Deutscher Bundestag – 18. Wahlperiode                             – 261 –                            Drucksache 18/12850 PPD 28 den Director of National Intelligence, im Einvernehmen mit dem Attorney General sicherzustellen, dass alle Nachrichtendienste Strategien und Verfahrensweisen entwickeln, die die Gewähr dafür bieten, dass in der Vorschrift näher bezeichnete Vorgaben Beachtung finden. Zu diesen zählt unter anderem, dass Spei- cherung und Weitergabe persönlicher Informationen nur erfolgen dürfen, wenn dies auch bei vergleichbaren Informationen über US-Personen gemäß Section 2.3 EO 12333 zulässig wäre. Nach den Angaben des Sach- verständigen Edgar haben alle US-amerikanischen Nachrichtendienste ihre bestehenden Verfahrensweisen 885 entsprechend überarbeitet oder neue Verfahrensweisen entwickelt. bbb) USA FREEDOM Act In Reaktion auf die öffentliche Kritik an den extensiven Überwachungsmethoden der US-amerikanischen 886 Nachrichtendienste wurde am 2. Juni 2015 der USA FREEDOM Act                                  verabschiedet, welcher die Nachfolge des USA PATRIOT ACT antritt. Der USA FREEDOM Act verschärfte unter anderem die Anforderungen 887 an die Erfassung von Telefoniemetadaten.                    Zwar ist eine solche weiterhin zulässig, jedoch verbleiben die 888 Metadaten fortan         bei den Telekommunikationsunternehmen. Um auf sie zugreifen zu können, muss die NSA nunmehr richterliche Einzelfallanordnungen des FISC erwirken. Dafür muss sie dem FISC darlegen, dass die beantragte Datenerfassung auf der Nutzung spezifischer Selektionskriterien (specific selection 889 terms) beruht.       Dies gilt unabhängig von der Staatsangehörigkeit der Betroffenen. ccc) Judicial Redress Act 890 Der Judicial Redress Act           wurde im Jahr 2015 verabschiedet und im Februar 2016 von US-Präsident Barack Obama unterzeichnet. Er ermöglicht es EU-Bürgern, in den USA den Rechtsweg zu beschreiten, wenn per- sonenbezogene Daten, welche ihre Herkunftsstaaten an die USA übermittelt haben, dort unrechtmäßig of- fengelegt werden. Die Verabschiedung des Judicial Redress Act hat folgenden Hintergrund: 891 Nach der EU-Datenschutzrichtlinie aus dem Jahr 1995                          ist es grundsätzlich unzulässig, personenbezogene Daten aus EU-Mitgliedstaaten in Staaten zu übermitteln, deren Datenschutzrecht kein dem EU-Recht ver- gleichbares Schutzniveau aufweist. Zu diesen Staaten zählen unter anderem die USA. Um zu verhindern, dass der Datenverkehr zwischen der EU und den USA zum Erliegen kommt, wurde zwischen 1998 und 2000 die folgende Verfahrensweise entwickelt: US-Unternehmen konnten sich auf einer Liste des US-Handelsmi- nisteriums eintragen lassen, wenn sie sich verpflichteten, die „Grundsätze des sicheren Hafens“ (Safe Harbor 885)     Schriftliches Gutachten des Sachverständigen Edgar, MAT A SV-16/2a, S. 4 Fn 4. 886)     H.R. 2048, „Uniting and Strengthening America by Fulfilling Rights and Ensuring Effective Discipline Over Monitoring Act of 2015”. 887)     Siehe Sections 101 bis 103 USA FREEDOM Act. 888)     Gemäß Section 109 (a) USA FREEDOM Act finden die Bestimmungen der Sections 101 bis 103 dieses Gesetzes erst 180 Tage nach seinem Inkrafttreten Anwendung. 889)     Siehe Section 103 USA FREEDOM Act. Eine Definition des Begriffs findet sich in Section 107 USA FREEDOM Act. Danach ist ein spezifisches Selektionskriterium ein Kriterium, das ein Individuum, einen Zugang oder ein persönliches Gerät identifiziert (a term that specifically identifies an individual, account, or personal device). 890)     H.R. 1428, „Judicial Redress Act of 2015”. 891)     Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Amtsblatt der Europäischen Gemeinschaften Nr. L 281 vom 23. November 1995, S. 31.

Drucksache 18/12850                                             – 262 –                Deutscher Bundestag – 18. Wahlperiode Principles) und in Form „Häufig gestellter Fragen“ (FAQ) festgelegte Leitlinien zu befolgen. Im Juli 2000 892 erkannte die Europäische Kommission in der sogenannten Safe-Harbor-Entscheidung                                      an, dass in Bezug auf Unternehmen, die diesem System beitreten, ein angemessenes Schutzniveau für personenbezogene Daten im Sinne der EU-Datenschutzrichtlinie gewährleistet sei. In der Folgezeit trat eine Vielzahl US-amerikani- scher Unternehmen dem Safe-Harbor-System bei, darunter Apple, Facebook, Google und Microsoft. Kurz nach den ersten Snowden-Enthüllungen forderte die Konferenz der Datenschutzbeauftragten des Bun- des und der Länder die Europäische Kommission in einer Presseerklärung auf, die Safe-Harbor-Entscheidung vor dem Hintergrund der exzessiven Überwachungstätigkeit ausländischer Nachrichtendienste, insbesondere 893 der NSA, bis auf weiteres zu suspendieren. Am 25. Juni 2013 legte Maximilian Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöri- ger, der seit 2008 Facebook nutzte, beim irischen Data Protection Commissioner eine Beschwerde ein, mit der er sich dagegen wandte, dass Facebook Ireland seine personenbezogenen Daten in die USA übermittelte. Zur Begründung nahm Maximilian Schrems auf die Snowden-Enthüllungen über die Überwachungstätigkei- ten der US-amerikanischen Nachrichtendienste Bezug und machte geltend, das Recht der USA und die dor- tige Praxis gewährleisteten keinen ausreichenden Schutz personenbezogener Daten vor diesen Überwa- chungstätigkeiten. Der irische Data Protection Commissioner wies die Beschwerde als unbegründet zurück. Hiergegen beschritt Maximilian Schrems den Rechtsweg. Der angerufene irische High Court befasste den 894 Europäischen Gerichtshof (EuGH) im Wege eines Vorabentscheidungsverfahrens mit der Sache.                                         Im Som- mer 2014 kündigte der damalige US-Justizminister Eric Holder an, die US-Präsidialverwaltung erarbeite zusammen mit dem US-Kongress eine Regelung, die es EU-Bürgern ermöglichen werde, sich in gleicher 895 Weise wie US-Bürger vor US-Gerichten auf die Bestimmungen des Privacy Act von 1974 zu berufen.                                          Im Oktober 2015 erklärte der Europäische Gerichtshof die Safe-Harbor-Entscheidung der Europäischen Kom- 896 mission für ungültig. An die Stelle des Safe-Harbor-Systems ist das sogenannte EU-US Privacy Shield getreten, welches auf Zu- sicherungen der USA und einem Beschluss der EU-Kommission basiert und am 12. Juli 2016 in Kraft trat. Der Judicial Redress Act war ein entscheidender Schritt, um die Verhandlungen über das EU-US Privacy Shield abschließen zu können. Als zentrales Element sieht das EU-US Privacy Shield die Schaffung eines unabhängigen Ombudsmannes im US-Außenministerium vor, der die Beschwerden von EU-Bürgern gegen Überwachungsmaßnahmen be- handeln soll. 892)      Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des sicheren Hafens und der diesbezüglichen Häufig gestellten Fragen (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA Amtsblatt der Europäischen Gemeinschaften Nr. L 215 vom 25. August 2000, S. 7. 893)      Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Presseerklärung vom 24. Juni 2013, abrufbar z. B. unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/07/Presseerkl%C3%A4rung-Safe-Harbor.pdf. 894)      Siehe EuGH, Urteil vom 6. Oktober 2015, Maximilian Schrems gegen Data Protection Commissioner, C-362/14, Rn. 26-36. 895)      Schriftliches Gutachten des Sachverständigen Scott, MAT A SV-6, S. 20 unter Verweis auf eine Mitteilung des US- Justizministeriums vom 25. Juni 2014 mit dem Titel „Attorney General Holder Pledges Support for Legislation to Provide E.U. Citizens with Judicial Redress in Cases of Wrongful Disclosure of Their Personal Data Transferred to the U.S. for Law Enforcement Purposes”, abrufbar unter https://www.justice.gov/opa/pr/attorney-general-holder-pledges-support-legislation-provide-eu-citizens- judicial-redress. 896)      EuGH, Urteil vom 6. Oktober 2015, Maximilian Schrems gegen Data Protection Commissioner, C-362/14.

Deutscher Bundestag – 18. Wahlperiode                          – 263 –                      Drucksache 18/12850 d)     Bewertung der Rechtsentwicklung durch US-amerikanische Gesprächspartner im Rahmen der Delegationsreise des Ausschusses in die USA Die Delegationsreise in die USA hat der Ausschuss unter anderem dazu genutzt, sich darüber zu informieren, wie die Rechtsentwicklung seit den Snowden-Enthüllungen von US-amerikanischer Seite bewertet wird. Mit Nuancen im Detail vertraten sämtliche US-amerikanischen Gesprächspartner die Auffassung, dass sich seit den Snowden-Enthüllungen einiges bewegt habe: Der demokratische Senator Christopher S. Murphy erklärte, dass es in Folge der Snowden-Enthüllungen zu Verbesserungen gekommen sei. Ben Scott vom Think Tank New America wies darauf hin, dass die US- amerikanischen Nachrichtendienste nunmehr ihre Arbeit erklärten und viele Informationen veröffentlichten. Auch die Urteilsgründe (judicial reasoning) der geheimgehaltenen Entscheidungen des FISC würden mitt- 897 lerweile veröffentlicht, wenn sich aus ihnen Rechtsänderungen ableiten ließen. Die geführten Gespräche ergaben zudem, dass die aktuelle Rechtslage überwiegend als wegweisend emp- funden wird: Der demokratische Senator Christopher S. Murphy betonte, man habe auf den zentralen Vorwurf Edward J. Snowdens, die Daten könnten durch die Machtübernahme einer feindlich gesinnten Regierung missbraucht werden, reagiert, indem die Daten nunmehr bei den Unternehmen selbst (und somit außerhalb der Reichweite 898 des Staates) gespeichert würden. Conrad Tribble vom US-amerikanischen Außenministerium vertrat die Auffassung, die in Folge der Snow- den-Enthüllungen eingetretenen Rechtsänderungen, etwa durch die Presidential Policy Directive 28 (PPD 28) und den USA FREEDOM Act würden in Europa nicht genügend beachtet. Mit dem Judicial Red- ress Act werde Bürgern europäischer Staaten überdies ermöglicht, die US-Regierung zu verklagen, falls diese 899 unrechtmäßig personenbezogene Daten offenbare.                      Catherine Brown vom US-amerikanischen Außenmi- nisterium ergänzte, schon seit 1978 seien durch den Foreign Intelligence Surveillance Act (FISA) Ausländer 900 in den USA geschützt.            Julie Martin vom US-amerikanischen Außenministerium fügte hinzu, dank der 901 PPD 28 gälten nun klare Regeln für die Überwachung von Ausländern. Auch der republikanische Abgeordnete William Hurd wies darauf hin, dass sich der schon im FISA vorge- sehene Schutz der in den USA erfassten Auslands-Auslands-Kommunikation mit der PPD 28 nochmals er- 902 heblich verbessert habe. Morton H. Halperin von der Open Society Foundations äußerte sich ebenfalls positiv darüber, dass auf Grund 903 der PPD 28 nun auch Ausländer Schutz gegen Überwachung in den USA erlangen könnten. 897)     Bericht vom 6. Juli 2016 über die Delegationsreise des Ausschusses in die USA. 898)     Bericht vom 6. Juli 2016 über die Delegationsreise des Ausschusses in die USA. 899)     Bericht vom 6. Juli 2016 über die Delegationsreise des Ausschusses in die USA. 900)     Bericht vom 6. Juli 2016 über die Delegationsreise des Ausschusses in die USA. 901)     Bericht vom 6. Juli 2016 über die Delegationsreise des Ausschusses in die USA. 902)     Bericht vom 6. Juli 2016 über die Delegationsreise des Ausschusses in die USA. 903)     Bericht vom 6. Juli 2016 über die Delegationsreise des Ausschusses in die USA.

Drucksache 18/12850                                            – 264 –               Deutscher Bundestag – 18. Wahlperiode Ashley Gorski von der American Civil Liberties Union (ACLU), machte geltend, die PPD 28 sei ein Schritt in die richtige Richtung, die darin genannten Kriterien seien allerdings zu vage, weshalb der anlasslosen 904 Datenerfassung kein Einhalt geboten werde.                  Als Sachverständige hat Ashley Gorski dazu ausgeführt, die in Section 2 PPD 28 für zulässig erklärten Überwachungszwecke seien so weit gefasst, dass sie eine anlass- lose Überwachung wie durch das Programm UPSTREAM rechtlich absicherten, obwohl eine solche mit den 905 Vorgaben des IPBPR nicht vereinbar sei. Ben Scott vom Think Tank New America vertrat die Meinung, die Rechtslage in den USA sei möglicherweise 906 nicht perfekt, jedoch viel besser als in allen europäischen Staaten. Auch zu den erfolgten Reformen betreffend die Kontrolle der Nachrichtendienste zogen die US-amerikani- schen Gesprächspartner überwiegend ein positives Fazit. Der Vorsitzende des ständigen Ausschusses des Repräsentantenhauses für die Nachrichtenkontrolle (House Permanent Select Committee on Intelligence, kurz: HPSCI), Devin Nunes, wies darauf hin, dass bereits die Watergate-Affäre Ausgangspunkt für eine strikte Kontrolle der Nachrichtendienste gewesen sei, und fügte 907 hinzu, dass der HPSCI auf Grund seiner Budgethoheit erhebliche Macht habe. James A. Lewis vom Strategic Technologies Program vertrat die Ansicht, dass es in den USA seit den 1970er Jahren so viel Nachrichtendienstkontrolle gebe wie sonst nirgendwo und die USA der einzige Staat mit einer 908 funktionierenden Aufsicht seien. Der demokratische Senator Christopher S. Murphy erklärte, dass sich die Aufsicht über die Nachrichtendien- 909 ste verbessert habe. Marc Rotenberg, der Präsident des Electronic Privacy Information Center, vertrat die Auffassung, die Funk- tionsfähigkeit der Nachrichtendienstaufsicht werde dadurch belegt, dass es vier Anhörungen im Kongress 910 gegeben habe, um den Vorwürfen Edward J. Snowdens nachzugehen. Conrad Tribble vom US-Außenministerium merkte an, dass neben den parlamentarischen Aufsichtsmecha- 911 nismen eine Kontrolle der Nachrichtendienste durch die Justiz erfolge.                      Catherine Brown vom US-Außen- ministerium fügte hinzu, dass der US-Kongress vollständig über geheime nachrichtendienstliche Vorgänge unterrichtet werde. Hierzu existiere die sogenannte gang of four, bestehend aus den Vorsitzenden und Ob- leuten der Nachrichtendienstausschüsse in Senat und Repräsentantenhaus. In der sogenannten gang of eight 912 kämen noch die Sprecher und Minderheitsführer von Senat und Repräsentantenhaus dazu. David Medine, der Vorsitzende des Privacy and Civil Liberties Oversight Board (PCLOB), wies auf die Unabhängigkeit dieses Gremiums innerhalb der Exekutive hin. Alle durch den US-Präsidenten ernannten 904)     Bericht vom 6. Juli 2016 über die Delegationsreise des Ausschusses in die USA. 905)     Schriftliches Gutachten der Sachverständigen Gorski, MAT A SV-15/2 S. 13. 906)     Bericht vom 6. Juli 2016 über die Delegationsreise des Ausschusses in die USA. 907)     Bericht vom 6. Juli 2016 über die Delegationsreise des Ausschusses in die USA. 908)     Bericht vom 6. Juli 2016 über die Delegationsreise des Ausschusses in die USA. 909)     Bericht vom 6. Juli 2016 über die Delegationsreise des Ausschusses in die USA. 910)     Bericht vom 6. Juli 2016 über die Delegationsreise des Ausschusses in die USA. 911)     Bericht vom 6. Juli 2016 über die Delegationsreise des Ausschusses in die USA. 912)     Bericht vom 6. Juli 2016 über die Delegationsreise des Ausschusses in die USA.

Deutscher Bundestag – 18. Wahlperiode                          – 265 –                        Drucksache 18/12850 Mitglieder müssten vom US-Senat bestätigt werden. Das PCLOB arbeite überparteilich, Informationen er- halte es unmittelbar von den Mitarbeitern der Nachrichtendienste. Bei Unzufriedenheiten frage man direkt bei den Chefs der Nachrichtendienste nach. Das Gremium suche vor allem nach Rechtsverstößen, sei hierauf 913 aber nicht beschränkt. Es könne auch anregen, Gesetze zu ändern.                      PCLOB-Mitglied Beth Collins ergänzte, die wesentliche Arbeit des PCLOB bestehe in der Beratung des US-Präsidenten. Das Gremium dürfe auch 914 Rechtsverstößen zum Nachteil von Ausländern nachgehen. Seine Berichte würden veröffentlicht.                            PCLOB- Mitglied Rachel Brand fügte hinzu, dass das Gremium für alle Maßnahmen der Nachrichtendienste im Zu- sammenhang mit der Terrorismusbekämpfung zuständig sei. Weil es klein sei, müsse es aber in Bezug auf die Untersuchungsgegenstände kraft eigenen Ermessens eine Auswahl treffen. Problematisch sei allerdings, 915 dass man nie wisse, wovon man nichts wisse („You don’t know, what you don’t know“).                            Auch der demo- kratische Abgeordnete F. James Sensenbrenner, Jr. hob hervor, dass die Nachrichtendienste den Kontrollin- 916 stanzen Dinge vorenthielten. 2.     Vereinigtes Königreich (UK) a)     Rechtslage vor den Snowden-Enthüllungen Für die Fernmeldeaufklärung durch die Nachrichtendienste des Vereinigten Königreichs sind – mangels einer kodifizierten Verfassung – in erster Linie völkerrechtliche und einfachrechtliche Bestimmungen maßgeblich. Bis zu den ersten Snowden-Enthüllungen stellte sich die Rechtslage wie folgt dar: aa)    Internationaler Pakt über bürgerliche und politische Rechte Seit dem 20. Mai 1976 ist das Vereinigte Königreich an den Internationalen Pakt über bürgerliche und poli- tische Rechte (IPBPR) gebunden. Die unter anderem von den USA vertretene Auffassung, wonach dieses Übereinkommen keinerlei Anwen- dung auf extraterritoriale Handlungen der Vertragsstaaten findet [siehe dazu A.II.1.a)bb)], scheint das Ver- einigte Königreich nicht zu teilen: Üblicherweise spricht der Menschenrechtsausschuss der Vereinten Natio- nen (VN-MRA) es in seinen Abschließenden Bemerkungen (Concluding Observations) zu den von den Ver- tragsstaaten einzureichenden Staatenberichten ausdrücklich an, wenn ein Vertragsstaat die genannte Auf- 917 fassung vertritt.     In den Abschließenden Bemerkungen des VN-MRA zum jüngsten Staatenbericht des Ver- 918 einigten Königreichs finden sich indes keine diesbezüglichen Ausführungen. Im Übrigen stellt sich die Lage im Vereinigten Königreich ähnlich dar wie in den USA: 913)     Bericht vom 6. Juli 2016 über die Delegationsreise des Ausschusses in die USA. 914)     Bericht vom 6. Juli 2016 über die Delegationsreise des Ausschusses in die USA. 915)     Bericht vom 6. Juli 2016 über die Delegationsreise des Ausschusses in die USA. 916)     Bericht vom 6. Juli 2016 über die Delegationsreise des Ausschusses in die USA. 917)     Zu den USA siehe VN-MRA, „Concluding Observations on the Fourth Report of the United States of America” vom 26. März 2014 - CCPR/C/USA/CO/4, Rn. 4 ; zu Israel siehe VN-MRA, „Concluding Observations of the Human Rights Committee on Israel“ vom 3. September 2010 – CCPR/C/ISR/CO/3, Rn. 5. 918)     Siehe VN-MRA, „Concluding Observations on the seventh periodic report of the United Kingdom of Great Britain and Northern Ireland” vom 21. Juli 2015 - CCPR/C/GBR/CO/7.

Drucksache 18/12850                                            – 266 –             Deutscher Bundestag – 18. Wahlperiode Zwar machte das Vereinigte Königreich – anders als die USA – mehrfach Gebrauch von der durch Art. 4 Abs. 1 und 3 IPBPR eingeräumten Möglichkeit, unter Berufung auf einen öffentlichen Notstand eine Abwei- chung von den Verpflichtungen des IPBPR zu erklären. Jedoch betrafen diese Erklärungen nicht die Über- wachungsbefugnisse der Nachrichtendienste des Vereinigten Königreichs und wurden nachfolgend sämtlich 919 wieder zurückgezogen. Dem Fakultativprotokoll zum IPBPR, dessen Art. 2 natürlichen Personen die Möglichkeit einräumt, den VN- MRA wegen einer vermeintlichen Verletzung der aus dem IPBPR resultierenden Verpflichtungen anzurufen, 920 ist das Vereinigte Königreich ebensowenig beigetreten wie die USA. Wie die USA hat das Vereinigte Königreich gemäß Art. 41 IPBPR erklärt, die Zuständigkeit des VN-MRA zur Entgegennahme und Prüfung von Mitteilungen anzuerkennen, mit denen eine andere Vertragspartei eine 921 Verletzung der Verpflichtungen aus dem IPBPR geltend macht. bb)     Datenschutzübereinkommen des Europarats Das Übereinkommen des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung perso- 922 nenbezogener Daten vom 28. Januar 1981 (Datenschutzübereinkommen des Europarats)                                  ist im Vereinig- 923 ten Königreich seit dem 1. Dezember 1987 in Kraft. Art. 3 des Übereinkommens regelt seinen Anwendungsbereich. Die Vorschrift lautet auszugsweise wie folgt: „(1) Die Vertragsparteien verpflichten sich, dieses Übereinkommen auf automatisierte Dateien/Datensammlungen und automatische Verarbeitungen von personenbezogenen Daten im öffentlichen und privaten Bereich anzuwenden. (2) Jeder Staat kann bei der Unterzeichnung oder bei der Hinterlegung seiner Ratifi- kations-, Annahme-, Genehmigungs- oder Beitrittsurkunde oder jederzeit danach durch Erklärung an den Generalsekretär des Europarats bekanntgeben, a) dass er dieses Übereinkommen auf bestimmte Arten von automatisierten Da- teien/Datensammlungen mit personenbezogenen Daten nicht anwendet, und hinterlegt ein Verzeichnis dieser Arten. In das Verzeichnis darf er jedoch Arten automatisierter Dateien/Datensammlungen nicht aufnehmen, die nach seinem innerstaatlichen Recht Datenschutzvorschriften unterliegen. Er ändert dieses Verzeichnis durch eine neue Er- klärung, wenn weitere Arten von automatisierten Dateien/Datensammlungen mit per- sonenbezogenen Daten seinen innerstaatlichen Datenschutzvorschriften unterstellt werden; 919)     Siehe dazu die Angaben auf der Website der Vereinten Nationen, abrufbar unter http://indicators.ohchr.org/. Danach wurde die letzte dieser Erklärungen in Reaktion auf die Anschläge vom 11. September 2001 abgegeben und durch Mitteilung vom 15. März 2005 wieder zurückgezogen. 920)     Siehe dazu das schriftliche Gutachten des Sachverständigen Dr. Aust, MAT A SV-4/1, S. 27. 921)     Siehe dazu das schriftliche Gutachten des Sachverständigen Dr. Aust, MAT A SV-4/1, S. 28. 922)     BGBl. 1985 II, S. 539. 923)     Schriftliches Gutachten des Sachverständigen Dr. Talmon, MAT A SV-4/2, S. 3 f. Fn. 5.

Deutscher Bundestag – 18. Wahlperiode                         – 267 –                 Drucksache 18/12850 b) […]; c) dass er dieses Übereinkommen auch auf Dateien/Datensammlungen mit personen- bezogenen Daten anwendet, die nicht automatisch verarbeitet werden. […]“. Nach Auffassung des Sachverständigen Prof. Dr. Stefan Talmon umfasst der so definierte Anwendungsbe- reich des Übereinkommens grundsätzlich auch die Datensammlungen der Nachrichtendienste der Vertrags- 924 parteien.    Am 26. Januar 2001 gab das Vereinigte Königreich eine Erklärung gemäß Art. 3 Abs. 2 lit. c des Übereinkommens ab, durch die es dessen Anwendungsbereich mit Wirkung zum 27. April 2001 erweiterte. Die Erklärung lautet wie folgt: „The United Kingdom will apply the Convention to personal data which are not pro- cessed automatically but which are held in a relevant filing system. ‚Relevant filing system’ means any set of information relating to individuals to the extent that, alt- hough the information is not processed by means of equipment operating automati- cally in response to instructions given for that purpose, the set is structured, either by reference to individuals or by reference to criteria relating to individuals, in such a way that specific information relating to a particular individual is readily accessible“. „Großbritannien wird das Abkommen auf solche persönlichen Daten anwenden, die nicht automatisch verarbeitet werden, aber die in einem relevanten Ablagesystem vor- gehalten werden. ‚Relevantes Ablagesystem‘ ist als jeglicher sich auf Individuen be- ziehende Satz von Informationen zu verstehen, insoweit dieser Satz, auch wenn die Informationen nicht durch Geräte verarbeitet werden, die aufgrund von für diesen Zweck erteilten Anweisungen automatisch arbeiten, derart strukturiert ist, dass die spezifischen Informationen in Bezug auf ein bestimmtes Individuum jederzeit abruf- bar sind, entweder unter Bezugnahme auf Individuen oder unter Bezugnahme auf sich 925 auf Individuen beziehende Kriterien.“ Artt. 5 bis 8 des Übereinkommens enthalten materielle Datenschutzgrundsätze. Art. 5 lautet: „Personenbezogene Daten, die automatisch verarbeitet werden, a) müssen nach Treu und Glauben und auf rechtmäßige Weise beschafft sein und ver- arbeitet werden; b) müssen für festgelegte und rechtmäßige Zwecke gespeichert sein und dürfen nicht so verwendet werden, daß es mit diesen Zwecken unvereinbar ist; 924)     Schriftliches Gutachten des Sachverständigen Dr. Talmon, MAT A SV-4/2, S. 3. 925)     Übersetzung durch den Sprachendienst des Deutschen Bundestages.

Drucksache 18/12850                                – 268 –           Deutscher Bundestag – 18. Wahlperiode c) müssen den Zwecken, für die sie gespeichert sind, entsprechen, dafür erheblich sein und dürfen nicht darüber hinausgehen; d) müssen sachlich richtig und wenn nötig auf den neuesten Stand gebracht sein; e) müssen so aufbewahrt werden, daß der Betroffene nicht länger identifiziert werden kann, als es die Zwecke, für die sie gespeichert sind, erfordern.“ Art. 8 lautet: „Jedermann muß die Möglichkeit haben, a) das Vorhandensein einer automatisierten Datei/Datensammlung mit personenbezo- genen Daten, ihre Hauptzwecke, sowie die Bezeichnung, den gewöhnlichen Aufent- haltsort oder den Sitz des Verantwortlichen für die Datei/Datensammlung festzustel- len; b) in angemessenen Zeitabständen und ohne unzumutbare Verzögerung oder übermä- ßige Kosten die Bestätigung zu erhalten, ob Daten über ihn in einer automatisierten Datei/Datensammlung mit personenbezogenen Daten gespeichert sind, sowie zu er- wirken, daß ihm diese Daten in verständlicher Form mitgeteilt werden; c) gegebenenfalls diese Daten berichtigen oder löschen zu lassen, wenn sie entgegen den Vorschriften des innerstaatlichen Rechts verarbeitet worden sind, welche die Grundsätze der Artikel 5 und 6 verwirklichen; d) über ein Rechtsmittel zu verfügen, wenn seiner Forderung nach Bestätigung oder gegebenenfalls nach Mitteilung, Berichtigung oder Löschung im Sinne der Buchsta- ben b und c nicht entsprochen wird.“ Art. 2 des Datenschutzübereinkommens enthält Definitionen der darin verwendeten Begriffe. Die Vorschrift lautet auszugsweise wie folgt: „In diesem Übereinkommen a) bedeutet ‚personenbezogene Daten‘ jede Information über eine bestimmte oder be- stimmbare natürliche Person (‚Betroffener‘); b) bedeutet ‚automatisierte Datei/Datensammlung‘ jede zur automatischen Verarbei- tung erfasste Gesamtheit von Informationen; c) umfasst ‚automatische Verarbeitung‘ die folgenden Tätigkeiten, wenn sie ganz oder teilweise mit Hilfe automatisierter Verfahren durchgeführt werden: das Speichern von Daten, das Durchführen logischer und/oder rechnerischer Operationen mit diesen Da- ten, das Verändern, Löschen, Wiedergewinnen oder Bekanntgeben von Daten;

Deutscher Bundestag – 18. Wahlperiode                           – 269 –                             Drucksache 18/12850 […].“ Art. 9 des Datenschutzübereinkommens regelt, unter welchen Bedingungen Ausnahmen von den Daten- schutzgrundsätzen der Artt. 5, 6 und 8 zulässig sind. Gemäß Art. 9 Abs. 2 lit. a ist eine solche Ausnahme zulässig, „wenn sie durch das Recht der Vertragspartei vorgesehen und in einer demokratischen Gesellschaft eine notwendige Maßnahme ist zum Schutz der Sicherheit des Staates, der öffentlichen Sicherheit sowie der Währungsinteressen des Staates oder zur Be- kämpfung von Straftaten“. Diese Voraussetzungen können im Hinblick auf nachrichtendienstliche Maßnahmen grundsätzlich erfüllt sein. cc)      Europäische Menschenrechtskonvention Das Vereinigte Königreich zählt zu den Gründungsmitgliedern der Europäischen Menschenrechtskonvention (EMRK). Art. 8 EMRK lautet wie folgt: „(1) Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz. (2) Eine Behörde darf in die Ausübung dieses Rechts nur eingreifen, soweit der Ein- griff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist für die nationale oder öffentliche Sicherheit, für das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten, zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer.“ Der Europäische Gerichtshof für Menschenrechte (EGMR) hat die aus dieser Vorschrift resultierenden Stan- dards für nachrichtendienstliche Überwachungsmaßnahmen in verschiedenen Entscheidungen näher konkre- 926 tisiert. Danach werden Telefongespräche und andere Formen der Telekommunikation von den Begriffen „Privatle- 927 ben“ und „Korrespondenz“ erfasst.                  In diesem Zusammenhang greift der EGMR auch auf das – bereits erörterte [siehe A.II.2.a)bb)] – Datenschutzübereinkommen des Europarats zurück, wodurch die dort nieder- gelegten datenschutzrechtlichen Standards mittelbar auch für die Konkretisierung der EMRK Bedeutung ge- 928 winnen.       Nach der Rechtsprechung des EGMR stellt schon die bloße Existenz von Gesetzen, die eine ge- heime Überwachung des Fernmeldeverkehrs gestatten, aus Sicht aller potentiell von diesen Überwachungs- 929 maßnahmen betroffenen Personen einen Eingriff in den Schutzbereich des Art. 8 EMRK dar.                          Auch in der 926)       Siehe dazu das schriftliche Gutachten des Sachverständigen Dr. Aust, MAT A SV-4/1, S. 7. 927)       Schriftliches Gutachten des Sachverständigen Dr. Aust, MAT A SV-4/1, S. 7. 928)       Schriftliches Gutachten des Sachverständigen Dr. Aust, MAT A SV-4/1, S. 7. 929)       Schriftliches Gutachten des Sachverständigen Dr. Aust, MAT A SV-4/1, S. 7 m. N.

Drucksache 18/12850                                            – 270 –              Deutscher Bundestag – 18. Wahlperiode weiteren Verarbeitung und Übermittlung von Daten kann nach der Rechtsprechung des EGMR ein Eingriff in den Schutzbereich des Art. 8 Abs. 1 EMRK liegen, da solche Maßnahmen die Grundlage für weiteres 930 staatliches Handeln gegenüber den Betroffenen sein können. Die Rechtfertigung eines Eingriffs in den Schutzbereich des Art. 8 EMRK setzt nach der Rechtsprechung des EGMR voraus, dass das eingreifende Gesetz für die betroffenen Personen zugänglich ist und diese vor- 931 hersehen können, welche Folgen das Gesetz für sie hat.                    Da Überwachungsmaßnahmen allerdings ihrer Natur nach geheimhaltungsbedürftig sind, hat der EGMR in diesem Zusammenhang Mindeststandards be- zeichnet, die eingehalten werden müssen, um eine willkürliche Ausdehnung von Überwachungsmaßnahmen 932 zu verhindern.        So müssen die gesetzlichen Regelungen diejenigen Straftaten aufführen, zu deren Bekämp- fung strategische Überwachungsmaßnahmen angeordnet werden dürfen; nicht erforderlich ist dabei, dass 933 jeder einzelne Straftatbestand explizit Erwähnung findet.                 Des Weiteren muss die Personengruppe, deren Kommunikation überwacht werden darf, gesetzlich bestimmt werden. Darüber hinaus muss die Dauer der Abhörmaßnahme gesetzlich begrenzt sein. Schließlich muss das Verfahren der Auswertung, Verwendung und Speicherung der Daten nebst der Umstände, unter denen die erlangten Daten wieder zu löschen sind, 934 gesetzlich geregelt sein. Hinsichtlich der Frage, ob ein Eingriff in den Schutzbereich des Art. 8 EMRK in einer demokratischen Ge- sellschaft notwendig zur Erreichung eines der in Art. 8 Abs. 2 EMRK genannten Ziele ist, erkennt der EGMR 935 grundsätzlich die Existenzberechtigung von Geheimdiensten an.                     Ermächtigungen zu einer geheimen Über- wachung sind nach seiner Rechtsprechung aber nur insoweit zu tolerieren, als eine solche unbedingt notwen- 936 dig ist, um die demokratischen Institutionen des Staates zu schützen.                   Dabei lässt der EGMR grundsätzlich auch Maßnahmen der strategischen Überwachung zu, wenn und soweit „angemessene und wirksame Garan- 937 tien gegen Missbrauch“ vorgesehen sind. Wie beim IPBPR [siehe dazu A.II.1a)bb)] stellt sich auch bei der EMRK die Frage nach ihrer Anwendbarkeit auf extraterritoriale Handlungen. Art. 1 EMRK beschreibt den Anwendungsbereich der EMRK wie folgt: „Die Hohen Vertragsparteien sichern allen ihrer Hoheitsgewalt unterstehenden Perso- nen die in Abschnitt I bestimmten Rechte und Freiheiten zu.“ Wie der Sachverständige Dr. Helmut Philipp Aust ausgeführt hat, unterfällt es danach unzweifelhaft der EMRK, wenn ein Vertragsstaat auf seinem eigenen Staatsgebiet auf Internet- und Telekommunikationsdaten 938 zugreift.     Aber auch insoweit, als auf fremdem Staatsgebiet personenbezogene Daten erhoben und weiter- verarbeitet werden, spricht nach den Ausführungen des Sachverständigen Dr. Aust – trotz der stark einzel- 930)      Schriftliches Gutachten des Sachverständigen Dr. Aust, MAT A SV-4/1, S. 7 m. N. 931)      Schriftliches Gutachten des Sachverständigen Dr. Aust, MAT A SV-4/1, S. 7 m. N. 932)      Schriftliches Gutachten des Sachverständigen Dr. Aust, MAT A SV-4/1, S. 7 m. N. 933)      Schriftliches Gutachten des Sachverständigen Dr. Aust, MAT A SV-4/1, S. 7 m. N. 934)      Schriftliches Gutachten des Sachverständigen Dr. Aust, MAT A SV-4/1, S. 8 m. N. 935)      Schriftliches Gutachten des Sachverständigen Dr. Aust, MAT A SV-4/1, S. 8 m. N. 936)      Schriftliches Gutachten des Sachverständigen Dr. Aust, MAT A SV-4/1, S. 8 m. N. 937)      Schriftliches Gutachten des Sachverständigen Dr. Aust, MAT A SV-4/1, S. 8 m. N. 938)      Schriftliches Gutachten des Sachverständigen Dr. Aust, MAT A SV-4/1, S. 10.