Allgemein, Recht

Deutsche Datenschützer warnen Unternehmen vor Amerika

Die Beobachtung des Internets durch Geheimdienste beunruhigt viele Nutzer. Die deutschen Datenschutzbehörden haben nun angedroht, hiesigen Unternehmen keine Auslagerung von Informationen in eine „Cloud“ außerhalb der EU mehr zu erlauben. Doch können sie Brüsseler Regeln außer Kraft setzen?

MÃœNCHEN, 13. August. Beinahe jeden Tag erreichen die Öffentlichkeit weitere Meldungen über Ausspähaktionen und Ãœberwachungsmaßnahmen der amerikanischen Sicherheitsbehörde NSA, aber auch zum Teil europäischer Sicherheitsbehörden. Der Witz über einen deutschen Internetnutzer, der sich nach einem Festplatten-Crash an den Präsidenten Barack Obama wendet und um eine Kopie zur Datenwiederherstellung bittet, hat mittlerweile durchaus reale Qualitäten. Nun haben sich die Datenschutzbeauftragten des Bundes und der Länder mit dem Thema „Zugriff von Sicherheitsbehörden auf personenbezogene Daten deutscher Bürger“ befasst. Insbesondere Datenübermittlungen an Internetprovider in den Vereinigten Staaten, Konzernmütter und andere außereuropäische Empfänger sind demnach nicht mehr ausreichend geschützt.

Zu betrachten ist zunächst das Konstrukt des europäischen Datenschutzrechts zu Datenübermittlungen: Europa kann als „Insel der Seligen“ betrachtet werden, auf der personenbezogene Daten in Sicherheit sind. Jenseits der schützenden Gewässer liegen wilde Festlande, die wie die Vereinigten Staaten, Russland, aber auch die Schweiz und andere Staaten nicht der Europäischen Union (EU) oder dem Europäischen Wirtschaftsraum angehören. In diesen wilden Regionen herrscht aus Sicht der EU kein angemessenes Datenschutzniveau. Es handelt sich um „unsichere Drittstaaten“.
Damit nun Daten von der Insel auf die wilden Festlande wandern können, können dafür vorgesehene Brückenkonstruktionen genutzt werden. Diese Konstruktionen werden im datenschutzrechtlichen Jargon als „Datentransfervehikel“ bezeichnet. Solche Vehikel können beispielsweise eine Zertifizierung als „sicherer Hafen“ (Safe-Harbour), sogenannte EU-Standardverträge oder „Binding Corporate Rules“ sein. Mit der Brückenkonstruktion akzeptieren die „wilden Drittstaaten“ grundsätzlich die wichtigsten Prinzipien des europäischen Datenschutzes, soweit es sich um Datenströme aus dem Insel-Bereich der EU handelt.

Dazu zählen unter anderem die Grundsätze der Zweckbindung und der Datensparsamkeit. Danach dürfen personenbezogene Daten nur für den Zweck verarbeitet werden, für den sie erhoben wurden, und auch nur in dem Umfang, der zur Erreichung dieses Zwecks erforderlich ist. Es ist offensichtlich, dass die Ãœberwachung deutscher Internetnutzer durch die NSA gegen diese Prinzipien verstößt. Dies bestätigt die Entschließung der Datenschutzkonferenz, wobei die Konsequenzen für die Praxis unklar bleiben. Am heftigsten diskutiert wird die Ankündigung, die Aufsichtsbehörden würden „keine neuen Genehmigungen für die Datenübermittlung an Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbour-Abkommens und der Standardvertragsklauseln auszusetzen sind“.

Zum Hintergrund sollte man wissen, dass Datenübermittlungen in unsichere Drittstaaten in vielen Fällen von der zuständigen Behörde zu genehmigen sind. Dieses Erfordernis entfällt nach dem Bundesdatenschutzgesetz unter anderem, wenn der Empfänger der Daten in den Vereinigten Staaten registriert ist oder wenn ein deutsches Unternehmen für seinen Datenexport mit dem nichteuropäischen Empfänger einen EU-Standardvertrag abgeschlossen hat. Schätzungsweise transferieren 80 bis 90 Prozent aller deutschen Unternehmen ihre Daten auf Basis dieser Vehikel in die Vereinigten Staaten und in andere unsichere Drittstaaten.

Viele Datenschützer argumentieren, die Entschließung der Datenschutzkonferenz habe keine Auswirkung auf die Praxis. Bei genauerer Betrachtung ist allerdings festzustellen, dass es zumindest zwei praktische Anwendungsfälle gibt, in denen künftig eine Ãœbermittlung personenbezogener Daten in die Vereinigten Staaten verhindert und Bußgelder verhängt werden können. Der erste Fall ist die Verwendung von Standardvertragsklauseln, insbesondere IT-Providern; sie sind nach derzeitiger Rechtslage um bestimmte Klauseln anzureichern, damit sie die Voraussetzungen des Bundesdatenschutzgesetzes erfüllen. Besonders strenge Datenschutzaufsichtsbehörden – beispielsweise in Schleswig-Holstein oder Berlin – verlangen, dass der Einsatz dieser Vertragsklauseln vorab von ihnen gebilligt wird. Diese Genehmigung soll nun nicht mehr erteilt werden. Der zweite Fall ist eine Datenübermittlung auf Basis der „Safe Harbour“-Regeln oder eines EU-Standardvertrages, wenn eine Behörde einen besonders schweren Datenschutzverstoß feststellt. Insbesondere Datenübermittlungen an Unternehmen, die besonders intensiv mit der NSA zusammenarbeiten oder gearbeitet haben, könnten von den Behörden in Augenschein genommen und im Einzelfall als rechtswidrig eingestuft werden.

Die Interpretation und Umsetzung der Entschließung der Datenschutzkonferenz liegt in den Händen der Behörden der einzelnen Bundesländer. Ob die Auffassung der besonders strengen deutschen Datenschutzbehörden in rechtlicher, aber auch wirtschaftlicher Sicht sinnvoll ist, kann man bezweifeln. Immerhin stellen sich die Behörden hier gegen das EU-Recht. Auf der anderen Seite muss etwas getan werden, denn tiefgehende Rechtsverletzungen durch die NSA und möglicherweise durch andere Sicherheitsbehörden können nicht geduldet werden.

Sinnvoller scheint aber doch die Haltung der Behörden anderer Bundesländer, die in der Entschließung ein datenschutzpolitisches Papier sehen, das Bundesregierung und EU zum Handeln auffordern soll. Jene Landesbehörden vertreten die Auffassung, dass bis auf weiteres keine Datenschutz-Audits oder Bußgeldverfahren eingeleitet werden sollten. Stattdessen hofft man dort dringend, dass bis Ende dieses Jahres sowohl das Safe-Harbour-Abkommen als auch die EU-Standardverträge im erforderlichen Maß überarbeitet würden, damit die deutschen Daten auch in den Vereinigten Staaten wieder sicher sind.

andreas-splittgerberDR. ANDREAS SPLITTGERBER
Rechtsanwalt

ORRICK, HERRINGTON & SUTCLIFFE LLP
ROSENTAL 4
80331 MÃœNCHEN

tel +49 89 383980-200
fax +49 89 383980-99
asplittgerber@orrick.com

Dr. Andreas Splittgerber ist Rechtsanwalt mit Schwerpunkt IT/IP und leitet die deutsche IT/IP-Praxis von Orrick. Dr. Splittgerber berät Mandanten in allen rechtlichen Fragen zur Informationstechnologie (IT) und zum Gewerblichen Rechtsschutz (IP), beispielsweise beim Entwurf und der Verhandlung von Lizenz-, Asset-, Beratungs- und Outsourcingverträgen. Daneben berät er Unternehmen im Internetrechtund Medienrecht. Ein weiterer Schwerpunkt von Dr. Splittgerber liegt im Datenschutzrecht und in der IT-Compliance.

Dr. Splittgerber ist seit 2011 Rechtsanwalt bei Orrick. Zuvor war er über sieben Jahre als Rechtsanwalt in der IT Praxisgruppe einer globalen Rechtsanwaltskanzlei in München und in San Francisco tätig.

Previous ArticleNext Article

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert