Europa wagt die digitale Selbstbehauptung

Prof. Dr. Martin Selmayr

ist Generalsekretär der Europäischen Kommission und zugleich Mitherausgeber der ZD. Dieser Beitrag gibt seine persönliche Meinung wieder.

 

 

 

ZD 2018, 197   Der 25. Mai 2018 markiert eine entscheidende Wegmarke auf der rasanten Fahrt ins digitale Zeitalter. Acht Jahre nachdem Marc Zuckerberg, der Gründer des US-Datengiganten Facebook, „the end of privacy“ verkündet hat, antwortet Europa selbstbewusst: „Es lebe das Datenschutzgrundrecht!“ Denn mit dem 25. Mai 2018 gelten in allen 28 Mitgliedstaaten der Europäischen Union die 99 Artikel der Datenschutz-Grundverordnung (DS-GVO) - gleichzeitig, unmittelbar und einheitlich.

 

Ihr Regelungsgehalt lässt sich in zwei Sätzen zusammenfassen: Wer in Europa, ob als Unternehmen, Behörde oder Einzelner, personenbezogene Daten verarbeiten, austauschen oder vermarkten möchte, der muss das europäische Grundrecht auf Datenschutz beachten. Missachtet er dieses, so können unabhängige europäische Aufsichtsbehörden empfindliche Sanktionen verhängen, die bei Unternehmen bis zu  20 Mio. oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen können.

 

Manche werfen uns datenschutzbewussten Europäern nun Realitätsferne vor. Schließlich seien Daten das „Öl“ des digitalen Zeitalters. Doch hinter der DS-GVO, über deren Inhalt die Europäische Kommission, das Europäische Parlament und der EU-Ministerrat vier Jahre lang gerungen haben, steht eine zentrale europäische Grundüberzeugung: Personenbezogene Daten sind auch in der digitalen Welt nicht in erster Linie Wirtschaftsgut, sondern integraler Teil des Persönlichkeitsrechts. In der Werte- und Grundrechtsordnung, für die wir Europäer uns entschieden haben, fällt es in das Recht auf Selbstbestimmung jedes Einzelnen, ob, in welchem Umfang und für welche Dauer er personenbezogene Daten preisgeben will.

 

Die EU-Grundrechtecharta (GRCh) stellt bewusst - ebenso wie das deutsche Grundgesetz - ganz an ihren Anfang den Schutz der Würde des Menschen, auf den alle Grundrechte einschließlich des Datenschutzgrundrechts zurückzuführen sind. In einer Welt, in der jemand anderes alles über einen weiß, in der Fremde durch das Auslesen von Datenspuren, die per Smartphone oder in sozialen Netzwerken hinterlassen werden, individuelle Verhaltensweisen vorhersagen und so beeinflussen können (Cambridge Analytica!), in einer solchen Welt drohen individuelle Selbstbestimmung und Menschenwürde verloren zu gehen. Mit der DS-GVO hat der europäische Gesetzgeber deshalb ein Bollwerk gegen digitale Fremdbestimmung geschaffen. Sie schützt nicht nur die Privatsphäre, sondern umfassend das in Art. 8 GRCh gewährleistete Recht des Einzelnen, selbst über die Verwendung all seiner personenbezogenen Daten zu bestimmen (der EuGH unterscheidet neuerdings zwischen dem Grundrecht auf Privatsphäre und dem Datenschutzgrundrecht, vgl. EuGH ZD 2017, 124 m. Anm. Kipker/Schefferski/Stelter, Rdnr. 129 - Tele2 Sverige). Ein Europa, das Werte und Grundrechte gegenüber kommerzieller wie staatlicher Datensammelwut wirksam schützt und verteidigt - das ist das Europa der DS-GVO.

 

Wer sich an die Vorgaben der DS-GVO hält, dem steht der gesamte europäische Binnenmarkt für den Waren- und Dienstleistungsaustausch offen. Ein digitaler Binnenmarkt macht den freien Verkehr personenbezogener Daten zwischen Lissabon und Helsinki möglich, da nun überall in der EU ein gleichmäßiges und hohes Datenschutzniveau gilt. Auch Unternehmen aus Drittstaaten müssen die DS-GVO umfassend beachten, wenn sie in Europa Waren oder Dienste anbieten wollen. Denn die DS-GVO überführt das bereits aus dem Kartellrecht bekannte Marktortprinzip in das Datenschutzrecht (vgl. Art. 3 Abs. 2 DS-GVO). Unternehmen, die sich an die DS-GVO halten, profitieren dabei vom sog. „One Stop Shop“. Sie haben im digitalen Binnenmarkt jetzt für jede Datenverarbeitung einen einzigen Ansprechpartner, und zwar die Datenschutz-Aufsichtsbehörde am Sitz ihrer Hauptniederlassung (vgl. Art. 56 Abs. 1, Abs. 6 DS-GVO).

 

Die Gleichmäßigkeit des hohen Datenschutzniveaus in allen 28 EU-Mitgliedstaaten wird manchmal unter Hinweis auf sog. „Öffnungsklauseln“ in der DS-GVO in Frage gestellt. Unter „Öffnungsklauseln“ werden gemeinhin Vorschriften verstanden, die es erlauben, vom Schutzniveau eines einheitlichen Regelwerks nach oben oder unten abzuweichen. „Öffnungsklauseln“ kommen im Tarifrecht vor, nicht aber in der DS-GVO.

 

Die DS-GVO kennt den Begriff der „Öffnungsklausel“ überhaupt nicht; es handelt sich nicht um einen Terminus des europäischen Datenschutzrechts. Richtig ist, dass die DS-GVO in einigen Vorschriften einen begrenzten Spielraum vorsieht, im Rahmen dessen die Mitgliedstaaten einzelne Bestimmungen durch nationale Rechtsvorschriften „genauer festlegen“ bzw. „spezifizieren“ können (vgl. Erwägungsgrund 10 DS-GVO). Diese (in europarechtlicher Terminologie) Spezifizierungsklauseln (vgl. Ehmann/Selmayr, DS-GVO, 2017, Einf., Rdnr. 82 ff., 89) erlauben z.B. die nähere Bestimmung des Mindestalters, ab dem ein Kind rechtswirksam seine Einwilligung zur Verarbeitung seiner Daten in sozialen Netzwerken geben darf (zwischen 13 und 16 Jahren, vgl. Art. 8 Abs. 1 DS-GVO) oder die Präzisierung der Länge der Amtszeit des Leiters einer nationalen Aufsichtsbehörde (mindestens vier Jahre, vgl. Art. 54 Abs. 1 lit. d DS-GVO). Nicht erlaubt ist es aber, diese Spezifizierungsklauseln zu Abweichungen vom hohen Schutzniveau der DS-GVO zu missbrauchen. Denn dieses Schutzniveau steht weder zur Disposition des europäischen noch des nationalen Gesetzgebers. Es ist durch das Datenschutzgrundrecht in Art. 8 GRCh und somit durch EU-Primärrecht zwingend vorgegeben.

 

Der Rechtsanwender muss sich mit dem 25. Mai 2018 neu orientieren. Auf seinem Schreibtisch bzw. Desktop sollte nun an erster Stelle der Text der DS-GVO liegen, am besten nicht nur in deutscher, sondern zumindest auch in englischer und vielleicht sogar in französischer Sprache. Denn europäische Gesetze sind in allen 24 EU-Amtssprachen gleichermaßen verbindlich, sodass für die korrekte Auslegung häufig ein Vergleich der unterschiedlichen Sprachfassungen erforderlich ist. Nationale Datenschutzgesetze - wie das neugefasste BDSG, die aktualisierten Landesdatenschutzgesetze oder das österreichische Datenschutzgesetz 2018 - sind dagegen nur noch subsidiär und stets unter einem gewissen Vorbehalt hinzuzuziehen. Denn nationale Ausführungsbestimmungen zur unmittelbar geltenden DS-GVO sind nur ausnahmsweise zulässig, sofern sie von Spezifizierungsklauseln zugelassen oder gefordert werden.

 

Ist dies nicht der Fall, ist europarechtlich eine Wiederholung der Normen der DS-GVO in nationalen Vorschriften grundsätzlich verboten (vgl. Ehmann/Selmayr, a.a.O., Rdnr. 80, 90), da sie beim Rechtsanwender Verwirrung darüber auslösen könnte, dass der Geltungsgrund der Normen unmittelbar im EU-Recht und nicht im nationalen Recht liegt. Ein gewisser Vorbehalt gegenüber nationalen Rechtsvorschriften zum Datenschutz ist auch deshalb angebracht, da nationale Gesetzgeber teilweise der Versuchung nicht widerstehen konnten, europarechtswidrige Vorschriften in den nationalen Datenschutzgesetzen beizubehalten oder die bewusst als „Öffnungsklauseln“ missverstandenen Spezifizierungsklauseln zu einer Absenkung des Datenschutzniveaus auszunutzen.

 

Hier kommt auf die unabhängigen Datenschutz-Aufsichtsbehörden in den ersten Jahren der unmittelbaren Geltung der DS-GVO einiges an Arbeit zu. Nach dem Grundsatz des Vorrangs des Europarechts vor nationalem Recht haben die Aufsichtsbehörden nationale Rechtsvorschriften, die mit der DS-GVO ganz oder teilweise nicht übereinstimmen, von Amts wegen außer Acht zu lassen. Es gilt insofern eine europarechtlich begründete „Normverwerfungspflicht“ für die nationalen Aufsichtsbehörden, die sich dabei künftig in aller Regel eng mit den Aufsichtsbehörden der übrigen EU-Mitgliedstaaten und mit der Kommission i.R.d. neuen Verfahrens der Zusammenarbeit und Kohärenz (Art. 60 ff. DS-GVO) abstimmen werden.

 

Auch wenn die DS-GVO weltweit viel Beachtung findet, gibt es bei einigen Beobachtern Zweifel daran, ob es den Europäern mittelfristig gelingen wird, ihr hohes Datenschutzniveau im internationalen Wettbewerb beizubehalten. Die globalen Datenmärkte werden weitgehend von US-Unternehmen dominiert. Der Druck auf die EU, in Freihandelsabkommen Zugeständnisse beim Datenschutzniveau zu machen, wird deshalb weiter zunehmen. Auch Handelsverträge können allerdings das in Art. 8 GRCh verankerte Datenschutzniveau nicht absenken. Es ist daher konsequent, dass die Europäische Kommission - im Interesse der digitalen Selbstbehauptung Europas - am 10.1.2017 beschlossen hat, Fragen des Datenschutzniveaus grundsätzlich nicht zum Gegenstand von Handelsabkommen zu machen, sondern den freien Verkehr personenbezogener Daten mit Drittstaaten primär über sog. Angemessenheitsbeschlüsse zu regeln (Mitteilung zum Austausch und Schutz personenbezogener Daten in einer globalisierten Welt, COM(2017) 7 final).

 

Mit Angemessenheitsbeschlüssen gem. Art. 45 DS-GVO kann die EU internationale Standards setzen, da sie nur solchen Drittstaaten die Angemessenheit ihres Schutzniveaus bescheinigen wird, die Datenschutzgesetze haben, welche mit der DS-GVO im Wesentlichen vergleichbar sind.

 

Gegenwärtig arbeitet die Kommission an einem Angemessenheitsbeschluss gegenüber Japan, das in den vergangenen Jahren sein Datenschutzgesetz umfassend modernisiert hat. Auch Indien könnte bald ein interessanter Partner werden, nachdem das indische Höchstgericht im August 2017 erstmals ein weit reichendes Grundrecht auf „privacy“ anerkannt und zur Begründung rechtsvergleichend u.a. auf Art. 8 GRCh sowie die Rechtsprechung des EuGH verwiesen hat.

 

Der wirkliche Testfall für das europäische Datenschutzniveau wird aber der bevorstehende Austritt des Vereinigten Königreichs aus der EU sein. Denn die britische Datenwirtschaft ist die größte Europas und wird daher nach Kräften versuchen, eine handelsvertragliche Regelung über den Datenaustausch mit dem Kontinent zu erreichen. Wenn die Europäische Union demgegenüber auf ihrer Präferenz für Angemessenheitsbeschlüsse beharrt, bedeutet dies nichts anderes, als dass das Vereinigte Königreich auch nach dem „Brexit“ weiterhin das Schutzniveau der DS-GVO wird beachten müssen, wenn der Datenaustausch mit der EU weiterhin möglich sein soll. Die Tatsache, dass die britische Regierung plant, die DS-GVO mit dem „Brexit“ zur Gänze in nationales Recht zu überführen (vgl. Financial Times: UK assures on `close' EU data protection laws after Brexit), zeigt, dass das Vereinigte Königreich zwar vielleicht bald der EU den Rücken zuwenden wird, nicht aber den gemeinsam in der DS-GVO beschlossenen hohen europäischen Standards im Datenschutzrecht.


Microsofts „Search Warrant“ Case - oder die Zukunft der europäischen Datensouveränität

Marek Jansen

ist Rechtsanwalt in Berlin und Referent für gewerblichen Rechtsschutz, Urheberrecht und Datenschutzrecht beim Bundesverband der Deutschen Industrie.

 

 

 

ZD 2018, 149   Am 27.2.2018 verhandelte der U.S. Supreme Court einen zukunftsweisenden Rechtsstreit im Spannungsfeld von Recht und Technologie: Der Fall "Microsoft Corp. v. United States" (No.17-2) befindet sich in der letzten Instanz.

Im Mittelpunkt steht die Frage, ob ein US-E-Mail-Provider auf Grund eines in einem strafrechtlichen Ermittlungsverfahren erlassenen Durchsuchungsbeschlusses US-Behörden direkten Zugriff auf im Ausland gespeicherte Daten geben muss. Die Beantwortung dieser Frage birgt jede Menge Sprengkraft. Die Entscheidung hat abseits des Einzelfalls eine europäische und globale Dimension mit konkreten Auswirkungen auf Millionen von Unternehmen. Eine extraterritoriale Anwendung von US-Recht beträfe nicht weniger als die Zukunft der europäischen Datensouveränität. Damit könnte in der Konsequenz jeder grenzüberschreitende Datentransfer betroffen sein und ein gefährlicher Präzedenzfall geschaffen werden.

Die mündliche Verhandlung in Washington D.C. wurde weltweit, aber insbesondere in den EU-Mitgliedstaaten und in Brüssel aufmerksam verfolgt. Auch das Interesse vor Ort war überwältigend. Im Gerichtssaal waren u.a. Microsoft-Präsident und Chief Legal Officer Brad Smith sowie der republikanische Senator Orrin Hatch, der als Hauptunterstützer des jüngst vorgeschlagenen CLOUD Act (Clarifying Lawful Overseas Use of Data) gilt, mit dem das hier streitentscheidende Recht modernisiert werden soll.

Hintergrund des Falls ist ein US-amerikanischer Durchsuchungsbeschluss (search warrant) auf Grundlage des Stored Communications Act (18 USC § 2703) und des Electronic Communications Privacy Act (18 USC § 2510 et esq.), nach dem Microsoft den nationalen Strafverfolgungsbehörden Zugang zu Inhaltsdaten aus Kundenmails gewähren soll, die auf einem Server in Irland gespeichert sind. Microsoft kam der Anordnung nicht nach, wurde aber in erster Instanz zur Freigabe der Daten verurteilt (vgl. ZD 2014, 346 m. Anm. Schröder/Spies; s.a. Spies, ZD-Aktuell 2015, 04588). Das Berufungsgericht (Second Circuit) hatte im Juli 2016 die Durchsuchungsanordnung hingegen aufgehoben (vgl. ZD 2016, 480 m. Anm. Spies/Schröder), auch das Plenum des Berufungsgerichts wies im Januar 2017 die Beschwerde des US-Regierung zurück (s. Spies, ZD-Aktuell 2017, 05469). Mit einer von dem US-Justizministerium eingelegten "Petition" (writ of certiorari) gegen das Urteil steht nun die letztinstanzliche Entscheidung durch den U.S. Supreme Court an (vgl. Spies, ZD-Aktuell 2017, 05829 m.w.Nw.).

Aus Perspektive des US-Rechts geht es im Wesentlichen um die Auslegung von 18 USC § 2703 als Rechtsgrundlage für die Herausgabe von bei Internetprovidern gespeicherten Kommunikationsdaten. Die Behörde benötigt hierfür im Wesentlichen einen Durchsuchungsbeschluss und eine spezifische Tatsache, dass der Inhalt der elektronischen Kommunikation für das Strafverfahren von Bedeutung ist (zur grundsätzlichen Frage der Datenweitergabe im transatlantischen Raum s. Metz/Spittka, ZD 2017, 361).

Auch bei der Anhörung vor dem U.S. Supreme Court ging es mehrfach um die Auslegung der Section 2703 des Stored Communications Act. So legte der Anwalt der US-Regierung anhand eines hypothetischen Falls dar, dass auch eine in den USA zu einer Geldstrafe verurteilte Person sich nicht von der Zahlung exkulpieren könne, indem sie auf die Lagerung ihres Gelds im Ausland verweise. Zudem warf ein Richter die Frage auf, ob das Gericht das in den 1980er-Jahren geschaffene Recht nicht mit Blick auf die modernen technischen Gegebenheiten wie die Cloud weit auslegen müsse. Microsoft erwiderte u.a., das der Stored Communications Act sich auf die "Lagerung" fokussiere und dies territorial an die USA gebunden sei. Beweise in anderen Ländern lägen damit außerhalb des Anwendungsbereichs des Gesetzes und müssten über internationale Abkommen herausverlangt werden.

In Europa hatte das Verfahren von Beginn an übergreifend in Politik, Verbänden, Wirtschaft und Zivilgesellschaft zu erheblichen Irritationen geführt. Ein Zugriff von US-Behörden auf in der EU gespeicherte Daten wird üblicherweise im Wege eines Rechtshilfeabkommens in Strafsachen (sog. Mutual Legal Assistance Treaty - MLAT) unter Einbeziehung der jeweils staatlichen Organe gewährleistet. Ohne Mitwirkung der irischen Regierung und damit unter Nichtbeachtung der bestehenden völkerrechtlichen Verträge einen quasi "extraterritorialen Durchsuchungsbefehl" zu vollstrecken hätte gravierende Auswirkungen auf die Grundprinzipien des transatlantischen Datentransfers. Darauf wies auch Microsoft in der Anhörung deutlich hin. Microsoft begann erst im Jahr 2010 mit der Speicherung von Daten in unterschiedlichen Jurisdiktionen und entschied sich im Kontext der Snowden-Enthüllungen, die Datenherausgabe an US-Behörden zu verweigern - allerdings beziehen sich nur 54 von 60.000 Durchsuchungsanordnungen pro Jahr auf im Ausland gespeicherte Daten.

Letztlich wäre jedes Unternehmen, das eine Niederlassung in den USA hat, potenziell einem direkten Zugriff von US-Behörden auf in Europa gespeicherte Daten (seiner Kunden) ausgesetzt. Müsste Microsoft den Datenzugriff ermöglichen, würde mittels einer "remote control" aus Washington der technische Befehl des Datenzugriffs auf den Server in Irland erteilt werden, sodass anschließend die Daten über ein transatlantisches Datenkabel in die USA fließen. Bei dem gesamten Prozess wäre also keine einzige Person in Irland involviert.Damit steht der Fall in direktem Konfrontationskurs mit den Grundprinzipien des EU-US-Privacy-Shield: Danach ist ein Datentransfer in die USA nämlich nur dann rechtmäßig, wenn das dortige Datenschutzniveau dem der EU entspricht. Zudem bestätigt schon der Wortlaut des Abkommens die unterschiedliche Sicht der USA und der EU auf den Datenschutz: "While the United States and the European Union share the goal of enhancing privacy protection, the United States takes a different approach to privacy from that taken by the European Union".

Anders als in den USA ist Datenschutz in der EU ein Grundrecht. Entsprechend hohe Sanktionen sieht auch die ab dem 25.5.2018 geltende EU-Datenschutzgrundverordnung (DS-GVO) bei Verstößen gegen den Datenschutz vor. Europäische Unternehmen sind aber nicht nur juristisch an das in der EU und den Mitgliedstaaten geltende Datenschutzrecht gebunden, sondern müssen auch die hohen (ethischen) Erwartungen der europäischen Kunden in Bezug auf den Schutz ihrer personenbezogenen Daten erfüllen.

Daher verwundert es nicht, dass Microsoft im Laufe des Verfahrens immer mehr Unterstützer fand. Zunächst von den großen US-amerikanischen Tech-Firmen aus dem Silicon Valley (Apple, Amazon, Facebook und Google), von Mitgliedern des US-Kongresses, großen Handelsgruppen sowie Medienorganisationen. Inzwischen haben sich auch aus Europa zahlreiche Unterstützer von Microsoft öffentlich geäußert und die Rechtsauffassung von Microsoft durch unterstützende Schriftsätze (Amicus Curiae-Brief) flankiert. Auch der Bundesverband der Deutschen Industrie (BDI) hat gemeinsam mit dem Deutschen Industrie- und Handelskammertag (DIHK), dem französischen Wirtschaftsverband Mouvement des Entreprises de France (MEDEF) und dem polnischen Wirtschaftsverband Konfederacja Lewiatan (Lewiatan) eine Stellungnahme beim U.S. Supreme Court eingereicht.

Eine direkte Freigabe von personenbezogenen Daten stünde insbesondere in Kollision mit Art. 48, 49 DS-GVO. So sieht Art. 48 DS-GVO Folgendes vor: "Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind" (s. hierzu auch Erwägungsgrund 115 DS-GVO). In diesem Zusammenhang hat auch die Art. 29-Datenschutzgruppe bekräftigt, dass der Zugriff ausländischer Stellen auf Daten in Europa nur unter Einbeziehung der inländischen staatlichen Stellen erfolgen darf, d.h. die Anfragen dürfen nicht direkt an die europäischen Unternehmen selbst gestellt werden (vgl. Stellungnahme 14/EN WP 227).

Außerdem ist das Ersuchen des US-Justizministeriums möglicherweise zu kurz gedacht. Eine Entscheidung zu Gunsten der US-Behörden wird Microsoft in ein unauflösbares rechtliches Dilemma führen: Entweder das Unternehmen folgt dem US-amerikanischen Durchsuchungsbeschluss und verletzt damit das irische und europäische Recht, oder umgekehrt. Auch europäische Unternehmen mit einer Verbindung zu den USA befänden sich ggf. in einem Dilemma zwischen zwei konträren Rechtsbefehlen. Langfristig könnten sich US-amerikanische Unternehmen wohl nur noch durch eine Abspaltung von Unternehmensteilen helfen, die in der EU Dienste anbieten. Auch europäische Unternehmen müssten wohl auf Grund des dargestellten Dilemmas ihre Zusammenarbeit mit US-Unternehmen kritisch überprüfen. Dies könnte langfristig zu einer Fragmentierung und Begrenzung der Datenspeicherung und des Datentransfers führen, sodass der Zugang zu Daten bzw. Informationen sowohl für Unternehmen als auch für Strafverfolgungsbehörden erschwert würde. Damit würden faktisch die Bemühungen der amerikanischen Strafverfolgungsbehörden unterminiert. Darüber hinaus bestünde die nicht unerhebliche Gefahr, dass andere nationale Strafverfolgungsbehörden ebenfalls den Zugang auf in anderen Staaten gespeicherte Daten fordern.

Die Beachtung und Achtung des EU-Datenschutzrechts führt unterdes nicht dazu, dass ein Anspruch der US-Behörden auf einen Datenzugriff generell ausgeschlossen ist. Es besteht weiterhin die legale und durch einen völkerrechtlichen Vertrag sorgsam ausgehandelte und die Interessen beider Parteien berücksichtigende Möglichkeit der MLATs. Die von der US-Regierung vertretene Position schwächt solche internationalen Abkommen. Ein Argument der US-Regierung lautet, dass das MLAT-Verfahren für die Strafverfolgung zu langsam und umständlich sei. Ein wenig überzeugendes Rechtsargument, aber vielleicht ein Aufruf, die Rechtshilfeabkommen, z.B. mit Regelungen zum Cloud Computing, zu modernisieren und im besten Sinne zu "digitalisieren". Außerdem ist es geboten, dass die USA selbst Rechtsklarheit im eigenen Land schaffen, indem etwa der Stored Communications Act novelliert wird.

Eine konstruktive Entwicklung lässt sich außerdem konstatieren: Neben einer übergreifenden europäischen Solidarität für den (wirtschaftsfreundlichen) Datenschutz haben US-Senatoren Anfang Februar 2018 einen in parteiübergreifender Zusammenarbeit entwickelten CLOUD Act vorgestellt. Ein ähnlicher Gesetzentwurf, der gleichzeitig in das US-Repräsentantenhaus eingebracht wurde, würde es den USA ermöglichen, Abkommen mit klaren Standards für den Zugang zu grenzüberschreitenden Datentransfers bei Strafermittlungen abzuschließen. Zudem würde der Stored Communications Act novelliert werden: US-Strafverfolgungsbehörden könnten durch eine Durchsuchungsanordnung zwar Zugriff auf Daten außerhalb der USA erhalten, allerdings wäre diese extraterritoriale Anwendung explizit gesetzlich eingeschränkt. Der verpflichtete Diensteanbieter hätte nämlich das Recht, den Durchsuchungsbefehl anzufechten. Das US-Justizministerium sowie die großen US-Technologieunternehmen und -verbände unterstützen den Gesetzentwurf. Damit würde quasi ein amerikanisches Gegenstück zu einer geplanten europäischen E-Rechtshilfe geschaffen.

Ein Urteil des U.S. Supreme Court wird Ende Juni 2018 erwartet. Aktuell ist unklar, zu welcher Rechtsauffassung die Richter in der Mehrheit tendieren. Einige Teilnehmer der Anhörung vom 27.2.2018 meinen beobachtet zu haben, dass die Richter einigermaßen ausgeglichen auf die Argumente beider Parteien reagierten und beiden Seiten gleich viele kritische Fragen stellten. Insofern sei noch keine Mehrheit der Stimmen zu Gunsten der US-Regierung vorhanden. Andererseits schätzten mehrere US-amerikanische Medien, wie die Los Angeles Times, NBC News und National Public Radio, die Anhörung so ein, dass die Mehrheit der Richter eher skeptisch auf die Argumente von Microsoft reagierte. Sollte sich der Kongress bis zum Sommer nicht für eine gesetzgeberische Maßnahme entscheiden, wird sich das Gericht möglicherweise nicht zu einer Mehrheit durchringen (4-4 split), sodass die Entscheidung durch das Instanzgericht weiterbestünde, aber auch kein Präzedenzfall geschaffen würde.

Im Ergebnis wäre es jedenfalls ein herber Rückschlag für die europäische Datensouveränität und die Integrität des europäischen Datenschutzes, wenn Microsoft US-Behörden Zugang zu in Europa gespeicherten Daten gewähren muss. Eine dadurch geschaffene rechtliche Unsicherheit für Millionen von Unternehmen wäre schädlich für den transatlantischen Datentransfer und damit letztlich für die wirtschaftliche Zusammenarbeit mit den USA als wichtigster Exportmarkt für Deutschland und einer unserer wichtigsten Handelspartner. Auch das Vertrauen der Nutzer von Cloud-Lösungen und anderen IT-Dienstleistungen wäre empfindlich gestört und hätte für die Unternehmen erhebliche negative Konsequenzen.

In einer globalen und interdependenten Wirtschaft benötigen Unternehmen und Betroffene Rechtssicherheit, vor allem in Bezug auf Daten als Kernstück der Digitalwirtschaft und der digitalen Transformation der Wirtschaft im 21. Jahrhundert. Es muss also klar sein, wie Daten gespeichert und weitergegeben werden. Dazu gehört auch die Frage, welche staatlichen Institutionen auf welcher Grundlage in welchen Fällen Zugriff auf Daten im In- und Ausland erhalten.


Ist die Ruhe nach dem Sturm nur die Ruhe vor dem Sturm?

RA Dr. Jyn Schultze-Melling

 ist Executive Director Law bei Ernst & Young Law GmbH in Berlin.

  

  

 

ZD 2018, 101   Noch tickt die Uhr gnadenlos und Unternehmen in der ganzen Welt blicken mit steigender Nervosität auf den Kalender und auf die darin rot umrandete 25 im Monat Mai. Sie arbeiten fieberhaft daran, auf den letzten Metern ihre Datenschutzprogramme in eine halbwegs vorzeigbare Form zu bringen, um die Anforderungen der DS-GVO rechtzeitig umzusetzen.

 

Dabei zeigt sich unvermeidbar und oftmals ziemlich eindringlich, wie komplex die Datenhaltung in heutigen Unternehmen mittlerweile ist. Vertraute Grundkonstrukte des traditionellen Datenschutzes, wie etwa die Gestaltung der Beziehung zwischen Auftraggeber und Auftragsverarbeiter durch einen Auftragsdatenverarbeitungsvertrag, stoßen an ihre Grenzen, wenn verschiedene Verarbeiter nicht sequenziell in die Datenverarbeitung eingebunden sind, sondern gleichzeitig mit den Daten arbeiten.

 

Die hergebrachte Verarbeitungskette wird aber in modernen Unternehmen immer mehr von komplexen Verarbeitungsnetzwerken abgelöst, und hier mit Verträgen Rechtssicherheit zu schaffen, stellt Datenschützer im Moment vor schier unlösbare Aufgaben. Die ebenfalls seit Jahrzehnten hartnäckig verteidigte Konstruktion der Zweckbestimmung funktioniert ihrerseits am besten in Verarbeitungsszenarien mit niedriger Komplexität. Wenn aber Daten aus ökonomischer Vernunft (und nicht zuletzt auch aus Sicherheitsbedenken) in zentralen Data Warehouses vorgehalten werden, auf die dann eine unüberblickbare Vielzahl von großen und kleinen Prozessen aus allen Bereichen eines Konzerns zugreifen, sprengt das schnell die Grenzen dessen, was sich in Datenflussdiagrammen darlegen lässt.

 

Diese Komplexität der Dinge zeigte sich bei vielen Unternehmen erst i.R.d. durch die DS-GVO notwendig gewordenen Erstellung eines hinreichend detaillierten und damit rechtskonformen Verarbeitungsverzeichnisses nach Art. 30 DS-GVO.

 

Diese Anstrengungen werden, so wird prognostiziert, zu einer Ruhe nach dem Sturm führen - einer Phase, in der sich die geschundenen Unternehmen wieder vermehrt anderen Themen zuwenden werden und in der sich die Unternehmensdatenschützer davor fürchten, sich mit unfertigen Projekten und halbgaren Lösungen plötzlich alleine gelassen zu sehen. Hinzu kommt, dass sich viele in den letzten Monaten trotz des allgegenwärtigen hohen Stressniveaus bereits mit einer gewissen DS-GVO-Müdigkeit auf höherer Entscheidungsebene konfrontiert gesehen haben. Und obwohl sie von ihren Unternehmen oftmals zusätzliche Ressourcen genehmigt bekamen, und die Projekte intern mit großem Aufwand und mit Nachdruck vorangetrieben wurden, werden manche den Eindruck nicht los, dass sie es versäumt haben, ihren Geschäftsführungen den langwierigen und notwendigerweise nachhaltigen Grundcharakter des neuen europäischen Datenschutzes zu vermitteln.

 

Ihre Ermahnungen, dass dieses Thema nicht wie ein schlechter Traum am Morgen des 26. Mai vorbei sein wird, scheinen zu verhallen. Ihre Anstrengungen, die Datenhaltung ihrer Unternehmen strategisch anzugehen und nicht nur auf die leicht erreichbaren Ziele zu schielen, erscheinen angesichts der kurzfristig zu meisternden Herausforderungen geradezu utopisch. Und der Spagat zwischen der in Europa gesetzlich geforderten und sachlich durchaus nachvollziehbaren Datenvermeidung einerseits und der dank der Globalisierung unternehmerisch absolut notwendigen innovativen Erarbeitung neuer datenbasierter Geschäftsmodelle andererseits erfordert Mut, Visionsfähigkeit und Leidensbereitschaft - allesamt Tugenden, mit denen in heutigen Zeiten nicht gerade viele Entscheidungsträger in Unternehmen auftreten und die zugegebenermaßen auch eher selten den kurzfristigen Erfolgsprognosen dienen, an denen diese Entscheidungsträger immer mehr gemessen werden.

 

Es ist also absehbar: Der nächste Sturm wird kommen, und er wird sich eher schneller als erwartet in den Gerichtssälen austoben. Barbara Thiel wies in ihrem Jahresanfangseditorial nachdrücklich darauf hin, dass eine Vereinfachung der Rechtsanwendung durch die DS-GVO nicht zu erwarten sei und dass es eine der Aufgaben der Aufsichtsbehörden sein wird, das neue europäische Recht auf nationaler Ebene anzuwenden und durchzusetzen. Und sie geht völlig zu Recht davon aus, dass eine Vielzahl der ungeklärten Rechtsfragen die nationalen Gerichte und den EuGH beschäftigen werden.

 

Dafür werden schon alleine die ersten größeren, medial wirksameren Bußgeldverfahren sorgen. Immerhin könnten diese i.E. dazu beitragen, den gegenwärtigen Aktionismus nochmals aufflammen zu lassen - aber mit etwas Abstand betrachtet würde auch dieser Effekt eher einem Strohfeuer gleichen und die Anstrengungen nach einem aufrichtigen, tiefgründigen Umdenken beim Umgang mit Daten wiederum erschweren.In dieser Situation scheint die einzig sinnvolle Handlungsoption zu sein, die operative Handhabung einer rechtskonformen Datenverarbeitung drastisch zu vereinfachen. So drastisch, dass diejenigen, die sich heute mit komplexen Datenflüssen herumschlagen müssen, parallel dazu und quasi in Echtzeit Datenschutz-Folgeabschätzungen für Projekte durchführen, die hochagil entwickelt werden und sich dementsprechend fortwährend verändern, und die dann noch versuchen herauszufinden, wie man das typischerweise dichte Netzwerk von externen Datenverarbeitern eines modernen Unternehmens halbwegs effektiv und effizient steuern kann, morgen wieder Zeit finden, sich Gedanken über Daten- und Informationsethik zu machen und strategische Visionen entwickeln und den nötigen Wandel vorantreiben können. Doch wie kann das aussehen?

 

Es gibt eine ganze Reihe von neuen Technologien, die hierzu erste Ansätze bieten könnten. Datenschützer neigen traditionellerweise dazu, neue Entwicklungen wie Künstliche Intelligenz, Internet of Things oder die Blockchain kritisch zu sehen. Sie versprechen vieles, was aus ihrer Sichtweise nicht erstrebenswert scheint - eine unkontrollierbare, selbstständige und vor allem ständige Verarbeitung und sogar Generierung von Daten. Aber dieser Blick ist zu einseitig. Wir sollten uns mehr Gedanken darüber machen, wie man zum Beispiel Künstliche Intelligenz im operativen Datenschutz zum Einsatz bringen könnte, um Schwachstellen zu bekämpfen und gleichzeitig die wenigen menschlichen Ressourcen zu schonen.

 

Zugegeben, einige dieser Schwachstellen lassen sich nicht durch Technologie lösen: Fehlendes Verantwortungsgefühl derjenigen, die die Verarbeitung von personenbezogenen Daten verantworten oder diese jeden Tag durchführen, lässt sich nur durch die Einführung von Information Ownership als Strukturprinzip beseitigen, und das erfordert wiederum ein durchaus aufwändiges Change Management-Programm und damit eine gehörige Portion Zeit. Genau die hatte aber in den letzten Monaten bestimmt keiner im Überfluss.

 

Mangelnde Transparenz bei der Datenhaltung und der unternehmensübergreifenden Verarbeitung von Informationen ist aber ein Thema, bei dem Technologie hilfreich sein kann. Neben einer Reihe von anderen Anbietern bietet die US-amerikanische Fa. Prifender (deren Chief Data Solutions Officer Sagi Leizerov war vor seinem Wechsel dorthin bis 2017 Global Privacy Leader bei EY) eine Lösung an, die eine vergleichsweise hohe Automatisierung anbietet und dabei auch technologisch neue Wege geht. Insbesondere bei der Sichtung unstrukturierter Daten - einem der problematischsten Themenfelder im Zusammenhang mit der Implementierung der DS-GVO - und bei der Verknüpfung von identifizierten Daten mit Benutzeridentitäten wird nach Unternehmensangaben Künstliche Intelligenz zum Einsatz gebracht.

 

Eine aktuelle Dateninventur per Knopfdruck, eine automatische Anwendung von einschlägigen Regularien auf Datenverarbeitungsprozesse oder eine vollautomatisierte Erkennung und ggf. Eskalation von grenzüberschreitenden Datenübermittlungen wären bereits wichtige Funktionalitäten, die vielen Datenschützern das Leben erheblich vereinfachen könnten.

Es sollte dennoch klar sein, dass es sich hierbei um erste Schritte handelt. Es wird noch eine Menge Nachdenken erfordern, um im operativen Datenschutzalltag diese und andere Technologien vermehrt zum Einsatz zu bringen. Aber auf der anderen Seite erfordert es eigentlich nicht überragenden Aufwand, z.B. Datenströme in Unternehmen nachzuvollziehen und etwa bei Grenzüberschreitungen automatische Prozesse ablaufen zu lassen. Hierbei könnten Blockchain-basierte Technologien und darauf aufgebaute Smart Contracts helfen.

 

Ein Gedankenspiel: Wenn beispielsweise standardmäßig die Metainformationen aus den Transportprotokollen zu sämtlichen Datentransfers in einem Unternehmensnetzwerk in ein dank Blockchain-Technologie manipulationssicheres Logbuch notiert würden, könnten damit nicht nur Datensicherheitsvorfälle besser zurückverfolgt werden. Auch die Einhaltung entsprechender Zugriffsberechtigungen könnte durch so ein zentrales Ledger leichter durchgesetzt werden. Schließlich könnten Gateways so aufgesetzt werden, dass sie Datentransfers proaktiv stoppen, bei denen vorher im Logbuch nicht hinterlegt wurde, dass diese das Unternehmensnetzwerk verlassen dürfen. In diesen Fällen könnten dann Smart Contracts zum Einsatz kommen.

 

Entgegen der anhand des Namens schnell assoziierten Vermutung sind diese zwar nur gerade so smart wie diejenigen, die sie programmieren. Aber zumindest in der Theorie scheint es mit Hilfe dieser Technologie möglich zu sein, extrem flexible und geografisch unbeschränkte Datennetzwerke zu errichten, bei denen neue Datenempfänger jederzeit vollautomatisch hinzugefügt oder - etwa bei Problemen - blitzschnell entfernt werden können. Selbst hochgradig komplexe Auftragsverarbeitungsvereinbarungen könnten - solange die relevanten Parameter eindeutig identifizierbar und messbar sind - zwischen der verantwortlichen Stelle und allen an der Datenverarbeitung beteiligten Auftragsverarbeitern ohne langwierige bürokratische Prozesse und vielleicht sogar ganz ohne menschliches Zutun abgeschlossen werden.

 

Zugegeben, in der heutigen Realität scheinen wir von dieser Situation noch weit entfernt zu sein, und der Blick hinter die unternehmerischen Kulissen lässt selbst hartgesottene Profis oft genug erschauern. Und die Situation ist im Zusammenhang mit der Datenverarbeitung der öffentlichen Hand eher noch desillusionierender. Aber zumindest ein Teil der Probleme wurde durch das rasante Wachstum der Technologie verursacht - man sollte meinen, dass sie hoffentlich ebenso rasant zur Lösung der durch sie verursachten Probleme beitragen können sollte. Voraussetzung dafür wäre, dass sich technologieaffine Unternehmensdatenschützer, aufgeschlossene Aufsichtsbehörden, versierte Informationssicherheitsexperten und innovative Technologieentwickler an einen Tisch setzen und beginnen zu versuchen, mit der Technologie von morgen die Probleme von heute zu lösen.