This document is an excerpt from the EUR-Lex website
Document 52021IP0256
European Parliament resolution of 20 May 2021 on the ruling of the CJEU of 16 July 2020 — Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (‘Schrems II’), Case C-311/18 (2020/2789(RSP))
Entschließung des Europäischen Parlaments vom 20. Mai 2021 zu dem Urteil des Gerichtshofs der Europäischen Union vom 16. Juli 2020 — Data Protection Commissioner gegen Facebook Ireland Limited und Maximilian Schrems („Schrems II“) — Rechtssache C-311/18 (2020/2789(RSP))
Entschließung des Europäischen Parlaments vom 20. Mai 2021 zu dem Urteil des Gerichtshofs der Europäischen Union vom 16. Juli 2020 — Data Protection Commissioner gegen Facebook Ireland Limited und Maximilian Schrems („Schrems II“) — Rechtssache C-311/18 (2020/2789(RSP))
ABl. C 15 vom 12.1.2022, p. 176–183
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
12.1.2022 |
DE |
Amtsblatt der Europäischen Union |
C 15/176 |
P9_TA(2021)0256
Data Protection Commissioner gegen Facebook Ireland Limited und Maximillian Schrems („Schrems II“) — Rechtssache C-311/18
Entschließung des Europäischen Parlaments vom 20. Mai 2021 zu dem Urteil des Gerichtshofs der Europäischen Union vom 16. Juli 2020 — Data Protection Commissioner gegen Facebook Ireland Limited und Maximilian Schrems („Schrems II“) — Rechtssache C-311/18 (2020/2789(RSP))
(2022/C 15/18)
Das Europäische Parlament,
|
— |
unter Hinweis auf die Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“), insbesondere auf die Artikel 7, 8, 16, 47 und 52, |
|
— |
unter Hinweis auf das Urteil des Gerichtshofs der Europäischen Union vom 16. Juli 2020 in der Rechtssache C-311/18, Data Protection Commissioner gegen Facebook Ireland Limited und Maximilian Schrems („Schrems II“) (1), |
|
— |
unter Hinweis auf das Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015 in der Rechtssache C-362/14, Maximillian Schrems gegen Data Protection Commissioner („Schrems I“) (2), |
|
— |
unter Hinweis auf das Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2020 in der Rechtssache C-623/17, Privacy International gegen Secretary of State for Foreign and Commonwealth Affairs u. a. (3), |
|
— |
unter Hinweis auf seine Entschließung vom 26. Mai 2016 zur transatlantischen Datenübermittlung (4), |
|
— |
unter Hinweis auf seine Entschließung vom 6. April 2017 zur Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (5), |
|
— |
unter Hinweis auf seine Entschließung vom 5. Juli 2018 zur Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (6), |
|
— |
unter Hinweis auf seine Entschließung vom 25. Oktober 2018 zu der Nutzung der Daten von Facebook-Nutzern durch Cambridge Analytica und den Auswirkungen auf den Datenschutz (7), |
|
— |
unter Hinweis auf den Beschluss 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (Bekannt gegeben unter Aktenzeichen C(2010) 593) (8), |
|
— |
unter Hinweis auf den Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (Bekannt gegeben unter Aktenzeichen C(2016) 4176) (9), |
|
— |
unter Hinweis auf seine Entschließung vom 26. November 2020 zur Überprüfung der Handelspolitik der EU (10), |
|
— |
unter Hinweis auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (11), insbesondere Kapitel V, |
|
— |
unter Hinweis auf den Vorschlag der Kommission für eine Verordnung über Privatsphäre und elektronische Kommunikation (COM(2017)0010), den vom Plenum des Europäischen Parlaments am 25. Oktober 2017 bestätigten Beschluss über die Aufnahme von interinstitutionellen Verhandlungen und die am 10. Februar 2021 angenommene allgemeine Ausrichtung des Rates (6087/21), |
|
— |
unter Hinweis auf die Empfehlungen 01/2020 des Europäischen Datenschutzausschusses (EDSA) zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten und die Empfehlungen 02/2020 des EDSA zu den wesentlichen europäischen Garantien in Bezug auf Überwachungsmaßnahmen sowie auf die Erklärung des EDSA vom 19. November 2020 zur ePrivacy-Verordnung und zur künftigen Rolle der Aufsichtsbehörden und des EDSA, |
|
— |
gestützt auf Artikel 132 Absatz 2 seiner Geschäftsordnung, |
|
A. |
in der Erwägung, dass die Möglichkeit, personenbezogene Daten über Grenzen hinweg zu übermitteln, ein treibender Motor für Innovation, Produktivität und wirtschaftliche Wettbewerbsfähigkeit sein kann; in der Erwägung, dass dies im Lichte der gegenwärtigen COVID-19-Pandemie umso wichtiger ist, da solche Übermittlungen wesentlich dazu beitragen, die Fortführung der Geschäfts- und Regierungstätigkeiten sowie der sozialen Interaktionen sicherzustellen; in der Erwägung, dass sie ebenso einen Beitrag zu Strategien für die Aufhebung der Maßnahmen, die zur Bewältigung der COVID-19-Pandemie ergriffen wurden, und zur wirtschaftlichen Erholung leisten können; |
|
B. |
in der Erwägung, dass der Gerichtshof der Europäischen Union (EuGH) in seinem Urteil in der Rechtssache „Schrems I“ die „Safe Harbour“-Entscheidung der Kommission auf der Grundlage seiner Feststellungen für ungültig erklärt und darauf hingewiesen hat, dass ein willkürlicher Zugriff der Geheimdienste auf den Inhalt der elektronischen Kommunikation eine wesentliche Verletzung des in Artikel 7 der Charta vorgesehenen Rechts auf Achtung der Kommunikation darstellt; |
|
C. |
in der Erwägung, dass der EuGH im Urteil in der Rechtssache „Schrems II“ festgestellt hat, dass die Vereinigten Staaten keine hinreichenden Rechtsbehelfe für Nicht-US-Bürger zum Schutz vor Massenüberwachung vorsehen und dass dies eine wesentliche Verletzung des in Artikel 47 der Charta vorgesehenen Rechts auf einen wirksamen Rechtsbehelf darstellt; |
|
D. |
in der Erwägung, dass die Datenschutz-Grundverordnung (DSGVO) für alle Unternehmen gilt, die personenbezogene Daten von betroffenen Personen in der Union verarbeiten, wenn diese Verarbeitungstätigkeiten im Zusammenhang damit stehen, dass diesen Personen in der Union Waren oder Dienstleistungen angeboten werden oder ihr Verhalten, sofern es in der Union erfolgt, beobachtet wird; |
|
E. |
in der Erwägung, dass Daten von Unionsbürgern, die von Telekommunikationsbetreibern und Unternehmen gespeichert und übermittelt werden, eine wichtige Ressource darstellen, die zu den strategischen Interessen der Union beiträgt; |
|
F. |
in der Erwägung, dass Rasterfahndungen durch staatliche Akteure dem Vertrauen der europäischen Bürger, Regierungen und Unternehmen in digitale Dienste und damit in die digitale Wirtschaft schaden; |
|
G. |
in der Erwägung, dass die Ressourcen von Verbraucherschutz- und sonstigen Organisationen der Zivilgesellschaft begrenzt sind und die Durchsetzung der Datenschutzrechte und -vorschriften nicht allein auf ihren Schultern lasten darf; in der Erwägung, dass das Gewirr nationaler Verfahren und Gepflogenheiten den in der DSGVO festgelegten Mechanismus für die Zusammenarbeit bei der Bearbeitung grenzüberschreitender Beschwerden vor Probleme stellt; in der Erwägung, dass es an klaren Fristen mangelt, sich Verfahren grundsätzlich hinziehen, Aufsichtsbehörden nicht über ausreichend Mittel verfügen, in einigen Fällen die Bereitschaft zur Zusammenarbeit zu wünschen übrig lässt oder bereits zugewiesene Mittel nicht effizient eingesetzt werden; in der Erwägung, dass Beschwerden über mutmaßliche Verstöße von großen Technologieunternehmen derzeit in den Händen einer einzigen nationalen Behörde konzentriert sind, was zu Durchsetzungsengpässen geführt hat; |
|
H. |
in der Erwägung, dass die Verfahren, die diesem Urteil des EuGH vorausgingen, überdies verdeutlichen, wie schwierig es für betroffene Personen und Verbraucher ist, ihre Rechte geltend zu machen, was sie wiederum davon abhält, ihre Rechte vor dem irischen Datenschutzbeauftragten geltend zu machen; |
|
I. |
in der Erwägung, dass das Europäische Parlament in seiner Entschließung vom 25. Oktober 2018 darauf hingewiesen hat, dass die Vereinigten Staaten die Frist bis zur vollständigen Einhaltung des Datenschutzschilds, die am 1. September 2018 abgelaufen ist, nicht eingehalten haben, und die Kommission bereits aufgefordert hat, den Datenschutzschild so lange auszusetzen, bis die Behörden der Vereinigten Staaten dessen Bestimmungen einhalten; |
|
J. |
in der Erwägung, dass die in den Datenschutzvorschriften der EU verankerten Rechte der betroffenen Personen geachtet werden sollten, gleich welche Risiken ihnen durch die Verarbeitung ihrer Daten entstehen, und dass dies auch für die Übermittlung personenbezogener Daten in Drittländer gelten sollte; in der Erwägung, dass es stets Aufgabe der für die Verarbeitung Verantwortlichen sein sollte, dafür Sorge zu tragen, dass die Datenschutzvorschriften eingehalten werden, und dies für jegliche Verarbeitung von Daten nachzuweisen, gleich um welche Art der Verarbeitung es sich handelt, in welchem Rahmen sie erfolgt, welchem Zweck sie dient und welche Risiken sie für die betroffenen Personen birgt; |
|
K. |
in der Erwägung, dass bislang trotz der bedeutenden Entwicklungen in der Rechtsprechung des EuGH in den vergangenen fünf Jahren und der wirksamen Anwendung der DSGVO seit 25. Mai 2018 vonseiten der Aufsichtsbehörden keine Beschlüsse gefasst wurden, um entsprechend dem Kohärenzverfahren der DSGVO Abhilfemaßnahmen im Zusammenhang mit der Übermittlung personenbezogener Daten zu ergreifen; in der Erwägung, dass vonseiten der nationalen Aufsichtsbehörden keine wesentlichen Beschlüsse über die Verhängung von Abhilfemaßnahmen oder Geldbußen im Zusammenhang mit der Übermittlung personenbezogener Daten in Drittländer gefasst wurden; |
|
L. |
in der Erwägung, dass US-Präsident Biden an seinem ersten Tag im Amt den stellvertretenden beigeordneten Sekretär für Dienstleistungen im US-Handelsministerium ernannt hat, der der Chefunterhändler für die Übermittlung von Geschäftsdaten in den Verhandlungen mit der EU sein wird; in der Erwägung, dass die Kandidatin des Präsidenten für das Amt des US-Handelsministers, Gina Raimondo, den zügigen Abschluss der Verhandlungen über ein Nachfolgeabkommen für den Datenschutzschild in ihrer Anhörung vor dem Senat als „oberste Priorität“ bezeichnet hat; |
Allgemeine Bemerkungen
|
1. |
nimmt das Urteil des EuGH vom 16. Juli 2020 zur Kenntnis, in dem der Gerichtshof die Gültigkeit des Beschlusses 2010/87/EU über Standardvertragsklauseln, die das am häufigsten verwendete Instrument für internationale Datenübermittlungen sind, grundsätzlich bestätigt hat; nimmt ferner zur Kenntnis, dass der Gerichtshof den Durchführungsbeschluss (EU) 2016/1250 der Kommission über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig erklärt hat; stellt fest, dass bislang kein einziger tragfähiger Mechanismus, mit dem die rechtmäßige Übermittlung personenbezogener Geschäftsdaten zwischen der EU und den Vereinigten Staaten sichergestellt werden soll, einer Anfechtung vor dem EuGH standgehalten hat; |
|
2. |
nimmt zur Kenntnis, dass der EuGH zwar festgestellt hat, dass Standardvertragsklauseln wirksam gewährleisten, dass das in der Union vorgesehene Schutzniveau eingehalten wird, er jedoch festgelegt hat, dass der in der Europäischen Union ansässige Verantwortliche/Auftragsverarbeiter und der Empfänger der Übermittlung personenbezogener Daten verpflichtet sind, vorab zu prüfen, ob im betreffenden Drittland das unionsrechtlich geforderte Schutzniveau eingehalten wird; weist darauf hin, dass dazu auch gehört, die Rechtsordnung betreffend den Zugang der Behörden zu personenbezogenen Daten zu beurteilen, um sicherzustellen, dass die betroffenen Personen und ihre übermittelten Daten keinen Überwachungsprogrammen der Vereinigten Staaten ausgesetzt sind, mit denen personenbezogene Daten gesammelt erhoben werden können; weist darauf hin, dass der EuGH entschieden hat, dass die Verantwortlichen oder Auftragsverarbeiter verpflichtet sind, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten, wenn der Empfänger die Standardvertragsklauseln nicht einhalten kann; stellt jedoch fest, dass viele Unternehmen, insbesondere KMU, nicht über das nötige Wissen oder die erforderlichen Kapazitäten verfügen, um eine solche Überprüfung vorzunehmen, was zu Betriebsstörungen führen kann; |
|
3. |
ist der Ansicht, dass das Augenmerk im Urteil des EuGH zwar insbesondere auf dem Schutzniveau liegt, das betroffenen Personen in der EU gewährt wird, deren Daten im Rahmen des Datenschutzschilds in die Vereinigten Staaten übermittelt wurden, das Urteil jedoch auch Auswirkungen auf Angemessenheitsbeschlüsse in Bezug auf andere Drittländer, einschließlich des Vereinigten Königreichs, hat; bekräftigt, dass es Rechtsklarheit und Rechtssicherheit braucht, da die Möglichkeit, personenbezogene Daten sicher über Grenzen hinweg zu übermitteln, für Einzelpersonen im Hinblick auf den Schutz ihrer Daten und ihre entsprechenden Rechte, für alle Arten von Einrichtungen, die international Waren und Dienstleistungen anbieten, und für Unternehmen im Hinblick auf die Rechtsordnung, der sie unterliegen, zunehmend an Bedeutung gewonnen hat; hebt jedoch hervor, dass bestehende Angemessenheitsbeschlüsse so lange gültig bleiben, bis der EuGH sie aufhebt, ersetzt oder für ungültig erklärt; |
|
4. |
bedauert, dass der irische Datenschutzbeauftragte Maximilian Schrems und Facebook vor dem Irish High Court verklagt hat, anstatt eine Entscheidung im Rahmen seiner in Artikel 4 des Beschlusses 2010/87/EU und Artikel 58 DSGVO genannten Befugnisse zu treffen; weist jedoch darauf hin, dass der irische Datenschutzbeauftragte einen Rechtsweg beschritten hat, demzufolge Datenschutzbehörden Zweifel an der Gültigkeit eines Durchführungsbeschlusses der Kommission vor den nationalen Gerichten geltend machen können, damit diese dem EuGH die Sache zur Vorabentscheidung vorlegen; äußert sich zutiefst besorgt darüber, dass mehrere Beschwerden wegen Verstößen gegen die DSGVO, die am 25. Mai 2018, dem Tag, ab dem die DSGVO zur Anwendung kam, eingereicht wurden, und andere Beschwerden von Datenschutzorganisationen und Verbraucherverbänden vom irischen Datenschutzbeauftragten, der für diese Fälle federführend zuständig ist, noch immer nicht abschließend bearbeitet wurden; bringt seine Besorgnis darüber zum Ausdruck, dass der irische Datenschutzbeauftragte „unverzüglich“ nach Artikel 60 Absatz 3 DSGVO entgegen der Absicht des Gesetzgebers als „mehrere Monate“ auslegt; bringt weiter seine Besorgnis darüber zum Ausdruck, dass die Aufsichtsbehörden keine vorbeugenden Maßnahmen im Sinne von Artikel 61 und Artikel 66 DSGVO ergriffen haben, um den irischen Datenschutzbeauftragten anzuweisen, seinen Verpflichtungen im Rahmen der DSGVO nachzukommen; bringt ferner seine Besorgnis darüber zum Ausdruck, dass der irische Datenschutzbeauftragte nicht genügend Technologiefachkräfte beschäftigt, die noch dazu mit veralteten Systemen arbeiten; bedauert die Folgen des vergeblichen Versuchs des irischen Datenschutzbeauftragten, die Gerichtskosten auf die beklagte Partei abzuwälzen, was eine enorme Abschreckungswirkung zur Folge gehabt hätte; fordert die Kommission auf, ein Vertragsverletzungsverfahren gegen Irland einzuleiten, da es die Datenschutz-Grundverordnung nicht ordnungsgemäß durchsetzt; |
|
5. |
ist besorgt über die unzureichende Durchsetzung der DSGVO, insbesondere im Bereich internationaler Übermittlungen; bringt seine Besorgnis darüber zum Ausdruck, dass die nationalen Aufsichtsbehörden der Übermittlung personenbezogener Daten in Drittländer trotz der Entwicklungen in der Rechtsprechung des EuGH in den vergangenen fünf Jahren nicht ausreichend Vorrang einräumen und diesbezüglich insgesamt zu wenige Kontrollen vornehmen; bedauert, dass es in dieser Hinsicht an einschlägigen Beschlüssen und Abhilfemaßnahmen mangelt, und fordert den EDSA und die nationalen Aufsichtsbehörden nachdrücklich auf, die Übermittlung personenbezogener Daten in ihre Strategien zur Prüfung, Einhaltung und Durchsetzung einzubinden; hält es für geboten, harmonisierte verbindliche Verwaltungsverfahren für die Vertretung von betroffenen Personen und die Zulässigkeit einzuführen, damit für Rechtssicherheit gesorgt ist und grenzüberschreitende Beschwerden bearbeitet werden können; |
|
6. |
nimmt zur Kenntnis, dass die Kommission einen Entwurf eines Durchführungsbeschlusses über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer vorgelegt hat; fordert den EDSA nachdrücklich auf, weitere Leitlinien für internationale Datenübermittlungen für Unternehmen, insbesondere für KMU, zu veröffentlichen, die auch eine Checkliste für die Beurteilung von Datenübermittlungen, Instrumente zur Beurteilung, ob Regierungen eine Befugnis zum Zugriff auf Daten haben oder auf Daten zugreifen können, sowie Informationen über die zusätzlichen Maßnahmen umfasst, die für Übermittlungen unter Anwendung von Standardvertragsklauseln erforderlich sind; fordert den EDSA ferner auf, Beiträge von unabhängigen Wissenschaftlern in Bezug auf möglicherweise entgegenstehende nationale Rechtsvorschriften bedeutender Handelspartner einzuholen; |
|
7. |
weist darauf hin, dass Datenübermittlungen, die außerhalb des Rahmens von Angemessenheitsbeschlüssen oder anderen Instrumenten erfolgen, die hinreichende Garantien bieten, sich aber auf Ausnahmeregelungen für bestimmte Situationen gemäß Artikel 49 DSGVO stützen, im Einklang mit den Leitlinien 2/2018 des EDSA (12) zu den Ausnahmen nach Artikel 49 der Verordnung (EU) 2016/679 eng ausgelegt werden müssen, damit die Ausnahme nicht zur Regel wird; stellt jedoch fest, dass nach der Ungültigerklärung des EU-US-Datenschutzschilds die transatlantischen Datenströme für digitale Werbezwecke aufrechterhalten wurden, obwohl Zweifel an der Rechtsgrundlage für die Übermittlung zu Werbezwecken bestehen; fordert den EDSA und die Datenschutzbehörden auf, für eine kohärente Auslegung in Bezug auf die Anwendung und Kontrolle solcher Ausnahmen im Einklang mit den Leitlinien des EDSA zu sorgen; |
|
8. |
begrüßt die internationalen Gespräche über die grenzüberschreitende Übermittlung personenbezogener Daten im Einklang mit der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung (13); betont, dass die Datenschutz-Grundverordnung, die Richtlinie zum Datenschutz im Rahmen der Strafverfolgung, die Vorschriften zum Datenschutz im Internet und weitere bestehende oder künftige Maßnahmen zum Schutz der Grundrechte auf Privatsphäre und auf Schutz personenbezogener Daten nicht durch internationale Handelsabkommen unterlaufen oder zum Gegenstand solcher Abkommen werden dürfen; fordert die Kommission nachdrücklich auf, am horizontalen Standpunkt der EU aus dem Jahr 2018 (14) festzuhalten und nicht davon abzuweichen und die einschlägigen handelsrechtlichen Verpflichtungen von Drittländern bei der Bewertung ihrer Eignung, auch in Bezug auf die Weiterübermittlung von Daten, zu berücksichtigen; |
Standardvertragsklauseln
|
9. |
nimmt den Entwurf des Durchführungsbeschlusses und den Entwurf von Standardschutzklauseln der Kommission zur Kenntnis; begrüßt, dass die Kommission eine öffentliche Konsultation zu diesem Entwurf durchgeführt und dabei Rückmeldungen von interessierten Akteuren erhalten hat; stellt fest, dass der EDSA und der EDSB in einer gemeinsamen Stellungnahme vom 15. Januar 2021 (15) die Entwürfe von Standardvertragsklauseln begrüßt, jedoch weitere Verbesserungen vorgeschlagen haben; geht davon aus, dass die Kommission den erhaltenen Rückmeldungen Rechnung trägt, bevor sie das Ausschussverfahren in die Wege leitet; |
|
10. |
weist erneut darauf hin, dass eine große Anzahl von KMU auf Standardvertragsklauseln zurückgreift; betont, dass Unternehmen jeder Art dringend klare Leitlinien und Hilfestellungen benötigen, damit im Hinblick auf die Anwendung und Auslegung des Gerichtsurteils für Rechtssicherheit gesorgt wird; |
|
11. |
nimmt die Empfehlungen 01/2020 des EDSA (16) zu Maßnahmen· zur· Ergänzung· von· Übermittlungstools· zur· Gewährleistung· des· unionsrechtlichen· Schutzniveaus· für· personenbezogene· Daten· zur Kenntnis; begrüßt, dass der EDSA eine öffentliche Konsultation zu seinen Empfehlungen durchgeführt hat; ist besorgt angesichts möglicher Konflikte zwischen diesen Empfehlungen und dem Vorschlag der Kommission für Standardvertragsklauseln; ersucht die Kommission und den EDSA, im Hinblick auf die Letztfassung ihrer jeweiligen Dokumente zusammenzuarbeiten, um im Anschluss an das Urteil des EuGH für Rechtssicherheit zu sorgen; ist der Ansicht, dass die Kommission den Leitlinien des EDSA folgen sollte; |
|
12. |
begrüßt insbesondere die Empfehlungen des EDSA, wonach sich die für die Verarbeitung Verantwortlichen bei der Beurteilung, ob eine Rechtsvorschrift oder die Praxis eines Drittstaats die Wirksamkeit der geeigneten Garantien in den Übermittlungsinstrumenten für die betreffenden Übermittlungen beeinträchtigen könnte, auf objektive Faktoren stützen müssen, und nicht auf subjektive Faktoren wie etwa die Wahrscheinlichkeit, dass Behörden in einer nicht mit EU-Standards kompatiblen Weise Zugang zu den Daten erhalten, was vom EuGH wiederholt als unzulässig eingestuft wurde; fordert die Kommission in diesem Zusammenhang auf, dafür Sorge zu tragen, dass ihr Vorschlag für Standardvertragsklauseln in vollem Umfang mit der einschlägigen Rechtsprechung des EuGH übereinstimmt; |
|
13. |
vertritt die Ansicht, dass es entscheidend ist, dass sich EU-Unternehmen, die personenbezogene Daten an Drittstaaten übermitteln, auf solide Mechanismen verlassen können, die dem EuGH-Urteil genügen; stellt in diesem Zusammenhang fest, dass der derzeitige Vorschlag der Kommission für ein Muster für Standardvertragsklauseln allen einschlägigen Empfehlungen des EDSA gebührend Rechnung tragen sollte; befürwortet die Schaffung eines Instrumentariums von ergänzenden Maßnahmen, die zur Auswahl stehen, z. B. Sicherheits- und Datenschutzzertifizierungen, Verschlüsselungsgarantien und Pseudonymisierung, die von den Aufsichtsbehörden akzeptiert werden, sowie öffentlich zugängliche Ressourcen zu den einschlägigen Rechtsvorschriften der wichtigsten Handelspartner der Union; |
|
14. |
weist darauf hin, dass für die Verarbeitung Verantwortliche, die in den Anwendungsbereich des US Foreign Intelligence Surveillance Act (FISA) fallen, gemäß den Standardvertragsklauseln keine personenbezogenen Daten aus der Union übermitteln dürfen, da ein hohes Risiko der Massenüberwachung besteht; erwartet, dass, wenn nicht rasch eine Vereinbarung mit den USA getroffen wird, mit der ein dem nach der DSGVO und der Charta der Sache nach gleichwertiges und damit angemessenes Schutzniveau gewährleistet wird, die fraglichen Übermittlungen solange ausgesetzt werden, bis eine Lösung gefunden wird; unterstreicht die Feststellung des EuGH, dass weder Section 702 des FISA noch die Executive Order 12333 (E.O. 12333) in Verbindung mit der „Presidential Policy Directive 28“ (PPD-28) mit den Mindestgarantien korrelieren, die sich aus dem Grundsatz der Verhältnismäßigkeit im EU-Recht ergeben, so dass die auf diesen Bestimmungen beruhenden Überwachungsprogramme nicht als auf das unbedingt erforderliche Maß beschränkt angesehen werden können; betont, dass die im Urteil des Gerichtshofs festgestellten Probleme auf nachhaltige Weise angegangen werden müssen, um einen hinreichenden Schutz der personenbezogenen Daten betroffener Personen sicherzustellen; weist erneut darauf hin, dass ein zwischen Unternehmen geschlossener Vertrag keinen Schutz vor dem willkürlichen Zugriff von Nachrichtendiensten auf den Inhalt elektronischer Kommunikation oder einen hinreichenden Rechtsschutz gegen eine Massenüberwachung bieten kann; betont, dass hierfür eine Reform der US-Überwachungsgesetze und -praktiken erforderlich ist, damit sichergestellt ist, dass der Zugang der US-Sicherheitsbehörden zu aus der EU übermittelten Daten auf das erforderliche Maß beschränkt und verhältnismäßig ist und dass betroffene Personen aus der EU Zugang zu effektiven Rechtsbehelfen vor US-Gerichten haben; |
|
15. |
hebt hervor, dass die Verhandlungsmacht und die rechtlichen und finanziellen Möglichkeiten europäischer KMU sowie gemeinnütziger Organisationen und Vereine begrenzt sind, von denen erwartet wird, dass sie im Rahmen der ihnen auferlegten Selbstbewertung der Angemessenheit des Datenschutzes in Drittländern eine Bewertung der komplexen rechtlichen Regelungen verschiedener Drittländer vornehmen; fordert die Kommission und den EDSA nachdrücklich auf, Leitlinien für die praktische Anwendung zuverlässiger zusätzlicher Maßnahmen, insbesondere für KMU, bereitzustellen; |
|
16. |
fordert die Datenschutzbehörden nachdrücklich auf, wie im EuGH-Urteil hervorgehoben wird, ihren Verpflichtungen nachzukommen, um eine ordnungsgemäße und zügige Durchsetzung der DSGVO sicherzustellen, indem sie die Verwendung von Standardvertragsklauseln genau überwachen; fordert die Datenschutzbehörden auf, Unternehmen bei der Einhaltung der Rechtsprechung des Gerichtshofs zu unterstützen; fordert die Datenschutzbehörden nachdrücklich auf, von den in Artikel 58 DSGVO genannten Untersuchungs- und Abhilfebefugnissen Gebrauch zu machen, wenn Datenexporteure personenbezogene Daten übermitteln, obwohl in dem Bestimmungsdrittland Rechtsvorschriften gelten, die den Datenimporteur daran hindern, die Standardvertragsklauseln einzuhalten, und keine wirksamen ergänzenden Maßnahmen vorhanden sind; weist auf die Feststellung des EuGH hin, dass jede Aufsichtsbehörde „verpflichtet [ist], […] ihre Aufgabe zu erfüllen, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen“; |
Datenschutzschild
|
17. |
nimmt zur Kenntnis, dass der EuGH feststellte, dass der EU-US-Datenschutzschild im Wesentlichen kein gleichwertiges und damit angemessenes Datenschutzniveau wie das der Datenschutz-Grundverordnung und der Charta der Grundrechte der Europäischen Union gewährleistet, insbesondere, weil der Massenzugriff der US-Behörden auf personenbezogene Daten, die im Rahmen des Datenschutzschildes übermittelt werden, nicht den Grundsätzen der Erforderlichkeit und Verhältnismäßigkeit entsprechen und weil betroffene Personen in der EU keine Rechte haben, die sie vor US-Gerichten oder einer anderen unabhängigen Instanz, die als Gericht fungiert, gegenüber den US-Behörden einklagen können; erwartet, dass sich die derzeitige US-Regierung stärker für die Einhaltung ihrer Verpflichtungen im Rahmen möglicher künftiger Übermittlungsmechanismen einsetzt als frühere Regierungen, die ein mangelndes politisches Engagement für die Einhaltung und Durchsetzung der Safe-Harbor-Vorschriften und die Durchsetzung der Vorschriften des Datenschutzschilds gezeigt haben; |
|
18. |
weist darauf hin, dass einige Unternehmen als Reaktion auf das Urteil in der Rechtssache „Schrems II“ ihre Datenschutzerklärungen und Verträge mit Dritten, die sich auf ihre Verpflichtungen im Rahmen des Datenschutzschilds beziehen, hastig überarbeitet haben, ohne die besten Maßnahmen für eine rechtmäßige Übermittlung der Daten zu ermitteln; |
|
19. |
bedauert, dass die Kommission trotz der zahlreichen Forderungen des Parlaments in seinen Entschließungen von 2016, 2017 und 2018, alle erforderlichen Maßnahmen zu ergreifen, um den Datenschutzschild uneingeschränkt mit der DSGVO und der Charta in Einklang zu bringen, keine Schritte im Sinne von Artikel 45 Absatz 5 DSGVO unternommen hat; bedauert, dass die Kommission die Forderungen des Parlaments ignoriert hat, den Datenschutzschild solange auszusetzen, bis die US-Behörden seine Bestimmungen einhalten, wobei das Parlament auch auf die Gefahr hingewiesen hatte, dass der Datenschutzschild vom EuGH für ungültig erklärt werden kann; erinnert daran, dass die die Artikel-29-Datenschutzgruppe und der EDSA wiederholt auf Probleme bei der Funktionsweise des Datenschutzschilds hingewiesen haben; |
|
20. |
bedauert, dass die Kommission den Beziehungen zu den USA Vorrang vor den Interessen der EU-Bürger eingeräumt und damit die Aufgabe, das Unionsrecht zu verteidigen, den einzelnen Bürgern überlassen hat; |
Massenüberwachung und der Rechtsrahmen
|
21. |
bestärkt die Kommission darin, den Einsatz von Massenüberwachungstechnologien in den USA und anderen Drittländern, die Gegenstand einer Angemessenheitsfeststellung sind oder sein könnten, wie das Vereinigte Königreich, proaktiv zu überwachen; fordert die Kommission nachdrücklich auf, für Länder, in denen die Gesetze und Programme zur Massenüberwachung entweder dem Wortlaut oder dem Sinn nach nicht den Kriterien des EuGH entsprechen, keine Angemessenheitsbeschlüsse zu erlassen; |
|
22. |
nimmt zur Kenntnis, dass der California Consumer Privacy Act (CCPA) vor Kurzem in Kraft getreten ist; nimmt die diesbezüglichen Diskussionen und Legislativvorschläge auf Bundesebene zur Kenntnis; weist darauf hin, dass dies zwar Schritte in die richtige Richtung sind, dass jedoch weder der CCPA noch einer der bisherigen Vorschläge auf Bundesebene die Anforderungen der DSGVO für eine Angemessenheitsfeststellung erfüllen; fordert den US-amerikanischen Gesetzgeber nachdrücklich auf, Rechtsvorschriften zu erlassen, die diesen Anforderungen entsprechen, und auf diese Weise dazu beizutragen, dass das US-Recht ein Schutzniveau bietet, das dem derzeit in der EU garantierten Niveau der Sache nach gleichwertig ist; |
|
23. |
weist darauf hin, dass solche Gesetze zum Schutz von personenbezogenen Daten von Verbrauchern und zum Schutz der Privatsphäre allein nicht ausreichen, um die vom Gerichtshof festgestellten Missstände bezüglich der Massenüberwachung durch US-Geheimdienste und des unzureichenden Zugangs zu Rechtsbehelfen zu beheben; fordert den US-amerikanischen Gesetzgeber auf, Artikel 702 des FISA zu ändern, und den Präsidenten der USA, die Executive Order 12333 und die Presidential Policy Directive 28 zu ändern, insbesondere im Hinblick auf die Massenüberwachung und die Gewährung des gleichen Schutzniveaus für Bürger der EU und der USA; fordert die USA auf, Mechanismen bereitzustellen, mit denen sichergestellt wird, dass Einzelpersonen (zeitverzögert) Benachrichtigungen erhalten und in der Lage sind, eine unangemessene Überwachung gemäß Artikel 702 und EO 12333 anzufechten, sowie einen gesetzlich verankerten Mechanismus einzurichten, mit dem sichergestellt wird, dass Nicht-US-Bürger über den Judicial Redress Act hinaus durchsetzbare Rechte haben; |
|
24. |
erinnert daran, dass die Mitgliedstaaten im Rahmen des Programms zur Fahndung nach Finanzquellen des Terrorismus (TFTP), des Abkommens zwischen der EU und den USA über Fluggastdatensätze (Passenger Name Records — PNR) und des automatischen Austauschs von Steuerinformationen über zwischenstaatliche Abkommen zur Umsetzung des Foreign Tax Compliance Act (FATCA) weiterhin personenbezogene Daten mit den Vereinigten Staaten austauschen, was sich nachteilig auf „zufällige Amerikaner“ auswirkt, wie in der Entschließung des Parlaments vom 5. Juli 2018 zu den nachteiligen Auswirkungen des US-Gesetzes über die Steuerehrlichkeit bezüglich Auslandskonten (FATCA) auf EU-Bürger und insbesondere „zufällige Amerikaner“ (17) erwähnt wird; weist darauf hin, dass die USA weiterhin Zugang zu den Strafverfolgungsdatenbanken der Mitgliedstaaten haben, die Fingerabdrücke und DNA-Daten von EU-Bürgern enthalten; fordert die Kommission auf, die Auswirkungen der Urteile in den Rechtssachen „Schrems I und II“ auf diesen Datenaustausch zu analysieren und dem Ausschuss für bürgerliche Freiheiten, Justiz und Inneres bis zum 30. September 2021 ihre Analyse öffentlich und schriftlich vorzulegen und zu erläutern, auf welche Weise sie den Datenaustausch mit den Urteilen in Einklang zu bringen gedenkt; |
|
25. |
fordert die Kommission ferner auf, die Situation von Cloud-Anbietern, die unter Abschnitt 702 des FISA fallen und Daten über Standardvertragsklauseln übermitteln, zu analysieren; fordert die Kommission außerdem auf, die Auswirkungen auf die gemäß dem Rahmenabkommen zwischen der EU und den USA gewährten Rechte, einschließlich des Rechts auf gerichtlichen Rechtsbehelf, zu analysieren, da die USA dieses Recht ausdrücklich nur Bürgern bestimmter Länder gewähren, die die Übermittlung von Daten an die USA zu kommerziellen Zwecken gestatten; hält es für nicht hinnehmbar, dass die Kommission ihre Ergebnisse der ersten gemeinsamen Überprüfung des Rahmenabkommens ein Jahr nach Ablauf der Frist immer noch nicht veröffentlicht hat, und fordert die Kommission auf, das Abkommen erforderlichenfalls unverzüglich mit den durch die Urteile des EuGH gesetzten Standards in Einklang zu bringen; |
|
26. |
hält es angesichts der beträchtlichen Mängel beim Schutz der an die Vereinigten Staaten übermittelten Daten von EU-Bürgern für notwendig, Investitionen in europäische Instrumente zur Vorratsdatenspeicherung (z. B. Cloud-Dienste) zu unterstützen, um die Abhängigkeit der EU von Drittländern in Bezug auf Speicherkapazitäten zu verringern und die strategische Autonomie der EU im Bereich der Datenverwaltung und des Datenschutzes zu stärken; |
Angemessenheitsbeschlüsse
|
27. |
fordert die Kommission auf, sämtliche erforderlichen Maßnahmen zu ergreifen, um dafür Sorge zu tragen, dass jeder neue Angemessenheitsbeschluss betreffend die USA in vollem Umfang mit der Verordnung (EU) 2016/679, mit der Charta und mit jedem Aspekt der Urteile des EuGH in Einklang steht; weist erneut darauf hin, dass Angemessenheitsrahmen die Wirtschaftstätigkeit erheblich erleichtern, insbesondere für KMU und Start-up-Unternehmen, die im Gegensatz zu großen Unternehmen häufig nicht über die notwendigen finanziellen, rechtlichen und technischen Kapazitäten verfügen, um andere Übermittlungsinstrumente nutzen zu können; fordert die Mitgliedstaaten auf, Vereinbarungen über den Verzicht auf Spionagetätigkeiten mit den USA zu schließen; fordert die Kommission auf, ihre Kontakte mit den US-amerikanischen Amtskollegen zu nutzen, um die Botschaft zu vermitteln, dass der Abschluss von Vereinbarungen über den Verzicht auf Spionagetätigkeiten mit den Mitgliedstaaten die einzige gangbare Option zur Ermöglichung der Angemessenheitsbeschlüsse wäre, wenn die Überwachungsgesetze und -verfahren der USA nicht geändert werden; |
|
28. |
ist der Ansicht, dass sich künftige Angemessenheitsbeschlüsse der Kommission nicht auf ein System der Selbstzertifizierung stützen sollten, wie dies sowohl beim Safe-Harbour-Abkommen als auch beim Datenschutzschild der Fall war; fordert die Kommission auf, den EDSA bei der Bewertung der Einhaltung und Durchsetzung aller neuen Angemessenheitsbeschlüsse in Bezug auf die USA umfassend einzubeziehen; fordert die Kommission in diesem Zusammenhang auf, sich mit der US-Regierung auf die Maßnahmen zu einigen, die erforderlich sind, damit der EDSA diese Rolle wirksam wahrnehmen kann; erwartet von der Kommission, dass sie den Standpunkt des Europäischen Parlaments zu jedem neuen Angemessenheitsbeschluss betreffend die USA eingehender in Erwägung zieht, bevor sie einen solchen Beschluss annimmt; |
|
29. |
weist darauf hin, dass die Kommission derzeit alle gemäß der Richtlinie 95/46/EG erlassenen Angemessenheitsbeschlüsse überprüft; betont, dass die Kommission die strengeren Standards anwenden sollte, die in der DSGVO und in den Urteilen Schrems I und II des EuGH festgelegt sind, um zu bewerten, ob ein der Sache nach gleichwertiges Schutzniveau wie in der DSGVO gewährt wird, auch in Bezug auf den Zugang zu einem wirksamen Rechtsbehelf und den Schutz vor unberechtigtem Zugang der Behörden des Drittstaats zu personenbezogenen Daten; fordert die Kommission nachdrücklich auf, diese Überprüfungen umgehend abzuschließen und vor der Verabschiedung der DSGVO gefasste Beschlüsse aufzuheben oder auszusetzen, wenn sie feststellt, dass das betreffende Drittland kein Schutzniveau bietet, das dem gemäß der DSGVO der Sache nach gleichwertig ist; |
|
30. |
ist der Ansicht, dass die Regierung Biden durch die Ernennung eines erfahrenen Sachverständigen für Datenschutz als Chefunterhändler für das Nachfolgeabkommen zum Datenschutzschild unter Beweis gestellt hat, dass sie es als vorrangiges Anliegen ansieht, sich für die Suche nach einer Lösung für die Übermittlung von Daten zu kommerziellen Zwecken zwischen der EU und den USA einzusetzen; erwartet, dass der Dialog zwischen der Kommission und ihren Amtskollegen in den USA, der unmittelbar nach dem Urteil des EuGH aufgenommen wurde, in den kommenden Monaten intensiviert wird; |
|
31. |
fordert die Kommission auf, keinen neuen Angemessenheitsbeschluss in Bezug auf die USA zu erlassen, sofern keine bedeutsamen Reformen, insbesondere für Zwecke der nationalen Sicherheit und der Nachrichtendienste, eingeführt werden, was durch eine eindeutige, rechtlich haltbare, durchsetzbare und diskriminierungsfreie Reform der Gesetze und Verfahren der USA erreicht werden kann; bekräftigt in diesem Zusammenhang die Bedeutung solider Sicherheitsvorkehrungen im Bereich des Zugangs der Behörden zu personenbezogenen Daten; fordert die Kommission auf, ihre „geopolitischen Ambitionen“ in die Praxis umzusetzen, um in den USA und anderen Drittländern einen Datenschutz durchzusetzen, der dem in der EU der Sache nach gleichwertig ist; |
|
32. |
empfiehlt den nationalen Datenschutzbehörden, dass sie die Übermittlung personenbezogener Daten, auf die Behörden in den USA Zugriff haben können, aussetzen, wenn die Kommission einen neuen Angemessenheitsbeschluss in Bezug auf die USA erlassen sollte, ohne dass derartige bedeutsame Reformen erfolgt wären; |
|
33. |
begrüßt, dass die Kommission den Kriterien folgt, die in der Referenzgrundlage für Angemessenheit der Artikel-29-Datenschutzgruppe gemäß der DSGVO (18) (wie vom EDSA gebilligt) und in der Empfehlung 01/2021 des EDSA zu der Referenzgrundlage für den Begriff „Angemessenheit“ in der Richtlinie zum Datenschutz bei der Strafverfolgung (19) festgelegt sind; ist der Ansicht, dass die Kommission bei der Beurteilung, ob ein Drittland für einen Angemessenheitsbeschluss infrage kommt, diese Kriterien nicht unterschreiten sollte; nimmt zur Kenntnis, dass der EDSA seine Empfehlungen zu den wesentlichen europäischen Garantien in Bezug auf Überwachungsmaßnahmen vor dem Hintergrund der Rechtsprechung des EuGH kürzlich aktualisiert hat (20); |
o
o o
|
34. |
beauftragt seinen Präsidenten, diese Entschließung der Kommission, dem Europäischen Rat, dem Rat der Europäischen Union, dem Europäischen Datenschutzausschuss, den nationalen Parlamenten der Mitgliedstaaten, dem Kongress und der Regierung der Vereinigten Staaten von Amerika sowie dem Parlament und der Regierung des Vereinigten Königreichs zu übermitteln. |
(1) Urteil des Gerichtshofs der Europäischen Union vom 16. Juli 2020 in der Rechtssache C-311/18, Data Protection Commissioner gegen Facebook Ireland Limited und Maximilian Schrems, ECLI:EU:C:2020:559.
(2) Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015 in der Rechtssache C-362/14, Maximilian Schrems gegen Data Protection Commissioner, ECLI:EU:C:2015:650.
(3) Urteil vom 6. Oktober 2020 in der Rechtssache C-623/17, Privacy International gegen Secretary of State for Foreign and Commonwealth Affairs u. a., ECLI:EU:C:2020:790.
(4) ABl. C 76 vom 28.2.2018, S. 82.
(5) ABl. C 298 vom 23.8.2018, S. 73.
(6) ABl. C 118 vom 8.4.2020, S. 133.
(7) ABl. C 345 vom 16.10.2020, S. 58.
(8) ABl. L 39 vom 12.2.2010, S. 5.
(9) ABl. L 207 vom 1.8.2016, S. 1.
(10) Angenommene Texte, P9_TA(2020)0337.
(11) ABl. L 119 vom 4.5.2016, S. 1.
(12) https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_ derogations_de.pdf
(13) Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).
(14) Vorschlag der EU für Bestimmungen über den grenzüberschreitenden Datenverkehr sowie den Schutz personenbezogener Daten und der Privatsphäre, http://trade.ec.europa.eu/doclib/docs/2018/july/tradoc_157130.pdf
(15) Gemeinsame Stellungnahme 2/2021 des EDSA und des EDSB vom 14. Januar 2021 zu Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer: https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22021-standard_de
(16) Empfehlungen 01/2020 des EDSA vom 11. November 2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_de
(17) ABl. C 118 vom 8.4.2020, S. 141.
(18) https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108
(19) https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012021-adequacy-referential-under-law_de
(20) https://edpb.europa.eu/our-work-tools/our-documents/preporki/recommendations-022020-european-essential-guarantees_de