Der neue starke Datenschutz

Es rumort in Europa in Sachen Datenschutz. Das Parlament hat den Entwurf für eine neue Datenschutz-Grundverordnung so gut wie einhellig verabschiedet, allein die Mitgliedstaaten tun sich im Rat noch etwas schwer, zu einer gemeinsamen Linie zu finden. Dabei sind die Weichen klar gestellt: Mit der EU-Grundrechtecharta, die 2009 in Kraft trat, ist der Datenschutz so stark wie noch nie positioniert.

Richtungsweisende Urteile

Wie stark, wurde jetzt mit zwei Urteilen des Europäischen Gerichtshofs in diesem Jahr deutlich: Mit dem Urteil zur Vorratsdatenspeicherung und mit dem Urteil zur Löschpflicht von Suchmaschinenbetreibern. Sie greifen weit über den jeweils entschiedenen Fall hinaus, da sie ein paar wesentliche Prinzipien klar machen:

Seit dem Suchmaschinen-Urteil gegen Google gilt eindeutig das Marktortprinzip: Da, wo Geschäfte gemacht werden, wird auch Recht angewandt. Dafür genügt es, dass die Unternehmen in dem jeweiligen Land eine kleine Marketingabteilung unterhalten. „Das war bisher in der Rechtsprechung total umstritten und hatte zur Folge, dass US-Unternehmen mit Europasitz in Irland praktisch tun und lassen konnten, was sie wollten,“ sagt der schleswig-holsteinische Landesdatenschützer Thilo Weichert.

Und seit dem Urteil zur Vorratsdatenspeicherung ist klar: Europäische Daten dürfen nur auf europäischem Boden verarbeitet werden. Das ist vor allem für amerikanische Cloud-Anbieter entscheidend, die bislang damit argumentierten, dass es ganz egal sei, wo die Daten in der Wolke gespeichert werden: Ob in Singapur, den USA oder Österreich. Der Frankfurter Datenschutzexperte Spiros Simitis erklärt: „Solange die Angaben innerhalb der Europäischen Union verwendet werden sollen, muss der Umgang mit den Daten den von ihr vorgeschriebenen Anforderungen genügen.“ Obwohl sich das Gericht auf die Vorratsdatenspeicherung bezog, bezieht sich diese Vorgabe auf alle Daten, egal für welchen Zweck sie gespeichert werden. Simitis rechnet deshalb noch „mit einer intensiven Diskussion“, die aber nicht zu vermeiden sei, „wenn der Datenschutz wirklich gelten soll“.

"Brutal"

Es kommt noch härter – nicht umsonst bezeichneten US-Juristen das Suchmaschinurteil als „brutal“. Jeder Internet-Dienst ist verantwortlich für die Daten, die er verarbeitet. Entsprechend kann jeder Nutzer bei jedem Dienst seine Rechte durchsetzen. Weichert sagt: „Die Google-Entscheidung des EuGH ist definitiv auf sämtliche Internet-Dienste übertragbar. Das wissen alle Beteiligten.“ Doch die Folgen seien noch „völlig unklar“.

Weitere Prozesse zu erwarten

Tatsächlich sind hier nicht nur Massenverfahren für die Suchmaschinen zu erwarten, sondern noch weitere Gerichtsprozesse, die jeden Internetdienst betreffen kann. Denn das Urteil hat zwar Kriterien für die Abwägung zwischen Meinungsfreiheit und Datenschutz genannt wie persönliche Sensibilität, öffentliches Informationsinteresse, technische Zugänglichkeit, zeitliches Zurückliegen des Sachverhaltes oder die Gefahr der Profilbildung. Doch die Wertung der Aspekte sei unklar, meint Weichert, ebenso wie folgende Aspekte: „Wer hat die Daten eingestellt? Wie ist mit Quellen umzugehen, die Daten von mehreren Personen enthalten? Gibt es ein Recht auf Beibehaltung einer Internet-Berichterstattung zur eigenen Person? Und die zentrale Frage: Wie verhindern wir Internet-Zensur?“

"Vollzugsdefizite"

„Theoretisch“, meint Weichert, müssten nun IT-Konzerne wie Google, Facebook, Microsoft, Apple und Co ihre gängigen Geschäftsmodelle ändern, die sich bislang allein an US-Recht orientierten. In der Praxis stellt sich jedoch die Frage, wer aufsteht, um die Anwendung europäischen Rechts zu erzwingen. Weichert sieht deshalb „weiterhin gewaltige Vollzugsdefizite, die den Druck auf die IT-Unternehmen reduzieren“. Die nationalen Aufsichtsbehörden seien „katastrophal“ ausgestattet. Firmen wie Facebook setzten auf eine „ausgeklügelte Hinhaltetaktik“. Sie spielten auf Zeit, „in der weiter viel Geld verdient werden kann“. Schließlich würden auch europäische Firmen wie etwa App-Entwickler an den aus europäischer Datenschutzsicht illegalen Geschäftsmodellen von US-Unternehmen hängen.

"Abkommen müssen hinterfragt werden"

Die abgeschlossenen Datenexport-Abkommen mit Drittstaaten wie den USA oder Kanada müssen jedenfalls auch hinterfragt werden. Schaar sagt: „Nach den EuGH-Urteilen müssen auch das Safe-Harbor-System und andere Instrumente zur Datenübermittlung - etwa die Standardvertragsklauseln - im Lichte der EU-Grundrechte interpretiert werden.“ Es sei „nicht mehr hinnehmbar, dass die Zugriffe von Sicherheitsbehörden unter Berufung auf die “nationalen Sicherheit“ nicht durch das Safe Harbor-Abkommen begrenzt werden“. Es sei „zweifelhaft“, inwieweit das Abkommen den Anforderungen der EU-Grundrechtecharta noch entspricht.

Weil darüber letztlich nur der EuGH entscheiden kann, schlägt Schaar, dass die Datenschutzbehörden den Datenexport im Rahmen von „Safe Harbor“ verweigern und damit eine gerichtliche Klärung einleiten, die zur Vorlage beim EuGH führen kann. In Deutschland haben die Aufsichtsbehörden schon vor Monaten angekündigt, bei Genehmigungsverfahren zur Datenübermittlung in die USA den Schutz personenbezogener Daten gegen einen umfassenden Zugriff der Sicherheitsbehörden neu zu bewerten. „Notwendig wäre eine gemeinsame Position der Datenschutzbehörden der EU-Mitgliedstaaten“, meint Schaar.

Handlungsbedarf bei Unternehmen

Handlungsbedarf sieht Schaar hier auch bei den Unternehmen, weil die Zweckbindungs-Vorgaben bei „Safe Harbor“ schwächer seien als die Regelungen des europäischen Datenschutzrechts: „US-Unternehmen, denen Daten im Rahmen von Safe Harbor übermittelt werden, könnten gegebenenfalls weitergehende Auswertungen durchführen als Unternehmen, die direkt an europäisches Recht gebunden sind.“ Hier gebe es „dringenden Handlungsbedarf“.

„Keine Zweifel“ hingegen hat Schaar, dass das SWIFT-Abkommen zu den Bankdaten und durch das PNR-Abkommen zur Übermittlung von Fluggastdaten, die die EU mit den USA abgeschlossen hat, „mit den Grundrechten unvereinbar sind“. Und Simitis betont: „Sowohl die Europäische Grundrechte-Charta als auch die Verfassungen der Mitgliedstaaten zählen die informationelle Selbstbestimmung ausdrücklich zu den Grundrechten und verwerfen damit ebenso explizit jeden Versuch, eine datenschutzfreie Verwendungszone personenbezogener Angaben gleich auf welchem Weg und mit welchen Mitteln zu begründen. Genau danach gilt es, sich zu richten.“

Blick in die Glaskugel

Das europäische Datenschutzrecht wird sich in naher Zukunft jedenfalls ändern – und sich als durchsetzungsstark zeigen, davon ist Spiros Simitis überzeugt. Er wagt denn auch einen Blick in die Glaskugel und sagt: „Viererlei lässt sich wohl bestimmt voraussagen. Beherrschender Gegenstand aller kommenden Regelungen wird, erstens, in der allernächsten Zeit das Internet sein. Anzahl und Tragweite gesamteuropäischer Normen werden, zweitens, merklich zunehmen. Deutlicher denn je, wird sich, drittens, die Notwendigkeit, erweisen, für einen Datenschutz zu sorgen, der bei aller Unterschiedlichkeit der Regelungskompetenz und der Regelungsgegenstände supranational wie national Vorschriften gewährleistet, die von dem gemeinsamen und konsequent angewendeten Verständnis des Datenschutzes als Grundvoraussetzung einer demokratischen Gesellschaft getragen und geprägt werden. Weder die Europäische Gemeinschaft noch ihre Mitgliedstaaten werden, viertens, letztlich umhinkommen, ihre Regelungen in Anbetracht einer sich ständig weiterentwickelnden Informationstechnologie zu befristen und so einer ebenso verlässlichen wie laufenden Überprüfung zu unterwerfen.“