Kurzbeitrag : Gegenüberstellung der europäischen und US-amerikanischen Haltung zum Datenschutz : aus der RDV 3/2014, Seite 142 bis 144
Trotz eines dramatischen Anstiegs des weltweiten Handels besteht eine greifbare Spannung zwischen den restriktiven Vorschriften europäischer Datenschutzgesetze und den wesentlich freizügigeren Bestimmungen der US-amerikanischen Vorlage- und Offenlegungsgesetze (discovery laws). Dieses Spannungsfeld wird immer dann deutlich, wenn ausländische Unternehmen in den USA verklagt werden oder sich auf sonstige Weise US-amerikanischen Offenlegungsanfragen gegenübersehen.
Unternehmen entwickeln globale Identitäten, richten internationale Dependancen ein und führen international Geschäfte durch. Als Folge daraus können Daten, die in einem bestimmten Zuständigkeitsbereich gespeichert sind, für in anderen Zuständigkeitsbereichen ansässige Unternehmen relevant sein – was wiederum zu Problemen bei grenzüberschreitenden Verfahren oder behördlichen Ermittlungen führen kann. Das Problem wächst, sobald die Daten sich in einem Staat der EU befinden und die Notwendigkeit der Offenlegung von den USA ausgeht.
Die Position der EU
Nach der Richtlinie 95/46 über Persönlichkeitsschutz im Bereich personenbezogener Daten sind diejenigen, die mit der Handhabung von persönlichen Daten von Bürgern der Europäischen Union (EU) betraut sind, zum Schutz der Privatsphäre der Bürger an strenge Vorschriften gebunden. Sie müssen sicherstellen, dass keine den Einzelnen betreffenden Daten in Nicht-EU-Länder übermittelt werden, die kein dem der EU entsprechendes Niveau an Datenschutz vorweisen können. Darüber hinaus ist im europäischen Zivilrecht das Offenlegen von Informationen oder Dokumenten dem Gegner gegenüber kein gängiges Prinzip, was dazu beiträgt, dass europäische Staaten sehr zögerlich sind, Anfragen fremder Jurisdiktionen zu entsprechen. Einige europäische Staaten sind sogar noch weitergegangen, indem sie Sperrgesetze erlassen haben, mit denen die Erfüllung von Offenlegungsanfragen durch Länder wie beispielsweise die USA verboten werden soll. In einem Zeitalter, in dem der Handel zwischen der EU und den USA für das Wachstum der globalen Finanzmärkte von ausschlaggebender Bedeutung ist, ist solch eine Position unhaltbar.
Die Position der USA
Das System der USA steht dem europäischen System genau entgegengesetzt gegenüber, da es dem Kläger das Recht auf Einsicht in sämtliche Dokumente und elektronisch gespeicherten Informationen (ESI) gestattet, die für seinen Anspruch oder seine Klage relevant sein könnten, unabhängig davon, ob es sich dabei um persönliche Informationen handelt oder nicht. Der Datenschutz tendiert hier dazu, wesentlich begrenzter und spezifischer zu sein.
Wie arbeiten europäische und US-amerikanische Systeme in der Praxis?
In der Vergangenheit haben US-Gerichte die Offenlegung von Daten bei Fällen, in denen in der EU gehaltenen Daten betroffen waren, angeordnet, ohne große Rücksicht auf die EU-Beschränkungen für diejenige Partei zu nehmen, die die Informationen innehatte. In Sachen Vivendi Universal SA Secs. (Litg., No 02 Civ 5571 2006) stellte das US-amerikanische Gericht fest, dass das französische Sperrgesetz diejenigen, die der Anfrage seitens der US-Gerichte entsprachen, nicht wirklich dem Risiko einer Strafverfolgung aussetzte. Dennoch kann das Befolgen einer derartigen Anfrage auch gefährlich sein, wie die Sache Advocat Christopher X, (Cour de Cassation, Chambre Criminelle, Paris, 12. Dez. 2007) zeigt, bei dem ein französischer Anwalt angeklagt wurde, bei der Sammlung von Beweisen für ein Verfahren in den USA mitgeholfen zu haben. Der Oberste Gerichtshof von Frankreich bestätigte die Verurteilung des Anwalts zur Zahlung einer Geldstrafe in Höhe von 10.000 EUR.
Eine aktuellere Entscheidung französischer Gerichte zu diesem Thema (Bruno B vs. Giraud et Migot, Cour de Cassation, Chambre Sociale, Paris, 15. Dezember 2009, No 07- 44264, veröffentlicht am 8. Januar 2010), ist möglicherweise als eine kleine, aber bedeutsame Annäherung des europäischen Systems an die vernünftige Erkenntnis zu verstehen, dass nicht alle Daten, die traditionellerweise als privat gehandhabt wurden, auch weiterhin so behandelt werden müssen. Im Fall Bruno B wurde ein Mitarbeiter entlassen, nachdem sein Arbeitgeber auf seinem Arbeitscomputer Dateien entdeckt hatte, die Informationen enthielten, die der Mitarbeiter an die Regierung geschickt hatte und in denen er Steuerbetrug und damit verbundene Delikte behauptete. Bruno verklagte den Arbeitgeber wegen Verletzung seines Rechts auf Privatsphäre und gab an, die Dokumente seien persönlich gewesen. Das Berufungsgericht entschied, dass der Arbeitgeber das Recht hatte, Dokumente zu untersuchen, die nicht als „Privat“ gekennzeichnet waren und von denen er berechtigterweise annehmen konnte, sie wären arbeitsbezogen. Die Bedeutung des Falles liegt darin, dass nun wohl kein Recht auf Privatsphäre gegenüber den auf einem Arbeitscomputer gespeicherten Dateien eines Arbeitnehmers besteht, es sei denn, er kennzeichnet diese als „Privat“.
Das Risiko, europäische Datenschutzrechte zu verletzen, bleibt bei grenzübergreifenden Transaktionen greifbar
Ungeachtet dieses Diktums in der französischen Rechtsprechung bleibt unklar, unter welchen Umständen sich auf das Sperrgesetz berufen wird und wie andere EU-Staaten ihre Datenschutzgesetze anwenden werden, sollten Anfragen auf Offenlegung aus den USA erfolgen. Unternehmen müssen grenzübergreifende Anfragen daher intelligent handhaben, um die Risiken eventueller Geldstrafen durch europäische Gerichte möglichst gering zu halten. Insbesondere sollten sie:
- überlegen, ob die relevanten Daten möglicherweise auch aus Quellen innerhalb der USA oder anderen Ländern zu erhalten sind, die weniger strikte Datenschutzerfordernisse aufweisen.
- sich von Anwälten beraten lassen, die innerhalb der Jurisdiktion tätig sind, in der die Daten gehalten werden. Es reicht nicht, sich mit europäischem Recht im Allgemeinen auszukennen. Die Anwälte müssen sich der bestimmten Eigenarten des örtlichen Rechts bewusst sein, um sicherstellen zu können, dass das Unternehmen damit nicht unbeabsichtigt in Konflikt gerät.
- die Daten innerhalb des Zuständigkeitsbereiches, in dem sie gehalten werden, verarbeiten und analysieren. Ganz klar ist dieses Verfahren der Versendung großer Datenmengen in fremde Zuständigkeitsbereiche vorzuziehen, bei der zunächst ja nicht sicher ist, wie viele der Daten überhaupt relevant sind. Je weniger Daten versendet werden, je geringer ist wohl das Risiko, europäisches Recht zu verletzen.
- Technologie verwenden. Verarbeitung und Analyse von Daten ist zeitaufwendig. Unternehmen sollten intelligente Technologien verwenden, um die Prüfung der Daten zu beschleunigen und Prioritäten zu setzen, um den knappen Zeitrahmen, die von Gerichten und Behörden in solchen Fällen unweigerlich vorgegeben werden, entsprechen zu können.
- Sobald die Daten gefiltert und ein relevanter Datensatz erstellt wurde, können die Unternehmen sich dazu Gedanken machen, wie persönliche Daten zu handhaben sind, um die Einhaltung europäischer Datenschutzgesetze und die Anforderungen US-amerikanischer Offenlegungserfordernisse (beispielsweise die Herausgabe) sicherzustellen.
Zunehmend kommen Richter aus den USA und einer Reihe von europäischen Staaten zusammen, um über diesen Konflikt zu sprechen. Man kann nur hoffen, dass mit der Zeit eine kooperativere Haltung übernommen wird. Bis dahin werden Unternehmen weiterhin Geschäfte in einem Umfeld tätigen, in dem sie es riskieren, entweder europäische Datenschutzgesetze zu verletzen oder den Zorn US-amerikanischer Gerichte auf sich zu ziehen, sollten sie in grenzübergreifende Streitigkeiten verwickelt sein. Es ist eine schwierige Position, deren Auswirkungen jedoch gering gehalten werden können, wenn Unternehmen ihre grenzüberschreitenden Aufgaben für die Offenlegung elektronischer Daten angemessen planen, sich von ortsansässigen Anwälten beraten lassen und damit beginnen, die neuen und zunehmend wichtiger werdenden Tools zur Dokumentensichtung zu verwenden, die bereits zur Filterung von Daten vorhanden sind und durch die eine nachfolgende Sichtung beschleunigt wird.
* Deborah Blaxell ist Rechtsberaterin bei Epiq Systems und Hazel Grant ist Partnerin bei Bristows LLP.