Anhang III
Schreiben des US-Außenministers John Kerry
Sehr geehrte Frau Jourová,
es freut mich sehr, dass wir eine Einigung zum Datenschutzschild zwischen der Europäischen Union und den USA erzielen konnten, die auch eine Ombudsstelle beinhaltet, bei der EU-Behörden Auskunftsbegehren von EU-Bürgern im Zusammenhang mit signalerfassender Aufklärung in den USA einreichen können.
Präsident Barack Obama hat am in der Presidential Policy Directive 28 (PPD-28) eine grundlegende Reform der Nachrichtendienste angekündigt. Im Rahmen der PPD-28 habe ich Under-Secretary Catherine A. Novelli, die ebenfalls das Amt eines Senior Coordinator für internationale Diplomatie im Bereich der Informationstechnologie bekleidet, zur Ansprechpartnerin für ausländische Regierungen benannt, die Bedenken im Zusammenhang mit der US-Signalaufklärung vorbringen. Ausgehend von dieser Funktion habe ich in Übereinstimmung mit den in Anlage A festgelegten Bestimmungen, die seit meinem Schreiben vom 22. Februar 2016 aktualisiert wurden, eine Ombudsstelle des Datenschutzschilds ins Leben gerufen. Dieses Amt wird von Under-Secretary Novelli bekleidet, die unabhängig von den Nachrichtendiensten in den USA arbeitet und mir direkt unterstellt ist.
Meine Mitarbeiter sind angewiesen, die erforderlichen Ressourcen für die Einrichtung dieser neuen Ombudsstelle einzusetzen, und ich bin überzeugt, dass wir den Bedenken der EU-Bürger auf diese Weise wirksam begegnen können.
Hochachtungsvoll
John F.
Kerry
Anlage A
Ombudsstelle des EU-U.S.-Datenschutzschilds für die signalerfassende Aufklärung
In Anerkennung der Bedeutung des EU-U.S.-Datenschutzschilds gibt die vorstehende Absichtserklärung einen Überblick über das Verfahren zur Umsetzung eines neuen Mechanismus für die signalerfassende Aufklärung, der mit der Presidential Policy Directive 28 („PPD-28“) im Einklang steht [1].
Am hielt Präsident Obama eine Ansprache, in der er wichtige Reformen im Bereich Nachrichtendienste in Aussicht stellte. Dabei betonte er: „Unsere Bemühungen tragen nicht nur zum Schutz unserer eigenen Nation bei, sondern auch zu dem unserer Freunde und Verbündeten. Wirksam werden unsere Bemühungen aber nur dann sein, wenn die normalen Bürger in anderen Ländern ebenfalls darauf vertrauen, dass die Vereinigten Staaten ihre Privatsphäre respektieren.“ Präsident Obama kündigte die Veröffentlichung einer neuen Presidential Directive, der „PPD-28“, an mit „klaren Vorschriften dazu, was wir unternehmen und was nicht, wenn es um unsere Auslandsaufklärung geht“.
In § 4 Buchstabe d der PPD-28 wird der Außenminister beauftragt, einen „Senior Coordinator for International Information Technology Diplomacy“ (Senior Coordinator) zu benennen, „der … als Ansprechpartner für ausländische Regierungen fungiert, die Bedenken im Zusammenhang mit der Signalaufklärung der Vereinigten Staaten vorbringen.“ Seit Januar 2015 nimmt Under Secretary C. Novelli die Aufgaben des Senior Coordinators wahr.
In der vorliegenden Absichtserklärung wird der vom Senior Coordinator befolgte neue Mechanismus beschrieben, der bei Daten, die gemäß dem Datenschutzschild, den Standardklauseln (standard contractual clauses, SCC), den verbindlichen unternehmensinternen Datenschutzregelungen (binding corporate rules, BCR) sowie den „Ausnahmeregelungen“ [2] oder „etwaigen künftigen Ausnahmeregelungen“ [3] von der EU unter Einhaltung des dafür bestehenden Weges laut geltendem Recht und bestehender Auslegungspraxis in die Vereinigten Staaten übermittelt werden, die Bearbeitung von Anfragen zum Zugriff auf Daten, die die nationale Sicherheit betreffen, und die Beantwortung solcher Anfragen erleichtern soll.
Die Ombudsperson des Datenschutzschilds: Der Senior Coordinator fungiert als Ombudsperson des Datenschutzschilds und benennt gegebenenfalls zusätzliche Beamte des Außenministeriums, die ihn bei der Wahrnehmung seiner in dieser Absichtserklärung im Einzelnen dargelegten Pflichten unterstützen (der Koordinator und etwaige weitere Beamte, die diese Aufgaben wahrnehmen, werden nachstehend als „Ombudsstelle des Datenschutzschilds“ bezeichnet). Die Einrichtung arbeitet eng mit den jeweiligen Beamten aus anderen Regierungsstellen zusammen, die dem geltendem Recht und der bestehenden Auslegungspraxis der Vereinigten Staaten entsprechend für die Bearbeitung von Anträgen zuständig sind. Die Ombudsstelle untersteht unmittelbar dem Außenminister, der dafür Sorge trägt, dass die Ombudsstelle ihre Aufgabe objektiv und frei von unzulässiger Einflussnahme erfüllt, die sich auf die zu erteilende Antwort auswirken kann.
Wirksame Koordinierung: Die Ombudsstelle setzt die nachstehend beschriebenen Kontrollstellen wirksam ein, koordiniert sie und stellt auf diese Weise sicher, dass sich die Antwort der Ombudsstelle auf Anträge der EU-Stelle für Individualbeschwerden auf die erforderlichen Informationen stützt. Bezieht sich der Antrag auf die Vereinbarkeit der Überwachung mit dem US-Recht, kann die Ombudsstelle des Datenschutzschilds mit einer der unabhängigen Kontrollstellen mit Ermittlungsbefugnissen zusammenarbeiten.
Die Ombudsstelle des Datenschutzschilds arbeitet eng mit anderen Regierungsbeamten der Vereinigten Staaten, unter anderem auch mit entsprechenden unabhängigen Aufsichtsgremien, zusammen und stellt sicher, dass die eingegangenen Anträge vollständig sind und dem geltenden Recht und der bestehenden Auslegungspraxis entsprechend bearbeitet und geklärt werden. Insbesondere sorgt die Ombudsstelle für eine enge Koordinierung mit dem Amt des Director of National Intelligence, dem Justizministerium und den anderen Regierungsstellen, die entsprechend mit der nationalen Sicherheit der Vereinigten Staaten befasst sind, sowie den Generalinspekteuren, den Beauftragten für den Freedom of Information Act und den Bürgerrechts- und Datenschutzbeauftragten.
Damit gewährleistet ist, dass die Ombudsstelle des Datenschutzschilds im Sinne von § 4 Buchstabe e auf die eingegangenen Anträge nach § 3 Buchstabe b zu reagieren vermag, vertraut die Regierung der Vereinigten Staaten auf Mechanismen zur ressortübergreifenden Koordinierung und Überwachung von Angelegenheiten der nationalen Sicherheit.
Die Ombudsstelle des Datenschutzschilds kann Anträge betreffende Angelegenheiten dem Privacy and Civil Liberties Oversight Board zur Prüfung vorlegen.
Einreichung von Anträgen:
Ein Antrag wird zunächst bei den für die Überwachung der nationalen Sicherheitsbehörden und/oder die Verarbeitung von personenbezogenen Daten durch Behörden zuständigen Aufsichtsstellen der Mitgliedstaaten eingereicht. Die Einreichung des Antrags bei der Ombudsstelle erfolgt durch eine zentrale EU-Stelle (im Folgenden zusammen „EU-Stelle für Individualbeschwerden“).
Die EU-Stelle für Individualbeschwerden stellt mit den nachstehenden Maßnahmen sicher, dass ein Antrag ordnungsgemäß abgefasst ist:
Sie überprüft die Identität der betreffenden Privatperson und die Tatsache, dass diese im eigenen Namen und nicht als Vertreter/in einer staatlichen oder zwischenstaatlichen Organisation handelt.
Sie stellt sicher, dass der Antrag schriftlich abgefasst ist und die folgenden grundlegenden Informationen enthält:
alle Informationen, die dem Antrag zugrunde liegen,
die Art der Information oder der angestrebten Abhilfe,
die Regierungsstellen der Vereinigten Staaten, die gegebenenfalls beteiligt sein sollen, und
sonstige Maßnahmen, die ergriffen wurden, um die erbetenen Informationen bzw. die angestrebte Abhilfe zu erlangen, und das Ergebnis dieser sonstigen Maßnahmen.
Sie prüft, ob der Antrag sich auf Daten bezieht, bei denen begründet davon ausgegangen werden kann, dass sie gemäß Datenschutzschild, SCC, BCR, Ausnahmeregelungen oder etwaigen künftigen Ausnahmeregelungen von der EU in die Vereinigten Staaten übermittelt wurden.
Sie trifft eine erste Feststellung, dass der Antrag nicht schikanös oder missbräuchlich ist bzw. nicht bösgläubig erfolgte.
Um für die Zwecke der weiteren Bearbeitung durch die Ombudsstelle des Datenschutzschilds im Sinne dieser Absichtserklärung abgefasst zu sein, muss ein Antrag nicht den Nachweis enthalten, dass tatsächlich im Wege der Signalaufklärung ein Zugriff der US-Regierung auf die Daten des Antragstellers erfolgt ist.
Zusagen zur Kommunikation mit der vorlegenden EU-Stelle für Individualbeschwerden:
Die Ombudsstelle des Datenschutzschilds bestätigt den Eingang des Antrags gegenüber der EU-Stelle für Individualbeschwerden, durch die die Übermittlung erfolgte.
Die Ombudsstelle des Datenschutzschilds nimmt eine erste Prüfung vor, um festzustellen, ob der Antrag in Übereinstimmung mit Abschnitt 3 Buchstabe b abgefasst wurde. Stellt die Ombudsstelle irgendwelche Unzulänglichkeiten fest oder hat sie Fragen zur Abfassung eines Antrags, so setzt sie sich mit der EU-Stelle für Individualbeschwerden in Verbindung und versucht, die betreffenden Fragen zu klären.
Benötigt die Ombudsstelle des Datenschutzschilds zur Erleichterung der angemessenen Bearbeitung eines Antrags weitere Informationen oder müssen von der Privatperson, die den Antrag ursprünglich einreichte, besondere Maßnahmen ergriffen werden, so setzt die Ombudsstelle des Datenschutzschilds die vorlegende EU-Stelle für Individualbeschwerden hiervon in Kenntnis.
Die Ombudsstelle des Datenschutzschilds überprüft den Status des Antrags und stellt für die vorlegende EU-Stelle für Individualbeschwerden entsprechende Aktualisierungen bereit.
Sobald ein Antrag wie in Abschnitt 3 dieser Absichtserklärung beschrieben abgefasst wurde, sendet die Ombudsstelle des Datenschutzschilds vorbehaltlich der andauernden Informationsschutzverpflichtung nach geltendem Recht und bestehender Auslegungspraxis zeitnah eine angemessene Antwort an die vorlegende EU-Stelle für Individualbeschwerden. Die Ombudsstelle lässt der vorlegenden EU-Stelle eine Antwort zukommen, in der sie bestätigt, dass (i) die Beschwerde ordnungsgemäß geprüft wurde und dass (ii) die US-Gesetze und -Rechtsvorschriften, Executive Orders, Presidential Directives und die Auslegungspraxis der Behörden mit den im ODNI-Schreiben dargelegten Einschränkungen und Garantien eingehalten wurden bzw. dass – im Falle der Nichteinhaltung – diese Nichteinhaltung abgestellt wurde. Durch die Ombudsstelle wird weder bestätigt noch bestritten, dass die betreffende Privatperson Ziel einer Überwachungsmaßnahme war, noch bestätigt die Ombudsstelle die spezielle Abhilfe, die geleistet wurde. Wie in Abschnitt 5 weiter erläutert wird, werden Anträge im Rahmen des Freedom of Information ACTS so bearbeitet, wie in diesem Gesetz und den geltenden Bestimmungen vorgesehen.
Die Ombudsstelle des Datenschutzschilds nimmt unmittelbaren Kontakt zur EU-Stelle für Individualbeschwerden auf, die ihrerseits für den Kontakt zu der Privatperson, die den Antrag einreichte, verantwortlich ist. Ist der unmittelbare Kontakt Bestandteil eines der nachstehend beschriebenen Verfahren, so erfolgt dieser Kontakt den vorhandenen Verfahren entsprechend.
Die Zusagen in dieser Absichtserklärung gelten nicht für pauschale Aussagen, wonach der EU-U.S.-Datenschutzschild den Datenschutzanforderungen der Europäischen Union nicht entspreche. Sie wurden ausgehend von dem gemeinsamen Verständnis der Europäischen Kommission und der US-Regierung getroffen, dass es in Anbetracht der Bandbreite der im Rahmen dieses Mechanismus erteilten Zusagen möglicherweise zu ressourcenbedingten Einschränkungen kommen könnte, unter anderem bei Anträgen im Zusammenhang mit dem Freedom of Information Act (FOIA). Sollte die Wahrnehmung der Aufgaben der Ombudsstelle des Datenschutzschilds über die vertretbaren ressourcenbedingten Einschränkungen hinausgehen und die Erfüllung dieser Zusagen erschweren, so wird die US-Regierung der Europäischen Kommission gegenüber etwaige Anpassungen zur Sprache bringen, die unter diesen Umständen angebracht sind.
Auskunftsbegehren: Anträge auf Zugang zu amtlichen Unterlagen der Vereinigten Staaten können im Rahmen des Freedom of Information Act (FOIA) gestellt und bearbeitet werden.
Der FOIA bietet jedermann die Möglichkeit, den Zugang zu vorhandenen Unterlagen von Regierungsstellen zu beantragen, und zwar unabhängig von der Nationalität des Antragstellers. Dieses Gesetz ist kodifiziert im United States Code unter 5 U.S.C. § 552. Das Gesetz selbst kann zusammen mit zusätzlichen Informationen zum FOIA unter www.FOIA.gov und http://www.justice.gov/oip/foia-resources abgerufen werden. Jede Regierungsstelle hat einen verantwortlichen FOIA-Beauftragten, und auf ihrer öffentlichen Website finden sich Angaben dazu, wie ein FOIA-Antrag bei der betreffenden Stelle einzureichen ist. Die Behörden verfügen über gegenseitige Konsultationsverfahren zu FOIA-Anträgen, für die Unterlagen erforderlich sind, die von einer anderen Stelle vorgehalten werden.
Beispiele:
Das Amt des Director of National Intelligence (ODNI) hat für das ODNI das ODNI-FOIA-Portal eingerichtet: http://www.dni.gov/index.php/about-this-site/foia. Dieses Portal enthält Angaben zur Übermittlung von Anträgen, zur Überprüfung des Status laufender Anträge und zum Zugang zu Informationen, die vom ODNI im Rahmen des FOIA freigegeben und veröffentlicht wurden. Auf dem FOIA-Portal des ODNI finden sich Links zu anderen FOIA-Websites für Nachrichtendienste: http://www.dni.gov/index.php/about-this-site/foia/other-ic-foia-sites.
Das Office of Information Policy des Justizministeriums stellt umfassende FOIA-Informationen bereit: http://www.justice.gov/oip. Dazu gehören nicht nur Angaben zur Weiterleitung von FOIA-Anträgen an das Justizministerium, sondern auch Hinweise für die US-Regierung zur Auslegung und Anwendung der FOIA-Anforderungen.
Gemäß FOIA gelten für den Zugang zu Regierungsunterlagen bestimmte detailliert aufgeführte Ausnahmeregelungen. Dazu zählen Einschränkungen des Zugriffs auf Informationen, die aus Gründen der nationalen Sicherheit der Geheimhaltung unterliegen, personenbezogene Informationen Dritter und Informationen, die strafrechtliche Ermittlungen betreffen, vergleichbar mit den Einschränkungen, die von den einzelnen EU-Mitgliedstaaten durch deren eigene Gesetze über den Zugang zu Informationen auferlegt werden. Diese Einschränkungen gelten für Amerikaner und für Nicht-Amerikaner gleichermaßen.
Bei Streitigkeiten im Zusammenhang mit der Freigabe von Unterlagen, die im Rahmen des FOIA angefordert werden, kann der Verwaltungsgerichtsweg eingeschlagen und anschließend ein Bundesgericht angerufen werden. Das Gericht hat de novo zu bestimmen, ob Unterlagen aus triftigen Gründen zurückgehalten werden (5 U.S.C. § 552 Buchstabe a Ziffer 4 Teil B), und kann die Behörden anweisen, Zugang zu Unterlagen zu gewähren. In einigen Fällen wurden von Gerichten die Behauptungen von Behörden zurückgewiesen, Informationen müssten zurückgehalten werden, weil sie aus Gründen der nationalen Sicherheit der Geheimhaltung unterliegen. Obwohl kein Schadensersatz geltend gemacht werden kann, können die Gerichte die Erstattung der Anwaltsgebühren zuerkennen.
Anträge auf Einleitung weiterer Maßnahmen: Ein Antrag unter Berufung auf eine Rechtsverletzung oder anderes Fehlverhalten wird den zuständigen Regierungsstellen der Vereinigten Staaten zugeleitet, darunter unabhängigen Überwachungsstellen, die befugt sind, den betreffenden Antrag zu prüfen und bei Verstößen gegen Vorschriften die nachstehend beschriebenen Maßnahmen zu ergreifen.
Generalinspekteure sind rechtlich unabhängig und verfügen über weitreichende Befugnisse zur Durchführung von Untersuchungen, Audits und Überprüfungen von Programmen, darunter auch bei Missbrauchsfällen oder Rechtsverstößen, und können Abhilfemaßnahmen empfehlen.
In der geänderten Fassung des Inspector General Act von 1978 fungieren die Generalinspekteure (IG) auf Bundesebene als unabhängige und objektive Instanzen innerhalb der meisten Behörden, deren Aufgabe es ist, Verschwendung, Betrug und Missbrauch in den Programmen und Aktivitäten der jeweiligen Behörde zu bekämpfen. Zu diesem Zweck ist jeder IG für die Durchführung von Audits und Untersuchungen im Zusammenhang mit den Programmen und Aktivitäten seiner Behörde verantwortlich. Darüber hinaus sind die Generalinspekteure anleitend und koordinierend tätig, erteilen Empfehlungen für Maßnahmen zur Förderung von Wirtschaftlichkeit, Effizienz und Wirksamkeit, decken Betrug und Amtsmissbrauch in den Programmen und Aktivitäten ihrer Behörde auf und verhindern sie.
Jeder Nachrichtendienst hat ein eigenes Büro des Generalinspekteurs, das unter anderem für die Kontrolle der Auslandsaufklärung zuständig ist. Mehrere Berichte von Generalinspekteuren zu nachrichtendienstlichen Programmen wurden veröffentlicht.
Beispiele:
Das Büro des Generalinspekteurs der Intelligence Community (IC IG) wurde gemäß § 405des Intelligence Authorization Act of Fiscal Year 2010 eingerichtet. Das IC IG ist zuständig für IC-weite Audits, Untersuchungen, Inspektionen und Überprüfungen, bei denen alle nachrichtendienstliche Missionen betreffenden systemimmanenten Risiken, Schwachstellen und Unzulänglichkeiten ermittelt und aufgegriffen werden, um mit Blick auf IC-weite Einsparungen und Wirkungen Verbesserungen herbeizuführen. Das IC IG ist befugt, Beschwerden oder Informationen nachzugehen, die mutmaßliche Verstöße gegen Gesetze oder Rechtsvorschriften, Fälle von Verschwendung, Betrug und Amtsmissbrauch oder eine erhebliche oder besondere Gefahr für die öffentliche Gesundheit und Sicherheit im Zusammenhang mit nachrichtendienstlichen Programmen und Aktivitäten des ODNI und/oder der Intelligence Community betreffen. Das IC IG stellt Informationen darüber bereit, wie das IC IG unmittelbar kontaktiert werden kann, wenn ein Bericht übermittelt werden soll: http://www.dni.gov/index.php/about-this-site/contact-the-ig.
Das Büro des Generalinspekteurs (OIG) im U.S. Department of Justice (DOJ, Justizministerium) ist eine auf gesetzlicher Grundlage eingesetzte unabhängige Instanz, deren Aufgabe es ist, Verschwendung, Betrug, Amtsmissbrauch und Fehlverhalten in DOJ-Programmen und durch Bedienstete des Ministeriums aufzudecken und zu unterbinden und zur Wirtschaftlichkeit und Effizienz dieser Programme beizutragen. Das OIG untersucht mutmaßliche Straf- und Zivilrechtsverletzungen durch DOJ-Bedienstete und nimmt darüber hinaus Audits und Inspektionen zu DOJ-Programmen vor. Es ist zuständig für alle Beschwerden über Fehlverhalten von Bediensteten des Justizministeriums, unter anderem auch von Bediensteten des Federal Bureau of Investigation, der Drug Enforcement Administration, des Federal Bureau of Prisons, des U.S. Marshals Service, des Bureau of Alcohol, Tobacco, Firearms, and Explosives, der United States Attorneys Offices und der Bediensteten, die in anderen Bereichen oder Büros des Justizministeriums beschäftigt sind. (Die einzige Ausnahme besteht darin, dass Missbrauchsvorwürfe gegenüber einem Department Attorney oder Mitarbeiter der Strafverfolgungsbehörden, die sich auf die Wahrnehmung der Befugnisse des Department Attorney zur Durchführung von Ermittlungen, zur Austragung von Rechtsstreitigkeiten oder zur Rechtsberatung beziehen, in die Zuständigkeit des Office of Professional Responsibility des Ministeriums fallen.) Darüber hinaus wird der Generalinspekteur in § 1001 des USA Patriot Act, der am Rechtskraft erlangte, angewiesen, Beschwerden gegen mutmaßliche Verletzungen von Bürgerrechten und bürgerlichen Freiheiten durch Bedienstete des Justizministeriums entgegenzunehmen und entsprechenden Informationen nachzugehen. Das OIG unterhält eine öffentliche Website – https://www.oig.justice.gov –, auf der auch eine „Hotline“ zur Einreichung von Beschwerden zu finden ist: https://www.oig.justice.gov/hotline/index.htm.
Die Datenschutz- und Bürgerrechtsbeauftragten und -gremien innerhalb der US-Regierung sind ebenfalls mit entsprechenden Befugnissen ausgestattet. Beispiele:
In § 803 der Durchführungsempfehlungen zum 9/11 Commission Act von 2007, kodifiziert im United States Code unter 42 U.S.C. § 2000-ee1, werden für bestimmte Ministerien und Behörden (darunter das Außenministerium, das Justizministerium und das ODNI) Datenschutz- und Bürgerrechtsbeauftragte eingeführt. § 803 besagt, dass diese Datenschutz- und Bürgerrechtsbeauftragten als Hauptratgeber fungieren, die unter anderem sicherstellen sollen, dass das betreffende Ministerium, die Behörde oder der Dienst über angemessene Verfahren verfügt, um sich mit Beschwerden von Privatpersonen auseinanderzusetzen, die dem Ministerium, der Behörde oder dem Dienst vorwerfen, gegen ihre Datenschutz- oder Bürgerrechte verstoßen zu haben.
Das Büro des ODNI für Bürgerrechte und Datenschutz (ODNI's Civil Liberties and Privacy Office, ODNI CLPO) wird geleitet vom Bürgerrechtsbeauftragten des ODNI, eines Amtes, das durch den National Security Act von 1948 in der geänderten Fassung eingeführt wurde. Zu den Pflichten des ODNI CLPO gehört die Schaffung der notwendigen Vorausetzungen dafür, dass die Strategien und Verfahren der Nachrichtendienste einen angemessenen Schutz der Privatsphäre und der bürgerlichen Freiheiten vorsehen, sowie die Prüfung und Untersuchung von Beschwerden wegen mutmaßlichen Amtsmissbrauchs oder Verstößen gegen die Bürgerrechte und den Datenschutz in Programmen und Aktivitäten des ODNI. Das ODNI CLPO stellt auf seiner Website Informationen für die Öffentlichkeit bereit, darunter auch Hinweise dazu, wie Beschwerden einzureichen sind: www.dni.gov/clpo. Geht beim ODNI CLPO eine Beschwerde wegen eines Verstoßes gegen den Datenschutz oder die Bürgerrechte ein, bei der IC-Programme und -Aktivitäten eine Rolle spielen, so spricht es mit den anderen Nachrichtendiensten ab, wie mit dieser Beschwerde innerhalb der Intelligence Community weiter verfahren werden soll. Hierzu sei angemerkt, dass die National Security Agency (NSA) ebenfalls über ein Büro für Bürgerrechte und Datenschutz verfügt, das auf seiner Website – https://www.nsa.gov/civil_liberties/ – Angaben zu seinen Zuständigkeiten bereitstellt. Liegen Informationen vor, dass eine Behörde gegen die Datenschutzbestimmungen verstößt (als Beispiel sei § 4 der PPD-28 genannt), dann verfügen die Behörden über Compliance-Mechanismen, mit denen ein solcher Vorfall geprüft und ausgeräumt wird. Nach PPD-28 sind die Behörden gehalten, Fälle von Nichteinhaltung der Vorschriften an das ODNI zu melden.
Das Büro für Datenschutz und Bürgerrechte (Office of Privacy and Civil Liberties, OPCL) des Justizministeriums unterstützt den Leitenden Datenschutz- und Bürgerrechtsbeauftragten (Chief Privacy and Civil Liberties Officer, CPCLO) des Ministeriums bei der Wahrnehmung seiner Pflichten und Zuständigkeiten. Hauptaufgabe des OPCL ist der Schutz der Privatsphäre und der Bürgerrechte der amerikanischen Bürger durch Überprüfung, Kontrolle und Koordinierung der Datenschutzaktivitäten des Ministeriums. Das OPCL sorgt für die juristische Beratung und Anleitung der Struktureinheiten des Ministeriums und stellt sicher, dass das Ministerium sich an die geltenden Datenschutzbestimmungen hält, unter anderem an den Privacy Act von 1974, die Datenschutzbestimmungen des E-Government Act von 2002 und auch den Federal Information Security Management Act sowie an die verwaltungspolitischen Richtlinien, die im Nachgang zu diesen Gesetzen erlassen wurden; darüber hinaus konzipiert das Büro Datenschutzschulungen des Ministeriums und führt diese durch, unterstützt den CPCLO bei der Weiterentwicklung der Datenschutzstrategie des Ministeriums, verfasst Datenschutzberichte für den Präsidenten und den Kongress und überprüft den praktischen Umgang des Ministeriums mit Informationen, damit sichergestellt ist, dass dabei der Datenschutz und die Bürgerrechte respektiert werden. Das OPCL informiert die Öffentlichkeit unter http://www.justice.gov/opcl über seine Aufgaben.
Damit der Datenschutz und die Bürgerrechte gewährleistet sind, überprüft das Privacy and Civil Liberties Oversight Board gemäß 42 U.S.C. § 2000ee ff. kontinuierlich (i) die Strategien und Verfahren der Ministerien, der Behörden und der Exekutive im Zusammenhang mit den Bemühungen zum Schutz der Nation vor Terrorismus und deren Umsetzung sowie (ii) andere Aktivitäten der Exekutive in Verbindung mit diesen Maßnahmen, um festzustellen, ob bei diesen Aktivitäten Datenschutz und Bürgerrechte angemessen geschützt werden und mit den für diesen Bereich geltenden Gesetzen, Rechtsvorschriften und Strategien konform gehen. Es nimmt Berichte und andere Informationen von Datenschutz- und Bürgerrechtsbeauftragten entgegen, prüft diese und erteilt den Betreffenden gegebenenfalls Empfehlungen zu ihrer Tätigkeit. In § 803 der Durchführungsempfehlungen zum 9/11 Commission Act von 2007, kodifiziert unter 42 U.S.C. § 2000ee-1, werden die Datenschutz- und Bürgerrechtsbeauftragten von acht Bundesbehörden (darunter der Verteidigungsminister, der Minister für innere Sicherheit, der Director of National Intelligence und der CIA-Direktor) und etwaige zusätzliche Behörden, die vom Board benannt werden, angewiesen, dem PCLOB in regelmäßigen Abständen Berichte vorzulegen, unter anderem auch zu Anzahl, Art und Grundstimmung der Beschwerden, die bei der jeweiligen Behörde wegen mutmaßlicher Verstöße eingegangen sind. Nach dem Gesetz, das die Befugnisse des PCLOB regelt, ist das Board gehalten, diese Berichte entgegenzunehmen und gegebenenfalls den Datenschutz- und Bürgerrechtsbeauftragten Empfehlungen zu ihrer Tätigkeit zu erteilen.
Fundstelle(n):
zur Änderungsdokumentation
KAAAG-88638
1Amtl. Anm.: Unter der Voraussetzung, dass der Beschluss über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für Island, Liechtenstein und Norwegen gilt, wird die Materialsammlung zum Datenschutzschild sowohl die Europäische Union als auch diese drei Länder abdecken. Demzufolge sind bei Bezugnahmen auf die EU und ihre Mitgliedstaaten auch Island, Liechtenstein und Norwegen eingeschlossen.
2Amtl. Anm.: „Ausnahmeregelungen“ steht in diesem Zusammenhang für einen oder mehrere kommerzielle Datenübermittlungen, die unter der Voraussetzung stattfinden, dass:(a) die betroffene Person ihre unmissverständliche Einwilligung zu der vorgeschlagenen Datenübermittlung erteilt hat oder (b) die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist; oder (c) die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse der betroffenen Person von dem für die Verarbeitung Verantwortlichen mit einem Dritten geschlossen wird; oder (d) die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich oder gesetzlich vorgeschrieben ist; oder (e) die Übermittlung für die Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich ist; oder (f) die Übermittlung aus einem Register erfolgt, das gemäß den Rechts- oder Verwaltungsvorschriften zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, soweit die gesetzlichen Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.
3Amtl. Anm.: „Etwaige künftige Ausnahmeregelungen“ steht in diesem Zusammenhang für eine oder mehrere kommerzielle Datenübermittlungen, die unter einer der folgenden Voraussetzungen stattfinden, soweit die betreffende Voraussetzung rechtlich zulässige Gründe für die Übermittlung personenbezogener Daten aus der EU in die USA darstellt: (a) die betroffene Person hat ihre unmissverständliche Einwilligung zu der vorgeschlagenen Datenübermittlung erteilt, nachdem sie über die möglichen Risiken einer ohne Vorliegen eines Angemesssenheitsbeschlusses und ohne geeignete Garantien durchgeführten Datenübermittlung informiert wurde; oder (b) die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben; oder (c) bei einer Übermittlung an einen Drittstaat oder eine internationale Organisation, bei der keine andere bestehende oder künftige Ausnahmeregelung anwendbar ist, nur, wenn es sich dabei um keine Wiederholung handelt, wenn die Übermittlung sich nur auf eine begrenzte Zahl betroffener Personen bezieht, wenn ein zwingendes berechtigtes Interesse des für die Verarbeitung Verantwortlichen vorliegt, das nicht von den berechtigten Interessen oder den Rechten und Freiheiten der betroffenen Person außer Kraft gesetzt wird, und wenn der für die Verarbeitung Verantwortliche alle Umstände beurteilt hat, die bei einer Datenübermittlung eine Rolle spielen, und gegebenenfalls auf der Grundlage dieser Beurteilung geeignete Garantien zum Schutz personenbezogener Daten vorgesehen hat.