18. GDD-Sommer-Workshop
DA+

Kurzbeitrag : Digitale Abschottung verhindern : aus der RDV 4/2018, Seite 209 bis 214

Lesezeit 14 Min.

Es wächst die Gefahr, dass der freie Datenverkehr zwischen den Staaten immer stärker beeinträchtigt wird und es zu einer Abschottung nationaler Netze kommt – es droht ein digitaler Nationalismus. Dies würde letztlich zu einer Fragmentierung der Märkte und Wertschöpfungsketten führen, was gerade für die exportorientierte deutsche Wirtschaft eine Bedrohung darstellt. Ohne den Austausch von personenbezogenen Daten lassen sich heute kaum noch hochwertige Güter, geschweige denn Dienstleistungen, exportieren. Dies gilt erst recht, wenn durch das Internet der Dinge alle relevanten Informationen für die Produktion der Waren herangezogen werden.

I. National abgeschottetes Netz statt World Wide Web

Wohin eine Abschottung führen kann, erleben wir in der Volksrepublik China, wo es schon jetzt nur noch einen sehr eingeschränkten Zugriff auf das World Wide Web und andere internationale Internet-Dienste gibt. Das neue Cybersecurity-Gesetz ermöglicht es der chinesischen Regierung mit dem Argument der IT-Sicherheit, jeglichen Datentransfer nach und aus China einzuschränken.[1]Für China ist die Abschottung des eigenen Datenraums nicht nur Teil des staatlichen Kontroll- und Zensursystems über die Bürger, sondern auch eine Möglichkeit, aktive Industriepolitik zu betreiben, die ausländische Konkurrenz aus dem Markt auszuschließen und die Wertschöpfung ins eigene Land zu holen. Dies setzt vor allem deutsche Unternehmen unter Druck, die besonders auf den Export nach China angewiesen sind[2].

Selbst große IT-Giganten wie Apple sind bereits auf die Forderung Chinas eingegangen. Sie speichern und verarbeiten die Daten von Nutzern, die in China leben, nicht mehr außerhalb des chinesischen Territoriums, um dem chinesischen Cybersecurity-Gesetz zu entsprechen.[3] Die Wertschöpfung der Datenverarbeitung findet so in China statt und die Daten werden für den Zugriff der chinesischen staatlichen Stellen gesichert. Dass totalitär oder autoritär geführte Staaten kaum Interesse am freien Fluss der Daten haben, ist nicht überraschend. So verpflichtet auch Russland mittlerweile alle Unternehmen, die Daten russischer Bürger nur in Russland zu speichern.[4]

Problematisch ist, dass der freie Datentransfer auch innerhalb der freien westlichen Welt aus unterschiedlichen politischen Richtungen unter Druck gerät. Von europäischen Datenschützern, die das staatliche Übermaßverbot insbesondere im Bereich der Strafverfolgung und Verbrechensbekämpfung in den Mittelpunkt ihrer Betrachtung stellen, wird seit langem verlangt, den Datentransfer in die USA zu unterbinden, da der Datenschutz dort exterritorial nicht sichergestellt sei. Der Datenschutzaktivist Maximilian Schrems ging z.B. unter Berufung auf die Snowden-Enthüllungen dagegen vor, dass Facebook personenbezogene Daten ihrer Nutzer von der EU in die USA übermittelt.[5]

II. Die neue Datenschutzgrundverordnung der EU

In der EU ist die Datenübermittlung an Drittstaaten auch nach der neuen Datenschutzgrundverordnung (DS-GVO) nur unter bestimmten zusätzlichen Voraussetzungen zulässig, die in Kapitel V geregelt sind. Es soll sichergestellt werden, dass das hohe EU-Datenschutzniveau nicht umgangen wird, wenn Daten in Drittländer transferiert werden.[6] Eine Möglichkeit ist ein Beschluss der EU-Kommission gem. Art. 45 Abs. 3 S. 1 DS-GVO, der feststellt, dass in dem Drittstaat auch bezogen auf einen bestimmten Sektor ein angemessenes Schutzniveau besteht.

Der entsprechende Safe-Harbour-Beschluss der EU-Kommission (ABl. EG 2000 L 215, 7) hatte jahrelang den Datentransfer in die USA abgesichert, indem durch die teilnehmenden Unternehmen im Wege der Selbstzertifizierung eine Angemessenheit hergestellt werden sollte. Dieser Beschluss wurde vom EuGH aufgrund der fehlenden Überprüfungen und Sicherstellungen des Datenschutzes auch für unwirksam erklärt.[7] Auch das Überleben des Privacy-Shields als Nachfolgeregelung steht bereits in Frage. Entsprechende Klagen sind bereits anhängig.[8] Der Ausschuss für bürgerliche Freiheiten des EU-Parlaments forderte in einem Entschließungsantrag, dass die USA bis zum 1.9.2018 beim Schutz persönlicher Daten im EU-US-Datenschutzschild nachbessern müssten, sonst müsse die EU-Kommission die Vereinbarung auflösen.[9]

Bei hoheitlichen Datenanforderungen z.B. von einem Gericht aus einem Drittstaat stellt Art. 48 DS-GVO klar, dass eine Datenübermittlung oder Offenlegung auf eine internationale Übereinkunft wie etwa Rechtshilfeabkommen oder einen sonstigen Übermittlungstatbestand aus Kapitel 5 der Verordnung gestützt werden muss. Das EU-Recht verfolgt das Konzept, wonach auf einer ersten Stufe zu prüfen ist, ob die Übermittlung überhaupt innerhalb der EU nach EUDatenschutzrecht zulässig ist. In der zweiten Stufe müssen dann die zusätzlichen Voraussetzungen des Kapitels V für eine Datenübermittlung aus dem Territorium der EU hinaus festgestellt werden.[10] Art. 48 DS-GVO stellt insofern keine eigene Rechtsgrundlage dar[11], weil die Vorschrift gerade sicherstellen soll, dass das europäische Datenschutzrecht auch dann eingehalten wird, wenn andere Staaten Daten verlangen, die eigentlich unter das EU-Datenschutzregime fallen. So findet Art. 48 DS-GVO auch dann Anwendung, wenn Drittstaatsdatenverarbeiter, die aus der Union erhaltene Daten herausgeben sollen oder wenn ein international agierendes Unternehmen mit Niederlassungen innerhalb der Union von seinem „Heimatstaat“ aufgefordert wird, Daten zu übermitteln, die sich auf einem Server in einer der EUNiederlassungen befindet.[12]

Wenn eine deutsche Behörde aufgrund eines Rechtshilfeersuchens eines US-amerikansiches Gericht, ein deutsches Unternehmen verpflichtet, Daten herauszugeben, stellt dies eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung gem. Art. 6 Abs. 1 S. 1 lit. c DS-GVO dar.[13] Eine Umgehung eines bestehenden Abkommens ist im Regelfall nicht möglich.[14] Im Einzelfall kann eine Datenübermittlung auf Grundlage der Notfallklausel gem. Art. 49 Abs. 1 S. 2 DSGVO in Betracht kommen.[15]

Dieser Entwicklung liegt letztendlich der Gedanke zugrunde, das europäische Datenschutzniveau möge sich als internationaler Maßstab etablieren. Ein freier Austausch personenbezogener Daten wäre nach dieser Logik nur bei universaler Geltung einer vergleichbaren Datenschutzqualität denkbar. Solange dies auch innerhalb der westlichen Demokratien nicht der Fall ist (und wir alle wissen, dass ein solches Niveau selbst auf sehr lange Sicht nicht überall eintreten wird), müsste der Datenfluss aus der EU zum Schutze der Bürger abgeschnitten werden. In letzter Konsequenz führt dieser Gedanke ebenfalls zu einer Abschottung des Datenverkehrs, nur aus anderer Motivation heraus.

III. Wie weit gehen die Grenzen extraterritorialer Anwendung? Das Spannungsverhältnis zwischen dem Datenaustausch und dem Schutz vor Kriminalität

Aber auch von anderer Seite, der es in erster Linie darum geht, die Bevölkerung vor Kriminalität zu schützen und die das staatliche Untermaßverbot in den Mittelpunkt ihrer Politik stellt, wird der freie Austausch der Daten zwischen Staaten in Frage gestellt, falls staatlichen Strafverfolgungsbehörden der Zugriff auf im Ausland gespeicherte Daten verweigert wird. Deutlich wird dies im Zusammenhang mit dem Microsoft Case.[16] Der Sachverhalt bezog sich auf EMails, die außerhalb der USA gespeichert sind, aber von dort kontrolliert werden. Microsoft mit Sitz im US-Bundesstaat Washington wehrte sich gegen den Bescheid einer USStrafverfolgungsbehörde, im Rahmen eines Strafverfahrens wegen Drogenhandels personenbezogene Daten eines beschuldigten US-Bürgers herauszugeben. Microsoft verweigerte die Herausgabe unter Verweis auf die Speicherung der Daten in Irland. Daten, die nicht von den USA aus kontrolliert werden, sind also genau so wenig betroffen wie CloudGeschäftsmodelle, die gerade darauf angelegt sind, keinen Zugriff aus den USA zu ermöglichen.[17] Dass die US-Strafverfolgungsbehörden auf einer Anwendung ihres Rechts bestanden, führte innerhalb der EU zu großer Empörung. Die EU machte geltend, es handele sich um eine unzulässige exterritoriale Anwendung von US-Recht; im Fall von in der EU gespeicherten Daten finde zwingend EU-Recht Anwendung. Die Herausgabe der Daten müsse auf ein Rechtshilfeersuchen gemäß Rechtshilfeabkommen gestützt werden.[18]

Gleichzeitig und im Widerspruch zur vorgenannten Position beharrt die EU bei der Durchsetzung von Datenschutz nach der neuen DS-GVO auf einer exterritorialen Anwendung des eigenen EU-Rechts: Hier erwartet man von der US-amerikanischen Jurisdiktion, dass das EU-Datenschutzrecht akzeptiert wird, auch wenn die Daten in den USA gespeichert sind. Entscheidend ist für die EU lediglich, dass ein Bezug in die EU gegeben ist, z.B. weil ein Unternehmen eine Niederlassung in der EU unterhält und in diesem Zusammenhang Daten in den USA verarbeitet (Art. 3 Abs. 1 DS-GVO) oder weil Personen in der EU „beobachtet“ werden (Art. 3 Abs. 2 lit.a DS-GVO), was auch beim Surfen im Internet angenommen werden kann[19].

Beide Seiten pochen also auf eine exterritoriale Anwendung des Rechts, wenn es um die Durchsetzung ihrer jeweiligen Interessen geht, und stellen den freien Datentransfer in Frage, falls sich dies nicht durchsetzen lässt. Für international agierende Unternehmensgruppen führt dies zu einem Dilemma, da sie nicht in der Lage sind, beiden Seiten gerecht zu werden. Es bleibt dem Unternehmen nur noch die Wahl, das eine oder das andere Recht zu brechen,[20] was wohl auch von der Höhe der Sanktionen abhängig gemacht werden wird.[21]

Der Microsoft Case wurde mit dem Clarifying Lawful Overseas of Data Act (sog. Cloud Act)[22] beigelegt. Der US-amerikanische Gesetzgeber hat die Telekommunikationsanbieter und „remote computing services“ wie Cloudanbieter mit dem Gesetz verpflichtet, alle Bestands- und Inhaltsdaten vorzuhalten, zu sichern und herausgeben zu können, unabhängig davon, wo sich die Daten befinden. Der Anbieter darf die Datenherausgabe an die US-Behörde gem. 18 U.S.C. § 2713(h)(1)(B)(2)(i) nur dann verweigern, wenn der Betroffene kein US-Bürger oder nicht in den USA wohnhaft ist und gem. 18 U.S.C. § 2713(h)(1)(B)(2)(ii) die verlangte Herausgabe eine Verletzung der Rechte eines Staates bedeuten könnte, mit dem die USA ein Abkommen zum Datenaustausch und zum Schutz der Privatsphäre unterzeichnet haben. Die rechtsstaatlichen Anforderungen an ein solches Abkommen sind ebenfalls im Cloud Act genau geregelt. Voraussetzung ist vor allem, dass „wechselseitige Datenzugriffsrechte“ gewährleistet sind und das Abkommen „einen Beitrag zum freien und offene Internet demonstriert“ (18 U.S.C. § 2523).

Für den Fall, dass sich ein Anbieter der Datenherausgabe widersetzt, darf ein US-Gericht der behördliche Anordnung auf Datenherausgabe nur widersprechen, wenn die gem. 18 U.S.C. §2713(h)(2)(B)(ii) „Interessen der Justiz es auf der Grundlage der Gesamtheit der Umstände vorschreibt, dass die Anordnung geändert oder aufgehoben werden sollte“. Hierzu wird eine umfassende Abwägung u.a. des Strafverfolgungsinteresses der USA und dem Interesse des Zielstaates auf Verhinderung einer verbotenen Datenfreigabe verlangt. Berücksichtigt werden soll auch die Wahrscheinlichkeit und das Ausmaß einer Bestrafung des Providers oder seiner Angestellten aufgrund der inkonsistenten rechtlichen Anforderungen, denen dieser ausgesetzt ist, 18 U.S.C. §2713(h)(3)(C).

IV. Ohne einen Kompromiss droht die Abschottung zwischen den USA und der EU

Durch den Cloud Act wird somit wie durch die DS-GVO die exterritoriale Wirkung des eigenen Rechts festgeschrieben. Gleichzeitig werden die Provider dazu gedrängt, die Daten dem eigenen staatlichen Zugriff nicht zu entziehen. Wenn hier kein Kompromiss gefunden wird, kann dies nicht nur zu einer Fragmentierung und Abschottung der Datennetze von totalitär oder autoritär geführten Staaten führen, sondern auch zu einer Abschottung zwischen den USA und der EU.

Hier einen Ausgleich zu finden, ist dringende Aufgabe der Politik. Das Mittel eines Regierungsabkommens als vertragliche Lösung zwischen den USA und der EU wird im Cloud Act in 18 U.S.C. § 2713 i.V.m. §2523 aufgezeigt. Auch Art. 48 DS-GVO stellt klar, dass für einen internationalen Datenaustausch auf hoheitliche Anforderung internationale Übereinkommen geschlossen werden.

Die Lösung, das zwischen der EU und den USA bestehenden Rechtshilfeabkommens, wie von der EU vorgeschlagen, anzuwenden, ist mit einer Bearbeitungsdauer von acht bis zehn Monaten bei Standardfällen[23] nicht nur sehr zeitaufwendig, sondern auch sinnlos, weil der konkrete Ort der Speicherung aufgrund der hybriden Cloud-Architektur noch nicht einmal für das Unternehmen bekannt sein muss. Auch der Staat, in dem die Speicherung physisch erfolgt (im Beispielsfall also Irland), erlangt häufig keine Kontrolle über die Daten. Die Konsequenz: Da die Unternehmen durch die Speicherung im (EU-) Ausland eine Strafverfolgung, z.B. in den USA, erschweren könnten, wäre eine staatliche Verpflichtung zur Datenspeicherung nur im Inland die Folge.[24]

Die Frage, wann und unter welchen Voraussetzungen im Rahmen strafrechtlicher Ermittlungsverfahren auf vom Inland kontrollierte, aber im Ausland gespeicherte Daten zugegriffen werden darf, sollte daher zwischen den USA und der EU dringend speziell geregelt werden. Nur so kann sowohl dem staatlichen Strafverfolgungsinteresse als auch dem Rechtsschutzinteresse der Nutzer ausreichend Rechnung getragen werden.

Abhilfe könnte eine sog. Notifikationslösung schaffen. Dabei wird ein Zugriff auf Daten oder eine direkte Anfrage an Provider im eigenen oder in einem anderen Staat möglich, ohne das komplizierte und langwierige Rechtshilfeverfahren zu durchlaufen. Der betroffene Staat kann innerhalb einer kurzen Frist der Verwertung der bereits gesicherten Daten widersprechen oder – je nach Ausgestaltung der Frist – diese im Fall von Provider-Anfragen unterbinden. Ein solches System wurde im Dossier „e-evidence“ bereits vorgeschlagen, um direkte Anfragen zwischen Strafverfolgungsbehörden innerhalb der EU zu ermöglichen und den Mitgliedstaaten gleichzeitig zu erlauben, ihren grundrechtlichen Schutzpflichten gerecht zu werden.[25]

Gerade den weltweit agierenden Providern kommt in der Strafverfolgungspraxis eine entscheidende Bedeutung zu. Ein solcher Vorschlag sollte sich daher nicht auf die EU beschränken, sondern die Verpflichtung der Drittstaatsprovider mit einbeziehen. Während des Expertenprozesses hat Deutschland einen Vorschlag für einen auf Notifikation basierenden direkten Zugriff unterbreitet.[26] In einem Arbeitspapier des Rates der Europäischen Union, erstellt durch die Dienststellen der Kommission, wird eine solche Möglichkeit ebenfalls bereits angedacht, um den durch einige Mitgliedsstaaten bereits praktizierten direkten Zugriff rechtsstaatlich abzusichern.[27] Notwendig ist dabei die Benennung eines sog. „legal representative“ durch die Service Provider in der EU bzw. den USA, an den die Strafverfolgungsbehörden direkte Anfragen richten können und der zur Datenauskunft befugt ist. Darüber hinaus müsste der legal representative die Möglichkeit zur Durchsetzung von Beschlagnahmebeschlüssen haben[28]. Die Staaten müssten entsprechend sog. „Single Points of Contacts“ einrichten, um schnell reagieren zu können[29].

Das bestehende Grundrechtsschutzniveau in Form der Anforderungen an die Schwere der Straftat muss vertraglich sichergestellt werden[30].

Eine solche direkte Zusammenarbeit ist nur zwischen gefestigten Rechtsstaaten in Betracht zu ziehen, da die Staaten davon ausgehen können müssen, dass Widersprüche im Rahmen der Notifikation auch beachtet werden.[31]

Zu klären ist dann, wer die Entscheidung über den Datenzugriff abschließend treffen soll. Der deutsche Vorschlag sieht vor, dass die Staaten, wo die Daten gespeichert wurden, wo der Service-Provider seinen Sitz hat und wo die betroffen Person seinen regelmäßigen Aufenthaltsort hat, zu benachrichtigen sind.[32]

Der Staat, wo die Daten gespeichert sind, kommt dabei häufig gar nicht nicht in Betracht, da die Lokalisation der Daten häufig gar nicht feststellbar ist oder sich ständig ändert. Maßgeblich für die Entscheidung des Datenzugriffs sollte der Staat sein, wo der Datennutzer seinen gewöhnlichen Aufenthaltsort hat.[33] Hier ist davon auszugehen, dass dem Betroffenen die Rechtsschutzmöglichkeiten vertraut sind und ihm der Rechtsschutz am ehesten möglich ist.

Eine Überwindung des Territorialprinzips zwischen den gefestigten Rechtsstaaten der westlichen Demokratien ist dringend geboten, um den freien Datenverkehr und damit auch das World Wide Web zumindest im freien Teil der Welt über seinen 30. Geburtstag hinaus zu sichern. Hierzu wird es erforderlich sein, ein System des Vertrauens und der Kontrolle zwischen den Rechtsstaaten zu etablieren.

* Der Autor, ehem. parlamentarischer Staatssekretär beim BMI, arbeitet als Rechtsanwalt.

[1] Vgl. Dennsi-Kenji Kipker, Das neue chinesische Cybersecurity Law, MMR, 2017, 455 ff.

[2] Vgl. FAZ, China duldet keine Grauzone mehr, vom 23.01.2018, S. 3.

[3] Schwan, iCloud in China: Apple speichert auch Schlüssel lokal, online unter: https://www.heise.de/mac-and-i/meldung/iCloud-in-ChinaApple-speichert-auch-Schluessel-lokal-3978159.html (letzter Abruf: 18.05.2018).

[4] Blagov, Russia’s 2016 Data Localization Audit Plan Released, online unter: https://www.bna.com/russias-2016-data-n57982066291 (letzter Abruf: 18.05.2018); vgl. Dennsi-Kenji Kipker, Aktuelle Digitalisierungspolitik in Russland, MMR, 2018, 296.

[5] EuGH v. 06.10.2015 – C-362/14 NJW 2015, 3151 ff.

[6] Gierschmann/Schlender,/Stentzel/Veil, Kommentar, DS-GVO, Art. 44 Rn. 1.

[7] EuGH v. 06.10.2015 – C-362/14, NJW 2015, 3151 ff.

[8] ABl EU 2016, Nr C 410, 26

[9] ZD-Aktuell 2018, 06168.

[10] Paal/Pauly DS-GVO, Art. 44, Rn. 2, Schantz/Wolff, Das neue Datenschutzrecht, Art. 44 Rn. 802; Gierschmann/Schlender/Stentzel/Veil, Kommentar, DSGVO, Art. 48 Rn. 6: Metz/Spittka, Datenweitergabe im transatlantischen Rechtsraum – Konflikt oder Koexistenz?, ZD 2017, 361, 363.

[11] So Schröder in: Kühling/Buchner, DS-GVO, 2017, Art. 48 Rn. 20 ff., wonach Art. 48 i.V.m. 49 DS-GVO eine abschließende Regelung für den Zugriff von Hoheitsträgern darstellt.

[12] Gierschmann/Schlender/Stentzel/Veil, Kommentar, DS-GVO, Art. 48 Rn. 11. f.; Metz/Spittka, ZD 2017, 361, 364.

[13] Metz/Spittka, ZD 2017, 361, 364.

[14] Schröder, in: Kühling/Buchner, DS-GVO, 2017, Art. 49 Rn. 43; Metz/ Spittka, ZD 2017, 361, 366; Jansen, Microsoft „Search Warrant“ Case – oder die Zukunft der euopäischen Datensouveränität, ZD 2018, 149, 150; Art. 29-Datenschutzgruppe, Stellungnahme 14/EN WP 227, S. 3.

[15] So Schröder, in: Kühling/Buchner, DS-GVO, 2017, Art. 48 Rn. 24; Metz/Spittka, ZD 2017, 361, 364.

[16] Vgl. den Brief amici curiae of the State of Vermont und anderer Bundesstaaten, v. 13,12,2017, abrufbar unter https://www.supremecourt. gov/ DocketPDF/17/17-2/23704/20171213142200573_U.S.%20v.%20 Microsoft%20-%20multistate%20amicus%20brief.pdf

[17] United States v. Microsoft Corp., No.17-2.

[18] Brief amicus curiae der Europäischen Kommission v. 13.12.2017, abrufbar https://www.supremecourt.gov/DocketPDF/17/17-2/23655/20171213123137791_17-2%20ac%20European%20Commission%20for%20filing.pdf.

[19] Hierzu ausführlich Paal/Pauly-Ernst, DS-GVO BDSG 2. Aufl. 2018, Art. 3 Rn. 2 ff. Bündig zusammenfassend und mit weiteren Nachweisen Wybitul/Ströbel/Rues, ZD 2017, 503: „Die DS-GVO kann über die EU hinaus auch extraterritorial gelten, wenn ausländische Verantwortliche oder Auftragsverarbeiter personenbezogene Daten von in der EU ansässigen Personen verarbeiten (sog. Marktortprinzip)“.

[20] Gierschmann/Schlender,/Stentzel/Veil, Kommentar, DS-GVO, Art. 48, Rn. 19; Paal/Pauly, Pauly, Art. 48 Rn. 4; Marek Jansen, ZD 2018, 149, 150.

[21] Paal/Pauly, Pauly, Art. 48 Rn. 4, Jennifer Daskal, Law Enforcement Access to Data Across Borders: The Evolving Security an Rights Issues, Journal of National Security Law & Policy 2016 Vol. 8, 473; 490 ff.

[22] 115th Congress, 2nd Session, S. 2383. Hierzu bereits u.a. Spies, ZDAktuell 2018, 04291 ; Dennis Jansen, Krieg der Daten – Kollision von Eu-DS-GVO und US Cloud Act, in: CR-online.de Blog vom 23.3.2018, abrufbar unter: https://www.cr-online.de/blog/2018/03/28/krieg-der-daten-kollision-voneu-dsgvo-und-us-cloud-act/

[23] So die mündliche Auskunft des BKA; die Dienststellen der Kommision gehen von einer Spannbreite der Bearbeitungszeiten von ein bis 18 Monaten aus, siehe Council of the European Union (9554/17), S. 11.

[24] Jennifer Daskal, Law Enforcement Access to Data Across Borders: The Evolving Security and Rights Issues, Journal of National Security Law & Policy 2016 Vol. 8, 473; 475 ff.

[25] COM (2018) 225 final.

[26] Council of the European Union, Note 9554/17, S. 39.

[27] Council of the European Union, Note 9543/17, S. 8.

[28] Council of the European Union, Note 9554/17, S. 36.

[29] Council of the European Union, Note 9554/17, S. 40

[30] Vgl. Council of the European Union, Note 9554/17, S. 45 f.

[31] Vgl. Council of the European Union, Note 9543/17, S. 10.

[32] Council of the European Union, Note 9554/17, S. 39

[33] Siehe hierzu ausführlich: Daskal, Journal of National Security & Law 2016, Vol. 8, 473, 498 ff.