(1)

Die Verordnung (EU) 2016/679 (2) enthält die Vorschriften für die Übermittlung personenbezogener Daten durch Verantwortliche oder Auftragsverarbeiter in der Union an Drittländer und internationale Organisationen, soweit die betreffenden Übermittlungen in ihren Anwendungsbereich fallen. Die Vorschriften über internationale Datenübermittlung sind in Kapitel V der Verordnung festgelegt. Der Fluss personenbezogener Daten in Drittländer und aus Drittländern ist zwar für die Ausweitung des grenzüberschreitenden Handels und der internationalen Zusammenarbeit wesentlich, dennoch darf das unionsweit gewährleistete Schutzniveau für personenbezogene Daten bei Übermittlungen in Drittländer oder an internationale Organisationen nicht untergraben werden. (3)

(2)

Nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 kann die Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland ein angemessenes Schutzniveau bieten. Unter dieser Voraussetzung können personenbezogene Daten nach Artikel 45 Absatz 1 und Erwägungsgrund 103 der Verordnung (EU) 2016/679 ohne weitere Genehmigung an ein Drittland übermittelt werden.

(3)

Wie in Artikel 45 Absatz 2 der Verordnung (EU) 2016/679 festgelegt, muss die Annahme eines Angemessenheitsbeschlusses auf einer umfassenden Analyse der Rechtsordnung des Drittlands beruhen, und zwar sowohl in Bezug auf die für die Datenimporteure geltenden Vorschriften als auch auf die Einschränkungen und Garantien für den Zugang der Behörden zu personenbezogenen Daten. Im Rahmen ihrer Prüfung muss die Kommission feststellen, ob das betreffende Drittland ein Schutzniveau garantiert, das dem innerhalb der Union gewährleisteten Schutzniveau „der Sache nach gleichwertig“ ist (Erwägungsgrund 104 der Verordnung (EU) 2016/679). Dies ist anhand des EU-Rechts, insbesondere der Verordnung (EU) 2016/679, sowie der Rechtsprechung des Gerichtshofs der Europäischen Union (im Folgenden „Gerichtshof“) zu prüfen. (4)

(4)

Wie der Gerichtshof in seinem Urteil vom 6. Oktober 2015 in der Rechtssache C-362/14, Maximilian Schrems gegen Data Protection Commissioner (5) (Schrems), klargestellt hat, erfordert dies nicht die Feststellung eines identischen Schutzniveaus. Insbesondere können sich die Mittel, auf die das betreffende Drittland für den Schutz personenbezogener Daten zurückgreift, von denen unterscheiden, die in der Union herangezogen werden, sofern sie sich in der Praxis als wirksam erweisen, um ein angemessenes Schutzniveau zu gewährleisten. (6) Daher erfordert die Angemessenheitsfeststellung keine Eins-zu-eins-Übereinstimmung mit den Vorschriften der Union. Die Frage ist vielmehr, ob das ausländische System insgesamt aufgrund des Wesensgehalts der Rechte auf Privatsphäre sowie ihrer wirksamen Anwendung, Überwachung und Durchsetzung das erforderliche Maß an Schutz bietet. (7) Darüber hinaus sollte die Kommission nach diesem Urteil bei der Anwendung dieses Kriteriums insbesondere prüfen, ob im Rechtsrahmen des betreffenden Drittlands Regeln vorgesehen sind, die dazu dienen, Eingriffe – zu denen die staatlichen Stellen dieses Landes in Verfolgung berechtigter Ziele wie der nationalen Sicherheit berechtigt wären – in die Grundrechte der Personen, deren Daten aus der Union übermittelt werden, zu begrenzen, und ob ein wirksamer gerichtlicher Rechtsschutz gegen solche Eingriffe besteht. (8) Eine weitere Orientierungshilfe bietet die „Referenzgrundlage für Angemessenheit“ des Europäischen Datenschutzausschusses, mit der dieser Standard weiter präzisiert werden soll. (9)

(5)

Der für solche Eingriffe in die Grundrechte auf Achtung des Privatlebens und auf Datenschutz geltende Standard wurde vom Gerichtshof in seinem Urteil vom 16. Juli 2020 in der Rechtssache C-311/18, Data Protection Commissioner/Facebook Ireland Limited und Maximilian Schrems (Schrems II), mit dem der Durchführungsbeschluss (EU) 2016/1250 der Kommission (10) über einen vorangegangen transatlantischen Rahmen für den Datenverkehr, den EU-US-Datenschutzschild (im Folgenden „Datenschutzschild“), für nichtig erklärt wurde, weiter präzisiert. Der Gerichtshof stellte fest, dass die Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in die Vereinigten Staaten übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen an die Erforderlichkeit und Verhältnismäßigkeit solcher Eingriffe in das Datenschutzrecht erfüllt würden, die den im Unionsrecht bestehenden Anforderungen der Sache nach gleichwertig wären. (11) Der Gerichtshof vertrat ferner die Auffassung, dass kein Rechtsweg zu einem Organ besteht, das den Personen, deren Daten in die Vereinigten Staaten übermittelt werden, Garantien böte, die den nach Artikel 47 der Charta über einen wirksamen Rechtsbehelf erforderlichen Garantien der Sache nach gleichwertig wären. (12)

(6)

Nach dem Urteil in der Rechtssache Schrems II nahm die Kommission Gespräche mit der US-Regierung über einen möglichen neuen Angemessenheitsbeschluss auf, der den Anforderungen des Artikels 45 Absatz 2 der Verordnung (EU) 2016/679 in der Auslegung des Gerichtshofs entsprechen würde. Als Ergebnis dieser Diskussionen erließen die Vereinigten Staaten am 7. Oktober 2022 die Executive Order 14086 „Enhancing Safeguards for US Signals Intelligence Activities“ (Durchführungsverordnung 14086 „Verbesserung der Garantien für signalerfassende Aufklärung durch die USA“) (im Folgenden „EO 14086“), ergänzt durch einen vom U.S. Attorney General herausgegebenen Regulation on the Data Protection Review Court (Erlass über das Datenschutzüberprüfungsgericht) (im Folgenden „Erlass des US-Justizministers“). (13) Darüber hinaus wurde der Rahmen, der für gewerbliche Unternehmen gilt, die im Rahmen dieses Beschlusses aus der Union übermittelte Daten verarbeiten – der „Datenschutzrahmen EU-USA“ – aktualisiert.

(7)

Die Kommission hat die Rechtslage und die gängige Praxis in den USA, einschließlich der EO 14086 und des Erlasses des US-Justizministers, sorgfältig analysiert. Aufgrund der in den Erwägungsgründen 9 bis 200 dargelegten Erkenntnisse gelangt die Kommission zu dem Schluss, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die im Rahmen des Datenschutzrahmens EU-USA von einem Verantwortlichen oder Auftragsverarbeiter in der Europäischen Union (14) an zertifizierte Organisationen in den Vereinigten Staaten übermittelt werden.

(8)

Der Beschluss hat zur Folge, dass die Übermittlung personenbezogener Daten von Verantwortlichen und Auftragsverarbeitern in der Union (15) an zertifizierte Organisationen in den Vereinigten Staaten ohne weitere Genehmigung vorgenommen werden kann. Er wirkt sich nicht auf die unmittelbare Anwendung der Verordnung (EU) 2016/679 auf derartige Organisationen aus, wenn die in Artikel 3 der Verordnung festgelegten Bedingungen für den räumlichen Anwendungsbereich der Verordnung erfüllt sind.

(9)

Der Datenschutzrahmen EU-USA basiert auf einem Zertifizierungssystem, mit dem sich US-Organisationen zu einer Reihe von Datenschutzgrundsätzen verpflichten – die „Grundsätze des Datenschutzrahmens EU-USA“, einschließlich der Zusatzgrundsätze (im Folgenden zusammen „Grundsätze“) – herausgegeben vom U.S. Department of Commerce (Handelsministerium) und in Anhang I dieses Beschlusses enthalten. (16) Um für eine Zertifizierung im Rahmen des Datenschutzrahmens EU-USA infrage zu kommen, muss eine Organisation den Untersuchungs- und Durchsetzungsbefugnissen der Federal Trade Commission (FTC) oder des U.S. Department of Transportation (Verkehrsministerium) (17) unterliegen. Die Grundsätze gelten unmittelbar vom Zeitpunkt der Zertifizierung an. Wie in den Erwägungsgründen 48 bis 52 näher erläutert wird, sind die Organisationen des Datenschutzrahmens EU-USA verpflichtet, ihre Einhaltung der Grundsätze jährlich neu zertifizieren. (18)

(10)

Der durch den Datenschutzrahmen EU-USA gewährte Schutz gilt für alle personenbezogenen Daten, die aus der Union an Organisationen in den Vereinigten Staaten übermittelt werden, die sich gegenüber dem Handelsministerium zur Einhaltung der Grundsätze verpflichtet haben, mit Ausnahme von Daten, die zum Zwecke der Veröffentlichung, Verbreitung über Rundfunk und Fernsehen oder für andere Formen öffentlicher Kommunikation von journalistischem Material und von Informationen in bereits veröffentlichtem Material aus Medienarchiven erhoben werden. (19) Solche Informationen können daher nicht auf der Grundlage des Datenschutzrahmens EU-USA übermittelt werden.

(11)

Die Grundsätze definieren personenbezogene Daten/personenbezogene Informationen in derselben Weise wie die Verordnung (EU) 2016/679, d. h. als „in beliebiger Form aufgezeichnete Daten über eine identifizierte oder identifizierbare Person, die unter die DGSVO fallen und aus der Europäischen Union an eine Organisation in den Vereinigten Staaten übermittelt werden”. (20) Folglich umfassen sie auch pseudonymisierte (oder „verschlüsselte“) Forschungsdaten (selbst wenn der Schlüssel nicht mit der empfangenden US-Organisation geteilt wird). (21) Ebenso bezeichnet der Begriff „Verarbeitung“„jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe oder die Verbreitung sowie das Löschen oder Vernichten”. (22)

(12)

Der Datenschutzrahmen EU-USA gilt für Organisationen in den USA, die als Verantwortliche (d. h. die Person oder Organisation, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet) (23) oder als Auftragsverarbeiter (d. h. Beauftragte, die im Auftrag des Verantwortlichen handeln) (24) gelten. Auftragsverarbeiter in den USA müssen sich vertraglich verpflichten, nur auf Weisung des Verantwortlichen in der EU zu handeln und Letzteren dabei zu unterstützen, Privatpersonen die Wahrnehmung ihrer Rechte im Rahmen der Grundsätze zu erleichtern. (25) Darüber hinaus muss ein Auftragsverarbeiter im Falle der Unterauftragsverarbeitung einen Vertrag mit dem Unterauftragsverarbeiter abschließen, der das gleiche Schutzniveau sicherstellt, wie es die Grundsätze bieten, und für dessen ordnungsgemäße Umsetzung sorgen. (26)

(13)

Die Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen. Personenbezogene Daten sollten für einen bestimmten Zweck erhoben und anschließend nur verwendet werden, soweit dies mit dem Zweck der Verarbeitung nicht unvereinbar ist.

(14)

Im Rahmen des Datenschutzrahmens EU-USA wird dies durch verschiedene Grundsätze sichergestellt. Erstens darf eine Organisation nach dem Grundsatz der Datenintegrität und Zweckbindung, ähnlich wie nach Artikel 5 Absatz 1 Buchstabe b der Verordnung (EU) 2016/679, personenbezogene Daten nicht in einer Weise verarbeiten, die mit dem ursprünglichen Erhebungszweck oder mit dem Zweck unvereinbar ist, dem der Betroffene nachträglich zugestimmt hat. (27)

(15)

Zweitens muss die Organisation vor der Verwendung personenbezogener Daten für einen neuen (geänderten) Zweck, der sich deutlich von dem ursprünglichen Zweck unterscheidet, aber mit diesem dennoch vereinbar ist, oder vor der Offenlegung der Daten gegenüber einem Dritten, den betroffenen Personen die Möglichkeit geben, nach dem Grundsatz der Wahlmöglichkeit (28) durch ein leicht erkennbares, verständliches und leicht zugängliches Verfahren Widerspruch einzulegen (Opt-out). Wichtig ist, dass dieser Grundsatz das ausdrückliche Verbot einer unzulässigen Verarbeitung nicht aufhebt. (29)

(16)

Betrifft die Verarbeitung besondere Kategorien personenbezogener Daten, sollten besondere Garantien bestehen.

(17)

Im Einklang mit dem Grundsatz der Wahlmöglichkeit gelten besondere Garantien für die Verarbeitung „sensibler Informationen“, d. h. Angaben über den Gesundheitszustand, über Rassen- oder ethnische Zugehörigkeit, über politische, religiöse oder weltanschauliche Überzeugungen, über die Mitgliedschaft in einer Gewerkschaft oder über das Sexualleben der betroffenen Person oder sonstige von Dritten übermittelte Informationen, die der Übermittler als sensibel einstuft und behandelt. (30) Dies bedeutet, dass alle Daten, die nach dem Datenschutzrecht der Union als sensibel gelten (einschließlich Daten über die sexuelle Orientierung, genetische Daten und biometrische Daten), nach dem Datenschutzrahmen EU-USA von zertifizierten Organisationen als sensibel behandelt werden.

(18)

In der Regel müssen Organisationen die ausdrückliche Zustimmung (d. h. Opt-in) von Privatpersonen einholen, um sensible Daten für einen anderen als den ursprünglichen Erhebungszweck oder für den Zweck zu verwenden, dem die betroffene Person nachträglich (durch Opt-in) zugestimmt hat oder um die Daten an Dritte weiterzugeben. (31)

(19)

Eine solche Zustimmung muss nicht eingeholt werden, wenn bestimmte Umstände vorliegen, die vergleichbaren Ausnahmen im Datenschutzrecht der Union entsprechen, z. B. wenn die Verarbeitung sensibler Daten im lebenswichtigen Interesse einer Person liegt, zur Geltendmachung von Rechtsansprüchen oder für die medizinische Versorgung oder Diagnose erforderlich ist. (32)

(20)

Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Ferner müssen sie dem Zweck angemessen und dafür erheblich sein und dürfen das für die Zwecke der Verarbeitung notwendige Maß nicht überschreiten und sollten grundsätzlich nicht länger gespeichert werden, als dies für den Zweck, zu dem sie verarbeitet werden, erforderlich ist.

(21)

Nach dem Grundsatz der Datenintegrität und Zweckbindung (33) müssen personenbezogene Daten darauf beschränkt werden, was für den Zweck der Verarbeitung erheblich ist. Darüber hinaus müssen die Organisationen, in dem für die Zwecke der Verarbeitung erforderlichen Ausmaß, vernünftige Maßnahmen treffen, um sicherzustellen, dass personenbezogene Daten für den vorgesehenen Zweck hinreichend zuverlässig, genau, vollständig und aktuell sind.

(22)

Darüber hinaus dürfen personenbezogene Daten nur so lange in einer Form gespeichert werden, durch die eine Person identifiziert wird oder identifizierbar wird (d. h. als personenbezogene Daten) (34), wie dies dem Zweck bzw. den Zwecken dient, für den bzw. die sie ursprünglich erhoben wurden oder zu dem bzw. denen die Person nach dem Grundsatz der Wahlmöglichkeit nachträglich zugestimmt hat. Diese Verpflichtung hindert die Organisationen nicht daran, personenbezogene Daten über längere Zeiträume weiter zu verarbeiten, jedoch nur solange und soweit die Verarbeitung nach vernünftigem Ermessen einem der folgenden spezifischen Zwecke dient, die vergleichbaren Ausnahmen nach dem Datenschutzrecht der Union entsprechen: Archivierung im öffentlichen Interesse, Journalismus, Literatur und Kunst, wissenschaftliche und historische Forschung und statistische Analyse. (35) Werden personenbezogene Daten für einen dieser Zwecke gespeichert, so unterliegt ihre Verarbeitung den in den Grundsätzen enthaltenen Garantien. (36)

(23)

Personenbezogene Daten müssen zudem in einer Weise verarbeitet werden, die ihre Sicherheit gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Zu diesem Zweck müssen Verantwortliche und Auftragsverarbeiter geeignete technische oder organisatorische Maßnahmen treffen, um personenbezogene Daten vor möglichen Bedrohungen zu schützen. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik, der mit ihnen verbundenen Kosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken für die Rechte des Einzelnen bewertet werden.

(24)

Im Datenschutzrahmen EU-USA wird dies durch den Grundsatz der Sicherheit gewährleistet, wonach, ähnlich wie in Artikel 32 der Verordnung (EU) 2016/679, angemessene und geeignete Sicherheitsvorkehrungen zu treffen sind, mit denen den mit der Verarbeitung verbundenen Risiken und der Art der Daten Rechnung getragen wird. (37)

(25)

Betroffene Personen müssen über die Hauptmerkmale der Verarbeitung ihrer personenbezogenen Daten unterrichtet werden.

(26)

Dies wird durch den Grundsatz der Informationspflicht (38) gewährleistet, der ähnlich den Transparenzanforderungen der Verordnung (EU) 2016/679 von den Organisationen verlangt, die betroffenen Personen unter anderem über Folgendes zu unterrichten: i) die Tatsache, dass die Organisation dem Datenschutzrahmen unterliegt, ii) die Art der erhobenen Daten, iii) den Zweck der Verarbeitung, iv) die Art oder Identität von Dritten, denen personenbezogene Daten offengelegt werden können, und den Zweck der Offenlegung, v) ihre individuellen Rechte, vi) wie die Organisation kontaktiert werden kann und vii) verfügbare Rechtsbehelfe.

(27)

Diese Angaben sind den Betroffenen unmissverständlich und deutlich erkennbar zu machen, wenn die betroffenen Personen zum ersten Mal zur Bereitstellung personenbezogener Daten aufgefordert werden oder so bald wie möglich danach, auf jeden Fall aber, bevor die Daten für einen wesentlich anderen (aber kompatiblen) Zweck als den, für den sie erhoben wurden, verwendet oder an Dritte weitergegeben werden. (39)

(28)

Darüber hinaus müssen die Organisationen ihre Datenschutzbestimmungen, in denen die Grundsätze ihren Niederschlag finden, offenlegen (oder im Falle von Personaldaten den betroffenen Personen leicht zugänglich machen) und Links zur Website des Handelsministeriums (wo weitere Angaben zur Zertifizierung, zu den Rechten der betroffenen Personen und zu verfügbaren Rechtsbehelfen zu finden sind), zu der Liste der am Datenschutzrahmen teilnehmenden Organisationen (im Folgenden „Datenschutzrahmen-Liste“) und zur Website eines geeigneten Anbieters alternativer Streitbeilegungsverfahren bereitstellen. (40)

(29)

Betroffene Personen sollten bestimmte Rechte besitzen, die gegenüber dem Verantwortlichen oder dem Auftragsverarbeiter durchgesetzt werden können, insbesondere ein Auskunftsrecht, das Recht, der Verarbeitung zu widersprechen, und das Recht auf Berichtigung und Löschung von Daten.

(30)

Das Auskunftsrecht (41) des Datenschutzrahmens EU-USA räumt dem Einzelnen diese Rechte ein. Insbesondere haben betroffene Personen das Recht, ohne Angabe von Gründen von einer Organisation die Auskunft einzuholen, ob die Organisation sie betreffende personenbezogene Daten verarbeitet, sich die Daten binnen einer angemessenen Frist übermitteln zu lassen und Auskunft über den Zweck der Verarbeitung, die Kategorien personenbezogener Daten, die verarbeitet werden, und die (Kategorien von) Empfängern, denen die Daten offengelegt werden, zu erhalten. (42) Die Organisationen sind verpflichtet, Auskunftsersuchen innerhalb einer angemessenen Frist zu beantworten. (43) Eine Organisation kann die Anzahl der Auskunftsersuchen einer bestimmten Person innerhalb eines bestimmten Zeitraums angemessen begrenzen und eine Gebühr erheben, die nicht überhöht sein darf, z. B. wenn die Auskunftsersuchen offensichtlich überzogen sind, insbesondere bei ständiger Wiederholung. (44)

(31)

Das Auskunftsrecht darf nur unter außergewöhnlichen Umständen eingeschränkt werden, die den im Datenschutzrecht der Union vorgesehenen Umständen ähnlich sind, insbesondere wenn die legitimen Rechte anderer Personen verletzt würden, wenn die Belastung oder die Kosten für die Gewährung des Zugangs zu den Daten in einem Missverhältnis zu den Risiken für die Privatsphäre der betroffenen Person stehen (obwohl Kosten und Aufwand bei der Beurteilung der Angemessenheit der Gewährung des Zugangs nicht ausschlaggebend sind), insoweit, als ihre Bekanntgabe wesentliche öffentliche Belange gefährden würde wie die nationale Sicherheit, die Verteidigung oder die öffentliche Sicherheit, die Daten vertrauliche Geschäftsinformationen enthalten oder die Daten ausschließlich zu Forschungs- oder statistischen Zwecken verarbeitet werden. (45) Jede Verweigerung oder Einschränkung des Auskunftsrechts muss notwendig und hinreichend gerechtfertigt sein, wobei die Organisation die Beweislast dafür trägt, dass die Voraussetzungen erfüllt sind. (46) Bei dieser Beurteilung hat die Organisation insbesondere die Interessen des Einzelnen zu berücksichtigen. (47) Wenn sich bestimmte Daten von anderen Daten, für die eine Einschränkung gilt, trennen lassen, muss die Organisation die geschützten Daten unkenntlich machen und die übrigen Daten offenlegen. (48)

(32)

Darüber hinaus haben die betroffenen Personen das Recht, die Berichtigung oder Änderung unrichtiger Daten sowie die Löschung von unter Verstoß gegen die Grundsätze verarbeiteter Daten zu verlangen. (49) Wie in Erwägungsgrund 15 erläutert, haben natürliche Personen auch das Recht, der Verarbeitung ihrer Daten für Zwecke, die sich wesentlich von den Zwecken, für die die Daten erhoben wurden, unterscheiden (aber damit vereinbar sind), und der Weitergabe ihrer Daten an Dritte zu widersprechen. Werden personenbezogene Daten zu Zwecken der Direktwerbung verwendet, hat der Einzelne das allgemeine Recht, der Verarbeitung jederzeit zu widersprechen. (50)

(33)

Die Grundsätze befassen sich nicht speziell mit der Problematik von Entscheidungen, die sich auf die betroffene Person auswirken und ausschließlich auf der automatisierten Verarbeitung personenbezogener Daten beruhen. Bei personenbezogenen Daten, die in der Union erhoben wurden, wird jedoch jede Entscheidung, die auf einer automatisierten Verarbeitung beruht, typischerweise vom Verantwortlichen in der Union getroffen (der eine direkte Beziehung zu der betroffenen Person unterhält) und unterliegt somit unmittelbar der Verordnung (EU) 2016/679. (51) Dazu gehören auch Übermittlungsszenarien, bei denen die Verarbeitung von einem ausländischen (z. B. US-amerikanischen) Unternehmer vorgenommen wird, der als Beauftragter (Auftragsverarbeiter) im Namen des Verantwortlichen in der EU (oder als Unterauftragsverarbeiter im Namen des Auftragsverarbeiters in der EU, der die Daten von einem Verantwortlichen in der EU erhalten hat, der sie erhoben hat) handelt, der dann auf dieser Grundlage die Entscheidung trifft.

(34)

Dies wurde durch eine von der Kommission 2018 im Rahmen der zweiten jährlichen Überprüfung der Funktionsweise des Datenschutzschilds (52) in Auftrag gegebene Studie bestätigt, in der festgestellt wurde, dass es zum damaligen Zeitpunkt keine Belege dafür gab, dass die unter dem Datenschutzschild tätigen Organisationen in der Regel automatisierte Entscheidungen auf der Grundlage der im Rahmen des Datenschutzschilds übermittelten personenbezogenen Daten treffen.

(35)

In jedem Fall bietet das US-Recht in Bereichen, in denen eine hohe Wahrscheinlichkeit besteht, dass Unternehmen personenbezogene Daten automatisch verarbeiten, um Entscheidungen mit Auswirkungen auf einzelne Personen zu treffen (z. B. Kreditvergabe, Hypothekenangebote, Stellenbesetzung, Wohnungswesen und Versicherungen), spezifische Schutzvorkehrungen bei ablehnenden Entscheidungen. (53) In der Regel sehen diese Gesetze vor, dass die Betroffenen das Recht haben, über die konkreten Gründe für die Entscheidung (z. B. die Verweigerung eines Kredits) unterrichtet zu werden, bei unvollständigen oder ungenauen Informationen (sowie der Berücksichtigung unzulässiger Faktoren) Einspruch zu erheben und Rechtsschutz in Anspruch zu nehmen. Im Bereich des Verbraucherkredits enthalten der Fair Credit Reporting Act (Gesetz zur Regelung des Datenschutzes bei Konsumentenkrediten, im Folgenden „FCRA“) und der Equal Credit Opportunity Act (Gesetz über die Chancengleichheit bei der Kreditvergabe, im Folgenden „ECOA“) Schutzbestimmungen, die dem Verbraucher eine Art Erklärungs- und Widerspruchsrecht einräumen. Diese Gesetze sind für eine Vielzahl von Bereichen von Bedeutung, darunter Kredite, Stellenbesetzung, Wohnungswesen und Versicherungen. Darüber hinaus bieten bestimmte Antidiskriminierungsgesetze, wie Titel VII des Civil Rights Act (Gesetz zum Schutz der Bürgerrechte) und der Fair Housing Act (Gesetz über fairen Wohnraum), Privatpersonen Schutz vor Modellen, die bei der automatisierten Entscheidungsfindung verwendet werden und zu Diskriminierung aufgrund bestimmter Merkmale führen können, und geben Privatpersonen das Recht, solche Entscheidungen, einschließlich automatisierter Entscheidungen, anzufechten. In Bezug auf Gesundheitsinformationen gewährt der Health Insurance Portability and Accountability Act (Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen, im Folgenden „HIPAA“) bestimmte Rechte, die denen in Verordnung (EU) 2016/679 in Bezug auf den Zugang zu persönlichen Gesundheitsinformationen ähnlich sind. Darüber hinaus verlangen die US-Behörden in ihren Leitlinien, dass medizinische Dienstleister Informationen erhalten, die sie in die Lage versetzen, Privatpersonen über Systeme zur automatisierten Entscheidungsfindung zu informieren, die im medizinischen Bereich eingesetzt werden. (54)

(36)

In dem unwahrscheinlichen Fall, dass die dem Datenschutzrahmen EU-USA angehörende Organisation selbst automatisierte Entscheidungen trifft, bieten diese Bestimmungen daher einen ähnlichen Schutz wie das EU-Datenschutzrecht.

(37)

Das Schutzniveau für personenbezogene Daten, die aus der Union an Organisationen in den Vereinigten Staaten übermittelt werden, darf nicht durch die Weitergabe dieser Daten an Empfänger in den USA oder einem anderen Drittland beeinträchtigt werden.

(38)

Nach dem Grundsatz der Verantwortlichkeit für die Weitergabe (55) gelten besondere Regeln für die sogenannte „Weitergabe“, d. h. die Übermittlung personenbezogener Daten von einer dem Datenschutzrahmen EU-USA angehörenden Organisation an einen als Verantwortlicher oder Auftragsverarbeiter fungierenden Dritten, unabhängig davon, ob Letzterer sich in den USA oder einem Drittstaat außerhalb der USA (und der Union) befindet. Eine Weitergabe darf nur erfolgen i) für begrenzte und genau festgelegte Zwecke, ii) auf der Grundlage eines Vertrags zwischen der Organisation, die dem Datenschutzrahmen EU-USA angehört, und dem Dritten (56) (oder einer vergleichbaren Vereinbarung innerhalb einer Unternehmensgruppe (57)) und iii) nur, wenn dieser Vertrag den Dritten verpflichtet, das gleiche Schutzniveau zu gewährleisten, das durch die Grundsätze garantiert wird.

(39)

Diese Verpflichtung, das gleiche Schutzniveau wie die Grundsätze zu gewährleisten, bedeutet in Verbindung mit dem Grundsatz der Datenintegrität und der Zweckbindung insbesondere, dass der Dritte die ihm übermittelten personenbezogenen Daten nur für Zwecke verarbeiten darf, die nicht mit den Zwecken unvereinbar sind, für die sie erhoben wurden oder nachträglich vom Betroffenen autorisiert wurden (nach dem Grundsatz der Wahlmöglichkeit).

(40)

Der Grundsatz der Verantwortlichkeit für die Weitergabe ist auch in Verbindung mit dem Grundsatz der Informationspflicht und bei der Weitergabe an einen als Verantwortlichen fungierenden Dritten (58), dem Grundsatz der Wahlmöglichkeit zu sehen, wonach betroffene Personen (unter anderem) über die Art/Identität des Drittempfängers, den Zweck der Weitergabe und die vorhandenen Wahlmöglichkeiten unterrichtet werden müssen und gegen die Weitergabe Einspruch erheben können (Opt-out) oder ihr im Falle sensibler Daten „ausdrücklich zustimmen“ müssen (Opt-in).

(41)

Die Verpflichtung, das gleiche Schutzniveau vorzusehen wie die Grundsätze, gilt für alle Dritten, die an der Verarbeitung der so übermittelten Daten beteiligt sind, unabhängig von ihrem Standort (ob in den USA oder einem anderen Drittland), aber auch für den Fall, dass der ursprüngliche Drittempfänger selbst diese Daten einem anderen Drittempfänger übermittelt, beispielsweise für Zwecke der Weiterverarbeitung.

(42)

In allen Fällen muss der Vertrag mit dem Drittempfänger die Bestimmung enthalten, dass Letzterer die dem Datenschutzrahmen EU-USA angehörende Organisation benachrichtigt, wenn er zu dem Schluss kommt, dass er diese Verpflichtung nicht länger einhalten kann. Wenn diese Situation eintritt, muss die Verarbeitung durch den Dritten eingestellt oder es müssen andere sinnvolle und geeignete Schritte unternommen werden, um Abhilfe zu schaffen. (59)

(43)

Zusätzliche Schutzmaßnahmen sind für den Fall der Weitergabe an einen im Auftrag handelnden Dritten vorgesehen (d. h. einen Auftragsverarbeiter). In solch einem Fall muss die US-Organisation sicherstellen, dass der Beauftragte nur auf ihre Weisung hin handelt und angemessene und geeignete Maßnahmen treffen, um i) sicherzustellen, dass der Beauftragte die übermittelten personenbezogenen Daten tatsächlich auf eine Weise verarbeitet, die mit den Verpflichtungen der Organisation im Rahmen der Grundsätze in Einklang stehen, und ii) eine nicht autorisierte Verarbeitung zu unterbinden und Abhilfe zu schaffen, sobald sie davon Kenntnis erlangt. (60) Die Organisation kann vom Handelsministerium aufgefordert werden, eine Zusammenfassung oder eine repräsentative Kopie der Datenschutzbestimmungen des Vertrags vorzulegen. (61) Falls in der (Weiter-)Verarbeitungskette Compliance-Probleme auftreten, so haftet grundsätzlich die Organisation, die als Verantwortliche für die personenbezogenen Daten auftritt, nach dem Grundsatz des Rechtsschutzes, der Durchsetzung und Haftung, es sei denn, sie weist nach, dass sie für das Ereignis, das den Schaden bewirkt hat, nicht verantwortlich ist. (62)

(44)

Nach dem Grundsatz der Rechenschaftspflicht müssen Daten verarbeitende Unternehmen geeignete technische und organisatorische Maßnahmen treffen, um ihren Datenschutzverpflichtungen wirksam nachzukommen und dies, insbesondere gegenüber der zuständigen Aufsichtsbehörde, nachweisen zu können.

(45)

Sobald sich eine Organisation freiwillig für eine Zertifizierung (63) im Rahmen des Datenschutzrahmens EU-USA entschieden hat, ist die wirksame Einhaltung der Grundsätze verbindlich und durchsetzbar. Nach dem Grundsatz des Rechtsschutzes, der Durchsetzung und der Haftung (64) müssen die dem Datenschutzrahmen EU-USA angehörenden Organisationen wirksame Mechanismen schaffen, um die Einhaltung der anderen Grundsätze sicherzustellen. Überdies müssen die Organisationen Maßnahmen treffen, um sich zu vergewissern (65), dass die Datenschutzbestimmungen den Grundsätzen entsprechen und tatsächlich eingehalten werden. Dies kann entweder durch ein System der Selbstkontrolle erfolgen, das interne Verfahren einschließen muss, die sicherstellen, dass die Mitarbeiter in der Umsetzung der Datenschutzbestimmungen der Organisation unterwiesen werden und die Einhaltung in regelmäßigen Abständen objektiv überprüft wird, oder aber externe Überprüfungen, zu denen Wirtschaftsprüfungen und Stichprobenkontrollen sowie der Einsatz von technischen Hilfsmitteln gehören können.

(46)

Darüber hinaus müssen Organisationen ihre Unterlagen zur Umsetzung ihrer nach den Grundsätzen des Datenschutzrahmens EU-USA konzipierten Datenschutzbestimmungen dokumentieren und im Fall einer Untersuchung oder einer Beschwerde wegen Verletzung der Datenschutzvorschriften ihre Unterlagen einer unabhängigen Beschwerdestelle oder einer zuständigen Durchsetzungsbehörde übergeben. (66)

(47)

Der Datenschutzrahmen EU-USA wird vom Handelsministerium verwaltet und überwacht. Der Rahmen sieht Überwachungs- und Durchsetzungsmechanismen vor, um zu überprüfen und sicherzustellen, dass die Organisationen, die dem Datenschutzrahmen EU-USA angehören, die Grundsätzen einhalten und dass bei Verstößen gegen diese Grundsätze vorgegangen wird. Diese Mechanismen werden in den Grundsätzen (Anhang I), in den Zusagen des Handelsministeriums (Anhang III), der FTC (Anhang IV) und des Verkehrsministeriums (Anhang V) beschrieben.

(48)

Um sich im Rahmen des Datenschutzrahmens EU-USA zu zertifizieren (bzw. jährlich neu zu zertifizieren), müssen Organisationen öffentlich erklären, dass sie sich zur Einhaltung der Grundsätze verpflichten, ihre Datenschutzbestimmungen zur Verfügung stellen und diese vollständig umsetzen. (67) Im Rahmen ihres Antrags auf (erneute) Zertifizierung müssen die Organisationen dem Handelsministerium unter anderem Informationen über den Namen der betreffenden Organisation, eine Beschreibung der Zwecke, für die die Organisation personenbezogene Daten verarbeiten wird, die personenbezogenen Daten, auf die sich die Zertifizierung erstrecken soll, die gewählte Überprüfungsmethode, die entsprechende unabhängige Beschwerdestelle und die für die Durchsetzung der Einhaltung der Grundsätze zuständige Behörde vorlegen. (68)

(49)

Organisationen können ab dem Datum, an dem sie vom Handelsministerium in die Datenschutzrahmen-Liste aufgenommen werden, personenbezogene Daten auf der Grundlage des Datenschutzrahmens EU-USA erhalten. Um Rechtssicherheit zu gewährleisten und „falsche Behauptungen“ zu vermeiden, dürfen Organisationen, die sich zum ersten Mal zertifizieren lassen, erst dann öffentlich auf ihre Einhaltung der Grundsätze hinweisen, wenn das Handelsministerium festgestellt hat, dass der Zertifizierungsantrag der Organisation vollständig ist, und die Organisation in die Datenschutzrahmen-Liste aufgenommen hat. (69) Damit sich diese Organisationen weiterhin auf den Datenschutzrahmen EU-USA stützen können, um personenbezogene Daten aus der Union zu erhalten, müssen sie ihre Beteiligung daran jährlich neu zertifizieren. Wenn eine Organisation aus irgendeinem Grund aus dem Datenschutzrahmen EU-USA austritt, muss sie alle Erklärungen entfernen, die darauf hindeuten, dass die Organisation weiterhin an dem Rahmenwerk beteiligt ist. (70)

(50)

Wie in den Verpflichtungen in Anhang III dargelegt, wird das Handelsministerium überprüfen, ob die Organisationen alle Zertifizierungsanforderungen erfüllen und eine (öffentliche) Datenschutzerklärung erstellt haben, die die nach dem Grundsatz der Informationspflicht erforderlichen Informationen enthält. (71) Aufbauend auf den Erfahrungen mit dem (erneuten) Zertifizierungsverfahren im Rahmen des Datenschutzschilds wird das Handelsministerium eine Reihe von Überprüfungen durchführen, u. a. um festzustellen, ob die Datenschutzbestimmungen der Organisationen einen Hyperlink zum richtigen Beschwerdeformular auf der Website der entsprechenden Beschwerdestelle enthalten und, wenn mehrere Einrichtungen und Tochterunternehmen einer Organisation in einem Antrag auf Zertifizierung enthalten sind, ob die Datenschutzbestimmungen jeder dieser Einrichtungen die Zertifizierungsanforderungen erfüllen und für die betroffenen Personen leicht zugänglich sind. (72) Darüber hinaus wird das Handelsministerium bei Bedarf Gegenkontrollen mit der FTC und dem Verkehrsministerium durchführen, um zu überprüfen, ob die Organisationen der in ihrem Antrag auf (erneute) Zertifizierung angegebenen Aufsichtsstelle unterliegen, und mit alternativen Streitbeilegungsstellen zusammenarbeiten, um zu überprüfen, ob die Organisationen bei der in ihrem Antrag auf (erneute) Zertifizierung angegebenen unabhängigen Beschwerdestelle registriert sind. (73)

(51)

Das Handelsministerium wird die Organisationen darüber informieren, dass sie alle während der Überprüfung festgestellten Probleme lösen müssen, um die (erneute) Zertifizierung abschließen zu können. Reagiert eine Organisation nicht innerhalb der vom Handelsministerium gesetzten Frist (z. B. wird bei der erneuten Zertifizierung erwartet, dass das Verfahren innerhalb von 45 Tagen abgeschlossen ist) (74) oder schließt sie ihre Zertifizierung nicht anderweitig ab, wird der Antrag als aufgegeben betrachtet. In diesem Fall können falsche Angaben zur Beteiligung an dem Datenschutzrahmen EU-USA oder zu seiner Einhaltung Gegenstand von Durchsetzungsmaßnahmen der FTC oder des Verkehrsministeriums sein. (75)

(52)

Um die ordnungsgemäße Anwendung des Datenschutzrahmens EU-USA zu gewährleisten, müssen interessierte Parteien wie betroffene Personen, Datenexporteure und die nationalen Datenschutzbehörden in der Lage sein, die Organisationen zu erkennen, die sich an die Grundsätze halten. Um diese Transparenz an der „Zugangsstelle“ zu gewährleisten, hat sich das Handelsministerium verpflichtet, eine Liste der Organisationen zu führen und öffentlich zugänglich zu machen, die ihre Einhaltung der Grundsätze bescheinigt haben und in den Zuständigkeitsbereich mindestens einer der in den Anhängen IV und V dieses Beschlusses aufgeführten Durchsetzungsbehörden fallen. (76) Das Handelsministerium aktualisiert die Liste auf der Grundlage der jährlichen Anträge auf erneute Zertifizierung und streicht die Organisationen, die ausscheiden oder nicht mehr dem Datenschutzrahmen EU-USA angehören. Um Transparenz auch an der „Ausgangsstelle“ zu gewährleisten, wird das Handelsministerium ein Verzeichnis der Organisationen, die von der Liste gestrichen wurden, führen und öffentlich zugänglich machen, wobei in jedem Fall der Grund für die Streichung angegeben wird. (77) Schließlich wird es einen Link zur Website der FTC zum EU-US Datenschutzrahmen geben, auf der die Durchsetzungsmaßnahmen der FTC auf der Grundlage des Rechtsrahmens aufgeführt sind. (78)

(53)

Das Handelsministerium wird die tatsächliche Einhaltung der Grundsätze durch die dem Datenschutzrahmen EU-USA angehörenden Organisationen mithilfe verschiedener Mechanismen fortlaufend überwachen. (79) Insbesondere wird sie „Stichproben“ bei nach dem Zufallsprinzip ausgewählten Organisationen sowie Ad-hoc-Stichproben bei bestimmten Organisationen durchführen, wenn potenzielle Probleme bei der Einhaltung der Grundsätze festgestellt werden (z. B. wenn Dritte der Kommission Bericht erstatten), um zu überprüfen, ob i) Kontaktstellen für die Bearbeitung von Beschwerden und Anfragen betroffener Personen vorhanden sind und auf diese reagiert wird, ii) die Datenschutzpolitik der Organisation sowohl auf ihrer Website als auch über einen Hyperlink auf der Website des Handelsministeriums leicht zugänglich ist, iii) die Datenschutzbestimmungen der Organisation weiterhin den Zertifizierungsanforderungen entsprechen und iv) die von der Organisation gewählte unabhängige Beschwerdestelle für die Bearbeitung von Beschwerden zur Verfügung steht. (80)

(54)

Wenn es stichhaltige Beweise dafür gibt, dass eine Organisation ihren Verpflichtungen im Rahmen der Datenschutzrahmens EU-USA nicht nachkommt (auch wenn das Handelsministerium Beschwerden erhält oder die Organisation nicht zufriedenstellend auf Anfragen des Handelsministeriums antwortet), wird das Handelsministerium die Organisation auffordern, einen detaillierten Fragebogen auszufüllen und einzureichen. (81) Eine Organisation, die den Fragebogen nicht zufriedenstellend und fristgerecht beantwortet, wird an die zuständige Behörde (die FTC oder das Verkehrsministerium) verwiesen, damit diese gegebenenfalls Durchsetzungsmaßnahmen trifft. (82) Im Rahmen der Überwachung der Einhaltung des Datenschutzschilds führte das Handelsministerium regelmäßig die in Erwägungsgrund 53 erwähnten Stichproben durch und verfolgte kontinuierlich die öffentliche Berichterstattung, um Probleme bei der Einhaltung der Grundsätze zu ermitteln, anzugehen und zu beheben. (83) Organisationen, die fortwährend gegen die Grundsätze verstoßen, werden von der Datenschutzrahmen-Liste gestrichen und müssen die im Rahmen des Datenschutzrahmens empfangenen Daten zurückgeben oder löschen. (84)

(55)

In anderen Fällen der Streichung, etwa beim freiwilligen Ausscheiden oder beim Unterbleiben der erneuten Zertifizierung, muss die Organisation die Daten entweder löschen oder zurückgeben, oder sie kann sie behalten, wenn sie sich dem Handelsministerium gegenüber jährlich dazu verpflichtet, die Grundsätze weiterhin anzuwenden, oder für den angemessenen Schutz der personenbezogenen Daten durch andere zulässige Mittel sorgt (z. B. durch einen Vertrag, der den Anforderungen der von der Kommission gebilligten einschlägigen Standardklauseln vollauf genügt). (85) In diesem Falle muss die Organisation auch eine Kontaktstelle benennen, die innerhalb der Organisation für alle mit dem Datenschutzrahmen EU-USA zusammenhängenden Fragen zuständig ist.

(56)

Das Handelsministerium wird sowohl von Amts wegen als auch auf der Grundlage von Beschwerden (z. B. von Datenschutzbehörden) alle falschen Behauptungen über die Beteiligung am Datenschutzrahmen EU-USA oder die missbräuchliche Verwendung des Zertifizierungszeichens für den Datenschutzrahmen EU-USA überwachen. (86) Insbesondere wird das Handelsministerium fortlaufend überprüfen, ob Organisationen, die i) aus dem Datenschutzrahmen EU-USA ausscheiden, ii) die jährliche erneute Zertifizierung nicht abschließen (d. h. entweder begonnen haben, aber das jährliche Verfahren der erneuten Zertifizierung nicht rechtzeitig abgeschlossen haben, oder das jährliche Verfahren der erneuten Zertifizierung gar nicht erst begonnen haben), iii) insbesondere aufgrund „fortgesetzter Missachtung der Grundsätze“ von der Beteiligung am Datenschutzrahmen ausgeschlossen werden oder iv) eine erste Zertifizierung nicht abschließen (d. h. begonnen haben, aber das erste Zertifizierungsverfahren nicht rechtzeitig abgeschlossen haben), aus allen relevanten veröffentlichten Datenschutzbestimmungen Verweise auf den Datenschutzrahmen EU-USA entfernen, die auf eine aktive Beteiligung der Organisation an dem Datenschutzrahmen hindeuten. (87) Das Handelsministerium wird auch Internet-Recherchen durchführen, um Verweise auf den Datenschutzrahmen EU-USA in den Datenschutzbestimmungen von Organisationen zu finden, einschließlich falscher Behauptungen von Organisationen, die sich nie am Datenschutzrahmen EU-USA beteiligt haben. (88)

(57)

Stellt das Handelsministerium fest, dass Verweise auf den Datenschutzrahmen EU-USA nicht entfernt wurden oder missbräuchlich verwendet werden, wird es die Organisation über eine mögliche Verweisung an die FTC/das Verkehrsministerium informieren. (89) Wenn eine Organisation nicht zufriedenstellend antwortet, wird das Handelsministerium die Angelegenheit an die zuständige Behörde weiterleiten, damit diese gegebenenfalls Maßnahmen trifft. (90) Bei falschen Angaben über die Einhaltung der Datenschutzgrundsätze, die eine Organisation der Öffentlichkeit gegenüber in Form von irreführenden Erklärungen oder Praktiken macht, werden die FTC, das Verkehrsministerium oder andere Durchsetzungsbehörden der USA tätig. Falsche Angaben gegenüber dem Handelsministerium unterliegen dem False Statements Act (18 U.S.C. § 1001).

(58)

Um sicherzustellen, dass in der Praxis ein angemessenes Datenschutzniveau gewährleistet ist, sollte eine unabhängige Aufsichtsbehörde mit der Befugnis zur Überwachung und Durchsetzung der Einhaltung der Datenschutzvorschriften eingerichtet werden.

(59)

Organisationen, die dem Datenschutzrahmen EU-USA angehören, müssen der Gerichtsbarkeit der zuständigen US-Behörden – der FTC und des Verkehrsministeriums – unterstehen, die über die notwendigen Ermittlungs- und Durchsetzungsbefugnisse verfügen, um die Einhaltung der Grundsätze wirksam zu gewährleisten. (91)

(60)

Die FTC ist eine unabhängige Behörde, die sich aus fünf Kommissaren zusammensetzt, die vom Präsidenten mit dem Rat und der Zustimmung des Senats ernannt werden. (92) Die Kommissare werden für eine Amtszeit von sieben Jahren ernannt und können nur vom Präsidenten wegen Unfähigkeit, Pflichtversäumnis oder Amtsmissbrauch entlassen werden. Nicht mehr als drei Kommissare dürfen derselben politischen Partei angehören und die Kommissare dürfen während ihrer Amtszeit keine anderen Geschäfte betreiben und Berufstätigkeiten ausüben sowie keine anderen Beschäftigungsverhältnisse eingehen.

(61)

Die FTC kann sowohl die Einhaltung der Grundsätze als auch falsche Behauptungen über die Einhaltung der Grundsätze oder die Beteiligung am Datenschutzrahmen EU-USA durch Organisationen untersuchen, die entweder nicht mehr auf der Datenschutzrahmen-Liste stehen oder nie zertifiziert wurden. (93) Die FTC kann die Einhaltung der Vorschriften durchsetzen, indem sie behördliche oder bundesgerichtliche Anordnungen (einschließlich im Wege durch Vergleiche erzielten „Consent orders“) (94) für vorläufige oder dauerhafte Unterlassungsverfügungen oder andere Abhilfemaßnahmen erwirkt, und sie wird die Einhaltung solcher Anordnungen systematisch überwachen (95). Bei Nichtbefolgung solcher Anordnungen kann die FTC zivilrechtliche Sanktionen und sonstige Abhilfemaßnahmen einfordern, was auch etwaigen Schadensersatz für die Folgen des rechtswidrigen Verhaltens einschließt. Jeder an eine dem Datenschutzrahmen EU-USA angehörende Organisation ergangene Consent order enthält Bestimmungen zur Selbstberichterstattung (96), und die Organisationen sind verpflichtet, alle relevanten Abschnitte eines der FTC vorgelegten Einhaltungs- oder Bewertungsberichts, die sich auf den Datenschutzrahmen EU-USA beziehen, zu veröffentlichen. Darüber hinaus führt die FTC eine Online-Liste der Organisationen, die Anordnungen der FTC oder eines Gerichts im Zusammenhang mit dem Datenschutzrahmen EU-USA unterliegen. (97)

(62)

Im Zusammenhang mit dem Datenschutzschild hat die FTC in etwa 22 Fällen Durchsetzungsmaßnahmen getroffen, und zwar sowohl bei Verstößen gegen die spezifischen Anforderungen des Rahmenwerks (z. B. Versäumnis, dem Handelsministerium zu bestätigen, dass die Organisation auch nach dem Ausscheiden aus dem Rahmenwerk weiterhin den Schutz des Datenschutzschilds anwendet, Versäumnis, durch Selbstkontrolle oder durch die Kontrolle einer externen Stelle zu überprüfen, ob die Organisation die Grundsätze einhält) (98), als auch bei falschen Behauptungen über die Beteiligung am Rahmenwerk (z. B. durch Organisationen, die es versäumt haben, die erforderlichen Schritte zu unternehmen, um die Zertifizierung zu erhalten, oder die ihre Zertifizierung auslaufen ließen, aber ihre weitere Beteiligung falsch darstellten) (99). Diese Durchsetzungsmaßnahme resultierte unter anderem aus dem proaktiven Einsatz von behördlichen Anordnungen zur Einholung von Informationen von bestimmten Teilnehmern des Datenschutzschilds, um zu prüfen, ob materielle Verstöße gegen die Verpflichtungen des Datenschutzschilds vorliegen. (100)

(63)

Generell hat die FTC in den vergangenen Jahren Durchsetzungsmaßnahmen in einer Reihe von Fällen getroffen, in denen es um die Einhaltung spezifischer Datenschutzanforderungen ging, die auch im Rahmen des Datenschutzrahmens EU-USA vorgesehen sind, z. B. in Bezug auf die Grundsätze der Zweckbindung und der Vorratsdatenspeicherung (101), der Datenminimierung (102), der Datensicherheit (103) und der Datenrichtigkeit (104).

(64)

Das Verkehrsministerium verfügt über die alleinige Befugnis, die Datenschutzpraxis von Luftverkehrsgesellschaften zu regulieren, und mit der FTC über die gemeinsame Befugnis, die Datenschutzpraxis der Inhaber von Verkaufsstellen für Flugtickets zu regeln. Die Mitarbeiter des Verkehrsministeriums bemühen sich zunächst um eine Vereinbarung und können, wenn dies nicht möglich ist, ein Durchsetzungsverfahren mit einer Beweisverhandlung vor einem Verwaltungsrichter des Verkehrsministeriums einleiten, der befugt ist, Unterlassungsanordnungen und zivilrechtliche Sanktionen festzulegen. (105) Verwaltungsrichter genießen nach dem Administrative Procedure Act (APA) (Verwaltungsverfahrensgesetz) eine Reihe von Schutzmaßnahmen, die ihre Unabhängigkeit und Unparteilichkeit gewährleisten. Sie können z. B. nur aus wichtigem Grund entlassen werden, werden nach dem Rotationsprinzip mit Rechtssachen betraut, dürfen keine Aufgaben wahrnehmen, die mit ihren Pflichten und Verantwortlichkeiten als Verwaltungsrichter unvereinbar sind, unterliegen nicht der Aufsicht der Ermittlungsgruppe der Behörde, bei der sie angestellt sind (in diesem Fall das Verkehrsministerium) und müssen ihr Amt als Richter/Vollzugsrichter unparteiisch ausüben. (106) Das Verkehrsministerium hat sich verpflichtet, die Durchsetzungsmaßnahmen zu überwachen und sicherzustellen, dass Anordnungen, die sich aus Fällen im Zusammenhang mit dem Datenschutzrahmen EU-USA ergeben, auf seiner Website verfügbar sind. (107)

(65)

Um einen angemessenen Schutz und insbesondere die Durchsetzung der Rechte des Einzelnen zu gewährleisten, sollten der betroffenen Person wirksame behördliche und gerichtliche Rechtsbehelfe zur Verfügung stehen.

(66)

Im Rahmen des Grundsatzes des Rechtsschutzes, der Durchsetzung und der Haftung verpflichtet der Datenschutzrahmen EU-USA die Organisationen, Personen, die von der Nichteinhaltung der Vorschriften betroffen sind, Rechtsbehelfe zur Verfügung zu stellen und somit den betroffenen Personen in der Union die Möglichkeit einzuräumen, Beschwerden wegen der Nichteinhaltung der Grundsätze durch die Organisationen, die dem Datenschutzrahmen EU-USA angehören, einzulegen und eine Klärung herbeizuführen, erforderlichenfalls durch eine Entscheidung, die wirksam Abhilfe schafft. (108) Im Rahmen ihrer Zertifizierung müssen die Organisationen den Anforderungen dieses Grundsatzes gerecht werden, indem sie effektive und stets verfügbare unabhängige Rechtsschutzmechanismen vorsehen, durch die Beschwerden und Streitigkeiten bearbeitet und rasch geklärt werden können, ohne dass für den Einzelnen Kosten entstehen. (109)

(67)

Die Organisationen können sich für unabhängige Beschwerdestellen in der Europäischen Union oder in den Vereinigten Staaten entscheiden. Wie in Erwägungsgrund 73 näher erläutert, schließt dies die Möglichkeit ein, sich freiwillig zur Zusammenarbeit mit den Datenschutzbehörden der EU zu verpflichten. Wenn Organisationen Personaldaten verarbeiten, ist eine solche Verpflichtung zur Zusammenarbeit mit den Datenschutzbehörden in der EU obligatorisch. Als Alternativen dazu kommen eine unabhängige alternative Streitbeilegung oder im Privatsektor entwickelte Datenschutzprogramme, welche die Datenschutzgrundsätze in ihre Regeln inkorporieren, in Betracht. Letztere müssen entsprechend den Anforderungen des Grundsatzes des Rechtsschutzes, der Durchsetzung und der Haftung wirksame Durchsetzungsmechanismen vorsehen.

(68)

Folglich bietet der Datenschutzrahmen EU-USA betroffenen Personen eine Reihe von Möglichkeiten, ihr Recht durchzusetzen, Beschwerden über Verstöße von dem Datenschutzrahmen EU-USA angehörenden Organisationen einzulegen und eine Klärung herbeizuführen, erforderlichenfalls durch eine Entscheidung, die wirksam Abhilfe schafft. Privatpersonen können eine Beschwerde direkt an eine Organisation, eine von der Organisation benannte unabhängige Beschwerdestelle, nationale Datenschutzbehörden, das Handelsministerium oder die FTC richten. In Fällen, in denen die Beschwerden durch keines dieser Rechtsschutz- oder Durchsetzungsinstrumente geklärt werden konnten, haben Privatpersonen auch das Recht, ein verbindliches Schiedsverfahren zu beantragen (Anhang 1 zu Anhang I des vorliegenden Beschlusses). Mit Ausnahme des Schiedspanels, dessen Anrufung die Ausschöpfung bestimmter Rechtsbehelfe voraussetzt, können sich Privatpersonen frei für ein oder alle Rechtsinstrument(e) ihrer Wahl entscheiden und sind nicht verpflichtet, ein bestimmtes Instrument zu bevorzugen oder eine bestimmte Reihenfolge einzuhalten.

(69)

Erstens können betroffene Personen in der Union durch direkte Kontakte zu den dem Datenschutzrahmen EU-USA angehörenden Organisationen ihre Rechte geltend machen und Verstößen gegen die Datenschutzgrundsätze nachgehen. (110) Um eine Klärung zu erleichtern, muss die Organisation einen wirksamen Rechtsschutzmechanismus vorsehen, mit dem derartigen Beschwerden abgeholfen wird. Deshalb müssen die Datenschutzbestimmungen einer Organisation präzise Angaben zu einer Kontaktstelle innerhalb oder außerhalb der Organisation enthalten, die Beschwerden entgegennimmt (auch zu einer entsprechenden Niederlassung in der Europäischen Union, die Anfragen und Beschwerden bearbeitet), sowie Angaben zu der benannten unabhängigen Beschwerdestelle (siehe Erwägungsgrund 70). Nach Eingang einer individuellen Beschwerde, auch wenn sie nicht direkt eingereicht, sondern von einer Datenschutzbehörde an das Handelsministerium weitergeleitet wurde, muss die Organisation innerhalb einer Frist von 45 Tagen der betroffenen Person in der Union darauf antworten. (111) Des Weiteren sind die Organisationen verpflichtet, unverzüglich auf Anfragen und andere Auskunftsbegehren des Handelsministeriums oder einer Datenschutzbehörde (112) (sofern sich die Organisation zur Zusammenarbeit mit den Datenschutzbehörden verpflichtet hat) zu reagieren, die sich auf die Einhaltung der Datenschutzgrundsätze beziehen.

(70)

Zweitens können Privatpersonen eine Beschwerde auch direkt bei der von einer Organisation benannten unabhängigen Beschwerdestelle (entweder in den USA oder in der EU) einreichen, die Individualbeschwerden (sofern sie nicht offensichtlich unbegründet oder nicht ernsthaft sind) nachgeht und eine Klärung herbeiführt sowie Privatpersonen kostenlos angemessenen Rechtsschutz gewährt. (113) Die von dieser Stelle verfügten Sanktionen und Abhilfemaßnahmen müssen hinreichend effektiv sein, damit sich die Organisationen an die Grundsätze halten, und sollten darauf gerichtet sein, dass die Folgen der Verstöße von der Organisation abgestellt oder rückgängig gemacht werden und, je nach Sachlage, die infrage stehenden personenbezogenen Daten nicht weiter bearbeitet und/oder gelöscht werden sowie die festgestellten Verstöße öffentlich bekannt gemacht werden. (114) Die von einer Organisation benannten unabhängigen Beschwerdestellen sind verpflichtet, auf ihren öffentlichen Websites einschlägige Informationen zum Datenschutzrahmen EU-USA und zu den in diesem Rahmen erbrachten Dienstleistungen zu veröffentlichen. (115) Alljährlich müssen sie einen Bericht vorlegen, der zusammengefasste statistische Angaben zu diesen Dienstleistungen enthält. (116)

(71)

Das Handelsministerium kann sich im Rahmen seiner Überprüfungsverfahren vergewissern, dass die Organisationen, die dem Datenschutzrahmen EU-USA angehören, tatsächlich bei den unabhängigen Beschwerdestellen registriert sind, die sie angegeben haben. (117) Sowohl die Organisationen als auch die zuständigen unabhängigen Beschwerdestellen sind gehalten, rasch auf Anfragen und Auskunftsbegehren des Handelsministeriums in Bezug auf den Datenschutzrahmens EU-USA zu reagieren. Das Handelsministerium wird mit unabhängigen Beschwerdestellen zusammenarbeiten, um zu überprüfen, ob diese auf ihren Websites Informationen über die Grundsätze und Dienstleistungen bereitstellen, die sie im Rahmen des Datenschutzrahmens EU-USA erbringen, und ob sie Jahresberichte veröffentlichen. (118)

(72)

Sofern die Organisation der Entscheidung einer Beschwerdestelle oder Einrichtung der freiwilligen Selbstkontrolle nicht nachkommt, muss die besagte Stelle das Handelsministerium und die FTC (oder eine andere für die Untersuchung von Verstößen der Organisation zuständige US-Behörde) bzw. ein zuständiges Gericht davon in Kenntnis setzen. (119) Wenn sich eine Organisation weigert, der abschließenden Entscheidung einer Einrichtung der freiwilligen Selbstkontrolle, unabhängigen Beschwerdestelle oder staatlichen Einrichtung, nachzukommen und diese Stelle zu dem Schluss gelangt, dass eine Organisation häufig gegen die Grundsätze verstößt, kann dies als fortgesetzte Missachtung der Grundsätze gewertet werden und hat zur Folge, dass das Handelsministerium nach Setzung einer Frist von 30 Tagen, in der sich die betreffende Organisation dazu äußern kann, die Organisation von der Datenschutzrahmen-Liste streicht. (120) Sollte sich diese nach Streichung von der Liste weiterhin auf die Zertifizierung beim Datenschutzrahmen EU-USA berufen, verweist das Ministerium den Fall an die FTC oder eine andere Durchsetzungsinstanz. (121)

(73)

Drittens können Privatpersonen ihre Beschwerden auch bei einer nationalen Datenschutzbehörde in der Union einreichen, die von ihren Untersuchungs- und Abhilfebefugnissen nach der Verordnung (EU) 2016/679 Gebrauch machen kann. Die Organisationen sind verpflichtet, bei der Prüfung und Klärung einer Beschwerde durch eine nationale Datenschutzbehörde mitzuwirken, wenn es um Personaldaten geht, die im Rahmen eines Beschäftigungsverhältnisses erhoben wurden, oder wenn sie sich freiwillig der Kontrolle durch die Datenschutzbehörden unterstellt haben. (122) Vor allem müssen sie Anfragen beantworten, die von den Datenschutzbehörden abgegebenen Empfehlungen befolgen, auch bei Abhilfe- oder Ausgleichsmaßnahmen, und den Datenschutzbehörden gegenüber schriftlich bestätigen, dass derartige Maßnahmen getroffen wurden. (123) Im Falle der Nichtbefolgung der Empfehlungen der Datenschutzbehörde leitet diese solche Fälle an das Handelsministerium (das Organisationen von der Liste des Datenschutzrahmens EU-USA streichen kann) oder, für mögliche Durchsetzungsmaßnahmen, an die FTC oder das Verkehrsministerium weiter (die Nichtzusammenarbeit mit den Datenschutzbehörden oder die Nichteinhaltung der Grundsätze sind nach US-Recht strafbar). (124)

(74)

Um die Zusammenarbeit im Hinblick auf eine effiziente Bearbeitung von Beschwerden zu erleichtern, haben sowohl das Handelsministerium als auch die FTC eine spezielle Kontaktstelle eingerichtet, die für den direkten Kontakt mit den Datenschutzbehörden zuständig ist. (125) Diese Kontaktstellen helfen bei der Beantwortung von Anfragen der Datenschutzbehörde in Bezug auf die Einhaltung der Grundsätze durch eine Organisation.

(75)

Die Datenschutzbehörde (126) gibt erst dann eine Empfehlung ab, wenn beide Parteien hinreichend Gelegenheit zur Stellungnahme oder zum Vorlegen von Beweisen hatten. Das Gremium kann die Empfehlungen so rasch zur Verfügung stellen, wie ein ordnungsgemäßes Vorgehen dies erlaubt, in der Regel binnen 60 Tagen nach Eingang einer Beschwerde. (127) Kommt die Organisation den Empfehlungen des Gremiums nicht binnen 25 Tagen nach und hat sie keine befriedigende Erklärung für die Verzögerung gegeben, so kann das Gremium seine Absicht mitteilen, die Angelegenheit an die FTC (oder eine andere zuständige amerikanische Durchsetzungsinstanz) zu verweisen oder gelangt zu dem Schluss, dass eine gravierende Verletzung der Verpflichtungen zur Kooperation vorliegt. Im erstgenannten Fall kann dies zu Durchsetzungsmaßnahmen auf der Grundlage von Abschnitt 5 des FTC Act (oder eines vergleichbaren Gesetzes) führen. (128) Im zweiten Fall unterrichtet das Gremium das Handelsministerium, welches daraufhin das Verhalten der Organisation als fortgesetzte Missachtung der Grundsätze wertet, was ihre Streichung aus der Datenschutzrahmen-Liste nach sich zieht.

(76)

Wenn die Datenschutzbehörde, bei der die Beschwerde eingegangen ist, nichts oder zu wenig unternommen hat, um der Beschwerde abzuhelfen, hat die Privatperson die Möglichkeit, diese Vorgehensweise (bzw. Untätigkeit) vor den Gerichten des jeweiligen EU-Mitgliedstaats anzufechten.

(77)

Privatpersonen können auch dann Beschwerden bei Datenschutzbehörden einreichen, wenn das Gremium der Datenschutzbehörden nicht von der betreffenden Organisation als Beschwerdestelle benannt wurde. In diesen Fällen kann die Datenschutzbehörde die Beschwerden entweder an das Handelsministerium oder die FTC weiterleiten. Um die Zusammenarbeit in Angelegenheiten, die individuelle Beschwerden und Verstöße von dem Datenschutzrahmen EU-USA angehörenden Organisationen betreffen, zu erleichtern und zu vertiefen, richtet das Handelsministerium eine spezielle Kontaktstelle ein, die als Bindeglied fungiert und bei Anfragen von Datenschutzbehörden zur Einhaltung der Grundsätze durch eine bestimmte Organisation behilflich ist. (129) Die FTC hat ihrerseits zugesagt, eine spezielle Kontaktstelle einzurichten. (130)

(78)

Viertens hat das Handelsministerium zugesagt, Beschwerden über Verstöße einer Organisation gegen die Grundsätze entgegenzunehmen, zu überprüfen und nach Möglichkeit zu klären. (131) Zu diesem Zweck sieht das Handelsministerium spezielle Verfahren vor, wonach Datenschutzbehörden Beschwerden einer dafür eingerichteten Kontaktstelle vorlegen und dann bei den Organisationen weiterverfolgen, um eine Klärung zu erleichtern. (132) Um die Bearbeitung von Individualbeschwerden zu beschleunigen, setzt sich die Kontaktstelle direkt mit der jeweiligen Datenschutzbehörde in Verbindung, um Compliance-Probleme zu erörtern und sie vor allem innerhalb einer Frist von höchstens 90 Tagen nach Vorlage der Beschwerde über den aktuellen Stand zu unterrichten. (133) Dies ermöglicht es betroffenen Personen, Beschwerden über Verstöße der Mitgliedsorganisationen des Datenschutzrahmens EU-USA direkt bei den nationalen Datenschutzbehörden einzureichen, die sie dann an das Handelsministerium als der für die Verwaltung des Datenschutzrahmens EU-USA zuständigen Behörde weiterleiten.

(79)

Wenn das Handelsministerium auf der Grundlage seiner Überprüfungen von Amts wegen, von Beschwerden oder sonstigen Informationen zu dem Schluss kommt, dass eine Organisation fortwährend gegen die Grundsätze verstoßen hat, kann es diese Organisation von der Datenschutzrahmen-Liste streichen. (134) Die Weigerung, der abschließenden Entscheidung einer Einrichtung der freiwilligen Selbstkontrolle, unabhängigen Beschwerdestelle oder staatlichen Einrichtung, einschließlich einer Datenschutzbehörde, nachzukommen, wird als fortgesetzte Missachtung der Grundsätze gewertet. (135)

(80)

Fünftens müssen sich die Organisationen, die dem Datenschutzrahmen EU-USA angehören, der Gerichtsbarkeit der zuständigen US-Behörden, insbesondere der FTC (136) unterwerfen, die über die notwendigen Ermittlungs- und Durchsetzungsbefugnisse verfügen, um die Einhaltung der Grundsätze wirksam zu gewährleisten. Die FTC behandelt vorrangig Fälle der Missachtung der Grundsätze, die von unabhängigen Beschwerdestellen oder Einrichtungen der freiwilligen Selbstkontrolle, vom Handelsministerium und Datenschutzbehörden (aus eigener Initiative oder aufgrund von Beschwerden) an sie überwiesen werden, um festzustellen, ob gegen Abschnitt 5 des FTC Act verstoßen wurde. (137) Die FTC hat zugesagt, ein standardisiertes Befassungsverfahren einzurichten, eine Kontaktstelle für von den Datenschutzbehörden überwiesene Fälle zu benennen und Informationen darüber auszutauschen. Überdies kann sie Beschwerden direkt von Privatpersonen entgegennehmen und von sich aus Ermittlungen einleiten, die den Datenschutzrahmen EU-USA betreffen, insbesondere im Rahmen breiter angelegter Untersuchungen zu Fragen des Datenschutzes.

(81)

Sechstens kann eine betroffene Person in der Union, sofern es nicht gelingt, einen Streit mithilfe einer dieser Möglichkeiten beizulegen, als letztes Mittel das Panel des Datenschutzrahmens EU-USA (im Folgenden „Datenschutzrahmen-Panel“), ein verbindliches Schiedsforum, in Anspruch nehmen. (138) Die Organisationen müssen Privatpersonen darüber informieren, dass sie sich für diese Möglichkeit entscheiden können, und sind verpflichtet, darauf zu reagieren, sobald eine Privatperson dieses Verfahren wählt, indem sie eine Mitteilung an die betroffene Organisation sendet. (139)

(82)

Das Datenschutzrahmen-Panel besteht aus einem Pool von mindestens zehn Schiedsrichtern, die vom Handelsministerium und der Kommission aufgrund ihrer Unabhängigkeit, Integrität und Kenntnis des Datenschutzrechts der USA und der Europäischen Union benannt werden. Bei jedem Streit wählen die Parteien aus diesem Pool ein aus ein bis drei (140) Schiedsrichtern bestehendes Panel aus.

(83)

Das International Centre for Dispute Resolution (ICDR), die internationale Abteilung der American Arbitration Association (AAA), wurde vom Handelsministerium mit der Durchführung von Schiedsverfahren beauftragt. Für die Verfahren vor dem Datenschutzrahmen-Panel gelten vereinbarte Schiedsregeln und ein Verhaltenskodex für die ernannten Schiedsrichter. Die Website des ICDR-AAA enthält klare und präzise Informationen über das Schiedsverfahren und das Verfahren zur Beantragung eines Schiedsverfahrens.

(84)

Die zwischen dem Handelsministerium und der Kommission vereinbarten Schiedsregeln ergänzen den Datenschutzrahmen EU-USA, der mehrere Merkmale enthält, welche die Zugänglichkeit dieses Instruments für die betroffenen Personen in der Union verbessern: i) Bei der Vorbereitung einer Beschwerde vor dem Panel kann die betroffene Person von ihrer nationalen Datenschutzbehörde unterstützt werden. ii) Das Schiedsverfahren findet zwar in den Vereinigten Staaten statt, die betroffenen Personen in der Union können sich jedoch per Video- oder Telefonkonferenz beteiligen, was für sie kostenlos ist. iii) Während die im Schiedsverfahren verwendete Sprache in der Regel Englisch ist, werden Dolmetschdienste für die mündliche Verhandlung und Übersetzungen grundsätzlich auf begründeten Antrag und ohne zusätzliche Kosten für die betroffenen Personen zur Verfügung gestellt. iv) Schließlich wird das Handelsministerium einen Fonds unterhalten, der durch jährliche Beiträge der Organisationen, die dem Datenschutzrahmen EU-USA angehören, gespeist wird, um die Kosten des Schiedsverfahrens bis zu einem von den US-Behörden in Absprache mit der Kommission festzulegenden Höchstbetrag zu decken, während jede Partei ihre eigenen Anwaltskosten trägt, wenn sie sich vor dem Panel durch einen Anwalt vertreten lässt. (141)

(85)

Das Datenschutzrahmen-Panel ist befugt, einzelfallbezogene, nichtmonetäre billigkeitsrechtliche Ansprüche (142) anzuerkennen, um Verstöße gegen die Grundsätze abzustellen. Zwar berücksichtigt das Panel dabei die bereits von anderen Instrumenten des Datenschutzrahmens EU-USA erwirkten Abhilfemaßnahmen, doch steht es Privatpersonen frei, das Schiedsverfahren in Anspruch zu nehmen, wenn sie die anderen Abhilfemaßnahmen für unzureichend erachten. Damit können betroffene Personen in der Union in allen Fällen auf das Schiedsverfahren zurückgreifen, in denen die Vorgehensweise oder Untätigkeit der dem Datenschutzrahmen EU-USA angehörenden Organisationen, unabhängigen Beschwerdestellen oder zuständigen US-Behörden (beispielsweise der FTC) nicht zu einer zufriedenstellenden Klärung ihrer Beschwerden geführt hat. Das Schiedsverfahren kann nicht in Anspruch genommen werden, wenn eine Datenschutzbehörde rechtlich befugt ist, bei einer dem Datenschutzrahmen EU-USA angehörenden Organisation die infrage stehende Beschwerde selbst zu klären, nämlich in solchen Fällen, in denen die Organisation entweder bei der Verarbeitung von Personaldaten im Rahmen eines Beschäftigungsverhältnisses zur Zusammenarbeit mit den Datenschutzbehörden und zur Befolgung ihrer Empfehlungen verpflichtet ist oder eine solche Verpflichtung freiwillig eingegangen ist. Privatpersonen können den Schiedsspruch auf der Grundlage des Federal Arbitration Act vor amerikanischen Gerichten durchsetzen, sodass ihnen ein Rechtsbehelf zur Verfügung steht, falls sich eine Organisation nicht daran hält.

(86)

Siebtens: Wenn sich eine Organisation nicht an ihre Zusage hält, die Grundsätze und die veröffentlichten Datenschutzbestimmungen einzuhalten, stehen nach US-Recht zusätzliche Rechtsbehelfe zur Verfügung, darunter auch die Möglichkeit, Schadensersatz zu erhalten. So kann der Einzelne unter bestimmten Voraussetzungen nach den Verbraucherschutzgesetzen der einzelnen Staaten in Fällen von arglistiger Täuschung, unlauterer oder irreführender Handlungen oder Praktiken (143) sowie im Rahmen des Deliktsrechts (insbesondere bei Verletzung der Privatsphäre (144), widerrechtlicher Aneignung von Namen oder Bildnissen (145) und öffentlicher Bekanntgabe privater Tatsachen (146)) Rechtsbehelfe (einschließlich Schadensersatz) in Anspruch nehmen.

(87)

Zusammen stellen die verschiedenen oben beschriebenen Rechtsbehelfe sicher, dass jede Beschwerde über einen Verstoß gegen den Datenschutzrahmen EU-USA durch zertifizierte Organisationen wirksam entschieden wird und Abhilfe geschaffen wird.

(88)

Die Kommission hat auch die Einschränkungen und Garantien geprüft, einschließlich der Kontrollmechanismen und der Rechtsbehelfe für den Einzelnen, die nach dem US-Recht in Bezug auf die Erhebung und nachfolgende Verwendung personenbezogener Daten durch US-Behörden, die im öffentlichen Interesse an Datenverantwortliche und Auftragsverarbeiter in den USA übermittelt wurden, insbesondere zur Strafverfolgung und zur nationalen Sicherheit (im Folgenden „staatlicher Zugriff“), verfügbar sind. (147) Bei der Beurteilung der Frage, ob die Bedingungen für den staatlichen Zugriff auf Daten, die nach diesem Beschluss an die Vereinigten Staaten übermittelt werden, das Kriterium der „wesentlichen Gleichwertigkeit“ nach Artikel 45 Absatz 1 der Verordnung (EU) 2016/679 in der Auslegung des Gerichtshofs im Lichte der Charta der Grundrechte erfüllen, hat die Kommission mehrere Kriterien berücksichtigt.

(89)

Insbesondere muss jede Einschränkung des Rechts auf den Schutz personenbezogener Daten gesetzlich vorgesehen sein, und die gesetzliche Grundlage für den Eingriff in dieses Recht muss selbst den Umfang der Einschränkung der Ausübung des betreffenden Rechts festlegen. (148) Darüber hinaus muss die Rechtsgrundlage, um dem Erfordernis der Verhältnismäßigkeit zu genügen, wonach Ausnahmen und Einschränkungen in Bezug auf den Schutz personenbezogener Daten nur insoweit gelten dürfen, als dies in einer demokratischen Gesellschaft zur Verwirklichung spezifischer Ziele von allgemeinem Interesse, die den von der Union anerkannten Zielen gleichwertig sind, unbedingt erforderlich ist, klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen und Mindesterfordernisse aufstellen, sodass die Personen, deren Daten übermittelt wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken ermöglichen. (149) Außerdem müssen diese Regeln und Schutzmaßnahmen rechtsverbindlich sein und von Privatpersonen durchgesetzt werden können. (150) Insbesondere müssen betroffene Personen die Möglichkeit haben, Rechtsbehelfe vor einem unabhängigen und unparteiischen Gericht einzulegen, um Zugang zu den sie betreffenden personenbezogenen Daten zu erlangen oder die Berichtigung oder Löschung solcher Daten zu erwirken. (151)

(90)

Im Hinblick auf Eingriffe in personenbezogene Daten, die gemäß dem Datenschutzrahmen EU-USA aus Gründen der Strafverfolgung übermittelt werden, so sind in den Rechtsvorschriften der Vereinigten Staaten neben einer Reihe von Einschränkungen für den Zugang zu und die Verwendung von personenbezogenen Daten auch Aufsichtsmechanismen und Rechtsbehelfe vorgesehen, die den in Erwägungsgrund 89 dieses Beschlusses genannten Anforderungen entsprechen. Die folgenden Abschnitte enthalten eine detaillierte Bewertung der Bedingungen, unter denen ein solcher Zugriff erfolgen kann, sowie der Garantien, die für die Nutzung dieser Befugnisse gelten. In diesem Zusammenhang hat die Regierung der USA (über das Justizministerium) Zusicherungen zu den dafür geltenden Einschränkungen und Garantien gemacht (Anhang VI zu diesem Beschluss).

(91)

Personenbezogene Daten, die von zertifizierten US-Organisationen verarbeitet und auf der Grundlage des Datenschutzrahmens EU-USA aus der Union übermittelt werden, können von US-Bundesstaatsanwälten und Ermittlern des Bundes zu Strafverfolgungszwecken nach verschiedenen Verfahren eingesehen werden (vgl. die Erwägungsgründe 92 bis 99). Diese Verfahren gelten in gleicher Weise, wenn Informationen bei einer US-Organisation beschafft werden, unabhängig von der Staatsangehörigkeit oder dem Wohnort der betroffenen Personen. (152)

(92)

Erstens kann ein Richter auf Antrag eines Strafverfolgungsbeamten oder eines Staatsanwalts eine Durchsuchung oder Beschlagnahme (auch von elektronisch gespeicherten Daten) anordnen. (153) Ein solcher Beschluss kann nur erlassen werden, wenn ein „hinreichender Verdacht“ (154) besteht, dass „beschlagnahmefähige Gegenstände“ (Beweismittel für eine Straftat, rechtswidrig im Besitz befindliche oder zur Begehung einer Straftat bestimmte oder verwendete Gegenstände) an dem im Beschluss bezeichneten Ort aufgefunden werden können. Im Beschluss sind die zu beschlagnahmenden Gegenstände zu bezeichnen und der Richter anzugeben, an den der Beschluss zurückzusenden ist. Eine Person, die einer Durchsuchung unterzogen wird oder deren Eigentum durchsucht wird, kann die Beseitigung von Beweismitteln verlangen, die bei einer rechtswidrigen Durchsuchung erlangt wurden, wenn diese Beweismittel in einem Strafverfahren gegen diese Person verwendet werden. (155) Wird ein Dateninhaber (z. B. ein Unternehmen) kraft einer Anordnung zur Offenlegung von Daten verpflichtet, kann er insbesondere die Verpflichtung zur Offenlegung als unverhältnismäßige Belastung anfechten. (156)

(93)

Zweitens kann eine Grand Jury (eine Anklagekammer, deren Mitglieder von einem Richter oder Magistrate ausgewählt werden) im Rahmen von Ermittlungen wegen bestimmter schwerer Straftaten (157), in der Regel auf Antrag eines Bundesstaatsanwalts, eine Anordnung erlassen, um jemanden zur Vorlage oder Zurverfügungstellung von Geschäftsunterlagen, elektronisch gespeicherten Informationen oder sonstigen materiellen Beweismitteln zu verpflichten. Darüber hinaus ist es nach verschiedenen Gesetzen zulässig, behördliche Anordnungen zu erlassen, um Geschäftsunterlagen, elektronisch gespeicherte Informationen oder sonstige materielle Beweismittel, die für Ermittlungen zu Betrug im Gesundheitswesen, zum Kindesmissbrauch, zum Schutz durch den Geheimdienst, zu Verstößen gegen das Betäubungsmittelgesetz und Ermittlungen eines Generalinspekteurs relevant sind, vorzulegen bzw. zur Verfügung zu stellen. (158) In beiden Fällen müssen die Informationen für die Ermittlungen relevant sein, und die Anordnung zur Herausgabe darf nicht unverhältnismäßig, d. h. überzogen, repressiv oder belastend sein (der Empfänger der Anordnung kann die Anordnung aus diesen Gründen anfechten). (159)

(94)

Sehr ähnliche Voraussetzungen gelten für behördliche Anordnungen, die erlassen werden, um für zivil- oder aufsichtsrechliche („öffentliches Interesse“) Zwecke Zugang zu Daten zu erhalten, die sich im Besitz von Unternehmen in den USA befinden. Die Befugnis der mit zivilrechtlichen und regulatorischen Zuständigkeiten ausgestatteten Behörden, solche behördlichen Anordnungen zu erlassen, muss gesetzlich festgelegt sein. Die Anwendung einer behördlichen Anordnung unterliegt einer „Angemessenheitsprüfung“, die voraussetzt, dass die Untersuchung einem legitimen Zweck dient, die im Rahmen der Anordnung angeforderten Informationen für diesen Zweck relevant sind, die Behörde nicht bereits über die Informationen verfügt, die sie mit der Anordnung anfordert, und die erforderlichen administrativen Schritte zur Ausstellung der Anordnung unternommen wurden. (160) In der Rechtsprechung des Obersten Gerichtshofs wurde auch klargestellt, dass die Bedeutung des öffentlichen Interesses an den angeforderten Informationen gegen die Bedeutung persönlicher und organisatorischer Datenschutzinteressen abgewogen werden muss. (161) Die Anwendung einer behördlichen Anordnung bedarf zwar keiner vorherigen gerichtlichen Genehmigung, unterliegt jedoch einer gerichtlichen Überprüfung, wenn der Empfänger aus den oben genannten Gründen Widerspruch einlegt oder wenn die ausstellende Behörde versucht, die Anordnung vor Gericht durchzusetzen. (162) Zusätzlich zu diesen allgemeinen umfassenden Einschränkungen können sich aus einzelnen Gesetzen spezifische (strengere) Anforderungen ergeben. (163)

(95)

Drittens gibt es mehrere Rechtsgrundlagen, die es Strafverfolgungsbehörden ermöglichen, auf Kommunikationsdaten zuzugreifen. Ein Gericht kann eine Anordnung erlassen, mit der die Erhebung von in Echtzeit nichtinhaltlichen Wähl-, Routing-, Anschluss- und Signalinformationen zu einer Telefonnummer oder E-Mail-Adresse (unter Einsatz von Geräten zur Rufnummernerfassung von ausgehenden und eingehenden Anrufen) genehmigt wird, wenn es feststellt, dass die Behörde bescheinigt hat, dass die Informationen, die wahrscheinlich erlangt werden, für ein laufendes strafrechtliches Ermittlungsverfahren relevant sind. (164) Die Anordnung muss unter anderem die Identität des Verdächtigen, soweit bekannt, die Merkmale der Kommunikation, die Gegenstand der Anordnung ist, und die Straftat, auf die sich die zu erlangenden Informationen beziehen, enthalten. Der Einsatz von Geräten zur Rufnummernerfassung kann für einen Zeitraum von höchstens 60 Tagen genehmigt werden, der nur durch eine neue richterliche Anordnung verlängert werden kann.

(96)

Darüber hinaus kann der Zugriff auf Teilnehmerdaten, Verkehrsdaten und gespeicherte Kommunikationsinhalte bei Internetdienstanbietern, Telefongesellschaften und anderen dritten Dienstanbietern zu Strafverfolgungszwecken auf der Grundlage des Stored Communications Act gewährt werden. (165) Um an die gespeicherten Inhalte elektronischer Kommunikation zu gelangen, benötigen die Strafverfolgungsbehörden in der Regel eine entsprechende richterliche Anordnung, die auf dem hinreichenden Verdacht basiert, dass das betreffende Konto Nachweise für eine Straftat enthält. (166) Um Informationen über die registrierten Abonnenten, IP-Adressen und dazugehörigen Zeitstempel und Rechnungsinformationen einholen zu können, können die Strafverfolgungsbehörden eine entsprechende Anordnung verwenden. Für die meisten anderen gespeicherten, nichtinhaltlichen Informationen wie E-Mail-Header ohne Betreffzeile, müssen die Strafverfolgungsbehörden eine richterliche Anordnung einholen, die erteilt wird, wenn der Richter überzeugt ist, dass es hinreichende Gründe für die Annahme gibt, dass die beantragten Informationen für laufende strafrechtliche Ermittlungen relevant sind.

(97)

Anbieter, die Anfragen nach dem Stored Communications Act erhalten, können den Kunden oder Teilnehmer, dessen Informationen angefordert wurden, freiwillig benachrichtigen, es sei denn, die zuständige Strafverfolgungsbehörde erwirkt eine Schutzanordnung, die eine solche Benachrichtigung untersagt. (167) Eine solche Schutzanordnung ist eine richterliche Anordnung, die einen Anbieter von elektronischen Kommunikationsdiensten oder von ausgelagerten Rechendiensten, an den ein Befehl, eine Anordnung zur Herausgabe von Daten oder eine richterliche Anordnung gerichtet ist, verpflichtet, keine andere Person von dem Befehl, der Anordnung oder der richterlichen Anordnung in Kenntnis zu setzen, solange das Gericht es nicht für angemessen hält. Schutzanordnungen werden erlassen, wenn ein Gericht feststellt, dass Grund zu der Annahme besteht, dass eine Offenlegung die Ermittlungen ernsthaft gefährden oder das Verfahren unangemessen verzögern würde, z. B. weil dadurch Leib oder Leben einer Person gefährdet, die Flucht vor der Strafverfolgung ermöglicht oder potenzielle Zeugen eingeschüchtert würden. In einer Absichtserklärung des stellvertretenden Justizministers (die für alle Rechtsanwälte und Mitarbeiter des Justizministeriums verbindlich ist) werden die Staatsanwälte aufgefordert, die Notwendigkeit einer Schutzanordnung eingehend zu prüfen und dem Gericht gegenüber zu begründen, inwieweit die gesetzlichen Kriterien für den Erlass einer Schutzanordnung im konkreten Fall erfüllt sind. (168) In der Absichtserklärung wird auch gefordert, dass Anträge auf Schutzanordnungen in der Regel nicht darauf abzielen sollten, die Benachrichtigung um mehr als ein Jahr zu verzögern. In Ausnahmefällen, in denen Anordnungen von längerer Dauer erforderlich sein können, dürfen solche Anordnungen nur mit schriftlicher Zustimmung eines vom US-Justizminister oder dem zuständigen stellvertretenden Justizminister benannten Aufsichtsbeamten beantragt werden. Darüber hinaus muss die Staatsanwaltschaft nach Abschluss der Ermittlungen unverzüglich prüfen, ob es eine Grundlage für die Aufrechterhaltung noch bestehender Schutzanordnungen gibt, und, wenn dies nicht der Fall ist, die Schutzanordnung aufheben und sicherstellen, dass der Diensteanbieter davon in Kenntnis gesetzt wird. (169)

(98)

Strafverfolgungsbehörden können auch leitungsgebundene, mündliche oder elektronische Kommunikation in Echtzeit auf der Grundlage einer richterlichen Anordnung abhören, in der ein Richter unter anderem feststellt, dass das Abhören oder elektronische Abfangen vermutlich Beweise für einen Verstoß gegen das Bundesgesetz erbringen oder Hinweise auf den Aufenthaltsort einer sich der Strafverfolgung entziehenden Person liefern wird. (170)

(99)

Weitere Schutzmaßnahmen sind in verschiedenen Strategien und Richtlinien des Justizministeriums enthalten, darunter die Attorney General Guidelines for Domestic FBI Operations (Leitlinien des Justizministers für Inlandseinsätze des FBI) (im Folgenden „AGG-DOM“), die das Federal Bureau of Investigation (FBI) unter anderem verpflichten, die mit den geringsten Eingriffen verbundenen Ermittlungsmethoden anzuwenden und die Auswirkungen auf die Privatsphäre und die Bürgerrechte zu berücksichtigen. (171)

(100)

Den Erklärungen der US-Regierung zufolge gilt bei strafrechtlichen Ermittlungen auf einzelstaatlicher Ebene (wenn diese auf Rechtsvorschriften der Bundesstaaten basieren) das gleiche oder ein noch höheres Schutzniveau, wie das vorstehend Beschriebene. (172) Insbesondere in den Verfassungsbestimmungen sowie in den Gesetzen und der Rechtsprechung auf Ebene der einzelnen Bundesstaaten wird der oben genannte Schutz vor unangemessenen Durchsuchungen und Beschlagnahmen bekräftigt, indem die Ausstellung eines Durchsuchungsbefehls vorgeschrieben wird. (173) Ähnlich wie bei dem auf Bundesebene gewährten Schutz dürfen Durchsuchungsbefehle nur nach Nachweis eines hinreichenden Verdachts ausgestellt werden und müssen die zu durchsuchende Örtlichkeit und die in Gewahrsam zu nehmenden Personen oder Gegenstände genau bezeichnen. (174)

(101)

Für die Weiterverwendung von Daten, die von den Strafverfolgungsbehörden des Bundes erhoben wurden, sind in verschiedenen Gesetzen, Leitlinien und Normen spezifische Schutzmaßnahmen vorgesehen. Mit Ausnahme der spezifischen Instrumente, die für die Tätigkeiten des FBI gelten (AGG-DOM und FBI Domestic Investigations and Operations Guide), gelten die in diesem Abschnitt beschriebenen Anforderungen im Allgemeinen für die Weiterverwendung von Daten durch eine Bundesbehörde, einschließlich Daten, auf die zu zivilen oder regulatorischen Zwecken zugegriffen wird. Dazu gehören die Anforderungen, die sich aus den Mitteilungen/Verordnungen des Office of Management and Budget, des Federal Information Security Management Modernization Act, des E-Government Act und des Federal Records Act ergeben.

(102)

Das Office of Management and Budget (OMB) hat aufgrund seiner Befugnisse nach dem Clinger-Cohen Act (P.L. 104-106, Division E) und dem Computer Security Act of 1987 (P.L.100-235) das Circular No. A-130 (Rundschreiben Nr. A-130) erlassen, um allgemeine verbindliche Leitlinien für alle Bundesbehörden (einschließlich Strafverfolgungsbehörden) bei der Verarbeitung personenbezogener Daten festzulegen. (175) Insbesondere verpflichtet das Rundschreiben alle Bundesbehörden, „die Erstellung, Erhebung, Nutzung, Verarbeitung, Speicherung, Verwaltung, Verbreitung und Weitergabe personenbezogener Daten auf das zu beschränken, was rechtlich zulässig, sachdienlich und nach vernünftigem Ermessen zur ordnungsgemäßen Erfüllung der der Behörde übertragenen Aufgaben erforderlich ist“. (176) Darüber hinaus müssen die Bundesbehörden weitestgehend sicherstellen, dass personenbezogene Daten richtig, sachdienlich, aktuell und vollständig sind und auf das für die ordnungsgemäße Erfüllung der Aufgaben der Behörde erforderliche Mindestmaß beschränkt werden. Im Allgemeinen müssen Bundesbehörden ein umfassendes Datenschutzprogramm einrichten, um die Einhaltung der geltenden Datenschutzanforderungen zu gewährleisten, Datenschutzmaßnahmen zu entwickeln und zu evaluieren und Datenschutzrisiken zu verwalten, Verfahren zur Erkennung, Dokumentation und Meldung von Vorfällen im Zusammenhang mit der Einhaltung der Datenschutzbestimmungen unterhalten, Programme zur Sensibilisierung für den Datenschutz und zur Schulung von Mitarbeitern und Auftragnehmern entwickeln, Strategien und Verfahren einführen, um sicherzustellen, dass das Personal die Verantwortung für die Einhaltung der Datenschutzanforderungen und -maßnahmen übernimmt. (177)

(103)

Darüber hinaus verpflichtet der E-Government Act (178) alle Bundesbehörden (einschließlich der Strafverfolgungsbehörden), Schutzmaßnahmen für die Informationssicherheit zu treffen, die dem Risiko und dem Ausmaß des Schadens angemessen sind, der durch unbefugten Zugang, unbefugte Nutzung, Offenlegung, Störung, Veränderung oder Vernichtung entstehen könnte, einen Chief Information Officer (IT-Beauftragter) zu ernennen, der die Einhaltung der Informationssicherheitsanforderungen sicherstellt, und eine jährliche unabhängige Evaluierung (z. B. durch einen Generalinspekteur, siehe Erwägungsgrund 109) ihrer Informationssicherheitsprogramme und -praktiken durchzuführen. (179) In ähnlicher Weise müssen Informationen, die sich im Besitz von Bundesbehörden befinden, nach dem Federal Records Act (FRA) (180) und den ergänzenden Vorschriften (181) Schutzmaßnahmen unterliegen, die die physische Integrität der Informationen gewährleisten und sie vor unbefugtem Zugriff schützen.

(104)

Auf der Grundlage von Bundesgesetzen, einschließlich des Federal Information Security Modernisation Act von 2014, haben das OMB und das National Institute of Standards and Technology (NIST) Standards entwickelt, die für Bundesbehörden (einschließlich Strafverfolgungsbehörden) verbindlich sind und in denen die Mindestanforderungen an die Informationssicherheit, die eingeführt werden müssen, weiter spezifiziert werden. Hierzu gehören Zugangskontrollen, Sensibilisierung und Schulung, Notfallplanung, Reaktion auf Vorfälle, Prüfungs- und Rechenschaftsinstrumente, Gewährleistung der System- und Informationsintegrität, Durchführung von Bewertungen des Datenschutzes und der Sicherheitsrisiken usw. (182) Darüber hinaus müssen alle Bundesbehörden (einschließlich der Strafverfolgungsbehörden) einen Plan für den Umgang mit Datenschutzverletzungen, einschließlich der Reaktion auf solche Datenschutzverletzungen und der Bewertung des Schadensrisikos, nach den Leitlinien des OMB unterhalten und umsetzen. (183)

(105)

In Bezug auf die Aufbewahrung von Daten verpflichtet der FRA (184) die US-Bundesbehörden (einschließlich der Strafverfolgungsbehörden), für ihre Akten Aufbewahrungsfristen festzulegen (nach deren Ablauf die Akten vernichtet werden müssen), die von der National Archives and Record Administration (185) zu genehmigen sind. Die Dauer dieser Aufbewahrungsfristen wird unter Berücksichtigung verschiedener Faktoren festgelegt, z. B. der Art der Ermittlung, der Frage, ob das Beweismaterial für die Ermittlung noch relevant ist, usw. Im Fall des FBI müssen die Behörden nach den AGG-DOM über einen solchen Aufbewahrungsplan verfügen und ein System unterhalten, das es ihnen ermöglicht, den Stand und die Grundlage der Ermittlungen sofort abzurufen.

(106)

Schließlich enthält auch das OMB Circular No. A-130 bestimmte Anforderungen an die Weitergabe personenbezogener Daten. Die Verbreitung und Offenlegung personenbezogener Daten ist grundsätzlich auf das zu beschränken, was rechtlich zulässig, sachdienlich und nach vernünftigem Ermessen zur ordnungsgemäßen Erfüllung der der Behörde übertragenen Aufgaben erforderlich ist. (186) Wenn sie personenbezogene Daten an andere Regierungsstellen weitergeben, müssen US-Bundesbehörden gegebenenfalls Bedingungen (einschließlich der Durchführung spezifischer Sicherheits- und Datenschutzkontrollen) festlegen, die die Verarbeitung der Daten durch schriftliche Vereinbarungen (einschließlich Verträgen, Vereinbarungen zur Datennutzung, Vereinbarungen zum Informationsaustausch und Absichtserklärungen) regeln. (187) Im Hinblick auf die Gründe, aus denen Informationen verbreitet werden dürfen, bestimmen die AGG-DOM und der FBI Domestic Investigations and Operations Guide (188) beispielsweise, dass das FBI gesetzlich dazu verpflichtet sein kann (z. B. im Rahmen eines internationalen Abkommens) oder es ihm unter bestimmen Umständen gestattet ist, Informationen zu verbreiten, z. B. an andere US-Behörden, wenn die Offenlegung mit dem Zweck, für den die Informationen erhoben wurden, vereinbar ist und diese in deren Zuständigkeitsbereich fallen, an Kongressausschüsse, an ausländische Behörden, wenn die Informationen in deren Zuständigkeitsbereich fallen und die Verbreitung mit den Interessen der Vereinigten Staaten vereinbar ist, insbesondere zum Schutz der Sicherheit von Personen oder Eigentum oder zum Schutz vor oder zur Verhinderung von Straftaten oder Bedrohungen der nationalen Sicherheit erforderlich ist und die Offenlegung mit dem Zweck vereinbar ist, für den die Informationen erhoben wurden. (189)

(107)

Die Tätigkeit der Strafverfolgungsbehörden des Bundes unterliegt der Aufsicht durch verschiedene Stellen. (190) Wie in den Erwägungsgründen 92 bis 99 erläutert, umfasst dies in den meisten Fällen die vorherige Aufsicht durch die Justiz, die individuelle Erhebungsmaßnahmen genehmigen muss, bevor diese eingesetzt werden können. Darüber hinaus überwachen andere Stellen verschiedene Phasen der Tätigkeit der Strafverfolgungsbehörden, einschließlich der Erhebung und Verarbeitung personenbezogener Daten. Zusammen stellen diese gerichtlichen und außergerichtlichen Stellen sicher, dass die Strafverfolgungsbehörden einer unabhängigen Aufsicht unterliegen.

(108)

Zunächst gibt es in verschiedenen Abteilungen, die für die Strafverfolgung zuständig sind, Datenschutz- und Bürgerrechtsbeauftragte. (191) Zwar unterscheiden sich die konkreten Befugnisse dieser Beauftragten in beschränktem Maße in Abhängigkeit von der Rechtsgrundlage, doch umfassen sie in der Regel die Aufsicht über Verfahren, mit denen sichergestellt werden soll, dass die betreffende Abteilung/der betreffende Nachrichtendienst die Belange des Datenschutzes und der bürgerlichen Freiheiten hinreichend beachtet und geeignete Vorkehrungen getroffen hat, um Beschwerden von Privatpersonen nachzugehen, die der Meinung sind, dass ihre Privatsphäre oder ihre Bürgerrechte verletzt wurden. Die Leiter der einzelnen Abteilungen oder Nachrichtendienste müssen sicherstellen, dass die Datenschutz- und Bürgerrechtsbeauftragten über die für die Erfüllung ihrer Aufgaben erforderlichen Materialien und Ressourcen verfügen, dass sie Zugang zu den für die Erfüllung ihrer Aufgaben erforderlichen Materialien und zum Personal haben und dass sie über vorgeschlagene politische Änderungen informiert und dazu konsultiert werden. (192) Datenschutz- und Bürgerrechtsbeauftragte übermitteln dem Kongress regelmäßig einen Bericht mit Angaben zur Anzahl und Art der bei der Abteilung/beim Nachrichtendienst eingegangenen Beschwerden sowie einen Überblick über die Bearbeitung der Beschwerden, die durchgeführten Überprüfungen und Recherchen und die Auswirkungen der von den Beauftragten geleisteten Arbeit. (193)

(109)

Zweitens beaufsichtigt ein unabhängiger Generalinspekteur die Aktivitäten des Justizministeriums, einschließlich des FBI. (194) Die Generalinspekteure sind rechtlich unabhängig (195) und haben die Aufgabe, unabhängige Untersuchungen, Prüfungen und Inspektionen der Programme und Operationen des Ministeriums durchzuführen. Sie haben Zugriff auf alle Unterlagen, Berichte, Audits, Überprüfungen, Dokumente, Schriftstücke, Empfehlungen oder sonstiges einschlägiges Material, dessen Herausgabe sie notfalls unter Strafandrohung anordnen können, und sind zur Beweisaufnahme berechtigt. (196) Zwar geben Generalinspekteure Empfehlungen für Korrekturmaßnahmen ab, die nicht bindend sind, doch werden ihre Berichte, auch über die getroffenen (oder unterlassenen) (197) Folgemaßnahmen, in der Regel öffentlich gemacht und dem Kongress übermittelt, der auf dieser Grundlage seine Kontrollfunktion wahrnehmen kann (siehe Erwägungsgrund 111) (198).

(110)

Drittens unterliegen Abteilungen mit Zuständigkeiten im Bereich der Strafverfolgung, soweit sie Maßnahmen zur Terrorismusbekämpfung durchführen, der Aufsicht durch die Stelle zur Überwachung des Schutzes der Privatsphäre und der bürgerlichen Freiheiten (Privacy and Civil Liberties Oversight Board) (PCLOB), einer unabhängigen Stelle innerhalb der Exekutive, die sich aus einem aus fünf Mitgliedern bestehenden überparteilichen Gremium zusammensetzt, das vom Präsidenten mit Zustimmung des Senats für eine festgelegte Amtszeit von sechs Jahren ernannt wird. (199) Nach seinem Gründungsstatut ist das PCLOB mit Aufgaben im Bereich der Terrorismusbekämpfung und deren Umsetzung betraut, wobei der Schutz der Privatsphäre und der bürgerlichen Freiheiten im Vordergrund steht. Bei der Überprüfung hat es Zugriff auf alle einschlägigen Unterlagen von Behörden wie Berichte, Audits, Überprüfungen, Dokumente, Schriftstücke und Empfehlungen, einschließlich der Geheimhaltung unterliegenden Informationen, kann Befragungen durchführen und Zeugen vernehmen. (200) Es erhält Berichte von Bürgerrechts- und Datenschutzbeauftragten verschiedener Regierungsstellen (201), kann gegenüber den Regierungs- und Strafverfolgungsbehörden Empfehlungen abgeben und erstattet regelmäßig den Ausschüssen des Kongresses und dem Präsidenten Bericht. (202) Die Berichte des PCLOB, einschließlich der Berichte an den Kongress, müssen so weit wie möglich veröffentlicht werden. (203)

(111)

Schließlich unterliegen die Strafverfolgungsmaßnahmen der Aufsicht durch spezielle Ausschüsse des US-Kongresses (die Justizausschüsse des Repräsentantenhauses und des Senats). Die Justizausschüsse üben ihre regelmäßige Aufsicht auf verschiedene Weise aus, insbesondere durch Anhörungen, Untersuchungen, Überprüfungen und Berichte. (204)

(112)

Wie bereits erwähnt, benötigen die Strafverfolgungsbehörden in den meisten Fällen eine vorherige richterliche Genehmigung für die Erhebung personenbezogener Daten. Dies gilt zwar nicht für behördliche Anordnungen zur Herausgabe von Daten, doch sind diese auf bestimmte Situationen beschränkt und unterliegen zumindest dann einer unabhängigen gerichtlichen Überprüfung, wenn die Regierung sie vor Gericht durchsetzen will. Insbesondere können die Empfänger von behördlichen Anordnungen zur Herausgabe von Daten diese vor Gericht mit der Begründung anfechten, sie seien unverhältnismäßig, d. h. überzogen, repressiv oder belastend. (205)

(113)

Privatpersonen können in Bezug auf die Verarbeitung ihrer personenbezogenen Daten zunächst Ersuchen oder Beschwerden bei den Strafverfolgungsbehörden einreichen. Dies schließt die Möglichkeit ein, den Zugang zu personenbezogenen Daten und deren Berichtigung zu beantragen. (206) In Bezug auf Maßnahmen im Zusammenhang mit der Terrorismusbekämpfung können Privatpersonen auch eine Beschwerde bei Datenschutz- und Bürgerrechtsbeauftragen (oder anderen Datenschutzbeauftragten) bei Strafverfolgungsbehörden einreichen. (207)

(114)

Darüber hinaus gewährt das amerikanische Recht Privatpersonen eine Reihe gerichtlicher Rechtsbehelfe gegen staatliche Behörden oder einzelne Mitarbeiter, sofern diese Behörden personenbezogene Daten verarbeiten. (208) Diese Rechtsschutzmöglichkeiten, die insbesondere der APA, der Freedom of Information Act (FOIA) und der Electronic Communications Privacy Act (ECPA) einräumen, stehen allen Personen unabhängig von ihrer Nationalität offen, sofern die erforderlichen Voraussetzungen gegeben sind.

(115)

Nach den Bestimmungen des APA über die gerichtliche Überprüfung (209) kann „eine Person, die durch Handlungen einer Behörde einen Schaden oder Nachteil erleidet“, eine gerichtliche Nachprüfung beantragen. (210) Dazu gehört die Möglichkeit, das Gericht zu ersuchen, „Handlungen, Feststellungen und Schlussfolgerungen einer Behörde, die für … willkürlich, mutwillig, die Befugnisse überschreitend oder anderweitig rechtswidrig befunden werden, für null und nichtig zu erklären“. (211)

(116)

Konkreter ist in diesem Zusammenhang Titel II des ECPA (212), der ein System gesetzlich verankerter Datenschutzrechte beinhaltet und somit unmittelbar den Zugriff der Strafverfolgungsbehörden auf den Inhalt leitungsgebundener, mündlicher oder elektronischer Kommunikationsvorgänge regelt, die von Drittanbietern gespeichert werden. (213) Er stellt den rechtswidrigen (d. h. nicht gerichtlich autorisierten oder anderweitig zulässigen) Zugriff auf derartige Kommunikationsvorgänge unter Strafe und räumt betroffenen Personen die Möglichkeit ein, vor einem Bundesgericht der USA eine Klage auf eigentlichen und pönalen Schadensersatz einzureichen sowie billigkeitsrechtliche Ansprüche gegen einen Regierungsbeamten, der vorsätzlich derartige rechtswidrige Handlungen begangen hat, oder die Vereinigten Staaten geltend zu machen.

(117)

Darüber hinaus gewähren verschiedene weitere Gesetze Privatpersonen das Recht, wegen der Verarbeitung ihrer personenbezogenen Daten staatliche Behörden der USA oder Beamte zu verklagen, so etwa der Wiretap Act (214), der Computer Fraud and Abuse Act (215), der Federal Torts Claim Act (216), der Right to Financial Privacy Act (217) und der Fair Credit Reporting Act (218).

(118)

Dem FOIA (219), 5 U.S.C. § 552, zufolge hat jede Person das Recht, Zugang zu Unterlagen der Bundesbehörden zu erhalten, auch wenn diese die personenbezogenen Daten der betreffenden Person enthalten. Nach Ausschöpfung aller behördlichen Rechtsbehelfe kann eine Privatperson dieses Recht auf Zugriff vor Gericht geltend machen, sofern die Unterlagen nicht durch eine Ausnahmeregelung oder Strafverfolgungsklausel vor der Offenlegung geschützt sind. (220) In diesem Fall prüft das Gericht, ob eine Ausnahmeregelung gilt oder von der zuständigen Behörde rechtmäßig geltend gemacht wurde.

(119)

Das Recht der Vereinigten Staaten umfasst verschiedene Einschränkungen und Garantien in Bezug auf den Zugriff auf und die Verwendung von personenbezogenen Daten für die Zwecke der nationalen Sicherheit; ferner sieht es Aufsichtsmechanismen und Rechtsbehelfe vor, die den in Erwägungsgrund 89 dieses Beschlusses genannten Anforderungen entsprechen. Die folgenden Abschnitte enthalten eine detaillierte Bewertung der Bedingungen, unter denen ein solcher Zugriff erfolgen kann, sowie der Garantien, die für die Nutzung dieser Befugnisse gelten.

(120)

Personenbezogene Daten, die von der Union an Organisationen, die dem Datenschutzrahmen EU-USA angehören, übermittelt werden, können von US-Behörden für Zwecke der nationalen Sicherheit auf der Grundlage verschiedener Rechtsinstrumente und vorbehaltlich besonderer Bedingungen und Garantien erhoben werden.

(121)

Sobald personenbezogene Daten bei Organisationen mit Sitz in den Vereinigten Staaten eingegangen sind, können US-Nachrichtendienste nur dann Zugang zu diesen Daten für Zwecke der nationalen Sicherheit beantragen, wenn sie dazu gesetzlich ermächtigt sind, insbesondere nach dem Foreign Intelligence Surveillance Act (FISA) oder nach Rechtsvorschriften, die den Zugang durch National Security Letters (NSL) erlauben. (221) Der FISA enthält verschiedene Rechtsgrundlagen, die herangezogen werden können, um die im Rahmen des Datenschutzrahmens EU-USA von betroffenen Personen in der EU übermittelten personenbezogenen Daten zu erheben (und anschließend zu verarbeiten) (Abschnitt 105 FISA (222), Abschnitt 302 FISA (223), Abschnitt 402 FISA (224), Abschnitt 501 FISA (225) und Abschnitt 702 FISA (226)), wie in den Erwägungsgründen 142 bis 152 ausführlicher beschrieben.

(122)

Die Nachrichtendienste der Vereinigten Staaten haben auch die Möglichkeit, personenbezogene Daten außerhalb der Vereinigten Staaten zu erheben, einschließlich personenbezogener Daten bei der Übermittlung zwischen der Union und den Vereinigten Staaten. Die Erhebung außerhalb der Vereinigten Staaten stützt sich auf die Executive Order 12333 (227)des Präsidenten der Vereinigten Staaten (im Folgenden „EO 12333“). (228)

(123)

Die Erhebung von Informationen im Bereich der signalerfassenden Auslandsaufklärung ist die für die vorliegende Angemessenheitsfeststellung relevanteste Form der nachrichtendienstlichen Erhebung, da sie die Erhebung elektronischer Kommunikation und von Daten aus Informationssystemen betrifft. Eine solche Erhebung kann von den US-Nachrichtendiensten sowohl innerhalb der Vereinigten Staaten (auf der Grundlage des FISA) als auch bei der Übermittlung von Daten in die Vereinigten Staaten (auf der Grundlage der EO 12333) durchgeführt werden.

(124)

Am 7. Oktober 2022 erließ der Präsident der Vereinigten Staaten die EO 14086 zur Verbesserung der Garantien für die Nachrichtendienste der Vereinigten Staaten, die Einschränkungen und Garantien für alle Signalaufklärungsaktivitäten der Vereinigten Staaten festlegt. Diese EO ersetzt weitgehend die Presidential Policy Directive (PPD-28) (229), und verschärft die Bedingungen, Einschränkungen und Garantien, die für alle Signalaufklärungsaktivitäten gelten (d. h. auf der Grundlage des FISA und der EO 12333), unabhängig davon, wo sie stattfinden, (230) und führt einen neuen Rechtsbehelf ein, mit dem diese Garantien von Privatpersonen geltend gemacht und durchgesetzt werden können (231) (siehe im Einzelnen die Erwägungsgründe 176 bis 194). Damit werden die Ergebnisse der Gespräche zwischen der EU und den USA, die nach der Nichtigerklärung des Angemessenheitsbeschlusses der Kommission zum Datenschutzschild durch den Gerichtshof (siehe Erwägungsgrund 6) geführt wurden, in US-Recht umgesetzt. Sie ist daher ein besonders wichtiger Bestandteil des in diesem Beschluss bewerteten Rechtsrahmens.

(125)

Die mit der EO 14086 eingeführten Einschränkungen und Garantien ergänzen die in Abschnitt 702 FISA und in der EO 12333 vorgesehenen Einschränkungen und Garantien. Die nachstehend beschriebenen Anforderungen (Abschnitte 3.2.1.2 und 3.2.1.3) sind von Nachrichtendiensten bei der Ausübung von Signalaufklärungstätigkeiten nach Abschnitt 702 FISA und der EO 12333 anzuwenden, z. B. bei der Auswahl/Ermittlung von Kategorien von ausländischen Aufklärungsdaten, die nach Abschnitt 702 FISA zu beschaffen sind, bei der Erhebung von Daten zur Auslandsaufklärung oder Spionageabwehr nach der EO 12333 sowie individuelle Entscheidungen hinsichtlich der zielgenauen Datenerhebung nach Abschnitt 702 FISA und der EO 12333.

(126)

Die in dieser Executive Order des Präsidenten festgelegten Anforderungen sind für alle Nachrichtendienste verbindlich. Sie müssen von den Diensten durch Strategien und Verfahren umgesetzt werden, die sie in konkrete Anweisungen für den täglichen Betrieb umwandeln. Dabei räumt die EO 14086 den US-Nachrichtendiensten eine Frist von maximal einem Jahr ein, um ihre bestehenden Strategien und Verfahren zu aktualisieren (d. h. bis zum 7. Oktober 2023) und mit den Anforderungen der EO in Einklang zu bringen. Diese aktualisierten Strategien und Verfahren müssen in Absprache mit dem Justizminister, dem Civil Liberties Protection Officer (Bürgerrechtsbeauftragter) des Director of National Intelligence (Direktor des Nationalen Nachrichtendienstes) (ODNI CLPO) und dem PCLOB – einem unabhängigen Aufsichtsgremium, das befugt ist, die Strategien der Exekutive und deren Umsetzung im Hinblick auf den Schutz der Privatsphäre und der bürgerlichen Freiheiten zu überprüfen (siehe Erwägungsgrund 110 zur Rolle und zum Status des PCLOB) – entwickelt und veröffentlicht werden. (232) Sobald die aktualisierten Strategien und Verfahren in Kraft getreten sind, wird das PCLOB eine Überprüfung durchführen, um sicherzustellen, dass sie mit der EO übereinstimmen. Innerhalb von 180 Tagen nach Abschluss einer solchen Überprüfung durch das PCLOB muss jeder Nachrichtendienst alle Empfehlungen des PCLOB sorgfältig prüfen und umsetzen oder anderweitig berücksichtigen. Am 3. Juli 2023 veröffentlichte die US-Regierung diese aktualisierten Strategien und Verfahren (233).

(127)

Die EO 14086 stellt eine Reihe von weitreichenden Anforderungen auf, die für alle Tätigkeiten im Bereich der Signalaufklärung (Erhebung, Verwendung, Verbreitung usw. von personenbezogenen Daten) gelten.

(128)

Erstens müssen diese Tätigkeiten auf einem Gesetz oder einer Ermächtigung des Präsidenten beruhen und im Einklang mit den Rechtsvorschriften der Vereinigten Staaten, einschließlich der Verfassung, durchgeführt werden. (234)

(129)

Zweitens müssen geeignete Garantien getroffen werden, um sicherzustellen, dass der Schutz der Privatsphäre und der bürgerlichen Freiheiten bei der Planung solcher Tätigkeiten in vollem Umfang berücksichtigt wird. (235)

(130)

Insbesondere darf die signalerfassende Aufklärung nur durchgeführt werden, „nachdem auf der Grundlage einer angemessenen Bewertung aller relevanten Faktoren festgestellt wurde, dass die Maßnahme zur Förderung einer validierten Aufklärungspriorität erforderlich ist“ (zum Begriff der „validierten Aufklärungspriorität“ siehe Erwägungsgrund 135). (236)

(131)

Darüber hinaus dürfen solche Maßnahmen nur „in einem Umfang und in einer Art und Weise durchgeführt werden, die in einem angemessenen Verhältnis zu der validierten Aufklärungspriorität stehen, für die sie genehmigt wurden“. (237) Mit anderen Worten: Es muss ein angemessenes Gleichgewicht hergestellt werden „zwischen der Bedeutung der angestrebten Aufklärungspriorität und den Auswirkungen auf die Privatsphäre und die bürgerlichen Freiheiten der betroffenen Personen, unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnort“. (238)

(132)

Um die Einhaltung dieser allgemeinen Anforderungen – die die Grundsätze der Rechtmäßigkeit, Notwendigkeit und Verhältnismäßigkeit widerspiegeln – zu gewährleisten, unterliegt die signalerfassende Aufklärung der Aufsicht (siehe im Einzelnen Abschnitt 3.2.2). (239)

(133)

Diese allgemeinen Anforderungen werden in Bezug auf die Erhebung von Signalaufklärungsdaten durch eine Reihe von Bedingungen und Einschränkungen untermauert, die sicherstellen, dass der Eingriff in die Rechte natürlicher Personen auf das zur Erreichung eines rechtmäßigen Zwecks notwendige und verhältnismäßige Maß beschränkt bleibt.

(134)

Erstens schränkt die EO die Gründe für die Erhebung von Signalaufklärungsdaten in zweierlei Hinsicht ein. Einerseits definiert die EO die legitimen Ziele, die mit der Erhebung von Signalaufklärungsdaten verfolgt werden können, z. B. das Verständnis oder die Bewertung der Fähigkeiten, Absichten oder Aktivitäten ausländischer Organisationen, einschließlich internationaler terroristischer Organisationen, die eine tatsächliche oder potenzielle Bedrohung für die nationale Sicherheit der Vereinigten Staaten darstellen, der Schutz vor ausländischen militärischen Kapazitäten und Aktivitäten, das Verständnis oder die Bewertung transnationaler Bedrohungen, die sich auf die globale Sicherheit auswirken, wie Klima- und andere Umweltveränderungen, Risiken für die öffentliche Gesundheit und humanitäre Bedrohungen. (240) Auf der anderen Seite listet die EO eine Reihe von Zielen auf, die niemals mittels signalerfassender Aufklärung verfolgt werden dürfen, z. B. die Beeinträchtigung von Kritik, Dissens oder der freien Äußerung von Ideen oder politischen Meinungen durch Privatpersonen oder die Presse, die Diskriminierung von Personen aufgrund ihrer ethnischen Zugehörigkeit, Rasse, Geschlecht, Geschlechtsidentität, sexuellen Orientierung oder Religion oder die Verschaffung eines Wettbewerbsvorteils für US-Unternehmen. (241)

(135)

Darüber hinaus können sich die Nachrichtendienste nicht allein auf die in der EO 14086 festgelegten legitimen Ziele berufen, um die Erhebung von Signalaufklärungsdaten zu rechtfertigen, sondern müssen für operative Zwecke konkretere Prioritäten festlegen, für die Signalaufklärungsdaten erhoben werden können. Mit anderen Worten, die tatsächliche Erhebung kann nur zur Unterstützung einer spezifischeren Priorität erfolgen. Diese Prioritäten werden im Rahmen eines besonderen Verfahrens festgelegt, das die Einhaltung der geltenden Rechtsvorschriften, einschließlich der Bestimmungen zum Schutz der Privatsphäre und der bürgerlichen Freiheiten, gewährleisten soll. Konkret werden die Aufklärungsprioritäten zunächst vom Direktor des Nationalen Nachrichtendienstes (im Rahmen des sogenannten National Intelligence Priorities Framework) entwickelt und dem Präsidenten zur Genehmigung vorgelegt. (242) Bevor der Direktor des Nationalen Nachrichtendienstes dem Präsidenten Aufklärungsprioritäten vorschlägt, muss er nach der EO 14086 für jede Priorität eine Bewertung des ODNI CLPO einholen, um festzustellen, ob sie 1) einem oder mehreren der in der EO aufgeführten legitimen Ziele dient, 2) nicht dazu bestimmt ist und voraussichtlich nicht dazu führen wird, Signalaufklärungsdaten für ein in der EO aufgeführtes verbotenes Ziel zu erheben und 3) unter gebührender Berücksichtigung der Privatsphäre und der bürgerlichen Freiheiten aller Personen, ungeachtet ihrer Nationalität oder ihres Wohnorts, festgelegt wurde. (243) Stimmt der Direktor der Bewertung des Beauftragten nicht zu, sind beide Stellungnahmen dem Präsidenten vorzulegen. (244)

(136)

Dieses Verfahren stellt daher insbesondere sicher, dass Datenschutzbelange bereits in der Anfangsphase der Entwicklung von Aufklärungsprioritäten berücksichtigt werden.

(137)

Zweitens wird, sobald eine Aufklärungspriorität festgelegt ist, anhand einer Reihe von Anforderungen entschieden, ob und in welchem Umfang Signalaufklärungsdaten erhoben werden dürfen, um diese Priorität zu fördern. Mit diesen Anforderungen werden die allgemeinen Standards der Notwendigkeit und Verhältnismäßigkeit nach Abschnitt 2(a) EO umgesetzt.

(138)

Insbesondere dürfen Signalaufklärungsdaten nur erhoben werden, „wenn auf der Grundlage einer angemessenen Bewertung aller relevanten Faktoren festgestellt wurde, dass die Erhebung erforderlich ist, um eine bestimmte Aufklärungspriorität zu fördern“. (245) Bei der Entscheidung, ob eine bestimmte Signalaufklärungstätigkeit erforderlich ist, um eine bestätigte Aufklärungspriorität zu fördern, müssen die US-Nachrichtendienste die Verfügbarkeit, Durchführbarkeit und Angemessenheit anderer, weniger eingreifender Quellen und Methoden, einschließlich diplomatischer und öffentlicher Quellen, berücksichtigen. (246) Stehen solche alternativen, weniger eingreifenden Quellen und Methoden zur Verfügung, sind sie vorrangig zu nutzen. (247)

(139)

Wenn in Anwendung dieser Kriterien die Erhebung von Signalaufklärungsdaten als notwendig erachtet wird, muss sie so „maßgeschneidert wie möglich“ sein und darf „die Privatsphäre und die bürgerlichen Freiheiten nicht unverhältnismäßig beeinträchtigen“. (248) Um sicherzustellen, dass die Privatsphäre und die bürgerlichen Freiheiten nicht unverhältnismäßig beeinträchtigt werden, d. h. um ein angemessenes Gleichgewicht zwischen den Erfordernissen der nationalen Sicherheit und dem Schutz der Privatsphäre und der bürgerlichen Freiheiten herzustellen, müssen alle relevanten Faktoren berücksichtigt werden, wie etwa die Art des verfolgten Ziels, die Eingriffsintensität der Erhebung, einschließlich ihrer Dauer, der voraussichtliche Beitrag der Erhebung zur Erreichung des verfolgten Ziels, die nach vernünftigem Ermessen vorhersehbaren Folgen für Privatpersonen und Art und Sensibilität der zu erhebenden Daten. (249)

(140)

Was die Art der Erhebung der Signalaufklärungsdaten anbelangt, so muss die Datenerhebung in den Vereinigten Staaten, die für die vorliegende Angemessenheitsfeststellung am relevantesten ist, da sie Daten betrifft, die an Organisationen in den Vereinigten Staaten übermittelt werden, stets gezielt erfolgen, wie in den Erwägungsgründen 142 bis 153 näher erläutert wird.

(141)

Die „Sammelerhebung“ (250) darf nur außerhalb der USA auf der Grundlage der EO 12333 durchgeführt werden. Auch in diesem Fall ist nach der EO 14086 der gezielten Erhebung der Vorzug zu geben. (251) Umgekehrt ist eine Sammelerhebung nur dann zulässig, wenn die für die Förderung einer validierten Aufklärungspriorität erforderlichen Informationen nicht in angemessener Weise durch eine gezielte Erhebung gewonnen werden können. (252) Wenn eine Sammelerhebung außerhalb der Vereinigten Staaten erforderlich ist, gelten besondere Garantien nach der EO 14086. (253) Erstens müssen Methoden und technische Maßnahmen angewandt werden, um die gesammelten Daten auf das zu beschränken, was für die Förderung einer validierten Aufklärungspriorität erforderlich ist, und um die Erhebung irrelevanter Informationen so gering wie möglich zu halten. (254) Zweitens beschränkt die EO die Verwendung von Informationen, die durch die Sammelerhebung (einschließlich Abfragen) gewonnen wurden, auf sechs spezifische Zwecke, darunter Schutz vor Terrorismus, Geiselnahme und Gefangennahme von Personen durch oder im Namen einer ausländischen Regierung, Organisation oder Person sowie Schutz vor ausländischer Spionage, Sabotage oder Ermordung, Schutz vor Bedrohungen, die sich aus der Entwicklung, dem Besitz oder der Verbreitung von Massenvernichtungswaffen oder damit zusammenhängender Technologien und Bedrohungen ergeben, usw. (255) Schließlich darf die Abfrage von Daten, die durch eine Sammelerhebung gewonnen wurden, nur dann erfolgen, wenn dies zur Förderung einer validierten Aufklärungspriorität erforderlich ist, und zwar in Verfolgung dieser sechs Ziele und in Übereinstimmung mit Strategien und Verfahren, die den Auswirkungen der Abfragen auf die Privatsphäre und die bürgerlichen Freiheiten aller Personen, unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnort, gebührend Rechnung tragen. (256)

(142)

Zusätzlich zu den Anforderungen der EO 14086 unterliegt die Erhebung von Signalaufklärungsdaten, die an eine Organisation in den USA übermittelt werden, besonderen Einschränkungen und Garantien, die in Abschnitt 702 FISA geregelt sind. (257) Nach Abschnitt 702 FISA ist es möglich, Auslandsaufklärungsdaten durch die gezielte Überwachung von Nicht-US-Bürgern zu sammeln, von denen vermutet wird, dass sie sich außerhalb der Vereinigten Staaten aufhalten, wobei amerikanische Anbieter elektronischer Kommunikationsdienste zur Unterstützung verpflichtet sind. (258) Um nach Abschnitt 702 FISA Auslandsaufklärungsdaten sammeln zu können, legen der Justizminister und der Direktor des Nationalen Nachrichtendienstes dem Foreign Intelligence Surveillance Court (FISC) (Gericht zur Überwachung der Auslandsgeheimdienste) jährliche Zertifizierungen vor, in denen die Kategorien der zu erhebenden Auslandsaufklärungsdaten aufgeführt sind. (259) Die Zertifizierungen müssen mit Verfahren zur zielgenauen Erfassung, Minimierung und Abfrage einhergehen, die ebenfalls vom Gericht gebilligt werden und für die amerikanischen Nachrichtendienste rechtsverbindlich sind.

(143)

Das FISC ist ein durch Bundesgesetz geschaffenes unabhängiges Gericht (260), dessen Entscheidungen vor dem Foreign Intelligence Surveillance Court of Review (FISCR) (261) (Rechtsmittelgericht für Entscheidungen im Bereich der Überwachung der Auslandsgeheimdienste) und schließlich vor dem Obersten Gerichtshof der Vereinigten Staaten angefochten werden können. (262) Das FISC (und das FISCR) werden von einer ständigen Expertengruppe unterstützt, die aus fünf Rechtsanwälten und fünf Sachverständigen für nationale Sicherheit und Bürgerrechte besteht. (263) Das Gericht benennt ein Mitglied dieser Gruppe als Amicus Curiae, damit er bei der Prüfung eines Antrags auf Anordnung oder Überprüfung mitwirkt, der nach Auffassung des Gerichts eine neuartige oder bedeutsame Interpretation des Rechts beinhaltet, es sei denn, das Gericht hält eine solche Benennung nicht für angebracht. (264) Auf diese Weise wird vor allem sichergestellt, dass Datenschutzbelange bei der gerichtlichen Prüfung hinreichend Berücksichtigung finden. Das Gericht kann auch eine Privatperson oder Organisation als Amicus curiae benennen, um bestimmte rechtliche Aspekte zu beleuchten, sofern ihm dies geboten erscheint, oder auf Antrag einer Privatperson oder einer Organisation gestatten, einen Amicus-Curiae-Schriftsatz („brief“) einzureichen. (265)

(144)

Das FISC prüft die Zertifizierungen und die damit verbundenen Verfahren (insbesondere die Verfahren zur zielgenauen Erfassung und zur Minimierung der Datenmenge) auf ihre Übereinstimmung mit den Anforderungen des FISA. Ist es der Auffassung, dass die Anforderungen nicht erfüllt sind, kann es die Zertifizierung ganz oder teilweise verweigern und eine Änderung der Verfahren verlangen. (266) In diesem Zusammenhang hat das FISC wiederholt bestätigt, dass seine Überprüfung der Verfahren zur zielgenauen Erfassung und Datenminimierung nach Abschnitt 702 nicht auf die schriftlichen Verfahren beschränkt ist, sondern auch die Art und Weise umfasst, wie die Verfahren von der Regierung umgesetzt werden. (267)

(145)

Die National Security Agency (NSA, der Nachrichtendienst, der nach Abschnitt 702 FISA für die zielgenaue Datenerhebung zuständig ist) trifft die Auswahl der einzelnen Zielpersonen nach den vom FISC genehmigten Verfahren für die zielgenaue Erfassung, wonach die NSA auf der Grundlage der Gesamtumstände beurteilen muss, dass die zielgenaue Datenerfassung gegen eine bestimmte Person wahrscheinlich zur Erlangung einer in einer Zertifizierung genannten Kategorie von Informationen der Auslandsaufklärung führen wird. (268) Diese Bewertung muss spezifisch und faktengestützt sein und sich auf das analytische Urteilsvermögen, die spezifische Ausbildung und Erfahrung des Analysten sowie auf die Art der zu beschaffenden Auslandsaufklärungsdaten stützen. (269) Die zielgenaue Ausrichtung der Erhebung erfolgt über sogenannte Selektoren, die bestimmte Kommunikationseinrichtungen wie die E-Mail-Adresse oder die Telefonnummer der Zielperson identifizieren, jedoch niemals Schlüsselwörter oder Namen von Personen. (270)

(146)

NSA-Analysten werden zunächst Nicht-US-Bürger ermitteln, die sich im Ausland befinden und deren Überwachung nach Einschätzung der Analysten zu den in der Zertifizierung angegebenen Auslandsaufklärungsdaten führt. (271) Wie in den NSA-Verfahren zur zielgenauen Datenerhebung dargelegt, kann die NSA eine Überwachung nur dann auf eine Zielperson ausrichten, wenn sie bereits Informationen über diese Zielperson hat. (272) Diese Informationen können aus verschiedenen Quellen stammen, z. B. aus der Aufklärung mit menschlichen Quellen. Über diese anderen Quellen muss der Analyst auch etwas über einen bestimmten Selektor (d. h. ein Kommunikationskonto) erfahren, der von der potenziellen Zielperson verwendet wird. Sobald diese Personen identifiziert sind und ihre gezielte Überwachung nach einem gründlichen Kontrollverfahren innerhalb der NSA (273) genehmigt wurde, werden Selektoren, die Kommunikationseinrichtungen (wie E-Mail-Adressen) identifizieren, „aktiviert“ (d. h. erstellt und angewandt). (274)

(147)

Die NSA muss die sachliche Grundlage für die Auswahl des Ziels (275) dokumentieren und nach der erstmaligen Erfassung in regelmäßigen Abständen bestätigen, dass die Norm für die gezielte Erfassung weiterhin erfüllt ist. (276) Sobald die Norm für die gezielte Erfassung nicht mehr erfüllt ist, ist die Erhebung einzustellen. (277) Die Auswahl der einzelnen Zielpersonen durch die NSA und die Dokumentation jeder aufgezeichneten Bewertung und Begründung der Erfassung werden alle zwei Monate von Beamten der für die Überwachung der Nachrichtendienste zuständigen Abteilungen des Justizministeriums auf die Einhaltung der Verfahren für eine zielgenaue Erfassung überprüft, die verpflichtet sind, dem FISC und dem Kongress jeden Verstoß zu melden. (278) Die schriftliche Dokumentation der NSA erleichtert dem FISC die Überwachung der ordnungsgemäßen Auswahl bestimmter Zielpersonen nach Abschnitt 702 FISA im Einklang mit seinen in den Erwägungsgründen 173 und 174 beschriebenen Aufsichtsbefugnissen. (279) Schließlich ist der Direktor des nationalen Nachrichtendienstes verpflichtet, jedes Jahr die Gesamtzahl der Personen, die nach Abschnitt 702 FISA als Zielpersonen ausgewählt wurden, in öffentlichen jährlichen statistischen Transparenzberichten bekannt zu geben. Unternehmen, die Anweisungen nach Abschnitt 702 FISA erhalten, können aggregierte Daten (über Transparenzberichte) über die bei ihnen eingegangenen Anfragen veröffentlichen. (280)

(148)

Für die anderen Rechtsgrundlagen zur Erhebung personenbezogener Daten, die an Organisationen in den USA übermittelt werden, gelten andere Einschränkungen und Garantien. Im Allgemeinen ist die Sammelerhebung von Daten auf der Grundlage von Abschnitt 402 FISA (Befugnis zum Einsatz von Geräten zur Rufnummernerfassung) und durch die Verwendung von NSL ausdrücklich verboten und erfordert stattdessen die Verwendung spezifischer „Suchbegriffe“. (281)

(149)

Um eine herkömmliche individualisierte elektronische Überwachung (nach Abschnitt 105 FISA) durchführen zu können, müssen die Nachrichtendienste einen Antrag beim FISC stellen, in dem sie die Tatsachen und Umstände darlegen, die die Annahme rechtfertigen, dass ein hinreichender Verdacht besteht, dass die Einrichtung von einer ausländischen Macht oder einem Vertreter einer ausländischen Macht genutzt wird oder dies beabsichtigt ist. (282) Das FISC beurteilt unter anderem, ob diese Annahme auf der Grundlage der vorgelegten Tatsachen vermutlich zutrifft. (283)

(150)

Für die Durchführung einer Hausdurchsuchung oder Durchsuchung des Eigentums zur Überprüfung, Beschlagnahme usw. von Informationen, Unterlagen oder Vermögensgegenständen (z. B. eines Computergeräts) auf der Grundlage von Abschnitt 301 FISA ist ein Antrag auf Erlass einer Anordnung beim FISC erforderlich. (284) Ein solcher Antrag muss unter anderem darlegen, dass ein hinreichender Verdacht besteht, dass das Ziel der Durchsuchung eine ausländische Macht oder ein Vertreter einer ausländischen Macht ist, dass die zu durchsuchenden Räumlichkeiten oder Gegenstände Auslandsaufklärungsdaten enthalten und dass die zu durchsuchenden Räumlichkeiten einer ausländischen Macht gehören, von einer ausländischen Macht benutzt werden, in ihrem Besitz sind oder sich auf dem Weg zu oder von einer ausländischen Macht (bzw. einem Vertreter der ausländischen Macht) befinden. (285)

(151)

In ähnlicher Weise erfordert der Einsatz von Geräten zur Rufnummernerfassung von ausgehenden und eingehenden Anrufen (nach Abschnitt 402 FISA) die Beantragung einer Anordnung des FISC (oder eines U.S. Magistrate Judge) und die Verwendung eines konkreten Suchbegriffs, d. h. eines Begriffs, der eine Person, ein Konto usw. präzise bezeichnet und den Suchbereich möglichst stark eingrenzen soll. (286) Diese Rechtsgrundlage betrifft nicht den Inhalt der Kommunikation, sondern Informationen über den Kunden oder Teilnehmer, der einen Dienst in Anspruch nimmt (z. B. Name, Anschrift, Telefonnummer, Dauer/Art der Dienstleistung, Zahlungsquelle/-modalitäten).

(152)

Abschnitt 501 FISA (287), der die Erhebung von Geschäftsunterlagen eines gewöhnlichen Beförderungsunternehmens (d. h. einer Person oder Einrichtung, die gegen Entgelt Personen oder Güter auf dem Land-, Schienen-, Wasser- oder Luftweg befördert), einer öffentlichen Beherbergungseinrichtung (z. B. Hotel, Motel oder Gasthof), einer Mietwagenfirma oder einer physischen Lagereinrichtung (d. h. einer Einrichtung, die Raum für die Lagerung von Waren und Materialien bereitstellt oder Dienstleistungen im Zusammenhang mit der Lagerung von Waren erbringt) (288) erlaubt, erfordert ebenfalls einen Antrag beim FISC oder einem Magistrate Judge. In diesem Antrag sind die angeforderten Unterlagen sowie die konkreten und nachvollziehbaren Tatsachen anzugeben, die die Annahme rechtfertigen, dass es sich bei der Person, auf die sich die Unterlagen beziehen, um eine ausländische Macht oder einen Vertreter einer ausländischen Macht handelt. (289)

(153)

Schließlich sind NSL nach verschiedenen Gesetzen zulässig und erlauben es den Ermittlungsbehörden, von bestimmten Stellen (z. B. Finanzinstituten, Kreditauskunfteien, Anbietern elektronischer Kommunikation) bestimmte Informationen aus Kreditauskünften, Finanzunterlagen und elektronischen Teilnehmer- und Transaktionsdatensätzen (mit Ausnahme des Inhalts der Kommunikation) zu erhalten. (290) Nach dem NSL-Statut, das den Zugriff auf elektronische Kommunikation gestattet, ist nur das FBI befugt, von diesem Recht Gebrauch zu machen, und die Anträge müssen sich auf eine Person, eine Stelle, eine Telefonnummer oder ein Konto beziehen und bestätigen, dass die Informationen für eine autorisierte Ermittlung zu Fragen der nationalen Sicherheit erforderlich sind, die dem Schutz vor internationalem Terrorismus und verdeckten nachrichtendienstlichen Tätigkeiten dient. (291) Empfänger eines NSL haben das Recht, diesen vor Gericht anzufechten. (292)

(154)

Für die Verarbeitung personenbezogener Daten, die von den US-Nachrichtendiensten im Rahmen der Signalaufklärung erhoben wurden, gelten mehrere Garantien.

(155)

Erstens muss jeder Nachrichtendienst eine angemessene Datensicherheit gewährleisten und den Zugriff Unbefugter auf die im Rahmen der Signalaufklärung erhobenen personenbezogenen Daten verhindern. In diesem Zusammenhang werden die Mindestanforderungen an die Informationssicherheit (z. B. mehrstufige Authentifizierung, Verschlüsselung usw.) in verschiedenen Instrumenten wie Gesetzen, Leitlinien und Normen weiter spezifiziert. (293) Der Zugang zu erhobenen Daten ist auf befugte und geschulte Mitarbeiter zu beschränken, die diese Informationen zur Erfüllung ihres Auftrags benötigen. (294) Generell müssen die Nachrichtendienste ihre Mitarbeiter angemessen schulen, einschließlich der Verfahren zur Meldung und Behandlung von Rechtsverstößen (einschließlich Verstößen gegen die EO 14086). (295)

(156)

Zweitens müssen Nachrichtendienste die Standards der Genauigkeit und Objektivität der Intelligence Community einhalten, insbesondere im Hinblick auf die Gewährleistung der Datenqualität und -zuverlässigkeit, die Berücksichtigung alternativer Informationsquellen und die Objektivität bei der Durchführung von Analysen. (296)

(157)

Drittens wird in der EO 14086 im Hinblick auf die Vorratsdatenspeicherung klargestellt, dass für personenbezogene Daten von Nicht-US-Bürgern die gleichen Speicherfristen gelten wie für Daten von US-Bürgern. (297) Die Nachrichtendienste sind verpflichtet, spezifische Speicherfristen und/oder die Faktoren festzulegen, die bei der Bestimmung der Dauer der anwendbaren Speicherfristen zu berücksichtigen sind (z. B. ob es sich bei den Informationen um Beweise für eine Straftat handelt, ob es sich bei den Informationen um ausländische Aufklärungsdaten handelt, ob die Informationen zum Schutz der Sicherheit von Personen oder Organisationen, einschließlich Opfern oder Zielpersonen des internationalen Terrorismus, erforderlich sind). Diese sind in unterschiedlichen Rechtsinstrumenten festgelegt. (298)

(158)

Viertens gelten besondere Regeln für die Verbreitung personenbezogener Daten, die im Rahmen der Signalaufklärung erhoben wurden. Im Allgemeinen dürfen personenbezogene Daten von Nicht-US-Bürgern nur dann verbreitet werden, wenn es sich um die gleiche Art von Daten handelt, die auch von US-Bürgern verbreitet werden dürfen, z. B. Daten, die erforderlich sind, um die Sicherheit einer Person oder Organisation zu schützen (z. B. Zielpersonen, Opfer oder Geiseln internationaler terroristischer Organisationen). (299) Darüber hinaus dürfen personenbezogene Daten nicht allein aufgrund der Staatsangehörigkeit oder des Wohnsitzlandes einer Person oder zum Zwecke der Umgehung der Anforderungen der EO 14086 verbreitet werden. (300) Eine Verbreitung innerhalb der US-Regierung darf nur erfolgen, wenn eine befugte und geschulte Person Grund zu der Annahme hat, dass der Empfänger die Informationen kennen muss (301) und sie angemessen schützen wird. (302) Bei der Entscheidung, ob personenbezogene Daten an Empfänger außerhalb der US-Regierung (einschließlich ausländischer Regierungen oder internationaler Organisationen) weitergegeben werden dürfen, müssen der Zweck der Verbreitung, die Art und der Umfang der verbreiteten Daten sowie mögliche nachteilige Auswirkungen auf die betroffene(n) Person(en) berücksichtigt werden. (303)

(159)

Schließlich ist nach der EO 14086 jeder Nachrichtendienst verpflichtet, eine angemessene Dokumentation über die Erhebung von Signalaufklärungsdaten zu führen, auch um die Überwachung der Einhaltung der geltenden rechtlichen Anforderungen und wirksame Rechtsbehelfe zu erleichtern. Die Dokumentationspflicht umfasst Elemente wie die faktische Grundlage für die Einschätzung, dass eine bestimmte Datenerhebung notwendig ist, um eine validierte Aufklärungspriorität zu fördern. (304)

(160)

Zusätzlich zu den oben genannten Garantien der EO 14086 für die Verwendung von Informationen, die im Rahmen der Signalaufklärung erhoben wurden, unterliegen alle US-Nachrichtendienste allgemeineren Anforderungen in Bezug auf die Zweckbindung, Datenminimierung, Richtigkeit, Sicherheit, Speicherung und Verbreitung, wie insbesondere aus dem OMB Circular No. A-130, dem E-Government Act, dem Federal Records Act (siehe die Erwägungsgründe 101 bis 106) und den Leitlinien des Committee on National Security Systems (CNSS) hervorgeht. (305)

(161)

Die Tätigkeit der US-Nachrichtendienste unterliegt der Aufsicht verschiedener Stellen.

(162)

Erstens verlangt die EO 14086, dass jeder Nachrichtendienst über hochrangige Beamte für Recht, Aufsicht und Compliance verfügt, um die Einhaltung der geltenden US-Rechtsvorschriften zu gewährleisten. (306) Insbesondere müssen sie die Tätigkeiten im Rahmen der Signalaufklärung regelmäßig überwachen und dafür sorgen, dass Verstöße abgestellt werden. Die Nachrichtendienste müssen diesen Beamten Zugang zu allen einschlägigen Daten gewähren, damit sie ihre Aufsichtsaufgaben wahrnehmen können, und dürfen keine Maßnahmen treffen, die ihre Aufsichtstätigkeit behindern oder unangemessen beeinflussen. (307) Darüber hinaus muss jeder schwerwiegende Verstoß (308), der von einer Aufsichtsbehörde oder einem anderen Mitarbeiter festgestellt wird, unverzüglich dem Leiter des Nachrichtendienstes und dem Direktor des nationalen Nachrichtendienstes gemeldet werden, die dafür sorgen müssen, dass alle erforderlichen Maßnahmen getroffen werden, um Abhilfe zu schaffen und eine Wiederholung des schwerwiegenden Verstoßes zu verhindern. (309)

(163)

Diese Aufsichtsfunktion wird von Beauftragten, die für die Einhaltung der Vorschriften zuständig sind, sowie von den Datenschutz- und Bürgerrechtsbeauftragen und den Generalinspekteuren wahrgenommen. (310)

(164)

Wie bei den Strafverfolgungsbehörden gibt es auch bei allen Nachrichtendiensten Datenschutz- und Bürgerrechtsbeauftrage. (311) Die Befugnisse dieser Beauftragten umfassen in der Regel die Aufsicht über Verfahren, mit denen sichergestellt werden soll, dass die betreffende Abteilung/der betreffende Nachrichtendienst die Belange des Datenschutzes und der bürgerlichen Freiheiten hinreichend beachtet und geeignete Vorkehrungen getroffen hat, um Beschwerden von Privatpersonen nachzugehen, die der Meinung sind, dass ihre Privatsphäre oder ihre Bürgerrechte verletzt wurden (in manchen Fällen, so im Büro des Direktors des Nationalen Nachrichtendienstes (Office of the Director of National Intelligence, ODNI), sind die Beauftragten selbst zur Untersuchung von Beschwerden befugt). (312) Die Leiter der Nachrichtendienste müssen sicherstellen, dass die Datenschutz- und Bürgerrechtsbeauftragten über die für die Erfüllung ihrer Aufgaben erforderlichen Ressourcen verfügen, dass sie Zugang zu den für die Erfüllung ihrer Aufgaben erforderlichen Materialien und zum Personal haben und dass sie über vorgeschlagene politische Änderungen informiert und dazu konsultiert werden. (313) Datenschutz- und Bürgerrechtsbeauftragte übermitteln dem Kongress und dem PCLOB regelmäßig einen Bericht mit Angaben zur Anzahl und Art der bei der Abteilung/beim Nachrichtendienst eingegangenen Beschwerden mit einer Zusammenfassung der Bearbeitung der Beschwerden, der durchgeführten Überprüfungen und Recherchen und der Auswirkungen der von den Beauftragten geleisteten Arbeit. (314)

(165)

Zweitens hat jeder Nachrichtendienst einen unabhängigen Generalinspekteur, der unter anderem für die Kontrolle der Auslandsaufklärung zuständig ist. Im ODNI besteht ein Büro des Generalinspekteurs der Intelligence Community mit umfassender Zuständigkeit für die gesamte Intelligence Community, das befugt ist, Beschwerden oder Hinweisen auf rechtswidriges Verhalten oder Amtsmissbrauch nachzugehen, die mit Programmen und Aktivitäten des ODNI und/oder der Intelligence Community im Zusammenhang stehen. (315) Ähnlich wie die Strafverfolgungsbehörden (siehe Erwägungsgrund 109) sind die Generalinspekteure rechtlich unabhängig (316) und für die Durchführung von Prüfungen und Untersuchungen im Zusammenhang mit den Programmen und Aktivitäten des jeweiligen Nachrichtendienstes zuständig, darunter auch für Missbrauchsfälle oder Rechtsverstöße. (317) Sie haben Zugriff auf alle Unterlagen, Berichte, Audits, Überprüfungen, Dokumente, Schriftstücke, Empfehlungen oder sonstiges einschlägiges Material, dessen Herausgabe sie notfalls unter Strafandrohung anordnen können, und sind zur Beweisaufnahme berechtigt. (318) Die Generalinspekteure leiten Fälle mutmaßlicher strafrechtlicher Verstöße an die Strafverfolgungsbehörden weiter und geben den Leitern der Nachrichtendiensten Empfehlungen für Abhilfemaßnahmen. (319) Zwar sind ihre Empfehlungen nicht bindend, doch werden ihre Berichte, auch über die getroffenen (oder unterlassenen) Folgemaßnahmen (320), in der Regel öffentlich gemacht und dem Kongress übermittelt, der auf dieser Grundlage seine eigene Aufsichtsfunktion wahrnehmen kann (siehe die Erwägungsgründe 168 und 169). (321)

(166)

Drittens überwacht das Intelligence Oversight Board (IOB) (Nachrichtendienstaufsichtsgremium), das im Rahmen des President's Intelligence Advisory Board (PIAB) (Beratungsgremium des Präsidenten für Nachrichtendienste) eingerichtet wurde, die Einhaltung der Verfassung und aller einschlägigen Vorschriften durch die US-Nachrichtendienste. (322) Das PIAB ist ein beratendes Gremium innerhalb des Executive Office of the President (Exekutivbüro des Präsidenten der Vereinigten Staaten), das sich aus 16 Mitgliedern zusammensetzt, die vom Präsidenten von außerhalb der US-Regierung ernannt werden. Das IOB besteht aus maximal fünf Mitgliedern, die vom Präsidenten aus den Reihen der PIAB-Mitglieder ernannt werden. Nach der EO 12333 (323) sind die Leiter aller Nachrichtendienste verpflichtet, dem IOB jede nachrichtendienstliche Tätigkeit zu melden, bei der Grund zu der Annahme besteht, dass sie möglicherweise rechtswidrig ist oder gegen eine Executive Order oder eine Presidential Directive verstößt. Um sicherzustellen, dass das IOB Zugang zu den Informationen hat, die es zur Erfüllung seiner Aufgaben benötigt, weist die Executive Order 13462 den Direktor des Nationalen Nachrichtendienstes und die Leiter der Nachrichtendienste an, dem IOB alle Informationen und Unterstützung zur Verfügung zu stellen, die es zur Erfüllung seiner Aufgaben benötigt, soweit dies gesetzlich zulässig ist. (324) Das IOB ist seinerseits verpflichtet, den Präsidenten über nachrichtendienstliche Tätigkeiten zu informieren, die seiner Ansicht nach gegen US-Recht (einschließlich Executive Orders) verstoßen und die vom Justizminister, dem Direktor des Nationalen Nachrichtendienstes oder dem Leiter eines Nachrichtendienstes nicht angemessen behandelt werden. (325) Darüber hinaus ist das IOB verpflichtet, den Justizminister über mögliche Verstöße gegen das Strafrecht zu informieren.

(167)

Viertens unterliegen die Nachrichtendienste der Aufsicht des PCLOB. Nach seinem Gründungsstatut ist das PCLOB mit Aufgaben im Bereich der Terrorismusbekämpfung und deren Umsetzung betraut, wobei der Schutz der Privatsphäre und der bürgerlichen Freiheiten im Vordergrund steht. Bei der Überprüfung der Tätigkeit der Nachrichtendienste hat es Zugriff auf alle einschlägigen Unterlagen von Behörden wie Berichte, Audits, Überprüfungen, Dokumente, Schriftstücke und Empfehlungen, einschließlich der Geheimhaltung unterliegenden Informationen, kann Befragungen durchführen und Zeugen vernehmen. (326) Es erhält Berichte von Bürgerrechts- und Datenschutzbeauftragten verschiedener Regierungsstellen (327), kann gegenüber der Regierung und den Nachrichtendiensten Empfehlungen abgeben und erstattet regelmäßig den Ausschüssen des Kongresses und dem Präsidenten Bericht. (328) Die Berichte des PCLOB, einschließlich der Berichte an den Kongress, müssen so weit wie möglich veröffentlicht werden. (329) Das PCLOB hat mehrere Aufsichts- und Folgeberichte veröffentlicht, darunter eine Analyse der auf der Grundlage von Abschnitt 702 FISA durchgeführten Programme und des Schutzes der Privatsphäre in diesem Zusammenhang, die Umsetzung der PPD 28 und der EO 12333. (330) Das PCLOB hat auch die Aufgabe, die Umsetzung der EO 14086 zu überwachen, indem es insbesondere prüft, ob die Verfahren der Nachrichtendienste mit der EO vereinbar sind (siehe Erwägungsgrund 126), und indem es das Funktionieren des Rechtsbehelfsverfahrens bewertet (siehe Erwägungsgrund 194).

(168)

Fünftens nehmen zusätzlich zu den Kontrollmechanismen innerhalb der Exekutive spezielle Ausschüsse des US-Kongresses (House and Senate Intelligence and Judiciary Committees (Ausschüsse des Repräsentantenhauses und des Senats für Nachrichtendienste und Justiz)) Kontrollaufgaben wahr, die alle Formen der Auslandsaufklärung betreffen. Die Mitglieder dieser Ausschüsse haben Zugriff auf Informationen, die der Geheimhaltung unterliegen, sowie auf nachrichtendienstliche Methoden und Programme. (331) Die Justizausschüsse üben ihre Aufsicht auf verschiedene Weise aus, insbesondere durch Anhörungen, Untersuchungen, Überprüfungen und Berichte. (332)

(169)

Die Kongressausschüsse erhalten regelmäßig Berichte über nachrichtendienstliche Tätigkeiten, u. a. vom Justizminister, dem Direktor des Nationalen Nachrichtendienstes, den Nachrichtendiensten und anderen Aufsichtsgremien (z. B. den Generalinspekteuren), siehe die Erwägungsgründe 164 und 165. Der National Security Act besagt insbesondere: „Der Präsident stellt sicher, dass die Kongressausschüsse für die Nachrichtendienste umfassend und zeitnah über die nachrichtendienstliche Tätigkeit der Vereinigten Staaten unterrichtet werden, auch über wichtige bevorstehende nachrichtendienstliche Operationen, wie dieses Unterkapitel es erfordert“. (333) Des Weiteren heißt es: „Der Präsident stellt sicher, dass den Kongressausschüssen für die Nachrichtendienste illegale nachrichtendienstliche Aktivitäten unverzüglich gemeldet werden, ebenso Korrekturmaßnahmen, die im Zusammenhang mit illegalen Aktivitäten getroffen wurden bzw. geplant sind“. (334)

(170)

Darüber hinaus ergeben sich aus bestimmten Gesetzen zusätzliche Berichtspflichten. So heißt es im FISA, dass der Justizminister die Ausschüsse des Senats und des Repräsentantenhauses für Nachrichtendienste und Justiz über Aktivitäten der Regierung im Rahmen bestimmter Paragrafen des FISA „umfassend zu unterrichten“ habe. (335) Das Gesetz verpflichtet die Regierung auch dazu, den Kongressausschüssen Kopien sämtlicher Entscheidungen, Anordnungen oder Stellungnahmen des FISC oder des FISCR zukommen zu lassen, die eine „wichtige Auslegung oder Interpretation“ der FISA-Bestimmungen beinhalten. Bei der Überwachung nach Abschnitt 702 FISA erfolgt die parlamentarische Aufsicht mittels gesetzlich vorgeschriebener Berichte an die Ausschüsse für Nachrichtendienste und Justiz sowie häufiger Informationsgespräche und Anhörungen. Dazu zählen ein halbjährlicher Bericht des Justizministers über die Anwendung von Abschnitt 702 FISA, mit Belegen, einschließlich der Compliance-Berichte des Justizministeriums und des ODNI und einer Beschreibung von Verstößen (336), und eine gesonderte halbjährliche Einschätzung des Justizministers und des DNI, in der die Einhaltung der Verfahren zur zielgenauen Datenerhebung und zur Datenminimierung dokumentiert wird (337).

(171)

Nach dem FISA muss die US-Regierung ferner alljährlich gegenüber dem Kongress (und der Öffentlichkeit) unter anderem die Anzahl der beantragten und genehmigten FISA-Anordnungen sowie die geschätzte Anzahl der von Überwachungsmaßnahmen betroffenen US-Bürger und Nicht-US-Bürger offenlegen. (338) Das Gesetz verlangt zudem, die Öffentlichkeit zusätzlich über die Anzahl der erteilten NSL zu unterrichten, wiederum aufgeschlüsselt nach US-Bürgern und Nicht-US-Bürgern (wobei gleichzeitig aber den Empfängern von FISA-Anordnungen und -Zertifizierungen sowie NSL-Auskunftsersuchen gestattet wird, unter bestimmten Voraussetzungen Transparenzberichte vorzulegen). (339)

(172)

Generell unternimmt die US-Intelligence Community verschiedene Anstrengungen, um Transparenz in Bezug auf ihre (Auslands-)Aufklärungsaktivitäten zu gewährleisten. So hat das ODNI im Jahr 2015 Grundsätze für die Transparenz der Nachrichtendienste und einen Umsetzungsplan für die Transparenz verabschiedet und jeden Nachrichtendienst angewiesen, einen Beauftragten für die Transparenz der Nachrichtendienste zu ernennen, der die Transparenz fördern und Transparenzinitiativen leiten soll. (340) Im Rahmen dieser Bemühungen hat die Intelligence Community freigegebene Teile von Strategien, Verfahren, Aufsichtsberichten, Berichten über Tätigkeiten nach Abschnitt 702 FISA und der EO 12333, FISC-Entscheidungen und andere Materialien veröffentlicht und wird dies auch weiterhin tun, unter anderem auf einer speziellen, vom ODNI betriebenen Website „IC on the Record“. (341)

(173)

Schließlich unterliegt die Erhebung personenbezogener Daten nach Abschnitt 702 FISA zusätzlich zu der in den Erwägungsgründen 162 bis 168 genannten Aufsicht durch die Aufsichtsbehörden auch der Aufsicht durch das FISC. (342) Nach Rule 13 der FISC Rules of Procedure sind die Compliance-Beauftragten der US-Nachrichtendienste verpflichtet, alle Verstöße gegen die Verfahren nach Abschnitt 702 FISA zur zielgenauen Datenerhebung, -minimierung und -abfrage dem Justizministerium und dem ODNI zu melden, die ihrerseits das FISC unterrichten. Darüber hinaus legen das Justizministerium und das ODNI dem FISC halbjährlich gemeinsame Berichte zur Bewertung der Aufsicht vor, in denen Trends bei der Einhaltung der Vorschriften aufgezeigt, statistische Daten bereitgestellt, Kategorien von Vorfällen im Zusammenhang mit der Einhaltung der Vorschriften beschrieben, die Gründe für das Auftreten bestimmter Vorfälle bei der Einhaltung der Zielvorgaben detailliert erläutert und die Maßnahmen dargelegt werden, die die Nachrichtendienste getroffen haben, um eine Wiederholung zu vermeiden. (343)

(174)

Erforderlichenfalls (z. B. wenn Verstöße gegen die zielgenaue Erfassung festgestellt werden) kann das Gericht den betreffenden Nachrichtendienst anweisen, Abhilfemaßnahmen zu treffen. (344) Die möglichen Abhilfemaßnahmen können von individuellen bis zu strukturellen Maßnahmen reichen, z. B. von der Einstellung der Datenerhebung und der Löschung unrechtmäßig erlangter Daten bis hin zur Änderung der Erhebungspraxis, die sich auch auf Leitlinien und Mitarbeiterschulungen erstrecken kann. (345) Darüber hinaus prüft das FISC im Rahmen seiner jährlichen Überprüfung der Zertifizierungen nach Abschnitt 702, ob die vorgelegten Zertifizierungen den Anforderungen des FISA entsprechen. Stellt das FISC fest, dass die Zertifizierungen der Regierung unzureichend sind, insbesondere aufgrund bestimmter Compliance-Verstöße, kann es eine sogenannte „deficiency order“ (Mängelverfügung) erlassen, mit der die Regierung aufgefordert wird, den Mangel innerhalb von 30 Tagen zu beheben, oder die Durchführung der Zertifizierung nach Abschnitt 702 auszusetzen oder nicht zu beginnen. Schließlich bewertet das FISC die von ihm beobachteten Compliance-Trends und kann Verfahrensänderungen oder zusätzliche Überwachung und Berichterstattung verlangen, um Compliance-Trends anzugehen. (346)

(175)

Wie in diesem Abschnitt näher erläutert wird, gibt es in den Vereinigten Staaten eine Reihe von Möglichkeiten für betroffene Personen in der Union, vor einem unabhängigen und unparteiischen Gericht mit der Befugnis zu verbindlichen Entscheidungen Klage zu erheben. Zusammen ermöglichen sie es Privatpersonen, Zugang zu ihren personenbezogenen Daten zu erhalten, die Rechtmäßigkeit des staatlichen Zugriffs auf ihre Daten überprüfen zu lassen und im Falle eines Verstoßes Abhilfe zu erwirken, einschließlich der Berichtigung oder Löschung ihrer personenbezogenen Daten.

(176)

Erstens wird im Rahmen der EO 14086 eine spezielle Beschwerdestelle eingerichtet, ergänzt durch den Erlass des US-Justizministers zur Einrichtung eines Datenschutzüberprüfungsgerichts, das Beschwerden von Privatpersonen im Zusammenhang mit der signalerfassenden Aufklärung der USA bearbeiten und lösen soll. Jede Person in der EU hat das Recht, bei der Beschwerdestelle eine Beschwerde wegen einer mutmaßlichen Verletzung des US-Rechts im Bereich der signalerfassenden Aufklärung (z. B. EO 14086 Abschnitt 702 FISA, EO 12333) einzureichen, die ihre Interessen in Bezug auf Privatsphäre und bürgerliche Freiheiten beeinträchtigt. (347) Diese Beschwerdestelle steht Personen aus Ländern oder Organisationen der regionalen Wirtschaftsintegration offen, die vom US-Justizminister als „zugelassene Staaten“ benannt wurden. (348) Am 30. Juni 2023 wurden die Europäische Union und die drei Länder der Europäischen Freihandelsassoziation, die zusammen den Europäischen Wirtschaftsraum bilden, vom Justizminister nach Abschnitt 3(f) EO 14086 als „zugelassene Staaten“ benannt. (349) Diese Benennung lässt Artikel 4 Absatz 2 des Vertrags über die Europäische Union unberührt.

(177)

Eine Beschwerde ist von einer betroffenen Person in der Union bei einer für die Überwachung der Verarbeitung von personenbezogenen Daten durch Behörden zuständigen Aufsichtsstelle eines EU-Mitgliedstaats (Datenschutzbehörde) einzureichen. (350) Dies erleichtert den Zugang zum Rechtsbehelfsverfahren, da sich der Einzelne an eine Behörde in seiner Nähe wenden kann, mit der er in seiner eigenen Sprache kommunizieren kann. Nachdem geprüft wurde, ob die in Erwägungsgrund 178 genannten Voraussetzungen für die Einreichung einer Beschwerde erfüllt sind, leitet die zuständige Datenschutzbehörde die Beschwerde über das Sekretariat des Europäischen Datenschutzausschusses an die Beschwerdestelle weiter.

(178)

Die Zulässigkeitsvoraussetzungen für eine Beschwerde bei der Beschwerdestelle sind niedrig, da die betroffenen Personen nicht nachweisen müssen, dass ihre Daten tatsächlich Gegenstand der Signalaufklärung durch die USA waren. (351) Als Ausgangspunkt für die Überprüfung durch die Beschwerdestelle müssen einige grundlegende Informationen zur Verfügung gestellt werden, z. B. die personenbezogenen Daten, die mutmaßlich in die USA übermittelt wurden, und die Mittel, mit denen sie übermittelt wurden, die Identität der US-Regierungsstellen, denen eine Beteiligung an dem mutmaßlichen Verstoß vorgeworfen wird (sofern bekannt), die Grundlage für die Behauptung, dass ein Verstoß gegen US-Recht vorliegt (obwohl auch hier nicht nachgewiesen werden muss, dass die personenbezogenen Daten tatsächlich von US-Nachrichtendiensten erhoben wurden) und die Art der beantragten Maßnahme.

(179)

Die erste Untersuchung von Beschwerden durch die Beschwerdestelle wird vom ODNI CLPO durchgeführt, dessen bestehende gesetzliche Rolle und Befugnisse für die spezifischen Maßnahmen nach der EO 14086 erweitert wurden. (352) Innerhalb der Intelligence Community ist das CLPO unter anderem zuständig für die Sicherstellung, dass der Schutz der bürgerlichen Freiheiten und der Privatsphäre angemessen in die Strategien und Verfahren des ODNI und der Nachrichtendienste integriert wird, die Überwachung der Einhaltung der geltenden Anforderungen an den Schutz der bürgerlichen Freiheiten und der Privatsphäre durch das ODNI und die Durchführung von Datenschutz-Folgeabschätzungen. (353) Der ODNI CLPO kann nur aus wichtigem Grund vom Direktor des Nationalen Sicherheitsdienstes aufgelöst werden, d. h. wegen Fehlverhaltens, Amtsmissbrauchs, Verstoßes gegen Sicherheitsvorschriften, Pflichtversäumnis oder Unfähigkeit. (354)

(180)

Bei der Durchführung seiner Überprüfungen hat der ODNI CLPO Zugang zu den für seine Bewertung erforderlichen Informationen und kann sich auf die obligatorische Unterstützung der Datenschutz- und Bürgerrechtsbeauftragten der einzelnen Nachrichtendienste stützen. (355) Den Nachrichtendiensten ist es untersagt, die Überprüfungen des ODNI CLPO zu behindern oder in unzulässiger Weise zu beeinflussen. Dies gilt auch für den Direktor des Nationalen Nachrichtendienstes, der nicht in die Überprüfung eingreifen darf. (356) Bei der Prüfung einer Beschwerde muss der ODNI CLPO die Rechtsvorschriften „unparteiisch“ anwenden und dabei sowohl die nationalen Sicherheitsinteressen in Bezug auf signalerfassende Aufklärung als auch den Schutz der Privatsphäre berücksichtigen. (357)

(181)

Im Rahmen seiner Überprüfung stellt der ODNI CLPO fest, ob ein Verstoß gegen geltendes US-Recht vorliegt und entscheidet gegebenenfalls über geeignete Abhilfemaßnahmen. (358) Letzteres bezieht sich auf Maßnahmen, mit denen ein festgestellter Verstoß vollständig behoben wird, z. B. die Einstellung der unrechtmäßigen Datenerhebung, die Löschung unrechtmäßig erhobener Daten, die Löschung der Ergebnisse unrechtmäßig durchgeführter Abfragen von ansonsten rechtmäßig erhobenen Daten, die Einschränkung des Zugriffs auf rechtmäßig erhobene Daten auf entsprechend geschulte Mitarbeiter oder die Rücknahme von Aufklärungsberichten, die unrechtmäßig erhobene oder unrechtmäßig verbreitete Daten enthalten. (359) Die Entscheidungen des ODNI CLPO über einzelne Beschwerden (einschließlich der Abhilfemaßnahmen) sind für die betroffenen Nachrichtendienste bindend. (360)

(182)

Der ODNI CLPO muss seine Überprüfung dokumentieren und eine vertrauliche Entscheidung vorlegen, in der er die Grundlage für seine Tatsachenfeststellungen erläutert, feststellt, ob ein betroffener Verstoß vorliegt, und geeignete Abhilfemaßnahmen festlegt. (361) Wird bei der Überprüfung durch den ODNI CLPO ein Verstoß gegen eine Behörde festgestellt, die der Aufsicht des FISC unterliegt, muss der CLPO auch einen der Geheimhaltung unterliegenden Bericht an den stellvertretenden Justizminister für nationale Sicherheit übermitteln, der seinerseits verpflichtet ist, den Verstoß an das FISC zu melden, das weitere Durchsetzungsmaßnahmen ergreifen kann (nach dem in den Erwägungsgründen 173 und 174 beschriebenen Verfahren). (362)

(183)

Nach Abschluss der Überprüfung teilt der ODNI CLPO dem Beschwerdeführer über die nationale Behörde mit, dass „bei der Überprüfung entweder keine einschlägigen Verstöße festgestellt wurden oder der ODNI CLPO eine Feststellung getroffen hat, die angemessene Abhilfemaßnahmen erfordert“. (363) Dadurch kann die Vertraulichkeit von Tätigkeiten zum Schutz der nationalen Sicherheit gewahrt werden, während die betroffenen Personen eine Entscheidung erhalten, die bestätigt, dass ihre Beschwerde ordnungsgemäß geprüft und entschieden wurde. Diese Entscheidung kann zudem von der Privatperson angefochten werden. Zu diesem Zweck wird sie über die Möglichkeit informiert, bei dem Datenschutzprüfungsgericht (Data Protection Review Court, im Folgenden „DPRC“) eine Überprüfung der Entscheidungen des CLPO zu beantragen (siehe die Erwägungsgründe 184 ff.), und darüber, dass im Falle der Anrufung des Gerichts ein spezieller Anwalt bestellt wird, der die Interessen des Antragstellers vertritt. (364)

(184)

Jeder Beschwerdeführer und jeder Teil der Intelligence Community kann bei dem DPRC eine Überprüfung der Entscheidung des ODNI CLPO beantragen. Solche Anträge müssen innerhalb von 60 Tagen nach Erhalt der Benachrichtigung durch den ODNI CLPO, dass die Überprüfung abgeschlossen ist, eingereicht werden und alle Informationen enthalten, die die betroffene Person dem DPRC zur Verfügung stellen möchte (z. B. Argumente zu Rechtsfragen oder zur Anwendung des Rechts auf den Sachverhalt). (365) Die betroffenen Personen in der Union können ihren Antrag erneut bei der zuständigen Datenschutzbehörde einreichen (siehe Erwägungsgrund 177).

(185)

Das DPRC ist ein unabhängiges Rechtsorgan, das vom Justizminister auf der Grundlage der EO 14086 eingerichtet wurde. (366) Es besteht aus mindestens sechs Richtern, die vom Justizminister in Absprache mit dem PCLOB, dem Handelsminister und dem Direktor des Nationalen Nachrichtendienstes für eine verlängerbare Amtszeit von vier Jahren ernannt werden. (367) Die Ernennung von Richtern durch den Justizminister erfolgt nach den Kriterien, die die Exekutive bei der Beurteilung von Bewerbern für das Amt eines Bundesrichters anwendet, wobei etwaige richterliche Vorerfahrungen berücksichtigt werden. (368) Darüber hinaus müssen die Richter Rechtspraktiker sein (d. h. aktive Mitglieder der Anwaltskammer und ordnungsgemäß zur Ausübung des Rechtsberufs zugelassen sein) und über angemessene Erfahrung im Bereich des Datenschutzes und der nationalen Sicherheit verfügen. Der Justizminister muss sicherstellen, dass mindestens die Hälfte der Richter über richterliche Erfahrung verfügt, und alle Richter müssen über eine Zugangsberechtigung zu vertraulichen Informationen über die nationale Sicherheit verfügen. (369)

(186)

Zum Mitglied des DPRC können nur Personen ernannt werden, die die in Erwägungsgrund 185 genannten Voraussetzungen erfüllen und weder zum Zeitpunkt ihrer Ernennung noch in den zwei Jahren davor in der Exekutive beschäftigt waren. Ebenso dürfen die Richter während ihrer Amtszeit bei dem DPRC kein offizielles Amt oder Anstellung bei der US-Regierung haben (außer als Richter des DPRC). (370)

(187)

Die Unabhängigkeit der Urteilsfindung wird durch eine Reihe von Garantien gewährleistet. Insbesondere ist es der Exekutive (dem Justizminister und den Nachrichtendiensten) untersagt, in die Überprüfung durch das DPRC einzugreifen oder diese unangemessen zu beeinflussen. (371) Das DPRC selbst ist zu einer unparteiischen Rechtsprechung verpflichtet (372) und arbeitet nach einer eigenen Geschäftsordnung (die durch Mehrheitsbeschluss angenommen wird). Darüber hinaus können die Richter des DPRC nur vom Justizminister und nur aus wichtigem Grund entlassen werden (d. h. wegen Fehlverhaltens, Amtsmissbrauchs, Verstoßes gegen Sicherheitsvorschriften, Pflichtversäumnis oder Unfähigkeit), jedoch nach gebührender Berücksichtigung der für Bundesrichter geltenden Standards, die in den Rules for Judicial-Conduct and Judicial-Disability Proceedings (Regeln für Verfahren im Zusammenhang mit richterlichem Verhalten und der Unfähigkeit von Richtern) festgelegt sind. (373)

(188)

Die Beschwerden an das DPRC werden von einem dreiköpfigen Panel von Richtern, einschließlich eines vorsitzenden Richters, geprüft, die im Einklang mit dem Code of Conduct for U.S. Judges (Verhaltenskodex für US-Richter) handeln müssen. (374) Jedes Panel wird von einem Spezialanwalt (375) unterstützt, der Zugang zu allen Informationen hat, die den Fall betreffen, einschließlich vertraulicher Informationen. (376) Die Rolle des Spezialanwalts besteht darin, sicherzustellen, dass die Interessen des Beschwerdeführers vertreten werden und dass das DPRC-Panel über alle relevanten rechtlichen und sachlichen Fragen gut informiert ist. (377) Um seine Position in Bezug auf eine Beschwerde einer Privatperson beim DPRC zu untermauern, kann der Spezialanwalt den Beschwerdeführer schriftlich um Informationen ersuchen. (378)

(189)

Das DPRC prüft die Feststellungen des ODNI CLPO (sowohl hinsichtlich der Frage, ob ein Verstoß gegen geltendes US-Recht vorliegt, als auch hinsichtlich der Frage, welche Abhilfemaßnahmen angemessen sind) und stützt sich dabei zumindest auf die Untersuchungsunterlagen des ODNI CLPO sowie auf alle vom Beschwerdeführer, dem Spezialanwalt oder einem Nachrichtendienst vorgelegten Informationen und Eingaben. (379) Ein Panel des DPRC hat Zugang zu allen für die Durchführung einer Überprüfung erforderlichen Informationen, die es über den ODNI CLPO erhalten kann (z. B. kann das Panel den CLPO auffordern, seine Unterlagen durch zusätzliche Informationen oder Tatsachenfeststellungen zu ergänzen, wenn dies für die Durchführung der Überprüfung erforderlich ist). (380)

(190)

Nach Abschluss seiner Überprüfung kann das DPRC 1) entscheiden, dass es keine Beweise dafür gibt, dass in Bezug auf die personenbezogenen Daten des Beschwerdeführers eine signalerfassende Aufklärung stattgefunden hat, 2) entscheiden, dass die Feststellungen des ODNI CLPO rechtlich korrekt und durch stichhaltige Beweise untermauert sind, oder 3) wenn das DPRC mit den Feststellungen des ODNI CLPO nicht einverstanden ist (ob ein Verstoß gegen geltendes US-Recht vorliegt oder welche Abhilfemaßnahmen angemessen sind), seine eigenen Feststellungen treffen. (381)

(191)

In allen Fällen trifft das DPRC eine schriftliche Entscheidung mit der Mehrheit der Stimmen. Wird bei der Überprüfung ein Verstoß gegen die geltenden Vorschriften festgestellt, werden in der Entscheidung angemessene Abhilfemaßnahmen festgelegt, z. B. die Löschung unrechtmäßig erhobener Daten, die Löschung der Ergebnisse unrechtmäßig durchgeführter Abfragen, die Einschränkung des Zugriffs auf rechtmäßig erhobene Daten auf entsprechend geschulte Mitarbeiter oder die Rücknahme von Aufklärungsberichten, die unrechtmäßig erhobene oder unrechtmäßig verbreitete Daten enthalten. (382) Die Entscheidung des DPRC ist in Bezug auf die ihm vorliegende Beschwerde bindend und endgültig. (383) Wird bei der Überprüfung ein Verstoß gegen eine Behörde festgestellt, die der Aufsicht des FISC unterliegt, muss das DPRC auch einen der Geheimhaltung unterliegenden Bericht an den stellvertretenden Justizminister für nationale Sicherheit übermitteln, der seinerseits verpflichtet ist, den Verstoß an das FISC zu melden, das weitere Durchsetzungsmaßnahmen ergreifen kann (nach dem in den Erwägungsgründen 173 und 174 beschriebenen Verfahren). (384)

(192)

Jede Entscheidung eines DPRC-Panels wird dem ODNI CLPO übermittelt. (385) In Fällen, in denen die Überprüfung durch das DPRC durch einen Antrag des Beschwerdeführers ausgelöst wurde, wird der Beschwerdeführer über die nationale Behörde benachrichtigt, dass das DPRC seine Überprüfung abgeschlossen hat und dass „bei der Überprüfung entweder keine einschlägigen Verstöße festgestellt wurden oder das DPRC eine Feststellung getroffen hat, die angemessene Abhilfemaßnahmen erfordert“. (386) Das Office of Privacy and Civil Liberties des Justizministeriums führt ein Verzeichnis aller vom DPRC geprüften Informationen und Entscheidungen, das künftigen DPRC-Panels als unverbindlicher Präzedenzfall zur Verfügung gestellt wird. (387)

(193)

Das Justizministerium führt außerdem ein Verzeichnis aller Beschwerdeführer, die eine Beschwerde eingereicht haben. (388) Um die Transparenz zu erhöhen, muss das Justizministerium mindestens alle fünf Jahre mit den zuständigen Nachrichtendiensten Kontakt aufnehmen, um sich zu vergewissern, dass die von dem DPRC überprüften Informationen freigegeben wurden. (389) Ist dies der Fall, so ist die betroffene Person darauf hinzuweisen, dass diese Informationen nach geltendem Recht zugänglich sein können (d. h. dass sie nach dem Freedom of Information Act Zugang zu diesen Informationen beantragen kann, siehe Erwägungsgrund 199).

(194)

Schließlich wird das ordnungsgemäße Funktionieren dieses Rechtsbehelfsmechanismus regelmäßig und unabhängig evaluiert. Insbesondere wird das Funktionieren des Rechtsbehelfsmechanismus nach der EO 14086 jährlich von dem PCLOB, einer unabhängigen Stelle, überprüft (siehe Erwägungsgrund 110). (390) Im Rahmen dieser Überprüfung wird das PCLOB unter anderem beurteilen, ob der ODNI CLPO und das DPRC Beschwerden fristgerecht bearbeitet haben, ob sie vollständigen Zugang zu den erforderlichen Informationen hatten, ob die grundlegenden Garantien der EO 14086 im Überprüfungsprozess angemessen berücksichtigt wurden und ob die Intelligence Community den Feststellungen des ODNI CLPO und des DPRC in vollem Umfang nachgekommen ist. Das PCLOB wird dem Präsidenten, dem Justizminister, dem Direktor des Nationalen Nachrichtendienstes, den Leitern der Nachrichtendienste, dem ODNI CLPO und den Nachrichtendienstausschüssen des Kongresses einen Bericht über die Ergebnisse seiner Überprüfung vorlegen, der auch in einer nicht vertraulichen Fassung veröffentlicht wird und der wiederum in die regelmäßige Überprüfung der Funktionsweise dieses Beschlusses durch die Kommission einfließen wird. Der Justizminister, der Direktor des Nationalen Nachrichtendienstes, der ODNI CLPO und die Leiter der Nachrichtendienste sind verpflichtet, alle in diesen Berichten enthaltenen Empfehlungen umzusetzen oder anderweitig zu berücksichtigen. Darüber hinaus wird das PCLOB jährlich öffentlich bescheinigen, dass Beschwerden im Rahmen des Rechtsbehelfsmechanismus nach den Anforderungen der EO 14086 behandelt werden.

(195)

Neben dem spezifischen Rechtsbehelfsmechanismus nach der EO 14086 stehen jeder Privatperson (unabhängig von der Nationalität oder dem Wohnort) auch Rechtsbehelfe vor den ordentlichen US-Gerichten zur Verfügung. (391)

(196)

Insbesondere bieten das FISA und ein damit zusammenhängendes Gesetz Privatpersonen die Möglichkeit, eine Zivilklage auf Schadensersatz gegen die Vereinigten Staaten anzustrengen, wenn Informationen, die sie betreffen, gesetzwidrig und vorsätzlich genutzt oder offengelegt wurden, (392) US-Regierungsbeamte, die in ihrer Eigenschaft als Privatpersonen handeln, auf Schadensersatz zu verklagen (393) und die Rechtmäßigkeit der Überwachung anzufechten (und auf die Unterdrückung der Informationen hinzuwirken), sofern die US-Regierung beabsichtigt, in den Vereinigten Staaten direkt oder mittelbar aus der elektronischen Überwachung gewonnene Erkenntnisse in einem Gerichts- oder Verwaltungsverfahren gegen die betroffene Person zu verwenden oder offenzulegen (394). Beabsichtigt die Regierung, Informationen, die sie durch nachrichtendienstliche Tätigkeit erlangt hat, in einem Strafverfahren gegen einen Verdächtigen zu verwenden, so ist sie aufgrund verfassungsrechtlicher und gesetzlicher Bestimmungen (395) verpflichtet, bestimmte Informationen offenzulegen, damit der Angeklagte die Rechtmäßigkeit der Beweiserhebung und -verwendung durch die Regierung anfechten kann.

(197)

Darüber hinaus gibt es verschiedene Möglichkeiten, rechtliche Schritte gegen Regierungsbeamte wegen des unrechtmäßigen staatlichen Zugriffs auf personenbezogene Daten oder ihrer unrechtmäßigen Verwendung, auch zu angeblichen Zwecken der nationalen Sicherheit, einzuleiten (d. h. der Computer Fraud and Abuse Act (396), Der Electronic Communications Privacy Act (397) und der Right to Financial Privacy Act (398)). All diese Klagen betreffen spezifische Daten, Zielpersonen und/oder Arten des Zugriffs (z. B. Fernzugriff auf einen Computer über das Internet) und können unter bestimmten Umständen in Anspruch genommen werden (z. B. vorsätzliches Handeln, Überschreitung der Befugnisse, erlittener Schaden).

(198)

Eine allgemeinere Möglichkeit des Rechtsschutzes bietet der Administrative Procedure Act (399), wonach „eine Person, die durch Handlungen einer Behörde einen Schaden oder Nachteil erleidet“, berechtigt ist, eine gerichtliche Nachprüfung zu beantragen. (400) Dazu gehört die Möglichkeit, das Gericht zu ersuchen, „Handlungen, Feststellungen und Schlussfolgerungen einer Behörde, die für … willkürlich, mutwillig, die Befugnisse überschreitend oder anderweitig rechtswidrig befunden werden, für null und nichtig zu erklären“. (401) So entschied beispielsweise ein Bundesberufungsgericht im Jahr 2015 über eine APA-Klage, dass die Sammelerhebung von Telefonie-Metadaten durch die US-Regierung nach Abschnitt 501 FISA nicht zulässig war. (402)

(199)

Zusätzlich zu den in den Erwägungsgründen 176 bis 198 genannten Rechtsbehelfen hat jede Person das Recht, im Rahmen des FOIA Einsicht in bestehende Unterlagen von Bundesbehörden zu verlangen, einschließlich solcher Unterlagen, die personenbezogene Daten der betreffenden Person enthalten. (403) Die Gewährung dieses Zugangs kann auch die Einleitung von Verfahren vor den ordentlichen Gerichten erleichtern, einschließlich des Nachweises der Klagebefugnis. Die Behörden können Informationen zurückhalten, die unter bestimmte aufgelistete Ausnahmen fallen, einschließlich des Zugriffs auf Informationen, die aus Gründen der nationalen Sicherheit der Geheimhaltung unterliegen, und Informationen über Ermittlungen der Strafverfolgungsbehörden (404), aber Beschwerdeführer, die mit der Antwort unzufrieden sind, haben die Möglichkeit, die Antwort anzufechten, indem sie eine administrative Überprüfung und anschließend eine gerichtliche Überprüfung (vor den Bundesgerichten) beantragen. (405)

(200)

Aufgrund der vorstehenden Ausführungen lässt sich Folgendes festhalten: Der Zugriff der US-Strafverfolgungsbehörden und nationaler Sicherheitsbehörden auf personenbezogene Daten, die in den Anwendungsbereich des vorliegenden Beschlusses fallen, wird durch einen Rechtsrahmen geregelt, mit dem die Bedingungen für den Zugriff festgelegt werden und sichergestellt wird, dass der Zugriff und die weitere Verwendung der Daten auf das beschränkt sind, was im Hinblick auf das verfolgte Ziel des öffentlichen Interesses notwendig und angemessen ist. Diese Garantien können von Personen in Anspruch genommen werden, die das Recht auf einen wirksamen Rechtsbehelf haben.

(201)

Nach Auffassung der Kommission gewährleisten die Vereinigten Staaten – durch die vom US-Handelsministerium aufgestellten Grundsätze – ein Schutzniveau für personenbezogene Daten, die aus der Union an zertifizierte Organisationen in den Vereinigten Staaten im Rahmen des Datenschutzrahmens EU-USA übermittelt werden, das dem durch die Verordnung (EU) 2016/679 garantierten Schutzniveau im Wesentlichen gleichwertig ist.

(202)

Darüber hinaus ist die Kommission der Auffassung, dass die wirksame Anwendung der Grundsätze durch die Transparenzverpflichtungen und die Verwaltung des Datenschutzrahmens durch das Handelsministerium gewährleistet ist. Des Weiteren ermöglichen es die Kontrollmechanismen und Rechtsbehelfe des US-Rechts insgesamt, Verstöße gegen die Datenschutzvorschriften in der Praxis festzustellen und zu ahnden, und bieten den betroffenen Personen Rechtsmittel, um Zugang zu den sie betreffenden personenbezogenen Daten zu erhalten und schließlich deren Berichtigung oder Löschung zu erwirken.

(203)

Schließlich ist die Kommission auf der Grundlage der verfügbaren Informationen über die US-Rechtsordnung, einschließlich der Informationen in den Anhängen VI und VII, der Auffassung, dass Eingriffe der US-Behörden in die Grundrechte von Personen, deren personenbezogene Daten nach dem Datenschutzrahmen EU-USA aus der Union in die Vereinigten Staaten übermittelt werden, im öffentlichen Interesse, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit, auf das zur Erreichung des betreffenden legitimen Ziels unbedingt erforderliche Maß beschränkt sind und dass ein wirksamer Rechtsschutz gegen solche Eingriffe besteht. In Anbetracht der vorstehenden Feststellungen sollte daher beschlossen werden, dass die Vereinigten Staaten ein angemessenes Schutzniveau im Sinne von Artikel 45 der Verordnung (EU) 2016/679, ausgelegt im Lichte der Charta der Grundrechte der Europäischen Union, für personenbezogene Daten gewährleisten, die aus der Europäischen Union an Organisationen übermittelt werden, die nach dem Datenschutzrahmen EU-USA zertifiziert sind.

(204)

Da die in der EO 14086 vorgesehenen Einschränkungen, Garantien und Rechtsbehelfe wesentliche Elemente des Rechtsrahmens der Vereinigten Staaten sind, auf den sich die Bewertung der Kommission stützt, basiert die Annahme dieses Beschlusses insbesondere darauf, dass alle Nachrichtendienste der Vereinigten Staaten aktualisierte Strategien und Verfahren zur Umsetzung der EO 14086 annehmen und dass die Union als zugelassene Organisation für die Zwecke des Rechtsbehelfsverfahrens benannt wird, was am 3. Juli 2023 (siehe Erwägungsgrund 126) bzw. 30. Juni 2023 (siehe Erwägungsgrund 176) geschehen ist.

(205)

Die Mitgliedstaaten und ihre Organe müssen die notwendigen Maßnahmen treffen, um Rechtsakten der Unionsorgane nachzukommen, da für diese Rechtsakte eine Vermutung der Rechtmäßigkeit gilt, sodass sie Rechtswirkungen entfalten, solange sie nicht zurückgenommen, im Rahmen einer Nichtigkeitsklage für nichtig erklärt oder infolge eines Vorabentscheidungsersuchens oder einer Einrede der Rechtswidrigkeit für ungültig erklärt wurden.

(206)

Daher ist ein nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlassener Angemessenheitsbeschluss der Kommission für alle Organe der Mitgliedstaaten, an die er gerichtet ist, einschließlich ihrer unabhängigen Aufsichtsbehörden, verbindlich. So können insbesondere Übermittlungen von einem Verantwortlichen oder Auftragsverarbeiter in der Union an zertifizierte Organisationen in den Vereinigten Staaten ohne weitere Genehmigung vorgenommen werden.

(207)

Es sei daran erinnert, dass nach Artikel 58 Absatz 5 der Verordnung (EU) 2016/679 und wie vom Gerichtshof im Urteil in der Rechtssache Schrems (406) erläutert Folgendes gilt: Wenn eine nationale Datenschutzbehörde, auch auf eine Beschwerde hin, die Vereinbarkeit eines Angemessenheitsbeschlusses der Kommission mit den Grundrechten des Einzelnen auf Privatsphäre und Datenschutz infrage stellt, muss das nationale Recht Rechtsbehelfe vorsehen, die es der Datenschutzbehörde ermöglichen, diese Rügen vor einem nationalen Gericht geltend zu machen, das gegebenenfalls ein Vorabentscheidungsverfahren beim Gerichtshof einleiten muss. (407)

(208)

Nach der Rechtsprechung des Gerichtshofs (408) und Artikel 45 Absatz 4 der Verordnung (EU) 2016/679 sollte die Kommission nach Erlass eines Angemessenheitsbeschlusses die relevanten Entwicklungen in dem Drittland fortlaufend überwachen, um festzustellen, ob ein Drittland weiterhin ein im Wesentlichen gleichwertiges Schutzniveau bietet. Eine solche Kontrolle ist auf jeden Fall erforderlich, wenn der Kommission Informationen vorliegen, die Anlass zu begründeten Zweifeln geben.

(209)

Daher sollte die Kommission die Situation in den Vereinigten Staaten in Bezug auf den Rechtsrahmen und die tatsächliche Praxis bei der Verarbeitung personenbezogener Daten, wie in diesem Beschluss geprüft, fortlaufend überwachen. Um diesen Prozess zu erleichtern, sollten die US-Behörden die Kommission unverzüglich über wesentliche Entwicklungen in der US-Rechtsordnung unterrichten, die sich auf den Rechtsrahmen, der Gegenstand dieses Beschlusses ist, auswirken, sowie über jede Entwicklung der in diesem Beschluss bewerteten Verfahrensweisen im Zusammenhang mit der Verarbeitung personenbezogener Daten, sowohl was die Verarbeitung personenbezogener Daten durch zertifizierte Organisationen in den Vereinigten Staaten als auch die Einschränkungen und Garantien für den Zugang der Behörden zu personenbezogenen Daten anbelangt.

(210)

Damit die Kommission ihre Überwachungsfunktion wirksam ausüben kann, sollten die Mitgliedstaaten die Kommission über alle relevanten Maßnahmen der nationalen Datenschutzbehörden informieren, insbesondere über Anfragen oder Beschwerden von betroffenen EU-Bürgern in Bezug auf die Übermittlung personenbezogener Daten aus der Europäischen Union an zertifizierte Organisationen in den Vereinigten Staaten. Ferner sollte die Kommission über jegliche Hinweise darauf informiert werden, dass die Maßnahmen der US-Behörden, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder für die nationale Sicherheit zuständig sind, einschließlich der Aufsichtsbehörden, nicht das erforderliche Schutzniveau gewährleisten.

(211)

nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 (409) sollte die Kommission nach Erlass dieses Beschlusses regelmäßig überprüfen, ob die Feststellungen zur Angemessenheit des von den Vereinigten Staaten gewährleisteten Schutzniveaus im Rahmen des Datenschutzrahmens EU-USA noch sachlich und rechtlich gerechtfertigt sind. Da insbesondere die EO 14086 und der Erlass des US-Justizministers die Schaffung neuer Mechanismen und die Umsetzung neuer Garantien erfordern, sollte dieser Beschluss innerhalb eines Jahres nach seinem Inkrafttreten einer ersten Überprüfung unterzogen werden, um festzustellen, ob alle einschlägigen Elemente vollständig umgesetzt worden sind und in der Praxis wirksam funktionieren. Nach dieser ersten Überprüfung und in Abhängigkeit von deren Ergebnissen wird die Kommission in enger Abstimmung mit dem nach Artikel 93 Absatz 1 der Verordnung (EU) 2016/679 eingesetzten Ausschuss und dem Europäischen Datenschutzausschuss über die Häufigkeit künftiger Überprüfungen entscheiden. (410)

(212)

Zur Durchführung der Überprüfungen sollte die Kommission mit dem Handelsministerium, der FTC und dem Verkehrsministerium zusammentreffen, gegebenenfalls in Begleitung anderer Abteilungen und Stellen, die an der Umsetzung des Datenschutzrahmens EU-USA beteiligt sind, sowie – bei Fragen des staatlichen Zugriffs auf Daten – mit Vertretern des Justizministeriums, des ODNI (einschließlich des CLPO), anderer Nachrichtendienste, des Datenschutzüberprüfungsgerichts und mit Spezialanwälten. Die Teilnahme an diesem Treffen sollte Vertretern der Mitglieder des Europäischen Datenschutzausschusses offenstehen.

(213)

Die Überprüfung sollte sich auf alle Aspekte der Funktionsweise dieses Beschlusses in Bezug auf die Verarbeitung personenbezogener Daten in den Vereinigten Staaten erstrecken, insbesondere auf die Anwendung der Grundsätze mit besonderem Augenmerk auf den Schutz im Falle der Weiterübertragung, die einschlägigen Entwicklungen in der Rechtsprechung, die Wirksamkeit der Ausübung der Rechte des Einzelnen, die Überwachung und Durchsetzung der Einhaltung der Grundsätze sowie die Einschränkungen und Garantien in Bezug auf den staatlichen Zugriff, vor allem die Umsetzung und Anwendung der mit der EO 14086 eingeführten Garantien, unter anderem durch Strategien und Verfahren, die von Nachrichtendiensten entwickelt werden, das Zusammenspiel zwischen der EO 14086 und Abschnitt 702 FISA und der EO 12333 sowie die Wirksamkeit von Aufsichtsmechanismen und Rechtsbehelfen (einschließlich des Funktionierens der neuen Beschwerdestelle, die im Rahmen der EO 14086 eingerichtet wurde). Im Rahmen dieser Überprüfungen wird auch der Zusammenarbeit zwischen den Datenschutzbehörden und den zuständigen Behörden der Vereinigten Staaten Aufmerksamkeit geschenkt werden, unter anderem der Erarbeitung von Leitlinien und anderen Auslegungshilfen zur Anwendung der Grundsätze sowie zu anderen Aspekten der Funktionsweise des Rahmens.

(214)

Auf der Grundlage der Überprüfung sollte die Kommission einen öffentlichen Bericht erstellen, der dem Europäischen Parlament und dem Rat vorgelegt wird.

(215)

Lassen verfügbare Informationen – insbesondere Informationen, die sich aus der Überwachung dieses Beschlusses ergeben oder von den US-Behörden oder der Mitgliedstaaten zur Verfügung gestellt werden – darauf schließen, dass das Schutzniveau für die nach diesem Beschluss übermittelten Daten möglicherweise nicht mehr angemessen ist, sollte die Kommission die zuständigen US-Behörden umgehend davon in Kenntnis setzen und sie ersuchen, innerhalb einer bestimmten, angemessenen Frist geeignete Maßnahmen zu treffen.

(216)

Falls die zuständigen US-Behörden nach Ablauf dieser Frist keine derartigen Maßnahmen getroffen haben oder nicht auf andere Weise glaubhaft gemacht haben, dass dieser Beschluss weiterhin auf einem angemessenen Schutzniveau beruht, wird die Kommission das Verfahren nach Artikel 93 Absatz 2 der Verordnung (EU) 2016/679 einleiten, um diesen Beschluss teilweise oder vollständig auszusetzen oder aufzuheben.

(217)

Alternativ wird die Kommission dieses Verfahren einleiten, um den Beschluss zu ändern, indem sie insbesondere Datenübermittlungen zusätzlichen Bedingungen unterwirft oder den Anwendungsbereich der Angemessenheitsfeststellung auf Datenübermittlungen beschränkt, für die auch weiterhin ein angemessenes Schutzniveau gewährleistet ist.

(218)

Die Kommission soll das Verfahren zur Aussetzung oder Aufhebung des Beschlusses insbesondere einleiten, sofern

(219)

Die Kommission sollte ferner die Einleitung des Verfahrens zur Änderung, Aussetzung oder Aufhebung dieses Beschlusses in Betracht ziehen, wenn die zuständigen US-Behörden nicht die Informationen oder Erläuterungen liefern, die für die Bewertung des Schutzniveaus für personenbezogene Daten, die aus der Union an die Vereinigten Staaten übermittelt werden, oder für die Einhaltung dieses Beschlusses erforderlich sind. In diesem Zusammenhang sollte die Kommission Überlegungen dazu anstellen, inwieweit die relevanten Informationen aus anderen Quellen bezogen werden können.

(220)

In hinreichend begründeten Fällen äußerster Dringlichkeit, z. B. wenn die EO 14086 oder der Erlass des US-Justizministers in einer Weise geändert würden, die das in diesem Beschluss beschriebene Schutzniveau untergräbt, oder wenn die durch den Justizminister erfolgte Benennung der Union als zugelassene Organisation für die Zwecke des Rechtsbehelfsverfahrens widerrufen wird, wird die Kommission von der Möglichkeit Gebrauch machen, nach dem in Artikel 93 Absatz 3 der Verordnung (EU) 2016/679 genannten Verfahren sofort geltende Durchführungsrechtsakte zur Aussetzung, Aufhebung oder Änderung dieses Beschlusses zu erlassen.

(221)

Der Europäische Datenschutzausschuss hat seine Stellungnahme (411) veröffentlicht, der bei der Ausarbeitung dieses Beschlusses Rechnung getragen wurde.

(222)

Das Europäische Parlament nahm eine Entschließung zur Angemessenheit des Datenschutzrahmens EU-USA an. (412)

(223)

Die in diesem Beschluss vorgesehenen Maßnahmen entsprechen der Stellungnahme des nach Artikel 93 Absatz 1 der Verordnung (EU) 2016/679 eingesetzten Ausschusses —