EUGH stärkt deutschen und europäischen Datenschutz.
Daten sind in der modernen Informations- und Dienstleistungsgesellschaft des 21. Jahrhunderts von entscheidender Bedeutung. Modernes Arbeiten ist ohne den Fluss von Daten undenkbar. Der IT-Gipfel in Berlin am 18. und 19. November 2015 fordert bereits eine Verschmelzung von Internet und Industrie. Industrie 4.0 bedeutet die umfassende Digitalisierung des verarbeitenden Gewerbes. Die zukünftige datengetriebene Ökonomie wird als „Revolution der Wirtschaft“ bezeichnet. [Bernd Leukert, Entwicklungsvorstand SAP in: Stephan Finsterbusch, Aufpassen, dass Amerikaner und Japaner nicht davoneilen. Der IT-Gipfel in Berlin fördert die Verschmelzung von Internet und Industrie, Frankfurter Allgemeine Zeitung (FAZ) 19.11.2015, S. 19.] In Amerika haben Unternehmen wie General Electrics, Intel und Cisco im März 2014 ein Industrial Internet Consortium (IIC) gegründet. Der Softwarekonzern Microsoft investiert Milliarden in den deutschen Markt. „Was einst die dröhnende Maschinenhalle war, wird bald der leise surrende Computerpark sein: das wichtigste Glied in der globalen Wertschöpfungskette.“ [Finsterbusch aaO. Vgl. auch Hoffmann, Jürgen, Innovationstreiber IKT. Das Fundament für die Fabrik der Zukunft. Keine Industrie 4.0 ohne Informations- und Kommunikationstechnik (IKT): Schließlich sind entsprechende Softwarelösungen die Voraussetzung, dass die vernetzte Fabrik Realität werden kann. Ein Bericht über Trends und Hintergründe, FAZ 19.11.2015, S. V1.] Die Wirtschaft ist datenbasiert. Auch deutsche Nutzer profitieren von der globalen Datenfreizügigkeit. In Deutschland scheitern datengetriebene Innovationen jedoch häufig an dem sehr eng gefassten und verstandenen Datenschutzrahmen, der einerseits auf dem Grundrecht auf informationelle Selbstbestimmung beruht, es andererseits ad absurdum führt. Der professionelle Umgang mit Big und Smart Data bildet in vielen Domänen die Grundlage der zukünftigen technologiegetriebenen und –gesteuerten Dienstleistungsgesellschaft. [Markl, Volker, Smart Data: Chance für deutsche Unternehmen. Wir erleben eine rasante Vernetzung praktisch aller Lebensbereiche. Doch die dabei entstehenden Datenmengen sind zunächst weder Information noch Wissen. Sie werden erst wertvoll, wenn sie integriert und analysiert werden, so dass aus Rohdaten „Smart Data“ entstehen, FAZ 19.11.29015, S. V4.]
Doch seit den Enthüllungen von Edward Snowden weiß jedermann, dass und in welchem Umfang personenbezogene Daten von US Geheimdienste ausgespäht werden. Gleichzeitig werden immer mehr Bereiche der Personaldatenverarbeitung ausgelagert, Daten transportiert (z. B. auch in eine Cloud). [Vgl. die Dissertation von Brennscheidt, Kristin, Cloud Computing und Datenschutz, Internet und Recht Bd. 13, Bochum 2013. Auch das Cloud Computing setzt eine Einwilligung der Betroffenen entsprechend § 28 Absatz 1 Satz 1 Nr. 2 BDSG voraus.] Besondere Relevanz hat diese Praxis für Deutschland, da hier eine ambivalente Praxis Einzug gehalten hatte.
Grundsätzlich wird das deutsche Datenschutzrecht durch das im Volkszählungsurteil von 1983 formulierte Recht auf informationelle Selbstbestimmung, das Bundesdatenschutzgesetz (BDSG) und die europäische Datenschutzrichtlinie 95/ 46 EG aus dem Jahre 1995 geprägt. Letztere wurde im Jahre 2001 in das nationale Recht umgesetzt. Die Richtlinie verfolgt zwei Ziele: Die Erleichterung der Vollendung des EU Binnenmarktes und den Schutz von Grundrechten und Grundfreiheiten der einzelnen Bürgerinnen und Bürger. [Brennscheid S. 47]
Das BDSG schützt einerseits alle personenbezogenen Daten vollumfänglich. Auch für die Weiterleitung zu recht erhobener personenbezogener Daten an Dritte, z. B. im Wege des Outsourcing vom Arbeitgeber an externe Dienstleister ist grundsätzlich die Zustimmung des Betroffenen erforderlich. Da Daten in der modernen Informationsgesellschaft immer bedeutender werden (teilweise sogar die Funktion einer Ersatz- oder Zweitwährung annehmen) und sehr viele IT Dienstleister ihren Sitz in den USA haben und damit dem direkten Zugriff der US Geheimdienste unterfallen, wäre eigentlich ein Spannungsverhältnis zwischen Datensicherheit und Datentransferwunsch offenkundig gewesen. Dies hätte aber den seitens der Unternehmen gewünschten Datentransfer erschwert. Dem wollten EU-Kommission und US-Administration mit dem „Save Harbor“ Abkommen aus dem Jahre 2000 Rechnung tragen.
Dieses Abkommen regelt den Datentransfer. Sobald US Unternehmen die im Save Harbor Abkommen definierten Datenschutzstandards umsetzen, können sie bei der US Federal Trade Commission zertifizieren lassen. Ist diese Zertifizierung erfolgt, gilt das zertifizierte Unternehmen nach EU-Datenschutzrecht als „Save Harbor“, als sicherer Hafen. Ohne weitere Anforderungen konnten europäische Unternehmen (auch deutsche) personenbezogene Daten an diese Save Harbor Unternehmen in den USA übermitteln. [Vgl. Wibitul, Tim, Darf ich Daten meiner Mitarbeiter nach Amerika schicken?, FAZ 31.10.2015, S. C2.] Auf der website zu save Harbor sind ca. 5500 Unternehmen gelistet. [Safeharbor.export.gov/list.aspx]. Einschlägige Rechtsnorm ist noch immer die EU-Datenschutzrichtlinie von 1995, da die seit 2012 beabsichtigte Neufassung der Vorschrift noch nicht rechtswirksam wurde. Nach der Richtlinie von 1995 dürfen personenbezogene Daten nur dann in andere Länder übermittelt werden, wenn sie dort ausreichend geschützt sind. Diesen Schutz sollte Save Harbor bieten.
Am 6. Oktober erklärte der Europäische Gerichtshof (EUGH) das Save Harbor Abkommen in einem „bahnbrechenden Urteil“ [Urteil erschwert Geschäft für Google und Facebook. EU-Richter: Datenfluss in die USA ist so nicht rechtens, Westdeutsche Allgemeine Zeitung (WAZ),07.10.2015, S. 1, vgl. auch Thieme, Matthias, Chance zum echten Datenschutz, WAZ 07.10.2015, S.2.] für unwirksam, weil die US-Behörden auf bei US Unternehmen gespeicherten Daten umfassende Zugriffsrechte haben (FISA). Ein Abkommen, welches den US Behörden uneingeschränkte Eingriffe gestattet, umfassende Zugriffsrechte auf die bei den us-amerikanischen Behörden gespeicherten Daten erlaubt, ist nicht mit dem EU-Recht vereinbar und verletzt die (in Deutschland nach Artikel 1 in Verbindung mit Artikel 2 grundgesetzlich geschützte) Privatsphäre . Die Brüsseler Behörde habe nicht die Kompetenz, die Befugnisse der nationalen Datenschutzbehörden durch ein derartiges Abkommen zu beschränken. Genauso wenig ist es mit EU-Recht vereinbar, dass dem Bürger gegenüber dieser Praxis keinerlei Rechtsschutz gewährt wird. Um den wirtschaftlichen Interessen der Unternehmen Rechnung zu tragen, wird aber zur Umsetzung dieses Urteils eine Frist von drei Monaten eingeräumt, die mithin im Januar 2016 endet. Das gemeinsame Abstimmungsgremium der EU Datenschutzbehörden hat ab Ende Januar Zwangsmaßnahmen angekündigt.
Die geplante EU-Datenschutzgrundverordnung könnte hier wichtige Regelungen treffen und den Datenhunger der Internetkonzerne in geordnete rechtstaatliche Bahnen lenken. Der Deutsche EU Abgeordnete der den Entwurf der EU Grundverordnung zu verantworten hat, gilt als „die Hassfigur der großen Internetkonzerne“. [Burdas, Corinna, Ein Grüner unter Wölfen. Jan Philipp Albrecht ist im Europäischen Parlament für den Datenschutz zuständig. Klingt langweilig? Jetzt kommt sogar ein Film über ihn in die Kinos, FAZ, 6.11.15, S. 20.] Nachdem der Gesetzentwurf im EU Parlament die Mehrheit bekommen hat, müssen noch die 28 Mitgliedsstaaten zustimmen. Neben vielen Änderungswünschen und Bedenken von Staaten und Wirtschaftsunternehmen, gibt es kritische Stimmen unter den Wissenschaftlern. Diese sehen in der Verordnung eine Zugriffsbeschränkung hinsichtlich forschungsrelevanter Daten. Dadurch könnte die Qualität der Forschung eingeschränkt werden, ggf. müssten Daten gelöscht werden, so dass Studien nicht mehr wiederholbar wären. [Wie Daten dem Steuerzahler Milliarden sparen können. Ohne Zugriff auf Daten können Wissenschaftler kaum forschen. Doch genau das droht wegen einer neuen EU-Verordnung, warnen Ökonomen. Sie sehen Zustände wie im Mittelalter, FAZ 19.11.2015, S. 16, hmk./jpen]
Bereits am 25. Januar 2012 hatte die EU-Kommission einen Regelungsentwurf für eine europäische Datenschutzgrundverordnung erlassen, der seitdem intensiv diskutiert wird. [Vgl. Brennscheidt S. 48.] Diese Verordnung würde auch das BDSG in weiten Teilen ersetzen, sie wäre nach Artikel 288 AEUV unmittelbar geltendes Recht und bedürfte keiner Umsetzung. [Brennscheidt S. 49] Die endgültige Verordnung soll bis zum Jahresende 2015 inhaltlich fixiert sein.
Das Save Harbor Urteil gilt als Folge der Snowden Enthüllungen. Einen Save Harbor hat es nie gegeben. „Lange wurde den Bürgern weisgemacht, ihre personenbezogenen Daten seien auf den Servern von US-Firmen so sicher wie in einem Hafen. Eine Lüge, wie heute jeder weiß. In Wahrheit war es ein gefährlicher Hafen, voller Gauner, Hehler und Diebe. Voller Dienste, mit Absauglizenz.
Denn in den USA wurden Daten von Europäern massenhaft, anlasslos und unbegrenzt ausgewertet – und auch an andere Dienste weitergereicht. Nicht nur zur Gefahrenabwehr, sondern vielmehr auch zur allgemeinen Spionage in Politik, Gesellschaft und Wirtschaft anderer Länder. Alle Daten von allen zu jeder Zeit. Die Schleppnetzmethode – und der Bürger als Beifang.“ [Thieme ebd.]
Diese grundlegenden Rechte der deutschen Bürger wurden durch die Privatinitiative eine österreichischen Jurastudenten durchgesetzt. Der Datenschutzexperte Chris Conolly fordert jetzt Gesetze, die die Grundrechte schützen. [Gespräch mit Chris Conolly, Dieses Urteil ermuntert zum Widerstand. Was folgt „Save Harbor“? Der Datenexperte Chris Conolly fordert Gesetze, die Grundrechte schützen, Fragen von Fridjof Küchemann, FAZ 9.10.15, S. 13. Kritisch zum Internet insgesamt: Thomas R. Köhler, die Internetfalle. Was wir online unbewusst über uns preisgeben und wie wir das World Wide Web sicher für uns nutzen können, Frankfurt 2010.] Denn die Feststellung des EUGH, dass Grundrechte nicht von fremden Gesetzen ausgehebelt werden dürfen, es sei denn klar formulierte Standards werden eingehalten, ist in Recht umzusetzen. Jede Beeinträchtigung der Privatsphäre auch aus Gründen der nationalen Sicherheit muss notwendig und angemessen (also verhältnismäßig) sein.