02/23/2019, 03:22
Pet 1-17-06-298-051441 Datenschutz
Der Deutsche Bundestag hat die Petition am 14.02.2019 abschließend beraten und
beschlossen:
Das Petitionsverfahren abzuschließen, weil dem Anliegen teilweise entsprochen
worden ist.
Begründung
Mit der Eingabe wird angeregt, dass persönliche Daten, wie Verbindungsdaten,
E-Mails, E-Mail-Adressen, Postadressen, Telefonnummern, IP-Adressen,
Nutzerprofile, Alter, Geschlecht, Zahlungsdaten, von in Deutschland tätigen
Unternehmen und öffentlichen Stellen weder außerhalb der EU gespeichert noch an
Regierungsstellen und Unternehmen außerhalb der EU weitergegeben werden dürfen.
Zu dieser Thematik liegen dem Petitionsausschuss eine auf der Internetseite des
Deutschen Bundestages veröffentlichte Eingabe mit 5.058 Mitzeichnungen und
161 Diskussionsbeiträgen sowie weitere Eingaben mit verwandter Zielsetzung vor, die
wegen des Sachzusammenhangs einer gemeinsamen parlamentarischen Behandlung
zugeführt werden. Der Petitionsausschuss bittet um Verständnis, dass nicht auf jeden
einzelnen Gesichtspunkt eingegangen werden kann.
Zur Begründung des Anliegens wird im Wesentlichen ausgeführt, dass Staaten, wie
die USA, unkontrolliert Daten von deutschen Staatsbürgern auf unbekannte Zeit
speichern würden. Dies dürfe die Bundesregierung zum Schutz der eigenen
Staatsbürger und deren Rechte nicht zulassen. Deutsches und EU-Datenschutzrecht
müssten auf dem Gebiet der Bundesrepublik Deutschland uneingeschränkt gelten und
dürften nicht durch ausländische Regierungen und Unternehmen umgangen werden.
Vor dem Hintergrund der NSA-Affäre und der Diskussion um die
Überwachungsprogramme PRISM und TEMPORA im Jahr 2013 fordern weitere
Petenten ebenfalls eine Verbesserung des Datenschutzes vor Zugriffen durch
ausländische Nachrichtendienste.
Hinsichtlich der weiteren Einzelheiten zu dem Vorbringen wird auf die eingereichten
Unterlagen verwiesen.
Der Petitionsausschuss hat der Bundesregierung Gelegenheit gegeben, ihre Ansicht
zu der Eingabe darzulegen. Das Ergebnis der parlamentarischen Prüfung lässt sich
unter Einbeziehung der seitens der Bundesregierung angeführten Aspekte wie folgt
zusammenfassen:
Der Petitionsausschuss stellt zunächst fest, dass sich der 17. und 18. Deutsche
Bundestag intensiv mit der Aufklärung von Ausmaß und Hintergründen der
Ausspähungen durch ausländische Geheimdienste, insbesondere durch die NSA,
befasst und am 20. März 2014 einen Untersuchungsausschuss zur NSA-Affäre
eingesetzt hat. Hinsichtlich der Ergebnisse des 1. Untersuchungsausschusses der
18. Wahlperiode verweist der Ausschuss auf den umfangreichen Abschlussbericht auf
Drucksache 18/12850. Ferner nimmt der Ausschuss u. a. auf die
Drucksachen 17/14560, 17/14602, 17/14739, 17/14797, 18/59, 18/159, 18/162,
18/164 und 18/168 Bezug. Die vorgenannten Dokumente können auf der Internetseite
des Deutschen Bundestages unter www.bundestag.de eingesehen werden.
Im Hinblick auf die mit den Petitionen vorgetragene Forderung nach Verbesserung des
Datenschutzes macht der Ausschuss darauf aufmerksam, dass das Datenschutzrecht
fest im Recht der Europäischen Union verankert ist (vgl. Artikel 8
EU-Grundrechtecharta und 16 Absatz 2 Vertrag über die Arbeitsweise der
Europäischen Union – AEUV). Mit der am 25. Mai 2016 in Kraft getretenen Verordnung
(EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum
Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum
freien Datenverkehr (Datenschutz-Grundverordnung – DSGVO, ABI. 119 vom
4. Mai 2016, S. 1) werden die europäischen Vorgaben von Artikel 8
EU-Grundrechtecharta und Artikel 16 Absatz 2 AEUV ausgefüllt. Die DSGVO schafft
für die Verarbeitung von personenbezogenen Daten durch Private (einschließlich
Unternehmen) wie auch durch öffentliche Stellen einen neuen datenschutzrechtlichen
Rechtsrahmen in der EU. Die DSGVO gilt seit dem 25. Mai 2018 in allen
Mitgliedstaaten der EU unmittelbar und bedarf daher grundsätzlich keiner Umsetzung
in deutsches Recht (Artikel 288 AEUV). Nur soweit die DSGVO Regelungsspielräume
für den nationalen Gesetzgeber eröffnet, kann dieser tätig werden. Der Ausschuss
hebt hervor, dass die DSGVO im Bereich der Übermittlung personenbezogener Daten
in Staaten außerhalb der EU keinen Spielraum für nationale Gesetzgebung lässt.
Ferner weist der Ausschuss darauf hin, dass sich die Zulässigkeit der Übermittlung
personenbezogener Daten in Staaten außerhalb der EU bzw. des Europäischen
Wirtschaftsraums (sogenannte Drittstaatenübermittlung) abschließend nach Kapitel II
i. V. m. Kapitel V der DSGVO richtet.
Die Übermittlung in Drittländer ist danach nur zulässig, wenn ein angemessenes
Datenschutzniveau im Drittland gewährleistet ist. Dies gilt auch für etwaige
Weiterübermittlungen personenbezogener Daten durch das betreffende Drittland
(Artikel 44 Satz 1 zweiter Halbsatz DSGVO).
Im Einzelnen ist für Übermittlungen von personenbezogenen Daten an Drittländer wie
folgt zu unterscheiden:
1. Datenübermittlungen auf der Grundlage eines Angemessenheitsbeschlusses
(Artikel 45 DSGVO)
Eine Übermittlung auf der Grundlage von Artikel 45 DSGVO darf grundsätzlich
erfolgen, wenn für das Drittland durch Entscheidung der Europäischen Kommission
ein angemessenes Datenschutzniveau anerkannt ist. Bei der Prüfung der
Angemessenheit hat die Europäische Kommission die innerstaatlichen
Rechtsvorschriften und deren Anwendung, die Existenz und die wirksame
Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden sowie seiner
eingegangenen internationalen Verpflichtungen zu berücksichtigen. Der Europäische
Gerichtshof hat im Urteil C-362/2014 „Schrems“ vom 6. Oktober 2015 zum
Safe-Harbor-Angemessenheitsbeschluss konkretisiert, dass ein Schutzniveau dann
angemessen sei, wenn es einen „im Wesentlichen gleichwertigen“ Schutz biete.
2. Datenübermittlung bei Vorliegen geeigneter Garantien (Artikel 46 DSGVO)
Fehlt es an einem Angemessenheitsbeschluss nach Artikel 45 DSGVO, dürfen
personenbezogene Daten gemäß Artikel 46 Absatz 1 DSGVO an ein Drittland nur
übermittelt werden, sofern geeignete Garantien, etwa Standarddatenschutzklauseln,
verbindliche interne Datenschutzvorschriften (Artikel 47 DSGVO) oder genehmigte
Verhaltensregeln verwendet werden und der betroffenen Person durchsetzbare
Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
In diesem Zusammenhang merkt der Ausschuss an, dass verbindliche interne
Datenschutzvorschriften schon bisher in der Praxis verwendet wurden. Sie sind nun in
Artikel 47 der DSGVO ausdrücklich als Möglichkeit zur Erbringung „geeigneter
Garantien“ für Datenübermittlungen in Drittländer spezifiziert. Dabei müssen sie einen
Schutz bieten, der im Wesentlichen dem der DSGVO entspricht.
Die DSGVO bringt mit dem Ansatz in Artikel 46 zugleich mehr Flexibilität. Daneben
kommen auch neue Instrumente wie Standarddatenschutzklauseln, genehmigte
Verhaltensregeln (Artikel 40 DSGVO) sowie genehmigte Zertifizierungsmechanismen
(Artikel 42 DSGVO) als Grundlage für Übermittlungen in Drittstaaten in Betracht.
3. Ausnahmen für bestimmte Fälle (Artikel 49 DSGVO)
Liegen weder ein Angemessenheitsbeschluss der Kommission nach Artikel 45
Absatz 3 DSGVO noch geeignete Garantien nach Artikel 46 DSGVO vor, ist eine
Datenübermittlung an ein Drittland nur bei Vorliegen besonderer, in Artikel 49
Absatz 1 DSGVO explizit genannter und abschließender Fälle zulässig. Die DSGVO
nennt hier etwa die Einwilligung der betroffenen Person in die Datenübermittlung in ein
Drittland. Dies setzt voraus, dass die betroffene Person vorher ausdrücklich über
bestehende mögliche Risiken derartiger Datenübermittlungen, d. h. insbesondere
darüber, dass kein angemessenes Datenschutzniveau gegeben ist, aufgeklärt wurde.
Weitere Ausnahmetatbestände bestehen etwa, wenn die Übermittlung zur Erfüllung
eines Vertrags, aus wichtigen Gründen des öffentlichen Interesses, zur
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum
Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen
erforderlich ist.
Abschließend stellt der Ausschuss fest, dass internationale Datenflüsse aus dem
täglichen Leben und in einer digital geprägten Welt nicht mehr wegzudenken sind.
Nach dem Dafürhalten des Ausschusses stellen die im europäischen Binnenmarkt zur
Übermittlung personenbezogener Daten an Drittstaaten unmittelbar geltenden
Bestimmungen der DSGVO sicher, dass die europäisch gesetzten
datenschutzrechtlichen Standards auch bei Drittstaatsübermittlungen zur Anwendung
kommen.
Vor diesem Hintergrund vermag der Ausschuss keinen Bedarf für weitere gesetzliche
Maßnahmen bezüglich eines generellen Verbotes der Weitergabe von
personenbezogenen Daten an Drittstaaten zu erkennen. Sie könnten, wie oben
erwähnt, im Übrigen nur noch durch den europäischen Gesetzgeber erfolgen
(vgl. Artikel 16 Absatz 2 AEUV).
Nach umfassender Prüfung der Sach- und Rechtslage empfiehlt der
Petitionsausschuss daher im Ergebnis, das Petitionsverfahren abzuschließen, weil
dem Anliegen teilweise entsprochen worden ist.
Der von der Fraktion der AfD gestellte Antrag, das Petitionsverfahren abzuschließen,
weil dem Anliegen nicht entsprochen werden konnte, ist mehrheitlich abgelehnt
worden.
Der von der Fraktion DIE LINKE. gestellte Antrag, die Petition der Bundesregierung
- dem Bundesministerium des Innern, für Bau und Heimat - als Material zu überweisen
und den Fraktionen des Deutschen Bundestages zur Kenntnis zu geben, ist ebenfalls
mehrheitlich abgelehnt worden.
Mehrheitlich abgelehnt wurde auch der von der Fraktion von BÜNDNIS 90/DIE
GRÜNEN gestellte Antrag, die Petition der Bundesregierung - dem Bundesministerium
des Innern, für Bau und Heimat - als Material zu überweisen, soweit ein verbesserter
Schutz gegen staatliche Überwachung, insbesondere auch gegen
nachrichtendienstliche Massenüberwachung, gefordert ist, und das Petitionsverfahren
im Übrigen abzuschließen.
Begründung (PDF)