Thomas Kranig

Deutsch-amerikanischer Datenschutztag


Deutsch-amerikanischer Datenschutztag. Tagungsbericht zur Veranstaltung am 10.5.2012 in München

 

ZD-Aktuell 2012, 02910      Die Vereinigung der bayerischen Wirtschaft e.V. (vbw) hat auf Anregung und in Kooperation mit dem US-Generalkonsulat München, dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) und dem Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) am 10.5.2012 einen deutsch-amerikanischen Datenschutztag in München ausgerichtet. Ziel dieses Datenschutztags war es, die rechtskulturellen Unterschiede des Datenschutzverständnisses zwischen den USA und Deutschland bzw. Europa im öffentlichen und im nicht-öffentlichen Bereich und die daraus resultierenden Folgen zu diskutieren.

 

Nach den Begrüßungen gliederte sich die Veranstaltung in die Bereiche „Datenschutz im privatrechtlichen Bereich“ und „Datenschutz im Zusammenspiel von staatlichen Stellen und Privatwirtschaft“, die jeweils von Rednern aus deutscher und amerikanischer Sicht eingeleitet und in einer Podiumsdiskussion fortgeführt wurden. Abgeschlossen wurde der deutsch-amerikanische Datenschutztag mit einem Empfang des amerikanischen Generalkonsulats im Amerika-Haus in München.

 

I. Begrüßungen

In der Begrüßung der ca. 150 Teilnehmer wies der Geschäftsführer der vbw, Dr. Frank Rahmstorf, der den wegen Tarifverhandlungen in der Metallindustrie verhinderten Hauptgeschäftsführer Bertram Brossardt vertrat, darauf hin, dass der Datenschutz durch die Globalisierung und wirtschaftliche Vernetzung und den damit verbundenen internationalen Datentransfer und Datenaustausch für die Unternehmen eine wachsende Bedeutung erfahre. Technisch sei vieles machbar. Rechtlich sei der Gesetzgeber aufgefordert, die entsprechenden Rahmenbedingungen zu setzen. Hinter den juristischen Abgrenzungsfragen und Diskussionen stehe oftmals – im Datenschutz stärker als in anderen Rechtsgebieten – ein unterschiedliches Verständnis der Rechtsfelder. Dies sei auf nationaler Ebene so, wie sich bei der aktuellen Debatte um den Arbeitnehmerdatenschutz zeige. Es sei jedoch auch auf EU-Ebene so, wie sich aus der Diskussion um die kürzlich vorgestellte Verordnung ergebe, durch die die Wirtschaft unmittelbar betroffen sein werde. Und erst recht sei es auf internationaler Ebene so, wo unterschiedliche Kulturen und ein anderes Verständnis von Datenschutz aufeinanderträfen. Man habe das Gespräch gerade mit Vertretern der USA gesucht, weil Deutschland und die USA Eckpfeiler in der globalen Ökonomie seien. Es gebe intensive wirtschaftliche Beziehungen zwischen Deutschland und den USA bzw. zwischen Bayern und den USA. Als Vereinigung der bayerischen Wirtschaft e.V. wünsche man sehr, dass sich diese positive Entwicklung weiter fortsetze. Man könne im Dialog Themen und Herausforderungen identifizieren, denen man sich widmen müsse, um zu einer stärkeren Harmonisierung im Datenschutz zu gelangen. Dazu diene die Veranstaltung. 

Anschließend begrüßte der Generalkonsul der Vereinigten Staaten von Amerika in München, Conrad R. Tribble, die Teilnehmer und meinte, dass das Internet und Social Media die Welt verändert hätten. Das Internet sei, um es mit den Worten der Außenministerin Clinton zu sagen, „der öffentliche Raum des 21. Jahrhunderts, der Rathausplatz, das Klassenzimmer, der Marktplatz, das Café und der Nachtklub“ in einem. Das Internet könne ohne Zweifel ein wichtiger Beschleuniger für den politischen, sozialen und wirtschaftlichen Wandel sein. Es sei aber auch eine große politische Herausforderung der Zeit, den neuen Formen illegalen Handels im Internet entgegenzutreten, ohne dabei die Offenheit des Internet zu gefährden und die Privatsphäre des Einzelnen aufs Spiel zu setzen. Der Schutz der Bürger und der Datenschutz seien keine sich gegenseitig ausschließenden Ziele. Der Schutz der Privatsphäre sei ein Grundpfeiler der amerikanischen Gesellschaft und lasse sich bis zu den ersten Siedlern und der Mentalität der ersten Pioniere zurückverfolgen. Der Schutz der Privatsphäre sei somit in den Vereinigten Staaten so alt wie das Land selbst und seine Verfassung. Er sei aber auch so jung wie das neue Jahrtausend. Trotz aller guten Nachrichten müsse auch bei der kommerziellen Nutzung der neuen Technologien auf einen fairen Umgang miteinander, d.h. zwischen den Firmen und den Konsumenten, geachtet werden. Diese Veranstaltung biete die Chance für einen kenntnisreichen Austausch über diese Themen.

 

Der Bayerische Staatsminister des Innern, Joachim Herrmann, wies darauf hin, dass er das Ziel, den Terrorismus wirksam zu bekämpfen, uneingeschränkt unterstütze. Eingriffe in Freiheitsrechte Unbeteiligter – etwa europäischer Bankkunden – seien zur wirksamen Terrorismusbekämpfung manchmal unvermeidbar. Dieser Grundkonflikt zwischen innerer Sicherheit und individueller Freiheit müsse sorgfältig ausbalanciert werden und bedürfe eines wirksamen rechtsstaatlichen Kontrollverfahrens. Dabei sei es manchmal schwierig, der amerikanischen Seite zu vermitteln, dass nach europäischem Datenschutzverständnis der Datenschutz schon beim ersten Schritt, dem Abrufen und Speichern von Daten, gelte. Diesseits und jenseits des Atlantiks bestehe beim Datenschutz Reform- und Handlungsbedarf. Stichworte wie Cyberkriminalität, Vorratsdatenspeicherspeicherung und Netzsperren seien wie der Umgang mit Cookies, Profilbildung und Gesichtserkennung bis hin zur Intransparenz von Geschäftsbedingungen Dauerthemen in der Diskussion über Datenschutz. Festzustellen sei eine gemeinsame Auffassung in den USA und in Europa, die in der „Bill of Rights“ für das Internet von Präsident Obama und dem Datenschutz-Reformpaket der Europäischen Kommission zum Ausdruck komme, dass auch in der Onlinegesellschaft der Staat Garant für Freiheit und Ordnung bleibe. Dies gelte unabhängig davon, dass die von der Europäischen Kommission vorgelegte DS-GVO in zahlreichen Punkten kritikwürdig sei. Sie bleibe hinter dem Ziel einer umfassenden Modernisierung des Datenschutzrechts zurück und verschärfe schon bestehende Wertungswidersprüche, indem sie die Geschäftsmodelle globaler Internetdienste genauso wie die Datenverarbeitung in Handwerksbetrieben, in der öffentlichen Verwaltung sowie den Internetauftritt eines Vereins oder die Diskussion in einem privaten Internetblog gleich behandle. Auf Vorschlag Bayerns werbe der Bundesrat dafür, die Chance zeitgleicher Reformdebatten in Europa und den USA zu einer Annäherung praktischer Datenschutzstandards zu nutzen.

 

 

II. Teil 1: Datenschutz im privatrechtlichen Bereich 

Der Präsident des Bayerischen Landesamts für Datenschutzaufsicht, Thomas Kranig, stellte die Rechtsgrundlagen und Vollzugsfragen aus deutscher Sicht dar, indem er zunächst darauf hinwies, dass der Datenschutz sowohl in Deutschland als auch in Europa ein Grundrecht sei und dass, untermauert durch den vorliegenden Entwurf der EU-DS-GVO, im Datenschutz das Prinzip gelte, dass jegliche Erhebung, Verarbeitung und Nutzung personenbezogener Daten verboten sei, es sei denn ein Gesetz erlaube es oder der Betroffene stimme zu. Anschließend stellte er dar, welche Rechtsgrundlagen er für die USA als gegeben ansehe und wies insoweit darauf hin, dass er nicht meine, dies besser als die amerikanischen Kollegen zu können, sondern glaube, dass es auch für die amerikanischen Kollegen wichtig sein könne, zu wissen, wie sie und die Situation in ihrem Heimatland aus anderer Perspektive wahrgenommen werden. Dabei wies er insbesondere darauf hin, dass es nach seinem Verständnis abgesehen von Regelungen für Kinder und finanzielle Angelegenheiten keine konkreten gesetzlichen Regelungen gebe, die einen „Datenschutzschirm“ über alle Bürger des Landes, sondern nur über Verbraucher spanne. Anders als in Deutschland setze man in den USA ganz wesentlich auf das Prinzip der Selbstregulierung, deren Einhaltung dann die Federal Trade Commission (FTC) nach den Maßstäben der Irreführung und der Unfairness überwache. Pauschal sei festzuhalten, dass nach deutschem Datenschutzrecht alles verboten sei, soweit es nicht durch Gesetz oder Einwilligung des Betroffenen erlaubt sei, während in den USA alles erlaubt sei, soweit es nicht verboten sei. Thomas Kranig wies sodann auf die bestehenden starken wirtschaftlichen Verflechtungen zwischen Europa und den USA hin und stellte fest, dass es einige Brücken gebe, die in datenschutzrechtlicher Hinsicht zur Überwindung der Unterschiede begangen werden könnten, insbesondere mit dem Safe Harbour Abkommen, den EU-Standardvertragsklauseln, den verbindlichen Unternehmensregelungen (BCR) und nur mit Schwierigkeiten den sog. Pre-Trial-Discovery-Verfahren. Schwierigkeiten bereite im Vollzug insbesondere auch in dem wachsenden Geschäftsfeld des Cloud Computing der Patriot Act. Er habe den Wunsch und sehe auch die Möglichkeit, dass im Hinblick auf die intensiven Datenschutzdebatten in den USA und die Diskussionen in Europa um den geplanten neuen Datenschutzrechtsrahmen unter Beachtung des Schutzes der Persönlichkeitsrechte der Menschen diesseits und jenseits des Atlantiks praktikable Lösungsmöglichkeiten für die Wirtschaft gefunden werden können.

  

Julie Brill, eine der fünf Commissioners der U.S. Federal Trade Commission (FTC), meinte, dass der Vorteil der steigenden Nutzung von Laptops und Smartphones nicht ohne Risiken zu erreichen sei. In den Vereinigten Staaten gebe es deshalb eine starke Diskussion darüber, wie die Privatsphäre des Einzelnen und seiner personenbezogenen Informationen geschützt werden könne und gleichzeitig die Fortentwicklung der Industrie und deren Produkte und Dienstleistungen nicht behindert werde. Sie wies darauf hin, dass die FTC vor sechs Wochen einen Bericht veröffentlicht habe, in der „best-practise“-Beispiele und hilfreiche Verbraucherinformationen enthalten seien. Der Bericht beinhalte auch Vorschläge an den US-Kongress für eine grundlegende Datenschutzgesetzgebung. Ein Vorschlag beinhalte einen Appell an die Unternehmen, Datenschutzüberlegungen von Anfang an bei der Entwicklung neuer Produkte zu berücksichtigen und vorzusehen (privacy by design). Nach einem weiteren Vorschlag sollen den Verbrauchern klare und einfache Wahlmöglichkeiten gegeben werden, wie sie mit Angeboten umgehen können. In diesem Zusammenhang appelliere man an die Industrie, einen „Do-not-track-Mechanismus“ zu entwickeln und anzubieten. Drittens schlage die FTC mehr Transparenz der Unternehmen vor, die darlegen sollten, welche Daten sie erheben und zu welchen Zwecken sie diese nutzen. Eine große Bedeutung werde in Zukunft die Beobachtung der sozialen Netzwerke haben. Die FTC habe bei Google Buzz einen Verstoß festgestellt, der dazu geführt habe, dass die Fa. Google für die nächsten 20 Jahre alle zwei Jahre darlegen müsse, dass sie die datenschutzrechtlichen Vorgaben einhalte. Eine ähnliche Regelung habe die FTC auch im Zusammenhang mit Facebook und deren Konzept des Freundefindens getroffen. Schließlich sei gerade gegen den Betreiber des sozialen Netzwerks Myspace ebenfalls ein Verfahren eingeleitet worden, das auch zu einer zwanzigjährigen Überprüfung führen könne. Brill wies auf die große Bedeutung der grenzüberschreitenden Datenschutzfragen hin, die nicht nur zwischen Europa und den USA, sondern auch unter Einbeziehung des APEC–Raums gelöst werden müssten. Bei den derzeit laufenden Diskussionen um die Überarbeitung der Datenschutzregelungen müsse dem internationalen Datenaustausch eine besondere Beachtung zukommen.

 

In der anschließenden Podiumsdiskussion, die von Regierungsvizepräsident Dr. Eugen Ehmann moderiert wurde, bedauerte Florian Thoma, Datenschutzbeauftragter der Siemens AG München, dass die Europäische Kommission mit dem vorgelegten Entwurf der DS-GVO die Chance verpasst habe, unter Verabschiedung des Prinzips des Verbots mit Erlaubnisvorbehalt ein wirklich neues Datenschutzrecht zu schaffen, durch das das Persönlichkeitsrecht der Bürger nachhaltig geschützt werde. 

Prof. Dr. Jochen Schneider, Rechtsanwalt in der Kanzlei SSW in München, pflichtete Florian Thoma bei und ergänzte, dass das Verbot mit Erlaubnisvorbehalt in Teilbereichen des Wirtschaftslebens nicht sachgerecht sei, wie z.B. bei der werblichen Verwendung der Daten. Bei sensiblen Daten wie im Gesundheitsbereich sei dies anders.

 

Collin Croome, Managing Director der COMA2 E-Branding München, vertrat die Auffassung, dass das strenge deutsche Datenschutzrecht für große Teile der Internetdienste, insbesondere der sozialen Netzwerke, nicht passe. Sein Beratungsunternehmen gestalte für viele Firmen den Internetauftritt und müsse weltweit verschiedene rechtliche Anforderungen berücksichtigen.

 

Robert Wilson, Partner der Rechtsanwaltskanzlei Fulbright & Jaworski LLP München, berichtete aus seiner Beratungspraxis, dass es international tätige Unternehmen mit den verschiedenen Ausgestaltungen des Datenschutzrechts im EU-Raum oft nicht leicht hätten. Nicht immer sei klar, welche Verträge zur Berücksichtigung der Datenschutzanforderungen zu schließen seien.

 

Julie Brill meinte, dass die Sanktionsmöglichkeiten der FTC durchaus wirkungsvoll seien, da bei Verstößen gegen Anordnungen erhebliche Geldbußen festgesetzt werden könnten und mit der Möglichkeit, Unternehmen bis zu 20 Jahre einer Kontrolle zu unterstellen, viel für den Datenschutz getan werde. Andererseits sei es richtig, dass es in den USA viele verschiedene unterschiedliche Regelungen sowohl auf Ebene des Bundes als auch der Einzelstaaten gebe, die nicht leicht zu erfassen und auch nicht immer kompatibel seien. Sie finde es andererseits aber sehr erfreulich, dass in den USA einen Wandel der Art festzustellen sei, dass die Gewährleistung des sorgsamen Umgangs mit personenbezogenen Daten sich zu einem Wettbewerbsfaktor in der Wirtschaft entwickle und damit an Bedeutung gewinne. 

Thomas Kranig sagte, dass er davon überzeugt sei, dass lange nicht alle Datenschutzpannen, die meldepflichtig seien, in der BRD den Aufsichtsbehörden gemeldet würden. Ebenso gehe er davon aus, dass die Datenschutzverstöße, die mit einem Bußgeld geahndet würden, nur die Spitze eines Eisbergs darstellten. Erkennbar sei aber, dass die Datenschutzaufsichtsbehörden zum Teil schon jetzt und sicherlich dann, wenn die Umstrukturierung nach der Zusammenlegung des öffentlichen und nicht-öffentlichen Bereichs in vielen Bundesländern abgeschlossen sei, ihre Kontrolltätigkeit deutlich intensivieren dürften.

  

III. Teil 2: Datenschutz im Zusammenspiel von staatlichen Stellen und Privatwirtschaft

 

Zum Thema „Datenschutz und nationale Sicherheit aus der Perspektive der USA“ sagte Stewart Robinson, der als Senior Counsel im US Department of Justice bei der U.S. Mission in the European Union in Brüssel arbeitet, dass das US-Recht sehr strenge Maßstäbe an die Herausgabe von personenbezogenen Daten an Strafverfolgung bzw. Sicherheitsbehörden vorsehe. Als Beispiel nannte er die Verkehrs- bzw. Verbindungsdaten der Telekommunikation. Hier sei ein richterlicher Vorbehalt vorgesehen. Insgesamt zeige die Statistik, dass in absoluten Zahlen nur sehr beschränkt Zugriff auf solche Daten genommen werde. Was die extraterritorialen Auswirkungen des US-Rechts angehe, sei dies keine Besonderheit des US-Rechts. Vielmehr hätten nach der Cyber-Crime-Convention des Europarats europäische Strafverfolgungsbehörden grundsätzlich vergleichbare Befugnisse im Bereich der Computerkriminalität. Insoweit bestehe ein gemeinsamer Rechtsrahmen von Europa und den USA. Grundsätzlich stellten die US-Behörden Rechtshilfeersuchen. Mit Blick auf den US-Patriot Act betonte Stewart Robinson, dass dieser Act keineswegs einen Blanko-Zugriff auf Daten ermögliche. Vielmehr baue der Patriot Act auf bereits bestehende Gesetze auf und knüpfe damit Datenzugriffe ebenfalls an hohe Hürden. So sei ein richterlicher Beschluss erforderlich. Die Daten müssen relevant für ein Verfahren sein, das die nationale Sicherheit betreffe. Damit sei der Zugriff stark eingeschränkt. Was die sog. National-Security-Letters betreffe, könne insoweit nicht die Übermittlung von Inhaltsdaten verlangt werden, sondern ebenso lediglich die Verkehrs- bzw. Verbindungsdaten.

 

Die Einführung aus deutscher Sicht in diesem Teil der Veranstaltung leistete Dagmar Hartge, die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg und derzeitige Vorsitzende der Konferenz der Datenschutzbeauftragten des Bundes und der Länder unter dem Thema „Deutsche und europäische Haltung zum behördlichen Datenschutz“. Sie wies auf die Entwicklung des Datenschutzrechts in der BRD hin, die durch das erste Datenschutzgesetz in Hessen seinen Anfang und durch die Entscheidung des BVerfG zur Volkszählung eine große qualitative Entwicklung erfahren habe, indem Datenschutz als Grundrecht festgeschrieben worden sei. Trotz wiederholter Diskussionen gebe es im GG der BRD den Datenschutz nicht als ausdrücklich geregeltes Grundrecht, anders als in zahlreichen Landesverfassungen. Die EU habe durch die Charta der Grundrechte das Datenschutzrecht als Grundrecht bestimmt. Es zeige sich, dass durch den vorgelegten Entwurf für einen Datenschutzrechtsrahmen in Europa erkennbar werde, dass die Europäische Union in immer mehr Bereichen gemeinsam handle. Im Zusammenspiel zwischen Europa und den USA träfen zwei Kontinente mit zwei unterschiedlichen Rechtssystemen und unterschiedlichen Kulturen aufeinander. Im Bereich der inneren Sicherheit werde dies bei den Fragen des internationalen Datenaustauschs immer wieder sichtbar. Wir lebten in einer globalisierten Welt, die Regeln brauche, die zusammenpassen. Dafür brauche es beiderseitiges Verständnis und Annäherung. Beides seien Prozesse, die Zeit benötigten. Hartge meinte, sie sei optimistisch, dass die Gemeinsamkeiten am Ende überwiegen würden.

  

In der wiederum von Dr. Eugen Ehmann geleiteten Podiumsdiskussion meinte Werner Hermann, Datenschutzbeauftragter der UniCreditGroup AG München, dass einheitliche Datenschutzstandards in Deutschland und Europa für überregional tätige Unternehmen wichtig seien. Nach seiner Erfahrung bestehe bei US-Behörden häufig der Wunsch, erhebliche Mengen an Daten zu erhalten. Hier müssten europäische Unternehmen bisweilen die Herausgabe auf Grund entgegenstehenden europäischen Rechts verweigern. Mehr Klarheit durch den Gesetzgeber sei für die Unternehmen dringend geboten. 

Manfred Hauser, Leiter des Sachgebiets Recht der öffentlichen Sicherheit und Ordnung sowie Meldewesen im Bayerischen Staatsministerium des Innern, meinte, die Sicherheitsaspekte würden gegenüber Datenschutzgesichtspunkten häufig zu wenig gewichtet. Ein Großteil der Bürger halte aber im Zweifel Sicherheitsfragen für wichtiger als Datenschutzfragen.

 

Dr. Thomas Petri äußerte die Hoffnung, dass der neue EU-Rechtsrahmen zumindest in Bezug auf den grenzüberschreitenden Datenverkehr etwa auch für Herausgabeverlangen US-amerikanischer Behörden ein Mehr an Klarheit bringe. Kritisch äußerte er sich zum Thema Vorratsdatenspeicherung. Eine grundgesetzkonforme Umsetzung sei nach Ansicht des BVerfG theoretisch denkbar, jedoch sei völlig unklar, wo die Grenze der Verfassungskonformität liege. Wichtig sei zu fragen, welche Daten tatsächlich benötigt würden. Aus seiner Sicht sei dieser Aspekt bislang nicht gründlich geklärt.

Bei dem abschließenden Empfang des US-Generalkonsulats in München im Amerika-Haus klang der Tag in lockerer Runde mit Überlegungen zur eine Fortführung des Dialogs in einem weiteren deutsch-amerikanischen Datenschutztag, bei dem das Datenschutzniveau in Deutschland und den USA anhand konkreter Einzelfälle näher beleuchtet werden könnte, aus.

Thomas Kranig ist Präsident des Landesamts für Datenschutzaufsicht in Ansbach und Wissenschaftsbeirat der ZD.