MArA 8pl -'f/UW,Ä

VS - Nur für den Dienstgebrauch

Die Bundesbeauftragtefür den Datenschutz unddie I nformationsfreiheit

POSTANSCHRIFT Die Bundesbeauffaqte für den DatenschuE. und die lnformationsfreiheit,Posifach t+ga, S3od+ Bonn

Deutscher BundestagSekretariat des1, UntersuchungsausschussesPlatz der Repubtik 1

1 101 1 Berlin

HAUSANSCHRTn Husarenstraße 30, 531 17 Bonn

vERBTNDUNGSBüRo Friedrichstraße 50, 10117 Berlin

TELEFoN (0228) 997799-515

TELEFAx (0228)997799-550

E-r/ArL [email protected]

BEARBETTET voN Birgit Perschke

TNTERNET www,datenschutz.bund.de

DATUM Bonn, 17,06.2014

GESCHAFTSZ PGNSA-660-2i001#0001 VS-NfD

Bitte geben Sie das vorstehende Geschäftszeichen bei

allen Antwortschreiben unbedingt an.

Deutscher Bundestag1. IJntersuchungsaus s chus s

der 1-8. WahlPeriode

MArA 8pl -'f/UW,ÄBETREFF Beweiserhebungsbeschlüsse BfDI-1 und BfDl-z

H,ER übersendung der Beweismittel =BEZUG Beweisbeschluss BfDl-1 sowie BfDl-2 vom 10. April ZAM

zu A-ilrs.: ü

ln der Anlage übersende ich lhnen die offenen b4,v. gen. Sicherheitsüberprüfungs-gesetz (SUG) i. V. m. der Allgemeinen Venrualtungsvorschrift des Bundesministeri-

ums des lnnern zum materiellen und organisatorischen Schutz von Verschlusssa-chen (VS-Anweisung - VSA} als VS-Nur für den Dienstgebrauch eingestuften und

von den o.g. Beweisbeschlüssen umfassten Beweisrnittel.

lch möchte darauf hinweisen, dass die in der zusätzlich anliegenden Liste bezeichne-

ten Unterlagen des Referates Vlll (Datenschutz bei Telekomrnunikations-, Tele-

medien- und Postdiensten) Betriebs- und Geschäftsgeheimnisse'der jeweils be-

troffenen Unternehmen beinhalten und bitte um eine entsprechende Einstufung und

Kennzeichnu ng des Materials.

ZUSTELL- UND LIEFERANSCHRIFT Husarenstraße 30, 531 17 Bonn

VERKEHRSANBINDUNG Straßenbahn 61, Husarensfaße

t, URtereuchungsausschuss

I §. Juni züilt

20919t2014

MAT A BfDI-1-2-VIId.pdf, Blatt 1

i

i

I

denDie Bundesbeauftragtefür.den Datensihutz undd ie, I nform ationsf rei heit

; ; ! .'.'

VS - Nur für Dienstgebrauch

sErE2v0N4 Insgesamt werden folgende Akten bzw. Aktenbestandteile und sonstige Unterlagenübermittelt:

r-041 114#Affi4 Wissenschaftl. Beirat GDD, Proto- 16.10.2013koll

I-1 00#/001#0025 Auswertung Koalitionsvertrag 18.12.2013

!::i-Ud'] I92W}I2 Vorbereitung DSK 1r J1F.!:_s,qg.eq yI-1 32/001#0087 Themenanmeldung Yg{Lo_[tgIgI]4__--__?_0_,9_B__..!U E

l-1 32/001 #0087 Ih eJre__n_allle l { q I g _8 §5_ 22.08.2013

!:_1--a_zl9_o:1t_q-q-87 DSK-UmlaufentschlleqUl:rg gQ_qg__2_q q

I::19?/9-oU-qq-qZ _ P§[:]h_enplqlns_l_d_q_g_ ________1_T_,a,_sJ_01q

!::1-sZQQlEqqqT- -P-§[:l]s-rF$Ksnterqs 23.09.2013l-1321001#0087 Protokoll der 86. DSK 03.02.2014r-1 32/001#0087 Pressemitteilung zum 8^ Europ. 12.A2.2A14

r-1321001#0087 Protokoll der 86. DSK, Korr. Fas- 04.04.2A14

I:i9ZQQlF_q_qEB rolAnmeldung 87. DSK 17.03.2014r-1 32/001 #0088 Vorl. TO 87. DSK 20.03.2014r-133/001#00s8 02.09.2013

I-133/001#0058 Protokoll D.dorfer Kreis, Endfas- 13.01 .2014

l-133/001#0061 1 8. 02.20 1 4

Vo rbereitende U nterlagen

D.dorfer Kreis

Vorbereitende U nterlagenD.dorfer Kreis

Ill-460BMA/O15#1 196 Personalwesen Jobcenter ab 18j22A1318.12.2013

v-660/007#0007 Datenschutz in den USA

S icherheitsg esetzgebu ng u nd

Datenschutz in den USAJPatriot

Act/PRISMv-66010a7ffi420 BfV Kontrotle Überrnittlung von

____-___--ur-q--4-uau_e-Erdiqshetl-§_lel1_et:l

v-660/0a7ffi424 Kontr:olle der deutsch-

amerikanischen Kooperation

F_N P _r_nrLs h iug_ F a d--0i-8 iu, g

Yl __1IQl02_+#9137 Grundschutztoot, Ro!!e des BSI Juli-August 2013


Die Bundesbeauftragtefür den Datenschutz undd ie_ I nf orm atio nsf reih e it


vlt-261to72#a320 I nternationale Datentransfers -Zugrilf von Exekutivbehörden im

Empfängerland oder in Drittstaa-tanL\J I t

vr r-260/0 1 3#021 4 ZusatzprotokolI zum internationa-len Pakt uber bürgerliche und poti-

LL_s p_j: e_ ße c hle 08 Q_P R _

vil t-1 91/086#0305+ Deutsche Telekom AG (DTAG) 24.06.-1 7.09.2013

Kontrolle Yahoo Deutschland 07.11.2013-

04.03.2014

. rJ ,!ii4 *\,,

-J4' .nv1J

-r.1

allg--e-nsin\- vt I l- 1 92t1 1 1#A141

6:iI nformations bes u ch Syn iverse 24.0s. - 12.1 1.2013

IeqFne!-qsL-es

- vllt-1921115#0145E*

=*.= vlll-1 93i006#1 3gg Strateg ische Fern me ldeü be rwa- 25.06. - 12.12.2013

l{lLL199L0!§üU2q___ pE-ctx_ ___._..2_0_-..!9._2!.092!l!__vlll:1e91-0!6iU!20____ Level(3)_ -___!{pq§.!920ß _+ lgt[19g_o!§#:tgg___vlqetong_BeSSgtelr-orren ______ 3oJ_q_-18.ru_01_3_ v5'(

_v.l1|-1999]zfls_Ls___Jeslxe.-Ige!emm!üelte!__ 03.0e. - 1§1A2Q]g_ _ -_YllI-199_0_29_0299_ __.___P.9c§9!q Le]§!sa-1iB§B[_ ____9§.07_..-:_08.08.2013____yllL1932&!tt907 .____lsli4ene§fem __________0._8JQ9.0§2q!3___VII l-1 93-2i006#0603 Google Mail 09.07.2013 -

..,nr4q4a.Eq.r§---.-J.{ arsn*+ -äL?r*r;b-- --+_yll!-5!111Q!$Qz-3:__._9rtzq!se!291!! ___.-.-"._ vs v-Y-Lf_s-oll/91Qt111Q-___htene!rqgly.er!ussqlu2_013__1?-99-_92.1?,?_-013 ___v.Ill§!.1-rc1qt{._e.92_.._!nlestat&!slwer!Egsro_cp2914_ 10_j-0_!- 05.05.2014_.-._

J__vJEqj141§äoZs_Z____h!9n9!las.!!r99 03.or:.=a!o.20!3___ väYVtll-501-1/026#0738 AK Medien 13.06 .2013 -

_\41!-591-1/-0_2ff9_il-6___ AK Medien 20.01. - 03-04-2014

+--rLlEriLqpsqz+oi-__-.:.et"gs-- :----:-------qu.qz--aq!z5lq--rs"-tyttL-_splUqg:ttflq __._9.e.-osle_F_Iyacyls!!ey_ ____._*. 1o.qq_.?q13 _.-_____- viv

--v-.!-lLl4:1$S-ql9-s- -- -. - -l4itryulcru e!!senqin---_-_--_-_21-1-0-a91-9-:-.___


SEIIE 4 VON 4

Die Bundesbeauftragte'für den Datenschutz unddie I nformationsfreiheit


Yllll!l:?p-1ß]fr-a-pzq , - EU- -A§ EiliAt,. ?q 09.10. - 28. 11.24ßVlll-M-40/g#0001 Presseanfragen 18.07. - 12.08.2Aß

tx-725fi003 il#01 1 18 BKA-DS 13.08.2013

Darüber hinaus werden Unterlagen, die VS-Vertraulich bzw. GEHEIM eingestuft sind

mit separater Post übersandt.

lm Auftrag

-äP-/'-^'-,4; i*.+-/

Löwnau


LU l+,L

#o3lo

lnternationale Datentransfers Zugriffvo n Exeku:ff

H'j;ä:ä:[r- n gerran d

vom 20 bist

20 ,-

Vormapp el*. 4 voill

-,-- or§

-Ablege Nr.


,1,

Schilmöller Anne

Von:Gesendet:An:Cc:

Betreff:

Anlagen:

Schilmöller AnneDonnerstag, 13. Juni 2013 16:15Schaar PeterGerhold Diethelm; Wuttke-Götz Petra; Löwnau Gabriele;Michael; Onstein Jost; Hermerschmidt SvenPrism - Regelungen im Safe Harbor-Abkommen,und den BCR

*J"o,,t^,* iä^4itl"{st I .l,n it '.F;t'sf,'"rtrar I :Y?

.rtJ ?n V t( : LZ.SOO /Zü/ßz) e. V5i iA lßtsl*

Behn Karsten; Heyn - §

den Standardvertrag s kla useln

Safe Harbor DE.pdf; Standardvertragsklauseln l.pdf, StandardvertragsklauselnI I . pdf; Sta n da rdve rtragskl a u sel n fü r Auft rag sdatenve ra rbeiter, pdf; wplO+_e n. pdf

Safe Haöor qE.pdf Standarür€rt"gsld Standard\r€rtagskl Standardrertragdd wp2o4_en.pdf (321(282 KB) auseln l.pdf... ausetn II.pd,,, ausetn fürA".. tO)

Sehr geehrter Herr Schaar,

Unter Bezugnahme auf die Rücksprache zum Prism-Programn von heute vormittag übereendeich Ihnen eine zuEaflurenfassung der. re]evaAEEilTi4fEIffiEE des safe Harbor-Abkommens,!r standardvertragigklauseln und däs letzten working iapers der wpzg zu scn miteami.ren jeweiligen Textpassagen. Die vo116tändigen rextÄ hänge ich ebenfaLls an.

zu beachEen ist alLerdings, desa die europäischen Regelungen zur DatenrLbermittlung imFalte einee ztgrLife auf Daten,_- die bei coogre, Appl;, _ Fa;ebook- ugw. geepeicrrert ;inä,pöglicherweise gar nicht anr,vendbar sind, da rein reähtlich geEehen keine- übermittlung.v-qrliegt, wenn die erste Datenverarbeitsung - etrra in ForIü aär Speicfrirung - bereits inden USA stattfindet .

Zusammenfasar:ng:

* Das safe Harbor-Abkornnen entshäIt, eine Regerung, d,ie die celtuag.der crundsätze dis"sicheren llaf eqs'r begrenzt, sofdrn es die llationale sicherheit eifordert, oder ceaeEzesolche. Ermächtigungen vorsehen. Insofern stelit safe Harbor einer Datenübermittlung vonzertifizierten unternehnen an die sicherheitsbehörden der usA nicrrt enigegen.*

- In

-den- StandardvertragsklauBeln von 2OO1 und 2OO4 und d.en Standardvertraggklauselnfür die AuftragsdetenverarbeJ-tung von 2o1o mueg der Datenj,mporteur jeweLls zueichernbzw. garanEieren, dass seines vrisaeng in sei,nem Land keine änlgegenstehenden

RechtEvorschriften bestehen, die die carantien aug den xlauseli in gravierender weisebeeintiächtigen, wenn er Kenntnis von eolchen Regelungen erlangt oaEr i*-rifi-"f".r---"Eetszesän.lerunli muss er den Datenqq)orteur darrlber informierei, der ggf. dierfsicht.ebehörde zu informieren hat. Die Standardvertragsklauseln für-äieAuftragsdaEenverarbeitung in Drit.tstaaten schreiben ,us5t"Ii"h vor, dass derDatenimporteur den Datenoq)orteur unverzügLich trber arle rechtlich blnd.endenAufforderungen einer Vollstreckungsbehörde' zur lfeitergabe der pereonenbezogenen Dateninformiert, es sii denn, dies ist. anderweitlg untersa;t.* Das von der WP29 vor kurzem angenonuneDe Vlorklng paper 2O4 zu d.en BCR fü.rAuftragsdatenverarbeiter verpflichtet den AuftragedaEenverarbeiter, den Auftraggeberund die" für diesen. zuständige Aufsichtsbehörde zü informieren, sofärn aiu rtir iü11geltsenden Gestze ihn daran hi-ndern, seine ve4rflichtungen aus den BCR einzuhalten. DerAuftraggeber kann in diesem Fall dle Datenü-bermitErung Etoppen. zudem muss derAuftragsdatenverabeiter den Auftraggeber und dessen Aufsicltsbehörde über rechtlichlL-ndende Aufforderungen von SicherhÄitebehörden zur Datenweitergabe informieren unddie Datenweitergabe bis auf weiEeres arhalten.

Hier diö entsprechenden Textpassagen r

Grundsätze däs "sicheren Hafen§" zum Datenschu Ez, 4. Absaez, Anhang r zur Entgcheidungder Komnigelon vom 25. üu1i 20OO (2OOO/S2O/Bcl

"Die Geltung dieser crundaätze kann begrenzts werden a) insoweit,. ara Erford.ernLEsender natiohalen sicherheit, deg öffentllchen rnteresaes oder der ouichführung wonGesetzen Rechnung getragen rrerden muss, b) durch cesetzesrechts, ataatlicheRegulierungsvorschriften oder Fallrecht, die unvereinbare verpfrichEungen od.erauEdrückliche Ermächt.lgungen schaffen, vorauEgesetzt, die Organtgation kann in

I


wahrnehmung dieser Enüchtigungen nachweisen, dass die Nichteinhaltung der Grundeätzegich auf das Ausmaß beschränkl,e, das die Einhaltung tibörgeordnete! berecht.igerInEereasen aufgrund eben dieser Ermächt,igung erforderte, oder c) wenn dLe Richtlinie 'oder das national--e Recht Ausnahmeregelungen vorsieht., aofern'diese Ausnahmeregelungenunter vergleich.baren Voraus8etzungen gelroffen werden. Im Hinblick auf das Ziel einesyrirksameren Schutzes der PrivatEphäre sollen die organi6ationen die Gnrndsätze invoIlem lrmfang und in tranaparentär weise anwenden, unter anderem indem sie a[geben, inlyelchen Fäl1en Abweichungen von den Grundaätzen, die nach b) zuLäsaig sind, bei ihrenDaLenschutzmaßrrahmen regelmäßig Anwendung finden werden. Aus demselben crund nird.,wenn die wahLmögLichkeit. nach den Grundgätzen und,/oder nach dem Us-Rech! besteht, vonden organisationen errrartet, daas sie sich, sofern möglich, für das höhereschutzniveau enEscheiden. "

Standardverträg I, Anhang zur Entscheidung der.Kommission vom 15. Junl 200L(2OOL/ 497 /EGl ,

"KLauseI

oer Datenimporteur verpftichtet sich und garantiert:

a) dass er geines vliasena keinen nationalen cesetzen unterliegt, die ihm die Erfül1ungseiner verEragsverpflichtungen unmöglich machen und dass er im FaII einer.cegetzesänderung, die sich voraussichtlich sehr nachteilig auf diö carantien auswirkt,'ie die Klauseln bieten, den Datenexporteur und die Kontrollstelle des Landes, in dem

er DaEener<porteur ansässig ist, hiervon informieren wird. In einem solchen FaII istder DaEens<porteur berechtigt, die Datenirbermittlung auszusetzen urrd/oder vom Vertragzurückzu!reten i "

standardvertrag II, Anharg zur Entscheidung der Kommlsslon vom 27. Dezember 2OO4(2004/9Ls/BGl-

Der DaEenimporteur gibt folgende Zusicherungen !

c) zum zeitpunlt des verEragsabgchlugEes beEtehen seines wissens in geinem Land keineentgegenstehenden Rechtsvorschriftsen, die die carantien aus diesen Klauseln Lngravierender Wpise beeirrträchtigen, er benachrichtigE den Datene<porteur (der dieBenachtrlchti$rng erforderLlchenfalls an die Kontrollstelle weiterleitet), we l erKenntniE von derartLgen Rechtsvorschriften erlangt. "

SEandardvertragEklausetn (Auftrageverarbeiter) , Anhang zur rntscheiäung derKonrnission vom 5. Pebruar 2OLO (2OLO/87 /gIJ')

"Klauset 5

-er Datenimporteur erklärt sich bereit und garantiert, da6s:

d) er den Datenexporteur unverzüglLch informiert über

i) alle rechtlich bindenden Aufforderungen einer vollstreckungsbehörde zur weiteriabeder personenbezogenen Daten, es sei denl, dies wäre anderweitig untersagt,beisplelgvreise durch ein sLrafrecht,llches verbot zur wahrungs desUntersuchungsgeheimnissee bei Etrafrechtllchen EmittsIungen, I'

WP 2O4, E:<planatory documerrt on Processor Binding Corporate Rules, Ziff. 2.3.4., S. 12

'The BcR should conEain a clear provisS-on indicating that where a member of theProcessor'a group hae reasons to believe that the existsing or future Legislat,ionatrplicable to it may prevent it from fuLfLlllng the instructione received fröm theConErolLer, or it.ä obligations under the BcR or the service Agree[ient, it lril1promptly notify this tor- tträ controtlär whtch is entitled to suspend the data transfer and/or. teminaEe theService Agreement t and- lhe EU Processor headquarters or EU member with delegated ö.ata protectionresponstbilities or the relevant Processor's priwacy officer/ function; and- the Data Protection AuthoriEy competent for the Controller.

In dddition, the Proceasor shall conrmunicate any legalty binding requeat. fordisclosure of the personal data by a law enfoicement authority to the contrciller


unless otherwise prohibited, euch as a prohibition under criminal law to preserve theclnfidentiality oi a laly enforcement investigatsion. In any caae, Ehe request for

_

disäIoerrre shoüId be put on hold and the Data Protect.ion Aulhoritsy conrPetent .for theiontroffer änd the leäd oata prolection Authority for the BcR for Processors shouLd beclearly informed aböut it. However, it wiu be necessary to ensure Ehat transfers ofpersonäI data tso a latr enforcement authority are based on legaL grounds according Eo-thi appficable Iaw, insofär as the BcR for Proceseorq' requirements from wP195 sectj.on;lt ;;iy create an information process (see above) Ehat does not legitimate transfersper se. r

Für Rückfragen atehe ich gerne zur verfügung.

Mit freundlichen Grüßen

Anlre schilmöI1er


E \- TG,n f0t2 +öBzot

Niederer Stefan

Von:Gesendet:An:Cc:Betreff:

Anlagen:

Sliederung_Vermerk_PRISM.doc (...

Liehe Kolleginnen und Ko1legen,

Aufgrund des Umfangs der AntworEen auf diedie anhängende Gliederung ersteI1t,, in derReferate angezeigt habe.

.t{q

Behn KarstenDienstag, 25, Juni 2013 15:47Referat VI; Referat VIll; Referat VIILöwnau Gabriele; Kremer Bernd; Bergemann Nils; Perschke BirgitBeiträge ftlr Sprechzettel BT-IA

G I ied e ru ng_Vermerk_PRl S M. doc v{5

ß1. @Sr(,' L',ot{'-

^.?* " 2.1Ä.

dS iur+

,'Ä gh,rr.

Herrn schaar habe ich Z#ltZuständigkeit, der

-)

ä)

3)

l,.

'T" -

{f.

) ,,uB

FüIIe von Fragen vonich jeweils auch die

Anderg als ursprilnglich geplant,, beabsichtige ich; einen sprechzeLteL zu jedem dersechs Irnterpunkte zu machen. Ich würde Herrn schaar dann dle Gliederrrng und dieSprechzettel zukommen lassen. Sofern noch nicht zu spät; nehmen Sie bitte auf dieGliederung Bezug. Ich führe die Beiträge dann zuEammen, Eofern möglich noch heuteabend. tlorgen früh bin ich erst später im Büro. Herr Bergemann wtirde rlbernehmen. Bittealso Emails an Ref. v.

Mit freundlichen GnißenKarsten Behn


v-660/007#0007

Entwurf 23939/2013

Bonn, den 25.06.2013

Bearbeiter: RR Behn

Hausruf: 512

1)

Betr.: TEMPORA, PRISM und strategische Fernmeldeübenruachung

hier Vorbereitung für Sitzung des BT-IA am 26. Juni 2013

Vermerk

1. Was wissen wir über PRISM und TEMPORA? M

a. PRISM

b. TEMPORA

2. Rechtliche Grundlagen in den USA und in GB zu folgenden Fragen (V und

vil):

a. Auf welche rechtlichen Grundtagen sind die Maßnahmen gestützt?

i. PRISM

ii. TEMPORA

lnwieweit dürfen sich ausländische Dienste dabei auf das ,,wirtschaftli-

che Wohlergehen" stützen?

i. PRISM

ii. TEMPORA

Wer kontrolliert die Tätigkeiten?

b.

c.


-2-

i. PRISM

ii. TEMPORA

3. Rechtliche Grundlage und Beschränkungen im deutschen Recht (V):

Befugnisse des BND zur strategischen Fernmeldeübenruachung

b. Abgrenzung von G1O/PKGR/BfDI

c. Geltung des Art. 10 GG im Ausland

d. Strafbarkeit der Verletzung des TK-Geheimnisses durch ausländische

Geheimdienste (V /lIl)

4. Technische Hintergründe und Statistiken zur globalen Übertragung von Kom-

munikation (Vlll)

5. Hintergründe zur Rechtsprechung des BVerfG in seinen Entscheidungen zur

strategischen Fernmeldeübenruachung (V)

6. Aktivitäten der KOM bzw, auf internationater Ebene (V und Vll)

a. Aktivitäten und Forderungen aus der KOM

c. Anwendbarkeit der Konvention 108

Karsten Behn


fliederer Stefanm- ?ee pn+cs

?ü

ffi13 18;88 t) tu vr$,Ill*-+ si;ä,rr,tederung_ver,

Gederun"#ä;;J#;i:j

2qL+1s 2ü43f;esender:Cc:Betreff:

Anlagen:

Gliederung_Vermeri

I^'I::.:.i*r.fi t, freundr ichen Grüßen

;^"-:.o wuttke_GöEz.trereratslei tu.ir, -Vr,

I ;L ;"#Sff ouuur t..lr'u r,.'tr den Datenschutz und dieI:"Ili'j :": * :: I?ilf:; soe r z@brdi bund de

wr^r,4r . a" jJ"JI;; ;; lrff; :;:

Jr§ fi;

2) } Sr\,,"LÄfu, ^d z.{/,.

31= vu

rnforimaEj.onsfreiheiu HusarensEr. j0


1)

Entwurf 23939/2013

Bonn, den 25.06.2019

Bearbeiter: RR Behn

Hausruf: 512

v-660/007#0007

Betr.: TEMPORA, PRISM und strategische Fernmeldeübennrachung

hier vorbereitung für Sitzung des BT-IA am 26. Juni zolg

ry1. was wissen wir über pRlsM und rEMpoRA? (v)

a. PRISM

b. TEMPORA

2. Rechtliche Grundlagen in den USA und in GB zu folgenden Fragen (V undvr!):

a- Auf welche rechtlichen Grundlagen sind die Maßnahmen gestützt?

i. PRISM

ii. TEMPORA

b. lnwieweit dürfen sich ausländische Dienste dabei auf das ,,wirtschaftli-che Woh lergehen" stützen?

i. PRISM

ii. TEMPORA

c. Wer kontrolliert die Tätigkeiten?


3.

-2-

i. PRISM

ii. TEMPORA

Rechtliche Grundlage und Beschränkungen im deutschen Recht (V):

a. Befugnisse des BND zur strategischen Fernmeldeübenruachung

b. Abgrenzung von G1O/PKGR/BfDI

c. Geltung des Art. 10 GG im Ausland

d. Strafbarkeit der Verletzung des TK-Geheimnisses durch ausländischeGeheimd ienste (VA/l I t)

Technische Hintergründe und Statistiken zur globalen übertragung von Kom-munikation (Vlll)

Hintergrunde zur Rechtsprechung des BVerfG in seinen Entscheidungen zurstrategischen Fernmeldeübenruachung (V)

Aktivitäten der KoM bzw. auf internationaler Ebene (v und vll)a. Aktivitäten und Forderungen aus der KOM

b. Zuständigkeiten innerhalb der KOM

7. Konvention 108 des Europarats (ER): Convention for the Protection of lndi-viduals with Regard to the Processing of personal Data

lm Hinblick auf staatliche Übenruachungsmaßnahmen wie PRISM und Tempo-ra sind folgende Regelungen der Konvention Nr. 108 interessant:

Art. 3 Satz 2 a bestimmt, dass ER- Mitgliedsstaaten, die die Konvention ratifi-

ziert haben, durch Erklärung gegenüber dem ER die Anwendung der Konven-

tion 108 für bestimmte Kategorien von personenbezogenen Daten ausschlie-

ßen können. lm Entwurf der neuen Konvention wurde Satz 2 a wurde ersatz-

4.

5.

o.


-3-

los gestrichen. Pauschale Ausnahmen in Staaten des ER, die sich auf sicher-

heitsrelevante Sachverhalte beziehen könnten, sind nicht mehr möglich.

Art. I Satz 2 a regelt Ausnahmen und Beschränkungen. Ausnahmen von den

Regelungen der Artike! 5 (Qualität der Daten, u.a. rechtrnäßige Erhebung,

Korrektheit, Adäquanz, Zweckbindung, Proportionalität), 6 (Sensitive Daten)

und I (Auskunftsrecht) sind möglich auf der Grundlage eines Gesetzes, um

die öffentliche Sicherheit, die Sicherheit des Staates oder Währungsinteressen

zu schützen, oder zu Zwecken der Strafverfolgung, und wenn dies alles eine

notwendige Maßnahme in einer demokratischen Gesellschaft ist.

lm Enwurf der neuen Konvention wird die Ausnahmebefugnis zum Schutz des

Staates oder der öffentlichen Sicherheit zwar im Prinzip enthatten, wird aber

an strengere Vorgaben geknüpft (erlaubt nur auf Grundlage eines zugängli-

chen/bekannten und vorhersehbaren Gesetzes).

Damit därften in Zukunft mit der neuen modernisierten Fassufig, die kurz vor

ihrer Verabschiedung steht, Maßnahmen ä la Tempora noch weniger mit der

Konvention 108 vereinbar sein, als in der alten noch gültigen Fassung

Darüber hinaus enthält die neue Fassung einen Artikel 7b, der zur Transpa-

renz der Datenverarbeitung verpflichtet (allerdings sind Ausnahmen möglich).

Karsten Behn


?Galuo 2 + 032ü


Niederer Stefan

Löwnau GabrieleDonnerstag, 27 . Juni 2013 15:13ref/@bfdi.bund.deKremer Bernd; Behn KarstenWG: BT-IA am27.6. zu TEMPORA, PRISM und strategischerFernmerdeuberwachuns (mit Ersänzuns)

Z)ir. S*i,*tl_ "_ft iafnr.iebe Korresen und Kolresinnen,

. . -1 ) , ^V,

-i/tKölulen sie möglichst bis Morgen etwas zur let,zten Frage beisEeuern? ' foy..Mit freundlichen Grüßenc. r.öwnau

UP

- - - - -Ursprilngliche Nachricht- - - - -von: Schäar ieter'Gesendet ! Dönner6tag, 27, ,runi 2OL3 O9tL2An: Löwnau Gabrieter l(remer BerndCc: derhold Diethelm; Referat v, Referat VIIIletrefff BT-IA am 27.5. z! TEMPORA, PRISM und strategischer Eerrmeldeüberwachung (mitsdrgänzung)

Liebe Kolleginnen und Kollegen,

da ich aus zeitgründen geatern im'LA nlcht, alle an mich gerichteten Fragen habebeantwortsen könneF, bitte hierzu eine stellungnahme zu ProtokolL fertlgen. Nach meinerErlnnerung handelt es sicü un folgende Fragen (Herr Dr. Kremer r Bitte ggf. ergänzen)

- welche Erkennnisse gibt es hinsichtlich der Beteiligung deut,scher Unternehmen an dentberwachungsaktivität;n von uK und Us (Unterstützung von Überwachungsmaßn. , FISA-Requests usw. ) ?

- Haben sidh die Ds-Behörden (Bund und Länder) an Unternetmen gewand.t, um näheres züerfahren und mit welchem Ergebnis (Te1ekon, Google. FB usw' - im Hinblick auf dt. TK-Ir,nteErehmen müssten wir ggf. noch entEprechend tätig werden) ?

- Schlrierigkeiten bei der Unterscheidung won Inlands- und Ausland§komflrnlkation,speziell bäi rp-basierten Diensten

- wie kann über die Berichte der GlO-Komm. hinaus die Transparenz bzg1. der Etrateg.'ufklärung ggü. der Öffentlichkeit verbesEert werden?

- Mit welchen europäischen un d internationalen Rechtsinstrumenten (etwazusatzprotokolf zum zivitrechtspakE der IrN) kann die überwachung begrenzt werden?

Mit freundlichen crüßen

bchaar

L6, rkl(9q

t) u \njZ) Tr- eL'," l/il.


u /

/W+c37Ö v6, gt+ (jhslLontNiederer Stefan

Freitag, 28. Juni 2013 11:11Von:Gesendet:An:Cc:Betreff:

Anlagen:

LÖwnau GabrieleReferat V; Haupt Heiko; Niederer Stefan; EU DatenschutzBT-142762013.doc

Br-lA2762o13.doc {) {t^ vls

2) 'i $,\,6;'L+*r o.-ß z '('*{ rt14+

3) ? uß

Er-IA2762013.d0c(4s KB)

Liebe. Frau Löwnau,hier der Beitrag von ReferaE vII und PG EU zum letzEen ,\nstrich der Mail von HerrnSchaar vom 27 .06 .20t3 .

!-ür Rückfragen E,tehe ich gerne zur verfügarngMit freundLichen crtißenMiniEterialrätin;;;;-il;;;;:ä8-C,ReferatEleiterin vIIDer Bundesbeäuftragtä ftlr den DaEenschutz und die Infoi:mationsfreiheit HugarenBtr. 30531L7 BonnE-Mail: petra, wuttke-goetz@bfdi. bund. deTeI: +49 228-997799-7fOFax: +49 228-997799-550wtdw. datenschuEz . bund. de

iA y* .

,6F


Mit welchen europäischen und internationalen RechtsinsLrumenEen (et.wa einemZusatzprotokoll zum ZLvL1rechtspakt der UN) kann die Überwachung begrenzt wer-den?

1. Konvention Nr. 108 des Europarats (ER): Übereinkqmmen 108 zum Schutz des

Mensplren bei der a$tgmatischen Verarheituns personenb.gsgqen.q[ Daten vom

28. Januar 1981-ETS Nr. 108

Die Konvention 108 ist derzeit das einzige verbindliche lnstrurnent im Bereich Da-

tenschutz. Sie kann zwar auch von Nichtmitglieder des ER gezeichnet werden, die

sich ihr,dadurch unterwerfen, wie dies z. B. Uruguay kürzlich getan hat, sie gilt aber

nicht für die USA.

!m Hinblick auf staatliche Übenruachungsmaßnahmen wie Tempora sind folgende

Regelungen heranzuziehen:

Artikel 3 - Ge/tungsbereich

1. Die Vertragspaftetien verpfiichten sich, dieses Übereinkommen auf automatisierteDateienlDatensammlungen und automatische Verarbeitungen von personenbe-

zogenen Daten im öffentlichen und privaten Bereich anzuwenden.Z. Jeder Staat kann bei der |,Jnterzeichnung oder bgi der Hinterleoung seiner Ratifi-

kations-, Annahme-, Genehfiiaungs.- oder Beitrittsurkunde oder iederueit danachdurch E{kläruno an dqn Generalsekretär des Euf,qparats bekanntgeben:a. daß er dieses Üb-efginkommen auf b-estirnrnte Aften von automatisierten

D atei e n/D ate n s a m m I u nq e n m it pe,rFq n e n b e zog e n e n D -qte n n i cht a 0,W-e n-det. und hinterlggt ein Verzeichni.§ diese,r Arte,n. ln das Verzeichn!§-darf eriedoch Arte,n automatisierter DaleienlDatenl?mmlun,geL1,Lcht-aufnehmen,d i e n ach Fei,ne m i n ne rstaatl ichgn Recht D atensch utzversch r!ftq n u nterl ie-geni. Er ä\dert dieses Verzeich.nis durch eine ne.ug Erk!äruno, wenn weite-

' re Arten von automatisierten,P,ateiehlDa,tensanryl,ungerJ mit personeqbe-.

Art. 3 Satz 2 a bestimmt, dass ER- Mitgliedsstaaten, die die Konvention ratifiziert ha-

ben, durch Erklärung gegenüber dem ER die Anwendung der Konvention 108 für

bestimmte Kategorien von personenbezogenen Daten ausschließen können.

lm Entwqrf einer neuen Konvention, die wohl zu Beginn des Jahres 2014 vom ER

beschlossen werden wird, wurde Satz 2 a ersatzlos gestrichen. Pauschale Ausnah-

men in Staaten des ER, die sich auf sicherheitsrelevante Sachverhalte beziehen

könnten, sind dann nicht mehr möglich


Aftikel 5 - Qua lität der Daten

Personenbezogene Daten, die automatisch verarbeitet werden:

a, müssen nach Treu und Gtauben und auf rechtmäßige Weise beschafftsein undverarbeitet werden;

b. müssen für festgelegte und rechtmäßige Zwecke gespeichert sein und dürfennicht so venvendet werden, daß es mit diesen Zwec4en unvereinbar ist;

c. müssen den Zwecken, für die sie gespeichert sind, entsprechen, dafür erheblichsern und dürten nicht darüber hinausgehen;

d. müssen sachtich richtig und wenn nötig auf den neuesfe n Stand gebracht sein;e. müssen so aufbewahrt werden, daß der Betroffene nicht länger identifiziert wer-

den kann, als es dre Zwecke, für die sie gespeicheft sind, erfordern.

Aftikel 6 - Eesondere Arten von Daten

Personenbezogene Daten, welche dierassisch e Herkunft, polifische Anschauungenoder religiöse oder andere Überzeugungen erkennen /assen , sowie persone nbezo-gene Daten, welche die Gesundheit oder das Sexualleben betreffen, dürfen nur au-tomatisch verarbeitet werden, wenn das innerstaatliche Recht einen geeignetentchutz gewährlersfef. Dasse/b e gilt für personenbezogene Daten über Strafurteile.

Artiket 8 - Zusätzlicher Schutz fi,lr den Betroffenen

Jedermann /nuss die Möglichkeit haben:

a. das Vorhandensein einer automatisieften DateilDatensammtung mit personenbe-zogenen Daten, ihre Hauptzwecke sowie die Bezeichnung, den gewöhnlichenAufenthaftsort oder den Sifz des Verantwortlichen für die Datei/Datensammlungfestzustellen;

b. in ange,??essen en Zeitabständen und ohne unzumutbare Verzögerung oderübermäßige Kosfen die Bestätigung zu erhalten, ob Daten über ihn in einer au-

tomatisierten Datei/Datensammlung mit personenbezogenen Daten gespeichertsind, sowre zu erwirken, daß ihm diese Daten in verständlicher Form mitgeteiltwerden;

c. gegebenenfalls dr'ese Daten berichtigen oder löschen zu /asse n, wenn sie entge--gin

den Vorschriften des innerstaatlichen Rechfs verarbeitet worden sind, weL

che die Grundsätze der Artikel 5 und 6 verwirklichen;d. übetr ein Rechtsmittel zu vertügen, wenn seiner Forderung nach Bestätigung oder

gegebenenfalls nach Mitteilung, Berichtigung oder Löschung im Stnne der Buch-staben b und c nicht entsprochen wird.

Artikelg - Äus nahmen und Einschränkungen

1. Ausnahmen von den ArtiketnS, 6 und I srnd nicltt zulässig, abgese hen von den

in diese m Afikel vorgesehenen.


2. Eine AbweiQhung von den Artikeln 5. 6 und I ist zulässig, wenn sie durch dasRechi. der Vertrilgspartei voroesehen und in einer demokratischen Gesellschafteine notwendiqg lvlaßnahme ist:

Währunqsintte{essen des Slaates oder zur Bekämpfunq von Straftaten:b. zum Schutz des Betroffenen oder der Rechte und Freiheite

Art. I Satz 2 a regelt also Ausnahmen und Beschränkungen von den Regelungen

der Artikel 5 (Qualität der Daten, u.ä. rechtmäßige Erhebung, Korrektheit, Adäquanz,

Zweckbindung, Proportionalität), 6 (Sensitive Daten) und I (Auskunftsrecht), um die

öffentliche Sicherheit, die Sicherheit des Staates oder Währungsinteressen zu

schützen, zu Zwecken der Strafuerfolgung sowie zum Schutz des Betroffenen oder

der Rechte und Freiheiten Dritter, wenn dies alles eine notwendige Maßnahme in ei-

ner demokratischen Gesellschaft ist. Eine entsprechende Auslegung dieser sehr wei-

ten Formulierung erlaubt es Regierungen, Datenverarbeitungen wie Tempora durch-

zuführen. Besonders ist dabei auf den,,schutz der Rechte und Freiheiten Dritter"

hinzuweisen, mit der sehr weitgehende Maßnahmen begründet werden können.

Der Entwurf der neuen Konvention wird die Ausnahmebefugnis zum Schutz des

Staates oder der öffentlichen Sicherheit zwar weiter enthalten, wird Ausnahmen aber

an strengere Vorgaben knüpfen; d. h. Ausnahmen werden nur möglich, wenn ein

,,zugängliches/bekanntes und vorhersehbares" Gesetz es ausdrücklich erlaubt und

nicht bloß aufgrund des ,,Rechts der Vertragspartei".

Allerdings drirften damit auch in Zukunft Maßnahmen wie Tempora mit dem Abkom-

men 108 vereinbar sein, wenn die Staaten entsprechenden Rechtsvorkehrungen ge-

troffen haben.

2. Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Ok-

tober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbe-

zogener Daten und zum freien Datenverkehr sowie Entwurf einer Verordnung

des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen

bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr

(Datensch utz-G ru ndvero rd n u ng)


Die geltende EU-Datenschutz-Richtlinie 95/46/EG bietet keinen Schutz gegen Tem-

pora, da die Richtlinie, die in vollem Umfang auch für das Vereinigte Königreich gilt,

auf geheimdienstliche Aktivitäten nicht anwendbar ist.

Artikel 3 (2) der Richtlinie nimmt Verarbeitungen betreffend die öffentliche Sicherheit,

die Landesverteidigung und die Sicherheit des Staates ausdrücktich aus:

"(2) Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezoge-ner Daten,

- die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereichdes Gem einschaffsrechfs fallen, berspielswetse Tätigkeiten gemäß den Titeln V undV/ des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungenbetreffend die öffenttiche Srche rheit, die Landesverteidigltng, die Sr'ch erheit desSfaafes (einschtießlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die St-

cherheit des Sfaafes berühft) und die Tätigkeiten des Sfaafes im strafrechtlichen Be-

::'*Zudem können die Mitgliedstaaten gemäß Art. 13 Ausnahmen und Einschränkungen

im Hinblick auf die in Artikel 6 Absatz 1, Artikel 10, Artikel 11 Absatzl,Artikel 12'

und Artikel 21 enthaltenen datenschutzrechtlichen Rechte und Pflichten erlassen,

falls dies notwendig ist u.a. für a) die Sicherheit des Staates; b) die Landesverteidi-

gung; c) die öffentliche Sicherheit.

Eine andere Norm der Richtlinie, aus der sich Unterlassungspflichten von EU-

Mitgliedstaaten im Hinblick auf geheimdienstliche Aktivitäten abteiten Iießen, ist nicht

vorhanden.

lm Prinzip gilt derselbe Befund für den Vorschlag der Europäischen Kommission für

ei ne E U -Datensch utz:G ru ndverold n u ng vom 25.02.2012, KO M (20 12) 1 1 e ndg.

Auch der dortige Art. 2 Abs. 2 lit. a) nimmt Datenverarbeitungen im Zusammenhang

mit Tätigkeiten, die nicht in den Geltungsbereich des Unionsrechts fatlen, ,,etwa im

Bereich der nationalen Sicherheit", vom sachlichen Anwendungsbereich aus.

Was den Schutz gegenüber Aktivitäten von Nicht-Eu-Diensten anbelangt, so bietet


3.

der Verordnungsentwurf in seiner aktuellen Fassung ebenfalls keinerlei Schutzme-

chanismus.

Der BfDl hatte sich, ebenso wie die Artikel-29-Datenschutzgruppe, jedoch seit Anbe-

ginn der Verhandtungen in Brüssel dafür eingesetzt, eine Klausel in die Verordnung

aufzunehmen, die Datenübermittlungen von EU-Bürgern oder EU-Unternehmen an

Nicht-EU-Behörden oder -Gerichte unter den Vorbehalt stellt, dass für derartige

übermitlungen gültige Rechtshilfeübereinkommen bestehen und die national zu-

ständigen Behörden der Übermittlung zustimmen. Ein Vorentwurf der Verordnung

hatte eine solche Klausel bereits vorgesehen. Sie wurde jedoch in der letzten kom-

missionsinternen Abstimmung vor Veröffentlichung des Entwurfs im Febr uar 2012

wieder aus dem Entwurf entfernt

l

(Ergänzung Ref. V zur Jl'Richttinie)

Ein größeres Maß an Datenschutz gegenüber einem Nicht-EU-Programm wie Prism

kann nach Auffassung des BfDl am Besten durch ein Rahmenabkommen der EU mit

den USA erreicht werden, welches praktisch wirksame Rechtschutzmechanismen für

EU-Bürger vorsehen muss.

Mögliches künftiges Rechtsinstrument der Vereinten Nationen

Die weltweit bestehenden nationaten datenschutzrechtlichen Regelungen sind zum

großen Teil nicht kompatibel; in vielen Ländern der Welt fehlt Datenschutzgesetzge-

bung völlig. Bestehende internationale Vereinbarungen zum Datenschutz sind regio-

nal begrenzt (z.B.EU, Europarat, APEC) oder unverbindlich (OECD). Die unter-

schiedlichen Regelungen der verschiedenen Systeme erschweren den Schutz per-

sonenbezogener Daten aufgrund ihrer Ubiquität und sind zugleich eine Belastung für

global operierende Unternehmen. Daher ist der Abschluss eines international ver-

bindlichen Regelwerks aus Sicht der Datenschutzbeauftragten zur grenzüberschrei-

tenden Gewährleistung des grundrechtlichen Schutzes personenbezogener Daten

und der privatsphäre wünschenswert und dringlich. Besonders hervorzuheben ist,


dass dadurch auch Regelungen getroffen werden könnten, die weltweit einvernehm-

lich die Balance zwischen Sicherheit und Datenschutz gewährleisten könnten.

Wie sich bei einem Gespräch mit dem Assistant Secretary General Simonovic des

OHCHR in.New York zeigte, wird dort die Lösung offener Fragen des lnternets und

insbesondere des Datenschutzes, als eines der wichtigsten Zukunftsthemen ange-

sehen. Die VN-Generalversammlung hat bereits im Jahre 1990 - allerdings völker-

rechtlich nicht bindende - Richtlinien zu personenbezogene Daten in automatisierten

Dateien beschlossen. Hintergrund war die Befürchtung, die automatisierte Verarbei-

tung personenbezogener Daten könne eine Gefahr für den Schutz der Menschen-

rechte darstelten. Die Richttinien sind sehr allgemein gehalten und umfassen die

Grundsätze der Richtigkeit von Daten, der Zweckbestimmung und der Einsichtnah-

me des Betroffenen sowie allgemeine Aussagen zum grenzüberschreitenden Daten-

verkehr. Bereits 2011hat der OHCHR die GeneratversarRmlung im Rahmen eines

Berichts zur Meinungsfreiheit auf die zunehmende Bedeutung datenschutzrechtli-

cher Regelungen aufmerksam gemacht (A/HCR t17127).ln dem Bericht wird Daten-

schutz als eine Sonderform des ,,respect for the right of privacy" charakterisiert.

Artikel 17 des Paktes für bürgerliche und politische Rechte (lnternational Covenant

on Civil and Political Rights - ICCPR), einen völkerrechtlicher Vertrag angenommen

von der Generalversammlung der Vereinten Nationen im Jahre 1966, wird als An-

knüpfungspunkt gesehen, der garantiert, dass niemand einer willkürlichen oder wi-

derrechtlichen Beeinträchtigung seiner Privatsphäre unterzogen werden darf.

Diese Vorschrift kann auch als Grundlage für die Verhandlung eines internationalen

Übereinkommens in Form eines Zusatzprotokolls zu dem ICCPR herangezogen

werden, in dem der Schutz personenbezogener Daten geregelt wird.

Meine Dienststelle ist zurzeit dabei, den Entwurf für eine Resolution für die 35. lnter-

nationale Konferenzder Datenschutzbeauftragten zu erarbeiten, die die Regierun-

gen dazu aufrufen soll, eine internationale verbindliche Vereinbarung zum Daten-

schutz unter Anknüpfung an Artikel 17 des ICCPR zu erreichen. ln dieser Resolution

wird auch die Aufforderung enthalten sein, massenhafte Datenverarbeitungen durch

Sicherheitsbehörden zu vermeiden und falls unvermeidbar an strengste gesetzliche

Auflagen zu binden.


.tIi

Schilmöller Anne

Von:Gesendet:An:Cc:

Betreff:

Anlagen:

HannahMcCausland[[email protected] 4) a* \UtS ]tcn*r,tMittwoch, 11. Septernber 2013 1g:47 Z r r r'

BehnKarsten v'-' I

''5' ,#Breitbarth, mr. P.Vf.L. (CBP); Schilmöller Anne; DE BOUVILLE Nicolas; LIM {§Laurent; RAYNAL Florence Aa t ^rl§/JRE: CNIL and ICO memo on Safe Harbor etc

20130911- Prism and international transfers - updated CNIL-ICO draft to takeaccount of comments - 11 SEPT 2013v2 to BTLE.doc; 20130911 Prism andinternational transfers - updated CNIL-ICO draft to take account oTcomments - 11SEPT 2013v2 to BTLE- cleaned.doc

20130911_ ftism 20130911_ Prtsmand lnbrnaüo.., and lntemauo..,

Dear. KarsteD, Dear paul,cc. Florence Ra).nal, Laurent Lim and NicolaE De Bouville - CNIL, .Imne schillmoeller,BfDI .

sincere apologies for the delay in responding to the Dut.oh and cerman quegEions - thiawas because r onry got back from horidays at the end of rast week, pleäse findattached the updated paper from the CNII, and rc! for distribution to the BTr;E 6ub-group. r've incruded Ehe tracked and cLeaned version eo trlat it is possible to aeevrhere !üe have made changea if interested. Tvro points:

- Pa.]rr - on your comnent, relating to the need to particurarry Etress asEessment on acage-by-caee basi6, r think we woutd Eupport this - it is jusl a question of, !ühere tsoput it, in the paper. we can decide at the meeting rühether we intro-duce "" ri".uti.r. --

Summary which would also Lnclude this point.- !{e have tried to take into account Arme and Paul'a comments a-bout the deflnition oftranafers and whoEe raw applieg when the data is colrected - rüe certalnly think tt iea good idea to incLude a reference to the Wp29 Epinlon on Appltcabte IJaw. Hotdever, wethink there are issues räised that merlt furthef aiscusäion- iithin the *fa"i'irie'_-"" .for gome corment,s we have turned these inEo questions for otlier members. ig. ;h;-possibre dif f erent interpretsarions in. dif f öränr ."""iri." ;;-a; ;hJ-i;, appries forany dispute. which appears to start from even the colLect,ion of data (ana a-i?ferentinterpretations by differenr companied too - aa exampre of one of trrJ

":.""--".li"i"sinvolved ln PRrsM - Google's declaration of exclusivä applicable taw and jurisäictionbeing that of californiä - not the Bu - for.exampre epeäitiea in their TermE ofjervice: http! //vflüsr. google. com/inrl /ed/pollciea/LermsT).TSL, r*t"1il- torr.*n*r*",a"**we look forward to the meeting next vreek. l$"r l. Ioa,r tAYt"r.ht Od,ruUL

rr{u lrc$l shet uBest regards,Hannah

Hannah Mccausland Senior policy Officer ( Intdrnat.tonal )rnformation comnristiioner, s offj-ce, irycltffe Houge, ifater r,ane, wilmsl"o\d, cheghire sK9sAF.T. 01625 545246 F. 0162s 524 510www. ico . gov. uk

-----original. Message- - - --From r Behn KarEten [mailto: karsten. behn@bfdi. bund. de]Sent: 11 September 2OL3 LOt24TO: RA]TDTAL FIOrCNCECc: Breitbarth, mr. p. V. F. L. (cBP) ; schilmö11-er Anne; Hannah Mccausland; DE BowrLLENicolasSubj ect : CNIL and fCO memo

Hi Florence,

on Safe Harbor etc


I^Ie wil l send out the docs for next week I s EtrLE meet,ing later today .

atEach t,he CNfL & ICO draf t on Saf e Harbor eEc you circuLated in theTransfer Subgroup or do you have an updaEed vgrsion?

Best. :

Karsten

iDo you hlant me to *fInt,ernational

The IcO's missLon is to uphold informaLion rightss in the public intef,es!, promocingopenness by public bodles- and data privacy for individuals.

If you are not the intended. recipient oi ttris email (and any atstachment), pleaseinforni the sender by return email and degLroy all copies, Unauthorj,sed accesE, uge,disclosure, storage or copying i€ noE permitted.comnrnication by internets emait ie not aecure aE messagea can be intercepted and readby Eomeone else, T'herefore we stsrongly advise you not to emaiL any informatlon, whichif disclosed.to unrelated third partles uould be likely to cauee you distress, If youhave an enquiry of thLs nature please provlde a postal address to allow us tocomrnunicate with you in a more secufe !day. If you want us to respond by email you mustrealise that there can be no guarantee of privacy.Any email including iEs content nray be monitored and used d the Informationcoflmissionerrs office for reasona of security and for rnonitoring internal compliancewith the office policy on staff use. Ernail mouitoring or bLocking software may also beuaed. Please be asare that you have a responelbiltty to ensure that any email your,{rite or forward is within the bounds of the la!t.the InforrnaEion commissioner's office cannot guarantee that thia message or anyattachment is virus free or ha6 not been inleicepted and amended. You should performyour ordn virus chdckg.

hformatioil Commissioner'E office, wycliffe HouEe, water Lane, I{ilmslow, Cheshire, sK95A!'Tel: 0303 123 1113 Fax: 01525 524 510 V{eb: $ww.ico.org,uk


CNIL - ICO SUBMISSION: PRISM and international transfers UPDATE 11. SEPTEMBER 2013

CNIL - TCO SUBMTSSION TO WP29'S BTLE SUB.GROUP

"Is access to information viä PRISM considered to be aninternational transfer and how does this relate to Safe Harbor,BCR's and Standard Contractua! Clauses?"

GENERAL LEGAL FRAMEWORK:

Where personal data are transferred to a third country (e.g. the Unitedstates), Articles 25 and 26 of the g5l46/EC Directive normally apply.

Article 25: adequate levet of orotection

The transfer of personal data to a third country may take place only if thethird country in question ensures an adequate level of protection and"without prejudice to compliance with the national provisions adoptedpursuant to the other provisions of this Directive". In other words,'theprovisions of the Directive relating to transfers cannot be appliedseparately from other provisions of the Directive

Article 25(2): State Adeouacv and Safe Harbor

"The adequacy of the level of protection afforded by a third country shallbe assessed in the light of all the circumstances surrounding a datatransfer operation or set of data transfer operations; particularconsideration shall be given to the nature of the data, the purpose andduration of the proposed processing operation or operations, the countryof origin and country of final destination, the rules of law, both generaland sectoral, in force in the third country in question and the professiona!rules and security measures which are complied with in that country."

The Article 29 Working Party (hereinafter: WP29) has already found thatin the case of the United-States (hereinafter: US), only the '-Safe Harbor"scheme provides for an adequate level of protection for data transfersfrom the European Union (hereinafter: EU) to US companies having joinedthis scheme.

Article ?6(2): Standard Contractual Clauses,and Binding CoroorateRules

However, besides the "Safe Harbor" and pursuant to Article 26(2) of theDirective, transfers from the EU to the US may also be authorized wherethe data controller offers "adequate safeguards with respect to theprotection of the privacy a fundamental rights and freedoms of indjvidualsand as regards the exercise of the corresponding rights". These


CNIL - ICO SUBMISSION: PRISM and international transfers UPDATE 11 SEPTEMBER 2013

safeguards may result from "appropriate contractual clauses". E.g. TheEuropean Commission's decisions on standard contractual clauses

- from a data controller to another data controller

- from a data controller to a data processor.

In addition, since 2003 the WP29 has been developing the BindingCorporate Rules for the authorization of transfers within a group ofcompanies.

Article-2.6(1): Cerogations to the rules on data transfer-s-

Finally, Article 26(1) provides for a number of derogations where thetransfer of personal data to a third country which does not ensure anadequate level of protection may take place.

Article 13: exemotions and restrictions

Other provisions of the Directive in article 13 allow for the broadexemption for processing for national security purposes, which exemptsdata processing from the requirement for fair and lawful processing andother provisions in article 6(1) as well as articles 10 (right to informationwhere data is obtained from the data subject), 11(1) (right of informationwhen data is not obtained from the data subject) , 12 (right of access) and21 (the publicizing of data processing in a public register).

However, article 13 does not provide per se for exemptions for the ruleson transfers of data to a third country.

Exemption from article 6(1) means that data processing under thenational security exemption at least in the UK removes the obligation onthe data controller from applying the data protection principles asdescribed in article 6(1). This is a very wide exemption which, dependingon the interpretation of the Member States, could removes the datasubject's rights and removes the principle of purpose limitation related toa transfer.

SCENARIOS:

Since the exact functioning of the PRISM programme is not yet fullyknown and the facts are still emerging, different scenarios to illustrate thedifferent possible transfers that could take place should be developed.Further fact-finding is necessary about whether the different scenariosmight actually exist and in pafticular whether the requests to the ninecornpanies allegedly involved are providing bulk personal data from EU


CNIL: ICO SUBMISSIONT PRISM and international transfers UPDATE 11 SEPTEMBER 2013

citizens on a category-defined basis or whether they only provide

information.in relation to specific individuals (EU citizens) on a case-by-case basis.

1. Transborder data flow from the EU to the US : compliance withthe purpose limitation principle

In past cases of transfers to the US subject to Opinions by the Article 29Working Party e.g. the SWIFT case, any communication of personal datato the US authorities was required to respect the purpose limitationprinciple. According 'to this principle, data should be processed for a

specific purpose and subsequently used or further communicated onlyinsofar as this is not incompatible with the original purpose of the transfer.

For SWIFT to lawfully process and mirror personal data in the US theWP29 stated that it needs first for these data to be transferred from theEU pursuant to the applicable Belgian law adopted in accordance with theDirective, in particular Articles 25 and 26 on the transfer of personal datato third countries. The transfers by SWIFI to the United States thereforehave to be considered taking account of two elements: firstly, thecommercial processing and mirroring of personal data by SWIFT Belgiumto its operating centre in the US, and secondly, the processing of the datafor the further purpose by the UST as agreed to by SWIFT.

If the reasoning of previous cases e.g. SWIFT applies in this case, it couldbe considered that since data collected via PRISM serve the purpose of thefight against terrorism which is not always considered as a nationalsecurity issue but on the level of combating serious crime then this furtherpurpose could not be considered as compatible with the original one since

data collected by the nine companies allegedly involved in the PRISM

programme were originatly collected from the data subjects forcommercial purposes.

However, the question remains whether the nine companies allegedlyinvolved in the PRISM programme were aware of such further purpose andto what extent they took it upon themselves as accountable datacontrollers to inform their data subjects of the potential for the US

authorities to be able to access this information.

Finally and in general, the question also remains whether the nationalsecurity exemption in article 13 should be permitted to be relied upon forsuch a wide data collection/processing/access by the US authorities. Inthe PRISM case the national security at stake is the one of the US. Yet,article 13 has to be interpreted from the point of view of an EU Member


*)

\/

\


State. In other words, article 13 can only be relied upon if the collection ismade by an EU Member State.

2. First scenario : data located in the European Union

It is nossible that the different Member States interpret the term + - - -

"transfer" in different wavs as there is no, definition of transfer in theDirectiv? 95/46/EC" For example, qurrentlv, it is oossib!.e-that not allMember States would agfee that the data when it ß; first collected iscövered by the scone.of application of the Directive or the implementingnational law. However. if the data when first collected is considered to becovered bv the scope of the Directive, then it.!-s immaterial that the datAcollected within tlle EU was never saved on a server on EtJ territary bu,t inthe Cloud or on a s?rver based in the IJS. This approach would be in lingwith the WP29 Opinion 179 on Apolicable Law. Provided that the controllercollected the data in the context of activities of his establishm1nt in a l"lSor bv making use of eruipment situated in a MS anv transm!$.$ion to a uSauthoiritv -(which is certainly not bound blr EtJ DP lawl woutd. bila transferin the sense of the Directive,.

The followinq oriainal ,text takes account of the jurisdictional ele)ment to be 7considered in relation to the location of the datL We also welcome to add Ia further oaragraph following discussion in the WP29 BTLE on appticablelaw in lin.e with the WP779 Ooinion oqper.l

A transfer would be considered to take place where the data are cpllectedof stored on a server located on one of the EU Member States' territoryand a request from the US authorities occurs. In this scenario, the datawould be directly transferred, pursuant to the request, to the uSauthorities.

The request made by the US authorities can be made to a US companythat stores data in the EU. From the US authorities' point of view, it couldbe said that the US authorities simply use their powers under the PatriotAct section zLS or other similar US legislation to legitimize thisaccess/collection. The EU citizen will have already consented to providingthe data to the company so the original collection of the data from thecitizen should have been lawful. The US authorities' reasoning forlegitimizing the access/collection under section 215 of the Patriot Act isthat "the Supreme Court has held that if you have voluntarily providedthis kind of information to third parties, you have no reasonable

Formatiert: Schriftart: Kursiv,Schriftartfarbe: Rot

FormatierE Links


CNIL- ICO SUBMISSION: PRISM and internationaltransfers UPDATE 11 SEPTEMBER 2013

expectation of privacy in that information. All of the metadata we getunder this program is information that the telecommunications companiesobtain and keep for their own business purposes. As a result, theGovernment can get this information without a warrant, consistent withthe Fourth Amendment."l However, the US has admitted that the questionof what is '*relevant" data to collect under section 2L5 appears to bebroadly interpreted so as to allow bulk rather than individual transfers.

Another possibility is that the request would be directly made to thecompany based in the EU. Although a non US based company falls outsideof the scope of US jurisdiction, it has been suggested in the media thatthe collection of personal data via PRISM might directly take place on EU

territory and without any recourse to a Mutual Legal Assistance Treaty.z

i, Safe Harbor, Standard Contractual Clauses and BindingCorporate Rules

i€

company's -griginal data processing. a direct transfer of personal data fromthe companv to a US authoritv would hqve to be done in accordance withthe provision of the Directive on transfers (e.q. restrictipn..of trgnsfers tothird countries of Att. 25 (1) an-d 26 (2) applv to transfers to both publicand orivate bodies).

S-afe Harbor. SCC and BCRs are indeed designed for the pfiv..ate sector.Therefore it would seem that a leoal gap exists for direct transfers tg,nublic bodies. This is what we believe the C.glnmission is taking ownershipon t-ryino. Lo,,.resolve with the US in its discussions on an umbrellaagreement for transfers to third country law enforcefnent authorities butfor which details have not been communicatgd,[o WP29.

ii. Derogations (Article 26 of the Directive)

Article 26(1Xd) of the Directive provides that a transfer to a third countrywhich does not ensure an adequate level of protection is possible to theextent that it is necessary or legally required on important public interestgrounds.

t Speech: Robert Litt, ODNlGeneralCounsel: Privacy, Technology and Data Collection: An overview of national

security, July 19, 201-3.

2 http://rvrvrv.reuters.com/article/201 3/07/07/usa-securitv-germanv-idUSL6N0FD0FV20l3 0707


CNIL - ICO SUBMISSION: PRISM and internationaltransfers UPDATE 11 SEPTEMBER 2013

In the swIFT Opinion3, the wP29 held that "the working Party recognizes

that the fight against terrorism constitutes a legitimate purpose of thedemocratic societies on the interest of the safety of the state and that tothis end measures can be taken which interfere with the fundamental rightto personal data protection", However, the WP29 also noted that Article

26(lxd) has to be interpreted in the sense of important public interestgrounds of an EU Member State. It went on by stating that'*on this point

the drafters of the Directive clearly did envisage that only important public

interests identified as such by 'national legislation applicable to datacontrollers established in the EU are valid in this connection" and that'*any other interpretation would make it easy for a foreign authority tocircumvent the requirement for adequate protection in the recipient

country laid down in the Directive."

Following this tine of thinking, it would appear that transfers of datastored on the EU territory to US authorities could not be done pursuant toArticle 26(1Xd) if they are not considered as fulfilling an important public

interest for the concerned Member State.

iii. Mutual Legal Assistance Treaty

Exchange of information between states is often necessary. Such

exchange can be in derogation to article 25 if the concerned states have

ratified a mutual legal assistance treaty.

The EU has ratified an MLAT with the US. However, exchange ofinformation via MLAT seems to be a separate issue and does not relate toPRISM. In fact, MLAT are designed as a tool for judicial cooperation and

not for intelligence purposes.

iv. Bilateral agreements for the exchange of data fromintelligence sources

Bilateral agreements made at national Ievel between e.g. an EU Member

State and the US government on the exchange of data from intelligencesources can be considered to affect the application of what is in an EU

Member State's public interest - for example, public interest in ensuring alower level of risk in the fight against terrorism.

'Articfe 29 Working Party, WP128, Opinion 7}l21}6on.the processing of personal data by the Society for

Worldwide lnterbank Financiat Telecommunication (SWl FT), 22 November 2006



While this often goes beyond the scope of data protection law, the WP29

should still consider whether this allows a disproportionate level oftransfer of data to the US compared with the objective pursued.

3. Second scenario : data located in the United States

IETLE =qllqULd -spngid.er . ,ere - Aspjp:=a§= =qO = p=age =1= ; =tyh,ether= rpteven!

critetion_Sttould not be whether the data is stored in the US. but whetherthe Directivelthe respective national law applied to..the original collectionof the data. but the further processino after the transfer is not subiect tothe iurisdiction. of the Directive anvmore.l

In the second scenario, the request from the US authorities concern dataoriginating fr.om the EU and stored in US servers, e.g. subsequent to a

data storage mirroring technique having effect.

To illustrate with an example, The Guardian repoftedo from leakeddocuments that Microsoft was one of the companies involved in allowingthe NSA direct access to its servers. The Guardian repofted that the US

FISAAA couft allows these communications to be collected without anindividual warrant if the NSA operative has a 510/o belief that the target is

not a US citizen and is not on US soil at the time. The Guardian reportedthat allegedly a newsletter from the NSA stated that: "For Prism collectionagainst Hotmail, Live, and Outlook.com emails will be unaffected becausePrism collects this data prior to encryption." Microsoft however reiteratedits argument that it provides customer data "only in response togovernment demands and we only ever comply with orders for requestsabout specific accounts or identifiers".

In this second scenario, a data transfer necessarily occurred in the firstplace from the EU to the US. The original transfer for a commercialpurpose should take place in compliance with Article 25 and 26 of theDirective 95l46lEC and the data subjects would need to be informed of it.

The WP29 should further consider and distinguish the following two sub-scenarios:

- where the company based in the US is controller- where company based in the US is a processor

i. Safe Harbor

a « How Microsoft handed the NSA access to encrypted messages », The Guardian, 12 July 2013. Article by

Glenn GrEenwald, Ewen MacAskill, Laura Poitras, SpencerAckerman and Dominic Rushe.

Formatieft: Schriftartfarbe: Rot


CNlt - ICO SUBMISSION: PRISM and international transfers UPDATE 11 SEPTEMBER 2013

The comuanv based in the U§ asts as a controller

According to the Notice principle in the Safe Harbor, t'an organizationrnust inform individuals about the purposes for which it collects and usesinformation about them, how to contact the organization with anyinquiries, the types of third parties to which it discloses the informationand the choices and means the organization offers individuals for limitingits use and disclosure".

In addition, pursuant to the Choice principle in the Safe Harbor "anorganization must offer individuals the opportunity to choose (opt out)whether their personal information is [...] to be used for a purpose that isincompatible with the purpose(s) for which it was originally collected orsubsequently authorized by the individual. Individuals must be providedwith clear and conspicuous, readily available, and affordable mechanismto exercise choice".

Concerning onward transfers,information to a third party,Choice Principles".

the Safe Harbor provides that "to discloseorganizations must apply the Notice and

In other words, when communicating data to a third party, the companybased in the US and acting as a controller shall inform the individual aboutthe transfer, obtain the consent of the data subject for such transfer, andobtain the consent of the data subject for the possihility to use the datafor "a purpose incompatible with the purpose(s) for which it was originally

In the PRISM case, while it is clear that no such notice and choice wasgiven to the Data Subjects, other grounds could have been used to limitthe application of these principles. For example, the Safe Harbor Principlesallow for a limitation of adherence to the Principles *'to the extentnecessary to meet national security (...) requirements".

However, the WP29 has doubts whether the seemingly targe-scale andstructural surveillance of personal data that has now emerged can still beconsidered an exception strictly limited to the extent necessary.

Furthermore, Article 3.1 (b) of the Commission Decision on the SafeHarbor principles allows the competent authorities in Member States thepossibility to suspend data flows in cases where there is a substantial


CNlt - ICO SUBMISSION: PRISM and international transfers UPDATE 11 SEPTEMBER 2013

likelihood that the Principles are being violated and where the continuingtransfer would create an imminent risk of grave harm to data subjects.s

The companv based in thF US acts as a oroces,sor

When the company based in the US acts as a processor, the situationseems more blurry. For example, when an EU based client uses a US-based cloud provider where the client is the data controller and the US-based cloud provider is the data processor who only acts on instructionsfrom the data controller.

The Safe Harbor FAQ states that "a U.S. organization participating in thesafe harbor and receiving personal information from the EU merely forprocessing does not have to apply the Principles to this information,because, the controller in the EU remains responsible for it yrs-ä-yrs theindividual in accordance with the relevant EU provisions".

In such a situation, the EU data controller and the US processor need toenter into an agreement that "specifies the processing to be carried outand any other measure necessary to ensure that the data are keptsecuren'.

Considering that the principles of the Safe Harbor don't need to be appliedwhen the company based in the US acts as a processor, the questionremains whether Safe Harbor really provides "adequate protectionr'.Moreover, it should also be specified what the contract between the EU

controller and the US processor should include. -However, such anagreement could not prevent that the -US proqessor miqht be obliged bvleoal requirements in the US to breach the data protection standardsaoreed between controller and procebsor, for example bv grantinLsecuritvauthorities unlinitggl access to the data. Conseouently. the EU controllercannot seriou-sly ouarantee vis-ä-vis the data subiect that the processorcomplies with data protection standards.

ii, Standard Contractual Clauses

. 2OOl and 2OO4 standard contractual clauses: Controller toController

In the 2001 standard contractual c]auses

5-' European Commission, Decision ?zOOO/1Z(EC of 26 July 2000


CNIL- ICO SUBMISSION: PRISM and internationaltransfers UPDATE 11- SEPTEMBER 2013

According to these clauses, the Data Importer agrees and warrant "thathe has no reason to believe that the legislation applicable to him prevents

him from fulfilling his obligations under the contract and that in the eventof a change in that legislation which is likely to have a substantial adverse

effect on the guarantees provided by the CIauses, he will notify thechange to the Data Expofter and to the Supervisory Authority where theData Exporter is established, in which case the Data Exporter is entitled tosuspend the transfer of data and/or terminate the contract"

The WP29 should consider whether access to data by US authorities via

PRISM prevents the data importer (the US company) from fulfilling his

obligations towards the EU controller.

According to these clauses, the Data Importer agrees and warrants that "itwill have in place procedures so that any third pafty it authorizes to have

access to the personal data will respect and maintain the confidentialityand the security of the personal data"

However this principle does not apply when persons are authorized orrequired by law or regulation to have access to the personal data.

In the PRISM case, the FISAAA legislation might serve as a basis toauthorize the access to the data.

. 2O1O Standard contractual clauses: Controller to Processor:

According to these clauses and pursuant to the clause on the "Obligationof the data importer", "mandatory requirements of the national legislation

applicable to the data importer which do not go beyond what is necessary

in a democratic society on the basis of one of the interests listed in Afticle13(1) of Directive 95146/EC, that is, if they constitute a necessary

measure to safeguard national security [.".] are not in contradiction with

the standard contractual clauses." In other words, US authorities could

derogate from the data protection principle on national security grounds

and to the extent that it is necessary in a democratic society.

Once again, the WP29 has doubts whether the seemingly large-scale and

structural surveillance of personal data that has now emerged can still be

considered an exception strictly limited to the extent necessary.

10



In. addition, the data importer shall notify promptly the data expofterabout "any legally binding request for disclosure of the personal data by alaw enforcement authority".

However such notification does not apply when it is prohibited, such as a

prohibition under criminal law to preserve the confidentiality of a law

enforcement investigation. Such prohibition most certainly exists in thePRISM case.

iii. Binding Corporate Rules

. BCR Controller

According to WP74 and WP L54 the BCR should contain a clearcommitment that where a member of the group has reasons to believe

that the legislation applicable to him prevents the company from fulfillingits obligations under the BCRs and has substantial effect on theguarantees provided by the rules, he will promptly inform the EU

headquarters or the EU member with delegated data protection

responsibilities or the other relevant privacy function (except whereprohibited by a law enforcement authority, such as prohibition under

criminal law to preserve the confidentiality of a Iaw enforcementinvestigation).

The situation is thus similar to the one of the 2004 standard contractualclauses.

In addition, a commitment that where there is conflict between nationallaw and the commitments in the BCR the EU headquarters, the EU

member with delegated data protection responsibilities or the otherrelevant Privacy Function will take a responsible decision on what action totake and will consult the competent Data Protection Authorities in case ofdoubt. However, this does not haopen in practice. QuesfioL-.&-{ ftg-EI4F,' -

can a solution to this problemlg gonsidered in the draft GDPR feg,ulation?

. BCR Processor

The situation is similar to that of the BCR Controller as described above as

the WP195 states that any legally binding request for disclosure of thepersonal data by a law enforcement authority shall be communicated tothe Data Controller unless otherwise prohibited, such as a prohibition

under criminal law to preserve the confidentiality of a Iaw enforcementinvestigation. In any case, the request should be put on hold and the DPA

Formatiert: Schriftartfarbe : Rot

11


CNIL - ICO SUBMtSStONT pRISM and international transfers UPDATE 1I. SEPTEMBER 2013

for the BCR should becompetent for the controller and the lead DpAclearly informed about it.

iv. Derogations (Article 26 of the Directive)

Afticle 26(1Xd) of the Directive provides that a transfer to a third countrywhich does not ensure an adequate level of protection is possible on thecondition that :

(a) the data subject has given his consent unambiguously to theproposed transfer; or(b) the transfer is necessary for the performance of a contractbetween the data subject and the controller or the implementationof precontractual measures taken in response to the data subject'srequest; or(c) the transfer is necessary for the conclusion or performance of acontract concluded in the interest of the data subject between thecontroller and a third party; or(d) the transfer is necessary or legallyrequired on important public interest grounds, or for theestablishment, exercise or defense of legal claims; or(e) the transfer is necessary in order to protect the vital interests ofthe data subject; or(f) the transfer is made from a register which according to taws orregulations is intended to provide information to the public andwhich is open to consultation either by the public in general or byany person who can demonstrate legitimate interest, to the extentthat the conditions laid down in law for consultation are fulfilled inthe particular case.

However, such possibility implies that the data do not beneficiate frorn theprotection of the Directive once they are transferred

This is the reason why the WP29 recommends that "transfers of personaldata which might be qualified as repeated, mass or structural should,where possible, be carried out within a specific legal framework (i.e.contracts or BCR).6

u.Article 29 Working Party, wP114, working documents on a common interpretation of Article 26(1) of

directive 95/46/EC, 24 October 1995

Formatiert: Schriftartfarbe : Rot

72



In any caser the WP29 considers that recourse to the derogation of article26(1) should of course never lead to a situation where fundamental rightsrnight be breached. Neither Safe Harbor. nor Standard ContractualClauses npr BCR as thev are designed now effectivelv prevent excessiveaccess bv US authorities to data hold bv US companies. Thev eithercontain exceptions for national securitv reasons or thev force companiesto either breach US law or EU data protection law* QUggf[o11 tg=EILF,' rgfp=f _ --conclusions should be drawn from that?

4. Third scenario: data in the cloud

tTbe-WEZ?=Apiliil-: Technoloqy SG to inputl.

In the cloud, data are stored in several different Iocations and thereforedo not remain in static locations once initially stored. While there is oftenthe possibility of using a data audit trail to define the location, it might notbe easy to define the data's actual location.

e While some have talked of splitting the cloud into regions egcreation of a European cloud, US cloud etc. this misses the point. It is

the data controller's responsibility to make a thorough assessment ofwhether to use US-based cloud providers - based on the type of riskposed by their data processing and the risk that they consider would beappropriate to take. There are EU-based cloud providers using only EU-

based servers if EU-based DCs so choose to avoid the risk of using a

cloud provider outside the EU

. Some overseas organizations, eg an US-based cloud serviceprovider, are subject to their own national Iegal obligations to accessdata regardless of where they are located. However, for example ifthey are established in the UK, such organizations will also be subjectto UK data protection law. This means that in disclosing the data incompliance with its own national Iegislation, the organization could stillbe breaching UK data protection law. This means that - depending onthe facts of the case - the national data protection authority could takeaction against it, The national data protection authority would be mostlikely to take action where the privacy of UK or EU citizens has been

seriously infringed. Where a company based wholly overseas complieswith a request to access data made under its own national legislation,for jurisdictional reasons the national data protection authority is

unlikely to be able to take any action.

Formatiert: Schriftart: Kursiv,Schriftaftfarbe: Rot

Formatieft: Schriftart: Kursiv


CNIL- ICO SUBMISSION: PRTSM and internationaltransfers UPDATE 11 STPTEMBER 2013

r ComPanies need to be aware of the risks inherent in transferringdaLa outside the EEA - e.g. when using cloud services with a non-EUbased cloud service provider or a cloud senrice provider that hasservers outside the EU - one of which includes the potential for foreigngovernments to access the data.

' If there is evidence that the privacy rights of EU citizens are beingundermined through the activities of overseas governments which gainaccess to EU citizens' personal data in the eg US-based cloud, then thisis a matter that needs to be addressed by the states affected at aninternational level. This is not solely a data protection issue, but raiseswider considerations which go beyond the remit and powers of thenational data protection authorities. If both the receiving and sendinggovernments have not got an agreement in place to legitimize thesetransfers then the national data protection authority needs to becomefurther involved. In the case of national surveillance programmes suchas Tempora to date it appears that such agreements were fully in placebetween the two governments.

There are outstanding questions that the WP2g needs to address.These are:

- Where the data is sent to a non-US and non-EU based cloudprovider. This could very well raise questions of law enforcementauthority access that is considered to present a higher level of riskthan the access by the US äuthorities.

- While we have provided an introduction to the issues, the Wp2gTechnology and International Transfers sub-groups will likely haveother points to make here in light of recent WP29 opinions on cloudcomputing.

5. Fourth scenario: data intercepted via a telecoms cable

This addresses the scenario where the US authorities have agreementswith individual network providers to intercept data

There is a question to what extent governments in the EU share datawith their counterpart agencies in the US. These are usually governedby strict laws or bilateral government agreements which go beyonddata protection law. For example, in one of the recently reported leaks.from the documents acquired by former National Security Agency(NSA) contractor Edward Snowden, a German newspaper Süddeutsche

L4


I

j

t

CNIL - ICO SUBMTSSTON: pRtSM and international transfers UPDATE 11 SEPTEMBER 2013

ZeitungT has published a list of seven telecommunications companiesthat have provided British intelligence with direct access to theirundersea fiber optic cables. The UK law which authorized thisinterception of communications data was the Regulatory andInvestigatory Powers Act (RIpA) 2000. The uK,s Governmentcommunications Headquafters (GcHe) also had a data sharingagreement in place with its counterpaFt us agencies.

It should be highlighted that this is a separate scenario to the datarequests made to the nine (as is known so far) internet and telecomscompanies that either may have provided indirect access to theirSelvers, or were prevented through government confidentialityagreements from disclosing their participation in the PRISM programmewhere the US authorities have direct access.

WP29 Recommendation ztgg on the respect of privacy in the context ofinterception of telecommunications states the following to protectfundamental rights and freedoms of individuals when consideringinterception of telecommu nications :

"Taking into account the above-mentioned provisions, it is importantfor national law to strictly specify:

' the authorities responsible for permitting the legal interception oftelecommunications, those authorized to carry them out and thelegal basis for their action,

' the purposes for which such interception may be carried out, whichallow an assessment of whether it is proportionate to the nationalinterests at stake,

' the prohibition of all large-scale exploratory or general surveillanceof telecomm u nications,

' the exact circumstances and conditions (for example, facts justifyingthe measure, duration of the measure) governing the interceptions,without violating the principle of specificity which any interferencein the privacy of individuals must respect,

r colilPliance with the principle of specificity, which is a corollary offorbidding all exploratory or general surveillance. Specificaly, as faras traffic data are concerned,

r it implies that the public authorities may only have access to thesedata on a case-by-case basis, and never proactively and as ageneral rule.

7 httpl//www.sueddeutsche.de/digital/internet-ueberwachung-snowden-enthuellt-namen-der-spaehenden-te lekomfi rmen- 1. 173 6791


t

\J(tI

CNlL - ICO SUBMISSION: PRISM and international transfers UPDATE 11 SEPTEMBER 2013

o the security measures for the processing and storage of the data,

and the !ength of time data may be kept,. the guarantees concerning the processing of data concerning

individuals affected indirectly or by chance by interceptions, in

particular the criteria used to justify the conservation of data, and

under what conditions these data may be passed on to thirdparties,

. that a person under surveillance be informed of this as soon as

possible,. the recourse available to a person under surveillance,

Such access via telecoms cables could for example take place when data

is in transit through the US. In this situation no transfer to the US takesplace (but a transfer to elsewhere).

In a similar situation of transit through the EU, Directive 95146 considersthat EU law is not applicable.

16


Stricker Ralf


Anlagen:

Behn KarstenMontag, 26. August 2013 12:00EU Datenschutz; Referat VllLöwnau Gabriele; Gaitzsch Paul Philipp; Schilmöller Anne; Hermerschmidt SvenMemo für BTlE_national security exception

BT L E_n ati o n a l_sec u rity_exce ption_KB_P G. d oc

3Iü*6{rrZ

ffiffild;til

BTLE_national_security_excepti...

tiebe Ko11e9en,

wie teilweise sclron besprochen, anbei der vermerk zur national. security exception fürBTLE, den ln ersEer Linie PauI caitzgch geschrieben hat, Relevant für die PG Eu undRef, vII sind im.Hinblick äuf rArts. 42u insbesondere die schlussfolgerungen unterA.III.Itir würden uns ü,ber Anregaingen oder Kommentare (lm Änderungsmodus ) bis morgen Abend,27.8., freuen

crußKB und PG


/

Stricker Ralf #,1*n.*k"y",{t r

/t+,id;ffII \!r

l-lr^, t j,\ "

r)üU laz

ffiEflfiLE-naüonal-secu

rity-otcepti...Lieber Karsten, lieber Paul.

vielen Dank fiir den i.ntereEeanten vermerk, Ich ha-be keine konkretenÄnderungsworschläge, habe mir aber ein paar Gedanken gemacht (wenigef zur Ausleg"ungdes Begriffs "nat.ional security" als zur A üendbarkeit des urdprüngl . ArE. 42 vor demHintergrund der "nat.ional securiEy" Ausnahne ) dj,e vielleichts etwas zur DiskussLonbeiEragen können.

viele crüße

Anne schilmöI1er

- - - - -ursprüngliche Nachricht----- .

Von: Behn KarsEenGesendet ! Montag, 25. August 2013 12r00An: EU Dalenschutz, Referat VIIcc: Lö!'mau Gabrielb; caitzsch Paul Philipp; schilmöller Anne i Hermersghmidt svenBetreff: Memo fllr BTlE_nat.ional eecurity exception

Liebe Kol1egen,

wie teilweise schon besprocfren, anUei der vermerk zur national security ,exceptidn ffrrBTLE, den in erater Linie PauI Gaitzsch geschrleben hat,, Relevant für die PG EU undRef, VII sind im Hinblick auf "Art. 42r insbesondere die Schlussfolgerr:ngen unterA.1II.

uir würden ung über Anregungen odei Kommentare (im Anderungsmöd.us ) bis morgen ebend,i7.8. , freuen.

GrußKB und PG

"§1,$l

d# lqVon:Gesendet:An:Cc:Betreff:

Anlagen:

Schilmöller AnneDienstag, 27. August 201 3 1 1 :53Behn Karsten; Gaitzsch Paul PhilippLöwnau Gabriele; Hermerschmidt Sven; EU Datenschutz; Schultze MichaelaAW: Memo für BTlE_national security exception

BT L E_nati o n a l_secu rity_exce ption_KB_PG_Ref . Vl I . doc


1.

Stricker Ralf


Haupt HeikoDienstag, 27. August 2013 12:39Hermerschmidt SvenOnstein Jost; Behn Karsten; SchilmÖller AnneAW: Memo f[rr BTLE_nationa! security exception

Lieber Sven,

hier mein Kommentar:

Aus dem umstand, dass Art.. 2 nur Eu-Dienste auanj.mmt, kann m,B, im lrmkehrschlusg nichtgefolgert werden, dass Dienste aus Drittataaten auEomatisch erfasst sind. .An dersEelle geht es um die generelle Frage der Extraterritorialität d,es Bu-Rechts, äle aufeiner höheren, vöIkerrechtlichen Ebene gelöst werden muss.

Da hilft m.E. auch de! Marktort nicht., denn er betrifft daa Verfralten in oder auf d,emtrEu-Markt'! - arso dem Eu-Territorium - nicht. aber rein ausländische sachverhalte.

Die Anordnung einer Us-Strafverfolgungsbehörde an ein Unternehnen mit sit,z in den usA.Daten über einen Terrorverd,:lchtigen herauszugeben, ist meines Erachtens einusländischer Sachverhalt. auch wenn hierbei pb Daten von Eu-Bürgern (mit-)betroffen

-ind. Etwas anderes wäre es, wenn die us -Behörde ein unternehmen mit. sitz in DBU zurIlbermittlung auf fordert,.

Nur für den letztgenannten FaII - und ähnl.iche Konstellationen, die eineDriEtstaäten- "Ilbertragungtr (transfer) beinhalten - sol1Ee offenbar d.er ursprtinglicheKoM-vorschlag eines ,trt.. 42 gerten, der alrerdings keine Ausnahme für den sereich dörstsrafverfotgung beinhaltete (was BMr in seinem vorschlag für einen Art. 42 a) nunfordert). Ich teile daher deine SkepEis zur Re.ichweite und zum Sinn dieses Artlkels,denn auch wenn di-e VO auf prism a üendbar wäre (was sie m.E. nicht iet), greift nrt.42 (bztt. 42 a)) vom Wortlaut. nicht, da kein "transferr vorliegt.DaEs BMf den Bireich der Strafverfolgung aus dem vorschlag für Art. 42 a) ausnehnenktlll

. finde. ich im Übrigen nachvollziähbär. Anderenfaus würde die Anordnung einer

amerik. stäatsanwaltschafE an eine Us-unternehmen zur übermittlung dee NamÄns einesTerrorverdächtigen einschließlich aeiner Kontaktpersonen aus.einen EU-MS unterGenehmigungsvorbehalt einer EU-DS-Behörde gestellt einschließlich der verpflichtung,den Verdilchtigen darüber auch noch zu informieren.

Ich meine daher im Ergebnis, dass dLe Lösung fü.r hlandasachverhalte in DriEtstaaten,bei denen pb Daten von Eu-Bürgern betroffen sind, nlcht in der vO, sondern in einer--Ölkerrecht lich verbindlichen Vereinbarung zu suchen ist. Für den Bereich des MLATglr die Strafverfolsung dürfte dies.achon nicht leichE und für die Dienste vermutlichäußerst schwierig, tdenn niche gar unmöglich sein.

BG Heiko

- - - - -Ursprtlngliche Nachricht-----Von: Hermergchmidt SvenGesendeE ! Montag, 25. Au$rst. 20L3 L6t32An: RegistraEur regCc: HaupE Heikoi Onstein irostBetreff: WG: Memo für BTlE_national security exception

1. Reg. bitte zum Vg. 25L-2/OO3

2. Vermerk: Aus meiner Sicht sind d.ie Schlussfolgerungen unter A.III. gutnachvollziehbar. Insbeosndere die Unterscheidulg zw. den eigenen Diensten der Et -MSund denen aus Drittstaaten. Ich gehe jedenfalls d.avon aus, äass die Natlonal securityExemption (Art. 2 (2) a DSGVO ) nicht so welt geht, dass sie die Übermittlung von Dat-ndurch Unternehmen an Nachrichtendienste in Drittstaaten umfasEt, AnderenfallE hätteArE. 42 a. F. (bzw. ArE. 42a nach dem vorschlag der Bundesregierung) kaum praktischenwert. $ie man da6 Dilemma der Beachtung einander widersprechender Rechtanormen Iöst,habe ich allerdings auch noch keine Idee.


a

3 . Herren Dr. HauPtHinweise bis 27 .8. t

Hermerschmidt

und Dr. OnsEein m. d. B. um Kenntnisnahme und ggf. Anmerkungen undDS.

- - - - -ursprüflgliche NachrlchE- - - - -von: Behn NarstenGesendet: Montag, 25. August 2O!3 L2tOOAn! EU Datenschutzi ReferaE VIItcr f,öwnau Gabriele; caitzsch Paul Philipi; SchilmöIler Annei Hermerachmidt SvenBetreff :' Memo für BTLE-national security exception

Liebe Kollegen,

Wie teilweise schon besprochen, anbei der Vermerk zur national security. exception fürsTie.

-d"" in erster t in-ie paul Gaitzsch gesehrieben hat. Relevant für die.PG EU undRef- vII sind im Hinblick auf rArt. .42" insbesondere die Schlussfolgerungen unterA.III.Wir würd,en uns iurer AnreguJxgen oder Konnnenlare (im Änderungsmodus ) bis morgen Abend,

2?.8. , freuen.

GrußKB und PG


Stricker Ralf

Von:Gesendet:An:

Betreff:

? r --:aL-Jl-/=1^l'^..ralr nll

Breitbarth, mr. P.V'F.1. (CBP) [p-'breitbarth@cbpweb'nl]-Dienstag,

27. August 2013 tptlg Anna. r an,^,qrBehn Karsten: dä,t=iäf, paul pnilipp; Schilmöller Anne; LAGOSTE Anne-Christine;

är[ä. uoith @ed ps' e u ropa' eu

FW: BNA-rePort re PRISM-brief

ArE. 29 Party Details U'S' PRISM Probe ' Questions viability of U's'-EU Safe }larbor

The EU Ärticl e 29 DaEa ProtecEion Working Party' the Europgan Union' s-of ficial data

Drotsecrion advisory gr.,.,n]"üaiiä"ä-i-t E ä"rrtr"i r"ä"."-ic intends to Puraue in its

invesLisation or trre u ' sf 'uäIiääi-s"t"titv agencYi s PRrsM internet surveirlance

Droqran, in a letter * il;'il;;"1-ään*iä"iä" mäde pullic Ausust 16' 2013 '

irspeciallv ararming "tt-äil"-iälä"t revetations "iit' iegata to the so-carled

xKei,rscore, vrhich arlegedrv 'Liä*I-i"t the colteciiä" ""ä-

it'"rv"is of the content of

intärnet communicat'iont ?;;-;;;;ä-lhe world'".'ütiti" 2e woikins Partv chairnEn

racob Kohnaramrn said in iää'^ii',lt-rär-rgllr-*:Ei io ruropean commiasjon vice-

??esidenE and coflnisaion;i-räi-o'stice ' Fundameniäi nigr't" -and citizenship viviane

*üiiär-ä:tgltE#i":{l*::toät ::;.:"*"r';":':*'::T:*:s'"ä*l' ilä,"" ln!n'

an. fuaa.t proßPted renewed' calls from Reding'§ office for EU member states to quickly

:ä:"t":"::,,"ät'ä'ä";ä;i;; i!],li"tio".

Safe Harbor Program at Risk?

'rhe Article 2e workins Partv' which .'" "g:-:l :: ;:ii"::"H:täffr[TrtH"t:?9n-"gä:1ii::.ä:l'ä:;:-'::'::"-rH t#"1'"i3!'3";:"ä!-oä'-"r"ir''r the u's'-EU säre

Harbor prosram.orrra re-Iääpäil;r;y tne usaiä-Iurveill.t.u activitv' r/lle u's'-EU

safe Harbor Program, *"rli"ä"-ääiiil"it'"a ry ü"-ü's' coflmerce pepartments ' al-lowE

cornpanteg ro rransfe, päiä"i;-äa" wirhour r*-i"i'"i""r of the.EÜ Data Protection

Dlräctiwe os/46/Ecl' uiält'[itTiie saruor pt"giäil' u's' companieg self-certifv their

'ifä'ii*älfiit ,p*;*:ti;r*i*i'iq!!1nfi§!;ltä*ütätg$i =

*r**,.the seemingly r"tgt- ""tiJ:l;ä-

gtiucturät ""tt"iirt"t" of personat data that has now

emerged can still ot tjü''ääI"ä"äi-tiääitl"" gtiictrv timited to the extent

necessary. "

The letter aIEo said Ehat the European Comnlssion's 2ooo decision- approving the u'§'-

EU Safe Harbor program''äiräii iü ,äo., "t"r."-iio-"ispend data frows in cases v'here

Ehere is a subsEantsial iiiäiir'ääa -ffii tnt pti"tiirll-äi"-u"l"g viorated and where the

continuLng lransfer *"'iä;;;;;-an imminents. ti;t "i-g'""" harm to data subjects

"'Reacting t'o PRISM, -n.#ä äi]-i'ol..tio,, ",,cuäiitiä.,tä,.

ir'".ay threatened to halt

aoorovals of r'"r,sr"'""ä ;;;"ili i;l:y::::: ;t"iäe *'" European Economic Area'

i.-r.-.rrairrg to croud ""t;:t:-i;;;ieiatea rePort in t'his issue) '

IndePendent hquiry. --r- a.

'.-,

TheArticle29workingPartyletsEersai.titwaelarrnc}ringitEinveEtigationofthe;',i;n-;;;;ä ..p=r!*;1ä"f,i:#ä":ä:::iS"!f*flüi'ii:$,"§:E. Tt.o',,u,separately from ongoLree-nera' Bric Horder t

"'ä""ä'ril"oü.r y iott,. p"gä-iäi l-in"-woirirrs pärtv said it' has a

*dutsy to also agsesa ä;#;ää";iy. to ,uät- "i;;;, iri"- p'oi""tiän provided by EU däta

1


protect,ion leeislation_-]:,at risk 1nd possiblf,- breached ar:d what the consequeilces (pRrsM and related Drograme mav be for 'trru priiia.v oi ;;r;iri;:;e i ';ergonar dara..Arricte 29 working paity .aiä' :.I-räiaäa"iiqr.a irs probe ro u. s . Iur'e,Iranceprograms. and.inrended Lo exprore ""rr.iii"i.4 prog."i," .orrä,i.iää.ui, EU member EtareLro assess rheir comDlia"." ;iil-dr;;-i,äiärJi." t;i",

"riüiä-.;:*";ä*po"". proeram.Reding 'rune za, zoti,..announced crr"t '"rr" -rr"ä' ,rriEten to uniiea rin!äom government

iiii;*ü ffi:I3"i:: .:ffi;I*;ffitä'iäirsn aroui-tie-;i,:ä:ä prosram, r,rhichi"t.äiiioäJ_i;;ä;.;_ääH[:.""" qaca rrom Fj.ber_opric caures äarryiü__-_, **_.

Reding Looks to lropoeed Data protection Regulation"we hrelcome the strong

'up. port from the Article- 2 g_wo-rking party to the effort§ of theEuropean cornmi§sion E; buiid

" ;r;;;;;ä-Iür.iorr. EU dar,a prolect.ion regularion rosafesmard rhe rundamenr"r risht" -bi-;rfi.ilä"" "rro ir,lei"iiJi-iä-Irrira courrries,,Mina Andreeva, Redind' s

"potäs*o*ar, -;"iä"ff;

Au$rsr 15, ,;il:-iH; äonmission salrgon rhe narionar crata protäction autrroiirrei"ä"urärea ir,'rr..Eti.i! i, *o.,.irrn ,.ra,to exerr rheir infr'ueäce in trreirläJiJätiä'ryuer srareg ro hetp eisur ter thatsovernmenr. eupporr unequivocallv ,-;äil;;'i.;.r or aara-prJ;.;;i:"=il rhe new EU daEaff::::::.tffisurarion trrät ig ;i;;;ä;i":r=y enrorceablä in nnrsu__ype siruarions,,

rn iranuary 2012, Reding. introduced. the commission's propo'ed data protectionresurarion ro rerrlace tr," rggsi"ra;;";;äliä Direcirvä_i;;e-;ä;;i: ar wDpR,February 20,,2, päse 4) ' Reding, E orri..-JiiiJ'"n rhe working narty- ro pusrr forapprovar or Ehe new resur.arioi ;.;-;;;; i!lä""rur. "rä-"t--trr"-i"i.II r" sprins 2oL4,,Andreeva said.

IJocaEion of Data aE Issue

The Obama administration has released very limited,detalle on PRISM, descrlbing it asS;;;:iilff::.ä:;-"Xä":i?T tr,"!-"p",ii"i".,iaäi"s".tio" il;-";- d;-;;?.is" rnrelrisence.1o131sn-[uiJo;

-üä:ä,:ff "!8,ff:"rpff 3: ::":::"i:i. H;r.i*.ilil#i#=;ä;:;.workins parrv aaid tshar \rr. ".-.a"--i"-irir;u"Ii.", ori,", ,"iäi.räJ"-i"--a.roauycolr'ected'' rt ie uncr ear whether :."r".*fi"i-that originateE from non-u.s,ind.ividuala is collecred

"itrri" -rrri' üi;;:ä-;i.";the, continuou"ry i"".J""i"g use of the lnternet:9s'

the reEter said, "eepecially givenmuch informari"i. ."ii."ti""rI-I.Xl-,!,.L.1::A:: lo, processins personal dara, irr3ii-.-ff#:j"ff*;u#ä.::iii_lT,:8"ä:ri":":** ;üffi:.*:xilil:5;ääi, räI,äii""partv aaiäTi;;;';id;d;";:l,iHi:,iil,il: ::HTi:i.i;t#i:f;"'i];':il*:;.:,unless ir is from gourcäs. wirht" -a;;-ü;rä"äaäa"",.

ir is nor. cre"i *i"t Erandard rheNsA applies ro derermine it irrrorä'Iiäi-iI**iiii" rhe unired sEares. peraonal daramererv in rransi. r{ithi n.the- E;;ö;;;äi;""äir ,r", §ubj ecr ro -eü-ä"t"'prorecr,ioir

1aw,the Article 29 partv eaid-. "Applyi"s tlr;-"";;-ieaeoning would suggegr rhar Us 1aw

ff:i{"ä'.ä*"'il"::"ffH ;-t"i:' :lkiLlmi: on itä rerrit.ät ;-in. sroup said.st'ored on seivers ""-üls. soil ,,or if it is .rf::,th: collected i.rro.."iion' r*r"t 1"throush an American

""*p"rry or su.bsidiary;; d;'i:i;*"tl3lr$.!lrä1" p'o.""".a uy Ji

Secret court nulings

Another central crarifrcation that is needed involv€s the s.andards used by the u.s,#;fi Tät3T:'i3"§i"'rrli gli;;i:: =j:.: i1:i;ä;,:"il:.:t:}ff ,;"Hii!i;u

_,n"enough and §ubstant'iated suf ficieneiy-;"äil; ior a limitarion of indiiiduale,

i##irr:i:äili;I; i e!H,müt="§ti=*:rir" :iiäli!ii:,.".,i asue s, rhe le*ei ä_iä.

. wr,.tr,u, il.;- ";.;;..:,:.:iii:[.:iiTiiliLTIü:*ol§::.r""principre of purpose rimiraEion

"t ""ia-äiI"'u!'!*a*:.rrua, rhe ,orking parEy said.


t"The data protecEion principle of proportionaliEy is also relevant to lhe examinat,ionof the NSA programe, the Working Party said. The "apparent large-sca1e collection andacceseing oi pirsonal dala of non-Us persons ie not covered by the couniil of euiopeCybercrime convention, " it said. The convenEion al1ows aome data collection andsharing for law enforcement purposea.. The lack of an effective redress. mechanism forindividuals whose information is collected is of concern, the working Party said,adding that, Ln most caaes, .it is unlikely an individual would be told that. his or herinformation had been collected. sHowever, if a suspicion arises, for example becausean individual le wrongly arreEted or Limited in his freedom. of movement, theindividual needs to Uä aUfe to effectsively chalJ-enge the information provided by theiilEelligence services, as is the case in many European countries.' the letter said.

Paul BreitbarEh

Senior Beleidsmedewerker InEernationaal I senior International Officer

college bescherming perEoonsgegevens I outch om

e p . breitbarth@cbpweb . nI <mailto : p. breiEbarth@cbpweb. nI>6 2338 2346 I f +31 70 888 8501-

t +31 70 888 8507 | m +31

3


t

,Stricker Ralf

.! von:^ Gesendet:

An:

Cc:Betreff:

Anlagen:

Schilm0ller AnneDonnerstag,2g. August 2013 18:42Breitbarth, mr. P.V.F.L. (CBP); RAYNAL Florence; DE BOUVLLE Nicolas; HannahMcCauslandSchultze Michaela; Behn KarstenAW: Follow up Paris Meeting - EU US Expert Group

201308- Prism and international transfers - 23 Aug 2013_Ref.vll.doc

'* k mt,'e i,.

.ry-*"'.r#r.t\1

' dI 'r201308- Prism andinternation...

Dear all,I(arEEen kindly forwärded. the draft memo on accesg to information viq-lBlst{ and itsrelation to säfe Harbor, BcR and scc to me, r think it is a very Tfi6Gilough analysisand it's very helpful to approach the questions according to different. scenarions. Ihave added a few cofiments (see attached), but thege are just my thoughts and?ueations, intended to serve as food for thought for our internal discussion only. Inope my conmenEs are cLear, if not, pl.ease don't hegltate to ask.

f would suggeat to di€cusF lhe memo atsq in the International Transfers subgroup nexttdeek.

Kind regards,

Anne

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * ** * * * * * * * * * * * * * * * *The Federal Commiseioner for Daia Protection and. Freedom of Information

Section vIIEuropean and Internat,ional Affairs, Criminal Law, Clearing lrp of Stasi Files,Notlf ication MaEters, ceneral Inteiior Administration

Husarenstr. 305311? Bofln

TeI! +49 228 99 7799-7L2Eax: +49 22A 99.7799-550

mail Eo: anne. schilmoeller@bfdi . bund. de

Internetadregge: http: //www. d.at,enschutz. bund. d.e

*t**********r**t************Heute schon digkutiert?Das DatenschutzforumwlYw . datenschut z forum, bund . de**** *** * ** * **** *** !r :r :l*'r'r r * * *

-Ursprüngliche Nachricht,- - - - -Von: DE BOWILLE NicoLas lmailto: ndebouvilleocnil . f r]Gesendet: Freitag , 23. AugusE 2013 L7 r25An: Breitbarth, mr. P.V.F.L. (CBP)Cc: Behn Karsten; Hannah McCausland; RAITüAL FlorenceBetre f f : RE : Fo11ow up Pari s Meet,ing - EU US Expert Group

Dear Pau1,

;l*. l I ri

.'; ,l'':['rj1

.'-. ari'': jr1


You will find attached the homework frominformation via PRISM and it,s relation to

I

Lhe IgO and the CNIL onSafel rharbor, BCR's and

l

the access toSCC. *

I

concerning the next pIenary, we were wondering aE well if you had any information onwhy access by 1aw enforcement authoritsies and bonsequencea 'on safe Harbor is dealtwittr in a späcific item (c.8), rather than in each concerned subgroups (c.? änd c'9),insofar as ihe gTrg subgroup is currently working on accesE by lalt enforcemdntauthoriEies and the International transfers eubgroup witI. discuss at its next.meetingon tshe effects of Prisn on tranEfefs tools (not only safe. Harbor).

we are ats your disposal for a-ny queetion you may have.

Kind regards,

Nicolas

Niqolas de. Bouville

European and Intsernational Affaires Department commigsion nationale de I'informatiqueet des liberE6s (CNIL)

8, rue Vj-vienne, CS 30223

Tel . +33 l- 53 73 25 11

?5083 Paris Cedex 02, France

www. cni1 . fr <http z / /www. cnil . fr / >

cid I imageoOl . jpg@o1CE4FFF. s4 0 08380<http: / /infodoc/fileadmin/Document,s,/cNIr' pratique/Mode19s,/Logoe/ logo_avec_flrent,ion110x24 . jpg>

De r Breitbarth, mr. P.V.F.L. (CBP) [mailto:p.breitbarth@cbpweb. nIl Enwoy€ : mardi 30juiUet 2OL3 L6143 A r LIM lraurenE; Behn Karsten; Hannah Mccausland, LACOSTE Anne-christine; v. palumbo@garanteprivacy. it t LATIFY Elise, E1aine. MILLER@eC. europa. eu cc r

Internationaal (cBP), Ian williansi Hagenauw, w. mr. drs. D.E. (cBP); Kröner, mw. L.(CBP); RAYNAI, FIOTENCE, DE BOI'VILIJE NICOIA9, CORNE C611NC; GABRIE EM11E' DIIHEN Wi1J.Y;

R AHMOITNI Dalilar Löwnau Galcriele; 'pauI. gaitzsch@bfdi. bund. de'Objet : Follow up Paris Meeting - EU US Expert Groub Irnportance i Haute

Dear all,


$s you know, lTacob Kohnstamll was invited by the Commission to take part in the EU-USrad hoc working group that will look lnto Prism and related items. A first meeting of,this group Look place laa! week in Brussels, with experEs from both sides of the; At1anEic present. since ,the meeting was held behind closed doors and is - until we hear

the contrary - to be considered confidential. it is difticult to feed back in detail,what was discussed and concluded. I am alao not sure if Ehere vriu be a meeting reportand wheEher Lhat wil,l be made (semi-)public or ngt. However, on behalf of ,IacobKohnBtamm I would like ta point you tö the aEtached lecture by Robert Lit.t., who ispart of the US delegation. This lecture was given on 19 ,July 2013 at the BrookingsInstiEute, and contains more or less the same informatLon as was shared by the UScolleagues during the meeting. Ttle lecture is publlc lnformation and seemi Eo giveanswers to at least gome of the questions we asked ourEelves during the Pari€ meeting.In my oplnion it is however also important to read between the lines and look at whatis not säid, That may give us some indicät.ions on. where the focus for the dataprotection experts in the working group may lie.

Follow up on the working group will likeIy follow at the end of August, by which timeit vlould be extremely helpful if we can indeed finäIize our homework as agreed inParia, Especiauy the questions relaEed to Ehe applicability of the Safe Harboragreement will play a role in the coming discussions.

Kind regards,

PauI

Paul Breitbarth

Senior Beleidsmedewerker Int,ernaEionaal I Senior International Officer

College bescherming persoonsgegevens I outch one

e p. breitbarEh@cbpweb. nI I t +rr 70 888 850? lm+31 6 233A 2346 lf+31 70 888 8501

oInformation provenant d'ESET Endpoint Antivirus, version de Ia base desde virus 872L (201-30823)signatures

Le message a 6t6 v6rifi6 par ESET Endpoint Antivirus.

ht,tp t / /wwtt. eset. com


Stricker Ralf


Schilmöller AnneDienstag, 3. September 2013 15:51Behn KarstenGaitzsch Paul PhilippAW: Nat sec

BT L E_n atio nal-secu rity-exceptio n-red raftedAS. d ocAnlagen:

ffi&l,%itudrg

BTlE-national security_excepti..,

irliin-. u;f * {}'+..f ,',,, , r,*il /t] ' '( ,[,

Lieber Karsten,

ich finde Deihe Änderungen grundsätzlich gut, die Ausführungen. enthalten nun .alle

wichtigen punkte und getzen mel,nds Erachtens die richtigen Schwerpunl<te. Ich habeeinige-änderungsvorschläge (anbei im änderuagsmodus) , die u.a. darauf abzielen, dascanzä eEwag verständlicher darzuEtellen. Die Materie ist ja ziemlich komplex und ichfand, dass der Argumentation aufgrund des häufigen Gebrauchs des Konjunktivs teilweiserchwer zu folgen ist. Ich weiß nicht, ob eg wirklich besser geworden ist, aber DuKannst ja gchauen, ob/was Du übernehmen möchtest. Meine wenigen inhaltlichenaninerkungen müssten anlEnd der Kornmentare verständlich sein. Wenn Du mÖchtest könnenerir auch gerne noch maI darüber sprechen.

vieLe Grüße

Anne

- - - - -Ursprüngliche Nachricht- - - - -von: Behn Kaistencesendets: Montag, 2. september 2oL3 L4to7An: Schilmöller Anne i Gaitzsch Paul PhilippBetreff: Nat sec

Hallo Ihr Beid.en,

wärg 1an9e währt, wird nicht inmer besser. Ich habe den Text endl-ich ergänzt und, wiees mir icheints, eher verschlimmbeeaert. Daher bin ich für kritische Anmerkungen (gernim Anderungsmodug ) sehr dankbar.

.ch revanchiere mich beizeitsen.

Karsten


f I t

Stricker Ralf

Von: Schaar PeterGesendet Freitag,6. September 201 3 16:39An: Behn KarstenGc: Löwnau Gabriele; Schilmöller Anne; GaiEsch paut philippBetrefr: AW: Memo zur nationalen Sicherheit im EU-Recht und im VO-E

Ich habe keine Bedenken.

Mit freundlichen crüßen

sxhaar

- - - - -Ursprüngliche NachrichE-----Von: Behn KarstenGesend.et: Freitag, 5. September 2013 1,1:36An: Schäar PeterCc: Löwnau Gabriele; SchilmöIler Anne,. caitzsch paul philippBetreff: IilG: Memo zur nationalen Slcherheit im EU-Recht und im VO-E

-.l,eber Herr Schaar,

vermutrich ist rhr Poetfach bis obenhin voII, so dass ich sie ungern an meine Bittezur "Freigaber erinnere, Sind Sie eLnverstanden, wenn ich das angefügte und mitfrüherer Emair zusammengefaaste papier ats eine er:ste Dislnrssionigrundlage in derBTIJE- Subgrup zirkuliere?

Mit freundlichen GrüßenI(arsten BehI

-Ursprüngliche Nachricht,- - - - -Von: Behn KarstenGesendet: Dienstag, 3 . September 201-3 20:08An: Schaar PeEercc: I.öwnau Gabriere; Kremer Bernd; Gaitzsch paul philipp;EU Dat,enschutz; Gerhold Diethelm; SchilmöIler AnneBetref f : Memo zur nat,ionalen sicherheit im EU-Recht. und im

Lieber Herr Schaar t

Bergemann Nils; Referat VII;

VO-E

t "Anhang sende ich Ihnen mit. der Bitte um Kenntnisnahme ein Memo zuln Verständnis der

Ausnahme der "nationalen Sicherheit" im EU-Recht, im VO-E und im EU-US-Rechlshil feaJrkonrnen, Das Memo ha-ben Paul Gaitzsch und ich untser intensiver Mitwirküngvon Ref. VII und der PG EU ersteIIt. Es geht zunf.ck auf das infonielle Treffen einigerBTLE-Kollegen in Paris, bei dem verabredet wurde, verschiedene sich im zusammenhangder PRfsM-EnthüUungen stellende rechtliche Frage zu analysieren. Die vereinbartenMemos, die sich auch auf die Anwendbarkeit der geltenden Ds-Richt.1inle, dieAuawirkungen auf safe Harbor etc beziehen, sol1än interne Diskussionsgiorral"g. fllr dieiuristischen rragen iiin und so informierte politlsche schluasfolgeruigen worbereiEen.

Die vorläufigen Ergebnisse fasse ich knapp wie fo1gt. zusammen:

1. Sofern di'e auenahme d.er nationaLen Sicherheit etnschlägig ist, spficht .wiel dafür,dass das EU-RechE und damit auch d.ie Grundrechte-Charta keine Anwendung finden.

2. Auch die Rechtsprechuag des EucH .gibt. keine klare Auskurrft darüber, was untser denBegriff der nationalen sicherheit fäIIt. Es entspricht alterdings der allgemeinenAuffassung, dass die Aktivitäten der Nachrichtenäienste der MitgtiedstaaEengrundsätzlich unter den \Begriff faIlen.3. Daraus folgt allerdings nichE zwLngend, dass a1le Sachverhalte ausgeschloseen sind.in denen sich DrittEtaaten auf die nationale Sicherheit berufen. EB spricht einigeEdafür, dass dle Ausnahme der nnationaLen sicherheit,, keine Bereichsausnahme iat,sondern aIlein der Kompetenzordnung der EU geEchuldet isE. Danach wttrde die Ausnahme


daraus folgen, dass die EU keine Kompetenz in sachen nationaler sicherheit, gegenüberden Mitgliedstaaten haE. Sie würde aber nicht. a1le Fragen der "naElonalen Sicherheit"als solche ausklammern.

4. Als Konsequenz wäre die Anwendbarkeit einer vorschrift r,rie Art. 42 des geleaktenVO-E auf " Drittstaatssachverhalte natj.onaler Sicherheit" grundsätzlich rechtlichdenkbar. sie dürfte auch im Hinblick auf den territorialen Anwendungsbereich rechtlichzulässig sein, soweit sie an eine Dateneihebung anknüpfE, die der vo untserfäl1t.

5. Noch unklar is! allerdings, vrie dem berechtigten sicherheitsinteresse desDrittstaates, das6 .über eine übermittlung nicht informierL wird, Rechnung getragenwerden kann, ohne der Norm ihren Sinn zu nehmen.

5. E'ür die politische EnEscheidung ists zudem zu bedenken, dass eine Eotrche vorachrift.schwer durchzuset.zen ist, erhebliche Konflikte mit den Drittstaaten provozieren dürfteund die betroffenen Unternehmen in eine äußerst schwierige situation brächte.

7. Das Eu-Us-Rechtshilfeabkomrnen dürfte a.uf den Sachverhalt nicht anwendbar aein, weiles sich auf strafsachen bezieht und die nationale sicherheit ausklanrmert.

Nach Ihrer Zustimmung werde ich das Papier a1s Diskussionsgrundlage inSubgroup zirkulieren. Dort wird es am 16. September besprochen werden.Memos sind para11e1 in der Vorbereit,ung.

\,tit f reundlichen GrüßenKarsten Behn

derDl_e

BTLE.anderen


Stricker Ralf

Von:Gesendet:An:Betreff:

Anlagen:

Kind regards,

Arrne - Chri st ine , Alba and El- i se

Behn KarstenMontag, L September 2013 17:08Schilmöller Anne; Gaitzssh Paul PhilippWG : BT L E_nation al_secu rity_exce pti o n_red rafted

BT L E_nati o n a l_secu rity_excepti o n_red raft ed . doc

ffi#. l..r-:rffI

BTLE_national_security-excepti..,

ZK

-Ursprüngliche Nachricht,- - - - -Von: LACOSTE-Anne-Christine [mailEo: arlne-christine. lacoste@edps . europa. eu]Gesendet: Montag , 9. SepEember 201,3 l-7:05An: Behn KarsEenCc: BOSCH MOLTNE Alha; LATIFY EliseBetreff : FW: BTLE natj.onal_security_exception_redrafted

1

Dear Karsten,

Many thanks for sharing the draft note

hle have added a few comments in the margin, w€ hope this is usef,ul.

The most import'ant Ls that we think lye should not be too afraid of ext.raterritorialeffects of EU legi8latign: this is a prerogative of all etatses, and the Us is makingst,rong use of it.we shoutd of course recognise the difficult position of private companies when thereis such a conflict of lavr, büt thie should n€E lead us to r'efrain from applying ourown legislation.

It iB precisely such kind of conflict which can be tshe trigger for internationalagreements, use of MLTg, etsc.

Don't hesitate to come back to us if needed!


L=reiE*..-+

$chilmöller Anne

Von:Gesendet:An:

Betreff:

Anlagen:

Heil HelmutDonnerstag, 12. September 2013 16:08Vorzimmer BfD; Vorzimmer LB; Haupt Heiko; Schilmöller Anne; Niederer Stefan;Friedrich DianaWG: EP LIBE Committee lnquiry - WP2g participation

imageO01.png; LIBE Committee lnquiry - WP29.pdf ''d..j "*F.r Vi: rrvq-;"';*

.J -, , tr.j *'i-- la \'tT

:'_Ir'{-

'

i1{ ;f ,,,

1) Herren BfDI und LB a1s Eingang vorgelegt - '!=i\

ffiffiimageO0l.png (6 LIBE Committee

KB) Inquiry - WP?g..,.

2) H. Dr. Haupt, Fri. SchilmÖI1er, H. Niederer (insbes, S. 5: Safe Harbor; S. 5: Art.I7 ICCPR)

3) Fr. Friedrich, b zdunterlagän für IDSK und WP 29

'eLr

- - - - -Ursprüngliche Nachricht-----von:,'[email protected] [maiItso: arUST-ARTICLE2 gWP- SEC@ec. europa. eulGesendet: Dorueerätag, 12. septerdber 2013 15:08An3 Eva. SoITHRADA- KIRCHMAYER@dgk . 9-u . at i [email protected]; gregor. koenig@dsk. gv. at;Marcus. HILD@dsk. giv. at, Iaabelle. vereecken@privacycommission. be ;romain. roberts@privacycommission. be; valerie. verbruggen@privacycommission. be;viccor. car@privacycornmigsion. be i karina. decort@privacyconrmisäion. be, KzLD@cpdp. bg;giovanni. buttarelIi@edps. europa. eui conuriissioner@dataprotection. gov. cy;navraam@dataprotection. §ow. cy, Igof. Nemec@uoou. cz i [email protected]@datatilsyneu. dk, j c@datatils)met. dk, dt@datatilsynet . dk, refT@bfdi. burd. de;gardain@datenschutz -berIin. de i Metzler Björn; [email protected]; [email protected]. de;Friedrich Diana, dix@datenschutz-berLin. de; Haupt Heiko, Heil Helmut; Behn Karsten,[email protected]; schaar Peteri Niederer stefani s. koch-lange@ndr, de,Nico1as. DUBOIS@eC . europa. eu, achim. klabuade@edps. europa. eui anrle-chrj-stine. lacoste@edps . europa. eu; eIise. latlfy@edps . europa. eu;peter. hustinx@edps. europa. eu; infooaki. ee, stiina.liivrand@aki. ee, contact@dpa. gr;zorkadis@dpa . gr; kardasiadou@dpa. gr; director@agpd. es i internacional@agpd. es;mgs@agpd. esi rgarciag@agpd. es; e1isa. kumpula@om. fi, tietosuoja@om. fi,

:[email protected] nreperant@cnil. fr; ndebouvtlle@cniI. fr; fralmal@cniI. fr,glegrand@cnil. fr; [email protected]; pserrier@cniI. fr; [email protected]; famiard@cnil. fr;Bruno , GENCARELLI@eC . europa . eu; azop@azop . hr; ealrj a . wuk@azop . hr i privacy@naih ' hu;baranyos. krisztina@aaih, hu; mayer. baJ-azs@naih. hu, irUS"-ARTICLE29WP-SEc@ec. europa. euioliwier. rossignol@edps. europa. eui lrvonne. christensson@datainspektionen. se;Hannah. Mccausland@ico. org. uk, ETDelaney@dataprolection. j,e, woDwyer@dataProtection. ie;u(Ocarrotl@dataprotecti-on. ie; bfhawkes@dataprotection. ie; postur@personuwernd. is;sigrun@personuvernd. is; a. caselli@garantseprivacy. it; f, resta@garanteprivacy. it;internazionale@garanteprivacy. it;'1. tempestini@garanteprivacy. it isegreteria . generale@garantepriwacy. it ; segreteria. soro@garantsepriwacy, it;w. palumbo@garalteprivacy . lt ; Daniela. APPICE@eC. europa. eu, Liene. BALTA@eC. europa. eu;Katal in . BECKER@eC . europa . eu ; Marie-Helene. Boulanger@ec. europa. eu;Adelina. CfNCA@ec. europa, eui Aleksandra. DAIiIIEIiEWICZ@eC. europa. euiAikaterini . DIMITRAKOPOULOU@eC . europa . eu i Nicolas . DT BOIS@ec. europa. eu;Bruno . GENCAREIJITI@eC . europa . eu i l,larlo . GUGLfELMETTI@eC : europa . eu iHorst . HEBERLEfN@eC . europa . eu; Isabelte. Heroufosse@ec . euiopa. eu;,forg. HUPERZ@eC. europa. eui Sarah-,]ane. KING@ec. europa. eu; Angelika. Koman@ec. europa. euiMarcin-Krlrstian. KoTULA@ec.,europa. eu; viviaa. tooNElil@ec. europa ' euiElaine . MILLER@eC . europa . eu, ,Jan . OSTO'JA-OSTASZEWSKI@eC . europa . eu;Ur6u1a . Scheuer@ec . europa . eu; Karoline . Scholten@ec . europa . eu iFrancis. SVILANS@eC. europa. eui Sandrine. VAI{DYCKE@eC. europa. eu;Irina. VASILIU@eC. europa. eui Thomas, ZERDICK@eC. europa. eu; info@sds . IIv. 1i; [email protected];gerard . lamneL@cnpd. lu; pierre , weimerskirch@cnpd . Iu; thierry' [email protected]. balode@dvi. gov. Iv; signe. plumina@dvi . gov.1v, aleksaivanovic@t- com. me idimitar@dzlp. mki elizabeta. nedanovska@dzlp, mk; infoodzlp. mk; j oseph. ebej er@gov. mt;

1


commissioner. [email protected]. mt, d. hagetaulbcbpweb. n1; inlernational@cbpweb. nI;j . kohnstarun@cbpweb . n1 ; 1 . kroner@cbpweb . nl ; p . fireitbarth@cbpweb . nl ; s . nas@cbpweb . n1 ;osk@atatilsynet. no r poBtkasse@datatils].net . ndi kel@datatilsynet . no;DE§iwM@giodo. gow. pI; rzecznik@giodo. gov. p1; sHkretari.at@giodo. gov.pI,w_wiewiorowski@giodo. gov.pl; [email protected]; clpraocnpd.pt; Filipa. calvao@cnpd. pt;international@dataprotectlon. ro; a!-eksandar. resanovic@poverenik. rs;elisabeth. watlin@datainspektionen. se i Hans-Oldf. Lindblom@Datainspektionen. se;kristina. svahn- starrsj o@dataingpektionen. se; ändrej . tomsic@i-p- rs . si; [email protected],,re1ena. Burnik@ip- rs. si; [email protected]; [email protected];.Rosana.Lemut-Strle@lp- rs . si i,fozef . dudas@pdp. gov. sk, StaniElav. durina@pdp. gov. sk izuzana. valkova@pdp. gov, sk; International. Tea$@ico. or9. uk; ian. wiJ-1iams@ico. gsi . gov. ukBetreff: EP LIBE Commiltee Inquiry - WP29 part.icipation

Dear Members,

Mr Kohnstamn was inwited by the LfBE Committee Inquiry into electronie surveillance ofEU Citizens to appear this moi-ning in StraEbourg for a hearing. please find attachedhis speaking notes.

On behal-f of the Chair

The Secretariat of Article 29 Working party

*********************************************:t*********

cid: imageO0 I . png@O 1CD8ts4F. 6CF2EF? 0

European Commission

DG '']US?ICE

UniT C.3 . * DATA PRCITECTION

rue Ivlontoyer, 59

Office 02/l+

1000 - Brussels

Be lgium

+32 2 2g8 09 gL

,IUST-ARTICLE2 gWP- SEC@ec . europa . eu <mailt,o : katalin . becker@ec . europa . eu>

http : I / ec. europa . eu/j ustice/data-protection/index en. htm<http : / / ec. europa . eu/j ustice/data*protection/ index en . htm>htLp : / / ec. europa " eu/ j us t i ce /newsroom/ d.ata - protect iän/ ind ex_en " htm<http : / / ec. europa . eu/ j ustice,/newsroom/data-proEection/ind.ex en. htm>

This e-mail is confi.dential and i6 intended for the named addressee(s). If you arenot the intended recipient, please notify us imrnediaLely. Unless expressly stated,any wiews and opini-ona presented in this e-maiI are solely those of the author and doaot necessar:ily reflect those of DG Justice,/European Commission, nor do theyconstitute a legalIy binding agreement.


CHECK AGA'A'ST DELIVERY

LIBE Committee Inquiryon electronic mass surveillance of EU citizens

Znd Public Hearin g, L2 september 2013Contribution facob Kohnstamm (WP29)

' Thank you for the invitation.

I The recent Prism controversy and related disclosures on the collection

of - and access by - the American intelligence community to data ont

non-US persons are of great concern to the international data protection

community, including the members of the Article 29 Worl<ing Party.

' Difficult to keep track of what is going oil, since new backdoors into our

communications seem to be made on an almost daily basis, Only this

week we were presented with the news that NSA has access to our

smartphones, has cracked various encryption keys and has provided

itself with access to the financial transaction databases of Swift and

other commercial databases. Especially the revelations regarding Swift

are very surprising. Why have we taken all the effort to negotiate and

review the TFTP Agreement, if a backdoor has been available to the NSA

' Let me be clear: contrary to what some may have understood from our

letter to Vice-President Reding of 13 August, the Working Party has not

launched its own investigation into the American surveillance programs.

We have no individual standing in the relation between the Member

States and the Commission on the one hand, and the United States on the

CHECK,AGA'A'ST DELIVERY


CHECKAGA'ruST DELIVERY

other hand.

What we do intend to do, is make our own legal analysis. And to be able

to do so, it is very important that the facts are established as soon as

possible, at least to the largest possible extent. This inquiry of the

European Parliament, as well as the joint EU-US Expert Group - in which

I also take part - will hopefully contribute to the fact finding .

I deliberately state that the facts need to he established "to the largest

possible extent". Since we are dealing with intelligence services, I do not'expect that we will be able to unveil everything that is going on in the

U.S. Even we - the privacy fundamentalrsfs of the Working Party ?g -understand that on national security grounds countries make different

decisions on what information can or should be used to find leads and

prevent, investigate or detect terrorist attacks

' Some may call me defeatist because of this position, but I think it is

realistic to expect that we will not be able to get all the facts on the table

in the coming weeks, And thus it will prove to be difficult to make a full

legal assessment of the question to what extent the privacy rights of our

citizens have been breached and how any breaches that have occurred

could be vindicated.

' The nature of the discussion is therefore in the end not primarily legal,

but political. That is your responsibility. But let me say this: based on the

reports in the Guardian, the New York Times, the Washington Post, der

Spiegel and since this week also the Brazilian Globo, it is highly likely

that the fundamental rights of Europeans have indeed been infringed

upon. Our right to live a private life, our right to secrecy of

correspondence, our right to data protection - all these rights that form

CHECKAGA'ruST DELIVERY ?


CHECK ÄGÄ'IVST DELIVERY

the fundamentals of the trust in the relation between the government

and its citizens are at stake.

Have these rights been infringed? From a legal perspective, I cannot yet

answer this with a reasonable degree of certainty. From a political

perspective, I would say: Yes. Our fundamental rights have been

infringed upon in a way that goes beyond acceptable limits.

So, what's next? The Working Party shall continue to ask for the facts

and will to the best of our ability make the analysis that is needed to

draw legal conclusions.

What do we need to know? First of all, it needs to become clear what

information is actually collected through the NSA surveillance programs

It is clear that information is collected at a very large scale, with limited

safeguards in place. And the safeguards that do exist apparently are only

intended to protect Americarls.

One point that has been revealed is that data may only be accessed if

they originate from non-US persons and are collected from sources

within the US. The Working Party would however like to know when US

authorities consider personal data to be inside the US. Due to the

continuously increasing use of the internet for processing personal data,

where much information currently is stored in the cloud, we do not

know the exact location of the datasets anymore, The same effect is

caused by the global scale of backbone networks and their inherent

capability to convey a wide range of communication services;

. It thus needs to become clear whether the intelligence services or other

relevant bodies have to prove that the data are physically and legally

CHECK.AGA'NST DELIVERY


CH ECK.AGA'A'ST DELIVERY

'

available on US soil (i.e. stored on sertvers on US territory) or if it is

sufficient that data are processed by or through an American company

or subsidiary.

' Clarification is also needed about the involvement of the FISA Court,

both in terms of procedures and the moment it is seized, as well as the

conditions and criteria the Court applies in its decisions to allow

surveillance orders of non-US persons under US legislation. The Working

Party wants to be able to assess to what extent these orders are

narrowly targeted enough and substantiated sufficiently to allow for a

limitation of individuals' fundamental rights on national security

grounds. We believe that as is the case in Europe, necessity and

proportionality should be part of the considerations before deciding to

infringe on fundamental rights.

' News reports suggest that the FISA Court has developed what is believed

to be a secret body of law on surveillance and has set rules for the

collection, use and access of data on the basis of the various intelligence

programs. \Mhile it is always good if criteria limiting the processing of

personal data are in place, it may prove problematic if these criteria are

kept secret. How would you know how to comply with the law, if you are

not allowed to know what the law says?

' Let me add that as far as we know also European intelligence agencies

and their supervisors struggle with providing information to the general

public. In a democratic society, it is however important that a public

debate can be held to verify under what conditions intelligence

operations take place and what methods of supervision are in place. In

my view, there are many different ways of intelligence supervision in the

European Union. The key question is what we should consider to be the

CHECKAGA'IVST DELIVERY +


CHECKAGAIIVST DELIVERY

best practice. And strange as the FISA Court construction may be, do we

really think that we Europeans have put our intelligence community

under a higher level of scrutiny? I don't know.

Another issue at stake is the relation between the surveillance programs

on the one hand and compliance by organisations with the conditions for

the third country transfer of personal data [including standard

contractual clauses, blnding corporate rules and the Safe Harbour

Principles) on the other hand. The Safe Harbour Principles indeed do

allow for a limitation of adherence to the Principles "to the extent

necessary to meet national security (...) requirements". However, the

Working Party has doubts whether the seemingly large-scale and

structural surveillance of personal data that has now emerged can still

be considered an exception strictly limited to the extent necessary.

Safe Harbor is likely to be crucial in the debate on the possible

implications of PRISM and PRISM-like programs, but we need to proceed

cautiously here. The Working Party is currently discussing to what

extent this is a matter of international transfers at all: much depends on

where the data collection takes place, which is one of the facts that needs

to be established by the Expert Group, If you ask me now, I would

therefore in all honesty not be able to tell you what the consequences of

the surveillance programs for the Safe Harbor Agreement should be.

The Working Party is of course very much aware that it is not only the

United States who make use of such surveillance programs. Several

European Member States are also revealed to monitor communications

on a structural basis, either using upstream collection or by tapping the

internet. Programs like Tempora, or the collection from the French

intelligence service DGSE, will also need to be assessed in the light of

CHECK AGA'A'ST DELIVERY


CHECKÄGA'ruST DELIVERY

European fundamental rights legislation. We will endeavour to do so,

together with our colleagues on the national level, taking due account of

the limitations our national legislations have put in place. Not all DPAs

are competent to supervise intelligence agencies, including my own

office. So once again, we find ourselves dependent on third parties to

hand us the facts before we can carry out the required legal analysis. ]ust

as is the case for PRISM.

' It is clear the only solution to these discussions is political. In two weeks,

data protection authorities from around the world will be discussing a

German proposal to add a protocol to Article L7 ofthe International

Covenant of Civil and Political Rights, This proposal has also been done

in the IHA Council and intends to reinforce the right to privacy on an

international level. And may be, it is also time to discuss a global right to

secrecy of communication, as some have suggested.

#######

CHECKAGA'NST DELIVERY


Date post:	08-Feb-2017
Category:	Documents
Upload:	ngokiet
View:	224 times
Download:	0 times

MArA 8pl -'f/UW,Ä

Documents