Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

1. Allgemeine Betrachtung

Das internationale Banknetzwerk SWIFT (Society for Worldwide Interbank Financial Telecommunication) wickelt derzeit den größten Teil von Transaktionen im internationalen Bankwesen ab. Weltweit beteiligen sich an diesem System über 8.000 Finanzinstitute. SWIFT hat seinen Sitz in Belgien. Im Jahr 2006 wurde bekannt, dass die amerikanischen Strafverfolgungsbehörden und das US-Finanzministerium im Zuge der Bekämpfung des Terrorismus seit Jahren in großem Umfang Computerserver des SWIFT-Systems überwachen. Die Überwachung wurde dadurch erleichtert, dass sich ein Server des SWIFT-Netzwerks auf amerikanischen Boden befand bzw. befindet. Die öffentliche Kritik an dieser Übermittlung veranlasste den Finanzdienstleister SWIFT, sein Spiegelrechenzentrum von den USA in die Schweiz zu verlegen und die US-Rechner nur noch für den lokalen und nicht mehr für den innereuropäischen Datenverkehr zu verwenden.

Folge waren neue Verhandlungen der US-Regierung mit der Europäischen Union, um den drohenden „Datenverlust“ zu verhindern Aus diesen Verhandlungen entstand am 30. November 2009, einen Tag vor Inkrafttreten des Vertrages von Lissabon, ein Abkommen, dass den US-Behörden weiterhin die Bankdaten, die insbesondere durch den Finanzdienstleister SWIFT verarbeitet werden, zur Verfügung stellen soll (im Folgenden „SWIFT“-Abkommen).

 

Ohne Zweifel ist der Schutz der Bürgerinnen und Bürger vor terroristischen Gefahren eine wichtige Aufgabe, die der Staat wahrnehmen muss. Beim Kampf gegen den Terrorismus muss aber die Achtung der Grundrechte und Grundfreiheiten des Einzelnen, zu denen auch der Schutz der Privatsphäre und der Datenschutz gehören, gewährleistet bleiben. Das Grundrecht auf Datenschutz ist in der EU nach Art. 8 der Europäischen Grundrechtecharta sowie in Deutschland als Recht auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz gewährleistet. Das „SWIFT“-Abkommen verstößt gegen diese grundrechtlichen Garantien in mehrfacher Hinsicht.

Die Reichweite des Abkommens ist zum einen nicht hinreichend klar festgelegt. Welche Anbieter betroffen sind, wird nicht im Abkommen selbst, sondern in geheimen Zusätzen geregelt. Zum anderen ist der Anwendungsbereich des Abkommens aufgrund der ausufernden Terrorismusdefinition unbestimmt und viel zu weit. Nicht nur unklar, sondern teilweise überhaupt nicht geregelt sind einzelne vom Abkommen vorausgesetzte Schritte der personenbezogenen Datenverarbeitung.  

Das Abkommen ermöglicht die Übermittlung einer Vielzahl von Daten über Zahlungsvorgänge an das US-Finanzministerium weit im Vorfeld terroristischer Gefahren. Über die Angemessenheit des dort herrschenden Datenschutzniveaus liefert das Abkommen keine Hinweise, geschweige denn Gewissheit. Wie die bereitgestellten Daten dort verarbeitet werden, wird im Abkommen nur vage angedeutet. Das eigentliche Kernstück des Abkommens, das „Terrorist Finance Tracking Programme“ (TFTP), das dem Aufspüren von Terrorismusbezügen mittels Datenanalysen dient, wird kaum behandelt. Sind die Daten erst einmal für den Zugriff durch das US-Finanzministerium bereitgestellt, können sie für mehrere Jahre dort gespeichert werden, und zwar unabhängig davon, ob sich der anfänglich angenommene Terrorismusbezug bestätigt.

Das Abkommen hat seinen Hintergrund in der bisherigen Auswertungspraxis mit personenbezogenen Daten des Dienstleisters SWIFT, die künftig nicht mehr der direkten Zugriffsmöglichkeit durch US-Behörden unterliegen. Es wurden weder von US-Behörden noch von Sicherheitsbehörden in der EU überprüfbare Belege dafür vorgelegt, dass die bisherige Auswertung von SWIFT-Daten einen relevanten Beitrag zur Terrorismusbekämpfung geleistet hat. Die Information, dass 1450 Hinweise aus dem TFTP an europäische Stellen und 800 an außereuropäische Stellen weitergegeben wurden, ermöglicht keine Bewertung der Qualität dieser Hinweise.

Wegen der Unbestimmtheit des Abkommens ist nicht nur eine Überprüfung der Geeignetheit zur Terrorismusbekämpfung, sondern auch eine Überprüfung der Verhältnismäßigkeit unmöglich. Die Datenübermittlung nach dem Abkommen stellt einen Grundrechtseingriff in dar. Solche Eingriffe durch nationale oder europäische Stellen müssen angemessen sein. Das Ausmaß der Eingriffe und die damit verbundenen Folgen für die betroffenen Menschen können an Hand des Abkommens nicht ansatzweise abgeschätzt werden.

 

2. Zu den Regelungen im Einzelnen

a) Zu Artikel 1 - Reichweite des Abkommens

Nach Artikel 1 Abs. 1 Buchstabe a gilt das Abkommen für „Zahlungsverkehrsdaten und damit verbundene Daten, die von gemäß diesem Abkommen gemeinsam bezeichneten Anbietern von internationalen Zahlungsverkehrsdatendiensten im Gebiet der Europäischen Union gespeichert werden.“ Eine Festlegung der Anbieter wird durch das Abkommen selbst nicht getroffen. Damit fällt nicht nur das Dienstleistungsunternehmen SWIFT mit seinen außereuropäischen Transaktionen in den Anwendungsbereich des Abkommens. Es ist nicht ausgeschlossen, dass auch das innereuropäische Zahlungssystem SEPA unter dieses Abkommen fällt. Das Abkommen ist nicht auf Daten über Finanztransaktionen in die Vereinigten Staaten beschränkt. Es gilt potentiell für alle Anbieter von internationalen Zahlungsverkehrsdatendiensten und erfasst damit potentiell auch Daten über innereuropäische Transaktionen sowie Transaktionen in Drittstaaten außerhalb der USA.

Die Daten, die aufgrund dieses Abkommens übermittelt werden dürfen, sind nicht hinreichend präzise beschrieben. Während das Abkommen über Fluggastdatensätze die Kategorien der zu übermittelnden Daten im Einzelnen aufgelistet hat, beschränkt sich das vorliegende Abkommen auf die wenig aussagekräftige Formulierung „Zahlungsverkehrsdaten und damit verbundene Daten“. Insbesondere bleibt unklar, was unter den „verbundenen Daten“ zu verstehen ist. Sofern Angaben gemeint sind, die üblicherweise auf einem Überweisungsträger vermerkt sind - wie etwa Zahlungszweck - wäre eine gesonderte Erwähnung nicht erforderlich. Diese Daten können unter den Begriff „Zahlungsverkehrsdaten“ subsumiert werden. Sofern Daten gemeint sind, die über die üblichen Überweisungsdaten hinausgehen, fehlt in dem Abkommen jegliche Präzisierung.

b) Zu Artikel 2

Die Definition von Terrorismus in Artikel 2 ist ausgesprochen weit. Es reichen bereits Handlungen aus, die Vermögenswerte oder Infrastruktur gefährden und bei denen Grund zu der Annahme besteht, dass sie mit dem Ziel begangen werden, eine Regierung zu Maßnahmen zu nötigen oder grundlegende politische Strukturen eines Landes ernsthaft zu destabilisieren. Bei dieser weiten Definition kann nicht ausgeschlossen werden, dass auch grundlegende Elemente oder Ausdrucksformen einer Demokratie, wie z.B. Oppositionsbewegungen oder schlichte Demonstrationen als terroristisch eingestuft werden. Eine wesentlich engere Definition des Terrorismus enthält der Rahmenbeschluss des Rates vom 13. Juni 2002 zur Terrorismusbekämpfung (2002/475/JI), auf den in mehreren Rechtsakten der EU verwiesen wird. Die Anlehnung an die Definition in diesem Rahmenbeschluss entspricht auch einer Forderung des Europäischen Parlaments (siehe Entschließung vom 17. September 2009, BR-Drs. 765/09, S. 5).

Der Kreis der betroffenen Personen oder Organisationen ist in den Buchstaben b und c ebenfalls viel zu weit gefasst. Buchstabe b erstreckt den Kreis auf Personen oder Organisationen, die die Handlungen unterstützen oder begünstigen oder Hilfe oder andere Dienstleistungen für solche Handlungen oder für die Unterstützung der Handlungen bereitstellen. Abgesehen davon, dass die für die Hilfeleistung hier verwendeten unterschiedlichen Begriffe nur schwer gegeneinander abzugrenzen sind, wird insgesamt die Maßnahme weit in das Vorfeld der in Artikel 2 beschriebenen terroristischen Handlungen verlagert. Von dem Wortlaut sind auch unwesentliche oder nicht erfolgreiche Hilfeleistungen sowie solche erfasst, die von den betroffenen Personen oder Organisation überhaupt nicht in dem Willen oder gar dem Bewusstsein erbracht werden, damit eine terroristische Handlung zu unterstützen.

Noch weiter in das Vorfeld der Handlungen reicht Buchstabe c, der das Abkommen auch auf Hilfeleistungen zu den Hilfeleistungen erstreckt.

Insbesondere in Anbetracht der möglichen Aussagekraft der zu übermittelnden Zahlungsverkehrsdaten, der weiten Verwendungsmöglichkeiten und den unzureichenden Vorkehrungen zum Schutz der Betroffenenrechte und zur Datenschutzkontrolle ist der weite Anwendungsbereich des Abkommens, vor allem die Verlagerung in das Vorfeld terroristischer Handlungen, unverhältnismäßig.

c) Zu Artikel 3

In dem Abkommen verpflichtet sich die EU zur Bereitstellung von Daten, die in der Verfügungsmacht von Privatunternehmen liegen. Das Abkommen selbst regelt nicht die Übermittlungspflicht dieser Unternehmen an die zentrale Behörde bzw. Verwaltungsbehörde in der EU. Für eine derartige Datenübermittlung, die nicht nur in die Rechte der betroffenen Bürgerinnen und Bürger, sondern auch des Unternehmens eingreifen, ist keine Rechtsgrundlage erkennbar, schon gar keine Rechtsgrundlage, die mit europäischen Grundrechten in Einklang stünde.

Nicht hinreichend deutlich wird die Bedeutung des Begriffs „bereitstellen“. Hier sollte klar definiert werden, dass Daten nur mit Hilfe eines „Push“-Systems an die US-Behörden weiterübermittelt werden können und keinesfalls mit einem „Pull“-System.

d) Zu Artikel 4

Absatz 1 regelt die Voraussetzungen für ein Ersuchen des US-Finanzministeriums an die zentrale Behörde des Mitgliedstaats, in dem der Anbieter niedergelassen ist. Ein Ersuchen setzt laufende Ermittlungen zu einer der in Artikel 2 beschriebenen terroristischen Handlungen voraus. Es ist nicht beschränkt auf bereits begangene Handlungen. Ausreichend ist, dass „ausgehend von bereits vorliegenden Informationen oder Beweisen Grund zu der Annahme besteht, dass die Handlung begangen werden könnte.“ Dieser Wahrscheinlichkeitsgrad ist in zweifacher Hinsicht äußerst gering. Zum einen ist der Begriff der Informationen sehr weit. Er beschränkt sich nicht auf feststehende Tatsachen, sondern kann auch ungesicherte Erkenntnisse wie etwa Gerüchte einschließen. Zum anderen enthält das Abkommen keinerlei konkretisierende Anforderungen an die zeitliche Nähe und tatsächliche Wahrscheinlichkeit des Eintritts der terroristischen Handlung. Beides ist mit der vagen Formulierung „begangen werden könnte“ in keiner Weise spezifiziert.

Absatz 2 formuliert bestimmte Anforderungen an den Inhalt des Ersuchens. Danach sind die Daten „möglichst präzise“ zu beschreiben und das Ersuchen „möglichst eng“ einzugrenzen. Durch diese Relativierungen wird es möglich, Ersuchen auch unspezifisch, d.h. ohne genaue Beschreibung der Daten und ohne nähere Eingrenzung zu stellen.

Absatz 2 Satz 3 ist in seiner Bedeutung unklar. Offenbar sollen die Daten nach geografischen Gesichtspunkten und im Hinblick auf Bedrohungen und Gefährdungen analysiert werden. Es wird allerdings nicht deutlich, wer diese Analysen vornimmt und ob diese vor oder nach ihrer Bereitstellung an das US-Finanzministerium erfolgen sollen. Unklar ist außerdem das Verhältnis zu Artikel 5 Abs. 2 des Abkommens, nach dem beim TFTP des US-Finanzministeriums keine Verfahren der algorithmischen oder automatischen Profilerstellung oder der computergestützten Filterung eingesetzt werden. Es ist schwer vorstellbar, dass die in Artikel 2 Satz 3 genannten Analysen ohne eine computergestützte Filterung durchgeführt werden können.

In Absatz 3 des Abkommens wird von einer „zentralen Behörde“ gesprochen, ohne dass hierzu eine nähere Erläuterung erfolgt. Insbesondere fehlt eine Benennung dieser Behörde, die zuständig sein soll für den Eingang der Ersuchen des US-Finanzministeriums, sowie eine Regelung der Befugnisse der Behörde und der Mittel zu deren Durchsetzung. Hierauf hat das Europäische Parlament bereits in seiner Stellungnahme vom 17. September 2009 hingewiesen (S. 6).

Absatz 5 sieht eine Prüfung des Ersuchens durch die zentrale Behörde des ersuchten Mitgliedstaats im Hinblick darauf vor, ob das Ersuchen diesem Abkommen und den geltenden Anforderungen des jeweils zwischen dem Mitgliedstaat und den USA bestehenden Rechtshilfeabkommens entspricht. Im Interesse des Grundrechtsschutzes muss dies als eine umfassende Prüfung verstanden werden, ob die in diesem und in dem Rechtshilfeabkommen festgelegten formellen und materiellen Voraussetzungen erfüllt sind. Die in Absatz 5 Satz 4 vorgeschriebene Behandlung jedes Ersuchens als Eilsache wird der gebotenen Prüfung allerdings nicht gerecht. Es muss bezweifelt werden, dass in der Praxis eine angemessene Prüfung geleistet werden kann.

Nach Absatz 5 Satz 2 übermittelt die zentrale Behörde nach positiver Prüfung das Ersuchen an die nationale Behörde weiter, „die nach Maßgabe des Rechts des ersuchten Mitgliedsstaates für die Erledigung zuständig ist“. Es ist nicht bekannt, ob es nach dem belgischen Recht eine Behörde gibt, die für die Beschaffung und Weiterübermittlung von Banktransaktionsdaten zuständig ist. Im deutschen Recht, das insofern vom Abkommen zumindest potenziell betroffen ist, ist eine solche Zuständigkeit nicht erkennbar.

Nach Absatz 6 dürfen sämtliche potenziell relevanten Daten an die Behörde des ersuchten Mitgliedstaats übermittelt werden, falls der Anbieter technisch nicht imstande sein sollte, die Daten „auszusortieren“, die dem Ersuchen entsprechen. Es bleibt offen, ob die gesamten Daten auch an das US-Finanzministerium übermittelt werden dürfen oder ob die übermittelnde zentrale Behörde zuvor eine Filterung vornehmen muss. In jedem Fall gelangen auf diese Weise wesentlich mehr Daten an die zentrale Behörde des ersuchten Mitgliedstaats als für die Bearbeitung des Ersuchens erforderlich sind. Dies ist im Hinblick auf den Grundsatz der Erforderlichkeit äußerst bedenklich.

Nach Absatz 8 sorgt die EU dafür, dass die Anbieter über sämtliche Daten, die der zuständigen Behörde im Mitgliedsstaat übermittelt werden, genau Protokoll führen. Der Zweck dieser Protokollierung sowie die zulässige Nutzung der Protokolle werden weder geregelt, noch gibt es insofern Hinweise.

Nach Absatz 9 dürfen die erlangten und übermittelten Daten „für die Zwecke anderer Ermittlungen zu den in Artikel 2 genannten Arten von Handlungen abgefragt werden“. Es ist unklar, wer Adressat dieser Regelung ist; dies könnten sowohl die Behörden in den USA wie die beteiligten Behörden in der EU sein. Für erstere Interpretation spricht der Verweis auf Art. 5 des Abkommens, der das US-Finanzministerium verpflichtet. Dies hätte zur Folge, dass die gesamte weitere Datenverarbeitung bei den Behörden in der EU ungeregelt bliebe. Unklar ist danach, ob und wie lange diese Daten dort gespeichert werden und für welche Zwecke sie verwendet werden dürfen.

Versteht man die Regelung des Absatzes 9 als Regelung für die weitere Datenverarbeitung bei den Behörden in der EU, so würde dies eine Datenverarbeitung innerhalb der EU erlauben, die weit über das bisher Erlaubte hinausginge. Der national zuständigen Behörde würden sämtliche Befugnisse im Umgang mit den Daten eröffnet, die auch den US-Behörden zugestanden werden.   

e) Zu Artikel 5

Laut Absatz 2 Satz 1 beinhaltet das TFTP weder gegenwärtig noch in Zukunft Data-Mining oder andere Arten der algorithmischen oder automatischen Profilerstellung oder computergestützten Filterung. Die Regelung scheint auf den ersten Blick vielversprechend, bei genauerem Hinsehen muss ihre Bedeutung jedoch stark relativiert werden. Die Bestimmung soll offensichtlich weitaus enger und damit datenschutzunfreundlicher umgesetzt werden, als der Wortlaut vermuten lässt. Sinn und Zweck des TFTP, für das die Daten bereitgestellt werden, ist die Analyse der Daten auf Zusammenhänge mit dem Terrorismus. Dies klingt im Abkommen lediglich in Artikel 4 Abs. 2 Satz 3 unbestimmt an. Diese Regelung sowie das in Artikel 5 Abs. 2 Buchstabe i beschriebene Verfahren zur Ermittlung der nicht-extrahierten Daten belegen, dass computergestützte Analysen der Daten beabsichtigt sind.

Die Regelung in Absatz 2 Satz 1 beschränkt sich daher offenbar auf einen Ausschluss von Data-Mining-Verfahren, d.h. Suchläufen mit offenen Fragestellungen. Weitere Vorgaben zu der Analyse der Daten, die in der Sache das Kernstück des Abkommens bildet, enthält das Abkommen nicht.

In Absatz 2 Buchstabe b sind wie bereits in Artikel 4 Abs. 1 bloße Informationen für die Annahme eines Terrorismusbezugs ausreichend, um eine Suchabfrage mit den bereitgestellten Daten durchzuführen. Hier gelten die Ausführungen zu Artikel 4 Abs. 1 entsprechend.

Absatz 2 Buchstabe e erlaubt auch solchen Personen Zugriff auf die bereitgestellten Daten, die mit der „technischen Unterstützung und Verwaltung“ des TFTP befasst sind. Es erschließt sich nicht, warum für die Ausübung dieser Aufgaben die Kenntnis der bereitgestellten Daten erforderlich ist. Diese Personen sollten daher aus dem Kreis der Zugriffsberechtigten herausgenommen werden. Durch eine verschlüsselte Speicherung der bereitgestellten Daten kann die Aufgabenerfüllung der genannten Personen auch ohne Kenntnis von den Daten gewährleistet werden.

Absatz 2 Buchstabe h erlaubt die Weitergabe von terroristischen Anhaltspunkten, die durch das TFTP erlangt wurden, an zuständige Behörden in den USA, in der EU oder in Drittstaaten zu den dem im Abkommen genannten Zwecken. Was mit „terroristischen Anhaltspunkten“ gemeint ist, ist nicht im Ansatz erkennbar. So ist es nicht ausgeschlossen, dass dazu auch Daten über Personen gehören, die als mögliche künftige Mitglieder oder Unterstützer einer terroristischen Vereinigung in Frage kommen. Für die Übermittlung personenbezogener Daten sind die festgelegten Voraussetzungen unzureichend. Die Schwelle der „terroristischen Anhaltspunkte“ ist aufgrund ihrer Unbestimmtheit als viel zu niedrig anzusehen. Es erfolgt keinerlei Qualifizierung des erforderlichen Terrorismusverdachts.

Bei der vorgesehenen Übermittlung in Drittstaaten sowie an Behörden der USA, die anders als das US-Finanzministerium nicht einmal den Datenschutzregelungen in diesem Abkommen unterworfen sind, ist nicht sichergestellt, dass beim Empfänger ein angemessenes Datenschutzniveau gewährleistet ist. Es ist also nicht ausgeschlossen, dass die US-Behörden aus den ausgewerteten Daten erlangte „Anhaltspunkte“ mit dem Motiv der Terrorismusbekämpfung weltweit an jede beliebige weitere Stelle, selbst in Diktaturen, übermitteln.

In Absatz 2 Buchstabe i wird die gebotene Löschung der Daten gewissermaßen unter den Vorbehalt des technisch Möglichen gestellt. Diese Einschränkung ist nicht nachvollziehbar und sollte gestrichen werden.

f) Zu Artikel 6

Nach Artikel 6 „wird davon ausgegangen, dass das US-Finanzministerium bei der Verarbeitung von Zahlungsverkehrsdaten und damit verbundenen Daten, die von der Europäischen Union für die Zwecke dieses Abkommens an die Vereinigten Staaten übermittelt werden, einen angemessenen Datenschutz gewährleistet.“ Artikel 25 der Richtlinie 95/46/EG (EG-Datenschutzrichtlinie) bzw. Artikel 13 des Rahmenbeschlusses 2008/977/JI erlaubt die Übermittlung personenbezogener Daten in Drittstaaten grundsätzlich nur dann, wenn im Empfängerstaat ein angemessenes Datenschutzniveau gewährleistet ist. Dieses besteht in den USA anerkanntermaßen nicht. Die in Artikel 26 der EG-Datenschutzrichtlinie bzw. in Artikel 13 Abs. 3 des Rahmenbeschlusses 2008/977/JI vorgesehenen Ausnahmen, die eine Übermittlung auch bei Fehlen eines angemessenen Datenschutzniveaus erlauben, sind hier nicht erfüllt. Ein angemessenes Datenschutzniveau beim Empfänger kann durch verbindliche Datenschutzregelungen etwa in einem Abkommen hergestellt werden. Dies wäre auch im vorliegenden Abkommen möglich. Jedoch gehen selbst die Vertragsparteien offensichtlich davon aus, dass das vorliegende Abkommen kein angemessenes Datenschutzniveau gewährleistet. Andernfalls wäre die Erklärung in Artikel 6 nicht erforderlich. Bei dieser Erklärung bleibt offen, worauf die Annahme beruht, dass das US-Finanzministerium einen angemessenen Datenschutz gewährleisten werde. Hierfür gibt es keinen nachvollziehbaren Beleg. Die EU-Mitgliedstaaten haben nach dem Abkommen auch keine ausdrückliche Befugnis, das Bestehen eines angemessenen Datenschutzes beim US-Finanzministerium zu prüfen. Die in Artikel 10 geregelten Überprüfungsbefugnisse der Parteien beziehen sich ausschließlich auf die Einhaltung dieses Abkommens. Es bleibt damit zweifelhaft, ob das Datenschutzniveau beim US-Finanzministerium gewissermaßen als Geschäftsgrundlage für dieses Abkommen durch die Mitgliedstaaten überprüft werden kann. Unklar ist zudem die Folge eines negativen Prüfergebnisses.

Für die Gewährleistung eines angemessenen Datenschutzniveaus müssten zumindest folgende Punkte geregelt sein:

• Gewährleistung eines Mindeststandards an materiellem Datenschutzrecht,
• Gewährleistung von Transparenz für die Betroffenen, d.h. insbesondere Information der Betroffenen über die Verarbeitung von Daten zu ihrer Person in Form eines Auskunftsanspruchs,
• Gewährleistung von Berichtigungs-, Sperrungs- und Löschungsansprüchen für die Betroffenen,
• Gewährleistung von Rechtsschutzmöglichkeiten bei Eingriffen gegenüber den Daten verarbeitenden Stellen,
• Gewährleistung einer unabhängigen Datenschutzkontrolle.

g) Zu Artikel 10

Die Möglichkeit einer Überprüfung auch auf Ersuchen einer der Parteien und die vorgesehene Beteiligung der Datenschutzbehörden der betroffenen Mitgliedstaaten ist grundsätzlich zu begrüßen. Die Wirksamkeit der Prüfung für die Sicherstellung des Datenschutzes muss jedoch ernsthaft bezweifelt werden. Denn überprüft werden sollen nur die Bestimmungen dieses Abkommens, die im Hinblick auf den Datenschutz nur als rudimentär bezeichnet werden können. Nicht vorgesehen ist eine Überprüfung im Hinblick auf die Einhaltung von Standards, die zu einem angemessenen Datenschutzniveau gehören.

h) Zu Artikel 11

Laut Artikel 11 hat „jede Person das Recht, frei und ungehindert und ohne unzumutbare Verzögerung oder übermäßige Kosten auf Antrag in angemessenen Abständen von ihrer Datenschutzbehörde eine Bestätigung darüber zu erhalten, dass alle erforderlichen Überprüfungen in der Europäischen Union durchgeführt wurden, um sicherzustellen, dass ihre Datenschutzrechte gemäß diesem Abkommen geachtet wurden und dass insbesondere keine gegen dieses Abkommen verstoßende Verarbeitung ihrer personenbezogenen Daten stattgefunden hat.“

Auch diese Regelung bezieht sich ausschließlich auf die Wahrung der Datenschutzrechte nach diesem Abkommen. Datenschutzrechte wie etwa das Recht auf Auskunft, Berichtigung, Sperrung oder Löschung werden in diesem Abkommen jedoch nicht eingeräumt. Insoweit läuft das Überprüfungsrecht des Artikels 11 leer. Ob eine Auskunft über die Verarbeitung personenbezogener Daten und die Rechtmäßigkeit dieser Verarbeitung über die Einschaltung der Datenschutzbehörde nach Artikel 11 erreicht werden kann, muss bezweifelt werden. Denn der Wortlaut des Artikels 11 sieht eine Rückmeldung über konkrete Datenverarbeitungen an den Betroffenen nicht vor. Vielmehr ist nur eine Bestätigung an den Betroffenen vorgesehen, dass Überprüfungen stattgefunden haben. Inhalt und Ergebnis der Überprüfung müssen nicht zwingend mitgeteilt werden. Ob sie mitgeteilt werden dürften, bleibt offen.