Kurzbeitrag : Die EU-Datenschutz-Grundverordnung in der Umsetzung: Eine Diskussion über Chancen und Herausforderungen : aus der RDV 5/2016, Seite 253 bis 259
Die Verabschiedung der Europäischen Datenschutz-Grundverordnung (DS-GVO) stellt vor dem Hintergrund eines zunehmenden globalen Wettbewerbsdrucks und der Notwendigkeit, den Wirtschafts- und Innovationsstandort Europa langfristig zu stärken, zweifelsohne einen bedeutenden Fortschritt für mehr Rechtssicherheit in Fragen des Datenschutzes in Europa dar. Im Rahmen der Umsetzung und Anwendung der DS-GVO wird sich jedoch auch zeigen, inwiefern die hochgesteckten Ziele Harmonisierung, Wettbewerbsangleichung und Modernisierung tatsächlich in ihrer Gänze erfüllt werden können und sich im Idealfall auf diese Weise ein rechtlicher Orientierungsrahmen für Individuen und Unternehmen etabliert, der eine vernünftige Balance zwischen dem Bedürfnis nach Sicherheit, verfassungsrechtlich verankerten Privatsphäre- und Freiheitsrechten sowie Innovationsförderung und offenen Märkten gewährleistet. Um dies zu erreichen, gilt es, schnellstmöglich die noch offenen Fragen hinsichtlich nationaler Auslegungsspielräume und den neuen Herausforderungen des digitalen Zeitalters zu diskutieren und umfassende Empfehlungen zu formulieren, an denen sich Verantwortliche und Auftragsverarbeiter, aber auch Behörden und Gerichte orientieren können. Der folgende Artikel versucht in diesem Zusammenhang einen ersten Beitrag zu leisten.
Die Notwendigkeit einer zeitgemäßen Datenpolitik
„Es war die beste Zeit, es war die schlechteste Zeit. Es war das Zeitalter der Weisheit, es war das Zeitalter der Torheit…“ – mit diesen Worten beginnt Charles Dickens seinen Roman „A Tale of Two Cities“ (Eine Geschichte aus zwei Städten). Eine Erzählung, die zu einem Zeitpunkt entstand, indem sich Europa und die Welt durch die voranschreitende industrielle Revolution inmitten einer tiefgreifenden und dauerhaften Umgestaltung der wirtschaftlichen und sozialen Verhältnisse, der Arbeitsbedingungen und Lebensumstände befand. Zwar erleben wir in diesen Tagen die mittlerweile vierte Phase der industriellen Revolution, doch sind die dadurch entstehenden wirtschaftlichen und sozialen Veränderungen nicht weniger tiefgreifend als vor mehr als 150 Jahren.
Maßgeblich geprägt wird der technologische Fortschritt im Jahr 2016 durch Cloud-Computing, das Internet der Dinge, Maschinelles Lernen und Big Data. Diese neue Generation digitaler Technologien verändert die Art, wie Produkte und damit verbundene Dienstleistungen entwickelt, hergestellt und vermarktet werden, nachhaltig und ermöglicht immer innovativere Geschäftsmodelle. Da Datenverarbeitung im Zeitalter der Globalisierung zunehmend international erfolgt und Netzinfrastrukturen weltweit verbunden sind, kann Datenschutz nicht mehr durch die territorial beschränkte Gesetzgebung einzelner Staaten reguliert werden, sondern braucht klare und harmonisierte internationale Regeln.
Die Notwendigkeit der Etablierung eines kohärenten internationalen Rechtsrahmens hat sich seit den Enthüllungen durch Edward Snowden im Rahmen der NSA-Affäre noch einmal verstärkt. Gerade innerhalb Europas ist eine Sensibilisierung hinsichtlich des Schutzes personenbezogener Daten und technologischer Sicherheit zu beobachten, die die Gefahr einer digitalen Vertrauenskrise endgültig real gemacht hat. Die Sicherstellung von Vertrauen in digitale Dienste und Plattformen ist somit zu einer dringlichen gesellschaftspolitischen Aufgabe geworden, die es auf nationaler sowie europäischer Ebene gleichermaßen zu bewältigen gilt. Gleiches gilt für die Gewährleistung eines innovationsfördernden Datenschutzniveaus in Europa.
Mit der im Mai 2015 von der Europäischen Kommission veröffentlichten „Strategie für einen digitalen Binnenmarkt für Europa“ hat sich Europa glücklicherweise bewusstgemacht, dass man im Kontext der digitalisierten Welt nur ein Teil eines globalen Marktes ist. Vor diesem Hintergrund verkörpert der digitale Binnenmarkt eine absolute Notwendigkeit, um auf globaler Ebene Schritt halten und eine hohe Innovationskraft der EU-Mitgliedstaaten langfristig gewährleisten zu können. Gelingen kann die Umsetzung dieses ehrgeizigen politischen Ziels allerdings nur innerhalb kohärenter und zeitgemäßer rechtlicher Rahmenbedingungen.
Die Verabschiedung der DS-GVO ist ein wichtiger Schritt zu mehr Rechtssicherheit in Europa
Die Verabschiedung der Europäischen Datenschutz-Grundverordnung (DS-GVO) stellt vor den genannten Hintergründen einen bedeutenden Fortschritt für mehr Rechtssicherheit in Fragen des Datenschutzes im europäischen Raum dar. Durch die direkte Gültigkeit der DS-GVO in allen EUMitgliedsstaaten soll zukünftig gewährleistet sein, dass das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung ihrer personenbezogenen Daten unionsweit gleichmäßig und einheitlich ist.
Im Idealfall etabliert sich auf diese Weise ein rechtlicher Orientierungsrahmen für Individuen und Unternehmen, der eine vernünftige Balance zwischen dem Bedürfnis nach Sicherheit, verfassungsrechtlich verankerten Privatsphäreund Freiheitsrechten sowie Innovationsförderung und offenen Märkten gewährleistet, sowie klare und harmonisierte datenschutzrechtliche Bestimmungen beinhaltet, von denen Industrie und Verbraucher gleichermaßen profitieren.
Man muss sich in diesem Kontext dessen bewusst sein, dass insbesondere Unternehmen der Digitalwirtschaft ein gewisses Maß an Flexibilität benötigen, um Innovationen und neue Lösungen für den Datenschutz entwickeln zu können. Dieser Herausforderung, die richtige Balance zwischen dem Schutz personenbezogener Daten der europäischen Verbraucher und der gleichzeitigen Förderung technologischer Innovationen zu finden und damit ein zukunftsfähiges rechtliches Fundament zu schaffen, nimmt sich die DS-GVO an. Dabei reicht es nicht aus, die Verordnung zügig umzusetzen, vielmehr gilt es, von Anfang an neben den bereits beschriebenen Vorteilen der neuen Gesetzgebung auch die noch ungeklärten Fragen und neuen Herausforderungen für Wirtschaftsunternehmen sowie die zukünftige Rolle der nationalen Datenschutzbehörden offen zu diskutieren.
Die DS-GVO in der Praxis: Herausforderungen und Chancen für Unternehmen
Der Datenschutz wurde in Europa bisher maßgeblich durch die EU-Datenschutzrichtlinie 95/46/EG geregelt, welche in nationale Gesetze umgesetzt wurde und sich in Deutschland primär im Bundesdatenschutzgesetz (BDSG) wiederfindet. Die Richtlinie stammt aus dem Jahr 1995 und spiegelt entsprechend viele technologische Entwicklungen nicht mehr wider. Insgesamt werden Unternehmen für die von ihnen gespeicherten personenbezogenen Daten zukünftig stärker verantwortlich gemacht. Dies impliziert die Notwendigkeit, rechtzeitig umfassende neue Prozesse und Strukturen zu schaffen, um den Vorgaben der DS-GVO zu entsprechen.
In diesem Zusammenhang ist vor allem das neueingeführte „Recht auf Vergessenwerden“ (Kap. 3 Art. 17 DSGVO) zu nennen, welches jeder Person einen Anspruch auf Löschung ihrer personenbezogenen Daten einräumt. Diese sich aus der neuen Verordnung ergebenden Pflichten zur Löschung von Daten sind umfassender als jene, die bislang unter dem BDSG Geltung haben. Kommt ein Verantwortlicher seinen Löschungspflichten nicht nach, kann dies mit Bußgeldern in Höhe von bis zu 4 Prozent des Jahresumsatzes sanktioniert werden. Für Unternehmen wird es daher zukünftig entscheidend sein, jene veränderten Anforderungen in ihren Löschkonzepten präzise abzubilden, um künftig nachweisen zu können, dass sie die Vorgaben der DS-GVO einhalten.
Die zusätzlichen Anforderungen für Unternehmen zeigen sich auch in den in der DS-GVO verankerten, umfassenden Melde-und Benachrichtigungspflichten (Kap. 4 Art. 33 und 34 DS-GVO) sowie der erweiterten Haftung für Verantwortliche und Auftragsdatenverarbeiter (Kap. 8 Art. 82 Abs. 1 DS-GVO). In diesem Zusammenhang zeichnet sich ab, dass zukünftig auch die Nutzung von Cloud-Angeboten durch die Mitarbeiter in die Verantwortung der Unternehmen fallen wird. Wenn sie etwa personenbezogene Daten bei Cloud-Dienstleistern ablegen oder auf diesem Weg mit anderen austauschen, kann dafür in Zukunft das Unternehmen in die Pflicht genommen werden, und zwar selbst dann, wenn es sich um keine offiziell genehmigte Nutzung, sondern um eine Form der „Schatten-IT“ handelt. Das gilt im Übrigen auch für mobile Endgeräte wie Notebooks, Tablets oder Smartphones, die von den Mitarbeitern mit nach Hause genommen werden. Unternehmen sollten daher nach Wegen suchen, den Zugriff auf nicht-autorisierte Dienste beispielsweise über entsprechende Filterregeln zu unterbinden und strikte Regelungen für den Umgang mit personenbezogenen Daten auf privat genutzten Geräte zu formulieren. Bei den von Unternehmen eingesetzten Cloud-Diensten sollte zudem überprüft werden, ob sie den Vorschriften der DS-GVO entsprechen.
Die Vergangenheit hat zudem immer wieder gezeigt, dass datenschutzrechtliche Verpflichtungen nur in dem Umfang wirksam sind, in dem sie auch tatsächlich durchgesetzt werden. Bei Verstößen gegen die Bestimmungen der DS-GVO drohen daher nach Art. 83 (Kap. 8 DS-GVO) Strafen von bis zu vier Prozent des globalen Jahresumsatzes. Zudem drohen an Verstößen gegen die DS-GVO beteiligten Per sonen Geldstrafen von bis zu 20 Millionen Euro. Der Bußgeldrahmen der DS-GVO liegt damit deutlich über dem des BSDG, welches bislang Strafzahlungen in Höhe von maximal 300.000 Euro festlegte. Dies ist ein deutliches Signal dafür, dass Verstöße gegen den Datenschutz ernst zu nehmen sind. Zudem ist es durchaus vertretbar, Unternehmen, welche die Ihnen anvertrauten Daten nicht angemessen sichern und schützen, durch empfindliche Strafen zu maßregeln und erweiterte Kontrollmechanismen zu implementieren – so lange ihnen durch die Umsetzung und Auslegung der im Rahmen der DS-GVO verabschiedeten Neuregelungen eine zeitgemäße Möglichkeit gegeben wird, Innovationspotenziale ausschöpfen zu können und flexible sowie den jeweiligen Umständen angemessene Datenschutzlösungen zu entwickeln.
Niederlassungsprinzip/Marktortprinzip – eine verpasste Chance auf „Wettbewerbsgleichheit“?
Durch die DS-GVO wird der geografische Geltungsbereich des europäischen Datenschutzrechts bedeutend ausgeweitet. Basierend auf dem „Niederlassungsprinzip“ legt die DS-GVO fest, dass ihre Bestimmungen Anwendung auf die Verarbeitung personenbezogener Daten finden, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt. Das „Marktortprinzip“ erweitert diese Bestimmung und legt fest, dass der europäische Datenschutz für alle Unternehmen gelten soll, die sich an europäische Verbraucher wenden – unabhängig davon, wo sich der jeweilige Firmensitz befindet. Dies umfasst die Vorgaben der DS-GVO in Bereichen der Datensicherheit, der Zulässigkeit der Datenverarbeitung, die Rechte betroffener Personen sowie Aufsichts-und Zertifizierungsfragen. Ziel dieser Erweiterung ist es, mehr Wettbewerbsgleichheit auf dem europäischen Markt von Anbietern innerhalb und außerhalb der Europäischen Union herzustellen und die Wahrnehmung von Betroffenenrechten zu vereinfachen. Beides wird nur zu Teilen erreicht.
Zum einen führt die Zweckbegrenzung dieses Prinzips dazu, dass bestimmte Datenverarbeitungen von Personen, die sich in der Europäischen Union aufhalten, in den Anwendungsbereich fallen und andere nicht. Dies wird mit großer Wahrscheinlichkeit zu problematischen Abgrenzungsfragen führen und untergräbt die intendierte Rechtsklarheit. Zum anderen unterliegt die Beschränkung des Anwendungsbereichs der durch die DS-GVO geregelten Betroffenenrechte weiterhin den Mitgliedsstaaten, „sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt (Kap. 2 Abschnitt 5 Art. 23 DS-GVO)“. Jene Beschränkungen reichen vom Schutz der „Rechte und Freiheiten betroffener Personen“, den „Kategorien personenbezogener Daten“, den Zwecken ihrer Verarbeitung bis hin zum „Schutz der nationalen Sicherheit“. Der Umfang der Beschränkungen, wie auch die abstrakte Formulierung, wann diese zum Tragen kommen, werden in vielen Fällen eine weitergehende, von der Pfadabhängigkeit mitgliedstaatlicher Rechtsauslegungen geprägte Interpretation durch nationale Gerichte notwendig machen, um die durch das „Marktortprinzip“ festgelegten Regelungen vollziehen zu können. Dies wird aller Voraussicht nach zwischen den Mitgliedsstaaten zu erheblichen Unterschieden in der Anwendung der Verordnung führen. Zwar könnte man dieser These entgegensetzen, dass der im Rahmen der DS-GVO eingeführte Europäische Datenschutzausschuss (Kap. 7 Artikel 66 DS-GVO) künftig dafür sorgen wird, dass die Verordnung einheitlich angewandt wird. Dessen Beschlüsse sind allerdings für Gerichte nicht bindend, sondern können bestenfalls als Empfehlungen dienen, da die DS-GVO nur vonseiten des Europäischen Gerichtshofes abschließend ausgelegt werden kann. Somit droht ein fragmentierter Rechtsrahmen anstelle harmonisierter Wettbewerbsbedingungen, der den bereits existierenden Nachteilen im internationalen Vergleich nur schwer entgegenwirken werden kann.
Eine größere Rolle für die Europäischen Datenschutzbehörden
Um die Gefahr des Wettbewerbsnachteils für Europa durch fehlende Kohärenz in der Rechtsumsetzung größtmöglich einzudämmen, wird es zukünftig vor allem auf die effektive Zusammenarbeit der nationalen Datenschutzbehörden an kommen, deren Aufgabenbereich durch die DS-GVO und den im EU-U.S. Privacy Shield verankerten zusätzlichen Prüfungsrechten erheblich ausgeweitet wird. Ein europaweites System der Datenschutzaufsicht soll jene einheitliche Rechtsdurchsetzung im Datenschutz zukünftig gewährleisten („One-Stop-Shop“). Dabei sollen betroffene Personen weiterhin ihre lokale Datenschutzaufsichtsbehörde kontaktieren können. Diese wendet sich daraufhin an die für das jeweilige Unternehmen zuständige Datenschutzaufsichtsbehörde, welche dann in Absprache mit den anderen Aufsichtsbehörden eine europaweit einheitliche Entscheidung fällt. Auch Unternehmen selbst wenden sich entsprechend diesem Prinzip an die Datenschutzbehörde, in deren Zuständigkeitsbereich der Hauptsitz ihres Unternehmens fällt. Dies hat den positiven Effekt, dass Unternehmen in Datenschutzfragen nur noch mit ihrer eigenen zuständigen Behörde in Kontakt treten müssen und nicht mehr mit potenziell konfligierenden Behördenaussagen konfrontiert sind. Ferner sind die nationalen Datenschutzbehörden nun auch mit der Aufgabe der „Öffentlichkeitsarbeit“ betraut. Dabei sollen sie die Bevölkerung beispielsweise für Risiken im Zusammenhang mit der Datenverarbeitung sensibilisieren. Außerdem fällt die Aufklärung von Unternehmen nun in den Aufgabenbereich der Datenschutzbehörden. Darüber hinaus sollen die Datenschutzbehörden zukünftig selbst die Nutzung von Standardvertragsklauseln innerhalb von Verträgen zwischen Service-Providern und Kunden überprüfen können, so dass schneller Rechtssicherheit für beide Seiten erlangt werden kann.
Da die deutschen Datenschutzbehörden leider in der Vergangenheit nur in Ausnahmefällen dafür sorgen konnten, ein länderübergreifendes, homogenes Datenschutzniveau in Deutschland herzustellen, sollte ihre gegenwärtige Organisationsstruktur hinsichtlich der durch die DS-GVO hinzugewonnen Kompetenzen auf den Prüfstand gestellt werden. Nur durch eine effiziente und agile Zusammenarbeit wird es zukünftig möglich sein, eine starke und zeitgemäße Position innerhalb Europas zu vertreten. Hierunter fällt auch die ausreichende Berücksichtigung von Innovationspotenzialen neuer Geschäftsmodelle im Rahmen von Abwägungsentscheidungen. Die Verankerung formeller Anhörungsverfahren zu den unternehmerischen und industriellen Interessen könnte an dieser Stelle ein Schritt in die richtige Richtung sein.
Zweckänderungen und Vereinbarkeit: Warum Datensparsamkeit nicht mehr zeitgemäß ist
Die DS-GVO führt das bisherige Grundprinzip fort, wonach jede Datenverarbeitung verboten ist, solange es keine gesetzliche Erlaubnisnorm gibt oder die betroffene Person nicht eingewilligt hat (sog. „Verbot mit Erlaubnisvorbehalt“). Bislang galten, basierend auf dem BDSG, zudem die Prinzipien der Zweckbindung und Datensparsamkeit. Hiernach dürfen Daten nur für einen zuvor bestimmten Zweck und auch nur solange verarbeitet werden, bis dieser Zweck der Datenverarbeitung erlischt – anschließend sind personenbezogene Daten zu löschen. Laut DS-GVO soll die Verarbeitung personenbezogener Daten zu einem anderen Zweck als dem ihrer Erhebung zukünftig jedoch unter bestimmten Voraussetzungen zunächst zulässig sein. Basierend auf der DS-GVO wäre solch eine Zweckänderung künftig zulässig, sofern die betroffene Person in eine solche Zweckänderung eingewilligt hat und sie mit dem ursprünglichen Zweck „vereinbar“ ist. Bereits jetzt kann festgehalten werden, dass diese Änderungen mit Blick auf den technologischen Fortschritt der letzten Jahre nicht weit genug greifen und das Prinzip der Datensparsamkeit grundsätzlich fortgeführt wird
Ein zeitgemäßer Datenschutz erfordert die Schaffung eines Ordnungsrahmens für eine mehr und mehr digitalisierte Welt, der die Persönlichkeitsrechte der Menschen schützt und gleichzeitig innovative Methoden der Datenverarbeitung ermöglicht. Man hätte daher erwarten können, dass im Rahmen der DS-GVO konkrete Richtlinien etabliert werden, die sich insbesondere den bisher ungeklärten Fragen rund um die Themen Industrie 4.0 und Big Data annehmen, um die daraus entstehenden Geschäftsmodelle auf ein solides Fundament zu stellen. Leider wurde diese Chance nicht in einem wünschenswerten Maße genutzt.
Grundsätzlich geht es dabei nämlich um folgendes Problem: „Big Data“-Analysen haben das Ziel, durch die Zusammenführung und Auswertung großer Datenmengen aus unterschiedlichen Anwendungs- und Lebensbereichen vorher nicht bekannte Muster zu entdecken. Dies impliziert in der Regel, dass jene Daten aus ihren ursprünglichen Zusammenhängen gerissen werden und der ursprünglich vorgesehene Verarbeitungszweck damit seine Gültigkeit verliert. Big Data-Analysen mit Personenbezug kommen heutzutage im Gesundheitswesen, der Verkehrslenkung, in der Forschung oder bei der Energieversorgung zum Einsatz.
Der Datenschutz steht diesem Ansatz in seinen Grundsätzen entgegen. Ihm zufolge ist der Umgang mit personenbezogenen Daten nur dann erlaubt, wenn von vornherein Einwilligungen oder Verträge vorliegen, die eine eindeutige Transparenz über Umfang und Zweck der Datenverarbeitung garantieren. Darüber hinaus spielt es für den Datenschutz keine Rolle, ob die aus der Analyse von Massendaten gewonnen Informationen auch Aussagen über bestimmte Personen treffen und damit auch nicht, auf welche expliziten Informationen es dem Datenverarbeiter ankommt. So mag beispielsweise der Automobilhersteller durch moderne Datenanalysen einzig beabsichtigen, seine Fahrzeuge und deren Probleme in Zukunft besser verstehen zu können. Gemäß den Prinzipien des Datenschutzes werden diese Daten jedoch in den meisten Fällen auch Aussagen über die Fahrzeugnutzer treffen. Unter diesen Umständen bezieht der Datenschutz auch jene Informationen mit ein, die aus datenschutzrechtlichen Gesichtspunkten eigentlich irrelevant sein sollten, wie beispielsweise Verkehrsdaten oder Informationen zum Verschleißverhalten bestimmter Fahrzeugmodelle. Die DS-GVO hätte nun an dieser Stelle Kriterien einführen können, die die Bestimmung der Personenbeziehbarkeit sowie die Beurteilung der Zulässigkeit der Datenverarbeitung vereinfachen und für alle Beteiligten transparenter machen würden. Bedauerlicherweise bleibt es aber fraglich, ob die neue Verordnung (Art. 6 Abs. 4 DS-GVO) diese Anforderungen erfüllen kann und sich darauf aufbauend eine innovationsfreundliche Auslegung des Prinzips der Zweckbindung entwickeln wird.
Innovationsfreundlichkeit darf in diesem Zusammenhang nicht bedeuten, dass Unternehmen mit personenbezogenen Daten machen können, was sie wollen. Um Europa jedoch nicht langfristig von der technologischen Entwicklung abzukoppeln, ist es unabdinglich, einen pragmatischen Ansatz zu etablieren, der innovative Datenanalysen möglich macht und gleichzeitig Missbrauchspotenziale dort bekämpft, wo sie vorhersehbar sind oder tatsächlich auftauchen. Des Weiteren kann es sogar schon hilfreich sein, die Öffentlichkeit gezielt über die Nutzungspotenziale von Big Data aufzuklären und einen gesellschaftlichen Diskurs über Chancen und selbstgesetzte Grenzen des Einsatzes der Technologie anzustoßen.
Datenkontrolle als neues Prinzip des Datenschutzes
Da in einer digitalisierten Welt nicht mehr die Minimierung von Daten das eigentliche Schutzziel sein kann, muss der Verbraucher dadurch geschützt werden, dass er die Kontrolle über seine Daten behält. So sollten alle Dienste und Plattformen die Daten mit Personenbezug verarbeiten, den Nutzern umfangreiche Möglichkeiten geben, die Nutzung und Weiterverarbeitung ihrer Daten in den Privacy-Settings selbst einstellen zu können. In Anbetracht der neuen technologischen Möglichkeiten im Bereich der Datenverarbeitung muss Datenschutz also bereits bei der Produktentwicklung mitgedacht werden. Das Prinzip des „Privacy by Design“ ist in der DS-GVO nun gesetzlich verankert. Dabei ist es jedoch nicht ausreichend, dies allein auf die „Bauweise“ von Produkten zu beschränken. Vielmehr sollte es verantwortungsvollen Technologieunternehmen als einer der Grundpfeiler ihrer Unternehmenskultur dienen und die Art und Weise, wie Dienstleistungen angeboten und durchgeführt werden, maßgeblich beeinflussen.
Extraterritoriale Rechtsanwendung: Es besteht weiterhin Reformbedarf
Für Unternehmen jeglicher Branchen und jeglichen Ursprungs ist es von hervorgehobener Bedeutung, in einem rechtlich sicheren Rahmen für den Transfer personenbezogener Daten operieren zu können. Gleichzeitig müssen zeitlose und nicht verhandelbare Werte und individuelle Rechte wie der Schutz der Privatsphäre auch in Anbetracht des technologischen Wandels und wachsender Datenmengen Bestand haben. Das daraus resultierende Spannungsverhältnis konnte in der Vergangenheit nur schwer aufgelöst werden und erzeugt grundlegenden Reformbedarf, welcher auch mit Inkrafttreten der DS-GVO weiterhin bestehen bleibt. Dementsprechend werden Datentransfers in Drittstaaten weiterhin nur zulässig sein, wenn zusätzliche Sicherheitsmechanismen dazu beitragen, ein angemessenes Datenschutzniveau zu gewährleisten, oder wenn ein solches verbindlich festgestellt wurde. Grund hierfür ist die Annahme, dass in Drittstaaten im Allgemeinen kein angemessenes Datenschutzniveau vorherrscht. Nichtsdestotrotz wurden in der neuen Verordnung einige Konkretisierungen vorgenommen, die insbesondere die Rechtsprechung des Europäischen Gerichtshofes aufgreifen und ausdrücklich auf bereits existierende Instrumentarien hinweisen, die als „geeignete Garantien“ einen Datentransfer in Drittstaaten legimitieren. Zur Herstellung eines angemessenen Datenschutzniveaus wird nun explizit auf Standardvertragsklauseln, welche von der Europäischen Kommission als Modelklauseln vorgeben werden und deren Inhalt nicht abgeändert werden darf, sowie auf die als „Binding Corporate Rules“ (BCR) bezeichneten, verbindlichen und selbstauferlegten Unternehmensvorschriften zum Umgang mit personenbezogenen Daten hingewiesen. Zur Heranziehung der BCRs werden in Artikel 47 der DGVO konkrete Anforderungen festgelegt, die die Umsetzung von Betroffenenrechten, Beschwerde- und Konfliktlösungsverfahren, die Haftungsübernahme im Fall von Verstößen gegen das Datenschutzrecht und die Kooperation mit Aufsichtsbehörden umfassen. Sofern die Zulässigkeit nicht über Ausnahmeregelungen hergestellt wurde und keine der gerade beschriebenen Schutzgarantien vorliegen, sollen Datenübermittlungen weiterhin zulässig sein, wenn „die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und falls der für die Verarbeitung Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat (Kap. 5 Artikel 49 DSVGO)“. Um für sich selbst zumindest ein ausreichendes Maß an Rechtssicherheit herstellen zu können, sind Verantwortliche also auch zukünftig darauf angewiesen, bestehende Rechtsgrundlagen im Einzelfall zu analysieren und geeignete Mechanismen zur Herstellung eines angemessenen Datenschutzniveaus abzuleiten.
Aus globaler Sicht haben die Aufhebung des „Safe Harbor“-Abkommens sowie die wachsende Problematik der extraterritorialen Anwendung nationaler Gesetze im Zusammenhang mit Anfragen von Regierungen nach Daten, die außerhalb ihrer Rechtshoheit liegen, darüber hinaus deutlich gemacht, dass das heutige internationale System des Datenschutzes auch an anderen Stellen einer dringenden Modernisierung bedarf. Insbesondere die internationalen Rechtshilfeabkommen (engl. „Mutual Legal Assistance Treaties“, kurz: MLAT) müssen dringend an die Realitäten des digitalen Zeitalters angepasst werden. Microsoft sollte nicht zwischen den Stühlen stehen müssen, wenn Regierungen den Zugriff auf Nutzerdaten einfordern.
Jene Reformnotwendigkeit wurde durch die als „Warrant Case“ bekannt gewordene Anfechtungsklage von Microsoft gegen einen Durchsuchungsbeschluss (warrant), der von einem amerikanischen Gericht erlassen wurde und von Microsoft die Herausgabe der Inhalte des im Rechenzentrum von Microsoft im irischen Dublin gespeicherten Emailverkehrs eines Kunden fordert, bestätigt. Im Mittelpunkt des Falls stand die Frage, ob die US-Regierung extraterritorial in ein europäisches Rechenzentrum eingreifen kann, um persönliche Kommunikationsdaten von EU-Bürgern einzufordern, ohne dabei das EU-Recht zu berücksichtigen. Microsofts Handeln gründet in diesem Zusammenhang auf einer der zentralen Verpflichtungen des Unternehmens im Bereich des Datenschutzes gegenüber seinen Nutzern – und zwar, nur dann den Forderungen einer Regierung nach Aushändigung von Nutzerdaten nachzukommen, wenn das Unternehmen rechtlich dazu verpflichtet ist. Microsoft hat sich ferner dazu verpflichtet, wo möglich (wie am Beispiel des Warrant Cases) Einspruch zu erheben, wenn Regierungen Daten in Ländern beschaffen wollen, die nicht in ihre Gerichtsbarkeit fallen. Dabei versucht Microsoft nicht, die USRegierung – oder andere Staaten – davon abzuhalten, die notwendigen Beweismittel zur Verfolgung krimineller Aktivitäten zu erlangen. Das Unternehmen ist vielmehr der Auffassung, dass die US-Regierung bestehende internationale Mechanismen wie die vereinbaren MLAT-Verfahren für die Erlangung von Beweismitteln außerhalb der USA einhalten sollte, anstatt die US-Rechtsprechung auf Daten, die im Ausland gespeichert werden, anzuwenden und einseitig durchzusetzen. Durch die Beschaffung digitaler Informationen im Rahmen eines Durchsuchungsbeschlusses anstelle von Rechtshilfeabkommen vereitelt die US-Regierung den Zweck dieser Abkommen. Die US-Regierung widersprach der Position von Microsoft, da der Durchsuchungsbeschluss gegen Microsoft in den USA ergangen sei und sich die Daten unter der Kontrolle von Microsoft befinden würden. Sie geht davon aus, dass sie Technologieunternehmen, über die sie Rechtsgewalt hat, dazu zwingen kann, Emails von Kunden offenzulegen – unabhängig davon, wo diese Emails gespeichert sind und welche Datenschutzgesetzte vor Ort gelten. Am 14. Juli 2016 hat das US-Berufungsgericht „U.S. Court of Appeals for the Second Circuit” über die Klage von Microsoft gegen die globale Anwendbarkeit von US-Durchsuchungsbeschlüssen für E-Mails von Personen entschieden. Das Gericht entschied zugunsten von Microsoft und hob damit das Urteil der vorherigen Instanz auf.
Strafverfolgungsbehörden und Unternehmen müssen zukünftig enger zusammenarbeiten
Es sollte an dieser Stelle betont werden, dass die Einhaltung von Recht und Gesetz, wie von Microsoft im Rahmen des „Warrant Case“ gefordert, nur dann legitim sein kann, wenn den Strafverfolgungsbehörden funktionsfähige Mittel zur Rechtsausübung gegeben werden. Diese Voraussetzung wird mit dem Verweis auf die MLAT-Verfahren unter den momentanen Voraussetzungen nicht erfüllt und ruft somit einen dringenden Reformbedarf dieser und anderer Mittel hervor. Jene Reformen müssen die heutige Welt in angemessener Form widerspiegeln, anstatt sich an Technologien zu orientieren, die vor drei Jahrzehnten zur Zeit der Verabschiedung dieser Gesetze verbreitet waren. So hat Microsoft das US-Justizministerium bereits um Änderungen des bestehenden MLAT-Prozesses gebeten. Unter anderem geht es dabei um die Schaffung eines Online-Tracking-Systems für Anfragen und zur Veröffentlichung von jährlichen Statistiken über den Umfang der Rechtshilfeanfragen. Darüber hinaus müssen Strafverfolgungsbehörden gerade in Zeiten zunehmender terroristischer Bedrohungen dazu fähig sein, ihren Aufgaben effektiv nachzugehen. Eine Erneuerung der MLAT-Verfahren sollte daher verbindliche Regelungen einführen, die die internationale Herausgabe von Auskünften zu Tatverdächtigen und Anschlagsplanungen beschleunigen und damit die öffentliche Sicherheit stärken. Es ist somit notwendiger denn je, dass die Technologiebranche und die Politik konstruktiv zusammenarbeiten, um Bedürfnisse des Rechts auf Privatsphäre und der Strafverfolgung gleichermaßen weiterentwickeln zu können und die Rechte Einzelner als auch die Rechtsordnungen weltweit respektiert werden.
Es darf letztendlich nicht vergessen werden, dass dies keine Themen sind, die ausschließlich US-amerikanische Unternehmen, sondern die rechtliche Grundlage des internationalen Datenverkehrs betreffen und dadurch den Kern der gesamten europäischen Industrie berühren sowie das Vertrauen in die europäische Digitalwirtschaft in den nächsten Jahren maßgeblich beinflussen werden. Es bedarf daher eines konsistenten und einheitlichen europäischen Regelwerks, um zu vermeiden, dass ein rechtlicher Flickenteppich entsteht. Eine Gefahr, die sich unter Umständen auch zukünftig im Rahmen der Umsetzung der DS-GVO ergeben könnte.
Öffnungsklauseln: Weniger ist in diesem Fall mehr
Die neue Verordnung enthält insgesamt 70 sogenannter Öffnungsklauseln. Diese Vorschriften erlauben es den Mitgliedstaaten, für einzelne Datenverarbeitungen oder Anforderungen nationale Ausnahmeregelungen zu schaffen, etwa beim Beschäftigtendatenschutz, Fragen der Erlaubnis von Datenverarbeitungen, der Beschränkung von Betroffenenrechten oder im Gesundheitswesen.
Im Ergebnis beschränken die Öffnungsklauseln das Maß an EU-weiter Vereinigung und sind zum Teil derart abstrakt formuliert, dass die Mitgliedstaaten sie jeweils entsprechend ihrer nationalen Rechtstradition auslegen können. Zwar bleibt es abzuwarten, ob und in welcher Form die Mitgliedsstaaten von diesem Recht Gebrauch machen werden und welchen Spielraum der Europäische Gerichtshof ihnen hierfür einräumen wird, im Interesse eines tatsächlich einheitlichen europäischen Rechtsrahmens sollten die Öffnungsklauseln jedoch in so geringem Maße wie möglich genutzt werden. Dabei sollte man sich auch noch einmal vor Augen führen, dass jene Freiräume in ihrer ursprünglichen Form nur geschaffen wurden, um nationale Besonderheiten ausreichend berücksichtigen zu können. Dies sollte jedoch nur in Fällen erfolgen, die eine Vereinheitlichung des Rechtsrahmens aus allgemein verständlichen Gründen ausschließen, andernfalls besteht das Risiko der Rechtsunsicherheit und einer nachhaltigen Fragmentierung der DSGVO.
Fazit
Es ist nicht zu bestreiten, dass die Datenschutz-Grundverordnung vor dem Hintergrund eines zunehmenden globalen Wettbewerbsdrucks und der Notwendigkeit, den Wirtschaftsund Innovationsstandort Europa langfristig zu stärken, einen bedeutenden Fortschritt darstellt. Dieser Beitrag hat jedoch auch gezeigt, dass die ausgerufenen Ziele Harmonisierung, Wettbewerbsangleichung und Modernisierung nur zu Teilen erfüllt werden. Die Defizite führen im Umkehrschluss zu einer großen Verantwortung für die EU-Mitgliedstaaten und deren Datenschutzbehörden, Unternehmen, Verbände und neu geschaffene Institutionen wie dem Europäischen Datenschutzausschuss. Nur durch eine effektive und verbindliche Zusammenarbeit über alle Ebenen hinweg kann die neue Verordnung als Orientierungspunkt fungieren, der eine vernünftige Balance zwischen dem Bedürfnis nach Sicherheit, verfassungsrechtlich verankerten Privatsphäre- und Freiheitsrechten sowie Innovationsförderung und offenen Märkten gewährleist, sowie klare und harmonisierte datenschutzrechtliche Bestimmungen beinhaltet, von denen Industrie und Verbraucher gleichermaßen profitieren.
Es gilt also schnellstmöglich, die noch offenen Fragen hinsichtlich nationaler Auslegungsspielräume und den neuen Herausforderungen des digitalen Zeitalters zu diskutieren und umfassende Empfehlungen zu formulieren, an denen sich Verantwortliche und Auftragsverarbeiter, aber auch Behörden und Gerichte orientieren können. Dies betrifft insbesondere den Umgang mit der Vielzahl von Öffnungsklauseln, weiterführenden Reformmaßnahmen im Bereich internationaler Rechtshilfeabkommen (MLAT-Verfahren) und sonstigen Regelungen des internationalen Datenverkehrs, sowie den neu eingeführten Prinzipien wie dem der datenschutzfreundlichen Produktgestaltung („Privacy by Design“) und Zertifizierungen. Darüber hinaus gilt es zu klären, ob man sich durch eine weiterhin restriktive Auslegung des Prinzips der Zweckbindung in der Datenverarbeitung tatsächlich der Gefahr aussetzten möchte, die im Rahmen des Einsatzes von Big Data-Analysen entstehenden Innovationspotenziale in Bereichen wie dem Gesundheitswesen zu vergeben und damit Europas internationale Anschlussfähigkeit langfristig zu gefährden. Nur wenn diese Fragen gelöst werden und ein pragmatischer Ansatz gefunden wird, besteht eine berechtigte Chance, kohärente und zeitgemäße rechtliche Rahmenbedingungen im Bereich des Datenschutzes in Europa nachhaltig zu etablieren.
* Der Autor Dr. Dirk Bornemann ist seit 2006 als promovierter Jurist bei Microsoft tätig, von 2010 an als Leiter der Rechtsabteilung. Er ist Mitglied der Geschäftsleitung und Assistant General Counsel für Deutschland, Österreich und die Schweiz.
Der Autor Lennart Wetzel ist seit November 2014 Government Affairs Manager bei Microsoft Deutschland.