DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr [1], insbesondere auf Artikel 25 Absatz 6,

nach Anhörung des Europäischen Datenschutzbeauftragten [2],

1. EINLEITUNG

(1) Die Richtlinie 95/46/EG regelt die Übermittlung personenbezogener Daten aus Mitgliedstaaten in Drittstaaten, soweit die Übermittlung in ihren Anwendungsbereich fällt.

(2) Artikel 1 der Richtlinie 95/46/EG und die Erwägungsgründe 2 und 10 ihrer Präambel sollen nicht nur einen wirksamen und vollständigen Schutz der Grundrechte und -freiheiten natürlicher Personen, insbesondere das Grundrecht auf Achtung des Privatlebens bei der Verarbeitung personenbezogener Daten, gewährleisten, sondern auch ein hohes Schutzniveau für diese Grundrechte und -freiheiten [3].

(3) Die Bedeutung sowohl des Grundrechts auf Achtung des Privatlebens als auch des Grundrechts auf den Schutz personenbezogener Daten, wie in Artikel 7 bzw. Artikel 8 der Charta der Grundrechte der Europäischen Union garantiert, ist vom Gerichtshof in seiner ständigen Rechtsprechung hervorgehoben worden [4].

(4) Gemäß Artikel 25 Absatz 1 der Richtlinie 95/46/EG müssen die Mitgliedstaaten sicherstellen, dass die Übermittlung personenbezogener Daten in ein Drittland nur zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet und die einzelstaatlichen Vorschriften zur Umsetzung anderer Bestimmungen der Richtlinie vor der Übermittlung beachtet werden. Die Kommission kann feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder der von ihm eingegangenen internationalen Verpflichtungen zum Schutz der Rechte von Privatpersonen ein angemessenes Schutzniveau gewährleistet. In diesem Falle können – unbeschadet der Einhaltung der aufgrund anderer Bestimmungen der Richtlinie erlassenen einzelstaatlichen Vorschriften – personenbezogene Daten aus den Mitgliedstaaten übermittelt werden, ohne dass zusätzliche Garantien erforderlich sind.

(5) Gemäß Artikel 25 Absatz 2 der Richtlinie 95/46/EG sollte das Schutzniveau, das ein Drittland bietet, unter Berücksichtigung aller Umstände beurteilt werden, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen, einschließlich der im betreffenden Drittland geltenden allgemeinen und sektoriellen Rechtsnormen.

(6) In der Entscheidung 2000/520/EG der Kommission [5] wurde davon ausgegangen, dass im Sinne von Artikel 25 Absatz 2 der Richtlinie 95/46/EG die „Grundsätze des sicheren Hafens“, die gemäß den vom US-Handelsministerium herausgegebenen Leitlinien – enthalten in den „Häufig gestellten Fragen“ (FAQ) – umgesetzt wurden, ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die von der Europäischen Union an in den Vereinigten Staaten niedergelassene Organisationen übermittelt werden.

(7) In ihren Mitteilungen COM(2013) 846 final [6] und COM(2013) 847 final vom 27. November 2013 [7] brachte die Kommission zum Ausdruck, dass die Grundlage der SAFE-Harbor-Regelung aufgrund einer Reihe von Umständen überprüft und gestärkt werden muss, als da sind: die exponentielle Zunahme des Datenverkehrs und seine herausragende Bedeutung für die transatlantische Wirtschaft, der rasante zahlenmäßige Anstieg der Unternehmen in den USA, die sich an der SAFE-Harbor-Regelung beteiligen, und die kurz zuvor bekannt gewordenen Informationen über Ausmaß und Umfang bestimmter Überwachungsprogramme der USA, die neue Fragen zum Schutzniveau aufwerfen, das mit der SAFE-Harbor-Vereinbarung gewährleistet werden soll. Zudem benannte die Kommission eine Reihe von Mängeln und Schwachstellen der SAFE-Harbor-Regelung.

(8) Auf der Grundlage der von der Kommission zusammengetragenen Fakten, von Erkenntnissen der hochrangigen Kontaktgruppe EU-USA [8] und Informationen der Ad-hoc-Arbeitsgruppe EU-USA über Überwachungsprogramme der USA [9] gab die Kommission 13 Empfehlungen für eine Bestandsaufnahme der SAFE-Harbor-Regelung ab. Bei diesen Empfehlungen ging es vor allem um die Stärkung der materiellen Datenschutzvorschriften, eine höhere Transparenz der Datenschutzbestimmungen selbstzertifizierter US-Unternehmen, eine bessere Beaufsichtigung, Kontrolle und Durchsetzung der Einhaltung dieser Grundsätze durch die amerikanischen Behörden, die Verfügbarkeit erschwinglicher Streitbeilegungsmechanismen und die Schaffung der Voraussetzungen dafür, dass von der in der Entscheidung 2000/520/EG vorgesehenen Ausnahmeregelung in Bezug auf die nationale Sicherheit nur so weit Gebrauch gemacht wird, wie dies unbedingt notwendig und angemessen ist.

(9) In seinem Urteil vom 6. Oktober 2015 in der Rechtssache C-362/14 Maximilian Schrems/Data Protection Commissioner [10] erklärte der Gerichtshof die Entscheidung 2000/520/EG für ungültig. Ohne inhaltliche Prüfung der Datenschutzgrundsätze der SAFE-Harbor-Regelung gelangte der Gerichtshof zu der Auffassung, die Kommission habe in ihrer Entscheidung nicht festgestellt, dass die USA aufgrund ihrer innerstaatlichen Rechtsvorschriften oder ihrer internationalen Verpflichtungen tatsächlich ein angemessenes Schutzniveau „gewährleisten“ [11].

(10) Wie der Gerichtshof erläuterte, bedeutet „angemessener Rechtsschutz“ in Artikel 25 Absatz 6 der Richtlinie 95/46/EG nicht, dass das Schutzniveau exakt dem in der EU-Rechtsordnung garantierten Niveau entsprechen muss, wohl aber, dass der Drittstaat ein Schutzniveau der Grundrechte und -freiheiten gewährleisten muss, dass dem in der Europäischen Union durch die Richtlinie 95/46/EG im Lichte der Charta der Grundrechte garantierten Niveau „der Sache nach gleichwertig“ ist. Auch wenn sich die Mittel, auf die ein Drittstaat zurückgreift, von den in der Europäischen Union herangezogenen Mitteln unterscheiden können, müssen sie sich gleichwohl in der Praxis als wirksam erweisen [12].

(11) Der Gerichtshof kritisierte, dass die Entscheidung 2000/520/EG keine Feststellung dazu enthält, ob es in den Vereinigten Staaten staatliche Regeln gibt, die dazu dienen, etwaige Eingriffe – zu denen die staatlichen Stellen dieses Landes in Verfolgung berechtigter Ziele wie der nationalen Sicherheit berechtigt wären – in die Grundrechte der Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, zu begrenzen, und auch nichts über das Bestehen eines wirksamen Rechtsschutzes gegen derartige Eingriffe aussagt [13].

(12) Die Kommission hatte 2014 Gespräche mit den amerikanischen Behörden aufgenommen, um die Stärkung der SAFE-Harbor-Regelung entsprechend den 13 Empfehlungen in der Mitteilung COM(2013) 847 final zu erörtern. Nach dem Urteil des Gerichtshofs der Europäischen Union in der Rechtssache Schrems wurden die Gespräche intensiviert, um zu einem neuen Angemessenheitsbeschluss zu gelangen, der den Anforderungen von Artikel 25 der Richtlinie 95/46/EG in der Auslegung durch den Gerichtshof gerecht wird. Die Schriftstücke, die dem vorliegenden Beschluss beigefügt sind und auch im Bundesregister der USA veröffentlicht werden, sind das Ergebnis dieser Gespräche. Die Datenschutzgrundsätze (Anhang II) bilden zusammen mit den in den Anhängen I, III bis VII enthaltenen offiziellen Erklärungen und Zusagen verschiedener Behörden der USA den „EU-US-Datenschutzschild“.

(13) Die Kommission hat die Rechtslage und die gängige Praxis in den USA, darunter auch die offiziellen Erklärungen und Verpflichtungen, sorgfältig analysiert. Aufgrund der in den Erwägungsgründen 136-140 dargelegten Erkenntnisse gelangt die Kommission zu dem Schluss, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die im Rahmen des EU-US-Datenschutzschilds aus der Europäischen Union an selbstzertifizierte Organisationen.

2. DER „EU-US-DATENSCHUTZSCHILD“

(14) Der EU-US-Datenschutzschild beruht auf einem System der Selbstzertifizierung, wonach sich amerikanische Organisationen zu einem Katalog von Datenschutzgrundsätzen verpflichten – den Rahmengrundsätzen des EU-US-Datenschutzschilds einschließlich der Zusatzgrundsätze (im Folgenden insgesamt „Grundsätze“) –, die vom Handelsministerium der USA herausgegeben wurden und in Anhang II des vorliegenden Beschlusses enthalten sind. Er erfasst sowohl die für die Datenverarbeitung Verantwortlichen als auch die Auftragsverarbeiter (Beauftragten) mit der Maßgabe, dass sich die Auftragsverarbeiter vertraglich verpflichten, nur auf Weisung des Verantwortlichen in der EU zu handeln und Letzteren dabei zu unterstützen, Privatpersonen die Wahrnehmung ihrer Rechte im Rahmen der Grundsätze zu erleichtern [14].

(15) Unbeschadet der Einhaltung innerstaatlicher Vorschriften, die gemäß Richtlinie 95/46/EG erlassen wurden, hat der vorliegende Beschluss die Wirkung, dass die Übermittlung von Daten von einem für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter in der EU an Organisationen in den USA, die sich durch Selbstzertifizierung beim Handelsministerium zur Einhaltung der Grundsätze verpflichtet haben, zulässig ist. Die Grundsätze gelten ausschließlich für die Verarbeitung personenbezogener Daten durch US-Organisationen, soweit die Verarbeitung durch diese Organisation nicht in den Anwendungsbereich des EU-Rechts fällt [15]. Der Datenschutzschild berührt nicht die Anwendung des Unionsrechts auf die Verarbeitung personenbezogener Daten in den Mitgliedstaaten [16].

(16) Der Schutz, der personenbezogenen Daten durch den Datenschutzschild gewährt wird, gilt für alle Betroffenen in der EU [17], deren personenbezogene Daten aus der EU an Organisationen in den USA übermittelt werden, die sich beim Handelsministerium durch Selbstzertifizierung zu den Grundsätzen bekannt haben.

(17) Die Grundsätze gelten unmittelbar vom Zeitpunkt der Zertifizierung an. Eine Ausnahme bildet der Grundsatz Verantwortlichkeit für die Weitergabe in dem Falle, dass eine Organisation, die dem Datenschutzschild durch Selbstzertifizierung beitritt, bereits vorher geschäftliche Beziehungen zu Dritten unterhielt. Da es einige Zeit in Anspruch nehmen kann, diese geschäftlichen Beziehungen mit den Regeln, die nach dem Grundsatz der Verantwortlichkeit für die Weitergabe zu befolgen sind, in Einklang zu bringen, ist die Organisation gehalten, dies so schnell wie möglich zu bewerkstelligen und auf keinen Fall später als neun Monate nach der Selbstzertifizierung (sofern diese in den ersten zwei Monaten nach dem Tag erfolgt, an dem der Datenschutzschild in Kraft tritt). In dieser Übergangszeit muss die Organisation die Grundsätze der Informationspflicht und Wahlmöglichkeit anwenden (was dem Betroffenen in der EU ein „Opt-out“ ermöglicht) und bei der Übermittlung personenbezogener Daten an einen als Beauftragten fungierenden Dritten sicherstellen, dass Letzterer zumindest das gleiche Schutzniveau vorsieht wie die Grundsätze [18]. Diese Übergangszeit sorgt für ein vernünftiges und ausgewogenes Verhältnis zwischen der Achtung des Grundrechts auf Datenschutz und dem legitimen Interesse von Unternehmen an einem ausreichenden zeitlichen Spielraum für die Umstellung auf die neue Regelung, sofern dies auch von ihren geschäftlichen Beziehungen zu Dritten abhängt.

(18) Das System wird vom Handelsministerium auf der Grundlage der Zusagen verwaltet und überwacht, die in den Erklärungen des Handelsministers der USA dargelegt sind (Anhang I des vorliegenden Beschlusses). Im Hinblick auf die Durchsetzung der Grundsätze haben die Federal Trade Commission (FTC) und das Verkehrsministerium Erklärungen abgegeben, die in Anhang IV und Anhang V des vorliegenden Beschlusses enthalten sind.

2.1. Datenschutzgrundsätze

(19) Im Zuge ihrer Selbstzertifizierung unter dem EU-US-Datenschutzschild müssen sich Organisationen dazu verpflichten, die Grundsätze einzuhalten [19].

(20) Nach dem Grundsatz der Informationspflicht sind Organisationen gehalten, die betroffenen Personen über eine Reihe von Kernpunkten zu unterrichten, die mit der Verarbeitung ihrer personenbezogenen Daten zusammenhängen (z. B. Art der erhobenen Daten, Zweck der Verarbeitung, Zugangsrecht und Wahlmöglichkeit, Bedingungen für die Weitergabe und Haftungsfragen). Es sind noch weitere Sicherungen eingebaut, namentlich die Verpflichtung der Organisationen, ihre Datenschutzbestimmungen (in denen die Grundsätze ihren Niederschlag finden) offenzulegen und Links zur Website des Handelsministeriums (wo weitere Angaben zur Selbstzertifizierung, zu den Rechten der betroffenen Personen und zu verfügbaren Rechtsbehelfen zu finden sind), zu der im Erwägungsgrund 30 erwähnten Datenschutzschild-Liste und zur Website eines geeigneten Anbieters alternativer Streitbeilegungsverfahren anzubringen.

(21) Nach dem Grundsatz der Datenintegrität und Zweckbindung müssen personenbezogene Daten darauf beschränkt werden, was für den Zweck der Verarbeitung erheblich ist, und sie müssen für den vorgesehenen Zweck hinreichend zuverlässig, genau, vollständig und aktuell sein. Eine Organisation darf personenbezogene Daten nicht in einer Weise verarbeiten, die mit dem ursprünglichen Erhebungszweck oder mit dem Zweck unvereinbar ist, dem der Betroffene nachträglich zugestimmt hat. Die Organisationen müssen sicherstellen, dass die Daten für den vorgesehenen Zweck zuverlässig, genau, vollständig und aktuell sind.

(22) Wenn ein neuer (geänderter) Verwendungszweck sich zwar deutlich vom ursprünglichen Zweck unterscheidet, aber mit diesem dennoch vereinbar ist, gibt der Grundsatz der Wahlmöglichkeit den betroffenen Personen das Recht auf Widerspruch („Opt-out“). Dieser Grundsatz hebt aber das ausdrückliche Verbot einer unzulässigen Verarbeitung nicht auf [20]. Für das Direktmarketing gelten spezielle Regelungen, wonach Betroffene in der Regel „jederzeit“ der Verwendung personenbezogener Daten widersprechen können [21]. Im Falle sensibler Daten müssen die Organisationen normalerweise die ausdrückliche Zustimmung der betroffenen Person („Opt-in“) einholen.

(23) Nach dem Grundsatz der Datenintegrität und Zweckbindung können aber personenbezogene Informationen nur so lange in einer Form gespeichert werden, durch die eine natürliche Person identifiziert werden kann oder identifizierbar wird (d. h. als personenbezogene Daten), wie dies dem Zweck/den Zwecken dient, für die sie ursprünglich erhoben oder nachträglich autorisiert wurden. Diese Verpflichtung hindert Mitglieder des Datenschutzschilds nicht daran, weiterhin personenbezogene Daten über längere Zeiträume zu verarbeiten, aber nur solange und soweit die Verarbeitung nach vernünftigem Ermessen einem der folgenden spezifischen Zwecke dient: Archivierung im öffentlichen Interesse, Journalismus, Literatur und Kunst, wissenschaftliche und historische Forschung und statistische Analyse. Eine längere Speicherung personenbezogener Daten für einen dieser Zwecke unterliegt den in den Grundsätzen enthaltenen Garantien.

(24) Nach dem Grundsatz der Sicherheit müssen Organisationen, die personenbezogene Daten erstellen, verwalten, verwenden oder verbreiten, „angemessene und geeignete“ Sicherheitsvorkehrungen treffen und dabei die Risiken berücksichtigen, die sich aus der Verarbeitung und der Art der Daten ergeben. Im Falle der Unterauftragsverarbeitung müssen die Organisationen einen Vertrag mit dem Unterauftragsverarbeiter abschließen, der das gleiche Schutzniveau sicherstellt, wie es die Grundsätze bieten, und für dessen ordnungsgemäße Umsetzung sorgen.

(25) Nach dem Grundsatz des Auskunftsrechts [22] haben betroffene Personen das Recht, ohne Angabe von Gründen und gegen eine nicht übermäßige Gebühr von einer Organisation die Auskunft einzuholen, ob die Organisation sie betreffende personenbezogene Daten verarbeitet, und sich die Daten binnen einer angemessenen Frist übermitteln zu lassen. Dieses Recht darf nur in Ausnahmefällen eingeschränkt werden; jede Verweigerung oder Einschränkung des Auskunftsrechts muss notwendig und hinreichend gerechtfertigt sein, wobei die Organisation die Beweislast dafür trägt, dass die Voraussetzungen erfüllt sind. Die Betroffenen müssen die Möglichkeit haben, die personenbezogenen Daten zu korrigieren, zu ändern oder zu löschen, wenn sie falsch sind oder unter Verletzung der Grundsätze verarbeitet wurden. In Bereichen, in denen eine hohe Wahrscheinlichkeit besteht, dass Unternehmen personenbezogene Daten automatisch verarbeiten, um Entscheidungen mit Auswirkungen auf einzelne Personen zu treffen (z. B. Kreditvergabe, Hypothekenangebote, Stellenbesetzung), bietet das US-Recht spezifische Schutzvorkehrungen bei ablehnenden Entscheidungen [23]. In der Regel sehen diese Gesetze vor, dass die Betroffenen das Recht haben, über die konkreten Gründe für die Entscheidung (z. B. die Verweigerung eines Kredits) unterrichtet zu werden, bei unvollständigen oder ungenauen Informationen (sowie der Berücksichtigung unzulässiger Faktoren) Einspruch zu erheben und Rechtsschutz in Anspruch zu nehmen. Diese Regeln bieten Schutz in der aller Voraussicht nach überschaubaren Zahl von Fällen, in denen automatisierte Entscheidungen von einer dem Datenschutzschild angehörenden Organisation selbst getroffen werden [24]. Da aber in der modernen digitalen Wirtschaft die automatisierte Verarbeitung (einschließlich Profiling) zunehmend als Grundlage für Entscheidungen dient, die sich auf einzelne Personen auswirken, bedarf dieser Bereich einer intensiven Kontrolle. Um diese Kontrolle zu erleichtern, wurde mit den US-Behörden vereinbart, dass ein Dialog über automatisierte Entscheidungsprozesse, einschließlich eines Meinungsaustauschs über Gemeinsamkeiten und Unterschiede der diesbezüglichen Konzepte der EU und der USA, im Rahmen der ersten jährlichen Überprüfung und gegebenenfalls auch weiterer Überprüfungen stattfindet.

(26) Nach dem Grundsatz des Rechtsschutzes, der Durchsetzung und der Haftung [25] müssen die teilnehmenden Organisationen robuste Mechanismen schaffen, um die Einhaltung der anderen Datenschutzgrundsätze sicherzustellen und Betroffenen in der EU Rechtsschutz zu gewähren, deren personenbezogenen Daten in nicht rechtskonformer Weise verarbeitet wurden, was auch wirksame Rechtsbehelfe einschließt. Hat sich eine Organisation freiwillig für die Selbstzertifizierung [26] unter dem EU-US-Datenschutzschild entschieden, ist für sie die effektive Einhaltung der Grundsätze zwingend. Damit die Organisation weiterhin auf der Grundlage des Datenschutzschilds personenbezogene Daten aus der Europäischen Union empfangen kann, muss sie ihre Beteiligung daran jährlich neu zertifizieren. Überdies müssen die Organisationen Maßnahmen ergreifen, um sich zu vergewissern [27], dass die veröffentlichten Datenschutzbestimmungen den Grundsätzen entsprechen und tatsächlich eingehalten werden. Dies kann entweder durch ein System der Selbstkontrolle erfolgen, das interne Verfahren einschließen muss, die sicherstellen, dass die Mitarbeiter in der Umsetzung der Datenschutzbestimmungen der Organisation unterwiesen werden und die Einhaltung in regelmäßigen Abständen objektiv überprüft wird, oder aber externe Überprüfungen, zu denen Audits und Stichprobenkontrollen gehören können. Zudem muss die Organisation für ein wirksames Rechtsschutzinstrument sorgen, das sich mit derartigen Beschwerden befasst (siehe dazu auch Erwägungsgrund 43), und den Ermittlungs- und Durchsetzungsbefugnissen der FTC, des Verkehrsministeriums oder einer anderen dazu autorisierten staatlichen Instanz der USA unterliegen, die effektiv für die Einhaltung der Grundsätze sorgt.

(27) Besondere Regeln gelten für die „Weitergabe“, d. h. die Übermittlung personenbezogener Daten von einer Organisation an einen als für die Verarbeitung Verantwortlicher oder Auftragsverarbeiter fungierenden Dritten unabhängig davon, ob Letzterer sich in den USA oder einem Drittstaat außerhalb der Vereinigten Staaten (und der Union) befindet. Diese Regeln sollen gewährleisten, dass die für personenbezogene Daten von betroffenen Personen in der EU geltenden Schutzvorkehrungen nicht ausgehöhlt werden und nicht umgangen werden können, indem man sie an Dritte weiterleitet. Von besonderer Bedeutung ist dies für die relativ komplexen Verarbeitungsketten, wie sie für die digitale Wirtschaft von heute charakteristisch sind.

(28) Nach dem Grundsatz der Verantwortlichkeit für die Weitergabe [28] kann die Weitergabe nur i) für begrenzte und genau bezeichnete Zwecke, ii) auf der Grundlage eines Vertrags (oder vergleichbaren Regelung in einem Konzern [29]) und iii) nur dann erfolgen, wenn der Vertrag das gleiche Schutzniveau wie die Grundsätze gewährleistet, was die Verpflichtung einschließt, dass die Anwendung der Grundsätze nur in dem Maße eingeschränkt werden darf, das für die nationale Sicherheit, die Strafverfolgung und andere im öffentlichen Interesse liegende Belange erforderlich ist [30]. Dies ist in Verbindung mit dem Grundsatz der Informationspflicht und bei der Weitergabe an einen als für die Verarbeitung Verantwortlichen fungierenden Dritten [31] dem Grundsatz der Wahlmöglichkeit zu sehen, wonach betroffene Personen (unter anderem) über die Art/Identität des Drittempfängers, den Zweck der Weitergabe sowie die vorhandenen Wahlmöglichkeiten unterrichtet werden müssen und gegen die Weitergabe Einspruch erheben können (Opt-out) oder ihr im Falle sensibler Daten „ausdrücklich zustimmen“ müssen (Opt-in). Im Lichte des Grundsatzes der Datenintegrität und Zweckbindung ergibt sich aus der Verpflichtung, das gleiche Schutzniveau wie die Grundsätze vorzusehen, dass der Dritte die an ihn übermittelten personenbezogenen Informationen nur für Zwecke verarbeiten darf, die nicht mit den Zwecken unvereinbar sind, für die sie ursprünglich erhoben oder nachträglich vom Betroffenen autorisiert wurden.

(29) Die Verpflichtung, das gleiche Schutzniveau vorzusehen wie die Grundsätze, gilt für alle Dritten, die an der Verarbeitung der so übermittelten Daten beteiligt sind unabhängig von ihrem Standort (ob in der USA oder einem anderen Drittland), aber auch für den Fall, dass der ursprüngliche Drittempfänger selbst diese Daten einem anderen Drittempfänger übermittelt, beispielsweise für Zwecke der Weiterverarbeitung. In allen Fällen muss der Vertrag mit dem Drittempfänger die Bestimmung enthalten, dass Letzterer die dem Datenschutzschild angehörende Organisation benachrichtigt, wenn er zu dem Schluss kommt, dass er diese Verpflichtung nicht länger einhalten kann. Wenn diese Situation eintritt, wird die Verarbeitung durch den Dritten eingestellt oder sind andere sinnvolle und geeignete Schritte zu unternehmen, um Abhilfe zu schaffen [32]. Falls in der (Weiter-)Verarbeitungskette Compliance-Probleme auftreten, muss die dem Datenschutzschild angehörende Organisation, die als Verantwortliche für die personenbezogenen Daten fungiert, den Nachweis erbringen, dass sie für das Ereignis, das den Schaden bewirkt hat, nicht verantwortlich ist, da sie andernfalls haftbar gemacht werden kann, wie im Grundsatz des Rechtsschutzes, der Durchsetzung und Haftung geregelt. Zusätzliche Schutzmaßnahmen sind für den Fall der Weitergabe an einen im Auftrag handelnden Dritten vorgesehen [33].

2.2. Transparenz, Verwaltung und Überwachung des EU-US-Datenschutzschilds

(30) Der EU-US-Datenschutzschild sieht Überwachungs- und Durchsetzungsmechanismen vor, um zu überprüfen und sicherzustellen, dass selbstzertifizierte US-Unternehmen die Grundsätzen einhalten und Verstöße geahndet werden. Diese Mechanismen werden in den Grundsätzen (Anhang II), in den Zusagen des Handelsministeriums (Anhang I), der FTC (Anhang IV) und des Verkehrsministeriums (Anhang V) beschrieben.

(31) Um die ordnungsgemäße Anwendung des EU-US-Datenschutzschilds zu gewährleisten, ist es erforderlich, dass interessierte Seiten wie betroffene Personen, Datenexporteure und nationale Datenschutzbehörden die den Datenschutzgrundsätzen beigetretenen Organisationen als solche erkennen können. Zu diesem Zweck hat es das US-Handelsministerium übernommen, eine Liste der Organisationen zu führen und der Öffentlichkeit zugänglich zu machen, welche die Befolgung der Grundsätze bescheinigt und in die Zuständigkeit zumindest einer der in den Anhängen I und II dieses Beschlusses genannten Durchsetzungsbehörden fallen („Datenschutzschild-Liste“) [34]. Das Handelsministerium aktualisiert die Liste auf der Grundlage der jährlichen Anträge auf erneute Zertifizierung und streicht die Organisationen, die ausscheiden oder nicht mehr dem EU-US-Datenschutzschild angehören. Außerdem führt es ein amtliches Verzeichnis der Organisationen, die von der Liste gestrichen wurden, und macht es der Öffentlichkeit zugänglich, wobei in jedem Falle die Gründe für die Streichung angegeben werden. Des Weiteren erstellt es einen Link zur Liste der FTC-Fälle, die mit der Durchsetzung des Datenschutzschilds in Verbindung stehen, auf der Website der FTC.

(32) Das Handelsministerium macht sowohl die Datenschutzschild-Liste als auch die Anträge auf Erneuerung der Zertifizierung über die dafür vorgesehene Website der Öffentlichkeit zugänglich. Die selbstzertifizierten Organisationen müssen ihrerseits für die Datenschutzschild-Liste die Webadresse des Ministeriums angeben. Wenn die Datenschutzbestimmungen einer Organisation online verfügbar sind, müssen sie mit einem Hyperlink zur Website des Datenschutzschilds versehen sein sowie mit einem Hyperlink zur Website oder dem Beschwerdeformular der unabhängigen Beschwerdestelle, die offene Beschwerden prüft. Das Handelsministerium überprüft bei der Zertifizierung und erneuten Zertifizierung einer Organisation für die Regelung systematisch, ob deren Datenschutzbestimmungen den Grundsätzen entsprechen.

(33) Organisationen, die fortwährend gegen die Grundsätze verstoßen haben, werden von der Datenschutzschild-Liste gestrichen und müssen die im Rahmen des EU-US-Datenschutzschilds empfangenen Daten zurückgeben oder löschen. In anderen Fällen der Streichung, etwa beim freiwilligen Ausscheiden oder beim Unterbleiben der erneuten Zertifizierung, kann die Organisation die betreffenden Daten behalten, wenn sie sich dem Handelsministerium gegenüber jährlich dazu verpflichtet, die Grundsätze weiterhin anzuwenden, oder für den angemessenen Schutz der personenbezogenen Daten durch andere zulässige Mittel sorgt (z. B. durch einen Vertrag, der den Anforderungen der von der Kommission gebilligten einschlägigen Standardklauseln vollauf genügt). In diesem Falle muss die Organisation eine Kontaktstelle benennen, die innerhalb der Organisation für alle mit dem Datenschutzschild zusammenhängenden Fragen zuständig ist.

(34) Das Handelsministerium überwacht Organisationen, die nicht mehr dem EU-US-Datenschutzschild angehören, weil sie freiwillig ausgeschieden sind oder die Zertifizierung abgelaufen ist, um sich zu vergewissern, ob sie die zuvor im Rahmen der Regelung empfangenen personenbezogenen Daten zurückgeben, löschen oder speichern [35]. Falls sie diese Daten speichern, sind sie verpflichtet, die Grundsätze zu beachten. In Fällen, in denen das Handelsministerium Organisationen wegen fortgesetzter Verstöße gegen die Grundsätze von der Liste gestrichen hat, stellt es sicher, dass die im Rahmen der Regelung empfangenen Daten zurückgegeben oder gelöscht werden.

(35) Wenn eine Organisation aus welchem Grund auch immer den EU-US-Datenschutzschild verlässt, muss sie alle öffentlichen Erklärungen entfernen, die darauf hindeuten, dass sie sich weiterhin am EU-US-Datenschutzschild beteiligt oder Anspruch auf die damit verbundenen Vorteile hat, vor allem jegliche Bezugnahme auf den EU-US-Datenschutzschild in den von ihr veröffentlichten Datenschutzbestimmungen. Das Handelsministerium sucht zielgerichtet nach falschen Angaben zur Beteiligung an der Regelung, auch bei früheren Mitgliedern, und geht dagegen vor [36]. Bei falschen Angaben über die Einhaltung der Datenschutzgrundsätze, die eine Organisation der Öffentlichkeit gegenüber in Form von irreführenden Erklärungen oder Praktiken macht, werden die FTC, das Verkehrsministerium oder andere Vollzugsbehörden der USA tätig; falsche Angaben gegenüber dem Handelsministerium unterliegen dem False Statements Act (18 U.S.C. § 1001) [37].

(36) Das Handelsministerium wacht von Amts wegen über falsche Angaben zur Beteiligung am Datenschutzschild oder die missbräuchliche Verwendung des entsprechenden Gütesiegels, und die Datenschutzbehörden können Organisationen zur Nachprüfung an eine dafür eingerichtete Kontaktstelle des Ministeriums verweisen. Wenn eine Organisation den EU-US-Datenschutzschild verlassen hat, keinen Antrag auf erneute Zertifizierung stellt oder aus der Datenschutzschild-Liste gestrichen wird, stellt das Handelsministerium kontinuierlich sicher, dass aus den veröffentlichten Datenschutzbestimmungen alle Bezugnahmen auf den Datenschutzschild entfernt wurden, die auf eine weitere Beteiligung der Organisation hindeuten, und verweist in dem Fall, dass weiterhin falsche Angaben gemacht werden, die Angelegenheit an die FTC, das Verkehrsministerium oder eine andere zuständige Behörde, damit diese gegebenenfalls tätig werden. Sie übermittelt zudem Fragebögen an Organisationen, deren Selbstzertifizierung ausläuft oder die freiwillig aus dem EU-US-Datenschutzschild ausgeschieden sind, um zu prüfen, ob die Organisation die personenbezogenen Dateien, die sie während der Beteiligung am EU-US-Datenschutzschild empfangen hat, zurückgibt, löscht oder auf sie weiterhin die Datenschutzgrundsätze anwendet, und um festzustellen, falls die Organisation die personenbezogenen Daten behält, wer innerhalb der Organisation als ständiger Ansprechpartner für Fragen im Zusammenhang mit dem Datenschutzschild fungieren wird.

(37) Das Handelsministerium überwacht bei selbstzertifizierten Organisationen von Amts wegen kontinuierlich die Einhaltung der Grundsätze [38], auch durch die Übersendung detaillierter Fragebögen. Es führt zudem systematisch Kontrollen durch, wenn konkrete (und ernst gemeinte) Beschwerden eingehen, wenn eine Organisation auf Anfragen keine zufriedenstellenden Antworten gibt oder deutliche Anhaltspunkte darauf schließen lassen, dass eine Organisation die Grundsätze nicht einhält. Das Ministerium stimmt diese Kontrollen bei Bedarf mit den zuständigen Datenschutzbehörden ab.

2.3. Rechtsschutzinstrumente, Umgang mit Beschwerden und Rechtsdurchsetzung

(38) Der EU-US-Datenschutzschild verpflichtet durch den Grundsatz des Rechtsschutzes, der Durchsetzung und der Haftung die Organisationen dazu, den von Verstößen betroffenen Personen Rechtsbehelfe zu garantieren und somit Betroffenen in der EU die Möglichkeit einzuräumen, Beschwerden wegen der Nichteinhaltung der Grundsätze durch selbstzertifizierte US-Unternehmen einzulegen und eine Klärung herbeizuführen, erforderlichenfalls durch eine Entscheidung, die wirksam Abhilfe schafft.

(39) Im Rahmen ihrer Selbstzertifizierung müssen die Organisationen den Anforderungen des Grundsatzes des Rechtsschutzes, der Durchsetzung und der Haftung gerecht werden, indem sie effektive und stets verfügbare unabhängige Rechtsschutzmechanismen vorsehen, durch die Beschwerden und Streitigkeiten bearbeitet und rasch geklärt werden können, ohne dass für den Einzelnen Kosten entstehen.

(40) Die Organisationen können sich für unabhängige Beschwerdestellen in der Europäischen Union oder in den Vereinigten Staaten entscheiden. Dies schließt die Möglichkeit ein, sich freiwillig zur Zusammenarbeit mit den Datenschutzbehörden der EU zu verpflichten. Wenn eine Organisation Personaldaten verarbeitet, besteht allerdings diese Wahlmöglichkeit nicht, da eine Zusammenarbeit mit den Datenschutzbehörden dann zwingend vorgeschrieben ist. Als Alternativen dazu kommen eine unabhängige alternative Streitbeilegung oder im Privatsektor entwickelte Datenschutzprogramme, welche die Datenschutzgrundsätze in ihre Regeln inkorporieren, in Betracht. Letztere müssen entsprechend den Anforderungen des Grundsatzes des Rechtsschutzes, der Durchsetzung und der Haftung wirksame Durchsetzungsmechanismen vorsehen. Die Organisationen sind verpflichtet, bei Problemen mit der Einhaltung für Abhilfe zu sorgen. Zudem müssen sie angeben, dass sie den Ermittlungs- und Durchsetzungsbefugnissen der FTC, des Verkehrsministeriums oder einer anderen autorisierten staatlichen Stelle der USA unterliegen.

(41) Folglich bietet die Datenschutzschild-Regelung betroffenen Personen eine Reihe von Möglichkeiten, ihr Recht durchzusetzen, Beschwerden über Verstöße selbstzertifizierter US-Unternehmen einzureichen und eine Klärung herbeizuführen, erforderlichenfalls durch eine Entscheidung, die wirksam Abhilfe schafft. Privatpersonen können eine Beschwerde direkt an eine Organisation, eine von der Organisation benannte unabhängige Schiedsstelle, nationale Datenschutzbehörden oder die FTC richten.

(42) In Fällen, in denen die Beschwerden durch keines dieser Rechtsschutz- oder Durchsetzungsinstrumente geklärt werden konnten, haben Privatpersonen auch das Recht, ein verbindliches Schiedsverfahren im Rahmen des Datenschutzschild-Panels zu beantragen (Anlage 1 zu Anhang II des vorliegenden Beschlusses). Wenn man von diesem Panel absieht, dessen Anrufung die Ausschöpfung bestimmter Rechtsbehelfe voraussetzt, können sich Privatpersonen frei für ein Rechtsschutzinstrument ihrer Wahl entscheiden und sind nicht verpflichtet, ein bestimmtes Instrument zu bevorzugen oder eine bestimmte Reihenfolge einzuhalten. Allerdings ergibt sich eine gewisse logische Reihenfolge, die es ratsam ist einzuhalten, wie nachstehend dargelegt.

(43) Erstens können betroffene Personen in der EU durch direkte Kontakte zum selbstzertifizierten US-Unternehmen ihre Rechte geltend machen und Verstößen gegen die Datenschutzgrundsätze nachgehen. Um eine Klärung zu erleichtern, muss die Organisation einen wirksamen Rechtsschutzmechanismus vorsehen, mit dem derartigen Beschwerden abgeholfen wird. Deshalb müssen die Datenschutzbestimmungen einer Organisation präzise Angaben zu einer Kontaktstelle innerhalb oder außerhalb der Organisation enthalten, die Beschwerden entgegennimmt (auch zu einer entsprechenden Niederlassung in der Europäischen Union, die Anfragen und Beschwerden bearbeitet), sowie Angaben zu den unabhängigen Beschwerdestellen.

(44) Nach Eingang einer individuellen Beschwerde, auch wenn sie nicht direkt eingereicht, sondern von einer Datenschutzbehörde an das Handelsministerium weitergeleitet wurde, muss die Organisation innerhalb einer Frist von 45 Tagen der betroffenen Person in der EU darauf antworten. Die Antwort muss eine Aussage dazu enthalten, ob die Beschwerde begründet ist, und falls dies zutrifft, darlegen, wie die Organisation den Missstand zu beheben gedenkt. Des Weiteren sind die Organisationen verpflichtet, unverzüglich auf Anfragen und andere Auskunftsbegehren des Handelsministeriums oder einer Datenschutzbehörde (sofern sich die Organisation zur Zusammenarbeit mit den Datenschutzbehörden [39] verpflichtet hat) zu reagieren, die sich auf die Einhaltung der Datenschutzgrundsätze beziehen. Überdies müssen die Organisationen ihre Unterlagen zur Umsetzung ihrer Datenschutzbestimmungen aufbewahren und sie auf Anforderung im Rahmen einer Überprüfung oder einer Beschwerde über Verstöße einer unabhängigen Stelle oder der FTC (bzw. einer anderen für die Untersuchung unlauterer und irreführender Praktiken zuständigen Behörde der USA) zur Verfügung stellen.

(45) Zweitens können Privatpersonen eine Beschwerde auch direkt bei der von einer Organisation benannten unabhängigen Beschwerdestelle (entweder in den USA oder in der EU) einreichen, die Individualbeschwerden (sofern sie nicht offensichtlich unbegründet oder nicht ernsthaft sind) nachgeht und eine Klärung herbeiführt sowie Privatpersonen kostenlos angemessenen Rechtsschutz gewährt. Die von dieser Stelle verfügten Sanktionen und Abhilfemaßnahmen müssen hinreichend effektiv sein, damit sich die Organisationen an die Grundsätze halten, und sollten darauf gerichtet sein, dass die Folgen der Verstöße von der Organisation abgestellt oder rückgängig gemacht werden und, je nach Sachlage, die in Frage stehenden personenbezogenen Daten nicht weiter bearbeitet und/oder gelöscht werden sowie die festgestellten Verstöße öffentlich bekannt gemacht werden. Die von einer Organisation benannten unabhängigen Beschwerdestellen sind verpflichtet, auf ihren öffentlichen Websites einschlägige Informationen zum EU-US-Datenschutzschild und zu den in diesem Rahmen erbrachten Dienstleistungen zu veröffentlichen. Alljährlich müssen sie einen Bericht vorlegen, der zusammengefasste statistische Angaben zu diesen Dienstleistungen enthält [40].

(46) Im Rahmen seiner Überprüfungsverfahren vergewissert sich das Handelsministerium, dass selbstzertifizierte US-Unternehmen tatsächlich bei den unabhängigen Beschwerdestellen registriert sind, die sie angegeben haben. Sowohl die Organisationen als auch die zuständigen unabhängigen Beschwerdestellen sind gehalten, rasch auf Anfragen und Auskunftsbegehren des Handelsministeriums zu reagieren, die mit dem Datenschutzschild im Zusammenhang stehen.

(47) Sofern die Organisation der Entscheidung einer Beschwerdestelle oder Einrichtung der freiwilligen Selbstkontrolle nicht nachkommt, muss die besagte Stelle das Handelsministerium und die FTC (oder eine andere für die Untersuchung unlauterer und irreführender Praktiken zuständige amerikanische Behörde) bzw. ein zuständiges Gericht davon in Kenntnis setzen [41]. Wenn sich eine Organisation weigert, der abschließenden Entscheidung einer Einrichtung der freiwilligen Selbstkontrolle, unabhängigen Beschwerdestelle oder staatlichen Einrichtung nachzukommen und diese Stelle zu dem Schluss gelangt, dass eine Organisation häufig gegen die Grundsätze verstößt, wird dies als fortgesetzte Missachtung der Grundsätze gewertet und hat zur Folge, dass das Handelsministerium nach Setzung einer Frist von 30 Tagen, in der sich die betreffende Organisation dazu äußern kann, die Organisation von der Liste streicht [42]. Sollte sich diese nach Streichung von der Liste weiterhin auf die Zertifizierung beim Datenschutzschild berufen, verweist das Ministerium den Fall an die FTC oder eine andere Durchsetzungsinstanz [43].

(48) Drittens können Privatpersonen ihre Beschwerden auch bei einer nationalen Datenschutzbehörde einreichen. Die Organisationen sind verpflichtet, bei der Prüfung und Klärung einer Beschwerde durch eine nationale Datenschutzbehörde mitzuwirken, wenn es um Personaldaten geht, die im Rahmen eines Beschäftigungsverhältnisses erhoben wurden, oder wenn sie sich freiwillig der Kontrolle durch die Datenschutzbehörden unterstellt haben. Vor allem müssen sie Anfragen beantworten, die von den Datenschutzbehörden abgegebenen Empfehlungen befolgen, auch bei Abhilfe- oder Ausgleichsmaßnahmen, und den Datenschutzbehörden gegenüber schriftlich bestätigen, dass derartige Maßnahmen ergriffen wurden.

(49) Die Feststellungen und Vorgaben der Datenschutzbehörden erfolgen durch ein informelles Gremium, das von diesen auf Unionsebene eingerichtet wird [44], sodass ein einheitlicher schlüssiger Ansatz beim Umgang mit einer konkreten Beschwerde gewährleistet ist. Das Gremium gibt erst dann eine Empfehlung ab, wenn beide Parteien hinreichend Gelegenheit zur Stellungnahme oder zum Vorlegen von Beweisen hatten. Es wird sich bemühen, die Empfehlung so rasch zur Verfügung zu stellen, wie ein ordnungsgemäßes Vorgehen dies erlaubt, in der Regel binnen 60 Tagen nach Eingang einer Beschwerde. Kommt die Organisation den Empfehlungen des Gremiums nicht binnen 25 Tagen nach und hat sie keine befriedigende Erklärung für die Verzögerung gegeben, so teilt das Gremium seine Absicht mit, die Angelegenheit an die FTC (oder eine andere zuständige amerikanische Durchsetzungsinstanz) zu verweisen oder gelangt zu dem Schluss, dass eine gravierende Verletzung der Verpflichtungen zur Kooperation vorliegt. Im erstgenannten Fall kann dies zu Durchsetzungsmaßnahmen auf der Grundlage von § 5 des FTC Act (oder eines vergleichbaren Gesetzes) führen. Im zweiten Fall unterrichtet das Gremium das Handelsministerium, welches daraufhin das Verhalten der Organisation als fortgesetzte Missachtung der Grundsätze wertet, was ihre Streichung aus der Datenschutzschild-Liste nach sich zieht.

(50) Wenn die Datenschutzbehörde, bei der die Beschwerde eingegangen ist, nichts oder zu wenig unternommen hat, um der Beschwerde abzuhelfen, hat die Privatperson die Möglichkeit, diese Vorgehensweise (bzw. Untätigkeit) vor den Gerichten des jeweiligen Mitgliedstaats anzufechten.

(51) Einzelpersonen können auch dann Beschwerden bei Datenschutzbehörden einreichen, wenn das DPA Panel nicht von der betreffenden Organisation als Beschwerdestelle benannt wurde. In diesen Fällen kann die Datenschutzbehörde die Beschwerden entweder an das Handelsministerium oder die FTC weiterleiten. Um die Zusammenarbeit in Angelegenheiten, die individuelle Beschwerden und Verstöße von Mitgliedsorganisationen des Datenschutzschilds betreffen, zu erleichtern und zu vertiefen, richtet das Handelsministerium eine spezielle Kontaktstelle ein, die als Bindeglied fungiert und bei Anfragen von Datenschutzbehörden zur Einhaltung der Grundsätze durch eine bestimmte Organisation behilflich ist [45]. Die FTC hat ihrerseits zugesagt, eine spezielle Kontaktstelle einzurichten [46] und die Datenschutzbehörden gemäß dem U.S. SAFE WEB Act bei den Ermittlungen zu unterstützen [47].

(52) Viertens hat das Handelsministerium zugesagt, Beschwerden über Verstöße einer Organisation gegen die Grundsätze entgegenzunehmen, zu überprüfen und nach Möglichkeit zu klären. Zu diesem Zweck sieht das Handelsministerium spezielle Verfahren vor, wonach Datenschutzbehörden Beschwerden einer dafür eingerichteten Kontaktstelle vorlegen und dann bei den Unternehmen weiterverfolgen, um eine Klärung zu erleichtern. Um die Bearbeitung von Individualbeschwerden zu beschleunigen, setzt sich die Kontaktstelle direkt mit der jeweiligen Datenschutzbehörde in Verbindung, um Compliance-Probleme zu erörtern und sie vor allem innerhalb einer Frist von höchstens 90 Tagen nach Vorlage der Beschwerde über den aktuellen Stand zu unterrichten. Dies ermöglicht es betroffenen Personen, Beschwerden über Verstöße selbstzertifizierter US-Unternehmen direkt bei den nationalen Datenschutzbehörden einzureichen, die sie dann an das Handelsministerium als der für die Verwaltung des EU-US-Datenschutzschilds zuständigen Behörde weiterleiten. Das Handelsministerium hat auch zugesichert, bei der jährlichen Überprüfung der Funktionsweise des EU-US-Datenschutzschilds einen Bericht zu erstellen, der in aggregierter Form die im Laufe des Jahres bei ihm eingegangenen Beschwerden analysiert [48].

(53) Wenn das Handelsministerium auf der Grundlage seiner Überprüfungen von Amts wegen, von Beschwerden oder sonstigen Informationen zu dem Schluss kommt, dass eine Organisation fortwährend gegen die Datenschutzgrundsätze verstoßen hat, streicht es diese Organisation von der Datenschutzschild-Liste. Die Weigerung, der abschließenden Entscheidung einer Einrichtung der freiwilligen Selbstkontrolle, unabhängigen Beschwerdestelle oder staatlichen Einrichtung, einschließlich einer Datenschutzbehörde, nachzukommen, wird als fortgesetzte Missachtung der Grundsätze gewertet.

(54) Fünftens muss sich eine dem Datenschutzschild angehörende Organisation den Ermittlungs- und Durchsetzungsbefugnissen der US-Behörden, insbesondere der Federal Trade Commission [49], unterwerfen, die effektiv für die Einhaltung der Grundsätze sorgen. Die FTC behandelt vorrangig Fälle der Missachtung der Datenschutzgrundsätze, die von unabhängigen Beschwerdestellen oder Einrichtungen der freiwilligen Selbstkontrolle, vom Handelsministerium und Datenschutzbehörden (aus eigener Initiative oder aufgrund von Beschwerden) an sie überwiesen werden, um festzustellen, ob gegen § 5 des FTC Act verstoßen wurde [50]. Die FTC hat zugesagt, ein standardisiertes Befassungsverfahren einzurichten, eine Kontaktstelle für von den Datenschutzbehörden überwiesene Fälle zu benennen und Informationen darüber auszutauschen. Überdies nimmt sie Beschwerden direkt von Privatpersonen entgegen und leitet von sich aus Ermittlungen ein, die den Datenschutzschild betreffen, insbesondere im Rahmen breiter angelegter Untersuchungen zu Fragen des Datenschutzes.

(55) Die FTC kann mit Zustimmung der Parteien behördliche Anordnungen („consent orders“) erlassen, um die Einhaltung der Grundsätze sicherzustellen, und überwacht systematisch die Befolgung derartiger Anordnungen. Bei Nichtbefolgung kann die FTC den Fall an ein zuständiges Gericht überweisen, um zivilrechtliche Sanktionen und sonstige Abhilfemaßnahmen zu erwirken, was auch etwaigen Schadenersatz für die Folgen des rechtswidrigen Verhaltens einschließt. Wahlweise kann die FTC auch direkt bei einem Bundesgericht eine einstweilige Verfügung, ein Unterlassungsurteil oder andere Abhilfemaßnahmen beantragen. Jeder „consent order“, der an eine dem Datenschutzschild angehörende Organisation ergeht, enthält Bestimmungen über die Selbstkontrolle [51], und die Organisationen sind gehalten, jene Teile eines der FTC vorgelegten Compliance- oder Sachstandsberichts, die den Datenschutzschild betreffen, öffentlich zu machen. Darüber hinaus führt die FTC eine Online-Liste der Unternehmen, die Anordnungen der FTC oder eines Gerichts im Zusammenhang mit dem Datenschutzschild unterliegen.

(56) Sechstens kann eine betroffene Person in der EU, sofern es nicht gelingt, einen Streit mithilfe einer dieser Möglichkeiten beizulegen, als letztes Mittel das Datenschutzschild-Panel, ein verbindliches Schiedsforum, in Anspruch nehmen. Die Organisationen müssen Privatpersonen darüber informieren, dass sie sich unter bestimmten Voraussetzungen für diese Möglichkeit entscheiden können, und sind verpflichtet, darauf zu reagieren, sobald eine Privatperson dieses Verfahren wählt, indem sie eine Mitteilung an die betroffene Organisation sendet [52].

(57) Das Panel besteht aus einem Pool von mindestens 20 Schiedsrichtern, die vom Handelsministerium und der Kommission aufgrund ihrer Unabhängigkeit, Integrität und Kenntnis des Datenschutzrechts der USA und der Europäischen Union benannt werden. Bei jedem Streit wählen die Parteien aus diesem Pool ein aus ein bis drei [53] Schiedsrichtern bestehendes Panel aus. Maßgeblich für die Schiedsverfahren sind Standardregeln, die zwischen dem Handelsministerium und der Kommission zu vereinbaren sind. Diese Regeln ergänzen den bereits vorhandenen Rahmen, der mehrere Merkmale enthält, welche die Zugänglichkeit dieses Instruments für Betroffene in der EU sehr erleichtern: i) Sie können sich bei der Ausarbeitung ihrer Beschwerde vor dem Panel von ihrer nationalen Datenschutzbehörde unterstützen lassen; ii) das Schiedsverfahren findet zwar in den Vereinigten Staaten statt, doch können sich betroffene Personen in der EU für eine Teilnahme per Video- oder Telefonkonferenz entscheiden, die für den Einzelnen mit keinen Kosten verbunden ist; iii) zwar ist in der Regel Englisch die Verfahrenssprache, doch werden auf einen begründeten Antrag hin normalerweise [54] Dolmetscher für die mündliche Verhandlung sowie Übersetzer bereitgestellt, ohne dass sich daraus Kosten für die betroffene Person ergeben; iv) jede Partei muss selbst für die anfallenden Anwaltsgebühren aufkommen, wenn sie sich vor dem Panel von einem Anwalt vertreten lässt; das Handelsministerium wird aber einen Fonds mit jährlichen Beiträgen der Mitgliedsorganisationen des Datenschutzschilds einrichten, der bis zu einem von den amerikanischen Behörden in Abstimmung mit der Kommission festzulegenden Höchstbeitrag die erstattungsfähigen Kosten des Schiedsverfahrens abdeckt.

(58) Das Datenschutzschild-Panel ist befugt, „einzelfallbezogene, nichtmonetäre billigkeitsrechtliche Ansprüche“ [55] anzuerkennen, um Verstöße gegen die Grundsätze abzustellen. Zwar berücksichtigt das Panel dabei die bereits von anderen Instrumenten des Datenschutzschilds erwirkten Abhilfemaßnahmen, doch steht es Privatpersonen frei, das Schiedsverfahren in Anspruch zu nehmen, wenn sie die anderen Abhilfemaßnahmen für unzureichend erachten. Damit können betroffene Personen in der EU in allen Fällen auf das Schiedsverfahren zurückgreifen, in denen die Vorgehensweise oder Untätigkeit der zuständigen amerikanischen Behörden (beispielsweise der FTC) nicht zu einer zufriedenstellenden Klärung ihrer Beschwerden geführt hat. Das Schiedsverfahren kann nicht in Anspruch genommen werden, wenn eine Datenschutzbehörde rechtlich befugt ist, bei einem selbstzertifizierten US-Unternehmen die in Frage stehende Beschwerde selbst zu klären, nämlich in solchen Fällen, in denen die Organisation entweder bei der Verarbeitung von Personaldaten im Rahmen eines Beschäftigungsverhältnisses zur Zusammenarbeit mit den Datenschutzbehörden und zur Befolgung ihrer Empfehlungen verpflichtet ist oder eine solche Verpflichtung freiwillig eingegangen ist. Einzelpersonen können den Schiedsspruch auf der Grundlage des Federal Arbitration Act vor amerikanischen Gerichten durchsetzen, sodass ihnen ein Rechtsbehelf zur Verfügung steht, falls sich ein Unternehmen nicht daran hält.

(59) Siebtens: Wenn sich eine Organisation nicht an ihre Zusage hält, die Grundsätze und die veröffentlichten Datenschutzbestimmungen einzuhalten, bieten die Rechtsvorschriften der US-Bundesstaaten gegebenenfalls zusätzliche Möglichkeiten, um im Rahmen des Deliktrechts und in Fällen von arglistiger Täuschung, unlauteren oder irreführenden Handlungen oder Praktiken bzw. Vertragsbruch rechtlich gegen sie vorzugehen.

(60) Wenn eine Datenschutzbehörde ferner nach Eingang der Beschwerde einer betroffenen Person in der EU zu der Feststellung gelangt, dass die Übermittlung der personenbezogenen Daten einer Person an eine amerikanische Organisation unter Verstoß gegen das EU-Datenschutzrecht durchgeführt wird, einschließlich der Fälle, in denen der Datenexporteur Anlass zu der Annahme hat, dass die amerikanische Organisation sich nicht an die Grundsätze hält, kann sie auch ihre Befugnisse gegenüber dem Datenexporteur ausüben und erforderlichenfalls die Aussetzung der Datenübermittlung anordnen.

(61) In Anbetracht der in diesem Abschnitt dargelegten Informationen geht die Kommission davon aus, dass die vom Handelsministerium der USA herausgegebenen Datenschutzgrundsätze als solche ein Schutzniveau personenbezogener Daten gewährleisten, das dem Niveau der in der Richtlinie 95/46/EG verankerten materiell-rechtlichen Grundsätze der Sache nach gleichwertig ist.

(62) Zudem garantieren die Transparenzpflichten und die Verwaltung sowie Überprüfung der Einhaltung des Datenschutzschilds durch das Handelsministerium die wirksame Anwendung der Datenschutzgrundsätze.

(63) Des Weiteren geht die Kommission davon aus, dass insgesamt gesehen die vom Datenschutzschild vorgesehenen Rechtsschutz- und Durchsetzungsinstrumente es gestatten, Verstöße von dem Datenschutzschild angehörenden Organisationen gegen die Grundsätze in der Praxis aufzudecken und zu ahnden, und dass damit den betroffenen Personen Rechtsbehelfe an die Hand gegeben werden, um Zugang zu den sie betreffenden personenbezogenen Daten zu erlangen und letzten Endes die Korrektur oder Löschung dieser Daten zu erwirken.

3. ABFRAGE UND NUTZUNG PERSONENBEZOGENER DATEN, DIE IM RAHMEN DES EU-US-DATENSCHUTZSCHILDS ÜBERMITTELT WERDEN, DURCH STAATLICHE STELLEN DER USA

(64) Wie aus Anhang II Abschnitt I.5 hervorgeht, wird die Einhaltung der Grundsätze so weit eingeschränkt, wie dies aus Gründen der nationalen Sicherheit, des öffentlichen Interesses oder der Strafverfolgung erforderlich ist.

(65) Die Kommission hat die Einschränkungen und Garantien bewertet, die im amerikanischen Recht für im Rahmen des EU-US-Datenschutzschilds übermittelte Daten gelten, welche durch staatliche Einrichtungen der USA aus Gründen der nationalen Sicherheit, der Strafverfolgung oder anderer im öffentlichen Interesse liegender Ziele gesammelt und genutzt werden. Überdies hat die Regierung der USA über das Amt des Director of National Intelligence (ODNI) [56] der Kommission gegenüber detaillierte Erklärungen abgegeben und Zusagen gemacht, die in Anhang VI dieses Beschlusses enthalten sind. In einem Schreiben, das vom Außenminister unterzeichnet wurde und diesem Beschluss als Anhang III beigefügt ist, hat sich die Regierung der USA zudem verpflichtet, eine neue Aufsichtsinstanz für Eingriffe aus Gründen der nationalen Sicherheit ins Leben zu rufen, die Ombudsperson des Datenschutzschilds (Privacy Shield Ombudsperson), die von der Intelligence Community unabhängig ist. Außerdem werden in einer Erklärung des Justizministeriums der USA, die in Anhang VII des vorliegenden Beschlusses enthalten ist, die Einschränkungen und Garantien dargelegt, die für die Sammlung und Nutzung von Daten durch staatliche Stellen für Zwecke der Strafverfolgung und andere im öffentlichen Interesse liegende Ziele gelten. Um für größere Transparenz zu sorgen und die Rechtsverbindlichkeit dieser Zusagen zu unterstreichen, werden alle aufgeführten und diesem Beschluss beigefügten Schriftstücke im Bundesregister der USA veröffentlicht.

(66) Auf die Feststellungen der Kommission zu den Beschränkungen der Sammlung und Nutzung von personenbezogenen Daten, die aus der Europäischen Union in die Vereinigten Staaten übermittelt werden, durch staatliche Stellen der USA und zum Vorhandensein eines effektiven Rechtsschutzes wird nachfolgend näher eingegangen.

3.1. Sammlung und Nutzung durch staatliche Stellen der USA aus Gründen der nationalen Sicherheit

(67) Aus der Analyse der Kommission geht hervor, dass die Rechtsvorschriften der USA die Sammlung und Nutzung von im Rahmen des EU-US-Datenschutzschilds übermittelten personenbezogenen Daten für Zwecke der nationalen Sicherheit einer Reihe von Beschränkungen unterwerfen sowie Aufsichtsverfahren und Rechtsschutzinstrumente vorsehen, die hinreichende Garantien für den wirksamen Schutz dieser Daten vor rechtswidrigen Eingriffen und Missbrauch enthalten [57]. Seit dem Jahr 2013, in dem die Kommission ihre zwei Mitteilungen veröffentlichte (siehe Erwägungsgrund 7), ist der rechtliche Rahmen spürbar verstärkt worden, wie im Folgenden dargelegt.

3.1.1. Einschränkungen

(68) Nach der Verfassung der USA fällt die Gewährleistung der nationalen Sicherheit in die Zuständigkeit des Präsidenten als Oberbefehlshaber, Staatsoberhaupt und, soweit die Auslandsaufklärung betroffen ist, Verantwortlicher für die Außenpolitik der USA [58]. Der Kongress ist zwar befugt, ihm Beschränkungen aufzuerlegen, und hat von diesem Recht mehrfach Gebrauch gemacht, doch kann der Präsident innerhalb dieser Grenzen die Aktivitäten der amerikanischen Intelligence Community lenken, insbesondere durch Executive Orders oder Presidential Directives. Dies gilt natürlich auch für Bereiche, in denen keine Vorgaben des Kongresses zu befolgen sind. Zwei zentrale Rechtsvorschriften dieser Art sind die Executive Order 12333 („E.O. 12333“) [59] und die Presidential Policy Directive 28.

(69) Die am 17. Januar 2014 erlassene Presidential Policy Directive 28 („PPD-28“) bringt eine Reihe von Einschränkungen für die „Signalaufklärung“ mit sich [60]. Diese Verordnung ist für die Nachrichtendienste der USA verbindlich [61] und bleibt auch bei einem Regierungswechsel in Kraft [62]. Die PPD-28 ist für Personen außerhalb der USA, darunter Betroffene in der EU, von besonderer Bedeutung. Sie enthält unter anderem folgende Festlegungen:

1. Die Signalaufklärung muss gesetzlich geregelt oder vom Präsidenten autorisiert sein und muss im Einklang mit der Verfassung der USA (insbesondere dem 4. Zusatzartikel) und dem amerikanischen Recht stehen;

2. alle Personen sind unabhängig von ihrer Nationalität oder ihrem Wohnort würde- und respektvoll zu behandeln;

3. alle Personen haben berechtigte Datenschutzinteressen beim Umgang mit ihren personenbezogenen Informationen;

4. die Privatsphäre und die bürgerlichen Freiheiten sind integraler Bestandteil aller Überlegungen bei der Planung der signalerfassenden Aufklärung in den USA;

5. die Signalaufklärung der USA muss daher angemessene Garantien für die personenbezogenen Informationen aller Privatpersonen unabhängig von ihrer Nationalität oder ihres Wohnorts einschließen.

(70) In der PPD-28 ist festgelegt, dass die Signalaufklärung ausschließlich dann zum Einsatz kommt, wenn dies der Auslandsaufklärung oder Spionageabwehr dient und im Interesse der Regierung oder einzelner Ministerien liegt, nicht aber zu anderen Zwecken (etwa um US-Unternehmen einen Wettbewerbsvorteil zu verschaffen). Dem ODNI zufolge sollten die Nachrichtendienste „wann immer dies praktikabel erscheint, die Erhebung auf spezifische Aufklärungsziele oder -themen im Ausland konzentrieren, indem sie Selektoren (z. B. konkrete Objekte, Suchkriterien und Identifikatoren) heranziehen“ [63]. Darüber hinaus bieten die Erklärungen des ODNI die Gewähr, dass Entscheidungen über die Nachrichtengewinnung nicht dem Ermessen einzelner Geheimdienstmitarbeiter überlassen bleiben, sondern Gegenstand der Strategien und Verfahren sind, die von den verschieden Nachrichtendiensten der USA zur Umsetzung der PPD-28 zu erarbeiten sind [64]. Dementsprechend erfolgen die Ermittlung und die Festlegung geeigneter Selektoren im Rahmen des „National Intelligence Priorities Framework“ (NIPF), der dafür sorgt, dass die Schwerpunkte der nachrichtendienstlichen Tätigkeit auf hoher politischer Ebene bestimmt und regelmäßig überprüft werden, damit sie jederzeit den Anforderungen der nationalen Sicherheit genügen und mögliche Risiken, auch eine Gefährdung der Privatsphäre, berücksichtigen [65]. Auf dieser Grundlage untersuchen und benennen Mitarbeiter der Nachrichtendienste konkrete Suchkriterien, anhand derer Erkenntnisse aus dem Ausland gewonnen werden können, die den Schwerpunkten entsprechen [66]. Die Suchkriterien oder Selektoren müssen regelmäßig daraufhin überprüft werden, ob sie weiterhin wertvolle Erkenntnisse entsprechend den gesetzten Schwerpunkten liefern [67].

(71) Außerdem heißt es in der PPD-28, dass die Datensammlung immer [68] so „zielgenau wie möglich“ erfolgen und die Intelligence Community vorrangig auf andere Informationen und auf geeignete und machbare Alternativen zurückgreifen soll [69], worin eine allgemeine Bevorzugung gezielter Erfassung gegenüber der Sammelerhebung zum Ausdruck kommt. Den Zusicherungen des ODNI zufolge wird so vor allem sichergestellt, dass eine Sammelerhebung nicht „massenhaft“ oder „anlassunabhängig“ erfolgt und dass die Ausnahme nicht zur Regel wird [70].

(72) Zwar heißt es in der PPD-28, dass Nachrichtendienste unter bestimmten Umständen auf die Sammelerhebung zurückgreifen müssen, beispielweise um neue oder sich abzeichnende Bedrohungen zu erkennen, aber die Dienste sind gehalten, Alternativen den Vorzug zu geben, die eine gezielte Signalaufklärung ermöglichen [71]. Die Sammelerhebung wird folglich nur gestattet. wenn die gezielte Erhebung mithilfe von Selektoren – d. h. zielgenauen Suchkriterien wie der E-Mail-Adresse oder Telefonnummer einer Zielperson – „aufgrund technischer oder operativer Erwägungen“ nicht möglich ist [72] . Dies gilt sowohl für die Art und Weise, in der Signalaufklärungsdaten erhoben werden, als auch für die Datensammlung selbst [73].

(73) Den Erklärungen des ODNI zufolge sind die Nachrichtendienste bemüht, auch wenn sie nicht auf zielgenaue Suchkriterien zurückgreifen können, die Datenerhebung „so weit wie möglich“ einzugrenzen. Dazu setzen sie „Filter und andere technische Mittel ein, um die Datensammlung auf solche Kommunikationsvorgänge zu konzentrieren, die nachrichtendienstliche Erkenntnisse versprechen“ (und berücksichtigen damit die von US-Politikern gemäß dem im Erwägungsgrund 70 dargestellten Prozess aufgestellten Anforderungen). Im Ergebnis wird die Sammelerhebung zumindest auf zweierlei Weise zielgerichtet eingesetzt: Erstens werden damit immer konkrete Ziele der Auslandsaufklärung verfolgt (z. B. Signalaufklärung zur Erlangung von Erkenntnissen über Terroristengruppen, die in einer bestimmten Region operieren) und vor allem diesbezügliche Kommunikationsdaten erhoben. Wie das ODNI dazu ausführte, ist dies auch daran abzulesen, dass „die Signalaufklärung der Vereinigten Staaten nur einen Bruchteil der Kommunikationsvorgänge im Internet erfasst“ [74]. Zweitens ist den Erläuterungen des ODNI zu entnehmen, dass die Filter und sonstigen technischen Mittel so konzipiert sind, dass die Erhebung „so präzise wie möglich“ erfolgt, um den Anteil „nichtrelevanter“ Informationen auf ein Mindestmaß zu reduzieren.

(74) Letztendlich beschränkt aber selbst in dem Fall, dass die Vereinigten Staaten die Sammelerhebung von Signalaufklärungsdaten für erforderlich halten, die PPD-28 unter den in den Erwägungsgründen 70-73 dargelegten Voraussetzungen die Nutzung derartiger Informationen auf einen spezifischen Katalog von sechs Zielsetzungen der nationalen Sicherheit, um die Privatsphäre und die bürgerlichen Freiheiten aller Personen unabhängig von ihrer Nationalität und ihrem Wohnort zu schützen [75]. Diese zulässigen Zielsetzungen umfassen Maßnahmen zur Aufdeckung und Abwehr von Bedrohungen, die sich aus Spionage, Terrorismus, Massenvernichtungswaffen, Bedrohungen der Netz- und Informationssicherheit, möglichen Anschlägen auf die Streitkräfte und militärisches Personal ergeben, sowie von länderübergreifenden kriminellen Bedrohungen, die mit den anderen fünf Zielsetzungen im Zusammenhang stehen, und unterliegen einer zumindest jährlichen Überprüfung. Den Erklärungen der amerikanischen Regierung zufolge haben die Nachrichtendienste ihre Analyseverfahren und -standards für die Abfrage ungeprüfter Signalaufklärungsdaten verschärft, um diesen Anforderungen zu genügen. Gezielte Abfragen „stellen sicher, dass den Analysten nur Vorgänge vorgelegt werden, die einen potenziellen Erkenntniswert aufweisen“ [76].

(75) Von Belang sind diese Einschränkungen insbesondere für personenbezogene Daten, die im Rahmen des EU-US-Datenschutzschilds übermittelt werden, vor allem wenn die Sammlung der Daten außerhalb der Vereinigten Staaten erfolgt, was die Übermittlung über transatlantische Kabel zwischen der EU und den USA einschließt. Wie von den US-Behörden in den Erklärungen des ODNI bestätigt wurde, gelten die in diesem Beschluss dargelegten Beschränkungen und Garantien – darunter jene der PPD-28 – für eine solche Sammlung [77].

(76) Diese Prinzipien bringen den Wesensinhalt der Grundsätze der Notwendigkeit und der Verhältnismäßigkeit zum Ausdruck, auch wenn diese Begriffe nicht ausdrücklich verwendet werden. Die gezielte Sammlung hat eindeutig Vorrang, wohingegen die Sammelerhebung auf (Ausnahme-)Situationen beschränkt wird, in denen die gezielte Sammlung aus technischen oder operativen Gründen nicht möglich ist. Selbst wenn sich die Sammelerhebung nicht vermeiden lässt, ist die weitere „Nutzung“ derartiger Daten stark eingeschränkt und nur für konkrete und berechtigte Zielsetzungen der nationalen Sicherheit zulässig [78].

(77) Da es sich um eine Direktive des Präsidenten in seiner Eigenschaft als Staatsoberhaupt handelt, sind ihre Bestimmungen für die gesamte Intelligence Community verbindlich und inzwischen durch Regeln und Verfahren der Nachrichtendienste weiter ausgestaltet worden, die die allgemeinen Grundsätze in konkrete Anleitungen für die alltägliche Praxis umsetzen. Der Kongress ist zwar selbst nicht an die PPD-28 gebunden, hat aber gleichfalls Schritte eingeleitet, um sicherzustellen, dass die Erhebung und die Abfrage personenbezogener Daten in den USA gezielt und nicht „anlassunabhängig“ erfolgen.

(78) Aus den verfügbaren Informationen, darunter den Erklärungen der amerikanischen Regierung, ergibt sich, dass nach der Übermittlung von Daten an Organisationen mit Sitz in den USA, die sich für eine Selbstzertifizierung unter dem EU-US-Datenschutzschild entschieden haben, die amerikanischen Nachrichtendienste personenbezogene Daten nur sammeln dürfen [79], wenn ihr Antrag mit dem Foreign Intelligence Surveillance Act (FISA) im Einklang steht oder über einen National Security Letter (NSL) des Federal Bureau of Investigation (FBI) erfolgt [80]. Der FISA sieht verschiedene Rechtsgrundlagen vor, die herangezogen werden können, um die im Rahmen des EU-US-Datenschutzschilds von betroffenen Personen in der EU übermittelten personenbezogenen Daten zu erheben (und anschließend zu verarbeiten). Abgesehen von § 104 FISA [81], der die herkömmliche individuelle elektronische Überwachung zum Gegenstand hat, und § 402 FISA [82], der den Einsatz von Geräten zur Rufnummernerfassung von ausgehenden und eingehenden Anrufen regelt, sind die beiden wichtigsten Rechtsgrundlagen § 501 des FISA (vormals § 215 des U.S. PATRIOT ACT) und § 702 des FISA [83].

(79) In diesem Zusammenhang untersagt der USA FREEDOM Act, der am 2. Juni 2015 in Kraft getreten ist, die Sammelerhebung von Daten auf der Grundlage von § 402 des FISA (Rufnummernerfassung), § 501 des FISA (vormals § 215 des U.S. PATRIOT ACT) [84] und durch die Verwendung von NSL und verlangt stattdessen die Anwendung konkreter „Suchkriterien“ [85].

(80) Wenngleich der FISA weitere Rechtsgrundlagen für die nachrichtendienstliche Tätigkeit auf nationaler Ebene enthält, wozu auch die Signalaufklärung gehört, zeigt die Bewertung der Kommission, dass diese Rechtsgrundlagen im Falle der Übermittlung personenbezogener Daten unter dem EU-US-Datenschutzschild ebenfalls Eingriffe staatlicher Behörden auf die gezielte Sammlung und den gezielten Zugang einschränken.

(81) Dies betrifft eindeutig die herkömmliche individuelle elektronische Überwachung gemäß § 104 FISA [86]. Im Falle von § 702 FISA, der die Grundlage für zwei wichtige Aufklärungsprogramme der amerikanischen Nachrichtendienste (PRISM, UPSTREAM) bildet, erfolgt die Suche gezielt durch die Verwendung individueller Selektoren, die konkrete Kommunikationseinrichtungen identifizieren, so etwa die E-Mail-Adresse oder die Telefonnummer der Zielperson, aber nicht Stichwörter oder gar die Namen von Zielpersonen [87]. Wie das Privacy and Civil Liberties Oversight Board (PCLOB) zum Ausdruck gebracht hat, geht es bei der Überwachung gemäß § 702 „ausschließlich um konkrete Zielpersonen [die nicht Bürger der USA sind], deren Auswahl eine Einzelfallprüfung voraussetzt“ [88]. Aufgrund einer „Auslaufklausel“ muss § 702 des FISA im Jahr 2017 überprüft werden, und die Kommission muss zu diesem Zeitpunkt eine Neubewertung der Garantien vornehmen, die betroffenen Personen in der EU zur Verfügung stehen.

(82) Überdies hat die Regierung der USA der Europäischen Kommission in ihren Erklärungen ausdrücklich zugesichert, dass die Intelligence Community der USA „keine systematische anlassunabhängige Überwachung von Personen betreibt, was normale europäische Bürger einschließt“ [89]. Was in den USA erhobene personenbezogene Daten anbelangt, wird diese Erklärung durch empirische Erkenntnisse untermauert, wonach die Zugriffsanfragen über NSL und gemäß FISA sowohl einzeln betrachtet als auch zusammengenommen nur eine relativ kleine Anzahl von Zielpersonen betreffen, wenn man den Datenverkehr im Internet insgesamt betrachtet [90].

(83) Im Hinblick auf den Zugang zu erhobenen Daten und die Datensicherheit schreibt die PPD-28 vor, dass der Zugriff „auf befugte Mitarbeiter zu beschränken ist, die diese Informationen für die Erfüllung ihres Auftrags benötigen“ und dass personenbezogene Daten „unter Bedingungen zu verarbeiten und zu speichern sind, die hinreichenden Schutz gewährleisten und den Zugriff unbefugter Personen verhindern, was mit den für sensible Informationen geltenden Garantien im Einklang steht“. Mitarbeiter der Nachrichtendienste sind auf angemessene Weise hinreichend mit den in der PPD-28 dargelegten Grundsätzen vertraut zu machen [91].

(84) Was abschließend die Speicherung und Weitergabe personenbezogener Daten betrifft, die Nachrichtendienste der USA von Betroffenen in der EU erheben, verlangt PPD-28, dass alle Personen (einschließlich Nicht-US-Bürger) würde- und respektvoll zu behandeln sind, dass alle Personen berechtigte Datenschutzinteressen beim Umfang mit ihren personenbezogenen Daten haben und dass die Nachrichtendienste folglich dafür sorgen müssen, dass für derartige Daten angemessene Schutzvorkehrungen getroffen werden, „die vernünftiger Weise so konzipiert sind, dass sie deren Weitergabe und Speicherung auf ein Mindestmaß beschränken“ [92].

(85) Den Erläuterungen der US-Regierung zufolge bedeutet dieses Erfordernis, dass die Nachrichtendienste nicht alle „theoretisch möglichen Maßnahmen“ ergreifen dürfen, sondern „ihre Bemühungen um den Schutz der legitimen Interessen auf dem Gebiet des Datenschutzes und der bürgerlichen Freiheiten mit den praktischen Erfordernissen der Signalaufklärung in Einklang zu bringen haben“ [93]. In dieser Hinsicht werden Nicht-US-Bürger auf der Grundlage von Verfahren, die der Justizminister gebilligt hat, ebenso behandelt wie US-Bürger [94].

(86) Nach diesen Regeln ist die Speicherung im Allgemeinen auf einen Zeitraum von höchsten fünf Jahren begrenzt, sofern dem nicht ein konkretes Gerichtsurteil oder – nach sorgfältiger Prüfung von Datenschutzfragen und Berücksichtigung der Auffassung des ODNI Civil Liberties Protection Officer sowie der Datenschutz- und Bürgerrechtsbeauftragten der Behörde – eine ausdrückliche Entscheidung des Director of National Intelligence entgegensteht, wonach eine längere Speicherung im Interesse der nationalen Sicherheit liegt [95]. Eine Weitergabe ist auf Fälle beschränkt, in denen die Informationen für den eigentlichen Zweck der Erhebung von Belang sind und daher einem autorisierten Zweck der Auslandsaufklärung oder Strafverfolgung dienen [96].

(87) Den Zusicherungen der US-Regierung zufolge dürfen personenbezogene Daten nicht einfach deshalb weitergegeben werden, weil die betreffende Person kein US-Bürger ist. Vielmehr „würde Signalaufklärung über die alltäglichen Aktivitäten eines ausländischen Staatsangehörigen nicht als Auslandsaufklärung angesehen, die man allein aus diesem Grund weitergeben oder dauerhaft speichern darf, ohne dass sie einem autorisierten Zweck der Auslandsaufklärung dient“ [97].

(88) Aufgrund der geschilderten Sachlage gelangt die Kommission zu dem Schluss, dass in den Vereinigten Staaten Regeln gelten, die darauf abzielen, Eingriffe aus Gründen der nationalen Sicherheit in die Grundrechte von Personen, deren personenbezogene Daten im Rahmen des EU-US-Datenschutzschilds aus der EU in die USA übermittelt werden, auf das absolut notwendige Maß zu begrenzen, das für die Erreichung des jeweiligen legitimen Ziels erforderlich ist.

(89) Wie die hier vorgenommene Analyse gezeigt hat, gewährleistet das amerikanische Recht, dass Überwachungsmaßnahmen nur zur Erlangung von Daten zur Auslandsaufklärung dienen – was ein legitimes politisches Ziel darstellt [98] – und möglichst zielgenau ausgeführt werden. Insbesondere wird die Sammelerhebung nur in Ausnahmefällen genehmigt, in denen eine gezielte Sammlung nicht möglich ist, und geht mit zusätzlichen Schutzvorkehrungen einher, um die Menge der erhobenen Daten und den anschließenden Zugang (der nur für spezifische Zwecke gestattet wird) auf ein Mindestmaß zu begrenzen.

(90) Nach Einschätzung der Kommission entspricht dies dem Maßstab, den der Gerichtshof im Urteil Schrems angelegt hat, wonach Gesetze, die Eingriffe in die von Artikel 7 und 8 der Charta garantierten Grundrechte vorsehen, „Mindestanforderungen“ [99] vorschreiben und eine Regelung „nicht auf das absolut Notwendige beschränkt ist […], die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne ein objektives Kriterium vorzusehen, das es ermöglicht, den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit deren Nutzung verbundenen Eingriff zu rechtfertigen vermögen.“ [100] Auch wird es keine unbeschränkte Sammlung und Speicherung von Daten aller Personen geben. Die der Kommission gegenüber abgegebenen Erklärungen, darunter die Zusicherung, dass die US-Aktivitäten zur Signalaufklärung nur einen Bruchteil der Kommunikationsvorgänge im Internet berühren, schließen zudem die Möglichkeit aus, „generell“ [101] auf den Inhalt elektronischer Kommunikation zuzugreifen.

3.1.2. Wirksamer Rechtsschutz

(91) Die Kommission hat sowohl die Aufsichtsinstrumente geprüft, die in den USA bei Eingriffen der US-Nachrichtendienste in die dorthin übermittelten personenbezogenen Daten zur Verfügung stehen, als auch die Rechtsbehelfe, die betroffene Privatpersonen in der EU in Anspruch nehmen können.

Aufsicht

(92) Die Intelligence Community der USA unterliegt der Kontrolle und Aufsicht durch verschiedene Einrichtungen aller drei Gewalten des Staates. Dazu zählen interne und externe Exekutivorgane, eine Reihe von Kongressausschüssen sowie die Gerichte, die speziell die Aktivitäten im Rahmen des Foreign Intelligence Surveillance Act beaufsichtigen.

(93) Erstens unterliegt jegliche nachrichtendienstliche Tätigkeit von US-Behörden einer umfassenden Beaufsichtigung durch die Exekutive.

(94) Gemäß PPD-28, § 4(a)(iv), umfassen die Maßnahmen und Verfahren der Nachrichtendienste „geeignete Schritte, um die Überwachung der Durchsetzung von Garantien zum Schutz personenbezogener Informationen zu erleichtern“; diese Schritte sollten auch regelmäßige Audits einschließen [102].

(95) Dazu wurden mehrere Ebenen der Überwachung eingerichtet, darunter Bürgerrechts- oder Datenschutzbeauftragte, Generalinspekteure, das ODNI Civil Liberties and Privacy Office, das PCLOB und das Intelligence Oversight Board des Präsidenten. Für die Überwachungsaufgaben stehen in sämtlichen Behörden Compliance-Mitarbeiter zur Verfügung [103].

(96) Wie von der US-Regierung erläutert [104], sind Bürgerrechts- oder Datenschutzbeauftragte mit Überwachungsfunktionen in verschiedenen Abteilungen mit nachrichtendienstlichen Aufgaben und in Nachrichtendiensten tätig [105]. Zwar unterscheiden sich die konkreten Befugnisse dieser Beauftragten in beschränktem Maβe in Abhängigkeit von der Rechtsgrundlage, doch umfassen sie in der Regel die Aufsicht über Verfahren, mit denen sichergestellt werden soll, dass die betreffende Abteilung/der betreffende Nachrichtendienst die Belange des Datenschutzes und der bürgerlichen Freiheiten hinreichend beachtet und geeignete Vorkehrungen getroffen hat, um Beschwerden von Einzelpersonen nachzugehen, die der Meinung sind, dass ihre Privatsphäre oder ihre Bürgerrechte verletzt wurden (in manchen Fällen, so im ODNI, sind die Beauftragten selbst zur Untersuchung von Beschwerden befugt) [106]. Der Leiter der Abteilung/des Nachrichtendiensts muss sicherstellen, dass die Beauftragten alle Informationen und Zugang zu allen Materialien erhalten, die sie für die Wahrnehmung ihrer Aufgaben benötigen. Die Bürgerrechts- und Datenschutzbeauftragten übermitteln dem Kongress und dem PCLOB regelmäßig einen Bericht mit Angaben zur Anzahl und Art der bei der der Abteilung/beim Nachrichtendienst eingegangenen Beschwerden sowie einem Überblick über die Bearbeitung der Beschwerden, die durchgeführten Überprüfungen und Recherchen und die Auswirkungen der von den Beauftragten geleisteten Arbeit [107]. Nach Einschätzung der nationalen Datenschutzbehörden ist die interne Überwachung durch Bürgerrechts- und Datenschutzbeauftragte als „relativ robust“ anzusehen, auch wenn diese nicht das erforderliche Maß an Unabhängigkeit aufweisen [108].

(97) Darüber hinaus hat jeder Nachrichtendienst seinen eigenen Generalinspekteur, der unter anderem für die Kontrolle der Auslandsaufklärung zuständig ist [109]. Im ODNI besteht ein Büro des Generalinspekteurs mit umfassender Zuständigkeit für die gesamte Intelligence Community, das befugt ist, Beschwerden oder Hinweisen auf rechtswidriges Verhalten oder Amtsmissbrauch nachzugehen, die mit Programmen und Aktivitäten des ODNI und/oder der Intelligence Community im Zusammenhang stehen [110]. Generalinspekteure sind rechtlich unabhängige [111] Instanzen, die für die Durchführung von Audits und Untersuchungen im Zusammenhang mit den nachrichtendienstlichen Programmen und Aktivitäten der jeweiligen Behörde zuständig sind, darunter auch für Missbrauchsfälle oder Rechtsverstöße [112]. Sie haben Zugriff auf alle Unterlagen, Berichte, Audits, Überprüfungen, Dokumente, Schriftstücke, Empfehlungen oder sonstiges einschlägiges Material, dessen Herausgabe sie notfalls unter Strafandrohung anordnen können, und sind zur Beweisaufnahme berechtigt [113]. Zwar können die Generalinspekteure nur Empfehlungen für Korrekturmaßnahmen abgeben, die nicht bindend sind, doch werden ihre Berichte, auch über die ergriffenen (oder unterlassenen) Folgemaßnahmen, öffentlich gemacht und darüber hinaus dem Kongress übermittelt, der auf dieser Grundlage seine Kontrollfunktion wahrnehmen kann [114].

(98) Darüber hinaus wurde das Privacy and Civil Liberties Oversight Board, eine parteiübergreifende unabhängige Behörde [115] der Exekutive, deren fünf Mitglieder [116] vom Präsidenten mit Zustimmung des Senats für eine Amtszeit von sechs Jahren ernannt werden, mit der Aufgabe betraut, auf dem Gebiet der Terrorismusbekämpfung und ihrer Umsetzung für den Schutz der Privatsphäre und der bürgerlichen Freiheiten zu sorgen. Bei der Überprüfung der Tätigkeit der Nachrichtendienste hat sie Zugriff auf alle einschlägigen Unterlagen von Behörden wie Berichte, Audits, Überprüfungen, Dokumente, Schriftstücke und Empfehlungen, einschließlich der Geheimhaltung unterliegenden Informationen, kann Befragungen durchführen und Zeugen vernehmen. Die Behörde erhält Berichte von Bürgerrechts- und Datenschutzbeauftragten verschiedener Regierungsstellen [117], kann ihnen gegenüber Empfehlungen abgeben und erstattet regelmäßig den Ausschüssen des Kongresses und dem Präsidenten Bericht [118]. Das PCLOB hat die Aufgabe, im Rahmen seines Auftrags einen Bericht zu erstellen, in dem die Umsetzung der PPD-28 bewertet wird.

(99) Ergänzt werden die genannten Aufsichtsmechanismen durch das Intelligence Oversight Board, das innerhalb des Intelligence Advisory Board des Präsidenten eingerichtet wurde, um die Einhaltung der Verfassung und aller einschlägigen Vorschriften durch die US-Nachrichtendienste zu überwachen.

(100) Um die Aufsicht zu erleichtern, werden die Nachrichtendienste dazu angehalten, Informationssysteme zu konzipieren, die die Erfassung, Aufzeichnung und Nachprüfung von Anfragen und anderen Formen der Beschaffung personenbezogener Daten ermöglichen [119]. Die Kontroll- und Compliance-Gremien kontrollieren regelmäßig die Verfahren der Nachrichtendienste zum Schutz der personenbezogenen Informationen, die bei der Signalaufklärung anfallen, und die Einhaltung dieser Verfahren [120].

(101) Die Aufsichtstätigkeit geht zudem mit umfassenden Berichtspflichten bei fehlender Rechtsbefolgung einher. Insbesondere müssen die behördlichen Verfahren sicherstellen, dass im Falle eines wichtigen Compliance-Problems, bei dem es um personenbezogene Daten geht, die per Signalaufklärung von einer Person unabhängig von ihrer Nationalität erhoben wurden, das Problem unverzüglich dem Leiter des Nachrichtendienstes gemeldet wird, der seinerseits den Director of National Intelligence unterrichtet, dem es nach der PPD-28 obliegt zu entscheiden, ob Korrekturmaßnahmen erforderlich sind [121]. Überdies sind nach E.O. 12333 alle Nachrichtendienste verpflichtet, dem Intelligence Oversight Board Rechtsverstöße zu melden [122]. Diese Vorgehensweise gewährleistet, dass das Problem an die höchste Ebene der Intelligence Community weitergemeldet wird. Betrifft es einen Nicht-US-Bürger, entscheidet der Director of National Intelligence in Abstimmung mit dem Außenminister und dem Leiter der meldenden Regierungsstelle darüber, ob Schritte einzuleiten sind, um die betreffende ausländische Regierung in einer Weise davon in Kenntnis zu setzen, die mit dem Schutz der Quellen und Methoden und der US-Mitarbeiter vereinbar ist [123].

(102) Zweitens nimmt neben diesen Aufsichtsgremien der Exekutive auch der Kongress der USA, vor allem über die Ausschüsse des Repräsentantenhauses und des Senats für Nachrichtendienste und Justiz, Kontrollaufgaben wahr, die alle Formen der Auslandsaufklärung, darunter die US-Signalaufklärung, betreffen. Der National Security Act besagt: „Der Präsident stellt sicher, dass die Kongressausschüsse für die Nachrichtendienste umfassend und zeitnah über die nachrichtendienstliche Tätigkeit der Vereinigten Staaten unterrichtet werden, auch über wichtige bevorstehende nachrichtendienstliche Operationen, wie dieses Unterkapitel es erfordert.“ [124] Des Weiteren heißt es: „Der Präsident stellt sicher, dass den Kongressausschüssen für die Nachrichtendienste illegale nachrichtendienstliche Aktivitäten unverzüglich gemeldet werden, ebenso Korrekturmaßnahmen, die im Zusammenhang mit illegalen Aktivitäten ergriffen wurden bzw. geplant sind.“ [125] Die Mitglieder dieser Ausschüsse haben Zugriff auf Informationen, die der Geheimhaltung unterliegen, sowie auf nachrichtendienstliche Methoden und Programme [126].

(103) In späteren Gesetzen wurden die Berichtspflichten erweitert und präzisiert, soweit sie die Nachrichtendienste, die jeweiligen Generalinspekteure und den Justizminister betreffen. Beispielsweise heißt es im FISA, dass der Justizminister die Ausschüsse des Senats und des Repräsentantenhauses für Nachrichtendienste und Justiz über Aktivitäten der Regierung im Rahmen bestimmter Paragrafen des FISA „umfassend zu unterrichten“ habe [127]. Das Gesetz verpflichtet die Regierung auch dazu, den Kongressausschüssen „Kopien sämtlicher Entscheidungen, Anordnungen oder Stellungnahmen des Foreign Intelligence Surveillance Court oder des Foreign Intelligence Surveillance Court of Review zukommen zu lassen, die eine wichtige Auslegung oder Interpretation“ der FISA-Bestimmungen beinhalten. Bei der Überwachung gemäß § 702 FISA erfolgt die Aufsicht mittels gesetzlich vorgeschriebener Berichte an die Ausschüsse für Nachrichtendienste und Justiz sowie häufiger Informationsgespräche und Anhörungen. Dazu zählen ein halbjährlicher Bericht des Justizministers über die Anwendung von § 702 des FISA, dem die Compliance-Berichte des Justizministeriums und des ODNI und eine Beschreibung von Verstößen beigefügt sind [128], und eine gesonderte halbjährliche Einschätzung des Justizministers und des DNI, der die Einhaltung der Verfahren zur zielgenauen Sammlung und Minimierung dokumentiert, darunter auch die Einhaltung der Verfahren, die sicherstellen sollen, dass die Sammlung einem begründeten Ziel der Auslandsaufklärung dient [129]. Der Kongress erhält auch Berichte der Generalinspekteure, die befugt sind, die Einhaltung der Verfahren zur zielgenauen Sammlung und Minimierung und der Leitlinien des Justizministers zu bewerten.

(104) Gemäß dem USA FREEDOM Act von 2015 muss die US-Regierung alljährlich gegenüber dem Kongress (und der Öffentlichkeit) unter anderem die Anzahl der beantragten und genehmigten FISA-Anordnungen und -Direktiven sowie die geschätzte Anzahl der von Überwachungsmaßnahmen betroffenen US-Bürger und Nicht-US-Bürger offenlegen [130]. Das Gesetz verlangt zudem, die Öffentlichkeit zusätzlich über die Anzahl der erteilten NSL zu unterrichten, wiederum aufgeschlüsselt nach US-Bürgern und Nicht-US-Bürgern (wobei gleichzeitig aber den Empfängern von FISA-Anordnungen und -Zertifizierungen sowie NSL-Auskunftsersuchen gestattet wird, unter bestimmten Voraussetzungen Transparenzberichte vorzulegen) [131].

(105) Drittens kann bei nachrichtendienstlichen Aktivitäten von US-Behörden auf der Grundlage des FISA eine Überprüfung und in manchen Fällen die vorherige Genehmigung der Maßnahmen durch den FISA Court (FISC) [132], einem unabhängigen Gericht [133], verlangt werden, dessen Entscheidung vor dem Foreign Intelligence Court of Review (FISCR) [134] und in letzter Instanz vor dem Obersten Gericht der Vereinigten Staaten angefochten werden kann [135]. Im Falle der vorherigen Genehmigung müssen die antragstellenden Behörden (FBI, NSA, CIA usw.) einen Antragsentwurf bei Juristen der Abteilung Nationale Sicherheit des Justizministeriums einreichen, die die Angelegenheit prüfen und erforderlichenfalls zusätzliche Informationen anfordern [136]. In der Endfassung muss der Antrag dann vom Justizminister, seinem ersten Stellvertreter oder dem Stellvertreter für nationale Sicherheit gebilligt werden [137]. Das Justizministerium legt den Antrag anschließend dem FISC vor, das ihn prüft und eine vorläufige Entscheidung über das weitere Vorgehen trifft [138]. Findet eine Anhörung statt, ist das FISC befugt, Beweismittel zu erheben, wozu auch die Einholung von Gutachten gehören kann [139].

(106) Das FISC (und das FISCR) werden von einer ständigen Expertengruppe unterstützt, die aus fünf Sachverständigen für nationale Sicherheit und Bürgerrechte besteht [140]. Das Gericht benennt ein Mitglied dieser Gruppe als „Amicus curiae“, damit er bei der Prüfung eines Antrags auf Anordnung oder Überprüfung mitwirkt, der nach Auffassung des Gerichts eine neuartige oder bedeutsame Interpretation des Rechts beinhaltet, es sei denn, das Gericht hält eine solche Benennung nicht für angebracht [141]. Auf diese Weise soll vor allem sichergestellt werden, dass Datenschutzbelange bei der gerichtlichen Prüfung hinreichend Berücksichtigung finden. Das Gericht kann auch eine Einzelperson oder Organisation als Amicus curiae benennen, um bestimmte rechtliche Aspekte zu beleuchten, sofern ihm dies geboten erscheint, oder auf Antrag einer Einzelperson oder einer Organisation gestatten, einen Amicus-curiae-Schriftsatz („brief“) einzureichen [142].

(107) Bei den zwei Rechtsgrundlagen für eine Überwachung im Rahmen des FISA, die für die Datenübermittlung unter dem EU-US-Privacy Shield am wichtigsten sind, geht das FISC bei der Aufsicht unterschiedlich vor.

(108) Gemäß § 501 des FISA [143], der den Zugriff auf „materielle Objekte (darunter Bücher, Unterlagen, Schriftstücke, Dokumente und andere Objekte)“ gestattet, muss der Antrag an das FISC eine Darlegung des Sachverhalts enthalten, dem zufolge gewichtige Gründe dafür sprechen, dass die aufgeführten materiellen Objekte für eine autorisierte Ermittlung (nicht aber für eine Bedrohungsanalyse) von Belang sind, die auf die Beschaffung von Auslandsaufklärungsdaten gerichtet ist, deren Gegenstand keine US-Bürger sind, oder die dem Schutz vor internationalem Terrorismus oder geheimen nachrichtendienstlichen Aktivitäten dient. Zudem muss der Antrag die Minimierungsverfahren aufführen, die der Justizminister für die Speicherung und Weitergabe der erhobenen Aufklärungsdaten festgelegt hat [144].

(109) Hingegen autorisiert das FISC nach § 702 des FISA [145] keine individuellen Überwachungsmaßnahmen; vielmehr genehmigt es Überwachungsprogramme (wie PRISM oder UPSTREAM) auf der Grundlage jährlicher Zertifizierungen, die vom Justizminister und dem Director of National Intelligence vorgenommen werden. § 702 des FISA gestattet die gezielte Überwachung von Personen, die sich mit hinreichender Bestimmtheit außerhalb der Vereinigten Staaten aufhalten, um Auslandsaufklärungsdaten zu erlangen [146]. Die gezielte Überwachung durch die NSA erfolgt in zwei Schritten: Zunächst identifizieren Analysten der NSA Nicht-US-Bürger, die sich im Ausland befinden und deren Überwachung nach Einschätzung der Analysten zu den in der Zertifizierung angegebenen Auslandsaufklärungsdaten führt. Sobald diese Personen identifiziert sind und ihre gezielte Überwachung nach einem gründlichen Kontrollverfahren innerhalb der NSA genehmigt wurde [147], werden Selektoren, die Kommunikationseinrichtungen (wie E-Mail-Adressen) identifizieren, „aktiviert“ (d. h. erstellt und angewandt) [148]. Wie bereits angemerkt, enthalten die vom FISC zu bestätigenden Zertifizierungen keine Informationen über die einzelnen zu überwachenden Personen, sondern beziehen sich auf Kategorien von Auslandsaufklärungsdaten [149]. Das FISC beurteilt nicht – anhand eines hinreichenden Verdachts oder sonstigen Kriteriums –, ob die Personen vorschriftsgemäß als Zielpersonen für die Beschaffung von Auslandsaufklärungsdaten ausgewählt wurden [150], sondern überprüft die Einhaltung der Bestimmung, dass „ein wesentlicher Zweck der Datenerhebung darin besteht, Auslandsaufklärungsdaten zu erlangen“ [151]. Laut § 702 des FISA ist es nämlich der NSA nur dann gestattet, den Datenverkehr von Nicht-US-Bürgern außerhalb der USA zu erheben, wenn die begründete Annahme besteht, dass ein bestimmtes Kommunikationsmittel verwendet wird, um Daten zu übermitteln, die für die Auslandsaufklärung von Interesse sind (z. B. weil sie mit dem internationalen Terrorismus, der Weitergabe von Kernwaffen oder feindseligen Cyberaktivitäten in Verbindung stehen). Entscheidungen dieser Art sind gerichtlich anfechtbar [152]. Auch müssen die Zertifizierungen Verfahren zur zielgenauen Erfassung und Minimierung vorsehen [153]. Der Justizminister und der Director of National Intelligence überprüfen die Einhaltung der Grundsätze, und die Behörden sind verpflichtet, jegliche Verstöße dagegen dem FISC [154] (sowie dem Kongress und dem Intelligence Oversight Board des Präsidenten) zu melden, der daraufhin die Genehmigung abändern kann [155].

(110) Um die Effektivität der Überwachung durch das FISC zu erhöhen, hat sich die US-Regierung überdies bereit erklärt, eine Empfehlung des PCLOB umzusetzen, dem FICS Unterlagen zu Entscheidungen über eine zielgenaue Erfassung nach § 702 zukommen zu lassen, darunter eine Stichprobe der „tasking sheets“ (Überwachungspläne), damit das FISC beurteilen kann, wie in der Praxis die Vorgabe eingehalten wird, dass die Erhebung der Auslandsaufklärung dienen muss [156]. Zugleich hat die US-Regierung Maßnahmen eingeleitet, um die NSA-Verfahren für eine zielgenaue Erfassung weiter zu entwickeln, dass der Zweck der diesbezüglichen Entscheidungen – die Auslandsaufklärung – noch besser zum Ausdruck kommt [157].

Rechtsschutz für Privatpersonen

(111) Nach amerikanischem Recht steht Betroffenen in der EU eine Reihe von Möglichkeiten offen, wenn sie in Erfahrung bringen wollen, ob ihre personenbezogenen Daten von US-Nachrichtendiensten verarbeitet (erhoben, genutzt usw.) wurden, und sofern dies der Fall ist, ob die im amerikanischen Recht geltenden Einschränkungen befolgt wurden. Diese betreffen im Wesentlichen drei Bereiche: Eingriffe gemäß FISA; der vorsätzliche gesetzwidrige Zugriff auf personenbezogene Daten durch Regierungsbeamte; und der Zugang zu Informationen gemäß dem Freedom of Information Act (FOIA) [158].

(112) Erstens bietet der Foreign Intelligence Surveillance Act eine Reihe von Rechtsschutzinstrumenten, die auch Nicht-US-Bürger in Anspruch nehmen können, um gegen rechtswidrige elektronische Überwachung [159] vorzugehen. Beispielsweise haben Privatpersonen die Möglichkeit, eine Zivilklage auf Schadenersatz gegen die Vereinigten Staaten anzustrengen, wenn Informationen, die sie betreffen, gesetzwidrig und vorsätzlich genutzt oder offengelegt wurden [160]; US-Regierungsbeamte in persönlicher Eigenschaft (nach dem Grundsatz der Rechtsscheinhaftung) auf Schadenersatz zu verklagen [161]; und die Rechtmäßigkeit der Überwachung anzufechten (und auf die Unterdrückung der Informationen hinzuwirken), sofern die US-Regierung beabsichtigt, in den Vereinigten Staaten direkt oder mittelbar aus der elektronischen Überwachung gewonnene Erkenntnisse in einem Gerichts- oder Verwaltungsverfahren gegen die betroffene Person zu verwenden oder offenzulegen [162].

(113) Zweitens hat die US-Regierung die Kommission auf eine Reihe zusätzlicher Möglichkeiten hingewiesen, die betroffene Personen in der EU nutzen könnten, um rechtlich gegen Regierungsbeamte wegen des rechtswidrigen Zugangs zu, oder der Verarbeitung personenbezogener Daten, auch für vorgebliche Ziele der nationalen Sicherheit, vorzugehen (Computer Fraud and Abuse Act [163]; Electronic Communications Privacy Act [164]; und Right to Financial Privacy Act [165]). All diese Klagegründe betreffen spezifische Daten, Zielpersonen und/oder Arten des Zugriffs (z. B. Fernzugriff auf einen Computer über das Internet) und können unter bestimmten Umständen in Anspruch genommen werden (z. B. vorsätzliches Handeln, Überschreitung der Befugnisse, erlittener Schaden) [166]. Eine allgemeinere Möglichkeit des Rechtsschutzes bietet der Administrative Procedure Act (5 U.S.C. § 702), wonach „eine Person, die durch Handlungen einer Behörde einen Schaden oder Nachteil erleidet“, berechtigt ist, eine gerichtliche Nachprüfung zu beantragen. Dazu gehört die Möglichkeit, das Gericht zu ersuchen, „Handlungen, Feststellungen und Schlussfolgerungen einer Behörde, die für ... willkürlich, mutwillig, die Befugnisse überschreitend oder anderweitig rechtswidrig befunden werden, für null und nichtig zu erklären“ [167].

(114) Darüber hinaus benannte die US-Regierung den Freedom of Information Act als Mittel, mit dem Nicht-US-Bürger Zugang zu vorhandenen Unterlagen von Bundesbehörden erlangen können, auch zu solchen, die personenbezogene Daten der betreffenden Personen enthalten [168]. Aufgrund seines zentralen Anliegens eröffnet der FOIA einerseits keine Möglichkeit für individuellen Rechtschutz gegen Eingriffe in personenbezogene Daten als solche, wobei das Gesetz andererseits vom Grundsatz her Privatpersonen den Zugang zu relevanten Informationen ermöglichen könnte, die sich im Besitz von bundesweit operierenden Nachrichtendiensten befinden. Aber auch in dieser Hinsicht sind die Möglichkeiten anscheinend begrenzt, weil die Behörden Informationen zurückhalten können, die unter detailliert aufgeführte Ausnahmeregelungen fallen, wozu der Zugriff auf Informationen gehört, die zum einen aus Gründen der nationalen Sicherheit der Geheimhaltung unterliegen und zum anderen strafrechtliche Ermittlungen betreffen [169]. Allerdings kann die Inanspruchnahme dieser Ausnahmeregelungen durch bundesweit tätige Nachrichtendienste von Privatpersonen angefochten werden, was einen Antrag auf sowohl eine behördliche als auch eine gerichtliche Überprüfung einschließt.

(115) Auch wenn Privatpersonen, einschließlich Betroffene in der EU, eine Reihe von Rechtsschutzinstrumenten zur Verfügung steht, wenn sie aus Gründen der nationalen Sicherheit rechtswidrig (elektronisch) überwacht wurden, steht doch fest, dass zumindest einige Rechtsgrundlagen, die US-Nachrichtendienste nutzen können (z. B. E.O. 12333), nicht dazu gehören. Selbst wenn Nicht-US-Bürger im Prinzip auf gerichtliche Rechtsbehelfe zurückgreifen können, beispielsweise auf der Grundlage des FISA im Falle der Überwachung, sind die verfügbaren Klagemöglichkeiten begrenzt [170], denn Klagen von Einzelpersonen (auch US-Bürgern) werden abgewiesen, wenn diese ihre „Klagebefugnis“ nicht nachweisen können [171], was den Zugang zu den ordentlichen Gerichten einschränkt [172].

(116) Um eine zusätzliche Rechtsschutzmöglichkeit zu schaffen, die allen Betroffenen in der EU offensteht, hat die US-Regierung beschlossen, als neue Einrichtung einen Ombudsmechanismus ins Leben zu rufen, wie er im Schreiben des US-Außenministers an die Kommission beschrieben wird, das Bestandteil von Anhang III zum vorliegenden Beschluss ist. Er basiert auf der gemäß PPD-28 erfolgenden Benennung eines Senior Coordinator (im Range eines Under-Secretary [Staatssekretärs]) im Außenministerium, der als Ansprechpartner für ausländische Regierungen fungiert, die Bedenken im Zusammenhang mit der US-Signalaufklärung vorbringen, geht aber deutlich darüber hinaus.

(117) Im Einklang mit den verbindlichen Zusagen der US-Regierung wird der Ombudsmechanismus dafür sorgen, dass Beschwerden von Privatpersonen korrekt geprüft und geklärt werden und die betreffenden Personen von unabhängiger Seite die Bestätigung erhalten, dass die amerikanischen Rechtsvorschriften eingehalten bzw. Verstöße abgestellt wurden [173]. Der neu geschaffene Mechanismus besteht aus der „Ombudsperson des Datenschutzschilds“, d. h. dem Staatssekretär und weiterem Personal, sowie anderen Stellen, die für die Beaufsichtigung der verschiedenen Nachrichtendienste zuständig sind und auf deren Mitwirkung sich die Ombudsperson des Datenschutzschilds bei der Bearbeitung von Beschwerden stützt. Vor allem wenn eine individuelle Beschwerde die Vereinbarkeit der Überwachung mit US-Recht in Zweifel zieht, kann die Ombudsperson auf unabhängige Kontrollgremien mit Ermittlungsbefugnissen (wie die Generalinspekteure oder das PCLOB) zurückgreifen. In jedem Falle garantiert der Außenminister, dass die Ombudsperson bei der Beantwortung individueller Beschwerden über alle dafür benötigten Informationen verfügt.

(118) Durch diese „mehrgliedrige Struktur“ garantiert der Ombudsmechanismus eine unabhängige Kontrolle und individuellen Rechtsschutz. Zudem stellt die Zusammenarbeit mit anderen Kontrollgremien die notwendige Sachkompetenz sicher. Da der Mechanismus die Ombudsperson des Datenschutzschilds dazu verpflichtet, die Einhaltung der Grundsätze oder das Abstellen von Verstößen zu bestätigen, ist er ein Beleg für die Bereitschaft der US-Regierung insgesamt, Beschwerden von EU-Bürgern nachzugehen und einer Klärung zuzuführen.

(119) Erstens nimmt die Ombudsperson des Datenschutzschilds – anders als eine rein auf Regierungsebene agierende Einrichtung – individuelle Beschwerden entgegen und reagiert darauf. Beschwerden dieser Art können an die Kontrollgremien der Mitgliedstaaten gerichtet werden, die für die Beaufsichtigung der Nachrichtendienste und/ oder die Verarbeitung von personenbezogene Daten durch staatliche Behörden zuständig sind, damit sie diese einer zentralen Stelle der EU vorlegen, die sie an die Ombudsperson des Datenschutzschilds weiterleitet [174]. Dies wird für EU-Bürger von Vorteil sein, da sie sich in ihrer eigenen Sprache an eine nahe gelegene innerstaatliche Instanz wenden können. Es ist Aufgabe dieser Instanz, Privatpersonen bei der Formulierung von Anträgen an die Ombudsperson des Datenschutzschilds zu unterstützen, die alle grundlegenden Informationen enthalten und daher als „vollständig“ gelten können. Antragsteller brauchen nicht nachzuweisen, dass im Zuge der Signalaufklärung wirklich ein Zugriff der US-Regierung auf ihre personenbezogenen Daten stattgefunden hat.

(120) Zweitens sichert die US-Regierung zu, dafür zu sorgen, dass sich die Ombudsperson des Datenschutzschilds bei der Erfüllung ihrer Aufgaben auf die Zusammenarbeit mit anderen im amerikanischen Recht vorgesehenen unabhängigen Überwachungs- und Kontrollgremien stützen kann. Dazu gehören bisweilen innerstaatliche Nachrichtendienste, insbesondere wenn ein Antrag als auf Einsicht in Dokumente gemäß dem Freedom of Information Act gerichtet zu interpretieren ist. In anderen Fällen, vor allem wenn die Anträge die Vereinbarkeit von Überwachung mit US-Recht betreffen, werden unabhängige Kontrollgremien (z. B. Generalinspekteure) einbezogen, die dafür zuständig und befugt sind, gründliche Ermittlungen durchzuführen (insbesondere durch Zugang zu allen einschlägigen Dokumenten und die Befugnis, Informationen und Erklärungen einzuholen) und gegen Verstöße vorzugehen [175]. Auch kann die Ombudsperson des Datenschutzschilds Angelegenheiten an das PCLOB zur Prüfung weiterleiten [176]. Wenn eines der Kontrollgremien Verstöße feststellt, muss die betreffende Einrichtung der Intelligence Community (z. B. ein Nachrichtendienst) die Verstöße abstellen, da die Ombudsperson nur dann in der Lage ist, der betroffenen Person eine „positive“ Antwort zu geben (in dem Sinne, dass etwaige Verstöße abgestellt worden sind), wozu sich die US-Regierung verpflichtet hat. Im Rahmen dieser Zusammenarbeit wird die Ombudsperson des Datenschutzschilds auch über den Ausgang der Ermittlungen unterrichtet, und sie wird über alle Mittel verfügen, um sicherzugehen, dass sie sämtliche Informationen erhält, die sie für die Abfassung ihrer Antwort benötigt.

(121) Hinzu kommt, dass die Ombudsperson des Datenschutzschilds von der US Intelligence Community unabhängig ist und somit nicht ihren Weisungen unterliegt [177]. Dies ist von erheblicher Bedeutung, da die Ombudsperson „bestätigen“ muss, i) dass der Beschwerde ordnungsgemäß nachgegangen wurde und ii) dass die einschlägigen amerikanischen Rechtsvorschriften – darunter vor allem die in Anhang VI aufgeführten Einschränkungen und Garantien – befolgt wurden bzw. bei Nichteinhaltung der Grundsätze der Verstoß abgestellt wurde. Um diese unabhängige Bestätigung abgeben zu können, benötigt die Ombudsperson des Datenschutzschilds hinreichende Informationen über die Ermittlungen, damit sie die Richtigkeit der Antwort auf die Beschwerde beurteilen kann. Darüber hinaus hat der Außenminister zugesagt, dass der Staatssekretär die Aufgabe als Ombudsperson des Datenschutzschilds objektiv und ohne ungebührliche Einflussnahme, die sich auf die zu erteilende Antwort auswirken würde, wahrnehmen kann.

(122) Insgesamt gewährleistet dieser Mechanismus, dass individuelle Beschwerden gründlich untersucht und geklärt werden und dass zumindest im Bereich der Überwachung unabhängige Kontrollgremien mit der notwendigen Sachkompetenz und den erforderlichen Ermittlungsbefugnissen mitwirken und die Ombudsperson ihre Aufgaben ohne ungebührliche, insbesondere politische Einflussnahme wahrnehmen kann. Zudem können Privatpersonen Beschwerden einreichen, ohne dass sie den Nachweis oder auch nur Anhaltspunkte dafür erbringen müssen, dass sie Gegenstand einer Überwachung sind oder waren [178]. Angesichts dieser Gegebenheiten ist die Kommission davon überzeugt, dass hinreichende und wirksame Garantien gegen Missbrauch vorhanden sind.

(123) Aufgrund der hier geschilderten Sachlage gelangt die Kommission zu dem Schluss, dass die Vereinigten Staaten einen wirksamen Rechtsschutz vor Eingriffen ihrer Nachrichtendienste in die Grundrechte von Personen gewährleistet, deren Daten im Rahmen des EU-US-Datenschutzschilds aus der Europäischen Union in die Vereinigten Staaten übermittelt werden.

(124) In diesem Zusammenhang nimmt die Kommission das Urteil des Gerichtshofs in der Rechtssache Schrems zur Kenntnis, in dem es heißt: „Desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz.“ [179] Die Analyse der Kommission hat bestätigt, dass derartige Rechtsbehelfe in den Vereinigten Staaten vorhanden sind, auch durch die Einrichtung des Ombudsmechanismus. Dieser Mechanismus ermöglicht eine unabhängige Kontrolle mit Ermittlungsbefugnissen. Im Rahmen der ständigen Überwachung des Datenschutzschilds durch die Kommission, wozu auch die gemeinsame jährliche Überprüfung gehört, an der sich die Ombudsperson beteiligen soll, wird die Wirksamkeit dieses Mechanismus überprüft.

3.2. Zugang zu und Verarbeitung von Daten durch staatliche Behörden der USA aus Gründen der Strafverfolgung und des öffentlichen Interesses

(125) Im Hinblick auf Eingriffe in personenbezogene Daten, die im Rahmen des EU-US-Datenschutzschilds aus Gründen der Strafverfolgung übermittelt werden, hat die Regierung der USA (über das Justizministerium) Zusicherungen zu den dafür geltenden Einschränkungen und Garantien gemacht, die nach Einschätzung der Kommission ein hinreichendes Schutzniveau gewährleisten.

(126) Nach diesen Informationen erfordern gemäß viertem Zusatzartikel zur Verfassung der USA [180] Durchsuchungen und Beschlagnahmen, die von Strafverfolgungsbehörden vorgenommen werden, grundsätzlich [181] eine gerichtliche Anordnung bei Vorliegen eines „hinreichenden Tatverdachts“. In den wenigen Sonder- und Ausnahmefällen, in denen diese Anforderung nicht gilt [182], unterliegt die Strafverfolgung einer Prüfung der „Zumutbarkeit“ [183]. Ob eine Durchsuchung oder Beschlagnahme zumutbar ist, „wird zum einen daran gemessen, inwieweit sie in die Privatsphäre der betreffenden Person eingreift, und zum anderen daran, inwieweit sie zur Förderung legitimer staatlicher Interessen erforderlich ist.“ [184] Ganz allgemein garantiert der vierte Zusatzartikel den Schutz der Privatsphäre und der Menschenwürde und bietet Schutz vor willkürlichen Eingriffen von Staatsbeamten [185]. Diese Konzepte entsprechen den Grundsätzen der Notwendigkeit und Verhältnismäßigkeit im EU-Recht. Wenn die Strafverfolgungsbehörden die beschlagnahmten Objekte nicht länger als Beweismittel benötigen, sind sie zurückzugeben [186].

(127) Auch wenn sich das Recht, das der vierte Zusatzartikel enthält, nicht auf Nicht-US-Bürger erstreckt, die ihren Wohnsitz außerhalb der USA haben, profitieren diese dennoch indirekt von diesem Rechtsschutz, weil amerikanische Unternehmen über die personenbezogenen Daten verfügen und die Strafverfolgungsbehörden ihnen gegenüber in jedem Falle einer gerichtlichen Genehmigung bedürfen (oder zumindest den Grundsatz der Verhältnismäßigkeit beachten müssen) [187]. Weiteren Schutz bieten bestimmte staatliche Behörden sowie die Leitlinien des Justizministeriums, die den Datenzugriff zu Zwecken der Strafverfolgung nach Grundsätzen, die dem Prinzip der Notwendigkeit und Verhältnismäßigkeit entsprechen, einschränken (indem z. B. das FBI verpflichtet wird, die mit den geringsten Eingriffen verbundenen Ermittlungsmethoden anzuwenden und die Auswirkungen auf die Privatsphäre und die Bürgerrechte zu berücksichtigen) [188]. Den Erklärungen der US-Regierung zufolge gilt das gleiche oder ein noch höheres Schutzniveau bei strafrechtlichen Ermittlungen auf einzelstaatlicher Ebene (wenn diese auf Rechtsvorschriften der Bundesstaaten basieren) [189].

(128) Obwohl eine vorherige Genehmigung durch ein Gericht oder eine Grand Jury (eine Ermittlungseinrichtung, deren Mitglieder von einem Richter oder Magistrate ausgewählt werden) nicht in allen Fällen erforderlich ist [190], sind behördliche Anordnungen zur Herausgabe von Daten auf einzelne Fälle beschränkt und können einer unabhängigen gerichtlichen Überprüfung unterzogen werden, zumindest wenn die Regierung sie vor Gericht durchsetzen will [191].

(129) Das Gleiche gilt für behördliche Anordnungen zur Herausgabe von Daten für im öffentlichen Interesse liegende Zwecke. Den Erklärungen der US-Regierung zufolge gibt es zudem materiell-rechtliche Beschränkungen dahingehend, dass Behörden nur den Zugriff auf Daten beantragen können, die für Angelegenheiten innerhalb ihres Verantwortungsbereichs von Belang sind, und den Grundsatz der Zumutbarkeit beachten müssen.

(130) Darüber hinaus gewährt das amerikanische Recht Privatpersonen eine Reihe gerichtlicher Rechtsbehelfe gegen staatliche Behörden oder einzelne Mitarbeiter, sofern diese Behörden personenbezogene Daten verarbeiten. Diese Rechtsschutzmöglichkeiten, die insbesondere der Administrative Procedure Act (APA), der Freedom of Information Act (FOIA) und der Electronic Communications Privacy Act (ECPA) einräumen, stehen alle Personen unabhängig von ihrer Nationalität offen, sofern die erforderlichen Voraussetzungen gegeben sind.

(131) Nach den Bestimmungen des Administrative Procedure Act [192] kann „eine Person, die durch Handlungen einer Behörde einen Schaden oder Nachteil erleidet“, eine gerichtliche Nachprüfung beantragen [193]. Dazu gehört die Möglichkeit, das Gericht zu ersuchen, „Handlungen, Feststellungen und Schlussfolgerungen einer Behörde, die für ... willkürlich, mutwillig, die Befugnisse überschreitend oder anderweitig rechtswidrig befunden werden, für null und nichtig zu erklären“ [194].

(132) Konkreter ist in diesem Zusammenhang Titel II des Electronic Communications Privacy Act [195], der ein System gesetzlich verankerter Datenschutzrechte beinhaltet und somit unmittelbar den Zugriff der Strafverfolgungsbehörden auf den Inhalt leitungsgebundener, mündlicher oder elektronischer Kommunikationsvorgänge regelt, die von Drittanbietern gespeichert werden. [196] Er stellt den rechtswidrigen (d. h. nicht gerichtlich autorisierten oder anderweitig zulässigen) Zugriff auf derartige Kommunikationsvorgänge unter Strafe und räumt betroffenen Personen die Möglichkeit ein, vor einem Bundesgericht der USA eine Klage auf eigentlichen und pönalen Schadensersatz einzureichen sowie billigkeitsrechtliche Ansprüche gegen einen Regierungsbeamten, der vorsätzlich derartige rechtswidrige Handlungen begangen hat, oder die Vereinigten Staaten geltend zu machen.

(133) Auch hat nach dem Freedom of Information Act (FOIA, 5 U.S.C. § 552) jede Person das Recht, Zugang zu Unterlagen von Bundesbehörden zu erlangen und nach Ausschöpfung aller behördlichen Rechtsbehelfe dieses Recht gerichtlich durchzusetzen, sofern die Unterlagen nicht durch eine Ausnahmeregelung oder Strafverfolgungsklausel vor der Offenlegung geschützt sind [197].

(134) Darüber hinaus gewähren verschiedene weitere Gesetze Privatpersonen das Recht, wegen der Verarbeitung ihrer personenbezogener Daten staatliche Behörden der USA oder Beamte zu verklagen, so etwa der Wiretap Act [198], der Computer Fraud and Abuse Act [199], der Federal Torts Claim Act [200], der Right to Financial Privacy Act [201] und der Fair Credit Reporting Act [202].

(135) Die Kommission gelangt daher zu dem Schluss, dass in den Vereinigten Staaten Regeln gelten, die darauf gerichtet sind, jegliche Eingriffe in die Grundrechte von Personen, deren personenbezogene Daten im Rahmen des EU-US-Datenschutzschilds aus der Europäischen Union in die Vereinigten Staaten übermittelt werden, aus Gründen der Strafverfolgung [203] oder für andere im öffentlichen Interesse liegende Zwecke auf das für die Erreichung solcher legitimen Ziele absolut notwendige Maß zu beschränken, und dass damit ein wirksamer Rechtsschutz vor derartigen Eingriffen gewährleistet ist.

4. ANGEMESSENER RECHTSSCHUTZ IM RAHMEN DES EU-US-DATENSCHUTZSCHILDS

(136) Im Licht dieser Feststellungen geht die Kommission davon aus, dass die Vereinigten Staaten einen angemessenen Rechtsschutz für personenbezogene Daten gewährleisten, die im Rahmen des EU-US-Datenschutzschilds aus der Europäischen Union an selbstzertifizierte Organisationen in den Vereinigten Staaten übermittelt werden.

(137) Insbesondere geht die Kommission davon aus, dass die vom US-Handelsministerium herausgegebenen Datenschutzgrundsätze insgesamt ein Schutzniveau für personenbezogene Daten gewährleisten, das der Sache nach dem Niveau gleichwertig ist, wie es durch die in der Richtlinie 95/46/EG verankerten Grundsätze garantiert wird.

(138) Zudem garantieren die Transparenzpflichten und die Verwaltung des Datenschutzschilds durch das Handelsministerium die wirksame Anwendung der Datenschutzgrundsätze.

(139) Des Weiteren geht die Kommission davon aus, dass insgesamt betrachtet die vom Datenschutzschild vorgesehenen Aufsichts- und Beschwerdeverfahren es gestatten, Verstöße dem Datenschutzschild angehörender Organisationen gegen die Grundsätze in der Praxis aufzudecken und zu ahnden, und dass damit den betroffenen Personen Rechtsbehelfe an die Hand gegeben werden, um Zugang zu den sie betreffenden personenbezogenen Daten zu erlangen und letztlich die Korrektur oder Löschung dieser Daten zu erwirken.

(140) Schließlich kommt die Kommission aufgrund der verfügbaren Informationen über die Rechtsordnung der USA, einschließlich der Erklärungen und Zusagen der US-Regierung, zu dem Schluss, dass jegliche Eingriffe in die Grundrechte von Personen, deren Daten im Rahmen des EU-US-Datenschutzschilds aus Gründen der nationalen Sicherheit, der Strafverfolgung oder für andere im öffentlichen Interesse liegende Zwecke aus der Europäischen Union in die Vereinigten Staaten übermittelt werden, sowie die deshalb den selbstzertifizierten Organisationen bei der Einhaltung der Grundsätze auferlegten Beschränkungen auf das für die Erreichung solcher legitimen Ziele absolut notwendige Maß beschränkt werden und dass damit ein wirksamer Rechtsschutz vor derartigen Eingriffen gewährleistet ist.

(141) Die Kommission schließt daraus, dass somit den im Licht der Charta der Grundrechte der Europäischen Union geltenden Anforderungen von Artikel 25 der Richtlinie 95/46/EG entsprochen wird, wie sie der Gerichtshof vor allem im Urteil Schrems erläutert hat.

5. MASSNAHMEN DER DATENSCHUTZBEHÖRDEN UND UNTERRICHTUNG DER KOMMISSION

(142) Im Urteil Schrems stellte der Gerichtshof klar, dass die Kommission nicht berechtigt ist, die von Datenschutzbehörden aus Artikel 28 der Richtlinie 95/46/EG abgeleiteten Befugnisse (darunter die Befugnis, Datenübermittlungen auszusetzen) einzuschränken, wenn eine Person im Rahmen einer Eingabe aufgrund dieser Bestimmung in Frage stellt, dass eine Angemessenheitsentscheidung der Kommission mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte unvereinbar ist [204].

(143) Um die Funktionsweise des Datenschutzschilds wirksam überwachen zu können, sollte die Kommission von den Mitgliedstaaten über einschlägige Maßnahmen der Datenschutzbehörden unterrichtet werden.

(144) Der Gerichtshof befand des Weiteren, dass entsprechend Artikel 25 Absatz 6 Unterabsatz 2 der Richtlinie 95/46/EG die Mitgliedstaaten und ihre Organe die notwendigen Maßnahmen treffen müssen, um Rechtsakte der Unionsorgane umzusetzen, denn für diese gilt grundsätzlich eine Vermutung der Rechtmäßigkeit, sodass sie Rechtswirkungen entfalten, solange sie nicht zurückgenommen, im Rahmen einer Nichtigkeitsklage für nichtig erklärt oder infolge eines Vorabentscheidungsersuchens oder einer Einrede der Rechtswidrigkeit für ungültig erklärt wurden. Folglich ist eine Angemessenheitsentscheidung der Kommission gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG für alle Organe der Mitgliedstaaten bindend, an die sie gerichtet ist, einschließlich ihrer unabhängigen Kontrollstellen [205]. Wenn bei einer Kontrollstelle eine Beschwerde eingegangen ist, die die Vereinbarkeit einer Angemessenheitsentscheidung der Kommission mit dem Grundrecht der Achtung der Privatsphäre und des Datenschutzes in Frage stellt, und die Kontrollstelle die darin enthaltenen Rügen für begründet erachtet, ist es insoweit Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese, wenn sie die Zweifel teilen, das Verfahren aussetzen und den Gerichtshof um eine Vorabentscheidung über deren Gültigkeit ersuchen [206].

6. REGELMÄSSIGE ÜBERPRÜFUNG DER FESTSTELLUNG DER ANGEMESSENHEIT

(145) In Anbetracht der Tatsache, dass sich das von der US-Rechtsordnung gewährte Schutzniveau ändern kann, überprüft die Kommission nach Annahme des vorliegenden Beschlusses in regelmäßigen Abständen, ob die Feststellungen zur Angemessenheit des Schutzniveaus, das die Vereinigten Staaten im Rahmen des EU-US-Datenschutzschild gewährleistet, noch sachlich und rechtlich gerechtfertigt sind. Eine solche Überprüfung ist auf alle Fälle erforderlich, wenn die Kommission Kenntnisse erlangt, die in dieser Hinsicht begründete Zweifel aufkommen lassen [207].

(146) Daher wird die Kommission kontinuierlich den mit dem EU-US-Datenschutzschild geschaffenen Gesamtrahmen für die Übermittlung personenbezogener Daten sowie die Einhaltung der Erklärungen und Zusagen, die in den diesem Beschluss beigefügten Schriftstücken enthalten sind, durch die US-Behörden überwachen. Um diesen Prozess zu erleichtern, haben die USA zugesichert, die Kommission über wesentliche Änderungen des US-Rechts zu unterrichten, wenn sie für den Datenschutzschild relevant sind und den Datenschutz sowie die Beschränkungen und Schutzvorkehrungen für den Zugriff staatlicher Behörden auf personenbezogene Daten betreffen. Zudem unterliegt der Beschluss einer gemeinsamen jährlichen Überprüfung, die sich auf alle Aspekte der Funktionsweise des EU-US-Datenschutzschilds erstreckt, darunter die Handhabung der aus Gründen der nationalen Sicherheit und Strafverfolgung gewährten Ausnahmen von den Grundsätzen. Da die Feststellung der Angemessenheit auch von Entwicklungen des Unionsrechts beeinflusst werden kann, bewertet die Kommission überdies das vom Datenschutzschild gebotene Schutzniveau nach dem Inkrafttreten der Datenschutz-Grundverordnung.

(147) Zur Durchführung der in den Anhängen I, II und VI erwähnten gemeinsamen jährlichen Überprüfung führt die Kommission Gespräche mit dem Handelsministerium und der FTC, die gegebenenfalls von Vertretern anderer an der Umsetzung der Modalitäten des Datenschutzschilds beteiligten Regierungsstellen sowie – bei Angelegenheiten der nationalen Sicherheit – von Vertretern des ODNI, anderen Nachrichtendiensten und der Ombudsperson begleitet werden. Die Teilnahme an dieser Zusammenkunft steht Datenschutzbehörden der EU und Vertretern der Artikel-29-Datenschutzgruppe offen.

(148) Im Rahmen der gemeinsamen jährlichen Überprüfung wird die Kommission das Handelsministerium um eine umfassende Unterrichtung über alle relevanten Gesichtspunkte der Funktionsweise des EU-US-Datenschutzschilds ersuchen, wozu auch die von den Datenschutzbehörden an das Handelsministerium überwiesenen Fälle und die Ergebnisse der von Amts wegen vorgenommenen Kontrollen der Einhaltung gehören. Die Kommission wird auch um Erklärungen nachsuchen, die Fragen oder Angelegenheiten betreffen, welche mit dem EU-US-Datenschutzschild und seiner Handhabung zusammenhängen und sich aus allen verfügbaren Informationen ergeben, so etwa in nach dem USA FREEDOM Act zulässigen Transparenzberichten, öffentlich zugänglichen Berichten von bundesweiten US-Nachrichtendiensten, Datenschutzbehörden und Datenschutzgruppen, Medienberichten oder anderen möglichen Quellen. Um die diesbezügliche Aufgabe der Kommission zu erleichtern, sollten die Mitgliedstaaten die Kommission über Fälle unterrichten, in denen Maßnahmen der Organe, die in den USA für die Gewährleistung der Einhaltung der Grundsätze zuständig sind, diesem Ziel nicht gerecht werden, und über Anhaltspunkte dafür, dass die Maßnahmen von staatlichen Behörden der USA, die für die nationale Sicherheit oder die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten zuständig sind, nicht das erforderliche Schutzniveau gewährleisten.

(149) Auf der Grundlage der gemeinsamen jährlichen Überprüfung wird die Kommission einen öffentlich zugänglichen Bericht erstellen, der dem Europäischen Parlament und dem Rat vorgelegt wird.

7. AUSSETZUNG DES ANGEMESSENHEITSBESCHLUSSES

(150) Wenn die Kommission anhand der durchgeführten Kontrollen oder sonstiger verfügbarer Informationen zu dem Schluss gelangt, dass das vom Datenschutzschild gebotene Schutzniveau nicht mehr als dem Schutzniveau der Union in der Sache gleichwertig anzusehen ist, oder eindeutige Anhaltspunkte dafür erkennt, dass in den Vereinigten Staaten eine wirksame Einhaltung der Grundsätze möglicherweise nicht länger gewährleistet ist oder die Maßnahmen von staatlichen Behörden der USA, die für die nationale Sicherheit oder die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten zuständig sind, nicht das erforderliche Schutzniveau gewährleisten, setzt sie das Handelsministerium davon in Kenntnis und ersucht darum, dass geeignete Maßnahmen getroffen werden, um innerhalb einer angemessenen Frist die Frage der potenziellen Nichteinhaltung der Grundsätze zügig zu klären. Wenn die US-Behörden nach Ablauf der Frist nicht zufriedenstellend nachweisen können, dass der EU-US-Datenschutzschild weiterhin eine wirksame Einhaltung und ein angemessenes Schutzniveau garantiert, leitet die Kommission das Verfahren ein, das zur teilweisen oder vollständigen Aussetzung oder zur Aufhebung des vorliegenden Beschlusses führt [208]. Wahlweise kann die Kommission vorschlagen, den Beschluss abzuändern, indem beispielsweise der Anwendungsbereich der Angemessenheitsfeststellung auf Datenübertragungen beschränkt wird, die zusätzlichen Auflagen unterliegen.

(151) Die Kommission leitet das Verfahren zur Aussetzung oder Aufhebung des Beschlusses insbesondere ein, sofern

1. es Anhaltspunkte dafür gibt, dass sich die US-Behörden nicht an die Erklärungen und Zusagen halten, die in den diesem Beschluss beigefügten Schriftstücken enthalten sind und unter anderem die Bedingungen und Einschränkungen betreffen, denen der Zugriff amerikanischer Behörden auf personenbezogene Daten, die im Rahmen des Datenschutzschilds übertragen werden, aus Gründen der Strafverfolgung, der nationalen Sicherheit oder des öffentlichen Interesses unterliegt;

2. Beschwerden von betroffenen Personen in der EU nicht wirksam nachgegangen wird; dabei berücksichtigt die Kommission sämtliche Umstände, die sich auf die Möglichkeiten von betroffenen Personen in der EU auswirken, ihre Rechte durchzusetzen, wozu insbesondere die freiwillige Verpflichtung selbstzertifizierter US-Unternehmen gehört, mit den Datenschutzbehörden zusammenzuarbeiten und ihre Empfehlungen zu befolgen; oder

3. die Ombudsperson des Datenschutzschilds nicht zeitnah und angemessen auf Anfragen von betroffenen Personen in der EU reagiert.

(152) Die Kommission wird die Einleitung des Verfahrens, das zur Änderung, Aussetzung oder Aufhebung des vorliegenden Beschlusses führt, auch in Erwägung ziehen, wenn im Rahmen der gemeinsamen jährlichen Überprüfung der Funktionsweise des EU-US-Datenschutzschilds oder bei anderer Gelegenheit das Handelsministerium oder andere Regierungsstellen, die an der Umsetzung des Datenschutzschilds beteiligt sind, oder bei Angelegenheiten der nationalen Sicherheit Vertreter der US Intelligence Community oder die Ombudsstelle nicht für die Informationen und Klarstellungen sorgen, die erforderlich sind, um die Einhaltung der Datenschutzgrundsätze, die Wirksamkeit der Beschwerdeverfahren oder die Absenkung des notwendigen Schutzniveaus zu beurteilen, die auf Maßnahmen der bundesweiten US-Nachrichtendienste zurückzuführen ist, vor allem auf die Sammlung und/oder den Zugang zu personenbezogenen Daten, die nicht auf das absolut notwendige und vertretbare Maß beschränkt ist. Dabei berücksichtigt die Kommission den Umfang, in dem die relevanten Informationen aus anderen Quellen beschafft werden können, darunter Berichte von selbstzertifizierten US-Unternehmen, wie dies gemäß USA FREEDOM Act zulässig ist.

(153) Die durch Artikel 29 der Richtlinie 95/46/EG eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten hat zu dem Schutzniveau, das der EU-US-Datenschutzschild bietet, eine Stellungnahme abgegeben [209], die bei der Ausarbeitung des vorliegenden Beschlusses berücksichtigt wurde.

(154) Das Europäische Parlament hat eine Entschließung zur transatlantischen Datenübermittlung verabschiedet [210].

(155) Die im vorliegenden Beschluss vorgesehenen Maßnahmen stehen im Einklang mit der Stellungnahme des gemäß Artikel 31 Absatz 1 der Richtlinie 95/46/EG eingesetzten Ausschusses. —

HAT FOLGENDEN BESCHLUSS ERLASSEN: