Erklärung der Europäischen Kommission zum Datenschutz-Rahmenabkommen EU-USA („Umbrella Agreement“)

Die Kommission weist darauf hin, dass das Rahmenabkommen keine Rechtsgrundlage für die Übermittlung personenbezogener Daten zwischen der EU und den USA zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten einschließlich Terrorismus darstellt (siehe Artikel 1 Absatz 3 des Abkommens). Vielmehr sollen mit dem Abkommen in Verbindung mit der jeweiligen Rechtsgrundlage für die Datenübermittlung und gemäß den Bedingungen des Artikels 5 des Abkommens geeignete Rechtsschutzgarantien für die Datenübermittlung im Sinne von Artikel 37 Absatz 1 der Richtlinie 2016/680 geschaffen werden. Das Abkommen ist mithin keinesfalls eine Generalvollmacht für Datentransfers. Die den nationalen Datenschutzbehörden vom Unionsrecht übertragenen Befugnisse zur Kontrolle internationaler Datenübermittlungen werden, soweit diese in den Anwendungsbereich des Abkommens fallen, durch Letzteres in keiner Weise berührt.

Die Kommission stellt fest, dass Artikel 19 Absatz 1 des Rahmenabkommens EU-Bürgern die Möglichkeit gibt, ihre Rechte vor Gericht geltend zu machen. Damit ist eine vom Europäischen Parlament in der Entschließung vom 12. März 2014 (2013/2188(INI)) formulierte Forderung erfüllt, nämlich „effiziente (…) und gerichtliche Rechtsbehelfe für EU-Bürger in den Vereinigten Staaten“ vorzusehen, und „EU-Bürgern die gleichen Rechte wie US-Bürgern [einzuräumen]“. In diesem Zusammenhang hat der Kongress der Vereinigten Staaten bereits den „Judicial Redress Act“ verabschiedet, der eine wichtige Komponente bei der Umsetzung des Abkommens darstellt. Die Kommission geht aufgrund der in den Verhandlungen ihr gegenüber gemachten Zusagen fest davon aus, dass die EU im Sinne des US-Gesetzes als „covered country“ und alle US-Behörden, die in den Anwendungsbereich des Abkommens fallende Daten verarbeiten, als „designated federal agency or component“ benannt werden und das Gesetz für alle unter das Abkommen fallende Datenübermittlungen gilt. Die Kommission bestätigt, dass hierunter auch das Abkommen zwischen der EU und den USA über Fluggastdatensätze (PNR) sowie das Abkommen über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der EU an die USA für die Zwecke des Programms zum Aufspüren der Finanzierung des Terrorismus (TFTP) fallen (vgl. Artikel 3 Absatz 1 in Verbindung mit dem vierten Absatz der Präambel des Abkommens) und dass die jeweiligen Datensätze von dem im „Judicial Redress Act“ zugesicherten Recht auf gerichtliche Nachprüfung nicht ausgenommen werden können. Die Kommission ist der Auffassung, dass nur so die vollständige Umsetzung von Artikel 19 Absatz 1 des Abkommens nach Maßgabe des Artikels 5 Absätze 2 und 3 des Abkommens gewährleistet ist.

Die Kommission ist der Auffassung, dass Artikel 19 Absatz 1 eine Kernbestimmung des Rahmenabkommens ist und daher uneingeschränkt umgesetzt werden muss, insbesondere was die erforderlichen Benennungen anbelangt. Wie in Artikel 23 Absatz 1 des Abkommens vorgesehen, wird die Kommission außerdem im Zuge der gemeinsamen Überprüfung ihr Augenmerk besonders auf die Umsetzung von Artikel 19 des Abkommens über die gerichtliche Nachprüfung legen.

Die zusätzlichen Rechte auf gerichtliche Nachprüfung gemäß Artikel 19 Absatz 1 des Abkommens gelten zwar nicht für Drittstaatsangehörige, berühren jedoch nicht andere nach US-amerikanischem Recht für jedermann unabhängig von Wohnort oder Nationalität bestehenden Möglichkeiten, sich rechtliches Gehör zu verschaffen, wie z. B. im Rahmen des „Administrative Procedure Act“, des „Electronic Communications Privacy Act“ oder des „Freedom of Information Act“ (vgl. Artikel 19 Absatz 3 des Abkommens).