Sie befinden sich hier: Start |Publikationen |vorgänge |Online-Artikel |

vorgänge: Artikel - 1.02.15

Rechtspolitische und technische Maßnahmen für einen effektiven Datenschutz

Alexander Dix

aus: vorgänge Nr. 206/207 (Heft 2-3/2014), S. 66-72

(Red.)Die Regierungen der EU-Mitgliedsstaaten sind aufgrund ihrer nationalen Verfassungen wie der europäischen Grundrechtscharta verpflichtet, sich für international wirksame Schutzmechanismen zum Schutz der Vertraulichkeit von Kommunikationsdaten einzusetzen. Alexander Dix weist darauf hin, dass die Regierungen in mehrfacher Weise dieser Verpflichtung nachkommen können: bei der Aushandlung neuer Standards für den Datenaustausch mit den USA; in den aktuellen Verhandlungen um Handels- und Dienstleistungsabkommen; in der Vollendung der europäischen Datenschutzgrundverordnung; in der Weiterentwicklung des nationalen Rechtsschutzes gegenüber den Geheimdiensten. Ein wirksamer Schutz des Kommunikationsgeheimnisses sei dabei nur zu erreichen, wenn sichere Infrastrukturen geschaffen werden. Neben der besseren Durchsetzung geltenden Datenschutzrechts sowie der Entwicklung neuer, internationaler Rechtsstandards sollt der Staat die Entwicklung sicherer Kommunikationstechniken und die Bereitstellung sicherer Netze fördern.


Zwei Eingangsbemerkungen: Es gibt keinen Grund zu resignieren und sich zurück zu lehnen und zu sagen: wir können sowieso nichts machen – erster Punkt. Zweiter Punkt: Es gibt allerdings nicht das Silver Bullet. Es gibt nicht die eine ideale Handlungsstrategie, sondern wir sollten mehrgleisig fahren, mindestens eine Doppelstrategie verfolgen. Das sind zum einen die politisch-rechtlichen Maßnahmen. Wir müssen geltendes Recht durchsetzen und darauf dringen, dass das Recht, wo es unzureichend ist, verändert wird – also Rechtspolitik betreiben. Und zweitens muss es technische Maßnahmen geben; allerdings unter einem entscheidenden Vorbehalt: Es wird nie den „Datenschutzknopf“ geben, den ihr nur drücken müsst und dann sind alle Probleme gelöst. Das Problem muss vor allem politisch gelöst werden. Aber ich denke, beide Seiten sind wichtig und das will ich kurz erläutern.

Anknüpfend an die bisherige Debatte bin ich mit Wolfgang Hoffmann-Riem und anderen führenden Verfassungsrechtlern der Meinung, dass die Bundesregierung verfassungsrechtlich dazu verpflichtet ist, sich international und europäisch für die Grundrechte der Menschen, insbesondere für das Grundrecht auf vertrauliche Kommunikation einzusetzen. Das bedeutet konkret: Der deutsche Staat muss sich für die Schaffung von sicheren Infrastrukturen engagieren, auch international. Der Infrastrukturaspekt ist ganz wichtig. Und das kann auch bedeuten, dass man über Dezentralisierung sprechen muss. Das Schengen-Routing ist ein Aspekt, vielleicht nicht der ideale, aber man muss auch darüber nachdenken, wie der Staat weit stärker die Bildung von peer to peer-Netzwerken fördern muss.

Das Internet wird heute als Überwachungsinfrastruktur missbraucht. Das öffentlich gemacht zu haben, ist das Verdienst von Edward Snowden, der sich deshalb hohe Verdienste um den Datenschutz erworben hat. Der Staat muss sich jetzt dieser Schutzpflicht stellen und über rechtliche Lösungen, die international verankert werden müssen, nachdenken. Ziel solcher Vereinbarungen muss es sein, das Menschenrecht auf vertrauliche Kommunikation international zu schützten. Das ist ein hohes Ziel. Die Datenschutzbeauftragten haben auf internationaler Ebene bereits dieses Recht eingefordert.(1)

Man muss der Bundesregierung immerhin zu Gute halten, dass sie eine Initiative unter anderem mit der brasilianischen Regierung unterstützt hat, die zur Verabschiedung einer Resolution zum Recht auf Privatheit im digitalen Zeitalter durch die Generalversammlung der Vereinten Nationen am 18. Dezember 2013 geführt hat.(2) Das ist ein sehr allgemeiner Text, der auch noch auf amerikanischen Druck hin verwässert wurde. Aber es ist wichtig: mit dieser Resolution ist das Thema endgültig auf der internationalen Bühne angekommen. Das Thema muss dort bleiben und das Ziel muss, auch das ist eine alte Forderung der Datenschutzbeauftragten, eine internationale Konvention zum Datenschutz sein, die sicherlich nicht von heute auf morgen gemacht werden kann. Das ist ein langwieriger Prozess. Aber auch da warne ich vor Resignation. Nur weil das alles so schwierig und kompliziert ist, sollten wir nicht einfach den Griffel fallen lassen und denken, das nützt alles nichts, das wird nie dahin kommen. Wir müssen dafür arbeiten!

Und wir sollten auch gegenläufige Tendenzen erkennen. Gerade gegenwärtig wird viel berichtet über die Verhandlungen zu einem internationalen Abkommen für den freien Handel mit Dienstleistungen (Trade in Services Agreement – TISA). Dieses Abkommen soll offenbar den Finanzdienstleistern die Befugnis einräumen, relativ unbegrenzt international personenbezogene Daten über Finanztransaktionen in jeden anderen Staat übermitteln zu können. Das läuft im Grunde einer wichtigen Vorschrift im GATS-Abkommen, also dem weltweiten Abkommen für den freien Welthandel, zuwider. Das GATS-Abkommen sieht ausdrücklich vor: Datenschutzbestimmungen sind keine nicht-tarifären Handelshemmnisse. Das ist ein technischer Begriff aus dem internationalen Handelsrecht. Die Regelung im GATS-Abkommen bedeutet sinngemäß: Kein Staat darf argumentieren, dass Datenschutzbestimmungen den freien Welthandel behindern; sondern Datenschutz ist Teil des weltweiten ordre public, eines allgemeingültigen Mindeststandards. Deshalb müssen sich Deutschland und die Europäische Union auf den Standpunkt stellen, dass das hiesige Datenschutzniveau nicht abgesenkt werden darf mit dem Hinweis, es beeinträchtige den freien Welthandel. Insofern gefährden die Verhandlungen über dieses Freihandelsabkommen über Dienstleistungen, die außerhalb des GATS-Abkommens stattfinden, das europäische Datenschutzniveau. Die Europäische Union hat immerhin schon angekündigt, dass sie das so auch nicht hinnehmen will. Speziell im transatlantischen Verhältnis ist das ein wichtiger Punkt.

Transatlantischer Datenschutz

Die meisten Diskussionen drehen sich natürlich im Moment um die Frage, unter welchen Voraussetzungen personenbezogene Daten aus Europa in die USA übermittelt werden dürfen, unabhängig von der Ausspähung durch Nachrichtendienste. Da ist das Stichwort Safe-Harbor-Abkommen zu nennen. Die Europäische Kommission hat nach den Veröffentlichungen von Edward Snowden im November 2013 dreizehn Forderungen formuliert – sie hat es nicht Forderungen genannt, sondern höflicher: Empfehlungen – an die amerikanische Regierung, die bis zum Sommer dieses Jahres umgesetzt werden müssten. Das Ergebnis ist offen. Es gibt widersprüchliche Informationen, welchen Stand diese Verhandlungen erreicht haben. Die damalige Kommissarin Reding hat erklärt, man sei schon ziemlich weit. Es gehe im Grunde um ein neues Safe-Harbor-Abkommen, das ein angemessenes Datenschutzniveau in den Vereinigten Staaten sicher stellen soll. Nach Frau Reding ginge es nur noch um einen Punkt, nämlich den Rechtsschutz europäischer Bürger in den Vereinigten Staaten. Da sperren sich die Amerikaner nach wie vor, Europäern die gleichen Rechte vor amerikanischen Gerichten einzuräumen wie US-Amerikanern. Ich halte das nicht für einen kleinen Punkt. Aber es gibt auch andere Informationen aus der Kommission auf Arbeitsebene: Dort wird gesagt, die US-Regierung weigere sich nach wie vor, den Zugriff der Nachrichtendienste auf diese Daten in irgendeiner Weise zu beschränken. Das ist genau das K.o.-Kriterium: eine der Forderungen der EU Kommission lautete nämlich, genau den Zugriff von Sicherheitsbehörden – nicht nur Nachrichtendiensten, sondern ganz allgemein Sicherheitsbehörden (aber die NSA ist natürlich die große Spinne im Netz) – auf das erforderliche Maß zu beschränken. Das Problem ist die Maßlosigkeit, der totale Überwachungsanspruch, der von diesen Einrichtungen reklamiert wird. Das muss eingegrenzt werden; und solange das nicht geschieht, darf auch der Datenverkehr in die USA nicht so weiter laufen wie bisher.

Das führt zu einem weiteren Verhandlungsstrang über ein allgemeines, generelles Datenschutzabkommen zwischen Europa und den USA. Der Abschluss eines solchen Abkommens ist aus meiner Sicht eine zentrale Voraussetzung für das transatlantische Freihandelsabkommen (TTIP). Das Freihandelsabkommen beschäftigt sich formal zwar nicht mit dem Datenschutz, weil der Datenschutz gar nicht zur Diskussion stehen darf in Freihandelsverhandlungen. Aber eine Forderung müsste sein: Solange Europa und die USA sich nicht über ein solches Rahmendatenschutzabkommen verständigt haben, darf es auch kein Freihandelsabkommen geben. Diese Forderung wird auch aus dem Europäischen Parlament mittlerweile erhoben.
Die Datenschutzbehörden in Europa haben auch eine Handlungsoption, über die man sprechen muss; die ist lange Zeit vergessen oder in den Hintergrund gedrängt worden. Das Safe-Harbor-Abkommen entspricht einer Art Selbstverpflichtung amerikanischer Datenverarbeiter. Die Europäische Kommission hat bei Abschluss des Safe-Harbor-Abkommens entschieden: Mit dem Abkommen wird ein angemessenes Datenschutzniveau zwar im Grundsatz anerkannt, aber die europäischen Aufsichtsbehörden haben das Recht, den Datenverkehr jedenfalls zeitweise im Einzelfall zu unterbinden, wenn sie Anhaltspunkte dafür haben, dass die Grundlagen dieser Selbstverpflichtung entfallen sind; dass im Grunde etwas passiert, was bei Abschluss des Safe-Harbor-Abkommens so niemand wirklich auf dem Schirm hatte. Und in dieser Situation sind wir jetzt.

Der Google-Chef Larry Page hat im Zusammenhang mit den Überwachungspraktiken der NSA gesagt: Es ist schwierig, in einem demokratischen Staat miteinander umzugehen, wenn wir nicht wissen worüber wir reden. Und genau das war bei Abschluss des Safe-Harbor-Abkommens der Fall: Niemand konnte sich seinerzeit vorstellen, welches unglaubliche Ausmaß die Ausspähung durch amerikanische und britische Nachrichtendienste tatsächlich schon damals angenommen hat. Und das ist seitdem eher mehr geworden. Deshalb müssen die europäischen und auch die deutschen Datenschutzbehörden die Frage prüfen, ob sie von ihrer Befugnis zur Aussetzung einzelner Datenübermittlungen in die USA Gebrauch machen wollen. In Deutschland haben sie bereits erklärt, das prüfen zu wollen. Sie warten jetzt im Moment noch ab, wie die amerikanische Seite auf die Forderungen der Europäer hier reagiert, ob es zu einer echten substanziellen Verbesserung beim Safe-Harbor-Abkommen kommt.

Ein letzter rechtlicher Punkt ist die europäische Datenschutzgrundverordnung, die allerdings leider im Moment auf der Stelle tritt. Die Behandlung im Europäischen Rat bei den Regierungen geht nicht wirklich voran, oder nur in Trippelschritten. Da spielt die britische Regierung eine bremsende Rolle, und sie wird leider unterstützt von der Bundesregierung. Das ist ein erheblicher Mangel. Diese Datenschutzgrundordnung sollte einen einheitlichen Rechtsrahmen in Europa für den Datenschutz für die gesamte Wirtschaft formulieren, an den sich auch amerikanische und andere außereuropäische Unternehmen halten müssen. Ich bin davon überzeugt, dieser Rechtsrahmen wird früher oder später kommen. Aber je später er kommt, desto schlechter!

Europäischer Datenschutz

Mittlerweile hat der Europäische Gerichtshof (EuGH) schon bestimmte Teilprobleme aus diesem Paket nach der geltenden Datenschutzrichtlinie entschieden. In der kürzlichen Google-Entscheidung(3) hat er klar gesagt: Wer von außerhalb Europas in Europa Geschäfte machen will, der hat sich an europäisches Datenschutzrecht zu halten. Das war im Grunde schon immer eine Selbstverständlichkeit. Der US Supreme Court hat stets von europäischen Unternehmen verlangt, dass sie sich in den USA an amerikanisches Recht halten sollen. Das wird jetzt erfreulicherweise vom Europäischen Gerichtshof auch bestätigt. Außerdem hat der EuGH das Recht auf Vergessen aus der Datenschutzrichtlinie abgeleitet, das in der Datenschutzgrundverordnung enthalten ist. In gewisser Weise ist damit die Verordnung schon ein bisschen vorweg genommen. Ich teile aber nicht die Auffassung, dass diese Grundverordnung damit überflüssig sei, weil der Gerichtshof schon die wichtigen Fragen entschieden habe. Es gibt nämlich noch viele ungeklärte Fragen, die der europäische Gesetzgeber beantworten muss, etwa Fragen der Abstimmung: Wie sollen sich europäische Datenschutzbehörden auf eine einheitliche Auslegung des künftigen europäischen Datenschutzgesetzes verständigen? All das muss noch geklärt werden. Aber wenn der politische Wille da wäre, dann könnte man sich sehr schnell darauf verständigen. Das Europäische Parlament hat im April 2014 auf Vorarbeiten von Jan Philipp Albrecht bereits einen einheitlichen Standpunkt nahezu einstimmig beschlossen. Wenn wir in einem demokratischen europäischen Staat leben würden, wäre dieses Gesetzgebungsverfahren schon beendet. Das ist jetzt eine ketzerische Bemerkung, weil der europäische Gesetzgebungsprozess so nicht organisiert ist. Da haben die Regierungen der Mitgliedsstaaten noch ein wesentliches Wort mitzureden, und da hakt es im Moment. Die Regierungen müssen sich einigen mit dem Parlament und der Kommission. Es ist dringend erforderlich, dass das schnell passiert.


1

2

Vor