Dennis-Kenji Kipker

Der Elefant im Raum: Aktuelle Diskussion um den Drittlandtransfer personenbezogener Daten


 

Dr. Dennis-Kenji Kipker

ist Geschäftsführer des Beratungsunternehmens Certavo GmbH und wissenschaftlicher Geschäftsführer des IGMR an der Universität Bremen.

 

 

 

ZD 2021, 397   Viele weitestgehend fruchtlose Diskussionen wurden in den letzten Jahren über verschiedenste netzpolitische Themen geführt: zum Umgang mit Cookies und der langatmigen Geschichte der ePrivacy-VO, zum Umgang des Staats mit der Datenverschlüsselung von Bürger*innen, zur Vorratsdatenspeicherung personenbezogener Daten, zum Thema „Hate Speech“ versus Meinungsfreiheit und angeblich datensparsamen Varianten wie der jüngst in der Innenministerkonferenz diskutierten „Login-Falle“ und last but not least zum Auslandsdatentransfer von personenbezogenen Daten.

Gerade das letztgenannte Thema macht wieder einmal mehr deutlich, dass es nie besonders gut sein kann und höchstwahrscheinlich auch gar nicht möglich ist, vornehmlich politische Konflikte durch das Recht wegregulieren zu wollen.

 

Doch wo genau soll man bei der mittlerweile langen Geschichte des Auslandstransfers personenbezogener Daten anfangen? Zumindest rechtlich gesehen ist es ja eigentlich ganz einfach: Eine Übermittlung personenbezogener Daten in Drittstaaten - also in solche Länder, die gerade nicht Mitglied der EU sind - muss auf Grund der damit verbundenen Risiken besonderen Anforderungen genügen. Diese besonderen Anforderungen können auf verschiedene Weise abgebildet werden - der Königsweg dürfte sicherlich noch der Angemessenheitsbeschluss der EU-Kommission sein, dass das Drittland ein angemessenes Datenschutzniveau i.S.d. Art. 45 DS-GVO bietet.

 

Gängiges Mittel für die allermeisten Unternehmen sind daneben aber auch die Standarddatenschutzklauseln bzw. Standardvertragsklauseln (Standard Contractual Clauses - SCC). Mit Blick auf beide Instrumente haben sich in den vergangenen Jahren mehr Probleme als je zuvor ergeben - und das letztlich nur aus einem gemeinsamen Grund: Außerhalb der eigenen Gesetzgebungshoheit liegende Sachverhalte werden an den Maßstäben des inländischen - oder für unseren Fall vielmehr des europäischen Rechts - gemessen.

 

Die damit zwangsläufig verbundene Folgefrage ist natürlich, warum ausgerechnet erst in den letzten Jahren politische Entscheidungen und darauf basierende rechtliche Würdigungen, die schon seit geraumer Zeit bestanden, obsolet sein sollen. Bislang hat sich die politische und rechtliche Debatte um den sicheren Auslandstransfer von personenbezogenen Daten nahezu ausschließlich für den Fall von Datenübermittlungen in die Vereinigten Staaten entzündet.

 

Das Safe-Harbor-Abkommen aus dem Jahr 2000 als Vorgängerregelung des EU-US-Privacy-Shield stand bei Datenschützern schon seit geraumer Zeit in der Kritik: Zunächst war es unmittelbar nach den Terroranschlägen vom 11. September 2001 der USA PATRIOT Act, der eine extensive sicherheitsbehördliche Überwachungspraxis nahelegte. Spätestens mit den Enthüllungen zum globalen NSA-Überwachungsprogramm PRISM im „Summer of Snowden“ 2013 wurde schließlich klar, dass das Safe-Harbor-Abkommen und die Unternehmen, die ihm beitraten, ein dem europäischen Recht vergleichbares Datenschutzniveau im Wesentlichen nur auf dem Papier boten.

 

Hinzu kamen die gemeinhin laxen Kontrollen der für die Überwachung des Abkommens zuständigen US-amerikanischen Behörde Federal Trade Commission (FTC). Dass Safe Harbor vom EuGH durch das Schrems-I-Urteil (ZD 2015, 549 m. Anm. Spies) 2015 schließlich für ungültig erklärt wurde, war daher nur eine logische, pragmatische und richtige Konsequenz. Andernfalls wäre der europäische Datenschutz für den Auslandsdatentransfer nicht mehr ernst zu nehmen gewesen.

 

Doch seinerzeit kam der Fall von Safe Harbor nicht völlig unvermittelt - denn eigentlich war allen Beteiligten und insbesondere der Politik, der Datenschutzaufsicht und den Daten übermittelnden Unternehmen schon seit Langem klar, dass es nur eine Frage der Zeit sein konnte, bis ernsthafte Zweifel an der Wirksamkeit des Abkommens geäußert würden.

 

Gleichwohl traf die Entscheidung des EuGH viele Akteure völlig unvermittelt, weil man eben sehenden Auges dennoch darauf vertraute, dass das Abkommen trotz seiner erheblichen Schwächen im Fortbestand gesichert sei: „too big to fail“ eben. Und obwohl auch die EU-Kommission spätestens seit den PRISM-Enthüllungen erhebliche Zweifel an Safe Harbor hatte, schien sie die Entscheidung des EuGH in Anbetracht ihrer Reaktion unvorbereitet zu treffen.

 

So war es dann einerseits überraschend, andererseits wiederum auch nicht, dass die Nachfolgeregelung EU-US-Privacy-Shield hastig und vor allem US-amerikanischen Interessen folgend mehr oder weniger „zusammengezimmert“ wurde. Überraschend deshalb, weil man nach der EuGH-Entscheidung eigentlich annehmen sollte, dass die EU ein sorgfältig ausgearbeitetes und abgestimmtes Maßnahmenpaket präsentiert, um ein solches Dilemma zumindest für das zweite Mal zu vermeiden. Nicht überraschend darum, weil für unzählige Unternehmen von einem Tag auf den anderen die rechtmäßige Übermittlungsgrundlage von personenbezogenen Daten in die USA weggefallen war und daher schnellstmöglich verlässliche Abhilfe geleistet werden musste.

 

Der politische und wirtschaftliche Druck, der auf der EU-Kommission in jenen Tagen lastete, war folglich enorm, und sichtbare Ergebnisse mussten schnellstmöglich her. Dies erklärt vielleicht auch, warum das Logo zum neuen Abkommen noch vor Fertigstellung der eigentlichen Absprache öffentlich vorgestellt wurde, denn jeder weitere Tag der rechtswidrigen Auslandsdatenübermittlung hätte einen Gesichtsverlust nicht nur der europäischen Politik, sondern auch des europäischen Gesetzgebers zur Folge gehabt. Daran wird letzten Endes aber deutlich, dass sich die EU mit dem ständigen Versuch, ihre eigenen strengen Datenschutzstandards auch auf den Rest der Welt beziehen zu wollen, nur selbst unter Druck setzt.

 

Und so überrascht es nicht weiter, dass auch das Privacy Shield schlussendlich diesen hoch gesteckten Erwartungen nicht genügen konnte, denn trotz allen guten Willens ist der US-amerikanische Datenschutzstandard nicht etwas, was der europäische Gesetzgeber, die Kommission, der EuGH oder gar die Unternehmen selbst in der Hand hätten.

 

Diese unausgesprochene Hilflosigkeit, in die man sich politisch und letztlich auch rechtlich mehr und mehr hineinmanövriert, verdeutlicht, dass eigentlich ein Umdenken für den transnationalen Datentransfer stattfinden müsste, denn alles andere schadet dem nach wie vor hohen europäischen Datenschutzniveau nur mehr, als es nützt. Wenn Unternehmen sehenden Auges rechtswidrig personenbezogene Daten in die USA übermitteln, weil sich die Datenverarbeitung juristisch nicht vernünftig legitimieren lässt, sie aber für den laufenden Geschäftsbetrieb zurzeit dennoch notwendig ist, und Datenschutzbehörden mangels Alternativlosigkeit monatelang im Wesentlichen hinnehmen, was geschieht, kann dies für die Ernsthaftigkeit und Glaubwürdigkeit des EU-Datenschutzes nicht gut sein.

 

Auch die im Juni 2021 neu vorgestellten SCC vermögen daran nichts zu ändern, denn auch sie leiden letztlich trotz aller ja grundsätzlich sinnvollen Umstrukturierungen, Anpassungen und Ergänzungen am selben Problem - nämlich dass die USA ein anderes Verständnis im Umgang mit personenbezogenen Daten haben, das sich durch einseitiges Bestreben auch nicht von einem Tag auf den anderen ändern lassen wird. Deutlich wird dies allein schon dadurch, dass die unterschiedlichen Akteure des EU-Datenschutzes die neuen Regelungen mit divergierenden Auffassungen aufgenommen haben, und mehrfach vorgeschlagen wurde, zusätzliche technisch-organisatorische Schutzmaßnahmen zu ergreifen.

 

Doch letztlich wird auch eine Transport- und Inhaltsverschlüsselung nicht verhindern können, dass auf in den USA gespeicherte personenbezogene Daten aus der EU Zugriff genommen wird, wenn der behördliche Wille besteht.

 

Die Erkenntnis müsste deshalb nun eigentlich sein, nicht um jeden Preis ein fiktives globales Datenschutzniveau erzielen zu wollen, das zwingend dem europäischen Standard entspricht. Wo wir doch von der viel zitierten „informationellen Selbstbestimmung“ sprechen, sollten wir sie vielmehr auch leben. Datenaskese ist heutzutage für Menschen, die am beruflichen und privaten Leben teilhaben wollen, nicht mehr ohne Weiteres möglich.

 

Jede Teilnahme am Wirtschaftsverkehr erfordert eine Risikoabwägung, die bereits seit Jahren und unabhängig vom Auslandsdatentransfer zum datenschutzrechtlichen Standard-Repertoire gehört. Und hier müssen wir eben auch akzeptieren, dass es einige Staaten gibt, die mit Blick auf den Schutz personenbezogener Daten niedrigere Anforderungen haben als andere.

 

Einseitig und verkehrt ist es auch, beim Auslandsdatentransfer allein den Blick auf die USA zu richten und diese allgegenwärtig für ihre Überwachungspraxis zu kritisieren. Dass sich die EU-Kommission in ihrem Handeln nicht allein von Datenschutzerwägungen leiten lässt, wird aktuell für den jüngsten Angemessenheitsbeschluss zur Datenübermittlung in das Vereinigte Königreich deutlich: Ein Staat, der seit Jahrzehnten über eine ausgedehnte Überwachungspraxis verfügt und überdies - genauso wie die USA - Mitglied in der globalen Geheimdienstallianz „Five Eyes“ ist, soll ein angemessenes Datenschutzniveau besitzen, das dem in der EU ebenbürtig ist - ein wohl nur schwer zu begründendes Ergebnis des politischen Abwägungsprozesses.

Unser europäischer Datenschutz ist nicht zuletzt auf Grund der erheblichen Wirtschaftsmacht der EU exportfähig, das zeigen z.B. die jüngsten Entwicklungen in der Volksrepublik China, die mit dem „Personal Information Protection Law“ (PIPL) zurzeit ein nationales Gesetz auf den Weg bringt, das zahlreiche Prinzipien und Legitimationstatbestände nicht ohne Grund aus der DS-GVO übernehmen wird.

 

Einen globalen Datenschutzstandard zu schaffen, braucht aber seine Zeit und kann vornehmlich nicht von der EU-Kommission, sondern in erster Linie nur von den jeweiligen Nationalstaaten ausgehen. Diese eigentlich selbstverständliche Erkenntnis muss aber auch politisch klar kommuniziert werden, oder anders ausgedrückt: Der Elefant steht mitten im Raum, wir müssen ihn nur sehen wollen.

Alles andere Handeln schadet aktuell dem guten europäischen Datenschutz als Ergebnis eines jahrzehntewährenden Entwicklungsprozesses nur mehr, als es nützt. Und dazu gehört ebenso eine Schrems-III-Entscheidung, von der so manch einer bereits zu sprechen wagt und die mit dem Angemessenheitsbeschluss für Großbritannien vielleicht schon wieder näher gerückt sein kann, als uns allen lieb ist.