Europa und der Datenschutz: Die DSGVO zwischen den Supermächten

Daten sind das neue Öl

Meglena Kuneva

Das wusste Meglena Kuneva schon 2009. Wenn man dann bedenkt, dass sensible personenbezogene Daten, auf einschlägigen, aber nicht ganz legalen Seiten, weniger als 2 Cent wert sind, ist das kaum zu glauben. Dementgegen stehen beispielsweise die Zahlen einer russischen Hacker-Gruppe: Diese hat mehr als eine Milliarde Nutzer-Daten „gesammelt“. Dazu gehörten auch Passwörter von Betroffenen aus verschiedensten Online-Plattformen. Der Marktwert dieser Daten liegt im Millionenbereich. Kreditkarten-Informationen sind dabei nicht mit hineingerechnet.

Doch worum geht es hier genau?

Das Zitat von der bulgarischen Politikerin Kuneva zielt darauf ab, dass der Wert von Daten deutlich angestiegen ist. Der Marktwert von Daten steigt jedoch ständig. Verständnis für diesen Umstand erhält man, wenn man den Zusammenhang mit der Vermarktbarkeit sieht. Durch Daten sieht man eben nicht nur Passwörter, Kennungen oder ähnliche Daten. Nein, Personen werden durch eine gewisse Schnittmenge an Informationen und Metadaten auswertbar, ja sogar interpretier- und vorhersehbar.

Der Anspruch der DSGVO ist es, eben solche Vorhersagen zu verhindern. Denn diese Vorhersagen können negative Konsequenzen für betroffene Personen haben. Man denke nur an den politischen Meinungsbildungsprozess der beeinflusst werden kann. Es gibt nicht ganz unberechtigte Kritik, unter anderem von US-Gremien. Diese fanden heraus, dass es Komplikationen auf Nachrichten- und Social-Media-Portalen kam. In den USA wurde der öffentliche Meinungsbildungsprozess auf unfaire Weise, zugunsten eines wählbaren Kandidaten, beeinflusst1. Um derlei Prozessen entgegenzutreten hat die Gesetzgebung unterschiedliche Instrumente entwickelt. Diese Instrumente, speziell für den internationalen Datenverkehr, sind in den Regularien von Art. 44 bis 50 DSGVO zu finden. Darin wird vorgeschrieben, wer wann welche Daten in welches Drittland übermitteln darf und was dann in diesem Drittland alles zu beachten ist.

Ohne zu verklausulierend zu wirken: Es gibt Staaten, in welchen personenbezogene Daten europäischer Betroffener von Haus aus verarbeitet werden dürfen. Das sind Staaten mit einem so genannten Angemessenheitsbeschluss. Eine Verarbeitung in diesen Staaten ist per se erst einmal in Ordnung. Welche Staaten dies betrifft erfahren Sie von Ihrem Datenschutzbeauftragten, oder von uns [Siehe Kontaktformular].

Es existieren jedoch auch Staaten, welche eben diese europäische Vorzugsbehandlung nicht genießen. Von diesen Staaten fehlen Nachweise, dass Menschenrechte, wie das Recht auf die informationelle Selbstbestimmung, einen besonderen Stellenwert haben. Andere Staaten sehen den Datenschutz auch aus einer derart anderen Position heraus, dass ein Angemessenheitsbeschluss, damit auch Erleichterungen für den Informationsaustausch auf internationaler Ebene, im Rahmen eines Angemessenheitsbeschlusses, nicht möglich sind.

Cyber Security Gesetz

Beobachtungsgegenstand Nummer 1: Das Reich der Mitte. China hat mit seinem Cyber Security Gesetz, welches seit dem 01.06.2017 Gültigkeit hat, klar gestellt welche Prämisse gilt: Datenschutz ja, aber nicht zu Kosten der Souveränität über den Cyberspace oder der nationalen Sicherheit. Als Plädoyer für den chinesischen Datenschutz ist an dieser Stelle anzumerken, dass die Datenschutzverordnung, bis auf ein paar [wesentliche] Details, der DSGVO stark ähnelt. Das heißt in Kürze, dass China sehr wohl die Digitalisierung umsetzt, sogar stark auf Cloud-Computing, die Entwicklung künstlicher Intelligenz und Big Data setzt.

Jedoch ist das Cyber Security Gesetz derart aufgestellt, dass das Gesetz zu Lasten betroffener Personen geht. Im Fokus des Cyber Security Gesetzes stehen die Einhaltung sozialistischer Werte und die Datentransparenz gegenüber den zuständigen Polizeibehörden. Die Polizeibehörden haben die Aufgabe Privatpersonen und Gesellschaften zu überwachen. Geprüft werden dabei auch europäische Anbieter, deren Services und Produkte in China bzw. den chinesischen Social-Media-Kanälen genutzt werden.

Damit kann man vielleicht leben. Der Knackpunkt ist die im Cyber Security Gesetz festgehaltene Pflicht zur lokalen Speicherung aller Daten. Dies betrifft Unternehmensinformationen [Abschlüsse, Entwicklungs-Daten, etc.] jedoch auch personenbezogene Daten. Die Pflicht gilt für alle Unternehmen. Eine Einschränkung auf Unternehmen mit weniger als X Mitarbeiter gibt es nicht. Auch gibt es keine Verknüpfung an diese Verpflichtung über bestimmte riskante Verarbeitungsvorgänge. Sobald Daten in China digitalisiert werden, müssen diese in China vorgehalten werden. Dies steht im Kontrast zur DSGVO. Man denke hier an Personaldaten.

Cloud Act

Last but not least: Die Wirtschaftsmacht USA haben auch eigene Vorstellungen zum Thema Datenschutz. Der Cloud Act2 hat am 23.03.2018, durch die Unterzeichnung, das Licht der Welt erblickt und kam damit in weiser Voraussicht der DSGVO zuvor. Zumindest aus der Sicht der US-Legislative. Der vorausschauende Leser wird es ahnen: Ja, auch hier gibt es mindestens einen Casus knacksus. Sogar mehr als einen.

Doch was will der Cloud Act? In Kürze: Der US Cloud Act verlangt von US Unternehmen [speziell Internet-Unternehmen, Behörden und IT-Anbieter], dass diese einen Zugriff auf personenbezogene Daten bereitstellen. Das bezieht auch Daten mit ein, die eben nicht in den USA liegen. Weiterhin sollen Dritte [ausländische Behörden] auch Ihre individuellen Ansprüche auf Unternehmens- und Personendaten durchsetzen können, wenn diese nach Daten verlangen.

Der Ursprung des Gesetzes liegt in einer Auseinandersetzung zwischen einem New Yorker Gericht und dem IT-Konzern Microsoft. Der Internet-Riese stellte sich 2013 gegen die US-Strafverfolgungsbehörden, indem Mircosoft sich weigerte, die Daten einer Privatperson, von einem irischen [europäischen] Server, ohne die irische Rechtsprechung, in die USA und eben an die anfragende Behörde zu übermitteln.

Zum größten Problem ist der Anspruch des Cloud Act geworden. Der Cloud Act zielt darauf ab, dass es in jedem Fall zu bilateralen Verträgen zwischen den USA und dem Drittstaat kommen muss. Er sieht nicht vor, dass die USA mit Staatengemeinschaften [Beispiel: EU] Verträge abschließt. Damit schließen wir die EU als Vertragspartner aus.

Ein weiteres Problem ist die Jurisdiktion. Wenn eine Behörde ein Datenverlangen hat, dann kann das entsprechende Unternehmen nun einfach selbständig angefragt werden – unter bestimmten Voraussetzungen. Die Rechtsprechung kann in bestimmten Fallkonstellationen außen vor gelassen werden. Speziell Anfragen von US-Behörden an ausländische Stellen werden jedoch erleichtert. Ein Auskunftsverlangen von ausländischen Behörden über US-Amerikaner ist jedoch nicht sehr simpel. Diese Ambivalenz sehen die europäischen Aufsichtsbehörden jedoch aus bekannten Gründen nicht gern.

Zu guter Letzt ist das europäische Informationsrecht betroffener Personen im Cloud Act auch nicht verankert. Die DSGVO gibt vor, dass eine betroffene Person zu informieren ist, sollten Daten von dieser Person an Dritte weitergegeben werden. Der Cloud Act ist in diesem Zusammenhang wesentlich liberaler – die betroffene Person sollte nicht informiert werden.

Weitere internationale Datenschutzmodelle, Gesetze und Verordnungen, welche in oppositioneller Position zur DSGVO stehen, lassen sich leicht finden. Wichtig für Sie: Nehmen Sie Kontakt zu Ihrem Datenschutzbeauftragten auf, wenn Sie Dependancen auf US-Boden, in China oder anderen Drittstaaten, welche keinen Angemessenheitsbeschluss haben, unterhalten. Sinnvoll ist dieser Schritt auch, wenn Sie besonders tiefe Kontakte zu Drittstaaten pflegen – es gibt in dieser Datenschutz-Teildisziplin viel zu beachten. Die Fragen, die sich in diesem Zusammenhang stellen, lassen sich auch auf die Nutzung von Cloud-Systemen und Applikationen, die Sie in Ihrem Unternehmen nutzen, übertragen. Wenn Sie sich unsicher sind, ob Sie zu den betroffenen Unternehmen zählen, die noch offene Tätigkeiten im Rahmen von Drittlands-Kommunikation haben, sprechen Sie mit Ihrem IT’ler, dem Datenschutzbeauftragten, optional können Sie auch unser Kontaktformular nutzen. Die o.g. Herausforderungen lassen sich, mit den Instrumenten der DSGVO, lösen.


1 Quelle: https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election

2 Clarifying Lawful Overseas Use of Data Act, siehe https://www.congress.gov/bill/115th-congress/senate-bill/2383/text

Aus Gründen der Lesbarkeit wurde im Text die männliche Form gewählt, nichtsdestoweniger beziehen sich die Angaben auf Angehörige aller Geschlechter.