Zum Inhalt springen Zur Navigation springen
PRISM: Artikel-29-Gruppe kündigt Prüfung an

PRISM: Artikel-29-Gruppe kündigt Prüfung an

Auch Wochen nach Bekanntwerden des wohl größten Datenskandales unserer Zeit reißen die Berichte um PRISM nicht ab und neue Enthüllungen kommen ans Tageslicht.

Nun haben auch die obersten europäischen Datenschützer, die Art-29-Gruppe, sowie die EU-Justizkommissarin Viviane Reding, eine Stellungnahme veröffentlicht und von den Regierungen und der Europäischen Kommission eine weitere Sachaufklärung gefordert. Zudem kündigten sie an, sich als oberste Datenschutzbehörde gegenüber den europäischen Bürgern verpflichtet zu sehen, eigene unabhängige Sachermittlungen aufzunehmen.

Wer ist die Art-29-Gruppe eigentlich?

Der Name „Art-29-Gruppe“ geht zurück auf Art. 29 der Europäischen Datenschutzrichtlinie (Richtlinie 95/46/EG). Sie ist das unabhängige Beratungsgremium der Europäischen Kommission, soweit es um Fragen des Datenschutzes geht.

In Art. 29 RL 95/46/EG heißt es dazu:

Es wird eine Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten eingesetzt.

Die Gruppe ist unabhängig und hat beratende Funktion.

Ihr Aufgabenfeld wird in Art. 30 der Datenschutzrichtlinie definiert und beinhaltet neben der Prüfung der Rechtsumsetzung der Richtlinie in den einzelnen Staaten, der Mitwirkung an der Herstellung eines europaweit einheitlichen Schutzniveaus (Harmonisierung), sowie Stellungnahmen zu auf Gemeinschaftsebene erarbeiteten Verhaltensregeln, insbesondere die Ausarbeitung von Empfehlungen gegenüber der Europäischen Kommission zu allen Fragen, die den Schutz von Personen in der Verarbeitung personenbezogener Daten in der Gemeinschaft betreffen.

Im Rahmen ihrer Amtsausübung hat die Art-29-Gruppe bereits zu diversen datenschutzrechtlichen Fragen Stellung genommen. So beispielsweise zur Videoüberwachung,  zum E-Government, zur unerwünschten E-Mail-Werbung, zum Einsatz biometrischer Verfahren, zum Arbeitnehmerdatenschutz, zum Datentransfer in Drittländer außerhalb der EU und zum Datenschutz im Internet

Wie steht die Art-29-Gruppe nun zu PRISM?

In einem offenen Brief  des Vorsitzenden  der Art-29-Gruppe, Jacob Kohnstamm, vom 13.08.2013, der sich an den Vizepräsidenten der Europäischen Kommision richtet, hebt Kohnstamm zwar hervor, dass die Art-29-Gruppe durchaus Verständnis dafür habe, dass aufgrund des nationalen Sicherheitverständnisses der einzelnen Staaten auch unterschiedliche Vorstellungen über die Art, Weise und Reichweite der Informationsgewinnung und –verwertung bestünden. Gleichwohl drückte die Gruppe ihre tiefe Besorgnis über die zu Tage getretenen Überwachungsaktivitäten der USA aus und fordert, dass das Schutzinteresse des Einzelnen vor anlassloser Überwachung als ein fundamentales Individualrecht nicht abhängig gemacht werden dürfe von einer nationalen Zugehörigkeit.

Kohnstamm stellt weiter dar, dass die aus Anlass der NSA-Affäre eingerichtete bilaterale Arbeitsgruppe EU – US an welcher die Gruppe ebenfalls beteiligt ist, bereits viel zur Sachaufklärung beigetragen habe. Dass es aus Sicht der Gruppe allerdings noch viele offene Fragen gebe, inwieweit Datenschutzrechte von EU-Bürgern verletzt seien. Diesbezüglich kündigte Kohnstamm eine unabhängige Prüfung durch die Gruppe an.

Forderungen der Art-29-Gruppe

Dies führe, so Kohnstamm, zu folgenden, klärungsbedüftigen Punkten:

  1. Zunächst müsse dargestellt/ermittelt werden, welche Arten von Informationen genau durch den amerikanischen Geheimdienst gesammelt werden. Handelt es sich „nur“ um Metadaten oder auch um Inhalte der einzelnen Kommunikation? Zudem sei bisher nicht völlig klar, in welchem Umfang Daten von „Nicht-US-Bürgern“ genau gesammelt wurden. Erfolgte dies lediglich als „Beiprodukt“ oder gezielt.
  2. Ferner wünscht die Gruppe eine Aufklärung dahingehend, wann die amerikanische Regierung und ihre Behörden Daten als aus den USA stammend ansehen. Dies sei deshalb von besonderer Bedeutung, da angeblich nur auf solche Informationen zugegriffen werde. Da heute viele Daten „in der Cloud“ gespeichert würden, erachtet die Gruppe es jedoch vielfach als schwierig zu bestimmen, wo genau der tatsächliche Speicherort sei. Es müsse ermittelt werden, ob auch Daten von der Erfassung und Speicherung betroffen seinen, die lediglich „durchgeroutet“ werden. Insoweit verweist die Gruppe darauf, dass nach ihrer Feststellung, nach die Datenschutzrichtlinie (RL 94/46/EG) etwa keine Anwendung fände, wenn Daten nur in Form des Transits durch die EU durchgeleitet werden (Art. 4 Abs. 1 c)). Eine ähnliche Beurteilung würde auch in den USA dazu führen, dass amerikanisches Recht für Transit-Daten nicht gilt.
  3. Auch müsse die Rolle des amerikanischen FISA Gerichts näher untersucht werden. Und zwar Verfahren bei der Erteilung von Genehmigung zum Überwachen und Erheben von Daten, wie auch die inhaltlichen Kriterien, nach denen solche Entscheidungen zur Überwachung von Nicht-Amerikanern getroffen werden. Die Datenschutzgruppe möchte die Möglichkeit haben zu prüfen, ob diese Genehmigungen den Vorgaben entsprechen, um im Namen der nationalen Sicherheit die Grundrechte der Betroffenen einzuschränken. Daher sollten sowohl Anfragen der NSA an das Gericht, als auch Gerichtsentscheidungen der Überprüfung zur Verfügung gestellt werden.
  4. Desweiteren müsse das Verhältnis zwischen den Überwachungsprogrammen einerseits und den rechtlichen Pflichten von Unternehmen in Bezug auf den internationalen Datentransfer andererseits überprüft werden. Es gehe hierbei um die Safe Harbor Entscheidung (2000/520/EG) der Kommission, sowie um Standardvertragsklauseln und verbindliche Konzernregelungen. Zwar sehen die Safe Harbor Grundsätze eine Ausnahme für Gründe der nationalen Sicherheit vor. Die Gruppe bezweifelt jedoch, dass die hier im Raum stehende Überwachung in Form einer umfassenden und systematischen Überwachung des Internets und von EU-Bürgern noch von dieser Ausnahme gedeckt sein können.
  5. Die Gruppe weist ferner darauf hin, dass den nationalen Datenschutzbehörden gem. Art. 3 Abs. 1 b) der Kommissionsentscheidung zu Safe Harbor Entscheidung die Befugnis zusteht, bestimmte Datentransfers in Drittländer zu untersagen, wenn eine hohe Wahrscheinlichkeit für eine Verletzung der Safe Harbor Grundsätze bestehe und wenn die fortgesetzte Datenübermittlung für die betroffenen Personen das unmittelbar bevorstehende Risiko eines schweren Schadens schaffen würden.
  6. Auch müsse geprüft werden, ob die amerikanischen Überwachungsprogramme mit europäischem und internationalem Recht vereinbar sind. Dies beinhalte sowohl der internationale Pakt über bürgerliche und politische Rechte sowie die Beachtung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten des Europarates.
  7. Die Gruppe vermute weiter, dass die derzeitige Überwachungstätigkeit, die Überwachung und der Zugriffs auf Daten von Nicht-Amerikanern wahrscheinlich nicht vom Übereinkommen des Europarates zur Computerkriminalität gedeckt sei.
  8. Ein weiterer zu überprüfender Aspekt ist der Rechtsschutz für Nicht-Amerikaner. Denn derzeit besteht für diese keine Möglichkeit eine Verletzung ihrer Grundrechte vor einem Gericht in den USA geltend zu machen.

Vor allem weist die Art-29-Gruppe allerdings darauf hin, dass sie zur Erfüllung ihres Amtes nicht nur die Nutzung von geheimen Überwachungsprogrammen durch die USA selbst, sondern auch die Auswirkungen von PRISM in Europa, den Umgang und die Weiterverarbeitung von hierdurch nach Europa gelangte Informationen in den europäischen Mitgliedstaaten untersuchen wird. Hierzu wird sie alle Möglichkeiten ihres Amtes ausnutzen. In diesem Zusammenhang wird die Gruppe auch die Europarechtskonformität anderer, in Europa genutzter Programme, wie Tempora in Großbritannien, überprüfen.

Fazit

Die europäischen Datenschutzbehörden zeigen, wenn auch spät, erheblichen weiteren Klärungsbedarf in dieser Angelegenheit auf und wollen hier auch eine entsprechende Rolle bei der Sachaufklärung und –Prüfung übernehmen. Inwieweit ihnen dies tatsächlich möglich ist, bleibt abzuwarten, hat die Artikel 29 Gruppe nach dem Gesetz doch lediglich beratende Funktion. Sie, ebenso wie die europäischen Regierungen haben keinerlei rechtliche Handhabe, die beanspruchten Informationen von den USA heraus zu verlangen, wenn diese eine weitere Aufklärung verweigern.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.