6.6.2009   

DE

Amtsblatt der Europäischen Union

C 128/1

1.

Der Vorsitz des Rates der Europäischen Union hat dem Ausschuss der Ständigen Vertreter am 28. Mai 2008 im Hinblick auf das Gipfeltreffen am 12. Juni 2008 mitgeteilt, dass die hochrangige Kontaktgruppe EU-USA für den Informationsaustausch und den Schutz der Privatsphäre und der personenbezogenen Daten ihren Bericht fertiggestellt hat. Dieser Bericht wurde am 26. Juni 2008 veröffentlicht (1).

2.

Der Bericht zielt darauf ab, in einem ersten Schritt auf dem Weg zu einem Informationsaustausch mit den Vereinigten Staaten zur Bekämpfung von Terrorismus und schwerer grenzüberschreitender Kriminalität gemeinsame Grundsätze für den Schutz der Privatsphäre und den Datenschutz festzuhalten.

3.

In der Mitteilung über das Vorliegen des Berichts erklärte der Ratsvorsitz, dass er Überlegungen zu der Frage begrüßen würde, welche Maßnahmen im Anschluss an diesen Bericht zu treffen wären; insbesondere bat er um Reaktionen auf die in dem Bericht ausgesprochenen Empfehlungen zum weiteren Vorgehen. Der Europäische Datenschutzbeauftragte (EDSB) ist dieser Aufforderung nachgekommen. Seine Stellungnahme basiert auf dem derzeitigen Stand der Beratungen, wie er aus dem veröffentlichten Bericht hervorgeht, und präjudiziert in keiner Weise Standpunkte, die er angesichts der weiteren Entwicklungen in Zukunft in dieser Frage möglicherweise vertreten wird.

4.

Der EDSB stellt fest, dass die Beratungen der hochrangigen Kontaktgruppe in einem Kontext stattgefunden haben, in dem insbesondere seit dem 11. September 2001 der Datenaustausch zwischen den Vereinigten Staaten und der Europäischen Union durch internationale Abkommen und Übereinkünfte anderer Art weiterentwickelt wurde. Hierzu zählen die Abkommen von Europol und Eurojust mit den Vereinigten Staaten, die Abkommen zu den Fluggastdatensätzen (PNR-Abkommen) und der Fall SWIFT, der zu einem Briefwechsel zwischen EU- und US-Beamten führte, dessen Ziel die Festlegung von Mindestgarantien für den Datenschutz war (2).

5.

Darüber hinaus handelt die EU vergleichbare Übereinkünfte über den Austausch personenbezogener Daten mit anderen Drittländern aus und billigt diese. Ein jüngeres Beispiel hierfür ist das Abkommen zwischen der Europäischen Union und Australien über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records — PNR) aus der Europäischen Union und deren Übermittlung durch die Fluggesellschaften an die australische Zollbehörde (3).

6.

In diesem Zusammenhang ist festzustellen, dass die Ersuchen der Strafverfolgungsbehörden von Drittländern um personenbezogene Informationen stetig zunehmen und nicht mehr nur Informationen betreffen, die in den üblichen Behörden-Datenbanken gespeichert sind, sondern auch andere Arten von Dateien, insbesondere solche, die von der Privatwirtschaft erhobene Daten enthalten.

7.

Der EDSB weist als wichtige Hintergrundinformation darauf hin, dass die Frage der Übermittlung personenbezogener Daten an Drittländer im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen in dem Rahmenbeschluss des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden (4), geregelt wird; dieser dürfte noch vor Ablauf des Jahres 2008 angenommen werden.

8.

Es ist jedenfalls zu erwarten, dass der transatlantische Informationsaustausch ausgeweitet wird und dass weitere Bereiche, in denen personenbezogene Daten verarbeitet werden, in ihn einbezogen werden. In diesem Umfeld ist ein Dialog über „transatlantische Strafverfolgung“ ebenso begrüßenswert wie heikel. Begrüßenswert, weil dadurch ein besser abgegrenzter Rahmen für den bereits erfolgenden oder künftigen Datenaustausch geschaffen werden könnte. Aber auch heikel, weil durch einen solchen Rahmen eine massive Übermittlung von Daten in einem Bereich — nämlich bei der Strafverfolgung — sanktioniert werden könnte, in dem die Auswirkungen auf den Einzelnen besonders schwerwiegend sind und in dem verlässliche Schutzbestimmungen und Garantien umso mehr erforderlich sind (5).

9.

Im folgenden Kapitel dieser Stellungnahme wird auf den gegenwärtigen Stand der Beratungen und das mögliche weitere Vorgehen eingegangen. Kapitel III hat den Anwendungsbereich und die Art der Übereinkunft, die eine gemeinsame Nutzung von Informationen ermöglichen soll, zum Gegenstand. In Kapitel IV werden Rechtsfragen, die mit dem Inhalt eines etwaigen Abkommens in Zusammenhang stehen, unter allgemeinen Gesichtspunkten analysiert. Zum einen wird darin der Frage nachgegangen, welche Bedingungen für die Bewertung des in den Vereinigten Staaten gewährleisteten Schutzniveaus gelten, zum anderen wird die Frage erörtert, ob der Rechtsrahmen der EU als Maßstab für die Bewertung dieses Schutzniveaus herangezogen werden kann. Ferner werden in diesem Kapitel auch die grundlegenden Anforderungen aufgeführt, die an ein Abkommen in diesem Bereich zu stellen wären. In Kapitel V der Stellungnahme werden schließlich die in der Anlage zu dem Bericht dargelegten Grundsätze zum Datenschutz analysiert.

10.

Nach Auffassung des EDSB ist der gegenwärtige Stand der Beratungen so einzuschätzen, dass gewisse Fortschritte bei der Festlegung gemeinsamer Standards für die gemeinsame Nutzung von Informationen und den Schutz der Privatsphäre und der personenbezogenen Daten erzielt wurden.

11.

Die Vorbereitungsarbeit für ein wie auch immer gestaltetes Abkommen zwischen der EU und den Vereinigten Staaten ist jedoch noch nicht abgeschlossen. Hier sind noch weitere Beratungen notwendig. In dem Bericht der hochrangigen Kontaktgruppe werden einige noch offene Punkte aufgeführt, von denen der wichtigste die Frage des „Grundsatzes des Rechtsbehelfs“ ist. Uneinigkeit besteht nach wie vor über den erforderlichen Umfang des Rechtsbehelfs (6). In Kapitel 3 des Berichts werden fünf weitere noch offene Punkte aufgeführt. Diese Stellungnahme wird verdeutlichen, dass über diese Punkte hinaus noch zahlreiche weitere Fragen nicht geklärt sind, so beispielsweise der Anwendungsbereich und die Art der Übereinkunft über die gemeinsame Nutzung von Informationen.

12.

Da in dem Bericht der Option eines verbindlichen Abkommens der Vorzug gegeben wird — eine Auffassung, die der EDSB teilt — ist umso mehr ein überlegtes Vorgehen erforderlich. Weitere sorgfältige und gründliche vorbereitende Arbeit ist unerlässlich, bevor ein Abkommen geschlossen werden kann.

13.

Schließlich sei noch angemerkt, dass es nach Auffassung des EDSB am besten wäre, wenn ein solches Abkommen nach dem Lissabonner Vertrag geschlossen würde, was natürlich davon abhängt, wann dieser in Kraft treten wird. Nach dem Lissabonner Vertrag würde nämlich keine Rechtsunsicherheit in Bezug auf die Abgrenzung zwischen den Säulen der EU entstehen. Darüber hinaus wären die uneingeschränkte Einbeziehung des Europäischen Parlaments und eine gerichtliche Kontrolle durch den Gerichtshof gewährleistet.

14.

Unter diesen Umständen sollte am besten zunächst ein Fahrplan im Hinblick auf den etwaigen späteren Abschluss eines Abkommens vereinbart werden. Dieser Fahrplan könnte folgende Aspekte umfassen:

15.

Nach Auffassung des EDSB ist es von entscheidender Bedeutung, dass der Anwendungsbereich und die Art einer etwaigen Übereinkunft sowie die Grundsätze für den Datenschutz in einem ersten Schritt vor der weiteren Ausgestaltung einer solchen Übereinkunft eindeutig festgelegt werden.

16.

Bezüglich des Anwendungsbereichs stellen sich folgende wichtige Fragen:

17.

Bei der Festlegung der Art der Übereinkunft sollten folgende Fragen geklärt werden:

18.

Der Bericht der hochrangigen Kontaktgruppe enthält zwar keine eindeutigen Festlegungen zu dem exakten Anwendungsbereich der künftigen Übereinkunft, die darin aufgeführten Grundsätze lassen jedoch den Schluss zu, dass sowohl die Datenübermittlung zwischen privatwirtschaftlichen und öffentlichen (7) Akteuren als auch die Datenübermittlung zwischen Behörden unter die Übereinkunft fallen sollen.

19.

Der EDSB kann nachvollziehen, warum die künftige Übereinkunft auf die Datenübermittlung zwischen privatwirtschaftlichen und öffentlichen Akteuren anwendbar sein soll. Die Übereinkunft wird ausgearbeitet, weil in den letzten Jahren Ersuchen von US-Seite um Informationen von privatwirtschaftlichen Akteuren vorlagen. Der EDSB stellt in der Tat fest, dass privatwirtschaftliche Akteure sowohl auf EU-Ebene als auch auf internationaler Ebene vermehrt systematisch als Informationsquelle im Zusammenhang mit Strafverfolgungszwecken genutzt werden (8). Der Fall SWIFT war ein wichtiger Präzedenzfall, in dem ein privatwirtschaftliches Unternehmen aufgefordert war, systematisch große Mengen an Datensätzen an die Strafverfolgungsbehörden eines Drittlandes zu übermitteln (9). Das Abfragen von Fluggastdaten der Fluglinien folgt derselben Logik. Der EDSB hat die Rechtmäßigkeit dieser Entwicklung bereits in seiner Stellungnahme zu dem Entwurf eines Rahmenbeschlusses für ein europäisches System zur Verarbeitung von PNR-Daten in Frage gestellt (10).

20.

Es sprechen noch zwei weitere Gründe dafür, der Aufnahme der Übermittlung von Daten zwischen privatwirtschaftlichen und öffentlichen Akteuren in den Anwendungsbereich eines künftigen Übereinkommens skeptisch gegenüberzustehen.

21.

Zum einen könnte dies im Gebiet der EU selbst unerwünschte Wirkungen entfalten. Der EDSB befürchtet ernstlich, dass die Möglichkeit, Daten von privatwirtschaftlichen Unternehmen (z. B. von Finanzinstituten) an Drittländer zu übermitteln, starken Druck dahingehend erzeugen kann, dass dieselben Arten von Daten auch innerhalb der EU den Strafverfolgungsbehörden zur Verfügung zu stellen wären. Das PNR-System ist ein Beispiel für eine solche nicht wünschenswerte Entwicklung, die mit einer Sammelerhebung von Fluggastdaten durch die Vereinigten Staaten begann und dann auch auf den innereuropäischen Kontext übertragen wurde (11), ohne dass die Notwendigkeit und die Verhältnismäßigkeit eines solchen Systems eindeutig nachgewiesen worden wären.

22.

Zum anderen hat der EDSB in seiner Stellungnahme zu dem Kommissionsvorschlag bezüglich eines PNR-Systems für die EU auch die Frage aufgeworfen, welcher Datenschutzrahmen (erste oder dritte Säule) auf die Bestimmungen anzuwenden wäre, denen eine Zusammenarbeit zwischen öffentlichen und privatwirtschaftlichen Akteuren unterliegen würde: Sollten die Vorschriften auf der Eigenschaft des für die Datenverarbeitung Verantwortlichen (Privatsektor) oder auf dem verfolgten Zweck (Strafverfolgung) beruhen? Zwischen der ersten und der dritten Säule gibt es in Fällen, in denen privatwirtschaftliche Akteure verpflichtet werden, personenbezogene Daten zu Strafverfolgungszwecken zu verarbeiten, keine eindeutige Abgrenzung. In diesem Zusammenhang ist es bezeichnend, dass Generalanwalt Bot in seinem Schlussantrag in einer Rechtssache zum Thema „Vorratsdatenspeicherung von Daten“ (12) eine Grenzziehung für solche Fälle vorschlägt, aber gleich hinzufügt: „Diese Grenzziehung ist sicherlich nicht unumstritten und kann in mancher Hinsicht künstlich erscheinen.“ Der EDSB stellt zudem fest, dass auch in dem Beschluss des Gerichtshofs in der Rechtssache betreffend die Verarbeitung von Fluggastdatensätzen (13) die Frage nach dem geltenden Rechtsrahmen nicht vollständig beantwortet wird. Die Tatsache, dass bestimmte Aktivitäten nicht unter die Richtlinie 95/46/EG fallen, bedeutet beispielsweise nicht automatisch, dass diese Aktivitäten im Rahmen der dritten Säule geregelt werden können. Dies bedeutet, dass hier möglicherweise hinsichtlich des geltenden Rechts eine Lücke besteht, was in jedem Fall zu Rechtsunsicherheit hinsichtlich der für die Betroffenen bestehenden Rechtsgarantien führt.

23.

Der EDSB hebt vor diesem Hintergrund hervor, dass sichergestellt sein muss, dass durch eine künftige — allgemeine Grundsätze für den Datenschutz enthaltende — Übereinkunft als solche die transatlantische Übermittlung personenbezogener Daten zwischen privatwirtschaftlichen und öffentlichen Akteuren nicht legitimiert werden darf. Eine solche Datenübermittlung kann nur dann in eine künftige Übereinkunft aufgenommen werden, wenn

Darüber hinaus weist der EDSB auf die bestehende Unsicherheit hinsichtlich des anwendbaren Datenschutzrahmens hin und spricht sich deshalb in jedem Fall dafür aus, die Übermittlung personenbezogener Daten zwischen privatwirtschaftlichen und öffentlichen Akteuren bei dem gegenwärtigen Stand der Rechtsvorschriften der EU nicht in die künftige Übereinkunft aufzunehmen.

24.

Der Anwendungsbereich im Hinblick auf den Informationsaustausch ist nicht eindeutig abgegrenzt. In einem ersten Schritt in Richtung auf eine gemeinsame Übereinkunft sollte deren genauer Anwendungsbereich eindeutig festgelegt werden. Insbesondere folgende Fragen sind nach wie vor offen:

25.

Die Definition des Zwecks eines etwaigen Abkommens lässt ebenfalls Raum für Unsicherheit. In der Einleitung und auch in dem ersten Grundsatz, der in der Anlage zum Bericht dargelegt ist, wird klar auf Strafverfolgungszwecke abgestellt; in Kapitel IV dieser Stellungnahme wird näher hierauf eingegangen. Der EDSB stellt fest, dass die genannten Textstellen darauf hindeuten, dass der Datenaustausch schwerpunktmäßig im Bereich der dritten Säule erfolgen soll; es stellt sich jedoch die Frage, ob es sich hierbei nicht lediglich um einen ersten Schritt in Richtung auf einen umfassenderen Informationsaustausch handelt. Es scheint eindeutig, dass die im Bericht genannten „Zwecke der öffentlichen Sicherheit“ die Bekämpfung des Terrorismus, der organisierten Kriminalität und sonstiger Verbrechen einschließen. Soll das Abkommen aber darüber hinaus auch für den Datenaustausch in anderen Bereichen des öffentlichen Interesses gelten, wie etwa die Gefährdung der öffentlichen Gesundheit?

26.

Der EDSB empfiehlt, den Zweck auf genau festgelegte Datenverarbeitungsvorgänge zu beschränken und die politischen Entscheidungen, die der Zweck-Definition zugrunde liegen, zu begründen.

27.

Der gemäß dem Bericht vorgesehene breite Anwendungsbereich sollte vor dem Hintergrund des umfassenden transatlantischen Raums der Sicherheit, über den zur Zeit von der sogenannten Zukunftsgruppe (14) debattiert wird, betrachtet werden. Der im Juni 2008 veröffentlichte Bericht dieser Gruppe legt unter anderem einen Schwerpunkt auf die externe Dimension der Innenpolitik. Darin wird Folgendes empfohlen: „Bis 2014 sollte die Europäische Union eine Entscheidung hinsichtlich des politischen Ziels treffen, im Bereich der Freiheit, der Sicherheit und des Rechts einen euro-atlantischen Raum der Zusammenarbeit mit den Vereinigten Staaten zu schaffen.“ Eine solche Zusammenarbeit würde über Sicherheitsfragen im eigentlichen Sinne hinausgehen und mindestens die Themen umfassen, die in Titel IV EGV behandelt werden, wie Einwanderung, Visa- und Asylfragen und zivilrechtliche Zusammenarbeit. Hier muss die Frage gestellt werden, inwieweit eine Vereinbarung über grundlegende Datenschutz-Grundsätze, wie sie im Bericht der hochrangigen Kontaktgruppe aufgeführt sind, die Grundlage für einen Informationsaustausch in so einem so weit gefassten Bereich sein könnte oder sollte.

28.

Normalerweise sollte im Jahr 2014 die Säulen-Struktur nicht mehr bestehen, und es dürfte eine einzige Rechtsgrundlage für den Datenschutz innerhalb der EU selbst geben (im Rahmen des Lissabonner Vertrags — Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union). Der Umstand, dass es eine Harmonisierung auf EU-Ebene hinsichtlich der Regelung des Datenschutzes gibt, bedeutet jedoch in keiner Weise, dass im Rahmen eines Abkommens mit einem Drittland die Übermittlung jedweder personenbezogener Daten, zu welchen Zwecken auch immer, zulässig wäre. Je nach Kontext und den Bedingungen, unter denen die Datenverarbeitung erfolgt, sind möglicherweise entsprechend angepasste Datenschutzgarantien für bestimmte Bereiche, wie beispielsweise den Bereich der Strafverfolgung, erforderlich. Der EDSB empfiehlt, bei der Ausarbeitung des künftigen Abkommens die Auswirkungen dieser verschiedenen Zusammenhänge zu berücksichtigen.

29.

Auf kurze Sicht ist es in jedem Fall unbedingt erforderlich, die Säule festzulegen, in deren Rahmen das Abkommen ausgehandelt werden soll. Dies ist insbesondere deswegen notwendig, weil sich ein solches Abkommen auf den internen Rechtsrahmen für den Datenschutz auswirken dürfte. Sollen die Verhandlungen im Rahmen der ersten Säule geführt werden, in der im wesentlichen die Richtlinie 95/46/EG gilt, die eine spezielle Regelung für die Übermittlung von Daten an Drittländer enthält, oder sollen die Verhandlungen im Rahmen der dritten Säule erfolgen, in der die Regeln für die Datenübermittlung an Drittländer weniger streng sind? (15)

30.

Zwar stehen, wie bereits erwähnt, Strafverfolgungszwecke im Vordergrund, in dem Bericht der hochrangigen Kontaktgruppe wird jedoch auch das Abfragen von Daten von privatwirtschaftlichen Akteuren genannt; ferner können die aufgeführten Zwecke auch in einem weiten Sinne dahingehend interpretiert werden, dass sie über reine Sicherheitsaspekte hinausgehen und beispielsweise Einwanderungs- und Grenzschutzfragen, aber auch das Gesundheitswesen einschließen können. Angesichts dieser Unwägbarkeiten wäre es von großem Vorteil, wenn die Harmonisierung der Säulen im EU-Recht, wie sie im Lissabonner Vertrag vorgesehen ist, abgewartet, die Rechtsgrundlage für die Verhandlungen eindeutig festgelegt und darüber hinaus genau festgelegt würde, welche Rolle den europäischen Organen, insbesondere dem Europäischen Parlament und der Kommission, zukommt.

31.

Es sollte klargestellt werden, ob am Ende der Beratungen eine gemeinsame Vereinbarung oder eine andere nicht verbindliche Übereinkunft stehen soll, oder ob ein verbindliches internationales Abkommen geschlossen werden soll.

32.

Der EDSB schließt sich dem Bericht an, in dem ein verbindliches Abkommen favorisiert wird. Nach Auffassung des EDSB ist ein offizielles verbindliches Abkommen eine unabdingbare Voraussetzung für eine Übermittlung von Daten aus der EU nach außen, unabhängig von dem Zweck, zu dem die Datenübermittlung erfolgt. Daten dürfen nur dann in ein Drittland übermittelt werden, wenn angemessene Regelungen getroffen und Schutzvorschriften festgelegt wurden, die Bestandteil eines speziellen (und verbindlichen) rechtlichen Rahmens sind. Mit anderen Worten: eine gemeinsame Absichtserklärung oder eine andere nicht verbindliche Übereinkunft können nützlich sein, um Leitlinien für die Verhandlungen im Hinblick auf ein weiteres verbindliches Abkommen zu bieten, vermögen jedoch niemals ein verbindliches Abkommen ersetzen.

33.

Die Bestimmungen der Übereinkunft sollten gleichermaßen verbindlich für die Vereinigten Staaten und für die Europäische Union und ihre Mitgliedstaaten sein.

34.

Darüber hinaus sollte sichergestellt werden, dass Einzelpersonen auf der Grundlage der vereinbarten Grundsätze ihre Rechte, und insbesondere das Recht auf Rechtsbehelf, wahrnehmen können. Der EDSB ist der Auffassung, dass dies am besten erreicht werden kann, wenn die materiellrechtlichen Bestimmungen der Übereinkunft so formuliert werden, dass sie unmittelbar für die Einwohner der Europäischen Union wirksam sind und vor Gericht geltend gemacht werden können. Deshalb müssen in der Übereinkunft die unmittelbare Wirksamkeit der Bestimmungen des internationalen Abkommens sowie die Bedingungen, die bei dessen Umsetzung in internes europäisches und nationales Recht erfüllt sein müssen, um die Wirksamkeit der Maßnahmen zu gewährleisten, eindeutig geregelt sein.

35.

Eine weitere grundlegende Frage ist, inwieweit das Abkommen eigenständig ist und inwieweit es auf Einzelfallbasis durch weitere Vereinbarungen zu spezifischen Datenaustauschfragen ergänzt werden muss. Es ist in der Tat fraglich, ob die mannigfaltigen Eigenheiten, die die Datenverarbeitung in der dritten Säule aufweist, durch ein einziges Abkommen in angemessener Weise mit einer einzigen Reihe von Normen abgedeckt werden können. Es ist noch fraglich, ob dieses einzige Abkommen ohne ergänzende Beratungen und Schutzbestimmungen die pauschale Billigung der Übermittlung personenbezogener Daten unabhängig vom Zweck der Übermittlung und der Art der übermittelten Daten überhaupt zulassen darf. Außerdem haben Abkommen mit Drittländern nicht unbedingt unbegrenzt Bestand, da sie an eine bestimmte Bedrohungslage gekoppelt sein, der Überprüfung unterliegen oder eine Auflösungsklausel beinhalten können. Andererseits könnten durch gemeinsame Mindeststandards, wie sie in einer verbindlichen Übereinkunft anerkannt würden, die weiteren Beratungen über die Übermittlung personenbezogener Daten im Zusammenhang mit einer spezifischen Datenbank oder mit spezifischen Datenverarbeitungsvorgängen erleichtert werden.

36.

Der EDSB würde deshalb, wie es auch in dem Bericht der hochrangigen Kontaktgruppe dargelegt wurde, die Ausarbeitung von Mindestkriterien für den Datenschutz, die von Fall zu Fall durch ergänzende spezifische Bestimmungen vervollständigt werden, einem eigenständigen Abkommen vorziehen. Die ergänzenden spezifischen Bestimmungen sind die Voraussetzung für die Zulassung der Datenübermittlung in jedem Einzelfall. Hierdurch würde ein einheitliches Vorgehen beim Datenschutz gefördert.

37.

Es sollte überdies geprüft werden, wie ein etwaiges allgemeines Abkommen mit bereits bestehenden, zwischen der Europäischen Union und den Vereinigten Staaten geschlossenen Abkommen zusammenwirken würde. Hierbei sei darauf hingewiesen, dass diese bereits bestehenden Abkommen, unter denen besonders das PNR-Abkommen (dasjenige, das mehr Rechtssicherheit bietet), das Europol- und das Eurojust-Abkommen beziehungsweise der Briefwechsel in Sachen SWIFT hervorzuheben sind, nicht dasselbe Maß an Verbindlichkeit aufweisen (16). Würden diese bestehenden Übereinkünfte durch eine neue allgemeine Rahmenvereinbarung ergänzt, oder würden sie unverändert bestehen bleiben, da die neue Rahmenvereinbarung beim Austausch personenbezogener Daten lediglich auf künftige Vorgänge anzuwenden wäre? Nach Auffassung des EDSB wäre es aus Gründen der rechtlichen Kohärenz erforderlich, über harmonisierte Vorschriften zu verfügen, die sowohl auf geltende als auch auf künftige verbindliche Abkommen zur Datenübermittlung anwendbar wären und diese ergänzen würden.

38.

Die Anwendung des allgemeinen Abkommens auf bestehende Übereinkünfte hätte den Vorteil, dass die Verbindlichkeit dieser Übereinkünfte gestärkt würde. Dies wäre insbesondere für solche Übereinkünfte wünschenswert, die nicht rechtlich verbindlich sind, wie beispielsweise der Briefwechsel im Fall SWIFT, da hierdurch wenigstens die Einhaltung einer Reihe allgemeiner Grundsätze für den Datenschutz vorgeschrieben würde.

39.

In diesem Kapitel wird der Frage nachgegangen, wie das durch eine bestimmte Rahmenvereinbarung oder Übereinkunft erreichte Schutzniveau zu bewerten ist; hierzu gehört auch die Frage nach den anzuwendenden Maßstäben und den notwendigen grundlegenden Anforderungen.

40.

Nach Auffassung des EDSB dürfte klar sein, dass eines der wesentlichen Ergebnisse einer künftigen Übereinkunft darin bestehen sollte, dass die Übermittlung personenbezogener Daten an die Vereinigten Staaten nur dann erfolgen kann, wenn die US-Behörden ein angemessenes Schutzniveau gewährleisten (und umgekehrt).

41.

Der EDSB ist der Meinung, dass hinreichende Garantien in Bezug auf das Schutzniveau für personenbezogene Daten lediglich durch eine Überprüfung der tatsächlichen Angemessenheit sichergestellt werden können. Seiner Auffassung nach wäre es für ein allgemeines Rahmenabkommen, dessen Anwendungsbereich so weit gefasst wäre wie in dem Bericht der hochrangigen Kontaktgruppe beschrieben, problematisch, einer solchen Überprüfung der tatsächlichen Angemessenheit standzuhalten. Die Angemessenheit des allgemeinen Abkommens kann nur dann anerkannt werden, wenn sie mit der Angemessenheit der spezifischen von Fall zu Fall getroffenen Vereinbarungen einhergeht.

42.

Die Beurteilung des von Drittländern gewährleisteten Datenschutzniveaus ist keine ungewöhnliche Aufgabe, insbesondere nicht für die Europäische Kommission: in der ersten Säule ist die Angemessenheit des Schutzniveaus Voraussetzung für eine Datenübermittlung. Die Angemessenheit wurde verschiedentlich nach Artikel 25 der Richtlinie 95/46/EG unter Anwendung spezifischer Kriterien beurteilt und durch Entscheidungen der Europäischen Kommission bestätigt (17). In der dritten Säule sind derartige systematische Angemessenheitsüberprüfungen nicht ausdrücklich vorgesehen, eine Beurteilung der Angemessenheit des Schutzniveaus ist nur für die spezifischen Fälle nach Artikel 11 und 13 des noch nicht verabschiedeten Rahmenbeschlusses über den Schutz personenbezogener Daten (18) vorgeschrieben und bleibt den Mitgliedstaaten überlassen.

43.

Im gegenwärtigen Fall betrifft der Anwendungsbereich Strafverfolgungszwecke; die Beratungen werden von der Kommission unter der Aufsicht des Rates geführt. Der Kontext ist ein anderer als bei der Beurteilung der Safe Harbour Grundsätze oder der Angemessenheit der kanadischen Rechtsvorschriften; er ist eher vergleichbar mit den jüngsten Verhandlungen über die Verarbeitung von Fluggastdaten mit den Vereinigten Staaten und Australien, die im rechtlichen Rahmen der dritten Säule geführt wurden. Die von der hochrangigen Kontaktgruppe aufgestellten Grundsätze wurden allerdings auch im Zusammenhang mit dem Programm für visumfreies Reisen genannt, das Grenzschutz- und Einwanderungsfragen und somit der ersten Säule zugeordnete Aspekte betrifft.

44.

Der EDSB empfiehlt, dass bei der Beurteilung der Angemessenheit des durch die künftige Übereinkunft gewährleisteten Schutzniveaus die in diesen unterschiedlichen Bereichen gewonnenen Erfahrungen berücksichtigt werden sollten. Er empfiehlt außerdem, den Begriff der „Angemessenheit“ im Kontext einer künftigen Übereinkunft weiter zu entwickeln und hierbei Kriterien zugrunde zu legen, die den bei früheren Beurteilungen der Angemessenheit angewandten vergleichbar sind.

45.

Ein zweiter Aspekt des Schutzniveaus steht mit der gegenseitigen Anerkennung der Systeme der EU und der Vereinigten Staaten im Zusammenhang. In dem Bericht der hochrangigen Kontaktgruppe heißt es hierzu, dass das Ziel darin bestünde, in den Bereichen, für die diese Grundsätze gelten, die Anerkennung der Wirksamkeit der Regelungen beider Seiten für Datenschutz und Schutz der Privatsphäre zu erreichen (19) und eine gleichwertige und gegenseitige Anwendung der Rechtsvorschriften zum Schutz personenbezogener Daten und zum Schutz der Privatsphäre zu erreichen.

46.

Für den EDSB liegt es auf der Hand, dass die gegenseitige Anerkennung (oder Gegenseitigkeit) nur möglich ist, wenn ein angemessenes Schutzniveau gewährleistet wird. Mit anderen Worten, die künftige Übereinkunft sollte das Mindestschutzniveau harmonisieren (durch eine Beurteilung der Angemessenheit des Schutzniveaus, wobei zu berücksichtigen ist, dass auf Einzelfallbasis spezifische Vereinbarungen zu treffen sein werden). Nur unter dieser Voraussetzung kann die Gegenseitigkeit anerkannt werden.

47.

Der erste dabei zu berücksichtigende Aspekt betrifft die Gegenseitigkeit materiellrechtlicher Bestimmung zum Datenschutz. Nach Ansicht des EDSB sollte bei einem Abkommen mit dem Konzept der Gegenseitigkeit materiellrechtlicher Bestimmungen zum Datenschutz in einer Weise umgegangen werden, die es erlaubt, einerseits dafür zu sorgen, dass die Datenverarbeitung innerhalb des Gebiets der EU (und der Vereinigten Staaten) unter uneingeschränkter Achtung der innerstaatlichen Rechtsvorschriften zum Datenschutz erfolgt, und andererseits sicherzustellen, dass eine Verarbeitung von Daten, die außerhalb des Herkunftsstaates der Daten erfolgt und in den Anwendungsbereich des Abkommens fällt, unter Achtung der im Abkommen enthaltenen Datenschutzgrundsätze durchgeführt wird.

48.

Der zweite Aspekt ist die Gegenseitigkeit der Rechtsbehelfsmechanismen. Es muss sichergestellt sein, dass für europäische Bürger angemessene Rechtsbehelfe bestehen, wenn ihre Person betreffende Daten in den Vereinigten Staaten verarbeitet werden (unabhängig von den Rechtsvorschriften, die für diese Verarbeitung gelten), und dass umgekehrt die Europäische Union und ihre Mitgliedstaaten US-Bürgern die gleichen Möglichkeiten einräumen.

49.

Ein dritter Aspekt ist die Gegenseitigkeit des Zugriffs auf personenbezogene Daten, der Strafverfolgungsbehörden gewährt wird. Sollte den Behörden der Vereinigten Staaten durch eine Übereinkunft Zugriff auf Daten gewährt werden, die aus der Europäischen Union stammen, würde Gegenseitigkeit bedeuten, dass den Behörden der Europäischen Union in derselben Weise Zugriff auf Daten gewährt wird, die aus den Vereinigten Staaten stammen. Diese Gegenseitigkeit darf die Wirksamkeit des Schutzes der Betroffenen nicht beeinträchtigen. Dies ist eine Voraussetzung dafür, dass ein „transatlantischer“ Zugriff auf Daten durch Strafverfolgungsbehörden gestattet wird. Konkret bedeutet dies, dass

50.

Die genaue Festlegung der Bewertungsbedingungen (Angemessenheit, Gleichwertigkeit, gegenseitige Anerkennung) ist von wesentlicher Bedeutung, da hierdurch der Inhalt im Hinblick auf Genauigkeit, Rechtssicherheit und Wirksamkeit des Schutzes bestimmt wird. Eine künftige Übereinkunft muss inhaltlich präzise und sorgfältig abgefasst sein.

51.

Darüber hinaus sollte eindeutig festgelegt sein, dass in jede weitere spezifische Vereinbarung, die im weiteren getroffen wird, ausführliche und umfassende Datenschutzbestimmungen für den Bereich aufgenommen werden müssen, für den im Rahmen der Vereinbarung ein Datenaustausch vorgesehen ist. Nur durch eine Festlegung von konkreten Datenschutzgrundsätzen auf beiden Ebenen kann das erforderliche enge Ineinandergreifen von allgemeinem Abkommen und spezifischen Vereinbarungen, wie bereits in den Nummern 35 und 36 dieser Stellungnahme bemerkt wurde, sichergestellt werden.

52.

Mit besonderer Aufmerksamkeit sollte geprüft werden, inwieweit ein Abkommen mit den Vereinigten Staaten als Modell für Abkommen mit anderen Drittländern dienen kann. Der EDSB weist darauf hin, dass in dem vorgenannten Bericht der Zukunftsgruppe neben den Vereinigten Staaten auch Russland als strategischer Partner der EU genannt wird. Soweit die Grundsätze neutral sind und mit den grundlegenden Schutzbestimmungen der EU übereinstimmen, können sie durchaus als nützliches Modell dienen. Besonderheiten jedoch, die beispielsweise mit dem Rechtsrahmen des empfangenden Landes oder dem Zweck der Datenübermittlung in Zusammenhang stehen, würden einer einfachen Übertragung des Abkommens entgegenstehen. Von ebenso entscheidender Bedeutung ist die Lage der Demokratie in Drittländern: es muss dafür gesorgt sein, dass die vereinbarten Grundsätze in dem empfangenden Land wirksam sichergestellt und umgesetzt werden.

53.

Für eine implizite oder explizite Angemessenheit sollte generell eine Übereinstimmung mit dem internationalen und dem europäischen Rechtsrahmen und insbesondere eine Übereinstimmung mit den gemeinsam vereinbarten Datenschutzgarantien gegeben sein. Diese sind in den Richtlinien der Vereinten Nationen, dem Übereinkommen 108 des Europarates und dem zugehörigen Zusatzprotokoll, den Richtlinien der OECD, dem Entwurf eines Rahmenbeschlusses über den Schutz personenbezogener Daten und — für den Bereich der ersten Säule — in der Richtlinie 95/46/EG (20) enthalten. Alle diese Übereinkünfte enthalten vergleichbare Grundsätze, die allgemein als Kerngrundsätze für den Schutz personenbezogener Daten anerkannt werden.

54.

Angesichts der Auswirkungen, die eine potenzielle Übereinkunft in der von der hochrangigen Kontaktgruppe vorgesehenen Form haben kann, ist es umso wichtiger, dass die vorgenannten Grundsätze angemessen berücksichtigt werden. Eine Übereinkunft, die den gesamten Strafverfolgungsbereich eines Drittlandes berührt, wäre in der Tat ein bisher noch nicht aufgetretenes Ereignis. Bestehende Beschlüsse zur Angemessenheit im Rahmen der ersten Säule und Übereinkommen, die im Rahmen der dritten Säule der EU mit Drittländern geschlossen wurden (Europol, Eurojust) standen immer mit spezifischen Datenübermittlungsvorgängen im Zusammenhang; im vorliegenden Fall jedoch könnte der Anwendungsbereich für die Übermittlung von Daten möglicherweise sehr viel weiter gefasst werden, wenn man bedenkt, dass die Zielsetzung sehr breit angelegt ist (Bekämpfung von strafbaren Handlungen, nationale und öffentliche Sicherheit, Grenzschutz) und dass keine Klarheit über die Zahl der Datenbanken, die betroffen wären, besteht.

55.

Die Bedingungen, die im Zusammenhang mit der Übermittlung personenbezogener Daten an Drittländer eingehalten werden müssen, sind in einem Arbeitspapier der Datenschutzgruppe (21) ausgearbeitet worden. Jedwede Vereinbarung von Mindestgrundsätzen für den Datenschutz sollte einer Übereinstimmungsprüfung unterzogen werden, durch die die Wirksamkeit der Datenschutzgarantien sichergestellt wird.

56.

Neben diesen drei grundlegenden Anforderungen muss auch den Besonderheiten, die sich aus der Verarbeitung personenbezogener Daten im Kontext der Strafverfolgung ergeben, spezielle Aufmerksamkeit gewidmet werden. Es handelt sich hierbei um einen Bereich, in dem fundamentale Rechte in gewissem Umfang eingeschränkt werden können. Deshalb müssen Schutzbestimmungen erlassen werden, durch die die Einschränkungen der Rechte des Einzelnen insbesondere bezüglich der nachstehenden Aspekte im Hinblick auf die Auswirkungen für den Einzelnen ausgeglichen werden:

57.

In diesem Kapitel werden die zwölf in dem Dokument der hochrangigen Kontaktgruppe enthaltenen Grundsätze unter folgenden Aspekten analysiert:

58.

Gemäß dem ersten in der Anlage zu dem Bericht der hochrangigen Kontaktgruppe aufgeführten Grundsatz hat die Verarbeitung personenbezogener Informationen zum Zwecke der rechtmäßigen Strafverfolgung zu erfolgen. Wie bereits erwähnt, versteht die Europäische Union darunter die Prävention, Feststellung, Ermittlung oder Verfolgung von strafbaren Handlungen. Gemäß dem Verständnis der Vereinigten Staaten geht der Begriff der Strafverfolgung über strafbare Handlungen hinaus und umfasst auch Zwecke des Grenzschutzes sowie der öffentlichen und der nationalen Sicherheit. Es ist unklar, welche Folgen diese Unstimmigkeit, die zwischen der EU und den Vereinigten Staaten in Bezug auf den verfolgten Zweck besteht, haben kann. Zwar heißt es in dem Bericht, dass die verfolgten Zwecke in der Praxis möglicherweise weitgehend deckungsgleich sind, dennoch ist es von entscheidender Bedeutung, dass Klarheit darüber besteht, in welchem Umfang sie sich nicht decken. Angesichts der Auswirkungen, die getroffene Maßnahmen auf Einzelpersonen haben können, muss im Bereich der Strafverfolgung der Grundsatz der Zweckbindung streng eingehalten werden. Der festgelegte Zweck muss eindeutig und eingegrenzt sein. In Anbetracht der im Bericht vorgesehenen Gegenseitigkeit scheint auch die Angleichung des von beiden Seiten verfolgten Zwecks von grundlegender Bedeutung. Kurz gesagt, es muss eindeutig präzisiert werden, wie dieser Grundsatz zu verstehen ist.

59.

Der EDSB begrüßt die Bestimmung, wonach für eine gesetzmäßige Verarbeitung personenbezogener Informationen deren sachliche Richtigkeit, Relevanz, Aktualität und Vollständigkeit Voraussetzung ist. Dieser Grundsatz ist eine Grundvoraussetzung für eine effiziente Verarbeitung von Daten.

60.

Dieser Grundsatz stellt einen eindeutigen Zusammenhang zwischen der erhobenen Information und der Notwendigkeit dieser Information für gesetzlich festgelegte Strafverfolgungszwecke her. Diese Forderung nach einer Rechtsgrundlage ist eine positive Komponente der Gewährleistung der Rechtmäßigkeit der Verarbeitung der Daten. Der EDSB weist dennoch darauf hin, dass hierdurch zwar für mehr Rechtssicherheit bei der Verarbeitung gesorgt wird, die Rechtsgrundlage für die Verarbeitung jedoch in einem Gesetz eines Drittlandes besteht. Ein Gesetz eines Drittlandes an sich kann nicht die rechtmäßige Grundlage für die Übermittlung personenbezogener Daten darstellen (22). Im Kontext des Berichts der hochrangigen Kontaktgruppe wird anscheinend die Rechtmäßigkeit des Gesetzes eines Drittlandes, d.h. der Vereinigten Staaten, grundsätzlich anerkannt. In diesem Zusammenhang muss berücksichtigt werden, dass diese Argumentation — selbst wenn sie in diesem Fall gerechtfertigt sein mag, da es sich bei den Vereinigten Staaten um einen demokratischen Staat handelt — in keiner Weise für die Beziehungen mit anderen Drittländern gelten und auch nicht auf diese Beziehungen übertragen werden kann.

61.

Die Übermittlung personenbezogener Daten muss gemäß der Anlage zu dem Bericht der hochrangigen Kontaktgruppe relevant, notwendig und angemessen sein. Der EDSB hebt hervor, dass im Rahmen der Verarbeitung nicht unangemessen stark in die Privatsphäre eingedrungen werden darf und dass die Verarbeitungsmodalitäten ausgewogen sein und den Rechten und Interessen der betroffenen Person Rechnung tragen müssen.

62.

Deshalb sollte der Zugang zu Informationen für jeden Einzelfall geregelt werden, je nach dem konkreten Bedarf im Rahmen einer spezifischen Ermittlung. Ein ständiger Zugriff auf Datenbanken in der EU durch die Strafverfolgungsbehörden eines Drittlandes wäre als unangemessen und nicht hinlänglich gerechtfertigt zu betrachten. Der EDSB weist darauf hin, dass selbst im Kontext bestehender Abkommen zum Datenaustausch, wie beispielsweise im Fall des PNR-Abkommens, der Austausch von Daten auf der Grundlage bestimmter Umstände erfolgt, und dass dieses Abkommen für einen begrenzten Zeitraum abgeschlossen wurde (23).

63.

Im gleichen Sinne sollte die Zeitdauer der Vorratsspeicherung von Daten geregelt sein: Daten sollten nur so lange gespeichert werden, wie sie in Anbetracht des verfolgten spezifischen Zwecks benötigt werden. Sind sie für den festgelegten Zweck nicht mehr relevant, sollten sie gelöscht werden. Der EDSB ist strikt gegen den Aufbau von Datenspeichern, in denen Angaben zu unverdächtigen Einzelpersonen in der Überlegung gespeichert werden, dass diese Angaben möglicherweise zu einem späteren Zeitpunkt noch einmal gebraucht werden könnten.

64.

Gemäß den Grundsätzen sind Maßnahmen und Verfahren vorgesehen, durch die Daten vor Missbrauch, Abänderung und sonstigen Gefahren geschützt werden sollen; ferner ist eine Bestimmung vorgesehen, durch die der Zugriff auf die Daten befugten Personen vorbehalten wird. Der EDSB hält dies für zufriedenstellend.

65.

Der Grundsatz könnte darüber hinaus um eine Bestimmung ergänzt werden, wonach Aufzeichnungen darüber zu führen wären, wer auf die Daten zugegriffen hat. Hierdurch würde den Schutzbestimmungen zur Beschränkung des Zugriffs auf Daten und zur Verhinderung des Datenmissbrauchs mehr Wirksamkeit verliehen.

66.

Überdies sollte vorgesehen werden, dass sich die Parteien im Fall von Sicherheitsverletzungen gegenseitig informieren: die Datenempfänger in den Vereinigten Staaten und in der EU wären dafür zuständig, die jeweils andere Seite davon in Kenntnis zu setzen, wenn die Daten, die ihnen übermittelt wurden, unrechtmäßig offengelegt wurden. Hierdurch wird zu mehr Verantwortung für eine sichere Verarbeitung der Daten beigetragen.

67.

Nach Auffassung des EDSB wird der Grundsatz, der die Verarbeitung sensibler Daten verbietet, durch die Ausnahmeregelung, nach der eine Verarbeitung sensibler Daten zulässig ist, sofern die nationalen Rechtsvorschriften „geeignete Schutzbestimmungen“ vorsehen, erheblich abgeschwächt. Gerade weil es sich um sensible Informationen handelt, muss jede Ausnahmeregelung vom Verbotsgrundsatz angemessen sein und genau begründet werden; diese Begründung muss nicht nur eine Auflistung der Zwecke, zu denen bestimmte Arten von sensiblen Daten verarbeitet werden können, und der Umstände, unter denen eine solche Verarbeitung erfolgen kann, umfassen, sondern auch Angaben zur Eigenschaft der betreffenden zur Verarbeitung dieser Daten ermächtigten Verantwortlichen enthalten. Nach Auffassung des EDSB sollte es Bestandteil der zu vereinbarenden Schutzbestimmungen sein, dass sensible Daten an sich kein Faktor sein dürfen, der Ermittlungen auslöst. Sensible Daten könnten unter bestimmten Umständen zur Verfügung gestellt werden, jedoch lediglich als ergänzende Informationen zu einer betroffenen Person, gegen die bereits Ermittlungen eingeleitet wurden. Der Wortlaut des Grundsatzes muss eine erschöpfende Aufzählung dieser Schutzbestimmungen und Bedingungen enthalten.

68.

Wie bereits in den Nummern 55 und 56 dieser Stellungnahme erläutert, muss auf wirksame Weise sichergestellt werden, dass öffentliche Einrichtungen, die personenbezogene Daten verarbeiten, einer Rechenschaftspflicht unterliegen, und das Abkommen muss Garantien dazu enthalten, wie diese Rechenschaftspflicht durchzusetzen ist. Dies ist umso wichtiger, als im Kontext der Strafverfolgung bei der Verarbeitung personenbezogener Daten generell mangelnde Transparenz herrscht. Unter diesem Aspekt bietet die simple Erwähnung des Umstands, dass die öffentlichen Einrichtungen rechenschaftspflichtig sind, ohne dabei die Modalitäten und Folgen dieser Rechenschaftspflicht näher zu erläutern (dies ist in der Anlage zu dem Bericht der Fall), keine hinreichende Garantie. Der EDSB empfiehlt, entsprechende Erläuterungen in den Wortlaut der Übereinkunft aufzunehmen.

69.

Der EDSB spricht sich uneingeschränkt für die Aufnahme einer Bestimmung aus, durch die eine unabhängige und wirksame Beaufsichtigung durch eine oder mehrere öffentliche Aufsichtsbehörden sichergestellt wird. Seiner Auffassung nach sollte klargestellt werden, was genau unter der Unabhängigkeit zu verstehen ist, insbesondere, von welchen Stellen die Aufsichtsbehörden unabhängig sind und welchen Stellen sie unterstellt sind. Hierzu sind Kriterien erforderlich, die einer institutionellen und einer funktionalen Unabhängigkeit in Bezug auf die Exekutiv- und Legislativorgane Rechnung tragen. Der EDSB weist darauf hin, dass es sich hierbei um einen wesentlichen Faktor für die Gewährleistung einer wirksamen Einhaltung der vereinbarten Grundsätze handelt. Die Einwirkungs- und Durchsetzungsbefugnisse der Aufsichtsbehörden sind außerdem im Hinblick auf die vorstehend bereits angesprochene Frage der Rechenschaftspflicht der öffentlichen Stellen, die personenbezogene Daten verarbeiten, von entscheidender Bedeutung. Betroffene Personen sollten deutlich auf das Vorhandensein und die Befugnisse der Aufsichtsbehörden hingewiesen werden, damit sie ihre Rechte wahrnehmen können; dies gilt insbesondere dann, wenn je nach dem Kontext der Verarbeitung mehrere Behörden zuständig sind.

70.

Darüber hinaus empfiehlt der EDSB, dass in einem künftigen Abkommen auch Mechanismen für eine Zusammenarbeit zwischen den Aufsichtsbehörden vorgesehen werden sollten.

71.

Hinsichtlich des Zugangs zu Daten und deren Berichtigung sind im Kontext der Strafverfolgung besondere Garantien erforderlich. Aus diesem Grund begrüßt der EDSB den Grundsatz, dem zufolge Einzelpersonen Zugang zu sie betreffenden personenbezogenen Informationen und das Recht auf „Berichtigung und/oder Streichung“ dieser Informationen gewährt wird/gewährt werden muss. Es besteht jedoch nach wie vor eine gewisse Unsicherheit hinsichtlich des Begriffs der Einzelperson (alle betroffenen Personen müssen geschützt werden, nicht nur die Bürger des betreffenden Staates) und hinsichtlich der Bedingungen, unter denen Einzelpersonen Einspruch gegen die Verarbeitung von sie betreffenden Informationen einlegen können. Es muss eindeutiger festgelegt werden, welches die „geeigneten Fälle“ sind, in denen Einspruch eingelegt oder nicht eingelegt werden kann. Es sollte für betroffene Personen deutlich sein, unter welchen Umständen — abhängig beispielsweise von der Art der Behörde, der Art der Ermittlungen oder von anderen Kriterien — sie ihre Rechte ausüben können.

72.

Überdies sollte für den Fall, dass aus gerechtfertigten Gründen keine direkte Möglichkeit besteht, gegen die Verarbeitung Einspruch einzulegen, eine Möglichkeit zur indirekten Überprüfung bestehen, wobei diese indirekte Überprüfung durch die Behörde vorgenommen werden sollte, die für die Beaufsichtigung der Verarbeitung zuständig ist.

73.

Der EDSB weist einmal mehr darauf hin, wie wichtig tatsächliche Transparenz dafür ist, dass Einzelpersonen ihre Rechte wahrzunehmen können. Außerdem wird durch tatsächliche Transparenz zur allgemeinen Rechenschaftspflicht öffentlicher Behörden, die personenbezogene Daten verarbeiten, beigetragen. Der EDSB befürwortet diesen Grundsatz in der vorgeschlagenen Form und hebt insbesondere hervor, dass eine allgemeine Benachrichtigung und eine individuelle Benachrichtigung der betroffenen Einzelpersonen notwendig ist. In dem in Nummer 9 der Anlage zu dem Bericht enthaltenen Grundsatz-Entwurf wird diesem Umstand Rechnung getragen.

74.

In dem Bericht heißt es jedoch in Kapitel 2 Abschnitt A Buchstabe B („Agreed upon Principles“ — Vereinbarte Grundsätze), dass in den Vereinigten Staaten der Begriff Transparenz — einzeln oder in Kombination — die Veröffentlichung im Federal Register, die individuelle Benachrichtigung oder die Offenlegung im Rahmen eines Gerichtsverfahrens umfassen kann. Es muss klar festgeschrieben sein, dass die Veröffentlichung in einem Amtsblatt an sich noch nicht ausreichend ist, um sicherzustellen, dass eine betroffene Person angemessen benachrichtigt wurde. Der EDSB weist darauf hin, dass nicht nur die Notwendigkeit einer individuellen Benachrichtigung besteht, sondern dass darüber hinaus diese Benachrichtigung außerdem in einer Form und in Formulierungen erfolgen muss, die der betroffenen Person leicht verständlich sind.

75.

Damit eine Einzelperson ihre Rechte wirksam ausüben kann, muss sie die Möglichkeit haben, Beschwerde bei einer unabhängigen Datenschutzbehörde zu erheben und Rechtsmittel bei einem unabhängigen und unparteiischen Gericht einzulegen. Beide Arten des Rechtsbehelfs sollten gleichermaßen zur Verfügung stehen.

76.

Die Möglichkeit der Anrufung einer unabhängigen Datenschutzbehörde muss gegeben sein, da hierdurch in einem Kontext, der Einzelpersonen oftmals sehr undurchsichtig erscheinen mag (nämlich der Kontext der Strafverfolgung), auf flexible und weniger kostspielige Weise Unterstützung gewährt werden kann. Datenschutzbehörden können überdies auch dadurch Unterstützung leisten, dass sie im Namen betroffener Personen deren Recht auf Zugang zu den diese Personen betreffenden personenbezogenen Daten wahrnehmen, wenn diesen Personen aufgrund von Ausnahmeregelungen der Zugang verwehrt wird.

77.

Der Zugang zur Gerichtsbarkeit ist eine weitere unerlässliche Garantie dafür, dass betroffene Personen Rechtsbehelf bei einer Behörde einlegen können, die einem anderen Teil des demokratischen Systems angehört als die öffentlichen Einrichtungen, die mit der Verarbeitung der diese Personen betreffenden Daten befasst sind. Eine solche Möglichkeit der wirksamen Anfechtung vor Gericht hält der Europäische Gerichtshof (24) für „wesentlich“ für „die Gewährung eines effektiven Rechtsschutzes. (…) [Dies] stellt […] einen allgemeinen Grundsatz des Gemeinschaftsrechts dar, der sich aus den gemeinsamen Verfassungstraditionen der Mitgliedstaaten ergibt und in den Artikeln 6 und 13 der Europäischen Menschenrechtskonvention verankert ist.“ Das Recht auf einen wirksamen Rechtsbehelf ist außerdem ausdrücklich in Artikel 47 der Charta der Grundrechte der Europäischen Union sowie in Artikel 22 der Richtlinie 95/46 EG verankert, unbeschadet etwaiger Rechtsbehelfe auf Verwaltungsebene.

78.

Der EDSB begrüßt, dass eine Bestimmung vorgesehen ist, durch die für geeignete Garantien bei der automatisierten Verarbeitung personenbezogener Informationen gesorgt wird. Er stellt fest, dass eine gemeinsame Auffassung in der Frage, was als „bedeutende nachteilige Maßnahmen gegen die relevanten Interessen einer Einzelperson“ einzustufen ist, dazu beitragen würde, die Bedingungen für die Anwendung dieses Grundsatzes eindeutig festzulegen.

79.

Die Bedingungen, die für die Weiterübermittlung von Daten gelten, sind nicht in allen Fällen eindeutig festgeschrieben. Dies gilt insbesondere für Fälle, in denen die Weiterübermittlung im Einklang mit internationalen Regelungen und Abkommen zwischen dem übermittelnden und dem empfangenden Staat erfolgen muss: hier sollte konkret angegeben werden, ob auf Abkommen Bezug genommen wird, die zwischen den beiden Staaten geschlossen wurden, die die erste ursprüngliche Datenübermittlung eingeleitet haben, oder auf Abkommen zwischen den beiden Staaten, die an der Weiterübermittlung von Daten beteiligt sind. Der EDSB ist der Auffassung, dass in jedem Fall Abkommen zwischen den beiden Staaten, die die erste ursprüngliche Datenübermittlung eingeleitet haben, bestehen müssen.

80.

Der EDSB weist außerdem darauf hin, dass der Begriff des „legitimen öffentlichen Interesses“, dessen Vorliegen Voraussetzung für die Weiterübermittlung ist, sehr weit gefasst ist. Ferner ist unklar, was unter den Begriff der öffentlichen Sicherheit fällt; im Kontext der Strafverfolgung scheint eine Ausweitung der Datenübermittlung auf Fälle von Ethikverstößen und auf reglementierte Berufe weder gerechtfertigt noch angemessen.

81.

Der EDSB begrüßt die gemeinsame Arbeit seitens der EU und der US-Regierung im Bereich der Strafverfolgung, in dem der Datenschutz von entscheidender Bedeutung ist. Er möchte dennoch deutlich darauf hinweisen, dass es sich hierbei — insbesondere in Bezug auf den genauen Anwendungsbereich und die Art des Abkommens — um eine komplexe Problemstellung handelt und dass deshalb eine gründliche und eingehende Analyse erforderlich ist. Die Auswirkungen einer transatlantischen Übereinkunft zum Datenschutz sollten sorgfältig im Zusammenhang mit dem bestehenden Rechtsrahmen und den Folgen für die Bürgerinnen und Bürger geprüft werden.

82.

Der EDSB fordert insbesondere in Bezug auf die nachstehenden Punkte eindeutige Abgrenzungen und konkrete Bestimmungen:

83.

Der EDSB weist nachdrücklich darauf hin, dass jegliche Übereilung bei der Ausarbeitung der Grundsätze vermieden werden sollte, da sie zu Lösungen führen könnte, die nicht zufriedenstellend sind und in Bezug auf den Datenschutz eine Wirkung entfalten können, die im Gegensatz zur gewünschten Wirkung steht. Zum gegenwärtigen Zeitpunkt sollte das weitere Vorgehen deshalb darin bestehen, einen Fahrplan im Hinblick auf eine zu einem späteren Zeitpunkt zu schließende Übereinkunft auszuarbeiten.

84.

Überdies fordert der EDSB mehr Transparenz bei der Ausarbeitung der Grundsätze für den Datenschutz. Nur wenn alle interessierten Kreise — und auch das Europäische Parlament — einbezogen werden, kann die Übereinkunft mithilfe einer demokratischen Debatte die erforderliche Unterstützung für die Übereinkunft und ihre Anerkennung erhalten.

—

Agreement between the United States of America and the European Police Office of 6 December 2001, and Supplemental agreement between Europol and the USA on exchange of personal data and related information (Abkommen zwischen den Vereinigten Staaten von Amerika und dem Europäischen Polizeiamt vom 6. Dezember 2001 und Ergänzendes Abkommen zwischen Europol und den USA über den Austausch personenbezogener Daten und zugehöriger Informationen), in englischer Fassung abrufbar auf der Website von Europol;

—

Agreement between the United States of America and Eurojust on judicial cooperation (Abkommen zwischen den Vereinigten Staaten von Amerika und Eurojust zur justiziellen Zusammenarbeit) vom 6. November 2006, englische Fassung abrufbar auf der Website von Eurojust;

—

Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records — PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security (DHS) (PNR-Abkommen von 2007), unterzeichnet in Brüssel am 23. Juli 2007 und in Wahington am 26. Juli 2007, ABl. L 204 vom 4.8.2007, S. 18.

—

Briefwechsel zwischen den Behörden der Vereinigten Staaten und der EU über das Programm zum Aufspüren der Finanzierung des Terrorismus, 28. Juni 2007.

—

Richtlinien zur Regelung von automatisierten personenbezogenen Dateien, verabschiedet von der Generalversammlung der VN am 14. Dezember 1990, engl. Fassung abrufbar unter www.unhchr.ch/html/menu3/b/71.htm

—

Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten des Europarates vom 28. Januar 1981, abrufbar unter http://conventions.coe.int/Treaty/GER/Treaties/Html/108.htm

—

OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data (Richtlinien der OECD über den Schutz der Privatsphäre und den grenzüberschreitenden Datenverkehr) vom 23. September 1980, engl. Fassung abrufbar unter www.oecd.org/document/20/0,3343,en_2649_34255_15589524_1_1_1_1,00.html

—

Entwurf eines Rahmenbeschlusses des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, in der Fassung abrufbar unter http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=en&DosId=193371

—

Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281 vom 23.11.1995, S. 31.