Das Safe-Harbour-Urteil des Europäischen Gerichtshofs und die letzte Runde der EU-Datenschutzreform sind die Highlights des Jahres 2015. Wird es 2016 ein einheitliches europäisches Datenschutzrecht geben?
Zwei Ereignisse prägen das Datenschutzjahr 2015: Das Safe-Harbour-Urteil des Europäischen Gerichtshofs (EuGH) vom 6. Oktober und die hoffentlich letzte Runde des Ringens um die EU-Datenschutzreform. Bereits 2014 hatte das höchste EU-Gericht mit zwei Entscheidungen die datenschutzrechtliche Bedeutung der Grundrechte-Charta der Europäischen Union unterstrichen: durch seine Urteile zur Annullierung der EU-Richtlinie zur Vorratsdatenspeicherung und zur Verantwortlichkeit von Suchmaschinenbetreibern.
Dieser Linie ist der Gerichtshof in seiner Entscheidung treu geblieben: In der Sache Schrems gegen den irischen Datenschutzbeauftragten muss Letzterer nun doch der Frage nachgehen, ob die in Dublin ansässige Facebook Ltd. die personenbezogenen Daten seiner Nutzer an die Konzernmutter Facebook Inc. in den Vereinigten Staaten weitergeben darf.
Er kann sich einer solchen Überprüfung nicht mit dem Hinweis darauf entziehen, dass die Europäische Kommission in ihrer Safe-Harbour-Entscheidung den Vereinigten Staaten ein angemessenes Datenschutzniveau bescheinigt hatte, soweit sich die Datenempfänger zu den Safe Harbour Principles (Grundsätzen eines sicheren Hafens) bekennen. Dazu mussten die Unternehmen sich letztlich nur in eine Liste des US-Handelsministeriums eintragen.
Der sichere Hafen ist trockengelegt
Noch bedeutsamer aber ist, dass der EuGH die im Jahr 2000 getroffene Safe-Harbour-Entscheidung der Europäischen Kommission für ungültig erklärt hat. Sie entspreche nicht den Anforderungen der Art. 7 und 8 der EU-Grundrechte-Charta, die die Grundrechte auf Datenschutz und Privatsphäre garantieren. Angemessen sei der Datenschutz in einem Drittstaat nur dann, wenn er das gleiche Schutzniveau wie das EU-Datenschutzrecht gewährleiste.
Unbegrenzte Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten europäischer Herkunft verletzten den Kernbereich dieser Grundrechte; betroffene EU-Bürger hätten keinen einklagbaren Anspruch auf Auskunft über die Datenverarbeitung der US-Behörden und könnten diese nicht gerichtlich überprüfen lassen.
Für Facebook und viele andere Unternehmen, die sich in den vermeintlich sicheren Hafen geflüchtet hatten, bedeutet das Urteil, dass personenbezogene Daten, die aus der EU in die USA übermittelt wurden, nicht angemessen geschützt sind. Unternehmen, die solche Daten weiterhin in die USA übermitteln wollen, benötigen deshalb für den Datentransfer grundsätzlich wieder die Genehmigung durch die zuständigen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten.
Diese Behörden dürfen die Genehmigung nur erteilen, wenn der Datenempfänger – bezogen auf die jeweiligen Daten – ein angemessenes Datenschutzniveau nachweist. Dieser Nachweis dürfte insbesondere Unternehmen schwerfallen, die an der Massenüberwachung durch US-Geheimdienste mitwirken.
Schwer vorstellbar, dass Facebook, Google & Co. einfach auf ein anderes Instrument umschalten können, das die Angemessenheit des Datenschutzes garantieren soll, etwa auf sogenannte Standardvertragsklauseln oder auf Binding Corporate Rules, die ebenso wenig wie Safe Harbour vor staatlicher Überwachung schützen.
Auch wenn diese Rechtsinstrumente vom Gericht nicht explizit für ungültig erklärt wurden, sind die vom Europäischen Gerichtshof formulierten Anforderungen grundsätzlich auch auf sie anwendbar. Die Europäischen Datenschutzbehörden haben angekündigt, die Vorgaben für die Datenübermittlung in Drittstaaten bis Ende Januar 2016 zu überprüfen.
Wackelige Rechtsgrundlagen
Bliebe als mögliche Rechtsgrundlage der Datenübermittlung in die USA also die Einwilligung der Betroffenen. Ob das wirklich ein gangbarer Weg ist?
Kaum ein Betroffener könnte die Tragweite einer vorsorglichen pauschalen Zustimmung in die umfassende mögliche Überwachung durch die NSA und andere US-Behörden wirklich abschätzen, zumal die Überwachungsmaßnahmen weitgehend im Geheimen ablaufen. Zudem wäre der Verzicht auf Rechtsschutz und auf das nach EU-Recht unabdingbare Auskunftsrecht bezüglich der eigenen Daten grundsätzlich unwirksam. Schließlich stellt sich in bestimmten Konstellationen die Frage, ob die Erlaubnis tatsächlich freiwillig erteilt wurde, etwa, wenn es um Daten geht, die im Beschäftigungsverhältnis erhoben werden.
Wie könnte also eine Lösung aussehen?
Die betroffenen Unternehmen – sowohl die Absender als auch die Empfänger personenbezogener Daten – müssen kurzfristig dafür sorgen, dass die ihnen anvertrauten Daten nicht weiter Gegenstand der US-Massenüberwachung sind. Durch Kryptografie, Standorte der Server, Netzkomponenten und möglicherweise den Wechsel von Geschäftspartnern – etwa bei der Auftragsdatenverarbeitung oder bei der Erbringung sonstiger IT-Dienstleistungen – ließe sich der Konflikt im Einzelfall entschärfen.
Mittelfristig ist ein neues, robustes Safe-Harbour-Arrangement denkbar, das für die aus Europa übermittelten Daten denselben Schutz vorsieht, wie für die in den USA erhobenen Daten von US-Bürgern. „Safe Harbour 2.0“ müsste auch wirksamere Überprüfungsinstrumente enthalten und den unabhängigen Datenschutzbehörden der EU-Staaten entsprechende Kontrollbefugnisse zuweisen.
Längerfristig besteht der einzige Weg in der globalen Durchsetzung der Grund- und Menschenrechte auf Privatsphäre und Datenschutz, die in der UN-Menschenrechtserklärung, in internationalen Verträgen und Konventionen, in der EU-Grundrechtecharta und in den Verfassungen vieler demokratischer Staaten garantiert werden.
Die notwendigen Änderungen beschränken sich dabei nicht auf die Vereinigten Staaten: Sie betreffen auch Europa. Es wird schwierig werden, die US-Politik von der Notwendigkeit einer Beschränkung ihrer Überwachungsmaßnahmen zu überzeugen, wenn gleichzeitig europäische Staaten unter dem Banner der Sicherheit die Bürgerrechte immer mehr einschränken. Jüngste Beispiele hierfür sind die Einführung einer neuen Vorratsdatenspeicherung in Deutschland und die exzessiven Erweiterungen der Überwachungsbefugnisse der Geheimdienste Frankreichs und Großbritanniens.
Aufbruch zu einem besseren Datenschutz?
Lange Zeit sah es so aus, als würde die von der Europäischen Kommission Anfang 2012 auf den Weg gebrachte Datenschutzreform auf der Strecke bleiben: die „Datenschutz-Grundverordnung“ als direkt anwendbares EU-Datenschutzgesetz und die EU-Datenschutzrichtlinie für Polizei und Justiz.
Dass es nun vermutlich nun doch eine Art Happy End geben wird, verdanken wir einerseits einigen engagierten Europapolitikern, allen voran dem Berichterstatter des Europäischen Parlaments für die Datenschutzreform, Jan Philipp Albrecht. Vor allem aber hat Edward Snowden durch seine Enthüllungen über den Umfang der globalen Überwachung auch den weniger entschlossenen Europapolitikern klar gemacht, dass sie jegliche Glaubwürdigkeit verlören, wenn sie die Datenschutzreform scheitern ließen.
Ob der neue EU-Datenschutz tatsächlich die erhofften Verbesserungen bringen wird, hängt davon ab, wer sich in dem Trilog der europäischen Institutionen – Kommission, Parlament und Rat der Europäischen Union – durchsetzen kann. Geht es nach den Vorstellungen des Rats der Regierungen der Mitgliedstaaten, werden viele datenschutzfreundliche Vorschläge der Kommission und erst recht die des Europäischen Parlaments ad acta gelegt. Im schlechtesten Fall könnte es sogar zu einer Verschlechterung des Datenschutzniveaus gegenüber dem Status quo kommen – etwa bei der Einwilligung zu Datenschutzbestimmungen sozialer Netzwerke oder bei Zweckbindung der Daten.
Andererseits stehen die Chancen nicht schlecht, dass ein Kompromiss am Ende des Trilogs die europäischen Grundrechte auf Wahrung der Privatsphäre und auf Schutz personenbezogener Daten stärkt. EU-weit einheitliche Datenschutzbestimmungen, Stopfen von Datenschutz-Schlupflöchern, Einführung des Marktortprinzips (das alle Unternehmen, die in der EU personenbezogene Daten erheben, auf das europäische Datenschutzgesetz verpflichtet) und handlungsfähige Aufsichtsbehörden in den Mitgliedstaaten könnten mit wirksamen Sanktionsinstrumenten den rechtlichen Vorgaben endlich Geltung verschaffen. Anfang 2016, wenn der Trilog beendet ist, werden wir wissen, ob dieser Optimismus berechtigt war, oder ob die Pessimisten Recht behalten.
Wenn nach Ende der zweijährigen Übergangsfrist ein einheitliches EU-Gesetz an die Stelle der teils stark divergierenden nationalen Datenschutzgesetze der 28 Mitgliedstaaten tritt, müssen Bundes- und Landesdatenschutzgesetze überarbeitet und jede bereichsspezifische Datenschutzbestimmung überprüft werden. Davon gibt es in Deutschland ziemlich viele, und nicht immer wird die Grenzziehung zwischen der EU-Grundverordnung und den Vorgaben des deutschen Verfassungsrechts leicht sein. Schließlich müssen die in der Grundverordnung vorgesehenen Spielräume genutzt werden, um sensible Sozial-, Gesundheits- und Beschäftigtendaten wirksam zu schützen. Für die nationalen Gesetzgeber gibt es dann viel zu tun.
Dieser Artikel ist auch im Magazin „Das Netz – Jahresrückblick Netzpolitik 2015/16“ veröffentlicht. Das Magazin ist gedruckt, als E-Book und online erschienen.
