dem Abkommen und nur sehr begrenzt im Einzelfall.1605 Diese Schlussfolgerung der Kommission ist zu begrüßen. Jedoch ist sie auf Grund der Zugriffsmöglichkeit verschiedener amerikanischer Stellen auf das System ATS, zumindest in Bezug auf die Weiterübermittlung innerhalb der USA, nicht restlos überzeugend. Teilweise gehe das DHS sogar begrüßenswerterweise über die Anforderungen des Abkommens hinaus: So benachrichtige das DHS die EU-Kommission innerhalb von 48 Stunden nach einem Zugriff auf sensible Daten.1606 Zudem verfüge das DHS über ein neues Verfahren zur Überprüfung des ATS, bei der u. a. die Suchkri 1603

Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 10. 1604 Europäische Kommission, Bericht der Kommission an Rat und Parlament zur Evaluierung des PNR-Abkommens von 2012, COM(2013)844  final, 27.11.2013, S.  2; Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 11 ff. 1605 Europäische Kommission, Bericht der Kommission an Rat und Parlament zur Evaluierung des PNR-Abkommens von 2012, COM(2013)844 final, 27.11.2013, S. 2; Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 16 f., bisher seien PNR-Daten nur an das Vereinigte Königreich und Kanada übermittelt worden. 1606 Europäische Kommission, Bericht der Kommission an Rat und Parlament zur Evaluierung des PNR-Abkommens von 2012, COM(2013)844  final, 27.11.2013, S.  3; Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 17.

582

Teil 3: Die Übermittlung von PNR-Daten in die USA 

terien und Analysen auf ihre Verhältnismäßigkeit untersucht würden, um u. a. die Belastungen für harmlose Passagiere und ihre Rechte zu minimieren.1607 Vor dem Hintergrund der bestehenden Regelungen scheint das Abkommen somit gut umgesetzt zu sein. Wie genau jedoch diese Umsetzung tatsächlich erfolgte, ist wegen des non-disclosure agreements nicht bekannt. Dass nicht sämtliche zur Verfügung stehenden Informationen zur Umsetzung veröffentlicht werden, ist der besseren Nachvollziehbarkeit zwar abträglich, vor dem Hintergrund der sensiblen Materie und einer möglichen Konterkarierung von Sicherheitsinteressen aber hinzunehmen. III. Vorschläge der EU zur Verbesserung Zur Verbesserung machte die EU-Kommission in ihrem Bericht zur Evaluierung verschiedene Vorschläge. Der erste Verbesserungsvorschlag betrifft die in Art. 8 I des Abkommens festgeschriebene Depersonalisierung der Daten nach sechs Monaten. Momentan beginnen die sechs Monate jeweils erst zu laufen, wenn im ATS ein PNR-Datensatz aktualisiert wird.1608 Die EU-Kommission schlug in ihrem Evaluierungsbericht vor, den sechsmonatigen Zeitablauf bis zur Depersonalisierung der Daten bereits mit dem erstmaligen Speichern im ATS (dem sog. ATS Load Date) beginnen zu lassen und nicht mehr wie nach der jetzigen Praxis zu verfahren, die die Depersonalisierung hinauszögert.1609 Zudem forderte die Kommission, so schnell wie möglich, jedoch spätestens – wie von Art. 15 IV des Abkommens vorgeschrieben – bis zum 1. Juli 2014, bei der Übermittlung der PNR-Daten auf das Push-System umzustellen.1610 Die EU und die USA sollten zusammenarbeiten, um die Nutzung von gemeinsamen Übermittlungsstandards wie den von IATA, ICAO, Fluggesellschaften sowie Regierun 1607

Europäische Kommission, Bericht der Kommission an Rat und Parlament zur Evaluierung des PNR-Abkommens von 2012, COM(2013)844 final, 27.11.2013, S. 3; Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 17. 1608 Europäische Kommission, Bericht der Kommission an Rat und Parlament zur Evaluierung des PNR-Abkommens von 2012, COM(2013)844  final, 27.11.2013, S.  3; Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 17 f. 1609 Europäische Kommission, Bericht der Kommission an Rat und Parlament zur Evaluierung des PNR-Abkommens von 2012, COM(2013)844  final, 27.11.2013, S.  3; Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 17 f. 1610 Europäische Kommission, Bericht der Kommission an Rat und Parlament zur Evaluierung des PNR-Abkommens von 2012, COM(2013)844  final, 27.11.2013, S.  3; Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 18 f. mit Nennung von Gründen für die noch nicht erfolgte Umsetzung sowie Gründen für die Nutzung des Pull-Systems.

§ 17 Optimierungsmöglichkeiten

583

gen diskutierten PNRGOV-Standard zu fördern, wodurch sich auch die Möglichkeit für eine ad-hoc-Übermittlung (ad-hoc Push) ergeben könnte.1611 Durch eine ad-hoc-Übermittlung besteht die Möglichkeit, Daten kurzfristig über das PushSystem zu übertragen, sodass bspw. auch in dringenden Fällen nicht mehr von den USA auf die Daten der Fluggesellschaften zugegriffen werden müsste. Zudem sollte bei dem derzeit noch genutzten Pull-System neben der bereits vorgenommenen Registrierung des Zugriffs auch der Grund für den Zugriff auf die Daten bei den Fluggesellschaften registriert werden, um dadurch eine bessere Evaluierung der Nutzung zu ermöglichen.1612 Diesen Verbesserungsvorschlägen der Kommission ist zuzustimmen. Gerade die vollständige Umstellung auf das Push-System ist überfällig. Es ist nicht verständlich, warum diese Forderung trotz Einforderung seit dem ersten PNR-Abkommen noch nicht in die Praxis umgesetzt worden ist. Zudem wurde das DHS im Evaluierungsbericht dazu aufgefordert, die im Abkommen festgelegte Gegenseitigkeit einzuhalten und proaktiv individuelle PNR-Datensätze sowie analytische Informationen aus PNR-Daten mit den EU-­ Mitgliedstaaten sowie – wenn angemessen – mit Europol und Eurojust zu teilen.1613 Des Weiteren wurde dem DHS geraten, die komplexe Auswertung verschiedener Datenarten wie PNR oder Secure Flight sowie die im US-Recht bestehenden Rechtsmittel transparenter zu gestalten und damit Passagieren, die keine US-Staatsbürger bzw. sog. legal residents sind, die Möglichkeit zu bieten, Entscheidungen des DHS mit Bezug zu PNR-Daten anzugreifen.1614 Zu berücksichtigen ist zudem, dass die Evaluierung auf Grundlage des bestehenden Abkommens erfolgte und dieses folgerichtig als Maßstab herangezogen wurde. Neben den daraus folgenden Erkenntnissen sind jedoch auch darüber hinausgehende grundsätzliche Verbesserungsmöglichkeiten zu diskutieren. Diese bestehen sowohl in tatsächlicher als auch in rechtlicher Hinsicht, sind jedoch auf ihre praktische Durchsetzbarkeit zu überprüfen.

1611

Europäische Kommission, Bericht der Kommission an Rat und Parlament zur Evaluierung des PNR-Abkommens von 2012, COM(2013)844 final, 27.11.2013, S. 3; Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 19. 1612 Europäische Kommission, Bericht der Kommission an Rat und Parlament zur Evaluierung des PNR-Abkommens von 2012, COM(2013)844 final, 27.11.2013, S. 3; Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 19. 1613 Europäische Kommission, Bericht der Kommission an Rat und Parlament zur Evaluierung des PNR-Abkommens von 2012, COM(2013)844  final, 27.11.2013, S.  3; Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 19. 1614 Europäische Kommission, Bericht der Kommission an Rat und Parlament zur Evaluierung des PNR-Abkommens von 2012, COM(2013)844  final, 27.11.2013, S.  3; Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 19 f.

584

Teil 3: Die Übermittlung von PNR-Daten in die USA 

C. Optimierungsmöglichkeiten im tatsächlichen Sinne I. Auswertung weniger grundrechtsrelevanter Daten anstelle von PNR-Daten Eine erste Optimierungsmöglichkeit für den Datenschutz in tatsächlicher Hinsicht könnte in der Auswertung anderer, weniger grundrechtsrelevanter Daten anstelle von PNR-Daten gesehen werden. In Frage käme dahingehend bspw. die Auswertung ausschließlich von API-Daten.1615 Bei der Frage der Alternative zur PNR-Datenauswertung sind jedoch zunächst die tatsächlichen Erfolgsquoten der PNR-Datenauswertung zu berücksichtigen. Daneben ist die Frage zu klären, ob eine Auswertung anderer Daten überhaupt eine Alternative zur PNR-Datenauswertung darstellt. Die Evaluierung des Abkommens von 2012 könnte dazu Erkenntnisse bringen. Wie der Evaluierungsbericht angibt, sind im Jahr 2012 durch das für PNR-­Daten genutzte Auswertungssystem ATS 101.805 Personen der insgesamt 110 Millionen Flugpassagiere (davon 52.734 auf Flügen aus Europa) für weitere Überprüfungen durch die Sicherheitsbehörden ausgewählt worden, was 0,09 % entspricht.1616 Zudem hat das CBP zwischen Juli 2012 und April 2013 68 Millionen PNR-Datensätze gesammelt und aus diesen 10.902 Passagiere ausschließlich auf Grund einer PNR-Analyse für weitere Sicherheitsmaßnahmen ausgewählt, was 0,016 % entspricht.1617 Ob durch die Datenauswertung konkret Terroranschläge verhindert wurden oder welche weitergehenden Erfolge durch die PNR-Datenauswertung möglich waren, nennt der Evaluierungsbericht hingegen nicht. Diese Daten verdeutlichen zunächst, dass über 99 % der Passagiere keine derartige Gefahr für die Sicherheit des Luftverkehrs darstellen, dass sie noch genauer überprüft werden müssen. Jedoch ist auch zu berücksichtigen, dass die durch das ATS vorgenommene Überprüfung mit verschiedensten Datenbanken bereits sehr weitgehend ist. Aus den in der Evaluierung genannten Ergebnissen könnte zudem der Rückschluss gezogen werden, dass die PNR-Datenauswertung nicht notwendig ist, da sowieso nur eine sehr geringe Anzahl der Passagiere eine Gefahr für den Luftverkehr darstellt und somit die weit überwiegende Anzahl der Passagiere unter einen Generalverdacht gestellt wird und die Auswertung ihrer PNR-Daten zu dulden hat. Diese Interpretation berücksichtigt jedoch nicht den potentiellen Nutzen eines einzigen positiven Treffers und damit die Verhinderung eines Terroranschlags mit zahlreichen Opfern. Die Entscheidung für oder gegen eine PNR-Datenauswertung ist letztendlich eine politische. Als souveräner Staat ist die USA dazu befugt, sich für oder gegen 1615 Dazu in ’t Veld, Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.773v01-00, 01.02.2012, S. 10. 1616 Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 6. 1617 Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 7.

§ 17 Optimierungsmöglichkeiten

585

die Auswertung von PNR-Daten zu Sicherheitszwecken zu entscheiden. Von Seiten der EU allein den Verzicht auf die PNR-Datenauswertung zu fordern, erscheint daher nicht möglich und sinnvoll. Gerade weil es auch in der EU selbst konkrete Bestrebungen gibt, ein System zur PNR-Datenauswertung – wenn auch in weitaus geringerem Maße – einzuführen, sollte anstelle der Forderung, statt PNR-­Daten weniger grundrechtsrelevante Daten auszuwerten, weiterhin die Beeinflussung der Rahmenbedingungen erfolgen. Dies erscheint zur Erreichung strengerer Datenschutzstandards zielführender zu sein. Die Forderung nach einer Auswertung weniger grundrechtsrelevanter Daten anstelle von PNR-Daten ist somit keine Optimierungsmöglichkeit im tatsächlichen Sinne. II. Stärkung des Bewusstseins für unterschiedliche Herangehensweisen im Umgang mit Daten Eine Optimierungsmöglichkeit für den Datenschutz in tatsächlicher Hinsicht könnte in der weiteren Stärkung des Bewusstseins und Verständnisses für die unterschiedliche Art, Datenschutz auf beiden Seiten des Atlantiks zu regeln, gesehen werden. Dass es keine universelle Herangehensweise gibt, Datenschutz zu regeln, ist offensichtlich. Dies sollte jedoch auch weiterhin kommuniziert werden und zur Ausräumung von noch bestehenden Missverständnissen beitragen. Es sollte nicht eines Ereignisses wie der NSA-Affäre bedürfen, um sich bestehender Unterschiede bewusst zu werden. Es ist verständlich und richtig, in Verhandlungen zu den PNR-Abkommen auf EU-Seite eine Position einzunehmen, die auf die Durchsetzung von EU-Datenschutzstandards hinarbeitet. Jedoch sollte stets bei den Verhandlungen in Betracht gezogen werden, dass manche im EU-Datenschutz bekannte Einrichtungen und Garantien wie unabhängige Datenschutzbehörden auf US-Seite ähnlich effektiv – wenn auch nicht in gleicher Ausgestaltung – vorhanden sein könnten. Es muss das Bewusstsein dafür bestehen, dass es eine vollständige Durchsetzung europäischer Positionen nicht geben wird. Gleiches gilt für die US-Seite. Es ist nicht zielführend, PNR-Abkommen generell abzulehnen, nur weil sie sich nicht vollkommen die in der EU bestehenden hohen Datenschutzstandards erfüllen. Das Kriterium der Angemessenheit sollte auch als dieses verstanden werden. Eine Identität mit in der EU bestehenden Standards ist auch nach EU-Datenschutzgesetzen – durch Bezug auf das Kriterium der „Angemessenheit“ – nicht erforderlich. Eine Ablehnung dieses Kriteriums und die Erklärung seiner Unvereinbarkeit mit dem EU-­ Primärrecht durch den EuGH sind nicht zu zielführend und würden den rechtmäßigen Datentransfer mit Drittstaaten verhindern. Da jedoch nicht zu erkennen ist, dass die Anwendung des Kriteriums zu einem generellen Absinken des Datenschutzstandards für EU-Bürger führt, ist ein Festhalten an dem Kriterium der Angemessenheit angezeigt.

586

Teil 3: Die Übermittlung von PNR-Daten in die USA 

III. Notwendigkeit eines gemeinsamen Vorgehens innerhalb der EU Eine starke Verhandlungsposition hat die EU nur, wenn sie mit der Unterstützung aller Mitgliedstaaten geschlossen vorgehen kann.1618 Die Verhandlungen werden zwar bereits von der Kommission geführt, jedoch sollte von den Mitglied­ staaten darauf verzichtet werden, bilaterale Absprachen im Gegenzug bspw. für eine visumsfreie Einreise seiner Bürger in die USA zu treffen. Dies schwächt die Verhandlungsposition der EU. Im Gegenzug sollte die EU weiterhin darauf hinarbeiten, die visumsfreie Einreise in die USA für alle EU-Bürger auszuhandeln und zudem diese als eine Voraussetzung für die Verhandlungen zu sehen. Gerade da durch die PNR-Datenauswertung in Verbindung mit der Auswertung anderer Daten eine sehr weitreichende Überprüfung eines jedes Passagiers möglich ist, wäre eine visumsfreie Einreise für alle EU-Bürger zu fordern. Die EU kann im Gegensatz zu den einzelnen Mitgliedstaaten eine zu den USA gleichwertige Verhandlungsposition bieten, was im Interesse aller EU-Mitgliedstaaten sein sollte. IV. Einrichtung einer Schlichtungsstelle Als weitere Optimierungsmöglichkeit könnte eine Schlichtungsstelle eingerichtet werden, die beim Europäischen Datenschutzbeauftragten angesiedelt werden könnte.1619 Bestenfalls sollte diese auch in den Abkommen geregelt sein, könnte jedoch auch unilateral geschaffen werden. Die Schlichtungsstelle hätte die Aufgabe, Fluggäste aus der EU dabei zu unterstützen, sich gegen auf Grund der Auswertung von Fluggastdaten entstandene Reiseeinschränkungen zu wehren. Wenn die EU sich entscheidet, den Anfragen der USA nach einer Vielzahl an Daten nachzukommen, sollte sie auch dafür zu sorgen, Passagiere bei der Rechtsdurchsetzung zu unterstützen. Dies ist vor allem deshalb erforderlich, weil sämtliche – tatsächlich oder nur hypothetisch – bestehende Rechtsmittel und Beschwerdemechanismen lediglich auf Englisch zugänglich sind und nicht vorausgesetzt werden kann, dass jeder Passagier dieser Sprache im erforderlichen Maße mächtig ist, um seine Rechte tatsächlich in den USA geltend zu machen. 1618 Vgl. Masing, NJW 2012, 2305 (2310): „Wir brauchen ein geschlossenes europäisches Vorgehen. Dies gilt umso mehr, als das Problem der Internationalisierung nicht nur in der Rechtsdurchsetzung, sondern auch in der Schaffung einheitlicher Standards liegt: Für internationale Internetanbieter kann es keine realistische Perspektive sein, für denselben Dienst in jedem Land andere Regeln beachten zu müssen“. 1619 Dazu und zum Folgenden Baumann, in: Dix/Franßen/Kloepfer/Schaar/Schoch/Voßhoff/ Deutsche Gesellschaft für Informationsfreiheit, Informationsfreiheit und Informationsrecht Jahrbuch 2014, 2015, S. 58 f.

§ 17 Optimierungsmöglichkeiten

587

Die in der EU bereits vorhandenen SOLVIT-Stellen könnten als Vorbild für diese Stelle dienen.1620 EU-Bürger können sich bei Schwierigkeiten mit der Durchsetzung von ihnen als EU-Bürger zustehenden Rechten an diese in jedem Mitgliedstaat eingerichteten SOLVIT-Stellen wenden.1621 Nach einer Petition eines Bürgers nimmt die SOLVIT-Stelle in einem Mitgliedstaat Kontakt zu der SOLVIT-Stelle in dem Mitgliedstaat, in dem das Problem besteht, auf und es wird versucht, innerhalb von zehn Wochen eine Lösung für das Problem zu finden.1622 Bei zusätzlicher Verankerung einer solchen Schlichtungsstelle im Abkommen könnte auch auf US-Seite eine Verbindungsstelle eingerichtet werden, bei der  – unabhängig von bestehenden Mechanismen – Fälle direkt geklärt werden könnten bzw. zumindest eine Klärung initiiert werden könnte. Die Einrichtung dieser Mechanismen würde den Passagieren in großem Maße nutzen, denen zu Unrecht der Flug in die USA verweigert wird, sei es auf Grund eines falschen positiven Treffers oder generell durch die fälschliche Nennung auf einer Beobachtungsliste. V. Verbesserung der Informationspolitik für Passagiere Zudem sollte die Informationspolitik für Passagiere verbessert werden. Dabei könnten sowohl von US- als auch EU-Seite Verbesserungen vorgenommen werden. Unabhängig von der tatsächlichen Nutzung sollte für alle Passagiere zumindest die Möglichkeit bestehen, sich umfassend über die Auswertung von Flug­ gastdaten zu informieren. Zwar ist es möglich, umfassende Informationen über die Fluggastdatenauswertung auf den Webseiten der zuständigen amerikanischen Behörden abzurufen, sie sind jedoch momentan nur auf Englisch erhältlich. Es wäre wünschenswert, Zusammenfassungen über die Vorgehensweise bei der Datenauswertung in allen EU-Amtssprachen zur Verfügung zu stellen. Dabei wären neben der Beschreibung des für die PNR-Datenauswertung verwendeten Systems ATS auch Informationen über andere genannte Auswertungssysteme und Beobachtungslisten wünschenswert. Ähnlich wird dies bereits auf der Webseite für die ESTA-Bewerbung gehandhabt, die in 23 Sprachen einsehbar ist.1623 Zwar sind auch auf den Webseiten der EU umfassende Materialien zur Fluggastdatenauswertung abrufbar, diese sind jedoch nicht zentral auf einer Webseite erhältlich. Auf der Webseite der Generaldirektion HOME finden sich zusammen 1620 Siehe dazu mit Erklärungen zu dem Verfahren und weiteren Verweisen Europäische Kommission, SOLVIT – Probleme mit Ihren Rechten als Unionsbürger? Wir finden eine Lösung!, http://ec.europa.eu/solvit/index_de.htm (zuletzt geprüft am 15.03.2015). 1621 Europäische Kommission, SOLVIT  – Probleme mit Ihren Rechten als Unionsbürger? Wir finden eine Lösung!. 1622 Europäische Kommission, SOLVIT  – Probleme mit Ihren Rechten als Unionsbürger? Wir finden eine Lösung!. 1623 Siehe https://esta.cbp.dhs.gov/esta (zuletzt geprüft am 15.03.2015).

588

Teil 3: Die Übermittlung von PNR-Daten in die USA 

gefasste Informationen darüber, dass PNR-Daten durch verschiedene Länder ausgewertet werden.1624 Jedoch sind diese Informationen nur auf Englisch erhältlich. Zudem wäre auch hier ein Verweis darauf, wie eine Datenauswertung erfolgt, wünschenswert. Daneben sollten Passagiere auch an Flughäfen bspw. beim Check-In für Flüge in die USA über die Tatsache, dass Fluggastdaten sowie weitere Daten zu Sicherheitszwecken ausgewertet werden, informiert werden. Die Information sollte einerseits durch die Fluggesellschaften erfolgen sowie zusätzlich durch die EU. Fluggesellschaften stellen bereits auf ihren Webseiten Informationen zur Auswertung der verschiedenen Datenarten zur Verfügung.1625 Diese sollten jedoch­ direkt durch Aushang am Check-In bzw. Information beim Online-Check-In zur Verfügung gestellt werden. Die Informationen von Seiten der EU könnten ähnlich wie es bereits im Rahmen von Fluggastrechten auf Grund von Verspätungen oder Flugausfällen gehandhabt wird, zugänglich gemacht werden. Aushänge an Flughäfen sowie eigene Web­ seiten könnten über die Tatsache, dass eine Datenauswertung stattfindet, informieren sowie auf mögliche Rechte und Rechtsmittel hinweisen. Auch ein Verweis auf die vorgeschlagene Schlichtungsstelle wäre möglich. Die vorgeschlagenen Maßnahmen würden zu mehr Transparenz führen und im Einklang mit den Datenschutzreformen in der EU zu mehr Informiertheit der Betroffenen über den Verbleib ihrer Daten beitragen. Ideal wäre eine Garantie dieser Informationspflichten in einem zukünftigen Abkommen, jedoch könnten diese Informationsmaßnahmen auch unilateral durchgeführt werden. VI. Verhinderung von Umgehungsmöglichkeiten der Abkommen Eine weitere Optimierungsmöglichkeit könnte in der ausschließlichen Speicherung der PNR-Daten in den Reservierungssystemen der Fluggesellschaften auf Servern in der EU gesehen werden. Durch eine Speicherung ausschließlich auf Servern in der EU wäre eine Umgehung des Abkommens durch einen Direktzugriff auf in den USA belegene Server erschwert. Fraglich ist jedoch die tatsächliche Machbarkeit. Wenn PNR-Daten auch auf Servern in den USA gespeichert werden, ist es möglich, unter bestimmten Voraussetzungen bspw. im Rahmen einer Beschlagnahme nach amerikanischen Gesetzen wie dem Patriot Act direkt auf die Server der Computerreservierungssysteme zuzugreifen.1626 Bei einem solchen Zu 1624 Siehe http://ec.europa.eu/dgs/home-affairs/what-we-do/policies/police-cooperation/passen ger-name-record/index_en.htm (zuletzt geprüft am 06.05.2014). 1625 Siehe bspw. http://www.lufthansa.com/de/en/Data-collection-for-the-USA (zuletzt geprüft am 15.03.2015). 1626 Siehe zum Zugriff auf Daten nach dem Patriot Act Becker/Nikolaeva, CR 2012, 170.

§ 17 Optimierungsmöglichkeiten

589

griff wird es sich jedoch wohl stets um Einzelfälle handeln. Ein solcher Zugriff wäre unabhängig von dem den Behörden in den PNR-Abkommen zugestandenen Zugriff auf Daten nach dem Pull-System. Bei einem direkten Zugriff auf die PNR-Daten bspw. im Rahmen des Patriot Act gilt ausschließlich das amerikanische Recht und ein Zugriff ist jeglicher Kontrolle von europäischer Seite ent­ zogen. Dass ein solcher Zugriff durchaus denkbar ist, ist an dem Zugriff von USBehörden auf SWIFT-Daten zu sehen und auch generell an der Diskussion um den Zugriff auf in Clouds gespeicherte Daten erkennbar.1627 Zwar besteht mittlerweile eine größere Sensibilität für die Möglichkeit eines direkten Zugriffs auf die Daten, jedoch ist dies weiterhin möglich. Im Fall der SWIFT-Daten war eine Reaktion der Umzug des amerikanischen SWIFT-Servers in die Schweiz, um einen weiteren Zugriff zu verhindern.1628 Eine in tatsächlicher Hinsicht einfache Verlegung der Server ist jedoch bei Computerreservierungssystemen nur schwer durchsetzbar und machbar. Anders als bei SWIFT handelt es sich bei Servern der Computerreservierungssysteme nicht um einen Server eines einzelnen Unternehmens. Bei Computerreservierungssystemen sind verschiedene Anbieter aus verschiedenen Ländern auf dem Markt vertreten. Bei den Unternehmen SABRE oder Travelport handelt es sich bspw. um amerikanische Unternehmen mit Hauptsitz in den USA. Zudem speichern auch verschiedene amerikanische Fluggesellschaften Passagierdaten bei ihren Flügen von und nach Europa. Auch durch die Duplizierung von Reservierungsdaten, deren Hinterlegung in den Reservierungssystemen verschiedener Fluggesellschaften sowie Abänderungsmöglichkeiten durch den Kunden selbst und Zugriff von jedem internetfähigen Computer auf die eigenen Daten ist eine Kontrolle der Datenspeicherung bedeutend schwieriger. Um einen Zugriff außerhalb der Regelung eines PNR-Abkommens zu verhindern, könnte theoretisch in rechtlicher Hinsicht die Einführung einer Ausnahme von den Befugnissen des Patriot Acts für den Zugriff auf Server von Computerreservierungssystemen in Betracht kommen. Mehr als eine theoretische Möglichkeit ist dieser Ansatz jedoch nicht. Es handelt sich bei der Frage, ob ein Zugriff nach amerikanischem Recht in Einzelfällen erlaubt ist oder nicht, um eine politische Entscheidung der USA. Völlig auszuschließen wäre ein Zugriff – wenn auch nur in Einzelfällen außerhalb der Regelungen der PNR-Abkommen  – wohl kaum. Ein möglicher Ansatz wäre eine Reduzierung der Speicherung von PNR-Daten in Computerreservierungsservern auf Servern in den USA. Dies könnte durch eine Selbstverpflichtung von Fluggesellschaften erreicht werden, PNR-Daten so wenig wie möglich in den USA zu speichern. Verpflichtungen der Fluggesellschaften, dies zu tun, wären wohl tatsächlich auf Grund der Komplexität von Computerreservierungssystemen nicht machbar und zudem rechtlich nicht unproblematisch. Im Rahmen einer Selbstver 1627

Zum Letzteren siehe Becker/Nikolaeva, CR 2012, 170. Dazu Ambrock, Die Übermittlung von S. W. I. F.T.-Daten an die Terrorismusaufklärung der USA, S. 21 m. w. Nachw. 1628

590

Teil 3: Die Übermittlung von PNR-Daten in die USA 

pflichtung und bei entsprechender Ausgestaltung könnte dies jedoch u. U. ähnlich wie das Siegel „e-mail made in Germany“ werbetechnisch eingesetzt werden.1629 Mehr als ein Hinwirken im Rahmen von Verhandlungen und Evaluierungen auf eine möglichst weitgehende Beschränkung des Zugriffs auf Server von Computerreservierungssystemen außerhalb bestehender PNR-Abkommen scheint somit bis jetzt nicht möglich zu sein. Es bleibt jedoch abzuwarten, ob die nach der NSA-Affäre wieder eingeführte Bestimmung des Art. 43a DSGVO in den Entwurf der Datenschutzgrundverordnung dahingehend ein wirksames Mittel darstellen könnte.1630

D. Optimierungsmöglichkeiten im rechtlichen Sinne Neben den Optimierungsmöglichkeiten im tatsächlichen Sinne sind auch solche im rechtlichen Sinne zu diskutieren. Die vorzuschlagenden Optimierungsmöglichkeiten betreffen ein mögliches neues PNR-Abkommen mit den USA sowie weitere Vorschläge mit Bezug zur Auswertung von Fluggastdaten sowie weiteren von Passagieren erhobenen Daten. I. Optimierungsmöglichkeiten im Hinblick auf ein neues PNR-Abkommen mit den USA Es ist noch nicht abschließend geklärt, wie die EU nach der NSA-Affäre mit den „Datenschutzabkommen“ mit den USA weiter verfahren wird. Im Gegensatz zu den Safe-Harbor-Prinzipien und dem SWIFT-Abkommen wird jedoch – soweit ersichtlich – für das PNR-Abkommen eine Kündigung von Stellen in den Institutionen nicht offiziell erwogen. Sollte es dennoch dazu kommen oder nach Ablauf der Laufzeit des jetzigen Abkommens eine Neuverhandlung anstehen, ist über Optimierungsmöglichkeiten nachzudenken, die den Interessen beider Rechtsordnungen bestmöglich gerecht werden. Ein völliger Verzicht auf ein Abkommen ist keine Option, da es zu Rechtsunsicherheit für alle Beteiligten kommen und einen Rückschritt für den Datenschutz bedeuten würde. Ein gewisser Datenschutz ist dem Verzicht auf jeglichen Datenschutz in jedem Fall vorzuziehen. 1. Anzahl und Art der erhobenen Datenelemente Der PNR-Buchungscode sowie die Flugscheinnummer sollten nicht mehr Bestandteil der übermittelten Datenelemente sein, da sie einen Zugriff auf in der Buchung enthaltene Daten inklusive sensibler Daten ermöglichen sowie eine Ab 1629

Siehe http://www.e-mail-made-in-germany.de (zuletzt geprüft am 15.03.2015). Siehe zu dieser sog. Anti-FISA-Klausel oben S. 164 ff.

1630

§ 17 Optimierungsmöglichkeiten

591

änderung der Buchung erlauben. Zudem werden die meisten der in der Buchung aufrufbaren Informationen bereits von anderen Datenelementen berücksichtigt, sodass die Notwendigkeit der Übermittlung des PNR-Buchungscodes sowieso fraglich ist. Zudem sollten Fluggesellschaften durch zusätzliche Sicherungen wie die Eingabe eines Passworts Bereiche in den PNR wie die Bestellung von Mobilitätshilfen oder bestimmten Verpflegungsarten zusätzlich schützen, da allein die Kenntnis des Buchungscodes und des Namens des Passagiers Zugriff auf diese Informationen erlaubt. Dass trotz einer nicht erfolgten Übermittlung von PNR-­ Buchungscode und Flugscheinnummer ein Auffinden der Buchung für die Sicherheitsbehörden möglich ist, wird hingegen nicht in Abrede gestellt. Zwar ist der Name des Passagiers als erforderliches Datenelement anzusehen, jedoch sollten Sicherheiten dafür sorgen, dass bei Namensdopplung nicht fälschlicherweise einem Reisenden Daten einer anderen Person zugeordnet werden. In dieser Hinsicht auftretende Probleme könnten jedoch u. U. durch das Redress­ programm zumindest für die Zukunft verhindert werden.1631 In zukünftigen Abkommen sollte darauf hingewirkt werden, dass Vielfliegerdaten nicht mehr an die Sicherheitsbehörden übertragen werden. Die Auswertung könnte lediglich einen zusätzlichen Erkenntnisgewinn mit sich bringen. Zur Er­ reichung der Ziele scheinen bereits ansonsten erhobene Daten ausreichend zu sein. Zudem sollte bei erneuten Verhandlungen darauf hingewirkt werden, dass keine Daten von Personen, die nicht selbst Passagiere des betreffenden Fluges sind, mehr an die Sicherheitsbehörden der USA übermittelt werden. Auch die Übermittlung der Anzahl der Mitreisenden eines Passagiers scheint daher nicht notwendig zu sein, da Verbindungen zwischen Passagieren auch aus einer Kombination von anderen Daten wie dem Namen, der Sitzplatznummer, gleichen Zahlungsdetails oder der Zeit des Check-Ins möglich ist. Ebenfalls nicht übermittelt werden sollten Kontaktinformationen von unbeteiligten Dritten wie Informationen zum Dateneingeber oder Informationen über das Reisebüro. Für die Übermittlung von Ticketinformationen sollte im Abkommen explizit festgehalten werden, welche der Ticketinformation übertragen werden dürfen. Ein Verweis auf „Ticketinformationen“ ist nicht ausreichend und zu weitgehend. Wie bereits erwähnt, sollte eine Übermittlung der Flugscheinnummer nicht erfolgen. Des Weiteren sollte eine Übermittlung von sensiblen Daten nicht erfolgen. Dies kann durch die komplette Nichtübermittlung bestimmter Datenfelder wie „allgemeine Eintragungen einschließlich OSI, SSI- und SSR-Informationen“ oder die „Historie alle Änderungen“ erfolgen. Dies müsste in einem etwaigen neuen Abkommen festgeschrieben werden.

1631

Zu dem Redressprogramm des DHS siehe S. 569 ff.

592

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Ebenso erforderlich ist die Filterung von sensiblen Daten bereits beim ursprünglichen Erheber der Daten, den Fluggesellschaften und ihren Buchungssystemen. Diese sind als Datenverarbeiter verantwortlich und könnten eine solche Filterung vornehmen.1632 Die Übermittlung von APIS-Informationen ist nicht von dem bestehenden PNRAbkommen umfasst und sollte daher im Rahmen eines neuen Abkommens nicht bei der Übermittlung der PNR-Daten als ein PNR-Datenelement erfolgen. APIDaten sind strikt von PNR-Daten abzugrenzen. Es müsste aus bereits genannten Gründen1633 eine eigenständige Rechtsgrundlage für die Übermittlung von API-­ Informationen geschaffen werden. Diese könnte bei Revision des PNR-Abkommens mitverhandelt werden. Dabei ist vor allem auf die genaue Definition der API-Daten zu achten, da hinsichtlich des Umfangs kein einheitlicher Standard erkennbar ist.1634 Schließlich sollte auch die PNR-Historie nicht mehr an die Sicherheitsbehörden übertragen werden müssen. Da es sich bei der PNR-Historie um eine Auf­listung sämtlicher Änderungen am PNR-Datensatz handelt, wären u. U. auch sensible Daten und Informationen über Dritte, die sich selbst nicht auf dem Flug befinden, enthalten. Damit die vorgeschlagenen Änderungen auch tatsächlich Wirksamkeit für den Datenschutz entfalten können, sollten zudem Änderungen hinsichtlich des Zeitpunkts der Übermittlung als auch der Art der Übermittlung vorgenommen werden. Um sicherzustellen, dass tatsächlich nur Daten von Passagieren und nicht von Dritten übermittelt werden, sollten die Daten nicht mehr wie in Art. 15 III des Abkommens von 2012 vorgesehen 96 Stunden vor Abflug übermittelt werden, sondern es sollte auf eine spätere Übermittlung hingewirkt werden. Vorgeschlagen werden 24 Stunden. Dadurch ließe sich bspw. die Möglichkeit verringern, dass auch Daten von Personen übermittelt werden, die den Flug nicht antreten. Zugegebenermaßen ist mit einer Übermittlung 24 Stunden vor Abflug die Möglichkeit einer Übermittlung von Daten Dritter auch nicht vollständig ausgeschlossen. Die spätere Übermittlung trägt aber dem Ausgleich von Sicherheitsinteressen inklusive einer angemessenen Zeit zur Datenauswertung einerseits und Datenschutzinteressen andererseits besser Rechnung. Darüber hinaus wäre die in der Evaluierung des Abkommens genannte und geplante ad-hoc Übermittlung von Daten eine Option. 1632 So auch Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 13. 1633 Siehe dazu oben S. 533 ff. 1634 Siehe bspw. die Aufzählung der für die Einreise in die USA erforderlichen API-Daten unter US DHS, Privacy Impact Assessment Update for the Advance Passenger Information System (APIS), 23.06.2011, S. 3 f.; dass die Reichweite der API-Daten durchaus unterschiedlich sein kann nennt auf Seiten der Industrie bspw. Emirates unter http://www.emirates.com/ de/german/help/faqs/FAQDetails.aspx?faqId=193410 (zuletzt geprüft am 15.03.2015); für den Standard in Europa siehe Europäische Kommission, Vorschlag für ein EU PNR-System, KOM(2011)32 endgültig, 02.02.2011, S. 7.

§ 17 Optimierungsmöglichkeiten

593

Damit die vorgeschlagene Verringerung der zu übermittelnden Datensätze auch tatsächlich Wirksamkeit entfalten kann, sollte zudem nachdrücklich auf eine vollständige Einführung des Push-Verfahrens hingewirkt werden. 2. Speicherungsdauer Da die Speicherungsdauer im PNR-Abkommen zwischen der EU und den USA von 2012 mit normalerweise 15 Jahren in verschiedenen Datenbanken unverhältnismäßig lange ist, jedoch auch die Erreichung der mit der PNR-Datenauswertung verfolgten Ziele zu berücksichtigen ist, sollte hinsichtlich der Speicherungsdauer auf eine Interessenbalance hingewirkt werden. Bei einer Neuverhandlung des Abkommens könnte daher zunächst eine Orientierung am PNR-Abkommen zwischen der EU und Australien (normalerweise höchstens fünfeinhalb Jahre Speicherungsdauer) oder am Abkommensentwurf zu einem PNR-Abkommen zwischen der EU und Kanada (normalerweise höchstens fünf Jahre Speicherungsdauer) in Erwägung gezogen werden. Auch kommt eine Orientierung am ersten PNR-Abkommen mit den USA von 2004 (normalerweise bis zu sieben Jahren Speicherungsdauer) in Betracht.1635 Da diese Speicherungsfristen offiziell in Abkommen bzw. Abkommensentwürfen verwendet werden, ist davon auszugehend, dass auch mit im Vergleich zum Abkommen zwischen der EU und den USA von 2012 bedeutend geringeren Speicherungsfristen die verfolgten Zwecke erreicht werden können. Des Weiteren sollten auch entscheidende Begriffe im Zusammenhang mit der Speicherungsdauer wie „Anonymisierung“, „Unkenntlichmachung“ und „Reperso­ nalisierung“ zur Verbesserung der Rechtssicherheit genau definiert werden.1636 3. Bestimmung der Datenverwendung Die Datenverwendung sollte möglichst präzise definiert werden, muss jedoch auch die Realitäten bei der PNR-Datenauswertung berücksichtigen. Bestimmungen über den Zweck sind oftmals zu vage und offen für Interpretationen, die den Anwendungsbereich ausweiten. Zur Verbesserung der Bestimmungen zur Datenverwendung wird daher teilweise gefordert, eine abschließende Liste der Straf­ taten einzuführen, zu dessen Zwecken PNR-Daten ausgewertet werden können.1637 Somit würden auch die fortdauernden Missverständnisse über die zu berücksich 1635 Längere Speicherungszeiten ergeben sich stets, wenn bspw. die Daten in einem speziellen Ermittlungsverfahren bereits verwendet werden und dieses noch nicht abgeschlossen ist. 1636 Siehe auch Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 12, die Kritik an diesen undefinierten entscheidenden Begriffen äußern. 1637 So Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 12.

594

Teil 3: Die Übermittlung von PNR-Daten in die USA 

tigenden Straftaten und die Nutzung von PNR-Daten ausgeräumt.1638 Die Schaffung einer solchen abschließenden Liste mag zwar sinnvoll sein, jedoch erforderte eine solche Liste eine enumerative Nennung von Straftaten, was hinsichtlich des geltenden Strafrechts der Bundesstaaten sowie des Bundes in den USA sowie des Strafrechts von 28 verschiedenen Mitgliedstaaten nicht einfach zu leisten ist, wenn tatsächlich Lückenlosigkeit gewährleistet werden soll. Ein Versuch sollte dennoch unternommen werden, möglichst präzise die Straftaten, für die Daten genutzt werden dürfen, zu nennen. Fraglich ist jedoch, ob eine solche präzise Liste wegen des zur Auswertung der PNR-Daten genutzten Systems ATS mehr als nur „kosmetischer Natur“ wäre. Alternativ könnte bspw. auch das Abkommen der EU mit Australien von 2012 herangezogen wird, das zumindest in Art. 3 II und III sowohl „Terrorismus“ als auch „grenzübergreifende schwere Kriminalität“ recht präzise definiert, wobei sich jedoch die gleichen Bedenken bieten. Auf Grund des sehr verzweigten Auswertungsnetzes des ATS und seiner Bedeutung in den USA wird eine Beschränkung der Datenauswertung auf bestimmte Straftaten sehr schwer durchsetzbar sein. Eine Alternative wäre zwar die Weigerung der EU, ihre PNR-Daten in das ATS einspeisen zu lassen, jedoch würde dies ein Grundprinzip der PNR-Datenauswertung in den USA – die Auswertung mit Hilfe des ATS – konterkarieren und der Weigerung der EU im Jahr 2003 gleichkommen, überhaupt PNR-Daten zu übermitteln. Eine ähnliche Situation mit Drohungen, europäischen Fluggesellschaften die Landeerlaubnis in den USA zu entziehen, wäre denkbar. Daher müssten, wenn das System weiter verwendet werden sollte, an anderer Stelle Sicherheiten berücksichtigt werden. Angestrebt wird im Rahmen dieser Arbeit eine Interessenbalance. Dazu sollte aus Transparenzgründen im Abkommen selbst zunächst genau dargelegt werden, mit welchem System die Datenauswertung erfolgt. Ähnliches hatte das CBP bereits im Rahmen der Verpflichtungserklärungen zum Abkommen vom 2004 mit Bezug auf die Erprobung des CAPPS-II Systems vorgenommen, hat dies aber in den folgenden Abkommen nicht weitergeführt.1639Auch sollte abschließend aufgezählt werden, welche Stellen in den USA die Daten durch das ATS und darüber hinaus erhalten könnten.1640 Informationen über das ATS und die Stellen, die in dieses System eingebunden sind, sind frei zugänglich, sodass dies auch unter Geheimhaltungsaspekten möglich sein sollte.1641 1638 So Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 12. 1639 Siehe Nr. 8 der Verpflichtungserklärung: „Das CBP kann Daten en bloc an die Transportation Security Administration (TSA) weitergeben, damit die TSA ihr computergestütztes Verfahren zur Vorabkontrolle CAPPS-II (Computer Assisted Passenger Prescreening System II) erproben kann […]“. 1640 Ähnlich auch Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 21, Nr. 25. 1641 Siehe bspw. US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012.

§ 17 Optimierungsmöglichkeiten

595

Wenn den USA die Nutzung des ATS zugestanden wird, müssten jedoch Sicherheiten an anderer Stelle eingeführt werden, da ansonsten die Verhältnismäßigkeit der Auswertung wiederum fraglich wäre. Eine verhältnismäßige Auswertung wäre möglicherweise durch die bereits vorgeschlagene Reduzierung der übertragenen Daten an sich zu erreichen. Mit dieser Maßnahme wäre eine Zweckbeschränkung durch weniger weitreichende Auswertungsmöglichkeiten denkbar. In der Interessenbalance würden somit einerseits das weitreichende ATS genutzt werden können und andererseits Datenschutzbedenken der EU durch Verringerung der Datenmengen und auch der Speicherungsdauer möglich sein. Ein anderes Korrektiv könnte durch Stärkung der Widerspruchsrechte und Rechtsmittel erreicht werden, was aber im Gegensatz zur Reduzierung der Daten weniger wirksam zu sein scheint und nicht an der Zweckbegrenzung ansetzt. 4. Übermittlung der Daten innerhalb der USA sowie an Drittländer Bezüglich der Weiterübermittlung und -verarbeitung der Daten durch Behörden der USA sowie durch Drittländer ist vor allem auf größere Klarheit und Bestimmtheit der Vorschriften zu achten. So sollten die Kriterien, die für die Übermittlung von Daten und ihre anschließende Verarbeitung anwendbar sind, klar definiert werden.1642 Im Rahmen der Übermittlung an andere Bundesbehörden als das DHS ist eine abschließende Aufzählung der Bundesbehörden wünschenswert. Auch die Behörden des DHS, die im Rahmen des ATS Zugriff auf PNR-Daten haben, sollten abschließend aufgezählt werden. Da diese Informationen offiziell zugänglich sind, sollte dies auch kommuniziert werden.1643 Auch im Rahmen der Übermittlung in Drittländer wäre zwar eine genaue Bestimmung der Behörden, die für den Empfang von PNR-Daten in Frage kommen, sinnvoll,1644 jedoch scheint dies praktisch nicht umsetzbar zu sein. Alternativ könnte festgelegt werden, dass Daten unter Berücksichtigung zusätzlicher Sicherheiten und nur in Einzelfällen an Länder übertragen werden dürfen, die über ein von der EU anerkanntes angemessenes Schutzniveau verfügen. Die Benachrichtigung der zuständigen Stellen in der EU und in den Mitgliedstaaten sollte beibehalten werden. Jedoch sollte die Vorschrift angepasst werden, sodass die Benachrichtigung bei jeglicher Übermittlung erfolgt. Das DHS hat von jeder Übermittlung Kenntnis zu haben, sodass die Einschränkung, dass eine Be 1642 So Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 14. 1643 US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012. 1644 Siehe auch Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 21, Nr. 25.

596

Teil 3: Die Übermittlung von PNR-Daten in die USA 

nachrichtigung nur zu erfolgen hat, wenn das DHS Kenntnis von ihr hat, zu streichen ist.1645 Die überobligatorische Umsetzung des Abkommens von 2012 durch das DHS ist ein Schritt in die richtige Richtung. Zudem sollte versucht werden, in Bezug zu Drittländern eine möglichst genaue Beschreibung der Zwecke durchzusetzen. Da dies – wie bereits gezeigt wurde – schwer zu erreichen ist und Formulierungen oftmals verschiedenen Interpretationen offenstehen, sollte zusätzlich ein Richtervorbehalt eingefügt werden und Daten sollten nicht en bloc weitergegeben werden.1646 Hinsichtlich der vernünftigerweise anzunehmenden Erwartungen der Betroffenen sind zudem Widerspruchs- und Rechtsschutzmöglichkeiten auch in Bezug auf die Weiterübermittlung zu überdenken. 5. Recht auf Auskunft In zukünftigen Abkommen sollte darauf hingewirkt werden, die Bearbeitungszeit nicht mehr vage wie durch die Formulierung „innerhalb eines angemessenen Zeitraums“ anzugeben.1647 Auf Grund der Möglichkeit eines schnellen Auffindens eines PNR-Datensatzes in den Systemen des DHS ist eine darauffolgende Entscheidung über das Auskunftsersuchen zeitnah zu erreichen. Um eine Berücksichtigung sämtlicher dabei relevanter Belange zu ermöglichen, sollte daher auf die Festschreibung einer großzügig bemessenen Bearbeitungsfrist von drei Monaten hingewirkt werden. Es sollte zudem darauf hingewirkt werden, Versagungs- bzw. Beschränkungsgründe für Auskunftsersuche klar zu definieren und abschließend festzuschreiben. Zudem sollte – ähnlich wie in Art. 17 II DSRB – in einem neuen Abkommen ausgeführt werden, dass jegliche Beschränkung „unter Berücksichtigung der schutzwürdigen Interessen der betroffenen Person notwendig und verhältnismäßig“ zu sein hat. Anhaltspunkt für mögliche Versagungsgründe könnte die in Art.  17 II DSRB getroffene Formulierung bieten. Demnach könnte eine Versagung bzw. Einschränkung des Auskunftsersuchens erfolgen, um „behördliche oder gerichtliche Ermittlungen, Untersuchungen oder Verfahren nicht zu behindern“, „die Verhütung, Feststellung, Ermittlung oder Verfolgung von Straftaten nicht zu be­einträchtigen

1645

Siehe bereits Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 21, Nr. 27. 1646 Europäischer Datenschutzbeauftragter, Stellungnahme zum Kommissionsvorschlag für einen Beschluss des Rates über den Abschluss des PNR-Abkommens zwischen der EU und den USA, 09.12.2011, Abl. C 35 v. 09.02.2012, S. 21, Nr. 26. 1647 Dazu und zum Folgenden auch Baumann, in: Dix/Franßen/Kloepfer/Schaar/Schoch/­ Voßhoff/Deutsche Gesellschaft für Informationsfreiheit, Informationsfreiheit und Informa­ tionsrecht Jahrbuch 2014, 2015, S. 46 f. u. S. 57 f.

§ 17 Optimierungsmöglichkeiten

597

oder um strafrechtliche Sanktionen zu vollstrecken“, „die öffentliche Sicherheit zu schützen“, „die Sicherheit des Staates zu schützen“ oder „die betroffene Person und die Rechte und Freiheiten anderer zu schützen“.1648 Der Verweis auf das Recht der Vereinigten Staaten sollte ebenfalls gestrichen werden, sodass eine Verweigerung lediglich aus den enumerativ aufgeführten Gründen möglich ist. Zwar bieten auch diese Einschränkungen noch einen weiten Spielraum, sodass zum Zwecke einer Abwägung der verschiedenen Interessen ein weiteres Korrektiv vorhanden ist. Hinsichtlich der Benachrichtigung des Betroffenen über die Versagung bzw. Beschränkung seines Auskunftsersuchens sollte ebenfalls eine großzügig bemessene Dreimonatsfrist eingehalten werden. Außerdem sollten neben rechtlichen – ähnlich wie in Art. 17 III DSRB vorgegeben – die tatsächlichen Gründe für die Beschränkung des Auskunftsersuchens angegeben werden. In Bezug auf die Offenlegung der PNR-Daten ist zudem eine Beschränkung auf die Betroffenen und ihre Rechtsvertreter angezeigt. 6. Recht auf Berichtigung, Sperrung und Löschung In einem neuen Abkommen sollte sich ein expliziter Hinweis auf das Verfahren finden, das bei der Beantragung einer Berichtigung einzuhalten ist.1649 Zumindest ein Verweis auf die Webseite des DHS mit dort einsehbaren weiteren Informationen zum Verfahren wäre wünschenswert. Die Rechtsgrundlage, auf die ein Antrag auf Berichtigung gestützt werden kann, sollte ebenso explizit im Abkommen genannt werden wie Bestimmungen zur­ Löschungspflicht bei Verstoß gegen die vorgesehenen Voraussetzungen oder auch ein Berichtigungsrecht bei fehlerhaften Daten.1650 Ebenfalls sollte explizit genannt werden, wie lange die Bearbeitung eines Antrags dauern darf und wann bei einer Verweigerung die schriftliche Benachrichtigung des Betroffenen zu erfolgen hat. Nachgedacht werden könnte dafür wiederum über einen Zeitraum von drei Monaten. Ähnlich wie bei der Auskunftsverweigerung wäre es dienlich, auch für Anträge auf Berichtigung, Sperrung und Löschung eine abschließende Liste an Verweigerungsgründen zu nennen. Der Hinweis auf Rechtsbehelfe im US-Recht sollte die einschlägigen Rechtsbehelfe explizit auflisten. 1648

Siehe Art. 17 II lit. a-e DSRB. Dazu und zum Folgenden auch Baumann, in: Dix/Franßen/Kloepfer/Schaar/Schoch/­ Voßhoff/Deutsche Gesellschaft für Informationsfreiheit, Informationsfreiheit und Informa­ tionsrecht Jahrbuch 2014, 2015, S. 47 f. u. S. 57 f. 1650 Vgl. dazu die Kritik durch Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 15. 1649

598

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Zwar wird normiert, dass die Vorschriften zu nennen sind, auf die sich die Entscheidung des DHS stützt, jedoch sollte darauf hingewirkt werden, dass neben den Vorschriften auch der Grund für die Entscheidung zu nennen ist.1651 7. Rechtsbehelfe bei Gericht Wie in der Analyse der zur Verfügung stehenden Rechtsbehelfe gezeigt wurde, erweitern die im Abkommen genannten Optionen nicht die Rechtsschutzmöglichkeiten, die sowieso innerhalb der USA gelten.1652 Im Rahmen eines neuen Abkommens sollte diesbezüglich eine Änderung vorgenommen werden und rechtsverbindlich ein Rechtsbehelf, der sich direkt aus dem Abkommen ergibt, festgeschrieben werden. Zu denken wäre an Auskunfts- und Informationsrechte, deren Versagung letztinstanzlich vor einem Gericht der USA überprüft werden könnte. Ausnahmevorschriften wären auch in einem abschließenden Katalog zu berücksichtigen. Zudem könnte eine Beschwerdemöglichkeit an eine PNR-Schlichtungsstelle ermöglicht werden. Gekoppelt werden sollte diese Vorschrift mit einer Vorschrift zur Evaluierung der Rechtsbehelfe, die in einem klar festgelegten Turnus zu erfolgen hätte. Ob diese Rechte dann tatsächlich vor Gericht umfassend durchgesetzt werden könnten, ist fraglich. Diesbezügliche Fragen könnten aber im Rahmen der vorgeschlagenen Evaluierung angesprochen werden, um möglicherweise Anpassungen vorzunehmen. Die Forderung nach der Schaffung von Strafschadensersatzansprüchen, die auch kollektiv durchgesetzt werden können,1653 wird wohl in der Praxis kaum durchsetzbar sein. Zwar passen solche Schadensersatzansprüche zum System der privaten Rechtsdurchsetzung in den USA, jedoch wird eine Regierung solche Ansprüche im Bereich der nationalen Sicherheit nicht akzeptieren. 8. Aufsichtsstrukturen Neben den bestehenden Aufsichtsstrukturen durch das DHS könnte in einem neuen PNR-Abkommen auf weitere Aufsichtsstrukturen hingewirkt werden. Dabei scheint es auf Grund der unterschiedlichen Herangehensweisen in Bezug auf den Datenschutz nicht möglich, die in der EU bestehenden Standards für ein Abkommen mit den USA zu fordern.1654 Lösungen können nur in einem Kompromiss zu finden sein. 1651 Vgl. Hornung/Boehm, Comparative Study on the 2011 draft Agreement between the USA and the EU on the use and transfer of PNR to the US DHS, 14.03.2012, S. 15. 1652 Dazu und zum Folgenden auch Baumann, in: Dix/Franßen/Kloepfer/Schaar/Schoch/­ Voßhoff/Deutsche Gesellschaft für Informationsfreiheit, Informationsfreiheit und Informa­ tionsrecht Jahrbuch 2014, 2015, S. 49 f. u. S. 57 f. 1653 So der Vorschlag von Masing, NJW 2012, 2305 (2310). 1654 So wohl aber Masing, NJW 2012, 2305 (2310).

§ 17 Optimierungsmöglichkeiten

599

Die Aufsichtsstrukturen könnten neben den bestehenden Stellen in den USA durch die Einführung einer PNR-Schlichtungsstelle ergänzt werden, die als Anlaufstelle auf europäischer Ebene fungieren könnte und in regelmäßigen Abständen mit den für die Aufsicht zuständigen Stellen in den USA in Kontakt wäre und dabei auf Missstände oder oftmals angesprochene Probleme hinweisen könnte. Auch könnte auf eine Benachrichtigung der Schlichtungsstelle über die Anzahl der Beschwerden u. ä. durch die US-Behörden hingewirkt werden. Die Position könnte – wie bereits vorgeschlagen – beim EU-Datenschutzbeauftragen angesiedelt sein und somit als zentrale Anlaufstelle für EU-Bürger dienen. Auch wenn die USA nicht mit der Schaffung dieser Stelle einverstanden sein sollte, könnte diese Stelle unilateral durch die EU geschaffen werden. Zwar würden dann Unterrichtungspflichten nicht bestehen, jedoch könnte diese Person weiterhin den Dialog mit den US-Behörden suchen. 9. Rechtsverbindlichkeit von Abkommen Grundsätzlich sollten PNR-Abkommen sowohl in der EU als auch in den USA rechtsverbindlich sein. Im Rahmen der Verhandlungen zu den PNR-Abkommen wurde von Kritikern betont, dass es sich bei den Abkommen lediglich um Verwaltungsabkommen, sog. „executive agreements“ handele, und auch im Rahmen der parlamentarischen Debatten kam dieser Aspekt häufiger zur Sprache.1655 Das Abkommen sei für die US-Seite rechtlich nicht bindend, da es dem US-Kongress nicht zur Ratifizierung vorgelegt werde und die EU damit auf den „Good Will“ der Amerikaner angewiesen sei.1656 Das Abkommen könne und werde keine Rechte schaffen oder übertragen, die nicht sowieso schon im US-Recht bestehen.1657 Internationale Abkommen werden in den USA entweder als – wie in der Verfassung in Art. II vorgesehen – völkerrechtliche Verträge (sog. Art. II Treaties) durch den Präsidenten mit Beratung und Zustimmung durch eine Zweidrittelmehrheit des Senats oder aber – wie auch bei den PNR-Abkommen – als sog. „executive

1655

Bspw. Stellungnahme der Abgeordneten Juan Fernando López Aguilar sowie Frank Engel, das Abkommen sei nur ein „executive agreement“, sowie auch v. Andreas Mölzer, jeweils Plenardebatte vom 19.4.2012 zum EU-US-PNR-Abkommen 2012; siehe auch unwatched – Das Datenschutzportal, PNR-Abkommen mit den USA – Fakten und Hintergründe, 26.04.2012, http:// www.unwatched.org/20120426_PNR_Abkommen_Fakten_und_Hintergruende (zuletzt geprüft am 15.03.2015). 1656 unwatched – Das Datenschutzportal, PNR-Abkommen mit den USA – Fakten und Hintergründe, 26.04.2012. 1657 Stellungnahme des Parlamentariers Frank Engel im Rahmen der Plenardebatte im EUParlament vom 19.04.2012: „Most unfortunately, The United States does not have  a Lisbon Treaty conferring upon the Senate of Congress the unconditional right to ratify international agreements the United States enters into. This one is entered into by the President of the­ United States and cannot – and will not – either create or confer rights that do not already exist under current US law.“

600

Teil 3: Die Übermittlung von PNR-Daten in die USA 

agreements“ abgeschlossen, die ohne Einhaltung dieses Verfahrens zustande kommen.1658 Bei den executive agreements wird wiederum unterschieden zwischen solchen, die auf der Grundlage eines bereits abgeschlossenen Art. II Treaty erlassen werden, solchen, die vom Präsidenten nach vorheriger oder nachträglicher Zustimmung beider Häuser des Kongresses erlassen werden sowie solchen, die allein durch den Präsidenten geschlossen werden.1659 Die Unterscheidung zwischen „Treaties“ und „executive agreements“ ist allein eine des US-Rechts, nicht des Völkerrechts, wonach alle Übereinkünftige rechtlich verbindlich sind.1660 Somit sind „executive agreements“ – obwohl sie durch ein anderes Verfahren geschlossen werden – international genauso verbindlich für die USA wie die in Art. II der Verfassung genannten völkerrechtlichen Verträge.1661 Tatsache ist, dass in den USA eine Vielzahl an Abkommen – auch bedeutende Abkommen – als executive agreements und nicht über das Verfahren für völkerrechtliche Verträge nach Art. II der Verfassung abgeschlossen werden. So wurden in den ersten 50 Jahren ihres Bestehens von den USA noch 60 Verträge und nur 27 executive agreements abgeschlossen, zwischen 1939 und 1989 11.698 executive agreements und nur 702 Verträge sowie seit 1993 ungefähr 300 executive agreements pro Jahr und nur 20 Verträge.1662 Auch wurden bspw. die Beitrittsabkommen zur North American Free Trade Agreement (Nafta) oder der WTO als executive agreements abgeschlossen.1663 Es ist somit gängige Praxis im US-Recht, sich der Möglichkeit von executive agreements zu bedienen und nicht auf das kompliziertere Verfahren nach Art. II der Verfassung zurückzugreifen.1664 Rein rechtlich haben sich die USA somit auch durch den Abschluss der PNR-Abkommen mit der EU als executive agreement gebunden. Auf Grund der gängigen Praxis scheint es daher auch überhöht, zu fordern, die USA sollten PNR-Abkommen unter den strengen Voraussetzungen des Art.  II der US-Verfassung abschließen. Das Verfahren des Art.  II der US-Verfassung wurde generell nur für bedeutende Abkommen wie Menschenrechtsabkommen, Abrüstungsabkommen, Militärbündnisse oder Umweltschutz 1658

Vgl. Bradley, International Law in the U. S. Legal System, S. 74. Bradley, International Law in the U. S. Legal System, S. 75 ff. mit Beispielen sowie Nachweisen zur Rechtsprechung und Rechtsverbindlichkeit. 1660 Bradley, International Law in the U. S. Legal System, S. 74 mit Verweis auf Art. 1 (a) der Wiener Vertragsrechtskonvention, wonach „Vertrag“ „eine in Schriftform geschlossenen und vom Völkerrecht bestimmte internationale Übereinkunft zwischen Staaten, gleichviel ob sie in einer oder in mehreren zusammengehörigen Urkunden enthalten ist und welche besondere Bezeichnung sie hat“ bedeutet. 1661 Bradley, International Law in the U. S. Legal System, S. 74. 1662 Bradley, International Law in the U. S. Legal System, S. 74 f. 1663 Bradley, International Law in the U. S. Legal System, S.  80–95 mit Nachweisen zur Rechtsprechung des Supreme Court. 1664 Zur rechtlichen Verbindlichkeit der jeweiligen executive agreements und Platz in der­ Normenhierarchie im US-Recht besteht hingegen keine Einigkeit, siehe dazu Bradley, Inter­ national Law in the U. S. Legal System, S. 80–95. 1659

§ 17 Optimierungsmöglichkeiten

601

genutzt1665, ohne damit die Bedeutung von PNR-Abkommen schmälern zu wollen. Letztendlich ist entscheidend, inwiefern Passagieren bestimmte Rechte tatsächlich zugestanden werden und sie diese durchsetzen können. Somit sollte nicht lediglich auf die Form des Abkommens, sondern vor allem auf die Inhalte abgestellt werden. Bestimmte Rechte müssen demnach für Passagiere garantiert sein. Wichtig ist daher, dass die Inhalte der Abkommen stärker beeinflusst werden. Das PNR-Abkommen von 2012 nennt explizit, dass keine neuen Rechte begründet werden.1666 Dies wurde bspw. auch signifikant von der Berichterstatterin sowie der Art. 29-Datenschutzgruppe kritisiert. So wies die Berichterstatterin darauf hin, dass die USA ohne eine vorherige Beteiligung des Kongresses ihre Gesetze, aus denen sich Rechte für die Passagiere ergeben könnten, nicht ändern könnten.1667 Somit müssten vor Abschluss eines neuen Abkommens die Rechte für die Passagiere tatsächlich bestehen bzw. im US-Recht begründet werden. Dies müsste von den USA entsprechend nachgewiesen werden. Auch dürften Formulierungen, die explizit eine nicht bestehende Begründung neuer Rechte nennen, nur dann aufgenommen und akzeptiert werden, wenn zur Überzeugung der EU feststeht, dass die Rechte für Passagiere in den USA bereits tatsächlich bestehen und durchsetzbar sind. In diesem Sinne ist auch der Vorschlag der Art. 29-Datenschutzgruppe begrüßenswert, die die Kommission aufforderte, auf die Veröffentlichung der Bestimmungen zur Rechtsdurchsetzung für Reisende im Federal Register hinzuwirken, sodass diese Rechtsverbindlichkeit erreichen könnten.1668 10. Stärkere Einbindung der Fluggesellschaften Wie bereits aus den Vorschlägen zu den jeweiligen Datenarten ersichtlich, sollten die Fluggesellschaften als verantwortliche Stelle noch stärker in die PNRÜbermittlung an die US-Sicherheitsbehörden eingebunden werden.1669 Es sollte bei einem neuen Abkommen darauf hingewirkt werden, dass die Fluggesellschaften als verantwortliche Stelle die Filterung der Daten übernehmen und sie nur diejenigen Daten an die USA übermitteln, die keine sensiblen Daten darstellen.1670 Die Filterung durch die US-Behörden könnte dann unterbleiben, sodass die Ge 1665 So Bradley, International Law in the U. S. Legal System, S. 83 mit Verweis auf die auch zu bedenkende Gefahr, dass – wie beim Kyoto-Protokoll oder beim Atomwaffensperrvertrag – durch Beteiligung des Parlaments auch die Versagung der Zustimmung möglich ist. 1666 Siehe Art. 21 I des Abkommens von 2012. 1667 in ’t Veld, Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, PE 480.773v01-00, 01.02.2012, S. 13. 1668 Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 16. 1669 Dazu bereits Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 13. 1670 So bereits auch Art. 29-Datenschutzgruppe, Stellungnahme 5/2007 zum PNR-Abkommen zwischen der EU und den USA von 2007, WP 138, 17.08.2007, S. 13.

602

Teil 3: Die Übermittlung von PNR-Daten in die USA 

fahr eines abredewidrigen Gebrauchs der Daten durch die USA gemindert wird. Die Auswertungssysteme, die für die Datenauswertung genutzt werden, werden sich nicht ändern lassen, sodass der Ansatzpunkt, die zur Verfügung gestellten Daten bereits vor Übermittlung besser zu kontrollieren und zu filtern, verfolgt werden könnte. 11. Institutionalisierung von Gesprächen und Evaluierungen Zudem sollten regelmäßige Gespräche zwischen der EU und den USA institutionalisiert werden. Dies scheint zur fortwährenden Verbesserung und Austarierung der Interessen notwendig. Eine reine Absichtserklärung in den Abkommen ist nicht ausreichend. Stattdessen sollten – neben jährlichen Evaluierungen – zumindest halbjährige Gespräche zwischen den Parteien zur Datenübermittlung stattfinden. Aus diesem Grund sollten regelmäßige Treffen zwischen der EU und den USA institutionalisiert und nicht nur als Absichtserklärungen im Abkommen festgeschrieben werden. II. Stärkung internationaler Standards für den Datenaustausch Eine weitere Verbesserungsmöglichkeit wäre eine Ausweitung der Standardsetzung bzgl. der von Passagieren erhobenen Daten. Diese Standardsetzung sollte – wie stets im Zusammenhang mit Standardsetzung im Luftverkehr  – durch die internationale Zivilluftfahrtorganisation ICAO erfolgen. Durch internationale Standards ist eine Verringerung von Konflikten zu erwarten. Bei gemeinsamen Standards besteht Klarheit, welche Daten unter eine bestimmte Datenkategorie zu fassen sind. Auch wäre eine Erweiterung der Standards bei den zur Übermittlung von Daten genutzten Systemen wünschenswert. Erfolge gibt es bereits, jedoch ist auf eine Ausweitung der Standards hinzuarbeiten, da diese vor allem Minimalkonsens­ darstellen. Die Internationale Zivilluftfahrtorganisation (ICAO) ist eine Sonderorganisation der Vereinten Nationen und wurde 1944 durch das Abkommen über die internationale Zivilluftfahrt, die sog. Chicago Convention, gegründet.1671 Die ICAO hat u. a. die Funktion, für die Schaffung von verbindlichen internationalen Luftverkehrsstandards sowie Empfehlungen zu sorgen und diese in den Anhängen zur Chicago Convention zu regeln.1672 Die Mitgliedstaaten haben diese umzusetzen, es sei denn, sie erklären, nicht daran gebunden zu sein.1673 Nach den Anschlägen des 1671 Siehe zur Gründung der ICAO ausführlich Schäffer, Der Schutz des zivilen Luftverkehrs vor Terrorismus, S. 42 ff. 1672 Siehe Art. 37 f., 54 lit. l, 90 der Chicago Convention; zu den Rechtssetzungskompetenzen der ICAO siehe Schäffer, Der Schutz des zivilen Luftverkehrs vor Terrorismus, S. 80 ff. 1673 Siehe Art. 38 der Chicago Convention.

§ 17 Optimierungsmöglichkeiten

603

11. September 2001 gab es im Rahmen der ICAO generelle Initiativen, den Luftverkehr umfassender vor terroristischen Bedrohungen zu schützen und gemeinsame Standards zu schaffen.1674 Auch in Bezug auf von Passagieren erhobene Daten gab es bald erste Initiativen, die hier nur kursorisch dargestellt werden sollen. Auf der 12. Sitzung der Abteilung zur Erleichterung des Luftverkehrs der ICAO (sog. Facilitation Division) vom 22.  März bis zum 1. April 2004 in Kairo verabschiedete die Abteilung die sog. Empfehlung B/5. In dieser Empfehlung wurde die Absicht verdeutlicht, Richtlinien für Staaten aufzustellen, die PNR-Daten zusätzlich zu API-Daten erheben wollen und zudem Richtlinien für den Austausch, die Nutzung und Speicherung von Daten sowie eine Liste von Datenelementen, die zwischen Fluggesellschaften und Staaten ausgetauscht werden können, zu schaffen.1675 Im Juni 2004 wurde auf Grund dieser Empfehlung eine sog. Secretariat Study Group eingerichtet, um Richtlinien zum PNR-Datentransfer zu entwickeln und diese bis Anfang 2005 vorzustellen.1676 Auch die EU brachte zur Entwicklungen dieser Richtlinien Empfehlungen ein und wies insbesondere auf die Bedeutung des Datenschutzes und die Notwendigkeit, technische Hindernisse abzubauen, hin.1677 Im März 2005 verabschiedete der ICAO Council eine sog. Empfehlung (Recommended Practice), die in den Anhang 9 der Chicago Convention – Facilitation – aufgenommen wurde und wie folgt lautete: „Recommended Practice: Contracting States requiring Passenger Name Record (PNR) ­access should conform their data requirements and their handling of such data to guidelines developed by ICAO.“1678

1674 Allgemein zur Rolle der ICAO im Rahmen der Terrorismusbekämpfung und Aufgaben Schäffer, Der Schutz des zivilen Luftverkehrs vor Terrorismus, S.  42 sowie zu Maßnahmen nach den Anschlägen des 11. September 2001 Abeyratne, Air & Space Law 35 (2010), 167. 1675 Siehe insgesamt zu Initiativen im Rahmen der ICAO in Bezug auf Passagierdaten ICAO, Doc 9944 – Guidelines on Passenger Name Record (PNR) Data, 2010, S. v, http://www.iata. org/iata/passenger-data-toolkit/assets/doc_library/04-pnr/New%20Doc%209944 %201st%20 Edition%20PNR.pdf (zuletzt geprüft am 15.03.2015); der Text der Empfehlung B/5 lautete: „It is recommended that ICAO develop guidance material for those States that may require access to Passenger Name Record (PNR) data to supplement identification data received through an API system, including guidelines for distribution, use and storage of data and a composite list of data elements [that] may be transferred between the operator and the receiving State.“ 1676 ICAO, Doc 9944 – Guidelines on Passenger Name Record (PNR) Data, 2010, S. v. 1677 Europäische Kommission, Arbeitspapier der Kommissionsdienststellen  – Vorbereitung auf die 35. Versammlung der Internationalen Zivilluftfahrt-Organisation (ICAO) – Ein internationaler Rahmen für die Weitergabe von Fluggastdaten (PNR-Daten), SEK/2004/1138/, 09.09.2004, S.  4, http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=de&DosId=191698 (zuletzt geprüft am 15.03.2015). 1678 Dazu ICAO, Doc 9944 – Guidelines on Passenger Name Record (PNR) Data, 2010, S. v.

604

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Am 9. Juni 2005 wurden diese internationalen PNR-Richtlinien von der ICAO angenommen und dabei auch die Positionen der EU berücksichtigt. Die Richtlinien wurden schließlich im April 2006 im sog. „Circular 309“ veröffentlicht.1679 Nach einer Empfehlung des sog. „Fifth Meeting of the Facilitation Panel“ der ICAO im Jahr 2008 wurde eine Arbeitsgruppe eingesetzt, um die PNR-Richtlinien im „Circular 309“ zu aktualisieren; dieser Aufgabe kam die Arbeitsgruppe nach und präsentierte die Ergebnisse beim „Sixth Meeting of the Facilitation Panel“ im Mai 2010.1680 Die sog. „Guidelines on Passenger Name Record (PNR) Data“ wurden als ICAO Dokument Doc 9944 daraufhin veröffentlicht. Zusammenfassend stellten die Richtlinien ihren Zweck und ihre Ziele wie folgt prägnant dar: „2.3.2 The purpose of these guidelines is to establish uniform measures for PNR data transfer and the subsequent handling of these data by the States concerned, based on the principles of: a) minimization of the cost to industry; b) accuracy of information; c) completeness of data; d) protection of personal data; e) timeliness; and f) efficiency and efficacy of data management/risk management. 2.3.3 These guidelines also seek to assist States in designing data requirements and procedures in order to minimize technical burdens that may impair the implementation of these uniform measures. These guidelines address the issue of PNR data transfer from an operator’s system to a State, and the management of these data including arrangements for ­storage and protection. 2.3.4 A harmonized set of guidelines for PNR data transfer should benefit requesting States and aircraft operators by assisting States to design systems and establish arrangements that are compatible with these guidelines but do not impair States’ ability to enforce their laws and preserve national security and public safety. 2.3.5 If implemented uniformly, these guidelines would provide a global framework allowing: a) all States to benefit from the value-added analysis of PNR data for shared security/safety purposes; 1679 Europäische Kommission, Communication from the Commission to the Council, the European Parliament, the European Economic and Social Committee and the Committee of the Regions – Justice, Freedom and Security in Europe since 2005: An evaluation of the Hague Programme and Action Plan, COM(2009)263 final, 10.06.2009, S. 63; die Veröffentlichung erfolgte im Circular 309, siehe ICAO, Doc 9944 – Guidelines on Passenger Name Record (PNR) Data, 2010, S. v. 1680 ICAO, Doc 9944 – Guidelines on Passenger Name Record (PNR) Data, 2010, S. v.

§ 17 Optimierungsmöglichkeiten

605

b) aircraft operators to benefit from one set of common requirements for PNR data transfer; and c) all passengers to benefit from basic protection of their PNR data.“1681

Die Richtlinien stellen im Folgenden Empfehlungen zu verschiedenen Bereichen auf: gesetzliche Regelungen, PNR-Datenelemente, PNR-Datenverarbeitung, Methoden der PNR-Datenübermittlung, Häufigkeit und Zeitpunkt der PNR-Datenübermittlung, Filterung von PNR-Daten, Weiterübermittlung, PNR-Datenschutz, Daten­ sicherheit, Transparenz und Passagierrechte, Kosten, Sanktionen und Strafen.1682 Zudem enthalten die Richtlinien eine Liste mit 22 möglichen Datenelementen sowie ein Muster zur Information von Passagieren über die Nutzung ihrer PNR-­Daten zu Sicherheitszwecken.1683 Insgesamt behandeln die Richtlinien alle relevanten Aspekte der PNR-Datennutzung, bleiben jedoch vage, lassen weite Spielräume und versuchen lediglich, verschiedene Vorgehensweisen und Möglichkeiten zur Umsetzung aufzuzeigen. So bestimmt bspw. Punkt 2.9.3 der Richtlinien, wie die Filterung von PNR-Daten vorgenommen werden könnte: „2.9.3 States may decide whether the filtering will take place within the individual systems of aircraft operators or of their authorized agents or within the system of the receiving State. States may also consider whether a regional filtering system under the control of interested operators should be developed.“1684

Insgesamt sind diese Richtlinien ein Schritt in die richtige Richtung. Ihre Vagheit ist vor allem ihrem völkerrechtlichen Charakter geschuldet. Die ICAO stellt vor allem technische Standards für über 190 Länder auf. Auch erlaubt die Chicago Convention selbst in Art. 13 einen weiten Spielraum für die Mitgliedstaaten zur Ausgestaltung. Art. 13 der Chicago Convention lautet: „The laws and regulations of a Contracting State as to the admission to or departure from its territory of passengers, crew or cargo of aircraft, such as the regulations relating to entry, clearance, immigration, passports, customs, and quarantine shall be complied with by or on behalf of such passengers, crew or cargo upon entrance into or departure from, or while within the territory of that State.“

Art. 13 der Chicago Convention gibt Staaten einen Spielraum dahingehend, die Informationen festzulegen, die sie von in ihr Staatsgebiet einreisenden Personen erheben wollen und damit einhergehend auch die Möglichkeit, PNR-Daten im gewünschten Umfang zu erheben.1685

1681

ICAO, Doc 9944 – Guidelines on Passenger Name Record (PNR) Data, 2010, S. 2–3. ICAO, Doc 9944 – Guidelines on Passenger Name Record (PNR) Data, 2010, S. 2–3 – 2–7. 1683 ICAO, Doc 9944 – Guidelines on Passenger Name Record (PNR) Data, 2010, S. A1–2 – A2–2. 1684 ICAO, Doc 9944 – Guidelines on Passenger Name Record (PNR) Data, 2010, S. 2–5. 1685 Vgl. Abeyratne, Air & Space Law 35 (2010), 167 (177). 1682

606

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Neben dieser Initiative gibt es weitere Initiativen zur Standardsetzung. So haben bspw. ICAO, IATA und WCO 2010 sog. „Guidelines on Advance Passenger Information“ entworfen, die 2013 aktualisiert wurden.1686 Auch gibt es weitere Initiativen, gemeinsame Übermittlungsstandards für Passagierdaten zu schaffen. So wurde bspw. das standardisierte Übermittlungsformat PNRGOV von der IATA entwickelt und ist bereits auch von der ICAO thematisiert worden.1687 Insgesamt sollte im Rahmen der völkerrechtlichen Möglichkeiten weiterhin auf weitreichende und vertiefte Standardsetzung hingearbeitet werden, um durch gemeinsame Standards neben Kostenersparnissen und größerer Rechtssicherheit für die Beteiligten auch den Datenschutzstandard kontinuierlich zu erhöhen. III. Schaffung rechtlicher Grundlagen für eine Übermittlung von API- und Secure Flight-Daten Die Übermittlung von PNR-Daten ist umfassend Gegenstand rechtlicher Regelungen. PNR-Daten sind die grundrechtsrelevantesten der von den USA erhobenen Daten. Im Gegensatz zu PNR-Daten bestehen jedoch für andere von US-Behörden erhobene Daten wenige bis keine Regelungen zur Übermittlung und Sicherstellung gewisser Datenschutzstandards. Zwar können API-Daten als ein PNR-Datenelement übermittelt werden, eine Rechtsgrundlage zu Übermittlung folgt daraus jedoch nicht.1688 Da sich API-Daten signifikant von PNR-Daten unterscheiden und mittlerweile über Daten aus dem maschinenlesbaren Teil eines Reisepasses hinausgehen, sollte eine explizite Rechtsgrundlage für ihre Übermittlung geschaffen werden. Dies gilt ebenso für Secure Flight-Daten. Für die Übermittlung dieser Datenart gibt es ebenfalls keine rechtliche Grundlage. Secure Flight-Daten werden von USBehörden mittlerweile sogar bei Flügen, die lediglich das Staatsgebiet der USA überfliegen (sog. Secure Flight Overflight), ohne dort zu landen, erhoben.1689 Zwar waren Secure Flight-Daten bereits Gegenstand von parlamentarischen Anfragen im EU-Parlament, tatsächliche Initiativen zur Regelung ihrer Übermittlung sind jedoch – soweit ersichtlich – noch nicht verfolgt worden. Es ist daher zu fordern, die im Rahmen des mehrschichtigen Sicherheitssystems der USA bestehende Erhebung verschiedener Datenarten insgesamt und nicht nur in Bezug auf PNR-Daten auf eine rechtliche Grundlage zu stellen. Zwar unterscheiden sich die Datenarten, sie sind jedoch im Rahmen des Auswertungssystems 1686 WCO/IATA/ICAO, Guidelines on Advance Passenger Information, 2013, http://www. wcoomd.org/en/topics/facilitation/resources/~/media/95C80C194B634618A9FB56423BEB 95AE.ashx (zuletzt geprüft am 15.03.2015). 1687 Ziel war dabei die Integrierung in Doc. 9944. 1688 Siehe dazu ausführlich oben S. 533 ff. 1689 Dazu oben S. 386 ff.

§ 17 Optimierungsmöglichkeiten

607

ATS auch miteinander verknüpft. Im Rahmen von Neuverhandlungen des PNRAbkommens sollten somit auch Regelungen für die Erhebung von API- sowie Secure Flight-Daten geschaffen werden, die Datenschutzbestimmungen für diese Art von Daten aufstellen. Dass mittlerweile auch der UN-Sicherheitsrat die Auswertung von API-Daten von seinen Mitgliedstaaten fordert,1690 spricht ebenso für die Schaffung einer rechtlichen Grundlage. IV. Schaffung expliziter rechtlicher Grundlagen für die Tätigkeit von DHS-Beamten in Europa Im Rahmen des sog. Immigration Advisory Program (IAP) sind Beamte des DHS an Flughäfen innerhalb der EU tätig.1691 Das Immigration Advisory Program verfolgt als Hauptziele, Terroristen und andere Kriminelle davon abzuhalten, einen Flug in die USA anzutreten und Partnerstaaten darin zu unterstützen, Passagiere ohne die erforderlichen Reisedokumente bereits vor Abflug zu identifizieren.1692 Das Programm wird vom DHS wie folgt beschrieben und betont, dass die eingesetzten DHS-Beamten lediglich beratende Tätigkeiten ausüben: „U. S. Customs and Border Protection advisory personnel are posted at the host country’s airport during processing of flights bound for the United States. These unarmed, plain clothes officers discreetly assist airline and security employees with review of traveler information during the processing of U. S.-bound flights. They directly support host-­country personnel with document examination and traveler security assessments. By analyzing electronic passenger information and passenger reservation data, Immigration and Advisory Program officers are able to identify potential threats. IAP officers engage carriers and travel­ ers to confirm potential matches and make „no board“ recommendations to air carriers and the host government to prevent these passengers from boarding flights destined to the United States. By training air carriers, their security staff, and host-country authorities in the most up-to-date techniques, Immigration Advisory Program officers help to disrupt illegal migration routes and stop criminals in the partnering country and beyond. Also, the United States government avoids the costs associated with removal proceedings and the airline avoids ­penalties and the costs of transporting the individual back to the originating airport. These U. S. Customs and Border Protection officers serve strictly as advisors to the partner nation. They hold no authority while working in the host country.“1693

1690

Dazu United Nations – Securtiy Council, Resolution 2178 (2014), 24.09.2014, S. 5. Siehe dazu die offiziellen Informationen des DHS: US DHS, Immigration Advisory Program (IAP) – Fact Sheet, Mai 2013, http://www.cbp.gov/sites/default/files/documents/immig_ advis_prog_2.pdf (zuletzt geprüft am 15.03.2015); dazu und zum Folgenden auch Baumann, in: Dix/Franßen/Kloepfer/Schaar/Schoch/Voßhoff/Deutsche Gesellschaft für Informationsfreiheit, Informationsfreiheit und Informationsrecht Jahrbuch 2014, 2015, S. 61 ff. 1692 Vgl. US DHS, Immigration Advisory Program (IAP) – Fact Sheet, Mai 2013; demnach sind die „Key Objectives“ des Programms „Prevent terrorists and other criminals from boarding commercial aircraft destined for the United States“ sowie „Assist partner countries in reducing the number of improperly documented travelers“. 1693 US DHS, Immigration Advisory Program (IAP) – Fact Sheet, Mai 2013. 1691

608

Teil 3: Die Übermittlung von PNR-Daten in die USA 

Wie die Bundesregierung auf eine Anfrage von Mitgliedern der Bundestagsfraktion Die Linke mitteilte, waren im Jahr 2011 75 Mitarbeiter des DHS direkt in Deutschland beschäftigt.1694 Genauere Informationen über das Programm und seine Auswirkungen scheint jedoch selbst die Bundesregierung nicht zu haben. So bestätigt sie in ihrer Antwort zwar, dass die DHS-Bediensteten an deutschen Flughäfen Luftfahrtunternehmen zu Zwecken der Luftsicherheit sowie zur Abwehr von Gefahren für den Luftverkehr durch den internationalen Terrorismus bei Flügen in die USA beraten, jedoch auch, dass eine „detaillierte Aufgabenbeschreibung der DHS-Bediensteten“ nicht vorläge.1695 Zudem betonte die Bundesregierung daraufhin nochmals, dass „konkrete Kenntnisse über die Art und Weise der Zusammenarbeit zwischen CBP und den Fluglinien“ nicht vorlägen und die DHSBediensteten „nach Erkenntnissen der Bundesregierung“ nur eine beratende Funktion wahrnähmen.1696 Erstaunlich ist auch, dass die Bundesregierung betont, ihr sei nicht bekannt, „mit welchen US-Datenbanken Passagierdaten abgeglichen werden“ bzw. „welche konkreten PNR-Datensätze in die Analysevorgänge US-amerikanischer Behörden einfließen“.1697 Auf die Fragen, wie die im Rahmen der Anfrage genannte Zahl der 323 sog. „high risk travellers“ von DHS-Angestellten konkret identifiziert wurden, wie viele „no board“-Empfehlungen 2010 und 2011 insgesamt ausgesprochen wurden sowie Fragen über die Erkenntnisse der Bundesregierung antwortete diese lediglich, dass die „no board“-Empfehlungen das Rechtsverhältnis zwischen den Fluglinien und US-Behörden beträfen und der Bundesregierung hierzu keine konkreten Einzelheiten bekannt seien.1698 Jedoch gibt die Bundesregierung auf die Frage nach der Rechtsgrundlage für die Tätigkeiten der DHS-Bediensteten an: „Der Einsatz von DHS-Bediensteten der TSA erfolgt im Einklang mit dem Luftverkehrsabkommen vom 30. April 2007 zwischen der EU und den USA und dient der Konkretisierung der darin vorgesehenen Sicherheitskooperation.“1699 Weitere Erkenntnisse zum Immigration Advisory Program ergeben sich aus der von der EU-Kommission durchgeführten Evaluierung des PNR-Abkommens von 2013. Darin wird mitgeteilt, dass Mitarbeiter des DHS an neun europäischen Flug 1694

Bundesregierung, BT-Drs. 17/6654: Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Andrej Hunko, Jan van Aken, Christine Buchholz, weiterer Abgeordneter und der Fraktion DIE LINKE – Drucksache 17/6427 – Aktivitäten des US-Departments of Homeland Security an Flug- und Seehäfen der Europäischen Union, 21.07.2011, S. 2. 1695 Bundesregierung, BT-Drs. 17/6654: Antwort auf die Anfrage zu Aktivitäten des DHS an Flug- und Seehäfen der EU, 21.07.2011, S. 4. 1696 Bundesregierung, BT-Drs. 17/6654: Antwort auf die Anfrage zu Aktivitäten des DHS an Flug- und Seehäfen der EU, 21.07.2011, S. 6. 1697 Bundesregierung, BT-Drs. 17/6654: Antwort auf die Anfrage zu Aktivitäten des DHS an Flug- und Seehäfen der EU, 21.07.2011, S. 6. 1698 Bundesregierung, BT-Drs. 17/6654: Antwort auf die Anfrage zu Aktivitäten des DHS an Flug- und Seehäfen der EU, 21.07.2011, S. 7. 1699 Bundesregierung, BT-Drs. 17/6654: Antwort auf die Anfrage zu Aktivitäten des DHS an Flug- und Seehäfen der EU, 21.07.2011, S. 4.

§ 17 Optimierungsmöglichkeiten

609

häfen1700 die Fluggesellschaften und das Sicherheitspersonal dabei unterstützen, die Überprüfung von Dokumenten durchzuführen und eine Sicherheitseinschätzung in Bezug auf die einzelnen Passagiere abzugeben.1701 Für die Evaluierung werden alle verfügbaren Daten, darunter PNR-, Secure Flight- und API-Daten verwendet. Dies ergibt sich bereits daraus, dass im Rahmen des IAP auch auf das System ATS-P zugegriffen werden kann, wie das DHS selbst betont.1702 Die Bundesregierung betonte in ihrer Antwort auf die Anfrage von Mitgliedern der Fraktion Die Linke zwar, dass DHS-Bedienstete der CBP „keine hoheitlichen Tätigkeiten“ ausführen.1703 In der Praxis kommt die von den Mitarbeitern des DHS ausgesprochene „no board“-Empfehlung an die Fluggesellschaften jedoch einer Untersagung für den Passagier dar, einen Flug anzutreten. Keine Fluggesellschaft wird sich darüber hinwegsetzen, da die Kosten für den Rücktransport von den Fluggesellschaften übernommen werden müssen. Trotz der Betonung, dass keine hoheitlichen Aufgaben wahrgenommen werden, kommt den Empfehlungen der Mitarbeiter des DHS de facto bindende Wirkung zu. Ausreichend ist die von der Bundesregierung genannte Rechtsgrundlage in den PNR-Abkommen nicht. Die PNR-Abkommen nehmen nicht explizit auf diese Praxis Bezug. Auch wenn die Weigerung von Fluggesellschaften, einen Passagier auf Grund einer Empfehlung des DHS nicht zu befördern, eine Maßnahme eines privaten Unternehmens darstellt, verbergen sich dahinter dennoch hoheitliche Tätigkeiten der USA, die auf europäischem Territorium durchgeführt werden. Sollte ein Festhalten an dieser Praxis gewünscht sein, ist zumindest eine explizite Rechtsgrundlage für die Tätigkeit zu schaffen. Ansonsten ist diese Vorgehensweise umgehend zu beenden. Darüber hinaus wäre eine tiefgehendere Kenntnis der Bundesregierung über diese Vorgehensweise wünschenswert. Die Bundesregierung ist zumindest im Rahmen des EU-Ministerrats an der Verabschiedung von PNR-­ Regelungen beteiligt und sollte daher auch entsprechend auf Anfragen von Bundestagsfraktionen antworten können.

1700 Paris Charles de Gaulle, Frankfurt am Main, London Heathrow, London Gatwick, Manchester, Amsterdam und Madrid. 1701 Europäische Kommission, Evaluierung des PNR-Abkommens von 2012, Sec(2013) 630 final, 27.11.2013, S. 6 f. mit Verweis auf ein weiteres Programm (Regional Carriers L ­ iaison Group), das für 250 weitere Flughäfen auf der Welt verantwortlich ist, jedoch zentral von den USA aus operiert. 1702 US DHS, Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, S. 7. 1703 Bundesregierung, BT-Drs. 17/6654: Antwort auf die Anfrage zu Aktivitäten des DHS an Flug- und Seehäfen der EU, 21.07.2011, S. 4.

610

Teil 3: Die Übermittlung von PNR-Daten in die USA 

E. Ausblick Die Auswertung von PNR-Daten stellt in den USA ein bedeutendes Instrumentarium zur Bekämpfung von Terrorismus und schwerer Kriminalität dar. Neben den USA sind zunehmend mehrere Staaten sowie auch die EU der Auffassung, dass aus PNR-Daten ein Nutzen gezogen werden kann. Die Art und Weise, wie in den USA die Auswertung von PNR-Daten erfolgt, übersteigt jedoch die von der EU geplante Vorgehensweise bei Weitem. Zudem ist die PNR-Datenauswertung in den USA lediglich ein Teil eines aus verschiedenen Sicherheitsschichten bestehenden Sicherheitskonzeptes, das nach den Anschlägen des 11. September 2001 immer weiter ausgebaut worden ist. Die Auswertung von PNR-Daten in den USA ist komplex und polarisiert. So ist ein Verständnis darüber, wie im Einzelnen die Datenauswertung erfolgt, nur schwer zu erreichen. Das ist zum einen der sicherheitsrelevanten Materie geschuldet, die keine völlige Transparenz erlaubt, zum anderen besteht – vor allem für die Bürger in Europa, jedoch scheinbar auch für Entscheidungsträger1704  – ein Informationsdefizit. Zwar ist eine Vielzahl von Informationen  – wenn auch auf Englisch und von amerikanischen Behörden zur Verfügung gestellt  – vorhanden, der Bürger muss jedoch gezielt danach suchen. Seit den ersten Forderungen der USA nach PNR-Daten wird dieses Thema in der EU kontrovers diskutiert. Letztendlich bleibt die Entscheidung für oder gegen die Auswertung dieser Daten eine politische eines souveränen Staates. Zudem tragen die institutionellen Grundlagen in der EU und die sich nach EuGH-Urteil sowie Inkrafttreten des Vertrags von Lissabon von Abkommen zu Abkommen­ ändernden Rahmenbedingungen nicht zu mehr Klarheit bei. Geblieben ist stets die Kontroverse zwischen den beiden Rechtsordnungen, die auch darauf gründet, auf unterschiedliche Arten Datenschutz und Datenflüsse zu regeln. Dahingehend wurde versucht, diese unterschiedlichen Positionen auszutarieren und eine Interessenbalance zu finden. Die Vorschläge stellen ein Modell dar. Ein Fokus liegt u. a. auf einer Reduzierung der Datenelemente und auf der Verantwortung der Fluggesellschaften, die bestimmte Daten bereits vor Übermittlung in die USA herausfiltern sollten. Ein weiterer Punkt ist die Verbesserung der Rahmenbedingungen des aus verschiedenen Schichten bestehenden Sicherheits­systems für europäische Fluggäste, wie bspw. das Erfordernis einer Rechtsgrundlage für jegliche von Fluggästen erhobenen Daten oder das Erfordernis, die Aktivitäten von US-Behörden in Europa klaren Regelungen zu unterwerfen. Gleichzeitig ist grundsätzlich, die Entscheidung der USA für die PNR-Datenauswertung in der vorgenommenen Form zu respektieren. Die vorgeschlagenen Lösungs­ möglichkeiten mögen mehr oder weniger praktikabel sein, einen Beitrag zur Diskussion geben und vor allem das Bedürfnis nach Kompromissen verdeutlichen. 1704 Siehe Bundesregierung, BT-Drs. 17/6654: Antwort auf die Anfrage zu Aktivitäten des DHS an Flug- und Seehäfen der EU, 21.07.2011.

§ 17 Optimierungsmöglichkeiten

611

Die Entscheidung, wie künftige PNR-Abkommen aussehen werden, ist jedoch stets eine politische. In Verhandlungen wird legitimerweise die eigene Position zu dem Thema von den Verhandlungsführern in den Vordergrund gestellt werden, jedoch sollte dies stets mit dem Bewusstsein für andere Auffassungen und deren Legitimität erfolgen.

Zusammenfassung und Schlussbetrachtung Datenfluss im internationalen Kontext ist ein Phänomen, das alltäglich und allgegenwärtig geworden ist. Die Gründe dafür sind vielfältig und mittlerweile nicht mehr enumerativ aufzählbar. Datenfluss im internationalen Kontext zieht verschiedene Herausforderungen nach sich und ist Gegenstand einer Vielzahl von Regelungen, die unterschiedlich ausgestaltet sind. Ein Hauptziel dieser Regelungen besteht darin, eigene Datenschutzstandards auch bei einer Übermittlung in andere Rechtsordnungen aufrecht zu erhalten. Verschiedene Rechtsordnungen legen auf diese Regelungen einen besonderen Fokus, andere hingegen nicht. Als Gegenpole sind die Positionen der EU und der USA dargestellt worden. Ohne Regelungen zum Datenfluss im internationalen Kontext wäre ein Datenfluss zwischen der EU und den USA ohne Einschränkungen möglich. Da jedoch insbesondere im Datenschutzrecht der EU und ihrer Mitgliedstaaten entsprechende Regelungen bestehen und für einen Datenfluss in ein Drittland wie die USA ein „angemessenes Schutzniveau“ in diesem gefordert wird, zieht dies Datenschutzkonflikte nach sich. Weil die USA aus Sicht der EU das geforderte angemessene Schutzniveau auf Grund einer unterschiedlichen Herangehensweise an das Thema Datenschutz im Gegensatz zu manchen anderen Drittländern nicht universal erfüllen können, bestehen zwischen der EU und den USA diese Datenschutzkonflikte. Die Datenschutzkonflikte sind vielfältig und in verschiedenen Rechtsgebieten angesiedelt. Auf Grund der Verschiedenheit der Datenschutzkonflikte sind bereichsspezifische Lösungen zu finden. Das Bedürfnis nach Lösungen ist auch auf beiden Seiten des Atlantiks auf Grund der dahinter stehenden vielzähligen Interessen anerkannt. So wurde bspw. in der gemeinsamen Presseerklärung von US-Präsident Obama, dem damaligen EU-Kommissionspräsident Barroso und dem damaligen EU-Ratspräsident van Rompuy im Rahmen des EU-US-Gipfels im März 2014 festgestellt: „Cross border data flows are critical to our economic vitality, and to our law enforcement and counterterrorism efforts. We affirm the need to promote data protection, privacy and free speech in the digital era while ensuring the security of our citizens“.1 Am Beispiel des Datenschutzkonflikts „Übermittlung von PNR-Daten“ sind der Konflikt selbst sowie der Versuch einer Lösungsfindung diskutiert worden. Gerade nach der NSA-Affäre ist eine Entspannung der Datenschutzkonflikte zwischen der EU und den USA in nächster Zeit wünschenswert. So wurde im Rahmen des EU-US-Gipfels u. a. auch der Wille nach einem endgültigen Abschluss eines 1 EU-US Summit, Joint Statement – Presseerklärung zum EU-US Gipfel am 26.03.2014, 26.03.2014, S. 4.

Zusammenfassung und Schlussbetrachtung

613

Rahmenabkommens zum Datenaustausch im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen und Terrorismus bekräftigt.2 Ob dieses Abkommen tatsächlich in Kraft treten wird, bleibt abzuwarten. Sollte es – was zu begrüßen ist – tatsächlich zum Abschluss dieses Abkommens kommen, wird es jedoch lediglich einen Rahmen vorgeben können. Bereichsspezifische Lösungen für einzelne Datenschutzkonflikte werden unverzichtbar bleiben. In jedem Fall sollte ein Bewusstsein für die unterschiedlichen Herangehensweisen zum Thema Datenschutz bei der Suche nach Lösungen – seien sie sektorübergreifend oder bereichsspezifisch auf den jeweiligen Problembereich zugeschnitten – bestehen und diese bei einer Lösungsfindung berücksichtigt werden. Entscheidendes Instrumentarium im Rahmen dieser Lösungsfindung ist das im EU-Datenschutzrecht bestehende Kriterium der Angemessenheit des Datenschutzniveaus in einem Drittland. Es fordert einerseits die Berücksichtigung essentieller Datenschutzprinzipien des EU-Rechts, die nach ursprünglichem Verständnis nicht verhandelbar waren. Mittlerweile scheint das Kriterium jedoch auch eine gewisse Flexibilität bei Verhandlungen mit Drittländern zu erlauben. Das Prinzip der Angemessenheit hat sich bewährt. An ihm sollte auch in Zukunft trotz bestehender datenschutzrechtlicher Kontroversen mit den USA festgehalten werden.

2

Siehe EU-US Summit, Joint Statement – Presseerklärung zum EU-US Gipfel am 26.03.2014, 26.03.2014, S. 5: „We are committed to expedite negotiations of a meaningful and comprehensive data protection umbrella agreement for data exchanges in the field of police and judicial cooperation in criminal matters, including terrorism. We reaffirm our commitment in these negotiations to work to resolve the remaining issues, including judicial redress. By ensuring a high level of protection of personal data for citizens on both sides of the Atlantic, this agreement will facilitate transfers of data in this area“. Siehe zum sog. Umbrella Agreement als offizielle Information Europäische Kommission, Factsheet EU-US Negotiations on Data Protection, Juni 2014.

Literaturverzeichnis Abeyratne, Ruwantissa, The NW 253 Flight and the Global Framework of Aviation Security, Air & Space Law 35 (2010), S. 167–181. Adam, Heike, Die Mitteilungen der Kommission: Verwaltungsvorschriften des Europäischen Gemeinschaftsrechts?, Baden-Baden, Bremen 1999. AEA – Association of European Airlines, Q&A: Passenger Name Record data (PNR), http://files. aea.be/News/AEA_QAPNR.pdf (zuletzt geprüft am 15.03.2015). Albers, Marion, § 22 – Umgang mit personenbezogenen Informationen und Daten, in: Hoffmann-Riem, Wolfgang/Schmidt-Aßmann, Eberhard/Voßkuhle, Andreas (Hrsg.), Grundlagen des Verwaltungsrechts – Band II, 2. Aufl., München 2012, S. 107–234. Albrecht, Jan Philipp, Daten sind das neue Öl – deshalb braucht es einen starken EU-Datenschutz!, ZD 2013, S. 49–50. – Die EU-Datenschutzgrundverordnung rettet die informationelle Selbstbestimmung!, Ein Zwischenruf für einen einheitlichen Datenschutz durch die EU, ZD 2013, S. 587–591. Albrecht, Jan Philipp/Tavares, Rui, Minderheitenansicht gemäß Artikel 52 Absatz 3 der Geschäftsordnung zum Entwurf einer Empfehlung für die legislative Entschließung des Parlaments, PNR-Abkommen 2012, http://www.europarl.europa.eu/sides/getDoc.do?pub Ref=-//EP//TEXT+REPORT+A7-2012-0099+0+DOC+XML+V0//DE (zuletzt geprüft am 15.03.2015). Allen, Anita L., Uneasy access, Privacy for women in a free society, Totowa, N.J 1988. Alonso Blas, Diana, Data protection at Eurojust: A robust, effective and tailor-made regime, http://eurojust.europa.eu/doclibrary/corporate/corporatepublications/Data%20Protection% 20at%20Eurojust%20 %28Extract%29/Data-Protection-at-Eurojust-Extract-EN.pdf (zuletzt geprüft am 15.03.2015). Amadeus, Amadeus Passenger Name Record – User Guide, http://www.amadeusschweiz.com/en/ documentation/usermanuals.html?file=assets/theme/content/docs/en/usermanuals/Amadeus_ Passenger_Name_Record.pdf (zuletzt geprüft am 15.03.2015). – Amadeus Air Advanced – Grundlagenseminar Trainingshandbuch, Januar 2009, http://www. amadeus.com/at/documents/aco/at/AMADEUS%20AIR%20ADVANCED.pdf (zuletzt geprüft am 15.03.2015). – Secure Flight Passenger Data Overview, 2010, http://www.amadeus.com/corp/xml/documents/ aco/gb/en/Secure_Flight_Passenger_Data_Overview_for_Amadeus_Customers.pdf (zuletzt geprüft am 15.03.2015). Amar, Vikram David/Tushnet, Mark V. (Hrsg.), Global perspectives on constitutional law, New York, NY 2009. Ambrock, Jens, Die Übermittlung von S. W. I. F.T.-Daten an die Terrorismusaufklärung der USA, Berlin 2013.

Literaturverzeichnis

615

American Civil Liberties Union, Court Rules No Fly List Process Is Unconstitutional and Must Be Reformed, 24.06.2014, https://www.aclu.org/national-security/court-rules-no-fly-listprocess-unconstitutional-and-must-be-reformed (zuletzt geprüft am 15.03.2015). APEC Secretariat, APEC launches new Cross-border Data Privacy Initiative, 16.07.2010, http:// www.apec.org/press/news-releases/2010/0716_ecsg_cpea.aspx (zuletzt geprüft am 15.03.2015). Arndt, Felix/Betz, Nicole u. a. (Hrsg.), Freiheit – Sicherheit – Öffentlichkeit, 48. Assistenten­ tagung Öffentliches Recht, Tagung der Wissenschaftlichen Mitarbeiterinnen und Mitarbeiter, Wissenschaftliche Assistentinnen und Assistenten, Baden-Baden, Basel 2009. Arndt, Hans-Wolfgang/Knemeyer, Franz-Ludwig/Kugelmann, Dieter/Meng, Werner/Schweitzer, Michael (Hrsg.), Völkerrecht und deutsches Recht, Festschrift für Walter Rudolf zum 70. Geburtstag, München 2001. Arnull, Anthony/Barnard, Catherine/Dougan, Michael/Spaventa, Eleanor (Hrsg.), A constitutional order of states?, Essays in EU law in honour of Alan Dashwood, Oxford England, Portland, OR 2011. Art. 29-Datenschutzgruppe, Arbeitsunterlage: Übermittlung personenbezogener Daten an Drittländer Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU, WP 12, 24.07.1998, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1998/wp12_de.pdf (zuletzt geprüft am 15.03.2015). – Stellungnahme 7/99 zum Datenschutzniveau, das die Grundsätze des sicheren Hafens in ihrer veröffentlichten Form, die dazu gehörigen häufig gestellten Fragen (FAQ) und andere vom US-Handelsministerium am 15./16. November 1999 veröffentlichte Dokumente gewährleisten, WP 27, 03.12.1999, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1999/ wp27de.pdf (zuletzt geprüft am 15.03.2015). – Stellungnahme 4/2000 über das Datenschutzniveau, das die Grundsätze des sicheren Hafens bieten, WP 32, 16.05.2000, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2000/ wp32de.pdf (zuletzt geprüft am 15.03.2015). – Stellungnahme 6/2002 zur Übermittlung von Informationen aus Passagierlisten und anderen Daten von Fluggesellschaften an die Vereinigten Staaten, WP  66, 24.10.2002, http:// ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp66_de.pdf (zuletzt geprüft am 15.03.2015). – Arbeitsdokument: Übermittlung personenbezogener Daten in Drittländer: Anwendung von Artikel 26 Absatz 2 der EU-Datenschutzrichtlinie auf verbindliche unternehmensinterne Vorschriften für den internationalen Datentransfer, WP 74, 03.06.2003, http://ec.europa.eu/ justice/policies/privacy/docs/wpdocs/2003/wp74_de.pdf (zuletzt geprüft am 15.03.2015). – Stellungnahme 4/2003 zum Niveau des Schutzes für in die Vereinigten Staaten übermittelte Passagierdaten, WP 78, 13.06.2003, http://ec.europa.eu/justice/policies/privacy/docs/ wpdocs/2003/wp78_de.pdf (zuletzt geprüft am 15.03.2015). – Stellungnahme 2/2004 zur Angemessenheit des Schutzes der personenbezogenen Daten, die in den Fluggastdatensätzen (Passenger Name Records – PNR) enthalten sind, welche dem United States Bureau of Customs and Border Protection (US CBP – Zoll- und Grenzschutzbehörde der Vereinigten Staaten) übermittelt werden sollen, WP 87, 29.01.2004, http:// ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp87_de.pdf (zuletzt geprüft am 15.03.2015).

616

Literaturverzeichnis

– Arbeitspapier über eine gemeinsame Auslegung des Artikels 26 Absatz 1 der Richtlinie 95/46/EG vom 24. Oktober 1995, WP 114, 25.11.2005, http://ec.europa.eu/justice/policies/ privacy/docs/wpdocs/2005/wp114_de.pdf (zuletzt geprüft am 15.03.2015). – Stellungnahme 10/2006 zur Verarbeitung von personenbezogenen Daten durch die Society for Worldwide Interbank Financial Telecommunication (SWIFT), WP 128, 22.11.2006, http:// ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp128_de.pdf (zuletzt geprüft am 15.03.2015). – Stellungnahme 5/2007 zum Folgeabkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika vom Juli 2007 über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records  – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security, WP 138, 17.08.2007, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp138_de.pdf (zuletzt geprüft am 15.03.2015). – Arbeitsdokument „Rahmen für verbindliche unternehmensinterne Datenschutzregelungen (BCR)“, WP 154, 24.06.2008, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/ wp154_de.pdf (zuletzt geprüft am 15.03.2015). – Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR), WP 153, 24.06.2008, http:// ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp153_de.pdf (zuletzt geprüft am 15.03.2015). – Arbeitsdokument zu „Häufig gestellten Fragen“ über verbindliche unternehmensinterne Datenschutzregelungen (BCR), WP 155 Rev.04, 24.06.2008, 08.04.2009, http://ec.europa. eu/justice/policies/privacy/docs/wpdocs/2008/wp155_rev.04_de.pdf (zuletzt geprüft am 15.03.2015). – Arbeitsunterlage 1/2009 über Offenlegungspflichten im Rahmen der vorprozessualen Beweiserhebung bei grenzübergreifenden zivilrechtlichen Verfahren (pre-trial discovery), WP 158, 11.02.2009, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp158_ de.pdf (zuletzt geprüft am 15.03.2015). – Die Zukunft des Datenschutzes  – Gemeinsamer Beitrag zu der Konsultation der Euro­ päischen Kommission zu dem Rechtsrahmen für das Grundrecht auf den Schutz der personenbezogenen Daten, WP  168, 01.12.2009, http://ec.europa.eu/justice/policies/privacy/ docs/wpdocs/2009/wp168_de.pdf (zuletzt geprüft am 15.03.2015). – Stellungnahme 6/2010 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten in der Republik Östlich des Uruguay, WP 177, 12.10.2010, http:// ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp177_de.pdf (zuletzt geprüft am 15.03.2015). – Stellungnahme 7/2010 zur Mitteilung der Europäischen Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, WP 178, 12.11.2010, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp178_ de.pdf (zuletzt geprüft am 15.03.2015). – Stellungnahme 8/2010 zum anwendbaren Recht, WP 179, 16.12.2010, http://ec.europa.eu/ justice/policies/privacy/docs/wpdocs/2010/wp179_de.pdf (zuletzt geprüft am 15.03.2015).

Literaturverzeichnis

617

– Stellungnahme 10/2011 zu dem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über die Verwendung von Fluggastdatensätzen zu Zwecken der Verhütung, Aufdeckung, Aufklärung und strafrechtlichen Verfolgung von terroristischen Straftaten und schwerer Kriminalität, WP 181, 05.04.2011, http://ec.europa.eu/justice/policies/privacy/ docs/wpdocs/2011/wp181_de.pdf (zuletzt geprüft am 15.03.2015). – Stellungnahme 01/2012 zu den Reformvorschlägen im Bereich des Datenschutzes, WP 191, 23.03.2012, http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dv/10_wp_ 29_wp191_/10_wp_29_wp191_de.pdf (zuletzt geprüft am 15.03.2015). – Arbeitsdokument 02/2012 mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR) für Auftragsverarbeiter, WP 195, 06.06.2012, http://ec.europa.eu/justice/data-protection/article-29/documentation/ opinion-recommendation/files/2012/wp195_de.pdf (zuletzt geprüft am 15.03.2015). – Stellungnahme 05/2012 zum Cloud Computing, WP 196, 01.07.2012, http://ec.europa.eu/ justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/ wp196_de.pdf (zuletzt geprüft am 15.03.2015). – Recommendation 1/2012 on the Standard Application form for Approval of Binding Corporate Rules for the Transfer of Personal Data for Processing Activities, WP 195 a, 17.09.2012, https://www.dsb.gv.at/DocView.axd?CobId=52232 (zuletzt geprüft am 15.03.2015). – Stellungnahme 08/2012 mit weiteren Beiträgen zur Diskussion der Datenschutzreform, WP 199, 05.10.2012, http://ec.europa.eu/justice/data-protection/article-29/documentation/ opinion-recommendation/files/2012/wp199_de.pdf (zuletzt geprüft am 15.03.2015). – Stellungnahme 01/2013 mit weiteren Beiträgen zur Diskussion über den Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, WP 201, 26.02.2013, http://ec.europa.eu/justice/ data-protection/article-29/documentation/opinion-recommendation/files/2013/wp201_de. pdf (zuletzt geprüft am 15.03.2015). – Opinion 03/2013 on purpose limitation, WP 203, 02.04.2013, http://ec.europa.eu/justice/ data-protection/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf (zuletzt geprüft am 15.03.2015). – Erläuterndes Dokument zu verbindlichen unternehmensinternen Datenschutzregelungen für Auftragsverarbeiter, WP 204, 19.04.2013, http://ec.europa.eu/justice/data-protection/ article-29/documentation/opinion-recommendation/files/2013/wp204_de.pdf (zuletzt geprüft am 15.03.2015). – Brief an EU-Innenkommissarin Cecilia Malmström zu Advance Passenger Information (API), 11.07.2013, http://ec.europa.eu/justice/data-protection/article-29/documentation/ other-document/files/2013/20130711_letter-to-malmstrom_api_en.pdf (zuletzt geprüft am 15.03.2015). – Brief an den Vorsitzenden des LIBE-Ausschusses Claude Moraes zu EU-PNR, 19.03.2015, http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/ 2015/20150319__letter_of_the_art_29_wp_on_eu_pnr.pdf (zuletzt geprüft am 31.03.2015).

618

Literaturverzeichnis

Art. 29-Datenschutzgruppe/Arbeitsgruppe Polizei und Justiz, Gemeinsame Stellungnahme zu dem von der Kommission am 6. November 2007 vorgelegten Vorschlag für einen Rahmenbeschluss des Rates über die Verwendung von Fluggastdatensätzen (PNR-Daten) zu Strafverfolgungszwecken, WP 145 bzw. 01/07, 05.12.2007/18.12.2007, http://ec.europa.eu/­ justice/policies/privacy/docs/wpdocs/2007/wp145_de.pdf (zuletzt geprüft am 15.03.2015). Bach, David/Newman, Abraham L., The European regulatory state and global public policy: microinstitutions, macro-influence, Journal of European Public Policy 14 (2007), S. 827–846. Bäcker, Matthias, Grundrechtlicher Informationsschutz gegen Private, Der Staat 51 (2012), S. 91–116. Bäcker, Matthias/Hornung, Gerrit, EU-Richtlinie für die Datenverarbeitung bei Polizei und Justiz in Europa, ZD 2012, S. 147–152. Barroso, José Manuel, Brief an Parlamentspräsident Fontelles bezüglich des PNR-Urteils des EuGH und eines PNR Abkommens auf Grundlage der Dritten Säule, 19.07.2006, http://www. statewatch.org/news/2006/aug/eu-usa-pnr-barrosi-letter.pdf (zuletzt geprüft am 15.03.2015). Baumann, Bastian, Grenzüberschreitender Datenaustausch: Passagierdaten und Passagierrechte, in: Dix, Alexander/Franßen, Gregor/Kloepfer, Michael/Schaar, Peter/Schoch, Friedrich/ Voßhoff, Andrea/Deutsche Gesellschaft für Informationsfreiheit (Hrsg.), Informationsfreiheit und Informationsrecht Jahrbuch 2014, Berlin 2015, S. 29–64. Beary, Brian, Will Napolitano change 2007 PNR accord?, 29.09.2010, http://www.highbeam. com/doc/1G1-239629825.html (zuletzt geprüft am 15.03.2015). – Napolitano: PNR accord „can be improved“, 10.12.2010, http://www.highbeam.com/doc/ 1G1-243972024.html (zuletzt geprüft am 15.03.2015). Becker, Kim-Björn, Internetzensur in China, Aufbau und Grenzen des chinesischen Kontrollsystems, Wiesbaden 2011. Becker, Maximilian/Becker, Felix, Die neue Google-Datenschutzerklärung und das Nutzer-­ Metaprofil, Vereinbarkeit mit nationalen und gemeinschaftsrechtlichen Vorgaben, MMR 2012, S. 351–355. Becker, Philipp/Nikolaeva, Julia, Das Dilemma der Cloud-Anbieter zwischen US Patriot Act und BDSG, Zur Unmöglichkeit rechtskonformer Datenübermittlung für gleichzeitig in USA und Deutschlande operierende Cloud-Anbieter, CR 2012, S. 170–176. Beling, Craig T., Transborder Data Flows: International Privacy Protection and the Free Flow of Information, B. C. Int’l & Comp. L. Rev. 6 (1983), S. 591–624. Bender, Gunnar, Informationelle Selbstbestimmung in sozialen Netzwerken, K&R 2013, S. 218–220. Bennett, Colin J., Regulating privacy – Data protection and public policy in Europe and the United States, Ithaca 1992. Bergmann, Michael, Grenzüberschreitender Datenschutz, Baden-Baden 1985. Bernsdorff, Norbert, Artikel 8 GRCh, in: Meyer, Jürgen (Hrsg.), Charta der Grundrechte der Europäischen Union, Baden-Baden, Wien, Basel 2011, S. 215–225. Bieber, Roland u. a. (Hrsg.), Das Europa der zweiten Generation, Kehl am Rhein 1981.

Literaturverzeichnis

619

Biermann, Kai, Passagierdaten sollen 15 Jahre und länger gespeichert werden, 26.05.2011, http://www.zeit.de/digital/datenschutz/2011-05/pnr-usa-passagierdaten (zuletzt geprüft am 15.03.2015). Bignami, Francesca, European Versus American Liberty: A Comparative Privacy Analysis of Antiterrorism Data Mining, B. C. L.Rev. 48 (2007), S. 609–698. Bloustein, Edward J., Privacy as an Aspect of Human Dignity: An Answer to Dean Prosser, N. Y. U. L. Rev. 39 (1964), S. 962–1007. Blume, Peter (Hrsg.), Nordic Data Protection Law, Copenhagen 2001. Boehm, Franziska, Anlasslose Datensammlungen und die Mitarbeit Privater bei der Strafverfolgung – der neue Trend in der europäischen Verbrechensbekämpfung, KritV 2012, S. 82–102. – Information sharing and data protection in the area of freedom, security and justice, Towards harmonised data protection principles for information exchange at EU-level, Berlin, Heidelberg 2012. Boehm, Franziska/Cole, Mark D., Studie zu den Folgen des EUGH-Urteils zur Vorratsdatenspeicherung, Auswirkungen auf Mitgliedstaaten, EU-Rechtsakte und internationale Abkommen, ZD 2014, S. 553–557. Bohn, Robert E./Short, James E., How Much Information? 2009 Report on American Consumers, 2009, http://hmi.ucsd.edu/pdf/HMI_2009_ConsumerReport_Dec9_2009.pdf (zuletzt geprüft am 15.03.2015). Böhning, Björn, Datenschutz – Die Debatte muss geführt werden, ZD 2013, S. 421–422. Bok, Sissela, Secrets, On the ethics of concealment and revelation, New York 1982. Bothe, Michael/Kilian, Wolfgang, Rechtsfragen grenzüberschreitender Datenflüsse, Köln 1992. Bradford, Anu, The Brussels Effect, Northwestern University Law Review 107 (2012), S. 1–67. Bradley, Curtis A., International Law in the U. S. Legal System 2013. Brennscheidt, Kirstin, Cloud Computing und Datenschutz, Baden-Baden 2013. Brink, Stefan/Wolff, Heinrich Amadeus, Anmerkung zu EuGH, Urt. v. 09.11.2010, C-92, 93/09 – Schecke, JZ 2011, S. 206–208. Britz, Gabriele, Das Grundrecht auf Datenschutz in Art. 8 der Grundrechtecharta, Vortrag im Rahmen der Fachtagung „Datenschutz in Deutschland nach dem Vertrag von Lissabon“ am 09. Dezember 2008 in Frankfurt, 09.12.2008, http://www.datenschutz.hessen.de/download. php?download_ID=188 (zuletzt geprüft am 15.03.2015). – Europäisierung des grundrechtlichen Datenschutzes?, EuGRZ 2009, S. 1–11. Brohm, Markus U., Die „Mitteilungen“ der Kommission im europäischen Verwaltungs- und Wirtschaftsraum, Typologie Rechtsnatur und Bindungswirkung für die Behörden der Mitgliedstaaten, Baden-Baden 2012. Brouwer, Evelien, The EU Passenger Name Record System and Human Rights, Transferring passenger data or passenger freedom, 03.09.2009, http://www.ceps.be/book/eu-passengername-record-pnr-system-and-human-rights-transferring-passenger-data-or-passenger-f (zuletzt geprüft am 15.03.2015).

620

Literaturverzeichnis

Bruch, Christoph, Informationsfreiheit international, Eine Studie der Bertelsmann Stiftung und der Europäischen Akademie für Informationsfreiheit und Datenschutz, in: Hart, Thomas/­ Welzel, Carolin/Garstka, Hansjürgen (Hrsg.), Informationsfreiheit, Die „gläserne Büro­kratie“ als Bürgerrecht, Gütersloh 2004, S. 131–277. Brugger, Winfried, Grundrechte und Verfassungsgerichtsbarkeit in den Vereinigten Staaten von Amerika, Tübingen 1987. – Einführung in das öffentliche Recht der USA, 2. Aufl., München 2001. Brühann, Ulf, Die Veröffentlichung personenbezogener Daten im Internet als Datenschutz­ problem, Zur Rechtsprechung des Europäischen Gerichtshofs, DuD 2004, S. 201–209. – Art. 25 DSRL, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL, München Mai 2009. – Art. 26 DSRL, in: Grabitz/Hilf/Nettesheim, Das Recht der EU, 13. EL, München Mai 2009. Bull, Hans Peter, Datenschutz oder Die Angst vor dem Computer, München, Zürich 1984. Büllesbach, Alfred (Hrsg.), Datenverkehr ohne Datenschutz?, Eine globale Herausforderung, Köln 1999. Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Abhöraktivitäten USamerikanischer Nachrichtendienste in Deutschland – Bericht an den Deutschen Bundestag gemäß § 26 Absatz 2 des Bundesdatenschutzgesetzes, 15.11.2013, http://dip21.bundestag. de/dip21/btd/18/000/1800059.pdf (zuletzt geprüft am 15.03.2015). Bundesministerium des Innern, Pressemitteilung: „Die Verweigerungshaltung von Facebook und Google ist bedauerlich!“, 06.05.2013. Bundesregierung, BT-Drs. 17/6654: Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Andrej Hunko, Jan van Aken, Christine Buchholz, weiterer Abgeordneter und der Fraktion DIE LINKE – Drucksache 17/6427 – Aktivitäten des US-Departments of Homeland Security an Flug- und Seehäfen der Europäischen Union, 21.07.2011. Cáceres, Javier, Internetkonzerne schreiben bei Datenschutzregeln mit, 11.02.2013, http://www. sueddeutsche.de/digital/lobby-einfluss-auf-neue-eu-verordnung-internetkonzerne-schreibenbei-datenschutzregeln-mit-1.1596560 (zuletzt geprüft am 15.03.2015). Calliess, Christian/Ruffert, Matthias (Hrsg.), EUV, AEUV, Das Verfassungsrecht der Euro­ päischen Union mit Europäischer Grundrechtecharta, 4. Aufl., München 2011. Carroll, J. M., The Problem of Transnational Data Flow, in: OECD (Hrsg.), Policy issues in data protection and privacy, Concepts and perspectives; proceedings of the OECD seminar 24. to 26. June 1974, Paris 1976, S. 201–207. Caspar, Johannes, Das aufsichtsbehördliche Verfahren nach der EU-Datenschutz-Grund­ verordnung, Defizite und Alternativregelungen, ZD 2012, S. 555–558. Cate, Fred H., Privacy in the information age, Washington, DC 1997. – Government Data Mining: the Need for a Legal Framework, Harv. Civ. Rights-Civ. Liberties Law Rev. 43 (2008), S. 435–489. Christensen, Grant, Federal Data Collection, Secure Flight, the Intelligence Reform and Terrorism Prevention Act, and the Rauthorization of the USA PATRIOT Act, I/S: A Journal of Law and Policy for the Information Society 2 (2006), S. 485–520.

Literaturverzeichnis

621

Cisco, The Zettabyte Era, http://www.cisco.com/en/US/solutions/collateral/ns341/ns525/ns537 /ns705/ns827/VNI_Hyperconnectivity_WP.pdf (zuletzt geprüft am 15.03.2015). – Cisco Visual Networking Index: Forecast and Methodology, 2011–2016, http://www.cisco. com/en/US/solutions/collateral/ns341/ns525/ns537/ns705/ns827/white_paper_c11-481360. pdf (zuletzt geprüft am 15.03.2015). Cody, Edward, Armed with new treaty, Europe amplifies objections to U. S. data-sharing demands, 26.10.2010, http://www.washingtonpost.com/wp-dyn/content/article/2010/10/26/AR 2010102603612_pf.html (zuletzt geprüft am 15.03.2015). Cohen, Jon, Most Americans back NSA tracking phone records, prioritize probes over privacy, http://www.washingtonpost.com/politics/most-americans-support-nsa-tracking-phonerecords-prioritize-investigations-over-privacy/2013/06/10/51e721d6-d204-11e2-9f1a1a7cdee20287_story.html (zuletzt geprüft am 15.03.2015). Committee on Civil Liberties, Justice and Home Affairs, Press Release:  NSA inquiry: lead MEP presents preliminary conclusions, 18.12.2013, http://www.europarl.europa.eu/pdfs/ news/expert/infopress/20131216IPR31029/20131216IPR31029_en.pdf (zuletzt geprüft am 15.03.2015). Council of Europe, Explanatory Report to the Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows, http://www.conventions.coe.int/Treaty/ EN/Reports/Html/181.htm (zuletzt geprüft am 15.03.2015). – Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, 1981, http://www.conventions.coe.int/treaty/en/ Reports/Html/108.htm (zuletzt geprüft am 15.03.2015). Council of the European Union, Commission statement  – PNR Agreement with the United States, 11.07.2007, http://www.statewatch.org/news/2007/jul/ep-pnr-council-report.pdf (zuletzt geprüft am 15.03.2015). – Agreement between the European Union and the United States of America on the processing and transfer of passenger name record (PNR) data by air carriers to the United States Department of Homeland Security (DHS) – Declarations made in accordance with Article 24 (5) TEU – State of Play, 19.03.2009, http://www.statewatch.org/news/2009/mar/eu-usapnr-data-state-of-play-5311-rev1-09.pdf (zuletzt geprüft am 15.03.2015). – Council gives green light for the new EU-US agreement on Passenger Name Records (PNR), 18454/11, 13.12.2011, http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/ jha/126892.pdf (zuletzt geprüft am 15.03.2015). Dammann, Ulrich/Simitis, Spiros, EG-Datenschutzrichtlinie, Kommentar, Baden-Baden 1997. de Busser, Els, Data protection in EU and US criminal cooperation, A substantive law approach to the EU internal and transatlantic cooperation in criminal matters between judicial and law enforcement authorities, Antwerpen, Portland, OR 2009. de Goede, Marieke, The SWIFT Affair and the Global Politics of European Security, Journal of Common Market Studies 50 (2012), S. 214–230.

622

Literaturverzeichnis

de Hert, Paul/Bellanova, Rocco, Data Protection in the Area of Freedom, Security and Justice: A System still to fully developed? – Study requested by the European Parliament’s Committee on Civil Liberties, Justice and Home Affairs (LIBE) Study requested by the European Parliament’s Committee on Civil Liberties, Justice and Home Affairs (LIBE), 2009, http://www. europarl.europa.eu/committees/lt/libe/studiesdownload.html?languageDocument=EN& file=25213 (zuletzt geprüft am 15.03.2015). de Hert, Paul/de Schutter, Bart, International Transfers of Data in the Field of JHA: The Lessons of Europol, PNR and Swift, in: Martenczuk, Bernd/van Thiel, Servaas (Hrsg.), Justice, liberty, security, New challenges for EU external relations, Brussels 2008, S. 303–339. de Hert, Paul/Papakonstantinou, Vagelis, The data protection framework decision of 27 November 2008 regarding police and judicial cooperation in criminal matters  – A modest achievement however not the improvement some have hoped for, Computer Law & Security Review 25 (2009), S. 403–414. – The EU PNR framework decision proposal: Towards completion of the PNR processing scene in Europe, Computer Law & Security Review 26 (2010), S. 368–376. DeCew, Judith Wagner, In pursuit of privacy, Law, ethics, and the rise of technology, Ithaca, NY 1997. Dehmel, Susanne/Hullen, Nils, Auf dem Weg zu einem zukunftsfähigen Datenschutz in Europa, Konkrete Auswirkungen der DS-GVO auf Wirtschaft, Unternehmen und Verbraucher, ZD 2013, S. 147–153. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Bußgeld gegen Google festgesetzt, 22.04.2013, http://www.datenschutz-hamburg.de/news/detail/article/bussgeldgegen-google-festgesetzt.html (zuletzt geprüft am 15.03.2015). Deutlmoser, Ralf/Filip, Alexander, Europäischer Datenschutz und US-amerikanische (e-)Discovery-Pflichten, Ein Praxisleitfaden für Unternehmen, ZD-Beilage 6/2012, S. 1–23. DeVries, Will Thomas, Protecting Privacy in the Digital Age, Berkeley Tech. L. J. 18 (2003), S. 283–311. DHS, About DHS, http://www.dhs.gov/about-dhs (zuletzt geprüft am 15.03.2015). – Creation of the Department of Homeland Security, http://www.dhs.gov/creation-departmenthomeland-security (zuletzt geprüft am 15.03.2015). – Department Six-point Agenda, http://www.dhs.gov/department-six-point-agenda (zuletzt geprüft am 15.03.2015). – Who Joined DHS, http://www.dhs.gov/who-joined-dhs (zuletzt geprüft am 15.03.2015). DHS CBP, About CBP, http://www.cbp.gov/about (zuletzt geprüft am 15.03.2015). – CBP at 10 Years, http://www.cbp.gov/about/history/ten-years (zuletzt geprüft am 15.03.2015). DHS CBP/TSA, Undertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Adminstiration, 22.05.2003, http://ec.europa. eu/justice/policies/privacy/docs/wpdocs/2003/wp78-pnrf-annex_en.pdf (zuletzt geprüft am 15.03.2015).

Literaturverzeichnis

623

Dix, Alexander/Franßen, Gregor/Kloepfer, Michael/Schaar, Peter/Schoch, Friedrich/Voßhoff, Andrea/Deutsche Gesellschaft für Informationsfreiheit (Hrsg.), Informationsfreiheit und­ Informationsrecht Jahrbuch 2014, Berlin 2015. Drechsler, Christian, Data Transfers Within Euope: Contractual Data Protection Clauses in Practice, Why contract clauses in countries with adequate level of data protection provide more difficulties, CRi 2011, S. 161–165. Dreier, Thomas/Spiecker gen. Döhmann, Indra, Die systematische Aufnahme des Straßenbildes, Zur rechtlichen Zulässigkeit von Online-Diensten wie „Google Street View“, BadenBaden 2010. Duden, Konrad, Der Duden in zwölf Bänden, Das Standardwerk zur deutschen Sprache, Mannheim 2001–2005. Düsseldorfer Kreis, Beschluss des Düsseldorfer Kreises am 28./29. April 2010 – Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe Harbor-Abkommen durch das Daten exportierende Unternehmen, 28./29.04.2010, http://www.bfdi.bund.de/SharedDocs/ Publikationen/Entschliessungssammlung/DuesseldorferKreis/290410_SafeHarbor.html? nn=409242 (zuletzt geprüft am 15.03.2015). – Beschluss des Düsseldorfer Kreises vom 11./12.09.2013 Datenübermittlung in Drittstaaten, 11./12.09.2013, http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/12092013DatenuebermittlungInDrittstaaten.pdf?__blob=publica tionFile (zuletzt geprüft am 15.03.2015). DW.de, Foschepoth: „Die NSA überwacht mit Erlaubnis“, 26.07.2013, http://www.dw.de/fosche poth-die-nsa-%C3 %BCberwacht-mit-erlaubnis/a-16976303 (zuletzt geprüft am 15.03.2015). Echtermeyer, Monika, Elektronisches Tourismus-Marketing, Globale CRS-Netze und neue Informationstechnologien, Berlin, New York 1998. Eckhardt, Jens, EU-DatenschutzVO  – Ein Schreckgespenst oder Fortschritt?, CR 2012, S. 195–203. Eckhardt, Jens/Kramer, Rudi, EU-DSGVO  – Diskussionspunkte aus der Praxis, DuD 2013, S. 287–294. Edelbauer, Regina, Chinas Digitale Revolution – Politische Kommunikation in der virtuellen Welt, KAS-Auslandsinformationen 2010, S. 89–102. Eeckhout, Piet, External relations of the European Union, Legal and constitutional founda­tions, 1. Aufl., Oxford 2004. – EU external relations law, 2. Aufl., Oxford 2011. Ehmann, Eugen/Helfrich, Marcus, EG-Datenschutzrichtlinie, Kurzkommentar, Köln 1999. Ehricke, Ulrich/Becker, Thomas/Walzel, Daisy, Übermittlung von Fluggastdaten in die USA – Zugleich Urteilsanmerkung zur Entscheidung des EuGH vom 30. Mai 2006, RDV 2006, S. 149–156. Electronic Privacy Information Center, Amicus Curiae Brief im Fall NASA v. Nelson, http://epic. org/amicus/nasavnelson/EPIC_amicus_NASA_final.pdf. (zuletzt geprüft am 15.03.2015).

624

Literaturverzeichnis

– Children’s Online Privacy Protection Act (COPPA), http://epic.org/privacy/kids/default. html (zuletzt geprüft am 15.03.2015). – Documents Show Errors in TSA’s „No Fly“ and „Selectee“ Watch Lists, http://epic.org/ privacy/airtravel/foia/watchlist_foia_analysis.html (zuletzt geprüft am 15.03.2015). – Electronic Communications Privacy Act (ECPA), http://epic.org/privacy/ecpa/ (zuletzt geprüft am 15.03.2015). – Public Opinion on Privacy, http://epic.org/privacy/survey/ (zuletzt geprüft am 15.03.2015). – Secure Flight, http://epic.org/privacy/airtravel/secureflight.html#resources (zuletzt geprüft am 15.03.2015). – Student Privacy, http://epic.org/privacy/student/#history (zuletzt geprüft am 15.03.2015). – The Drivers Privacy Protection Act (DPPA) and the Privacy of Your State Motor Vehicle­ Record, http://epic.org/privacy/drivers/default.html (zuletzt geprüft am 15.03.2015). – The Fair Credit Reporting Act (FCRA) and the Privacy of Your Credit Report, http://epic. org/privacy/fcra/default.html (zuletzt geprüft am 15.03.2015). – The Gramm-Leach-Bliley Act, http://epic.org/privacy/glba/default.html (zuletzt geprüft am 15.03.2015). – Video Privacy Protection Act, http://epic.org/privacy/vppa/ (zuletzt geprüft am 15.03.2015). – Secure Flight Should Remain Grounded Until Security and Privacy Problems Are Resolved, 2007, http://epic.org/privacy/surveillance/spotlight/0807/default.html (zuletzt geprüft am 15.03.2015). Elias, Bartholomew, Airport and aviation security, U. S. policy and strategy in the age of global terrorism, Boca Raton, FL 2010. Elixmann, Robert, Datenschutz und Suchmaschinen, Neue Impulse für einen Datenschutz im Internet, Berlin 2012. Ellger, Reinhard, Der Datenschutz im grenzüberschreitendenden Datenverkehr, Eine rechtsvergleichende und kollisionsrechtliche Untersuchung, Baden-Baden 1990. – Konvergenz oder Konflikt bei der Harmonisierung des Datenschutzes in Europa?, EU-­ Datenschutzrichtlinie – Datenschutzkonvention des Europarats, CR 1994, S. 558–567. – Vertragslösungen als Ersatz für ein angemessenes Schutzniveau bei Datenübermittlungen in Drittstaaten nach dem neuen Europäischen Datenschutzrecht, RabelsZ 60 (1996), S. 738–770. Eul, Harald/Eul, Petra, Datenschutz international, Praxisleitfaden zur Übermittlung von Kunden-, Mitarbeiter- und Lieferantendaten, Heidelberg, Hamburg 2011. Europäische Kommission, SOLVIT – Probleme mit Ihren Rechten als Unionsbürger? Wir finden eine Lösung!, http://ec.europa.eu/solvit/index_de.htm (zuletzt geprüft am 15.03.2015). – Mitteilung der Kommission über die Anwendbarkeit des Vorsorgeprinzips vom 2.2.2000, KOM(2000)1 endgültig, 02.02.2000. – Mitteilung der Kommission an den Rat und das Parlament: Übermittlung von Fluggastdaten­ sätzen (PNR): Ein sektorübergreifendes EU-Konzept, KOM(2003)826 endgültig, 16.12.2003.

Literaturverzeichnis

625

– Vorschlag für eine Beschluss des Rates über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des US Department of Homeland Security, KOM(2004)190 endgültig, 17.03.2004. – Entscheidung der Kommission vom 14. Mai 2004 über die Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden, ABl. L 235 v. 06.07.2004, 14.05.2004. – Arbeitspapier der Kommissionsdienststellen  – Vorbereitung auf die 35. Versammlung der Internationalen Zivilluftfahrt-Organisation (ICAO)  – Ein internationaler Rahmen für die Weitergabe von Fluggastdaten (PNR-Daten), SEK/2004/1138/, 09.09.2004, http:// ec.europa.eu/prelex/detail_dossier_real.cfm?CL=de&DosId=191698 (zuletzt geprüft am 15.03.2015). – Achter Jahresbericht der Art. 29 Datenschutzgruppe, 2005, http://ec.europa.eu/justice/policies/ privacy/docs/wpdocs/2005/8th_annual_report_de.pdf (zuletzt geprüft am 15.03.2015). – Commission Staff Working Paper on the Joint Review of the implementation by the U. S. Bureau of Customs and Border Protection of the Undertakings set out in Commission Decision 2004/535/EC of 14 May 2004, Redacted Version, COM(2005) final, 12.12.2005. – Vorschlag für einen Rahmenbeschluss des Rates über die Verwendung von Fluggastdatensätzen (PNR-Daten) zu Strafverfolgungszwecken, KOM(2007)654 endgültig, 06.11.2007. – Communication from the Commission to the Council, the European Parliament, the European Economic and Social Committee and the Committee of the Regions – Justice, Freedom and Security in Europe since 2005: An evaluation of the Hague Programme and Action Plan, COM(2009)263 final, 10.06.2009. – Report on the joint review of the implementation of the Agreement between the European Union and the United States of America on the processing and transfer of Passenger Name Record (PNR) data by air carriers to the United States Department of Homeland Security (DHS) 8–9 February 2010, 07.04.2010, https://www.dhs.gov/xlibrary/assets/privacy/ privacy_eu_pnr_aircarriers_feb_2010.pdf (zuletzt geprüft am 15.03.2015). – Mitteilung der Kommission an das Europäische Parlament und den Rat, Überblick über das Informationsmanagement im Bereich Freiheit, Sicherheit und Recht, KOM(2010) 385 endgültig, 20.07.2010. – Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, KOM(2010)492 endgültig, 21.09.2010. – Pressemitteilung  – EU, US to start talks on protecting personal data, MEMO/10/661, 08.12.2010, http://europa.eu/rapid/press-release_MEMO-10-661_de.htm?locale=en (zuletzt geprüft am 15.03.2015). – Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über die Verwendung von Fluggastdatensätzen zu Zwecken der Verhütung, Aufdeckung, Aufklärung und strafrechtlichen Verfolgung von terroristischen Straftaten und schwerer Kriminalität, KOM(2011)32 endgültig, 02.02.2011.

626

Literaturverzeichnis

– Pressemitteilung – Datenschutz: Online-Datenaustausch in Europa laut aktueller Umfrage von Sorgen um Privatsphäre begleitet, 16.06.2011, http://europa.eu/rapid/press-release_IP11-742_de.htm (zuletzt geprüft am 15.03.2015). – Pressemitteilung  – Neues PNR-Abkommen EU-USA stärkt Datenschutz sowie Verbrechens- und Terrorismusbekämpfung, IP/11/1368, 17.11.2011, http://europa.eu/rapid/pressrelease_IP-11-1368_de.htm (zuletzt geprüft am 15.03.2015). – Vorschlag für einen Beschluss des Rates über den Abschluss des Abkommens zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of Homeland Security, KOM(2011)807 endgültig, 23.11.2011. – Vorschlag für einen Beschluss des Rates über die Unterzeichnung des Abkommens zwischen zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen (Passenger Name Records  – PNR), COM(2013)529 final, 18.07.2013. – Joint Review of the implementation of the Agreement between the European Union an the United States of America on the processing and transfer of passenger name records to the United States Department of Homeland Security, Accompanying the Report from the Commission to the European Parliament and to the Council on the joint review of the implementation of the Agreement between the European Union and the United States of ­America on the processing and transfer of passenger name records to the United States Department of Homeland Security, Sec(2013) 630 final, 27.11.2013. – Report from the Commission to the European Parliament and the Council on the joint review of the implementation of the Agreement between the European Union and the United States of America on the processing and transfer of passenger namerecords to the United States Department of Homeland Security, COM(2013)844 final, 27.11.2013. Europäische Kommission/Generaldirektion XV, Arbeitsgruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten, Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer – Mögliche Ansätze für eine Bewertung der Angemessenheit, WP 4, 26.06.1997, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1997/wp4_ de.pdf#h2-17 (zuletzt geprüft am 15.03.2015). Europäischer Datenschutzbeauftragter, Stellungnahme des Europäischen Datenschutzbeauftragten (EDSB) zu dem Entwurf eines Vorschlags für einen Rahmenbeschluss des Rates über die Verwendung von Fluggastdatensätzen (PNR-Daten) zu Strafverfolgungszwecken, ABl. C 110 v. 01.05.2008, S. 1 ff. – Stellungnahme des Europäischen Datenschutzbeauftragten zu dem Vorschlag für einen Beschluss des Rates über den Abschluss des Abkommens zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of Homeland Security, 09.12.2011, ABl. C 35 v. 09.02.2012, S. 16 ff. – Stellungnahme des Europäischen Datenschutzbeauftragten zum Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über die Verwendung von Fluggastdatensätzen zu Zwecken der Verhütung, Aufdeckung, Aufklärung und strafrechtlichen Verfolgung von terroristischen Straftaten und schwerer Kriminalität, ABl. C 181 v. 22.06.2011, S. 24 ff.

Literaturverzeichnis

627

– Brief des EU-Datenschutzbeauftragten Peter Hustinx an Bundesinnenminister Wolgang Schäuble zum PNR-Abkommen mit den Vereinigten Staaten von Amerika, 27.06.2007, http://www.statewatch.org/news/2007/jun/eu-us-pnr-hustinx-letter.pdf (zuletzt geprüft am 15.03.2015). – Stellungnahme des Europäischen Datenschutzbeauftragten zu der Mitteilung der Kommission über das sektorübergreifende Konzept für die Übermittlung von Fluggastdatensätzen (PNR) an Drittländer, ABl. C 357 v. 30.12.2010, S. 3–11, 19.10.2010. – Factsheet EU-US Negotiations on Data Protection, Juni 2014, http://ec.europa.eu/justice/ data-protection/files/factsheets/umbrella_factsheet_en.pdf (zuletzt geprüft am 15.03.2015). Europäischer Rat, Erklärung zum Kampf gegen den Terrorismus des Europäischen Rates, 25.03.2004, http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/de/ec/79640. pdf. (zuletzt geprüft am 15.03.2015). Europäischer Wirtschafts- und Sozialausschuss, Stellungnahme des Europäischen Wirtschaftsund Sozialausschusses zu dem „Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über die Verwendung von Fluggastdatensätzen zu Zwecken der Verhütung, Aufdeckung, Aufklärung und strafrechtlichen Verfolgen von terroristischen Straftaten und schwerer Kriminalität“, ABl. C 218 v. 23.07.2011, S. 107 ff. Europäisches Parlament, Bericht über den Vorschlag für einen Beschluss des Rates über den Abschluss eines Abkommens zwischen der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs and Border Protection des US Department of Homeland Security (KOM(2004) 190  – C5-0162/2004  – 2004/0064(CNS)), Ausschuss für die Freiheiten und Rechte der Bürger, Justiz und innere Angelegenheiten – Berichterstatterin Johanna L. A. Boogerd-Quaak. – Entschließung des Europäischen Parlaments zur Übermittlung personenbezogener Daten durch Luftfahrtgesellschaften bei transatlantischen Flügen  – Weitergabe personenbezogener Daten durch Luftfahrtgesellschaften an die Einwanderungsbehörde der Vereinigten Staaten, 13.03.2003, ABl. C 61 E v. 10.03.2004, 381–384. – Entschließungsantrag zu einer Entschließung des Europäischen Parlaments zu dem Entwurf einer Entscheidung der Kommission über die Angemessenheit des Schutzes personenzogener Daten, die in den Fluggastdatensätzen (PNR) enthalten sind, welche dem United Bureau of Customs and Border Protection (Zoll- und Grenzschutzbehörde der Vereinigten Staaten) übermittelt werden, 19.03.2004, http://www.europarl.europa.eu/sides/getDoc. do?pubRef=-//EP//NONSGML+MOTION+B-2004-0156+0+DOC+PDF+V0//DE (zuletzt geprüft am 15.03.2015). – Entschließung des Europäischen Parlaments zu der SWIFT, dem Abkommen über Fluggastdatensätze und dem transatlantischen Dialog über diese Themen, P6_TA(2007)0039, 14.02.2007. – Entschließung des Europäischen Parlaments vom 12.  Juli 2007 zum Abkommen mit den Vereinigten Staaten von Amerika über Fluggastdatensätze, P6_TA(2007)0347, 12.07.2007. – Entschließung des Europäischen Parlaments zu Maßnahmen zur Terrorismusbekämpfung, P8_TA(2015)0032, 11.02.2015.

628

Literaturverzeichnis

– Legislative Entschließung des Europäischen Parlaments vom 11. Februar 2010 zu dem Vorschlag für einen Beschluss des Rates über den Abschluss des Abkommens zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der Europäischen Union an die Vereinigten Staaten für die Zwecke des Programms zum Aufspüren der Finanzierung des Terrorismus (05305/1/2010 REV 1 – C7-0004/2010 – 2009/0190(NLE)), 11.02.2010, http://www.europarl. europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2010-0029+0+DOC+XML+ V0//DE (zuletzt geprüft am 15.03.2015). – Entschließung des Europäischen Parlaments vom 5.  Mai 2010 zum Start der Verhandlungen über Abkommen über Fluggastdatensätze mit den USA, Australien und Kanada, P7_TA(2010)0144, 05.05.2010, http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-// EP//TEXT+TA+P7-TA-2010-0144+0+DOC+XML+V0//DE (zuletzt geprüft am 15.03.2015). – Pressemitteilung – Parlament stimmt Fluggastdatenabkommen mit den USA zu, 19.04.2012, http://www.europarl.europa.eu/news/de/news-room/content/20120419IPR43404/html/Par lament-stimmt-Fluggastdatenabkommen-mit-den-USA-zu (zuletzt geprüft am 15.03.2015). – Pressemitteilung – Parlament droht mit Konsequenzen, falls USA Massenüberwachung nicht einstellt, 12.03.2014, http://www.europarl.europa.eu/pdfs/news/expert/infopress/20140307 IPR38203/20140307IPR38203_de.pdf (zuletzt geprüft am 15.03.2015). – Press Release – MEPs debate plans to use EU Passenger Name Record (PNR) data to fight terrorism, 11.11.2014, http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NON SGML+IM-PRESS+20141110IPR78121+0+DOC+PDF+V0//EN&language=DE (zuletzt geprüft am 15.03.2015). – Press Release – MEPs refer EU-Canada air passenger data deal to the EU Court of Justice, 25.11.2014, http://www.europarl.europa.eu/pdfs/news/expert/infopress/20141121IPR79818/ 20141121IPR79818_en.pdf (zuletzt geprüft am 15.03.2015). Europäisches Parlament – Fachabteilung Bürgerrechte und Konstitutionelle Angelegenheiten, Die Überwachungsprogramme der USA und ihre Auswirkungen auf die Grundrechte der EU-Bürger, 2013, http://www.europarl.europa.eu/RegData/etudes/note/join/2013/474405/ IPOL-LIBE_NT%282013 %29474405_DE.pdf (zuletzt geprüft am 15.03.2015). European Commission, Commission decisions on the adequacy of the protection of personal data in third countries, http://ec.europa.eu/justice/data-protection/document/internationaltransfers/adequacy (zuletzt geprüft am 15.03.2015). – List of companies for which the EU BCR cooperation procedure is closed, http://ec.europa. eu/justice/data-protection/document/international-transfers/binding-corporate-rules/bcr_ cooperation/index_en.htm (zuletzt geprüft am 15.03.2015). – Draft Commission Decision on the adequate protection of personal data contained in the PNR of air passengers transferred to United States’ Bureau of Customs and Border Protection, 2004, http://www.statewatch.org/news/2004/mar/com-draft-dec-adequacy-usa.pdf (zuletzt geprüft am 15.03.2015). – Commission Staff Working Paper – An EC-U. S. Agreement on Passenger Name Records (PNR), SEC(2004) 81, 21.01.2004, Commission Staff Working Paper – An EC-U. S. Agreement on Passenger Name Records (PNR), SEC(2004) 81.

Literaturverzeichnis

629

– Special Eurobarometer 359 – Attitudes on Data Protection and Electronic Identity in the European Union, 2011, http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf (zuletzt geprüft am 15.03.2015). – Press Release: Restoring Trust in EU-US data flows – Frequently Asked Questions, MEMO/ 13/1059, 27.11.2013, http://europa.eu/rapid/press-release_MEMO-13-1059_de.htm (zuletzt geprüft am 15.03.2015). European Commission, US Customs, European Commission/US Customs talks on PNR transmission – 17/18 February Joint statement, 19.02.2003, http://ec.europa.eu/transport/air/doc/ security_2003_02_17_prn_joint_declaration.pdf (zuletzt geprüft am 15.03.2015). European Parliament, Press Release – EU Passenger Name Record talks on hold in Council until Lisbon Treaty is ratified, 06.10.2009, http://www.europarl.europa.eu/sides/getDoc.do?langu age=it&type=IM-PRESS&reference=20091006IPR61955. (zuletzt geprüft am 15.03.2015). – Press Release:  Civil Liberties Committee rejects EU Passenger Name Record proposal, 24.04.2013, http://www.europarl.europa.eu/news/de/news-room/content/20130422IPR07523/ html/Civil-Liberties-Committee-rejects-EU-Passenger-Name-Record-proposal (zuletzt geprüft am 15.03.2015). Europol, Data Protection at Europol, https://www.europol.europa.eu/sites/default/files/publi cations/europol_dpo_booklet_0.pdf (zuletzt geprüft am 15.03.2015). EU-US Summit, Joint Statement – Presseerklärung zum EU-US Gipfel am 26.03.2014, 26.03.2014, http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/ec/141920.pdf (zuletzt geprüft am 15.03.2015). Facebook, Safe Harbor-Rechtshinweis, https://www.facebook.com/safeharbor.php (zuletzt geprüft am 15.03.2015). Fainberg, Anthony, Aviation Security in the United States: Current and Future Trends, Transportation Law Journal 25 (1998), S. 175–203. Faull, Jonathan, The Role of the European Commission in Tackling Terrorism: the Example of Passenger Name Records, in: Arnull, Anthony/Barnard, Catherine/Dougan, Michael u. a. (Hrsg.), A constitutional order of states?, Essays in EU law in honour of Alan Dashwood, Oxford England, Portland, OR 2011, S. 609–620. Federal Trade Commission, About the FTC, http://www.ftc.gov/about-ftc (zuletzt geprüft am 15.03.2015). – Fair Information Practice Principles, http://web.archive.org/web/20130403122213/http:// www.ftc.gov/reports/privacy3/fairinfo.shtm (zuletzt geprüft am 15.03.2015). – FTC Staff Proposes Online Behavioral Advertising Privacy Principles, 20.12.2007, http:// www.ftc.gov/news-events/press-releases/2007/12/ftc-staff-proposes-online-behavioraladvertising-privacy (zuletzt geprüft am 15.03.2015). Ferid, Murad/Heldrich, Andreas/Henrich, Dieter/Sonnenberger, Hans Jürgen (Hrsg.), Konflikt und Ordnung, Festschrift für Murad Ferid zum 70. Geburtstag, München 1978. Filip, Alexander, Binding Corporate Rules (BCR) aus der Sicht einer Datenschutzaufsichtsbehörde, ZD 2013, S. 51–60.

630

Literaturverzeichnis

Fishman, William L., Introduction to Transborder Data Flows, Stan. J. Int’l L. 16 (1980), S. 1–26. Fontanella-Khan, James, Washington pushed EU to dilute data protection, 12.06.2013, http:// www.ft.com/cms/s/0/42d8613a-d378-11e2-95d4-00144feab7de.html#axzz2ne0JhAp9 (zuletzt geprüft am 15.03.2015). Fontelles, Josep Borrell, Brief an Kommissionspräsident Barrosso bezüglich des PNR-Urteils des EuGH und eines PNR Abkommens auf Grundlage der Dritten Säule, 09.06.2006, http://www.statewatch.org/news/2006/jun/eu-usa-pnr-borrell-letter2.pdf (zuletzt geprüft am 15.03.2015). Forgó, Nikolaus/Krügel, Tina/Müllenbach, Kathrin, Zur datenschutz- und persönlichkeitsrechtlichen Zulässigkeit von Google Street View, CR 2010, S. 616–624. Frank, Armin Paul (Hrsg.), Übersetzen, verstehen, Brücken bauen, Geisteswissenschaftliches und literarisches Übersetzen im internationalen Kulturaustausch, Berlin 1993. Frankfurter Allgemeine Zeitung, Grundsatzrede zur NSA-Überwachung – Obama: Wir werden uns nicht entschuldigen, 17.01.2014, http://www.faz.net/aktuell/politik/ausland/amerika/ grundsatzrede-zur-nsa-ueberwachung-obama-wir-werden-uns-nicht-entschuldigen12757016.html (zuletzt geprüft am 15.03.2015). – Abhöraffäre – EU-Parlament nimmt „Handlanger der NSA“ ins Visier, 12.02.2014, http:// www.faz.net/aktuell/politik/europaeische-union/abhoeraffaere-eu-parlament-nimmt-hand langer-der-nsa-ins-visier-12798408.html (zuletzt geprüft am 15.03.2015). Freese, Jan, International data flow, Lund 1979. Frenz, Walter, Europäischer Datenschutz und Terrorabwehr, EuZW 2009, S. 6–8. Fried, Charles, Privacy, in: Hughes, Graham (Hrsg.), Law, Reason and Justice, Essays in Legal Philosophy 1969, S. 45–69. Frosch-Wilke, Dirk, Data Warehouse, OLAP und Data Mining, State of the Art und zukünftige Entwicklungen, DuD 2003, S. 597–608. Fuchs, Wolfgang/Mundt, Jörn W./Zollondz, Hans-Dieter (Hrsg.), Lexikon Tourismus, Destinationen Gastronomie Hotellerie Reisemittler Reiseveranstalter Verkehrsträger, 1.  Aufl., München 2008. Gabler Verlag (Hrsg.), Gabler Wirtschaftslexikon, Stichwort: Verkehr, http://wirtschaftslexikon. gabler.de/Archiv/55416/verkehr-v6.html (zuletzt geprüft am 15.03.2015). Geercken, Karl/Holden, Kelly/Rath, Michael/Surguy, Mark/Stretton, Tracey, Irreconcilable Differences? Navigating Cross-Border E-Discovery, How best to understand and deal with the conflict between e-discovery and data protection principles, CRi 2013, S. 44–55. Gellman, Barton/Blake, Aaron/Miller, Greg, Edward Snowden comes forward as source of NSA leaks, 09.06.2013, http://www.washingtonpost.com/politics/intelligence-leaders-pushback-on-leakers-media/2013/06/09/fff80160-d122–11e2-a73e-826d299ff459_story.html (zuletzt geprüft am 15.03.2015). Gellman, Barton/Blustein, Paul/Linzer, Dafna, Bank Records Secretly Tapped, 23.06.2006, http:// www.washingtonpost.com/wp-dyn/content/article/2006/06/23/AR2006062300167.html (zuletzt geprüft am 15.03.2015).

Literaturverzeichnis

631

Gellman, Barton/Poitras, Laura, U. S., British intelligence mining data from nine U. S. Internet companies in broad secret program, 06.06.2013, http://www.washingtonpost.com/ investigations/us-intelligence-mining-data-from-nine-us-internet-companies-in-broad-secretprogram/2013/06/06/3a0c0da8-cebf-11e2-8845-d970ccb04497_story.html (zuletzt geprüft am 15.03.2015). Genz, Alexander, Datenschutz in Europa und den USA, Eine rechtsvergleichende Untersuchung unter besonderer Berücksichtigung der Safe-Harbor-Lösung, Wiesbaden 2004. Gerhartinger, Hartwig, Die Google-Datenschutzerklärung auf dem Prüfstand, Zugewinn an Transparenz oder Eingriff in die Privatsphäre, ZD 2012, S. 303–308. Giegerich, Thomas, Privatwirkung der Grundrechte in den USA, Die State Action Doctrine des US Supreme Court und die Bürgerrechtsgesetzgebung des Bundes, Berlin, Heidelberg 1992. Giesen, Thomas, Imperiale und totalitäre Züge des Kommissionsentwurfs für eine europäische Datenschutzverordnung, Eine grundsätzliche Betrachtung zur Regelungskompetenz der EU für den Datenschutz, CR 2012, S. 550–556. Gnüchtel, Ralf, § 31  a PolG  – Übermittlung von Fluggastdaten, in: Heesen, Bundespolizeigesetz, 5. Aufl., Hilden 2012. Goecke, Robert, Yield-Management-Systeme, in: Schulz, Axel/Weithörner, Uwe/Goecke,­ Robert (Hrsg.), Informationsmanagement im Tourismus, E-Tourismus: Prozesse und Systeme, München 2010, S. 146–166. Gola, Peter/Klug, Christoph/Körffer, Barbara/Schomerus, Rudolf, BDSG, 11. Aufl., München 2012. Gola, Peter/Schulz, Sebastian, Der Entwurf für eine EU-Datenschutz-Grundverordnung – eine Zwischenbilanz, RDV 2013, S. 1–7. Götting, Horst-Peter, § 69 Vereinigte Staaten von Amerika (USA), in: Götting, Horst-Peter/ Schertz, Christian/Seitz, Walter (Hrsg.), Handbuch des Persönlichkeitsrechts, München 2008. Götting, Horst-Peter/Schertz, Christian/Seitz, Walter (Hrsg.), Handbuch des Persönlichkeitsrechts, München 2008. Götz, Christopher, Grenzüberschreitende Datenübermittlung im Konzern, Zulässigkeit nach BDSG und Entwurf der EU-DS-GVO, DuD 2013, S. 631–638. Grabitz, Eberhard/Hilf, Meinhard/Nettesheim, Martin (Hrsg.), Das Recht der EU, 13. Aufl., München Mai 2009. Grapentin, Sabine, Datenschutz und Globalisierung  – Binding Corporate Rules als Lösung, CR 2009, S. 693–699. Greenleaf, Graham, Five Years of the APEC Privacy Framework: Failure or promise?, Computer Law & Security Review 25 (2009), S. 28–43. Greenwald, Glen, NSA collecting phone records of millions of Verizon customers daily, 05.06.2013, http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-courtorder (zuletzt geprüft am 15.03.2015).

632

Literaturverzeichnis

Greenwald, Glen/MacAskill, Ewen, NSA Prism program taps in to user data of Apple, Google and others, 06.06.2013, http://www.theguardian.com/world/2013/jun/06/us-tech-giants-nsadata (zuletzt geprüft am 15.03.2015). Greenwald, Glen/MacAskill, Ewen/Poitras, Laura, Edward Snowden: the whistleblower behind the NSA surveillance revelations, 09.06.2013, http://www.theguardian.com/world/2013/ jun/09/edward-snowden-nsa-whistleblower-surveillance (zuletzt geprüft am 15.03.2015). Greer, Damon, Safe Harbor – ein bewährter Rechtsrahmen, RDV 2011, S. 267–273. Gridl, Rudolf, Zusatzprotokoll zur Datenschutzkonvention, CR 1999, S. 279–280. Gropp, Martin/Lindner, Alexander, Facebook-Chefin klagt über Deutsche, Frankfurter Allgemeine Zeitung 20.04.2013, S. 11. Guckelberger, Annette, Anmerkung zu EuGH, Urt. v. 09.11.2010, C-92, 93/09  – Schecke, EuZW 2010, S. 946–947. – Veröffentlichung der Leistungsempfänger von EU-Subventionen und unionsgrundrechtlicher Datenschutz, EuZW 2011, S. 126–130. Guild, Elspeth/Brouwer, Evelien, The Political Life of Data: The ECJ Decision on the PNR agreement between the EU and the US. CEPS Policy Brief, CEPS Policy Brief No. 110 26.07.2006. Gunasekara, Gehan, The „Final“ Privacy Frontier? Regulating Trans-Border Data Flows, Int J Law Info Tech 17 (2009), S. 147–179. Hahn, Oliver, Data Warehousing und Data Mining in der Praxis, DuD 2003, S. 605–608. Hahn, Ulrich, Datenschutzrecht und grenzüberschreitender Datenverkehr, Frankfurt am Main, Berlin, Darmstadt 1994. Han, Jiawei/Kamber, Micheline/Pei, Jian, Data mining – Concepts and techniques, 3. Aufl., Amsterdam, Heidelberg 2012. Hanschmann, Felix, Das Verschwinden des Grundrechts auf Datenschutz gegen hoheitliche Maßnahmen in der Pluralität von  Rechtsregimen, in: Matz-Lück, Nele/Hong, Mathias (Hrsg.), Grundrechte und Grundfreiheiten im Mehrebenensystem  – Konkurrenzen und Interferenzen, Heidelberg 2012, S. 293–337. Hansen, Marit/Weichert, Thilo, Samuel D. Warren, Louis D. Brandeis „Das Recht auf Privatheit – The Right to Privacy“, DuD 2012, S. 755–766. Hart, Thomas/Welzel, Carolin/Garstka, Hansjürgen (Hrsg.), Informationsfreiheit, Die „gläserne Bürokratie“ als Bürgerrecht, Gütersloh 2004. Härting, Niko, Datenschutzreform in Europa: Einigung im EU-Parlament, Kritische Anmerkungen, CR 2013, S. 715–721. Harvard Law Review Developments in the Law, State Action and the Public/Private Distinction, Harvard Law Review 123 (2009/2010), S. 1248–1314. Hasbrouck, Edward, Total Travel Information Awareness  – Travel Data and Privacy, http:// hasbrouck.org/articles/travelprivacy.html#history (zuletzt geprüft am 15.03.2015).

Literaturverzeichnis

633

– What’s in a Passenger Name Record (PNR)?, http://hasbrouck.org/articles/PNR.html (zuletzt geprüft am 15.03.2015). – Why I’m suing the Department of Homeland Security, 25.08.2010, http://www.hasbrouck. org/blog/archives/001887.html (zuletzt geprüft am 15.03.2015). Hay, Peter, US-amerikanisches Recht, Ein Studienbuch, 5. Aufl., München, Wien 2011. Hecking, Claus, EU-Abgeordnete wollen Swift-Abkommen aussetzen, 09.09.2013, http://www. spiegel.de/netzwelt/netzpolitik/nsa-spionage-eu-abgeordnete-wollen-swift-abkommenstoppen-a-921235.html (zuletzt geprüft am 15.03.2015). Heesen, Dietrich (Hrsg.), Bundespolizeigesetz, Verwaltungs-Vollstreckungsgesetz, Gesetz über den unmittelbaren Zwang; Kommentar, 5. Aufl., Hilden 2012. heise online, Bericht: Innenministerium plant sichere „Bundes-Cloud“, 19.12.2011, http://www. heise.de/security/meldung/Bericht-Innenministerium-plant-sichere-Bundes-Cloud1398081.html (zuletzt geprüft am 15.03.2015). – EU-Datenschutzreform: Klausel gegen NSA-Spionage gestrichen, 13.06.2013, http://www. heise.de/newsticker/meldung/EU-Datenschutzreform-Klausel-gegen-NSA-Spionage-gestrichen-1887741.html (zuletzt geprüft am 15.03.2015). Heisenberg, Dorothee, Negotiating privacy, The European Union the United States and personal data protection, Boulder, Colo 2005. Henke, Ferdinand, Die Datenschutzkonvention des Europarates, Frankfurt am Main, New York 1986. Hentschel, Bernd/Schomerus, Rudolf, Grenzüberschreitender Datenverkehr, Der Arbeitgeber 1976, S. 149–153. Herdegen, Matthias, Legal Challenges for Transatlantic Economic Integration, Common­ Market Law Review 45 (2008), S. 1581–1609. Herrmann, Joachim, Modernisierung des Datenschutzrechts – ausschließlich eine europäische Aufgabe?, ZD 2012, S. 49. Heselhaus, F. Sebastian M./Nowak, Carsten (Hrsg.), Handbuch der europäischen Grundrechte, München, Wien, Bern 2006. Hijmans, Hielke/Scirocco, Alfonso, Shortcomings in EU Data Protection in the Third and the Second Pillars. Can the Lisbon Treaty be Expected to Help?, Common Market Law Review 46 (2009), S. 1485–1525. Hladjk, Jörg, Binding Corporate Rules für Auftragsverarbeiter, Datenschutz-Berater 2013, S. 42. Hoeren, Thomas, Datenschutz als Wettbewerbsvorteil, Das ungarische Datenschutzgesetz unter der ökonomischen Lupe, DuD 1996, S. 542–549. – EU-Standardsvertragsklauseln, BCR und Safe Harbor Principles – Instrumente für ein angemessenes Datenschutzniveau, RDV 2012, S. 271–324. Hoffmann-Riem, Wolfgang/Schmidt-Aßmann, Eberhard/Voßkuhle, Andreas (Hrsg.), Grundlagen des Verwaltungsrechts – Band II, 2. Aufl., München 2012.

634

Literaturverzeichnis

– Grundlagen des Verwaltungsrechts – Band III, 2. Aufl., München 2013. Holznagel, Bernd/Schumacher, Pascal, Google Street View aus verfassungsrechtlicher Sicht, JZ 2011, S. 57–65. Hondius, Frits W., Emerging data protection in Europe, Amsterdam, New York 1975. – A Decade of International Data Protection, Netherlands International Law Review 30 (1983), S. 103–128. Hoofnagle, Chris Jay, European Commission Directorate-General Justice, Freedom and Security, Comparative Study on Different Approaches to New Privacy Challenges, in Particular in the Light of Technological Developments – Country Report: United States of America, 2010, http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_ report_country_report_B1_usa.pdf (zuletzt geprüft am 15.03.2015). Hornung, Gerrit, Fortentwicklung des datenschutzrechtlichen Regelungssystems des Europarats, Das Zusatzprotokoll über Kontrollstellen und grenzüberschreitenden Datenverkehr ist in Kraft getreten, DuD 2004, S. 719–722. – Datenschutz durch Technik in Europa, Die Reform der Richtlinie als Chance für ein modernes Datenschutzrecht, ZD 2011, S. 51–56. – Eine Datenschutz-Grundverordnung für Europa?, Licht und Schatten im Kommissions­ entwurf vom 25.1.2012, ZD 2012, S. 99–106. Hornung, Gerrit/Boehm, Franziska, Comparative Study on the 2011 Draft Agreement between the United States of America and the European Union on the use and transfer of Passenger Name Records (PNR) to the United States Department of Homeland Security, Studie für die Fraktion The Greens/European Free Alliance im Europaparlament, 14.03.2012, http://www. greens-efa.eu/fileadmin/dam/Documents/Studies/PNR_Study_final.pdf (zuletzt geprüft am 15.03.2015). Hornung, Gerrit/Sädtler, Stephan, Europas Wolken, Die Auswirkungen des Entwurfs für eine Datenschutz-Grundverordnung auf das Cloud Computing, CR 2012, S. 638–645. Hughes, Graham (Hrsg.), Law, Reason and Justice, Essays in Legal Philosophy 1969. Hummer, Waldmar, Die SWIFT-Affaire, US-Terrorismusbekämpfung versus Datenschutz, Archiv des Völkerrechts 49 (2011), S. 203–245. Hustinx, Peter, Ein klares Signal für stärkeren EU-Datenschutz, ZD 2013, S. 301–302. ICAO, Doc 9944 – Guidelines on Passenger Name Record (PNR) Data, 2010, http://www.iata. org/iata/passenger-data-toolkit/assets/doc_library/04-pnr/New%20Doc%209944 %201st% 20Edition%20PNR.pdf (zuletzt geprüft am 15.03.2015). ICO – Information Commissioner’s Office, Data Protection Act 1998 – The eighth data protection principle and international data transfers, The Information Commissioner’s recommended approach to assessing adequacy including consideration of the issue of contractual solutions, binding corporate rules and Safe Harbor., http://www.ico.org.uk/upload/documents/ library/data_protection/detailed_specialist_guides/international_transfers_legal_guidance_ v2.0_300606.pdf (zuletzt geprüft am 15.03.2015).

Literaturverzeichnis

635

in ’t Veld, Sophia, Entwurf einer Empfehlung an den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres zu dem Entwurf eines Beschlusses des Rates über den Abschluss des Abkommens zwischen den Vereinigten Staaten von Amerika und der Europäischen Union über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of Homeland Security, PE 480.773v01-00, 01.02.2012, http://www.europarl.europa.eu/ sides/getDoc.do?pubRef=-//EP//TEXT+COMPARL+PE-480.773+01+NOT+XML+V0//DE (zuletzt geprüft am 15.03.2015). Inness, Julie C., Privacy, intimacy and isolation, New York 1992. Isensee, Josef/Kirchhoff, Paul (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Band V, Heidelberg 1992. ITWissen, Daten, http://www.itwissen.info/definition/lexikon/Daten-data.html (zuletzt geprüft am 15.03.2015). Jamouneau, Greg, New Regs Govern Overseas Disclosure and Use of Taxpayer Information, 22.01.2009, http://www.journalofaccountancy.com/web/overseasdisclosureanduseoftaxpayer info.htm (zuletzt geprüft am 15.03.2015). Jarvis Thomson, Judith, The Right to Privacy, Philosophy & Public Affairs 4 (1975), S. 295–314. Johlen, Heribert, Artikel 8 GRCh, in: Tettinger, Peter J./Stern, Klaus (Hrsg.), Kölner Gemeinschaftskommentar zur Europäischen Grundrechte-Charta, München 2006, S. 301–313. Jonas, Jeff/Harper, Jim, Effective Counterterrorism and the Limited Role of Predictive Data­ Mining, 11.12.2006, http://www.cato.org/pubs/pas/pa584.pdf (zuletzt geprüft am 15.03.2015). Jotzo, Florian, Gilt deutsches Datenschutzrecht auch für Google, Facebook & Co. bei grenzüberschreitendem Datenverkehr?, MMR 2009, S. 232–237. – Der Schutz personenbezogener Daten in der Cloud, Bd. 41, Baden-Baden 2013. Jourard, Sidney M., Some Psychological Aspects of Privacy, Law and Contemporary Problems 31 (1966), S. 307–318. Judt, Tony, Postwar – A history of Europe since 1945 2005. Junker, Abbo, Electronic Discovery gegen deutsche Unternehmen, Rechtliche Grenzen und­ Abwehrstrategien, Frankfurt am Main 2008. Kahler, Thomas, Die Europarechtswidrigkeit der Kommissionsbefugnisse in der Grundverordnung, Oder: Die überfällige Reform der deutschen und europäischen Datenschutzaufsicht, RDV 2013, S. 69–72. Karg, Moritz, Die Rechtsfigur des personenbezogenen Datums. Ein Anachronismus des Datenschutzes?, ZD 2012, S. 255–261. Karpenstein, Peter, Zur Zuständigkeit der Europäischen Gemeinschaften auf dem Gebiete des Datenschutzes, in: Bieber, Roland u. a. (Hrsg.), Das Europa der zweiten Generation, Kehl am Rhein 1981, S. 889–908. Keating, Dave, Committee asked to reconsider passenger data plan, 13.06.2013, http://www.europe anvoice.com/article/imported/committee-asked-to-reconsider-passenger-data-plan/77500. aspx?bPrint=1 (zuletzt geprüft am 15.03.2015).

636

Literaturverzeichnis

Keden, Martin, Der Zusammenschlussfall GE/Honeywell, Hamburg, Kiel 2005. Kehaulani Goo, Sara, Faulty „No-Fly“ System Detailed, The Washington Post 09.10.2004, S. A01. Kingreen, Thorsten, Art. 8 GRCh, in: Calliess/Ruffert, EUV, AEUV, 4. Aufl., München 2011. Kirby, Michael D., Transborder Data Flows and the „Basic Rules“ of Data Privacy, Stan. J. Int’l L. 27 (1980), S. 27–66. Kirkhope, Timothy, Draft Report on the proposal for a directive of the European Parliament and of the Council on the use of Passenger Name Record data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime, 2011/0023(COD), 14.02.2012, http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/891/891415/ 891415en.pdf (zuletzt geprüft am 15.03.2015). Klein, Daniel R., Umweltinformation im Völker- und Europarecht, Aktive Umweltaufklärung des Staates und Informationszugangsrechte des Bürgers, Tübingen 2011. Kloepfer, Michael/Neun, Andreas, Informationsrecht, München 2002. Klug, Christoph, Persönlichkeitsschutz beim Datentransfer in die USA  – Die Safe-Harbor-­ Lösung, RDV 2000, S. 212–216. Knecht, Matthias, Artikel 8 GRCh, in: Schwarze, Jürgen (Hrsg.), EU-Kommentar, 3. Aufl., Baden-Baden, Wien, Basel 2012, S. 2632–2634. Koesters, Jan/Lachenmaier, Andreas/van Bergen, Jack/Wagner, Nikias/Winter, Markus/Wirtz, Anika, Who cares about Strasbourg? The Role of the European Parliament in the PNR Agreements Maastricht European Studies Papers, 2010, http://www.fdcw.unimaas.nl/mesp/ Papers%20 %282006 %29/MESP_Koesters%20et%20al.%20_2010_.%20Role%20of%20 EP%20in%20PNR%20Agreements_PUBLICATION.pdf (zuletzt geprüft am 15.03.2015). Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2012, Stellungnahme der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zur DatenschutzGrundverordnung, 11.06.2012, https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/EU-Daten schutz_DSK/Stellungnahme_der_DSK_zur_Datenschutz-Grundverordnung.pdf (zuletzt geprüft am 15.03.2015). – Stellungnahme der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zur Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, 11.06.2012, https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/EU-Datenschutz_DSK/Stel lungnahme_der_DSK_zur_JI-Richtlinie.pdf (zuletzt geprüft am 15.03.2015). Konferenz der Datenschutzbeauftragten des Bundes und der Länder 2013, Pressemitteilung Datenschutzkonferenz: Geheimdienste gefährden massiv den Datenverkehr zwischen Deutschland und außereuropäischen Staaten, 24.07.2013, www.bfdi.bund.de/DE/Home/homepage_ Kurzmeldungen2013/PMDerDSK_SafeHarbor.html (zuletzt geprüft am 15.03.2015). Korff, Douwe, Comparative Study on Different Approaches to New Privacy Challenges, in Particular in the Light of Technological Developments – Working Paper No. 2 – Data protection laws in the EU: The difficulties in meeting the challenges posed by global social and technical developments, 2010, http://ec.europa.eu/justice/policies/privacy/docs/studies/new_ privacy_challenges/final_report_working_paper_2_en.pdf (zuletzt geprüft am 15.03.2015).

Literaturverzeichnis

637

Kramer, Philipp, „Licht und Schatten“ im künftigen EU-Datenschutzrecht, Datenschutz-Berater 2012, S. 57–60. – Deutsches Datenschutzrecht beschränkt Facebook nicht, Datenschutz-Berater 2013, S. 72–73. Kreczy, Annette, Informationsmanagement bei Fluggesellschaften, in: Schulz, Axel/Weithörner, Uwe/Goecke, Robert (Hrsg.), Informationsmanagement im Tourismus, E-Tourismus: Prozesse und Systeme, München 2010, S. 29–48. Kringiel, Danny, Qaida-Terrorist Richard Reid – Der Mann, der uns die Schuhe auszog, http:// einestages.spiegel.de/external/ShowTopicAlbumBackground/a27181/l0/l0/F.html (zuletzt ge­ prüft am 15.03.2015). Kropf, John W., Guide to U. S. government practice on global sharing of personal information, Chicago, Ill 2012. Krouse, William J./Elias, Bart, Congressional Research Service Report for Congress – Terrorist Watchlist Checks and Air Passenger Prescreening, 30.12.2009, http://www.fas.org/sgp/crs/ homesec/RL33645.pdf (zuletzt geprüft am 15.03.2015). Krouse, William J./Elias, Bart/Rappaport, Ed, Congressional Research Service Report for Congress – Homeland Security: Air Passenger Prescreening and Counterterrorism, 04.03.2005, http://www.hsdl.org/?view&did=452236 (zuletzt geprüft am 15.03.2015). Kugelmann, Dieter, Datenschutz bei Polizei und Justiz, Der Richtlinienvorschlag der Kommission, DuD 2012, S. 581–583. Kuhelj, Alenka, The Twilight Zone of Privacy for Passengers on International Flights between the EU & USA, U. C. Davis Journal of International Law and Policy 16 (2010), S. 383–436. Kühling, Jürgen/Klar, Manuel, Transparenz vs. Datenschutz – erste Gehversuche des EuGH bei der Anwendung der Grundrechtecharta, Anmerkung zu EuGH, Urt. v. 9.1.2010, Rs. C-92/09 und C-93/09 Schecke und Eifert, JURA 2011, S. 771–777. Kuner, Christopher, Regulation of Transborder Data Flows under Data Protection and Privay Law: Past, Present and Future, OECD Digital Economy Papers, No. 187 2011. – Table of Data Protection and Privacy Law Instruments Regulating Transborder Data Flows, 01.03.2011, http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1783782 (zuletzt geprüft am 15.03.2015). – Transborder data flows and data privacy law, Oxford 2013. – „You Just Don’t Understand“: The Current EU-U. S. Privacy Battles, 28.02.2013, https://www. privacyassociation.org/privacy_perspectives/post/you_just_dont_understand_the_current_ eu_u.s._privacy_battles (zuletzt geprüft am 15.03.2015). – The Transatlantic Divide Over Data Privacy Rights, 20.05.2013, https://www.privacyassoci ation.org/privacy_perspectives/post/the_transatlantic_divide_over_data_privacy_rights (zuletzt geprüft am 15.03.2015). Kuner, Christopher/Hladjk, Jörg, Die alternativen Standardvertragsklauseln der EU für internationale Datenübermittlungen, RDV 2005, S. 193–201. Lang, Markus, Reform des EU-Datenschutzrechts, Einheitliche Regelungen mit hohem Datenschutzniveau geplant, K&R 2012, S. 145–151.

638

Literaturverzeichnis

Lavranos, Nikolaos, Datenschutz in Europa am Beispiel der Datenschutzrichlinien, des Schengen Information System (SIS) und Europol, DuD 1996, S. 400–408. Lee, Timothy B., Report: NSA asked Verizon for records of all calls in the U. S., 05.06.2013, http://www.washingtonpost.com/blogs/wonkblog/wp/2013/06/05/nsa-asked-verizon-forrecords-of-all-calls-in-the-u-s/ (zuletzt geprüft am 15.03.2015). Lehmann, Michael/Giedke, Anna, Cloud Computing – technische Hintergründe für die terri­ torial gebundene rechtliche Analyse, Cloudspezifische Serververbindungen und eingesetzte Virtualisierungstechnik, CR 2013, S. 608–616. Lejeune, Mathias, Datenschutz in den Vereinigten Staaten von Amerika, CR 2013, S. 755–760. Lensdorf, Lars, Auftragsdatenverarbeitung in der EU/EWR und Unterdatenverarbeitung in Drittländern, Besonderheiten der neuen EU-Standardvertragsklauseln, CR 2010, S.  735– 741. Leutheusser-Schnarrenberger, Sabine, Vorratsdatenspeicherung – Ein vorprogrammierter Verfassungskonflikt, ZRP 2007, S. 9–13. – Zur Reform des europäischen Datenschutzrechts, MMR 2012, S. 709–710. von Lewinski, Kai, Geschichte des Datenschutzrechts von 1600 bis 1977, in: Arndt, Felix/Betz, Nicole u. a. (Hrsg.), Freiheit  – Sicherheit  – Öffentlichkeit, 48. Assistententagung Öffentliches Recht, Tagung der Wissenschaftlichen Mitarbeiterinnen und Mitarbeiter, Wissenschaftliche Assistentinnen und Assistenten, Baden-Baden, Basel 2009, S. 196–220. – Europäisierung des Datenschutzrechts, Umsetzungsspielraum des deutschen Gesetzgebers und Entscheidungskompetenz des BVerfG, DuD 2012, S. 564–570. Leyendecker, Hans/Mascolo Georg, „Die Amerikaner haben uns belogen“, 13.01.2014, http:// www.sueddeutsche.de/politik/kaum-hoffnung-auf-no-spy-abkommen-die-amerikanerhaben-uns-belogen-1.1862138 (zuletzt geprüft am 15.03.2015). Lichtblau, Eric/Risen, James, Bank Data Is Sifted by U. S. in Secret to Block Terror, 23.06.2006, http://www.nytimes.com/2006/06/23/washington/23intel.html?pagewanted=all&_r=0 (zuletzt geprüft am 15.03.2015). Lischka, Konrad, EU-Verordnung: Friedrich will Datenschutzregeln wieder ändern, 22.10.2013, http://www.heise.de/newsticker/meldung/EU-Datenschutzreform-Klausel-gegen-NSASpionage-gestrichen-1887741.html (zuletzt geprüft am 15.03.2015). Martenczuk, Bernd/van Thiel, Servaas (Hrsg.), Justice, liberty, security, New challenges for EU external relations, Brussels 2008. Masing, Johannes, Herausforderungen des Datenschutzes, NJW 2012, S. 2305–2311. – Ein Abschied von den Grundrechten, Die Europäische Kommission plant per Verordnung eine ausnehmend problematische Neuordnung des Datenschutzes, Süddeutsche Zeitung 09.01.2012, S. 10. Matz-Lück, Nele/Hong, Mathias (Hrsg.), Grundrechte und Grundfreiheiten im Mehrebenen­ system – Konkurrenzen und Interferenzen, Heidelberg 2012. McCarthy, J. Thomas, The rights of publicity and privacy, Volume 1, 2. Aufl., S. I. 2004.

Literaturverzeichnis

639

McGinley, Marie, Die Verarbeitung von Fluggastdaten für Strafverfolgungszwecke, DuD 2010, S. 250–253. Mehde, Veith, § 21 Datenschutz, in: Heselhaus, F. Sebastian M./Nowak, Carsten (Hrsg.), Handbuch der europäischen Grundrechte, München, Wien, Bern 2006, S. 608–630. Mendes de Leon, Pablo, The Fight Against Terrorism Through Aviation: Data Protection Versus Data Production, Air & Space Law 31 (2006), S. 320–330. Mendez, Mario, Passenger Name Record Agreement  – European Court of Justice, Annulment of Commission Adequacy Decision and Council Decision Concerning Conclusion of Passenger name Record Agreement with US – Grand Chamber Judgment of 30 May 2006, Joined cases C-317/04 and 318/04, European Parliament v. Council and Commission, European Constitutional Law Review 3 (2007), S. 127–147. Mengel, Hans-Joachim, Internationale Organisationen und transnationaler Datenschutz, Berlin 1984. Meyer, Josh/Miller, Greg, U. S. Secretly Tracks Global Bank Data, The Treasury Dept. program, begun after the Sept. 11 attacks, attempts to monitor terrorist financing but raises privacy concerns, http://articles.latimes.com/2006/jun/23/nation/na-swift23 (zuletzt geprüft am 15.03.2015). Meyer, Jürgen (Hrsg.), Charta der Grundrechte der Europäischen Union, Baden-Baden, Wien, Basel 2011. Michelman, Frank I., The State Action Doctrine, in: Amar, Vikram David/Tushnet, Mark V. (Hrsg.), Global perspectives on constitutional law, New York, NY 2009, S. 228–239. Miller, Arthur R., The Assault on Privacy, Computers, Data Banks and Dossiers 1971. – Der Einbruch in die Privatsphäre, Datenbanken und Dossiers 1973. Miller, Russel/Poscher, Ralf, Kampf der Kulturen – Präventiver Datenschutz, Frankfurter Allgemeine Zeitung 28.11.2013. Monroy, Matthias, Fluggastdaten: Bundesregierung bereitet Änderung des Luftsicherheitsgesetzes vor, 12.01.2015, https://netzpolitik.org/2015/fluggastdaten-bundesregierung-bereitetaenderung-des-luftsicherheitsgesetzes-vor (zuletzt geprüft am 15.03.2015). Moos, Flemming, Die EU-Standardvertragsklauseln für Auftragsverarbeiter 2010, Die wesentlichen Neuerungen und Kritikpunkte im Überblick, CR 2010, S. 281–286. – Die Entwicklung des Datenschutzrechts im Jahr 2012, K&R 2013, S. 150–157. Mundt, Jörn W., Tourismus, 3. Aufl., München, Wien 2006. – Buchungskode, in: Fuchs, Wolfgang/Mundt, Jörn W./Zollondz, Hans-Dieter (Hrsg.), Lexikon Tourismus, Destinationen Gastronomie Hotellerie Reisemittler Reiseveranstalter Verkehrsträger, 1. Aufl., München 2008. – Passenger Name Record (PNR), in: Fuchs, Wolfgang/Mundt, Jörn W./Zollondz, Hans-Dieter (Hrsg.), Lexikon Tourismus, Destinationen Gastronomie Hotellerie Reisemittler Reiseveranstalter Verkehrsträger, 1. Aufl., München 2008. Murray, Patrick J., The Adequacy Standard under Directive 95/46/EC: Does U. S. Data Protection meet this Standard, Fordham Int’l L. J. 21 (1997–1998), S. 932–1018.

640

Literaturverzeichnis

National Commission on Terrorist Attacks Upon the United States, The 9/11 Commission Report, 22.07.2004, http://www.9-11commission.gov/report/911Report.pdf (zuletzt geprüft am 15.03.2015). – The Aviation Security ­System and the 9/11 Attacks – Staff Statement No. 3, http://www. 9-11commission.gov/staff_statements/staff_statement_3.pdf (zuletzt geprüft am 15.03.2015). National Commission on Terrorist Attacks upon the United States/Kean, Thomas H./Hamilton, Lee H./United States. National Commission on Terrorist Attacks upon the United States, The 9/11 Commission Report, 1. Aufl., New York 2004. National Conference of State Legislatures, Privacy Protections in State Constitutions, 11.12.2013, http://www.ncsl.org/research/telecommunications-and-information-technology/privacyprotections-in-state-constitutions.aspx (zuletzt geprüft am 15.03.2015). Nebel, Maxi/Richter, Philipp, Datenschutz bei Internetdiensten nach der DS-GVO, Vergleich der deutschen Rechtslage mit dem Kommissionsentwurf, ZD 2012, S. 407–413. New Zealand Government, Government Use of Offshore Information and Communication Technologies (ICT) Service Providers, Advice on Risk management, April 2009, http://ict. govt.nz/assets/ICT-System-Assurance/offshore-ICT-service-providers-april-2009.pdf (zuletzt geprüft am 15.03.2015). Newman, Abraham L., Protectors of privacy, Regulating personal data in the global economy, Ithaca u. a 2008. Nielsen, Nikolaj/Rettman, Andrew, Russia blames EU for airline data fiasco, 11.06.2013, http:// euobserver.com/justice/120450 (zuletzt geprüft am 15.03.2015). Novotny, Eric J., Transborder Data Flows and International Law: A Framework for Policy-­ Oriented Inquiry, Stan. J. Int’l L. 16 (1980), S. 141–180. Nowak, John E./Rotunda, Ronald D./Young, Jesse Nelson, Constitutional law, 2. Aufl., St. Paul, Minn 1983. O’Harrow, Robert, Jr., Aviation ID System Stirs Doubts – Senate Panel Wants Data on Impact on Passenger Privacy, Washington Post 14.03.2003, S. A 16. OECD (Hrsg.), Policy issues in data protection and privacy, Concepts and perspectives; pro­ ceedings of the OECD seminar 24. to 26. June 1974, Paris 1976. OECD  – Working Party on Information Security and Privacy, Report on Compliance with, and Enforcement of, Privacy Protection Online, 12.02.2003, http://search.oecd.org/official documents/displaydocumentpdf/?doclanguage=en&cote=dsti/iccp/reg%282002 %295/ final. Otto-Rieke, Gerd (Hrsg.), Modernes Geschäftsreisemanagement/Modernes GeschäftsreiseManagement 2012, München 2011. Palandt (Hrsg.), Bürgerliches Gesetzbuch, Mit Nebengesetzen; insbesondere mit Einführungsgesetz (Auszug) einschließlich Rom I- und Rom II-Verordnungen, Allgemeines Gleich­ behandlungsgesetz (Auszug), BGB-Informationspflichten-Verordnung, Wohn- und Betreuungsvertragsgesetz, Unterlassungsklagengesetz, Produkthaftungsgesetz, Erbbaurechtsgesetz, Wohnungseigentumsgesetz, Versorgungsausgleichsgesetz, Lebenspartnerschaftsgesetz, Gewaltschutzgesetz, 69. Aufl., München 2010.

Literaturverzeichnis

641

Papakonstantinou, Vagelis, Self-regulation and the protection of privacy, Baden-Baden 2002. Papakonstantinou, Vagelis/de Hert, Paul, The PNR Agreement and transatlantic anti-terrorism co-operation: no firm human rights framework on either side of the Atlantic, Common­ Market Law Review 46 (2009), S. 885–919. Peers, Steve, statewatch Analysis: The Proposed Data Protection Regulation: What has the Council agreed so far?, 08.12.2014, http://www.statewatch.org/analyses/no-260-dp-reg-councilposition-consolidated-dec-14.pdf (zuletzt geprüft am 15.03.2015). Petersmann, Ernst-Ulrich/Pollack, Mark A. (Hrsg.), Transatlantic economic disputes, The EU, the US, and the WTO, Oxford, New York 2003. Peterson, Andrea, The White House’s draft of a consumer privacy bill is out – and even the FTC is worried, 27.02.2015, https://www.washingtonpost.com/blogs/the-switch/wp/2015/02/27/ the-white-houses-draft-of-a-consumer-privacy-bill-is-out-and-even-the-ftc-is-worried (zuletzt geprüft am 15.03.2015). Philipp, Otmar, Datenschutzrecht: Antrag auf Gutachten zum PNR-Abkommen mit Kanada, EuZW 2015, S. 4. Pompl, Wilhelm, Luftverkehr, Eine ökonomische und politische Einführung, 5. Aufl., Berlin, Heidelberg 2007. Posner, Richard A., The Economics of Justice, 2. Aufl., Cambridge, Mass 1983. Post, Robert C., Three Concepts of Privacy, Geo. L. J. 89 (2000/2001), S. 2087–2098. Prantl, Heribert, Ende einer Illusion, 14.01.2014, http://www.sueddeutsche.de/politik/no-spyabkommen-vor-dem-scheitern-der-ernst-der-nsa-abhoerlage-1.1862206 (zuletzt geprüft am 15.03.2015). Presidency of the Council of the European Union, Draft Council Decision on the signing, on behalf of the European Union, of an Agreement between the European Union and the United States of America on the processing and transfer of passenger name record (PNR) data by air carriers to the United States Department of Homeland Security, 28.06.2007, http://register.consilium.europa.eu/pdf/en/07/st11/st11354.en07.pdf (zuletzt geprüft am 15.03.2015). Prosser, William L., Privacy, California Law Review 48 (1960), S. 383–423. Rainie, Lee/Kiesler, Sara/Kang, Ruogu/Madden, Mary, Anonymity, Privacy, and Security Online, http://pewinternet.org/~/media//Files/Reports/2013/PIP_AnonymityOnline_090513.pdf (zuletzt geprüft am 15.03.2015). Rasmussen, D. Richard, Is International Travel per se Suspicion of Terrorism? The Dispute between the United States and European Union over Passenger Name Records Data Transfers, WIILJ 26 (2008), S. 551–590. Rat der Europäischen Union, Mitteilung an die Presse, 3081. Tagung des Rates, Justiz und Inneres, 11./12. April 2011, 8692/11. – Mitteilung an die Presse, 3162. Tagung des Rates, Justiz und Inneres, 26./27. April 2012, 9179/1/12 REV 1 (de).

642

Literaturverzeichnis

– Richtlinie 2004/82/EG des Rates vom 29. April 2004 über die Verpflichtung von Beförderungsunternehmen, Angaben über die beförderten Personen zu übermitteln (API-Richtlinie), ABl. L 261 v. 06.08.2004, S. 24–27. – Das Stockholmer Programm – Ein offenes und sicheres Europa im Dienste und zum Schutz der Bürger, 02.12.2009, http://register.consilium.europa.eu/pdf/de/09/st17/st17024.de09.pdf (zuletzt geprüft am 15.03.2015). Rath, Michael/Rothe, Britta, Cloud Computing: Ein datenschutzrechtliches Update, K&R 2013, S. 623–629. Räther, Philipp C., Die EU-US-Flugdaten-Affäre, Aus der Sicht der Betreiber von Datenbanken mit Fluggastdaten, DuD 2004, S. 468–471. Ravich, Timothy M., Is Airline Passenger Profiling Necessary?, U. Miami L. Rev. 62 (2007), S. 1–57. Rebentisch, André, 42 – Das Mysterium der Datenschutzreform, 13.02.2013, https://netzpolitik. org/2013/42-das-mysterium-der-datenschutzreform/ (zuletzt geprüft am 15.03.2015). Reding, Viviane, Sieben Grundbausteine der europäischen Datenschutzreform, ZD 2012, S. 195–198. Regan, Priscilla M., Legislating privacy  – Technology, social values, and public policy, 1995. – Safe Harbors or Free Frontiers? Privacy and Transborder Data Flows, Journal of Social­ Issues 59 (2003), S. 263–282. Reidenberg, Joel R., Restoring Americans’ Privacy in Electronic Commerce, Berkeley Tech. L. J. 14 (1999), S. 771–792. – Resolving Conflicting International Data Privacy Rules in Cyberspace, Stan. L. Rev. 52 (2000), S. 1315–1376. – E-Commerce and Trans-Atlantic Privacy, Houston Law Review 38 (2001), S. 717–749. Reiman, Jeffrey H., Privacy, intimacy, and personhood, in: Schoeman, Ferdinand David (Hrsg.), Philosophical dimensions of privacy, An anthology, Cambridge, New York 1984, S. 300–316. Rittweger, Christoph/Weiße, Björn, Unternehmensrichtlinien für den Datentransfer in Dritt­ länder, Die Bedeutung verbindlicher Unternehmensregelungen bei der Übermittlung personenbezogener Daten ins nichteuropäische Ausland, CR 2003, S. 142–149. Robertson, A. H./Merrills, J. G., Human rights in the world – An introduction to the study of the international protection of human rights, 3. Aufl., Manchester [England], New York, New York, NY, USA 1989. Rogall-Grothe, Cornelia, Ein neues Datenschutzrecht für Europa, ZRP 2012, S. 193–196. Ronellenfitsch, Michael, Fortentwicklung des Datenschutzes, Die Pläne der Europäischen Kommission, DuD 2012, S. 561–563. Roos, Megan, Safe on the Ground, Exposed in the Sky: The Battle Between the United States and the European Union over Passenger Name Information, Transnat’l L. & Contemp. Probs 14 (2005), S. 1137–1162.

Literaturverzeichnis

643

Rössler, Beate, Der Wert des Privaten, Frankfurt am Main 2001. Roßnagel, Alexander, Konzepte der Selbstregulierung, in: Roßnagel, Alexander (Hrsg.), Handbuch Datenschutzrecht, Die neuen Grundlagen für Wirtschaft und Verwaltung, München 2003, S. 387–436. – Datenschutzgesetzgebung – Monopol oder Vielfalt?, DuD 2012, S. 553–555. Roßnagel, Alexander (Hrsg.), Handbuch Datenschutzrecht, Die neuen Grundlagen für Wirtschaft und Verwaltung, München 2003. Rotenberg, Marc, Fair Information Practices and the Architecture of Privacy (What Larry Doesn’t Get), Stan. Tech. L. Rev 2001, S. 1–34. Ruffert, Matthias, Art. 288 AEUV, in: Calliess/Ruffert, EUV, AEUV, 4. Aufl., München 2011. Rüpke, Giselher, Aspekte zur Entwicklung eines EU-Datenschutzrechts, ZRP 1995, S. 185–190. Sachs, Michael (Hrsg.), Der grundrechtsgeprägte Verfassungsstaat, Festschrift für Klaus Stern zum 80. Geburtstag, Berlin 2012. Sandel, Michael J., Democracy’s discontent, America in search of a public philosophy, Cambridge, Mass 1996. Sander, Alexander/unwatched.org, MEPs verzögern EU-PNR, aber EU-Russland PNR wird kommen, 24.06.2013, https://www.unwatched.org/EDRigram_11.12_MEPs_verzoegern_EUPNR_aber_EU-Russland_PNR_wird_kommen (zuletzt geprüft am 15.03.2015). Schaar, Peter, EuGH-Entscheidung zur Fluggastdatenübermittlung – Grund zur Begeisterung?, MMR 2006, S. 425–426. – Plattformübergreifende Verknüpfung von Nutzerdaten, K&R 2012, Editorial. Schäffer, Heiko, Der Schutz des zivilen Luftverkehrs vor Terrorismus, Der Beitrag der Inter­ national Civil Aviation Organization (ICAO), Baden-Baden 2007. Schild, Hans-Hermann/Tinnefeld, Marie-Theres, Datenschutz in der Union – Gelungene oder missglückte Gesetzentwürfe?, DuD 2012, S. 312–317. Schmidt-Bens, Johanna, Cloud-Computing-Technologien und Datenschutz, Edewecht 2012. Schneider, Jens-Peter, Stand und Perspektiven des Europäischen Datenverkehrs- und Datenschutzrecht, Die Verwaltung 44 (2011), S. 499–524. Schoch, Friedrich, Informationsfreiheitsgesetz, Kommentar, 1. Aufl., München 2008. – Das Recht auf informationelle Selbstbestimmung in der Informationsgesellschaft, in: Sachs, Michael (Hrsg.), Der grundrechtsgeprägte Verfassungsstaat, Festschrift für Klaus Stern zum 80. Geburtstag, Berlin 2012, S. 1491–1512. – § 50 – Gerichtliche Verwaltungskontrollen, in: Hoffmann-Riem, Wolfgang/Schmidt-­Aßmann, Eberhard/Voßkuhle, Andreas (Hrsg.), Grundlagen des Verwaltungsrechts – Band III, 2. Aufl., München 2013, S. 743–1047. Schoeman, Ferdinand David (Hrsg.), Philosophical dimensions of privacy, An anthology, Cambridge, New York 1984. Schröder, Christian, Der Zugriff der USA auf Daten europäischer Flugpassagiere – Neue Gefahren durch Passagier-Profilbildung (CAPPS II), RDV 2003, S. 285–290.

644

Literaturverzeichnis

– Verbindliche Unternehmensregelungen, Binding Corporate Rules  – Zur Verbindlichkeit nach § 4 c II BDSG, DuD 2004, S. 462–467. Schröder, Christian/Haag, Nils Christian, Studie zu staatlichen Zugriffen beim Cloud Com­ puting, ZD-Aktuell 2012, S. 3132. Schroeder, Werner, Neues zur Grundrechtskontrolle in der Europäischen Union, EuZW 2011, S. 462–467. Schultze-Melling, Jyn, Ein Datenschutzrecht für Europa – eine schöne Utopie oder irgendwann ein gelungenes europäisches Experiment?, ZD 2013, S. 97. Schulz, Axel, Globale Distributionssysteme, in: Schulz, Axel/Weithörner, Uwe/Goecke, Robert (Hrsg.), Informationsmanagement im Tourismus, E-Tourismus: Prozesse und Systeme, München 2010, S. 264–289. Schulz, Axel/Kwoka, Saskia, Fallbeispiel Flugbuchung mit Amadeus, in: Schulz, Axel/Weit­hörner, Uwe/Goecke, Robert (Hrsg.), Informationsmanagement im Tourismus, E-Tourismus: Prozesse und Systeme, München 2010, S. 332–357. Schulz, Axel/Weithörner, Uwe/Goecke, Robert (Hrsg.), Informationsmanagement im Tourismus, E-Tourismus: Prozesse und Systeme, München 2010. Schulzki-Haddouti, Christiane, US-Zoll hat Zugriff auf Kundendaten der Fluglinien, http:// heise.de/-75643 (zuletzt geprüft am 15.03.2015). – EU könnte Spähangriffe wie Prism verbieten – wenn sie wollte, 25.06.2013, http://www.zeit. de/digital/datenschutz/2013-06/prism-eu-fisa-datenschutz (zuletzt geprüft am 15.03.2015). Schumann, David, Anonymität bewahrendes Data Mining, DuD 2010, S. 709–712. Schwartz, Paul M., Das Übersetzen im Datenschutzrecht: Unterschiede ziwschen deutschen und amerikanischen Konzepten der Privatheit, in: Frank, Armin Paul (Hrsg.), Übersetzen, verstehen, Brücken bauen, Geisteswissenschaftliches und literarisches Übersetzen im internationalen Kulturaustausch, Berlin 1993, S. 366–375. – European Data Protection Law and Restrictions on International Data Flows, Iowa L. Rev 80 (1994–95), S. 471–496. – Privacy and Participation: Personal Information and Public Sector Regulation in the United States, Iowa L. Rev 80 (1995), S. 553–618. – Preemption and Privacy, Yale L. J. 118 (2009), S. 902–947. – „Personenbezogene Daten“ aus internationaler Perspektive, ZD 2011, S. 97–98. – Regulating Governmental Data Mining in the United States and Germany: Constitutional Courts, the State, and New Technology, William and Mary Law Review 53 (2011), S. 351–387. – The EU-U. S. Privacy Collision: A Turn to Institutions and Procedures, Harvard Law­ Review 126 (2013), S. 1966–2009. Schwartz, Paul M./Peifer, Karl-Nikolaus, Prosser’s Privacy and the German Right of Personality: Are Four Privacy Torts Better than One Unitary Concept?, California Law Review 98 (2010), S. 1925–1987. Schwartz, Paul M./Solove, Daniel J., The PII Problem: Privacy and  a New Concept of Personally identifiable Information, N. Y. U. L. Rev. 86 (2011), S. 1814–1894.

Literaturverzeichnis

645

– Reconciling Personal Information in the United States and European Union, California Law Review 108 (2014), S. 877–916. Schwarze, Jürgen (Hrsg.), EU-Kommentar, 2. Aufl., Baden-Baden 2009. – EU-Kommentar, 3. Aufl., Baden-Baden, Wien, Basel 2012. Schweda, Sebastian, EuGH: Überprüfung des PNR-Abkommens mit Kanada, MMR-Aktuell 2014, S. 364617. Seifert, Jeffrey W., Congressional Research Service – Data Mining and Homeland Security: An Overview, 27.08.2008, http://assets.opencrs.com/rpts/RL31798_20080827.pdf (zuletzt geprüft am 15.03.2015). Selent, Markus, EU-Datenschutz: Eine Zwischenbilanz, Datenschutz-Berater 2013, S. 115–117. Sethi, Chanakya, Do Americans Care About the Privacy of our Metadata?, Yes – and that means President Obama should make the NSA care, too, http://www.slate.com/articles/news_and_ politics/jurisprudence/2013/12/nsa_data_mining_do_americans_care_about_the_privacy_of_ our_metadata.html (zuletzt geprüft am 15.03.2015). Shaffer, Gregory, Globalization and Social Protection: The Impact of EU and International Rules in the Ratcheting Up of U. S. Privacy Standards, Yale Journal of International Law 25 (2000), S. 1–88. – Managing US-EU Trade Relations through Mutual Recognition and Safe Harbor Agreements, in: Petersmann, Ernst-Ulrich/Pollack, Mark A. (Hrsg.), Transatlantic economic disputes, The EU, the US, and the WTO, Oxford, New York 2003, S. 297–327. Shenkman, Drew, Flying the Not-So-Private Skies: How Passengers’ Personal Information­ Privacy Stopped at the Airplane Door, and What (If Anything) May Be Done To Get It Back, Alb. L. J. Sci. & Tech. 17 (2007), S. 667–698. Siemen, Birte, The EU-US Agreement on Passenger Name Records and EC law: data protec­ tion, competences and human rights issues in international agreements of the Community, German Yearbook of International Law 47 (2004), S. 629–665. – Datenschutz als europäisches Grundrecht, Berlin 2006. Simitis, Spiros, Grenzüberschreitender Datenaustausch – Notwendige Vorbemerkungen zu einer dringend erforderlichen Regelung, in: Ferid, Murad/Heldrich, Andreas/Henrich, Dieter u. a. (Hrsg.), Konflikt und Ordnung, Festschrift für Murad Ferid zum 70. Geburtstag, München 1978, S. 353–375. – Vom Markt zur Polis: Die EU-Richtlinie zum Datenschutz, in: Tinnefeld, Marie-Theres (Hrsg.), Informationsgesellschaft und Rechtskultur in Europa, Informationelle und politische Teilhabe in der Europäischen Union, Baden-Baden 1995, S. 51–70. – Die EU-Datenschutzrichtlinie – Stillstand oder Anreiz, NJW 1997, S. 281–288. – Der Transfer von Daten in Drittländer – ein Streit ohne Ende?, in: Büllesbach, Alfred (Hrsg.), Datenverkehr ohne Datenschutz?, Eine globale Herausforderung, Köln 1999, S. 177–217. – Übermittlung der Daten von Flugpassagieren in die USA: Dispens vom Datenschutz, NJW 2006, S. 2011–2014. Simitis, Spiros (Hrsg.), BDSG, 8. Aufl., Baden-Baden 2014.

646

Literaturverzeichnis

– Einleitung, in: Simitis, BDSG, 8. Aufl., Baden-Baden 2014. – § 1, in: Simitis, BDSG, 8. Aufl., Baden-Baden 2014. – § 4b, in: Simitis, BDSG, 8. Aufl., Baden-Baden 2014. – § 4c, in: Simitis, BDSG, 8. Aufl., Baden-Baden 2014. Simpson, Glenn R., Treasury Tracks Financial Data In Secret Program, Since 9/11, U. S. Has Used Subpoenas to Access Records From Fund-Transfer System, 23.06.2006, http://online. wsj.com/news/articles/SB115101988281688182 (zuletzt geprüft am 15.03.2015). Singel, Ryan, Secure Flight Hits Turbulence, 15.06.2005, http://web.archive.org/web/2010073 1100900/http://www.wired.com/politics/security/news/2005/06/67875 (zuletzt geprüft am 15.03.2015). Skarda-McCann, Jennifer, Overseas Outsourcing of Private Information & Individual Remedies for Breach of Privacy, Rutgers Computer and Technology Law Journal 32 (2006), S. 325–363. Slobogin, Christopher, Die Zukunft des Datenschutzes in den USA, Die Verwaltung 44 (2011), S. 465–497. Société Internationale Télécommunications Aéronautiques, SITA  History, http://www.sita. aero/about-sita/what-we-do/sita-history (zuletzt geprüft am 15.03.2015). Solove, Daniel J., Understanding privacy, Cambridge, Mass 2008. Solove, Daniel J./Schwartz, Paul M., Privacy, information, and technology, 2. Aufl., New York 2008. – Information privacy law, 3. Aufl., Austin, Tex, New York, NY 2009. Spiecker gen. Döhmann, Indra, Die Durchsetzung datenschutzrechtlicher Mindestanforderungen bei Facebook und anderen sozialen Netzwerken, K&R 2012, S. 717–725. Spiecker gen. Döhmann, Indra/Eisenbarth, Markus, Kommt das „Volkszählungsurteil“ nun durch den EuGH?  – Der Europäische Datenschutz nach Inkrafttreten des Vertrags von Lissabon, JZ 2011, S. 169–177. Spiegel online, Vorratsspeicherung: 30.000 klagen in Karlsruhe – größte Verfassungs-Beschwerde aller Zeiten, 31.12.2007, http://www.spiegel.de/netzwelt/web/vorratsspeicherung-30-000klagen-in-karlsruhe-groesste-verfassungs-beschwerde-aller-zeiten-a-525970.html (zuletzt geprüft am 15.03.2015). – Bankdaten: EU-Parlament kippt Swift-Abkommen, 11.02.2010, http://www.spiegel.de/politik/ ausland/bankdaten-eu-parlament-kippt-swift-abkommen-a-677232.html (zuletzt geprüft am 15.03.2015). – Datenverkehrsprognose für 2016 – 1.300.000.000.000.000.000.000 Byte, 03.06.2012, http:// www.spiegel.de/netzwelt/web/weltweiter-datenverkehr-soll-sich-bis-2016-vervierfachena-836495.html (zuletzt geprüft am 15.03.2015). – Datenschutz-Verstoß: Google zahlt Rekordbußgeld, 09.08.2012, http://www.spiegel.de/ netzwelt/netzpolitik/ftc-google-muss-wegen-safari-verstoss-22-5-millionen-dollar-zahlena-849210.html (zuletzt geprüft am 15.03.2015).

Literaturverzeichnis

647

– Web-Überwachung durch die NSA: 29-jähriger Techniker verriet Spähprogramm Prism, 09.06.2013, http://www.spiegel.de/netzwelt/netzpolitik/guardian-enthuellt-ex-geheimdienstmitarbeiter-als-prism-quelle-a-904667.html (zuletzt geprüft am 15.03.2015). – NSA-Überwachung: Merkels Handy steht seit 2002 auf US-Abhörliste, 26.10.2013, http:// www.spiegel.de/politik/deutschland/nsa-ueberwachung-merkel-steht-seit-2002-auf-usabhoerliste-a-930193.html (zuletzt geprüft am 15.03.2015). – Datenschutz: CSU-Politiker will Safe-Harbor-Pakt mit Washington kündigen, 29.10.2013, http://www.spiegel.de/politik/ausland/csu-politiker-weber-will-safe-harbor-pakt-mitwashington-kuendigen-a-930493.html (zuletzt geprüft am 15.03.2015). Spies, Axel, USA: Neue Datenschutzvorschriften auf dem Prüfstand, ZD 2011, S. 12–16. – Europäische Datenschutzverordnung: Kommissionsentwurf gibt tiefen Einblick in EU-Re­ formpläne, 08.12.2011, http://blog.beck.de/2011/12/08/europaeische-datenschutzverordnungkommissionsentwurf-gibt-tiefen-einblick-in-eu-reformplaene (zuletzt geprüft am 15.03.2015). – Neue Europäische Datenschutzverordnung: Kommissionsentwurf gibt tiefen Einblick in EU-Reformpläne, ZD 1/2012, S. V–VII. – USA: Regierung stellt neue Datenschutz-Prinzipien vor – Consumer Privacy Bill of Rights ZD-Aktuell 2012, 02788. – USA: Privacy-Verhaltenskodex kommt nicht recht aus den Startlöchern, ZD-Aktuell 2012, 02918. – US-Senat will Electronic Communications Privacy Act (ECPA) von 1986 novellieren, ZDAktuell 2012, 03131. – Keine „Genehmigungen“ mehr zum USA-Datenexport nach Safe Harbor?, Übertragung personenbezogener Daten aus Deutschland in die USA, ZD 2013, S. 535–538. – USA: Neue Initiativen zum Schutz der Privatsphäre von Präsident Obama vorgestellt, ZDAktuell 2015, 04122. Spies, Axel/Schröder, Christian, Auswirkungen der elektronischen Beweiserhebung (eDiscovery) in den USA auf deutsche Unternehmen, MMR 2008, S. 275–281. Spooner, Richard M., Freedom, Security, and Democracy in the European Union: the intervention of the European Parliament in the negotiation of the Passenger Name Record, September 2007, http://www.statewatch.org/news/2008/jan/eu-usa-pnr-dissertation-2007.pdf (zuletzt geprüft am 15.03.2015). statewatch, European Commission’s Legal Service says EU-USA PNR agreement is „not compatible with fundamental rights“, 03.06.2011, http://www.statewatch.org/news/2011/ jun/03eu-us-pnr-com-ls.htm (zuletzt geprüft am 15.03.2015). Stein, Torsten, Transnationale Datenübermittlung und die Kompetenz der Europäischen Gemeinschaft zum Abschluß eines internationalen Abkommens zum Datenschutz mit dritten Staaten, in: Arndt, Hans-Wolfgang/Knemeyer, Franz-Ludwig/Kugelmann, Dieter u. a. (Hrsg.), Völkerrecht und deutsches Recht, Festschrift für Walter Rudolf zum 70. Geburtstag, München 2001, S. 513–529. Sterzenbach, Rüdiger, Luftverkehr, Betriebswirtschaftliches Lehr- und Handbuch, 4.  Aufl., München 2009.

648

Literaturverzeichnis

Streinz, Rudolf, Europarecht: Unionsgrundrechte (Privatleben, Datenschutz), JuS 2011, S. 278–280. – Art. 8 GRCh, in: Streinz, Rudolf (Hrsg.), EUV/AEUV, Vertrag über die Europäische Union und Vertrag über die Arbeitsweise der Europäischen Union, 2.  Aufl., München 2012, S. 2788–2790. Streinz, Rudolf (Hrsg.), EUV/AEUV, Vertrag über die Europäische Union und Vertrag über die Arbeitsweise der Europäischen Union, 2. Aufl., München 2012. Süddeutsche.de, „Die NSA darf in Deutschland alles machen“ – Historiker Foschepoth über US-Überwachung, 09.07.2014 (zuletzt geprüft am 15.03.2015). Süptitz, Thomas/Utz, Christine/Eymann, Torsten, State-of-the-Art: Ermittlungen in der Cloud, Sicherstellung und Beschlagnahme von Daten bei Cloud Storage-Betreibern, DuD 2013, S. 307–312. SWIFT, Company Information, http://www.swift.com/info?lang=en (zuletzt geprüft am 15.03.2015). – Oversight of SWIFT, http://www.swift.com/about_swift/company_information/governance/ oversight_of_swift.page? (zuletzt geprüft am 15.03.2015). – SWIFT history, http://www.swift.com/about_swift/company_information/swift_history.page? lang=en (zuletzt geprüft am 15.03.2015). – Data Protection Authorities confirm positive conclusion to investigation, 08.05.2014, http:// www.swift.com/about_swift/shownews?param_dcr=news.data/en/swift_com/2014/PR_ data_protection_confirms_swift_compliance.xml (zuletzt geprüft am 09.05.2014). Szczekalla, Peter, Die sogenannten grundrechtlichen Schutzpflichten im deutschen und europäischen Recht, Inhalt und Reichweite einer „gemeineuropäischen Grundrechtsfunktion“, Berlin 2002. Talidou, Zoi, Regulierte Selbstregulierung im Bereich des Datenschutzes, Frankfurt am Main 2005. Tamm, Marina, Rückwirkungen des gescheiterten SWIFT-Abkommens auf das Abkommen über Fluggastdaten, VuR 2010, S. 215–223. Terhechte, Jörg Philipp, Art. 300 EGV, in: Schwarze, EU-Kommentar, 2. Aufl., Baden-Baden 2009. Tettinger, Peter J./Stern, Klaus (Hrsg.), Kölner Gemeinschaftskommentar zur Europäischen Grundrechte-Charta, München 2006. The Identity Project, DHS plays a „shell game“ with border crossing records, http://www.papers please.org/wp/2008/08/25/dhs-plays-a-shell-game-with-border-crossing-records/ (zuletzt geprüft am 15.03.2015). – Edward Hasbrouck v. U. S. Customs and Border Protection, http://www.papersplease.org/ wp/hasbrouck-v-cbp (zuletzt geprüft am 15.03.2015). – First rulings in our lawsuit over DHS travel records, http://papersplease.org/wp/2012/01/24/ first-rulings-in-our-lawsuit-over-dhs-travel-records (zuletzt geprüft am 15.03.2015).

Literaturverzeichnis

649

– Hasbrouck v. CBP dismissed. What have we learned?, http://www.papersplease.org/wp/2012/ 07/16/hasbrouck-v-cbp-dismissed-what-have-we-learned (zuletzt geprüft am 15.03.2015). – Secure Flight: Frequently Asked Questions, http://www.papersplease.org/sf_faq.html (zuletzt geprüft am 15.03.2015). The New York Times, More Privacy Questions for Air Safety Agency, 16.06.2005, http://www. nytimes.com/2005/06/16/national/16privacy.html?_r=0. The United States Department of Justice, Overview of the Privacy Act of 1974, 2012, http:// www.justice.gov/opcl/1974privacyact-overview.htm (zuletzt geprüft am 15.03.2015). The Washington Post – Editorials, Europe’s dangerous refusal to share air-travel data, 03.11.2010, http://www.washingtonpost.com/wp-dyn/content/article/2010/11/03/AR2010110307453. html (zuletzt geprüft am 15.03.2015). Tinnefeld, Marie-Theres (Hrsg.), Informationsgesellschaft und Rechtskultur in Europa, Informationelle und politische Teilhabe in der Europäischen Union, Baden-Baden 1995. Tinnus, Florian, Die Zukunft der Reisebuchung, Der PNR wird zum Total Travel Record, in: Otto-Rieke, Gerd (Hrsg.), Modernes Geschäftsreisemanagement/Modernes GeschäftsreiseManagement 2012, München 2011, S. 67–72. Travis, Alan, US to store passenger data for 15 years, Draft of Washington-EU deal leaked to the Guardian shows agreement ‚violates basic European principles‘, 25.05.2011, http:// www.theguardian.com/world/2011/may/25/us-to-store-passenger-data (zuletzt geprüft am 15.03.2015). TSA, About TSA, http://www.tsa.gov/about-tsa/911-and-tsa (zuletzt geprüft am 15.03.2015). – Frequently Asked Questions – Secure Flight, http://www.tsa.gov/content/frequently-askedquestions-secure-flight (zuletzt geprüft am 15.03.2015). – Mission, Vision and Core Values, http://www.tsa.gov/about-tsa/mission-vision-and-corevalues (zuletzt geprüft am 15.03.2015). – Risk-Based Security Initiatives, http://www.tsa.gov/traveler-information/risk-based-securityinitiatives (zuletzt geprüft am 15.03.2015). – Press Release – TSA’s Secure Flight Begins Vetting Passengers, 31.03.2009, http://www.tsa. gov/press/releases/2009/03/31/tsas-secure-flight-begins-vetting-passengers (zuletzt geprüft am 15.03.2015). Ungureanu, Traian, Stellungnahme des Ausschusses für auswärtige Angelegenheiten für den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres zu dem Entwurf eines Beschlusses des Rates über den Abschluss des Abkommens zwischen den Vereinigten Staaten von Amerika und der Europäischen Union über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of Homeland Security, PE 480.856v02-00, 05.03.2012, http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP// TEXT+COMPARL+PE-480.856+02+NOT+XML+V0//DE (zuletzt geprüft am 15.03.2015). United Nations – Security Council, Resolution 2178 (2014), 24.09.2014, http://www.un.org/ en/ga/search/view_doc.asp?symbol=S/RES/2178 %20 %282014 %29 (zuletzt geprüft am 15.03.2015).

650

Literaturverzeichnis

United States Senate, 39rd Congress Joint Hearings before the ad hoc Subcommittee on Privacy and Information Systems of the Committee on Government Operations and the Subcommittee on Constitutional Rights of the Committee on the Judiciary, Second Session on S. 3418, S. 3633, S. 3116, S. 2810, S. 2542, June 18, 19 and 20 1974, unter dem Titel „Privacy – The Collection, Use, and Computerization of Personal Data“ – Part 1, 18.–20.06.1974, http://babel. hathitrust.org/cgi/pt?id=uc1.b5140223;view=1up;seq=9/gao.gov/93-579/00007914.pdf (zuletzt geprüft am 15.03.2015). – Second Session on S. 3418, S. 3633, S. 3116, S. 2810, S. 2542, June 18, 19 and 20 1974, unter dem Titel „Privacy – The Collection, Use, and Computerization of Personal Data“ – Part 2, 18.–20.06.1974, http://babel.hathitrust.org/cgi/pt?id=uc1.b5140224;view=1up;seq=9 (zuletzt geprüft am 15.03.2015). unwatched  – Das Datenschutzportal, PNR-Abkommen mit den USA  – Fakten und Hintergründe, 26.04.2012, http://www.unwatched.org/20120426_PNR_Abkommen_Fakten_und_ Hintergruende (zuletzt geprüft am 15.03.2015). US Customs and Border Protection Today, National Targeting Center keeps terrorism at bay, März 2005, http://web.archive.org/web/20111023225909/http://www.cbp.gov/xp/Customs Today/2005/March/ntc.xml (zuletzt geprüft am 15.03.2015). US DHS, DHS Traveler Redress Inquiry Program (DHS TRIP), 18.01.2007, http://www.dhs. gov/xlibrary/assets/privacy/privacy_pia_dhstrip.pdf (zuletzt geprüft am 15.03.2015). – Secretary Chertoff’s Remarks to European Parliament, 15.05.2007, https://www.hsdl.org/ ?view&did=478396 (zuletzt geprüft am 15.03.2015). – DHS-2007-0049, Arrival and Departure Information System (ADIS), SORN, 22.08.2007, http://www.gpo.gov/fdsys/pkg/FR-2007-08-22/html/E7-16473.htm (zuletzt geprüft am 15.03.2015). – Privacy Impact Assessment for the Electronic System for Travel Authorization (ESTA), 02.06.2008, http://www.dhs.gov/xlibrary/assets/privacy/privacy_pia_cbp_esta_20080602.pdf (zuletzt geprüft am 15.03.2015). – DHS-2008-0024, Border Crossing Information, SORN, Vol. 73, No. 144, 25.07.2008. – Privacy Impact Assessment for the Secure Flight Program, 21.10.2008, http://www.dhs.gov/ xlibrary/assets/privacy/privacy_pia_secureflight2008.pdf (zuletzt geprüft am 15.03.2015). – Privacy Impact Assessment for the Advance Passenger Information System  – APIS, 18.11.2008, http://www.dhs.gov/xlibrary/assets/privacy/privacy_pia_cbp_apisfinalrule.pdf (zuletzt geprüft am 15.03.2015). – Privacy Impact Assessment for the TECS System: CBP Primary and Secondary Processing, 22.12.2010, http://www.dhs.gov/xlibrary/assets/privacy/privacy-pia-cbp-tecs.pdf (zuletzt geprüft am 15.03.2015). – Privacy Impact Assessment Update for the Advance Passenger Information System (APIS), 23.06.2011, http://www.dhs.gov/xlibrary/assets/privacy/privacy_pia_apia_update_nctc_shar ing.pdf (zuletzt geprüft am 15.03.2015). – Privacy Impact Assessment Update for the TECS System: CBP Primary and Secondary Processing (TECS) National SAR Initiative, 05.08.2011, http://www.dhs.gov/xlibrary/assets/ privacy/privacy-pia-cbp-tecs-sar-update.pdf (zuletzt geprüft am 15.03.2015).

Literaturverzeichnis

651

– Privacy Impact Assessment Update for Secure Flight, DHS/TSA/PIA-018(b), 15.08.2011, http://www.dhs.gov/xlibrary/assets/privacy/privacy-pia-tsa-secure-flight.pdf (zuletzt geprüft am 15.03.2015). – Privacy Impact Assessment Update for Secure Flight, DHS/TSA/PIA – 018(e), 13.04.2012, http://www.dhs.gov/xlibrary/assets/privacy/privacy_pia_tsa_secureflight_update018% 28e%29.pdf (zuletzt geprüft am 15.03.2015). – Privacy Impact Assessment for the Automated Targeting System, 01.06.2012, http://www. dhs.gov/xlibrary/assets/privacy/privacy_pia_cbp_ats006b.pdf (zuletzt geprüft am 15.03.2015). – Privacy Impact Assessment Update for the Electronic System for Travel Authorization  – Internet Protocol Address and System of Records Notice Update, DHS/CBP/PIA-007(b), 18.07.2012, http://www.dhs.gov/sites/default/files/publications/privacy/privacy_piaupdate_ cbp_esta_07182012.pdf (zuletzt geprüft am 15.03.2015). – Immigration Advisory Program (IAP)  – Fact Sheet, Mai 2013, http://www.cbp.gov/sites/ default/files/documents/immig_advis_prog_2.pdf (zuletzt geprüft am 15.03.2015). – Privacy Impact Assessment Update for the Advance Passenger Information System (APIS), 05.06.2013, http://www.dhs.gov/sites/default/files/publications/privacy-pia-apis-update-2013 0605.pdf (zuletzt geprüft am 15.03.2015). – Privacy Impact Assessment Update for the Electronic System for Travel Authorization, 05.06.2013, https://www.dhs.gov/sites/default/files/publications/privacy-pia-cbp-esta-update20130606.pdf (zuletzt geprüft am 15.03.2015). – Privacy Impact Assessment Update for the Automated Targeting System – TSA/CBP Common Operating Picture Program, DHS/CBP/PIA-0 06 (c), 31.01.2014, http://www.dhs.gov/ sites/default/files/publications/privacy-pia-cbp-atsupdate-01312014.pdf (zuletzt geprüft am 15.03.2015). US DHS CBP, Undertakings of the Department of Homeland Security Bureau of Customs and Border Protection (CBP), 12.01.2004, http://www.statewatch.org/news/2004/jan/EUUSAG2. pdf (zuletzt geprüft am 15.03.2015). – Federal Register Vol. 72, No. 163 19 CFR Parts 4 and 122; 6 CFR Part 5; Advance Electronic Transmission of Passenger and Crew Member Manifests for Commercial Aircraft and Vessels; Final Rule, 23.08.2007. – U. S. Customs and Border Protection Passenger Name Record (PNR) Privacy Policy, 21.06.2013, http://www.cbp.gov/linkhandler/cgov/travel/clearing/pnr/pnr_privacy.ctt/pnr_ privacy.pdf (zuletzt geprüft am 15.03.2015). US DHS Office of Inspector General, Effectiveness of the Department of Homeland Security Traveler Redress Inquiry Program, OIG-09–103, September 2009, http://www.oig.dhs.gov/ assets/Mgmt/OIG-09–103r_Sep09.pdf (zuletzt geprüft am 15.03.2015). US DHS/Privacy Office, A Report Concerning Passenger Name Record Information Derived from Flights between the U. S. and the European Union, 18.12.2008, http://www.dhs.gov/ xlibrary/assets/privacy/privacy_pnr_report_20081218.pdf (zuletzt geprüft am 15.03.2015). – A Report on the Use and Transfer of Passenger Name Records between the European Union and the United States, 03.07.2013, http://www.dhs.gov/sites/default/files/publications/dhspnr-privacy-review-20130703.pdf (zuletzt geprüft am 15.03.2015).

652

Literaturverzeichnis

US DHS/TSA, Secure Flight Program, Final Rule, 49 CFR Parts 1540, 1544, 1560, 28.10.2008. Ustaran, Eduardo, An Honest Recap on Safe Harbor, 20.03.2014, https://www.privacyassocia tion.org/privacy_perspectives/post/an_honest_recap_on_safe_harbor (zuletzt geprüft am 15.03.2015). van der Sloot, Bart/Zuiderveen Borgesius, Frederik J., Google’s Dead End, or: on Street View and the Right to Data Protection, An analysis of google Street View’s compatibility with EU data protection law, CRi 2012, S. 103–109. Voigt, Paul, Und immer wieder Safe Harbor…, Besprechung der Entscheidung des Irish High Court 2013 No. 765JR vom 18.06.2014, PinG 2014, S. 255–257. Voskamp, Friederike/Kipker, Dennis-Kenji/Yamato, Richard, Grenzüberschreitende Datenschutzregulierung im Pazifik-Raum, Das Cross Border Privacy Rules-System der APEC – ein Vergleich mit den Bindung Corporate Rules der EU, DuD 2013, S. 452–456. Wagner, Edgar, Grenzen des europäischen Datenschutzrechts, Zum geplanten Datenschutzrechtsrahmens der EU, DuD 2012, S. 303–304. Wald, Matthew L., Safety Board Complains to F. A. A. Over Fuel Tanks, 14.07.2005, http://www. nytimes.com/2005/07/14/nyregion/14twa.html?pagewanted=print&_r=0 (zuletzt geprüft am 15.03.2015). Warren, Samuel D./Brandeis, Louis D., The Right to Privacy, Harvard Law Review 4 (1890), S. 193–220. Washington Post/Pew Research Center, Majority say NSA tracking of phone records „acceptable“  – Washington Post-Pew Research Center poll, http://www.washingtonpost.com/ page/2010-2019/WashingtonPost/2013/06/10/National-Politics/Polling/release_242.xml (zuletzt geprüft am 15.03.2015). WCO/IATA/ICAO, Guidelines on Advance Passenger Information, 2013, http://www.wcoomd. org/en/topics/facilitation/resources/~/media/95C80C194B634618A9FB56423BEB95AE. ashx (zuletzt geprüft am 15.03.2015). Weber, Rolf H., Transborder data transfers: concepts, regulatory approaches and new legislative initiatives, International Data Privacy Law 2013, S. 1–14. Weichert, Thilo, Anmerkungen zu Warren/Brandeis  – Das Recht auf Privatheit, DuD 2012, S. 753–754. – Datenschutzverstoß als Geschäftsmodell – der Fall Facebook, DuD 2012, S. 716–721. Weidenkaff, Walter, § 480, in: Palandt (Hrsg.), Bürgerliches Gesetzbuch, Mit Nebengesetzen; insbesondere mit Einführungsgesetz (Auszug) einschließlich Rom I- und Rom II-Verordnungen, Allgemeines Gleichbehandlungsgesetz (Auszug), BGB-Informationspflichten-Verordnung, Wohn- und Betreuungsvertragsgesetz, Unterlassungsklagengesetz, Produkthaftungsgesetz, Erbbaurechtsgesetz, Wohnungseigentumsgesetz, Versorgungsausgleichsgesetz, Lebenspartnerschaftsgesetz, Gewaltschutzgesetz, 69. Aufl., München 2010. Weithoener, Uwe, Globales Distributionssystem (GDS), in: Fuchs, Wolfgang/Mundt, Jörn W./ Zollondz, Hans-Dieter (Hrsg.), Lexikon Tourismus, Destinationen Gastronomie Hotellerie Reisemittler Reiseveranstalter Verkehrsträger, 1. Aufl., München 2008, S. 323–328. Westin, Alan F., Privacy and Freedom 1967.

Literaturverzeichnis

653

White House Commission on Aviation Safety and Security-Vice President Al Gore, Chairman, Final Report to President Clinton, 12.02.1997, http://www.fas.org/irp/threat/212fin~1.html (zuletzt geprüft am 15.03.2015). Whitman, James Q., The Two Western Cultures of Privacy: Dignity Versus Liberty, Yale L. J. 113 (2003/2004), S. 1151–1221. Wiese Schartum, Dag, Norway, in: Blume, Peter (Hrsg.), Nordic Data Protection Law, Copenhagen 2001, S. 79–113. Witten, Ian H./Frank, Eibe/Hall, Mark A., Data mining, Practical machine learning tools and techniques, 3. Aufl., Amsterdam, Heidelberg 2011. Wittgenstein, Ludwig, Philosophische Untersuchungen/Ludwig Wittgenstein. Transl. by G. E. M. Anscombe, (mit Englischer Übersetzung ‚Philosophical Investigations‘ durch G. E. M. Anscombe), Oxford 1953. Wittmann, Philipp, Nobody Watches the Watchmen – Rechtliche Rahmenbedingungen und zunehmende Ausweitung der öffentlichen Videoüberwachung in den USA, ZaöRV 73 (2013), S. 373–426. – Der Schutz der Privatsphäre vor staatlichen Überwachungsmaßnahmen durch die U. S.amerikanische Bundesverfassung, Eine Untersuchung unter besonderer Berücksichtigung des Schutzes der Privatsphäre in der Öffentlichkeit, Bd. 72, Baden-Baden 2014. Wochner, Lucius N., Der Persönlichkeitsschutz im grenzüberschreitenden Datenverkehr, Zürich 1981. Woerz, Claudia, Deregulierungsfolgen im Luftverkehr, Handlungsempfehlungen für Markt­ ordnung und Umweltpolitik, Heidelberg 1996. Wolf, Christopher, A Critical Time for the EU Data Protection Regulation, ZD 2013, S. 1–2. Wuermeling, Ulrich, Handelshemmnis Datenschutz, Köln, Würzburg. Wybitul, Tim/Patzak, Andrea, Neue Anforderungen beim grenzüberschreitenden Datenverkehr, RDV 2011, S. 11–18. Wybitul, Tim/Rauer, Nils, EU-Datenschutz-Grundverordnung und Beschäftigtendatenschutz, Was bedeuten die Regelungen für Unternehmen und Arbeitgeber in Deutschland?, ZD 2012, S. 160–164. Zeit online, Steinbrück will Gespräche über Freihandelsabkommen unterbrechen, 25.08.2013, http://www.zeit.de/politik/deutschland/2013-08/steinbrueck-nsa-freihandelsabkommen (zuletzt geprüft am 15.03.2015).

Sachwortverzeichnis Advanced Passenger Information siehe APIDaten Airline-Reservierungssysteme 292 angemessenes Datenschutzniveau siehe  Angemessenheit Angemessenheit  89, 95, 108, 136, 146, 170, 268, 352, 374, 415, 425, 433, 446, 461, 478, 574, 585, 612 –– Ausnahmen  117, 136, 157, 176 –– Datenschutzgrundverordnung 146 –– Datenschutz-Rahmenbeschluss 136 –– Datenschutzrichtlinie Polizei und Justiz  170 –– Feststellung  107, 149, 172 –– Geeignete Garantien  122, 152, 174 –– Kriterien zur Bestimmung  97, 137, 147, 171 –– Mindestanforderungen 97 –– PNR-Daten  116, 506 –– Safe Harbor  109 –– Standardvertragsklauseln  125, 130, 152 –– Unterrichtung zwischen Mitgliedstaaten und Kommission  103, 129 –– Verbindliche Unternehmensregelungen 154 Anwendbares Recht  76 API-Daten  310, 533, 606 APIS 392 ARS siehe Airline-Reservierungssysteme ATS siehe Automated Targeting System ATSA siehe  Aviation and Transportation Security Act Aufsicht  358, 572, 598 Auskunftsrechte  557, 596 Automated Targeting System  399 Automatic Selectee-Liste siehe watchlists Automatisierte Einzelentscheidung  361 Aviation and Transportation Security Act  321 BCR siehe Verbindliche Unternehmensregelungen Beobachtungslisten siehe watchlists

Berichtigung siehe Löschung Betroffenenrechte 556 Binding Corporate Rules siehe Verbindliche Unternehmensregelungen CAPPS 380 CBP siehe Custom and Border Protection Cloud Computing  48, 79 Common Law  226 Computer Reservierungssysteme  293, 304 CRS siehe Computer Reservierungssysteme Custom and Border Protection  327 Data-Mining  75, 377 Datenanzahl 519 Datenarten 519 Datenauswertung 377 Datenbanken 75 Datenfluss –– Akteure 57 –– Arten von Regelungen  82 –– Begriff 44 –– Dimensionen 54 –– Gründe 55 –– Gründe für Regelungen  64 –– Herausforderungen  73, 200 –– individuell und wechselseitig  60 –– Internationale Dimension  57 –– Risiken 73 Datenfluss im internationalen Kontext siehe  Datenfluss Datenschutz in EU und USA  233 Datenschutzgesetze –– Historische Entwicklung  61 Datenschutzgrundverordnung 143 –– Angemessenheit 146 –– Übermittlungsgrundsätze 145 –– Zweck 144 Datenschutzkonflikte 268 Datenschutzniveau siehe Angemessenheit Datenschutz-Rahmenbeschluss 131

Sachwortverzeichnis –– Angemessenheit 136 –– Anwendungsbereich 133 –– Entstehungsgeschichte 132 –– Übermittlungsgrundsätze 135 Datenschutzrichtlinie 91 –– Angemessenheit 95 –– Anwendungsbereich 93 –– Einfluss 240 –– Entstehungsgeschichte 91 –– Zweck 93 Datenschutzrichtlinie Polizei und Justiz  166 –– Angemessenheit 170 –– Übermittlungsgrundsätze 168 –– Zweck 166 Datensicherheit 357 Department of Homeland Security  326, 457, 471, 483, 607 DHS siehe Department of Homeland Security EBSVERA siehe Enhanced Border Security and Visa Entry Reform Act E-Discovery 274 Enhanced Border Security and Visa Entry Reform Act  323 ESTA  317, 395 EU-Datenschutzrecht 90 –– Datenschutzgrundverordnung 143 –– Datenschutz-Rahmenbeschluss 131 –– Datenschutzrichtlinie 91 –– Datenschutzrichtlinie Polizei und Justiz  166 –– de lege ferenda  141 –– de lege lata  91 –– Eurojust 139 –– Europol 140 –– Verordnung zum Datenschutz durch die Organe und Einrichtungen der Gemeinschaft 139 EU-Konzepte für die Übermittlung von Fluggastdaten 346 Eurojust 139 Europol 140 Extraterritorialität 76 Facebook 272 Federal Trade Commission  229 Flugbuchung 290 Fluggastdaten siehe PNR-Daten Freiheit 258

655

GDS siehe Globale Distributionssysteme Gleichwertiges Datenschutzniveau  130 Globale Distributionssysteme  296, 304 Google 272 Gramm-Leach-Bliley Act of 1999  185 Grundrechte  90, 506 Homeland Security Act  324 Homeland Security Presidential Directive 6  324 ICAO 602 Immigration Advisory Program  607 Implementing Recommendations of the 9/11 Commission Act  325 Increasing Notice of Foreign Outsourcing Act of 2004  198 Information Privacy Law siehe Right to Privacy Internal Revenue Service Rule  183 Internationaler Datenfluss siehe Datenfluss Lindqvist-Urteil 50 Löschung  359, 559, 597 National Intelligence Reform and Terrorism Prevention Act  325 Nationalsozialismus 252 No Fly-Liste   NSA-Affäre  277, 577 Outsourcing 74 Passagierdaten siehe PNR-Daten Patriot Act  323 Personal Data Offshoring Protection Act of 2004 196 PNR-Abkommen  342 ff., 412 ff. –– Angemessenheit  460, 461, 478 –– Angemessenheitsentscheidung  425, 433, 446 –– Art. 29-Datenschutzgruppe  414, 423, 425, 469 –– Aufsicht  572, 598 –– Auskunftsrechte  557, 596 –– Australien 344 –– Betroffenenrechte 556 –– Datenanzahl  519, 590

656 –– –– –– –– –– –– –– –– –– ––

Sachwortverzeichnis

Datenarten  519, 590 Datenschutzbeauftragter  466, 491 Evaluierung  578, 602 Fluggesellschaften 601 Gegenseitigkeit 372 Geltungsdauer 370 Grundrechte  435, 439, 506 Informationspolitik 587 Kanada 344 Kommission  425–427, 452, 456, 467, 484, 486, 488, 489, 501 –– Löschung  559, 597 –– Nichtigkeitsklagen 431 –– Optimierungsmöglichkeiten 575 –– Parlamentsbeteiligung  429, 438, 454, 463, 476, 494 –– Rat 425, 427, 431, 452, 456, 467, 471, 472, 484, 488, 494, 505 –– Ratifikation 475 –– Rechtsbehelf  561, 598 –– Rechtsgrundlage  429, 435, 447, 452, 461, 476 –– Rechtsverbindlichkeit 599 –– Regelungskonstruktion  467, 488 –– Schlichtungsstelle 586 –– Senatsresolution 483 –– Speicherungsdauer  541, 593 –– Stellungnahme Juristischer Dienst  486 –– Streitbeilegung 372 –– Überprüfung 371 –– Umgehung 588 –– USA  343, 412 –– Verpflichtungserklärung  418, 457, 468 –– Vertrag von Lissabon  476 –– Vertraulichkeit Verhandlungsdokumente  471 –– Vorratsdatenspeicherung 510 –– weitere Drittstaaten  345 –– Weiterübermittlung  552, 595 –– Zweckbindung  546, 593 PNR-Daten 116, 270, 284, 290, 319, 377, 412, 506, 575 –– Änderungshistorie 539 –– Angemessenheit  352, 374, 415, 460, 461, 478, 574 –– API-Daten 533 –– Aufbau eines Datensatzes  302 –– Aufsicht  358, 572, 598

–– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– ––

Auskunftsrechte  557, 596 Automatisierte Einzelentscheidung  361 Begriffsbestimmung 285 Betroffenenrechte 556 Buchungscode 522 Buchungssplitting 528 Code-Sharing-Informationen 527 Datenanzahl  519, 590 Datenarten  519, 590 Datenauswertung 377 Datensicherheit 357 Datum 523 Flugscheininformationen 529 Gepäck 530 Grundlagen 284 Informationspolitik 587 Kontaktinformationen 525 Löschung  359, 559, 597 Namen  523, 525 Nutzung zu kommerziellen Zwecken  286, 290 –– Nutzung zu Sicherheitszwecken  287 –– OSI, SSI- und SSR-Informationen  531 –– Rechtsbehelf  360, 561, 598 –– Reisebüro 527 –– Reiseroute 526 –– Reisestatus 528 –– Sensible Daten  356, 415, 522 –– Sitzplatzinformationen 530 –– Speicherungsdauer  361, 541, 593 –– Transparenz 359 –– Übermittlungsmodalitäten 366 –– Vielfliegerdaten 524 –– Vorratsdatenspeicherung 510 –– Weiterübermittlung  363, 552, 595 –– Zahlungsinformationen 526 –– Zweckbindung  353, 415, 546, 593 PNR-Richtlinie 335 PNR-System in der EU  333 PNR-Systeme in den EU-Mitgliedstaaten  331 Privacy siehe Right to Privacy Privacy Act of 1974  188, 257 Pull-System siehe Übermittlungsmodalitäten Push-System siehe Übermittlungsmodalitäten Rechtsbehelf  360, 561, 598 Regelungen

Sachwortverzeichnis –– bilaterale 85 –– explizite 82 –– geographiebasierte 86 –– Grundrechtsschutz 88 –– hoheitliche 85 –– implizite  83, 182, 185 –– multilaterale 86 –– organisationsbasierte 87 –– privatrechtliche 85 –– rechtsverbindliche 84 –– unilaterale 85 –– unverbindliche 84 Right to Privacy  203 –– Ausformungen 211 –– Common Law  226 –– Datenschutzkonflikte 268 –– Decisional Privacy  216 –– Deliktsrecht 206 –– Gesetze 222 –– Gesetzesinitiativen 181 –– Grundlagen 205 –– Information Privacy Law  218 –– Intimacy 217 –– Limited Access to the Self  214 –– Privacy Act of 1974  223 –– Privacy Seals  232 –– Privacy Statements  232 –– Right to be let alone  213 –– Secrecy 214 –– Selbstregulierung  228, 264 –– Terminologie 204 –– Ursachen für Unterschiede  233 –– Verfassungsrecht  207, 219 –– Warren/Brandeis 205 Safe Harbor  109 SAFE-ID Act of 2004  193 Schlichtungsstelle 586 Secure Flight-Daten  316, 606 Secure Flight-System  386 Selbstregulierung siehe Right to Privacy Sensible Daten  356, 415, 522 SFPD siehe Secure Flight-Daten Sicherheitsgesetze 75 Soziale Netzwerke  48 Speicherungsdauer  361, 541, 593 Standardvertragsklauseln  125, 130, 152 SWIFT 270

657

Terrorist Screening Center  329 Torts 206 Transparenz 359 Transportation Security Administration  328 TRIP 569 TSA siehe Transportation Security Administration Übermittlungsmodalitäten 366 US-Recht  181, 183, 223 –– Cable Communication Policy Act of 1984  224 –– Children’s Online Privacy Protection Act of 1998  225 –– Driver’s Privacy Protection Act of 1994  225 –– Electronic Communications Privacy Act of 1986  224 –– Family Educational Rights and Privacy Act of 1974  224 –– Gesetzesinitiativen 187 –– Gramm-Leach-Bliley Act of 1999  185 –– Increasing Notice of Foreign Outsourcing Act of 2004  198 –– Personal Data Offshoring Protection Act of 2004  196 –– Privacy Act of 1974  188, 223 –– SAFE-ID Act of 2004  193 –– Sicherheitsgesetze 321 –– Video Privacy Protection Act of 1988  225 Verbindliche Unternehmensregelungen  127, 154 Verfassungsrecht  207, 250, 259 Verordnung zum Datenschutz durch die Organe und Einrichtungen der Gemeinschaft  139 Verpflichtungserklärung 418 Vertrag von Lissabon  476 Vorratsdatenspeicherung 510 Warren/Brandeis 205 watchlists 314 Weiterübermittlung  363, 552, 595 Würde 246 Zweckbindung  353, 415, 546, 593