Kanzlei Lachenmann Onlinerecht IT-Recht

Bärendienst für den Datenschutz durch EuGH und Aufsichtsbehörden (ULD)

Kanzlei Lachenmann zu Datenschutz im WEG - VideoüberwachungDer EuGH hat dem Datenschutz mit seinem Urteil zum Safe Harbor-Verfahren einen Bärendienst erwiesen, wie die schockierende Pressemitteilung vom heutigen Tage seitens der Datenschutzaufsichtsbehörde Schleswig-Holstein (Unabhängiges Landeszentrum, ULD) zeigt. Aufgabe wäre es, Akzeptanz des Datenschutzes unter Unternehmen und Bürgern zu fördern durch praxisbezogene und ausgeglichene Entscheidungen – je mehr Unternehmen Datenschutz umsetzen wollen und können, umso eher werden sie sich darum bemühen und so zu einer Steigerung des Schutzes persönlicher Daten führen. Der jetzige Weg, den EuGH und Aufsichtsbehörden gehen ist daher eine Katastrophe und wird sich bald als Bärendienst erweisen.

Das ULD ist der Ansicht, dass Datenübermittlungen in die USA vollständig unzulässig seien, wenn nicht eine vertragliche Notwendigkeit vorliegt (z.B. bei Reisebuchungen). Andere Möglichkeiten gäbe es nicht mehr. Damit wagt sich das ULD weit aus dem Fenster und prescht vor im Vergleich zu anderen Aufsichtsbehörden. Mehrere Datenschutz-Aufsichtsbehörden hatten mitgeteilt, ein gemeinsames Gespräch aller Länderbehörden abzuwarten und hier eine gemeinsame Linie zu finden. Das ULD interessiert keine gemeinsame Linie, was von außen reichlich unkollegial gegenüber den Datenschützern der anderen Bundesländer wirkt. Andererseits sehen die anderen Aufsichtsbehörden nunmehr, wie sie es nicht machen sollen.

Das ULD stellt zunächst korrekt fest, dass Safe Harbor nicht mehr verwendet werden kann, um Datenübermittlungen in die USA zu rechtfertigen. Weiterhin verneint das ULD die Zulässigkeit von Einwilligungen. Das erscheint mir noch nachvollziehbar. Einwilligungen wie „wenn Sie mit uns einen Vertrag abschließen, sind Sie damit einverstanden, dass die US-Geheimdienste willkürlich alle Ihre Daten abgreifen“ können nicht wirksam sein. Eine genaue Beschreibung, was mit den Daten passiert, ist aber unmöglich. Andererseits muss es einem Betroffenen möglich sein, sich selbstbestimmt für einen US-Anbieter zu entscheiden und die Risiken in Kauf zu nehmen.

Die EU-Standardvertragsklauseln (zu den neuen Anforderungen habe ich bereits gebloggt) kranken laut ULD an den gleichen Mängeln wie Safe Harbor und seien daher ebenfalls unzulässig. Binding Corporate Rules und Einzelgenehmigungen spricht das ULD nicht an, allerdings haben auch diese das Problem, dass US-Behörden Zugriffe auf die Daten erhalten. Allen Möglichkeiten der Datenübermittlung ist gemein, dass Zugriffe von „Sicherheits“-Behörden nicht verhindert werden können. Damit bliebe nur das Fazit, dass jegliche Datenübermittlung in die USA rechtswidrig ist und Unternehmen sämtliche Datenströme sofort zu kappen hätten.

Ein völliges Einstellen jeglichen Datenverkehrs zwischen Europa und den USA ist offensichtlich abstrus. Unser Wohlstand beruht maßgeblich auf einem Handel zwischen verschiedenen Ländern und gerade zwischen starken Wirtschaftsmächten wie Europa und den USA sind die Geschäfte eng verzahnt. Die Übermittlung personenbezogener Daten ist Grundlage der Wirtschaft und offensichtlich eine Notwendigkeit.

Aufgabe der Datenschutz-Aufsichtsbehörden ist nicht, stets als Verbieter dazustehen, nur Probleme aufzuwerfen und dann Unternehmen und Datenschutz-Beratern zu sagen „nun seht man, was ihr daraus macht“. Aufgabe wäre, konkrete Handlungsvorschläge zu erteilen, wie die notwendigen Datenströme nun ausgestaltet werden können. Mit der völlig weltfremden Ansicht, Datenströme in die USA vollständig einzustellen, gibt das ULD den Datenschutz der Lächerlichkeit preis.

Umso mehr, als die Ansicht des ULD streng genommen einem Totalverbot der Nutzung von US-Anbietern gleich kommt: Denn nach Ansicht der US-Gerichte haben US-Sicherheitsbehörden auch Zugriff auf in Europa gelagerte Daten von US-Unternehmen (US-District Court Southern District of New York, Entscheidung vom 25. 4. 2014 – Aktenzeichen 13 Mag. 2814; tiefergehend dazu bereits Koglin in unserem Formularhandbuch Datenschutzrecht, B. IV. 4.).

Es ist nicht einmal eine Frage des US-Rechts, da auch andere Staaten massiv spähen. Vorteil der USA ist wenigstens, dass die Gesetze relativ weitgehend bekannt sind und sich Unternehmen und Bürger so darauf einstellen können. Was Länder wie China treiben, bleibt viel mehr im Verborgenen – weltweit wäre daher keine Datenübermittlung mehr aus der EU möglich. Die strenge Untersagung wird natürlich nicht dazu führen, dass Datenströme unterbleiben, sondern dass Unternehmen lieber illegal handeln. Die Akzeptanz des Datenschutzes wird bei Unternehmen rapide zurückgehen und so insgesamt zu einem Weniger an Datenschutz in Europa führen. Der EuGH und das ULD haben dem Datenschutz einen Bärendienst erwiesen.

Ein PS zum Bärendienst des EuGH und der Aufsichtsbehörde ULD:

Ich möchte nicht so verstanden werden, dass ich den Sicherheitsbehörden einen Freibrief erteilen möchte. Im Gegenteil war es dringend notwendig, dass der EuGH klargestellt hat, dass die derzeitige Praxis aller Geheimdienste tief in die Grundrechte der Bürger eingreift und dass Rechtsschutz gegen die Praktiken sicherzustellen ist.

Das ist aber nicht nur ein US-Problem, sondern ein weltweites – insbesondere ein europäisches Problem. Der britische GCHQ steht der NSA in nichts nach, offizielle Aufgabe des französischen Geheimdienstes ist die Wirtschaftsspionage, der BND verstößt regelmäßig vorsätzlich gegen geltendes Recht. Das Bundesverwaltungsgericht verweigert dem Bürger jeglichen Rechtsschutz und sieht bei einer automatisierten Datenabfrage nicht einmal einen Eingriff in Grundrechte. Dagegen kämpfe ich schon länger und werde es jetzt erst Recht tun. Aber mir erscheint dies eine Frage des Sicherheitsrechts und der Politik, sowie der IT-/Datensicherheit zu sein, die natürlich dringend angegangen werden muss. Das Datenschutzrecht an sich ist hierfür aber der falsche Anknüpfungspunkt. Das Datenschutzrecht hat Interessen abzuwägen und praktische Möglichkeiten einer Datenverarbeitung unter gleichzeitigem Schutz der Betroffenen zu schaffen. Das ULD scheint diesen Grundpfeiler des Datenschutzrechts, den bereits das Bundesverfassungsgericht im Volkszählungsurteil betonte, ignorieren zu wollen.

Autor: RA Matthias Lachenmann

Dieser Beitrag wurde in Blog, Compliance, Datenschutzrecht, Persönlichkeitsrecht veröffentlicht. Ein Lesezeichen auf das Permalink. setzen. Sowohl Kommentare als auch Trackbacks sind geschlossen.

Ein Kommentar

  1. Reginald Rostfrei
    Am 15. Oktober 2015 um 10:07 Uhr veröffentlicht | Permalink

    On the contrary…

    Ich halte die Entscheidung des EuGH begrüßenswert und die Stellungnahme des ULD für richtig. Überwiegend wird im Netz die Stellungnahme des ULD wohl als „rein rechtlich überwiegend richtig“ angesehen. Und? Genau das ist es doch, was von einer Aufsichtbehörde verlangt wird. Wenn es denn nicht möglich ist, rechtssicher Datenaustausch mit den USA zu betreiben, dann muß man das auch so aussprechen.

    Es ist eben Sache der Politik und vor allem des Gesetzgebers, den rechtlichen Rahmen zu schaffen, innerhalb dessen ein Datenaustausch mit den USA auch unter Wahrung des Datenschutzes möglich ist. Und diese Lösung kann dann – weil staatliches Handeln – zur Not auf den Prüfstand des BVerfG gestellt werden. Und da habe ich meine Zweifel, ob angesichts von Web 2.0, Industrie 4.0, Big Data usw. das Recht auf informationelle Sebstbestimmung auf den Kernsatz „meine Daten gehören mir – ich bestimme“ reduziert bleibt. Ich würde es jedenfalls begrüßen, denn der vorgenannte Satz impliziert – getragen vom Volkszählungsurteil -, es ginge lediglich darum, daß der Einzelne die Verfügungshoheit über seine personenbezogenen Informationen behält, über sie aber nach Belieben verfügen könne und können müsse.

    Nun hat das gleiche BVerfG festgestellt, daß das Recht auf Privatheit Teil der Menschenwürde sei (vgl. Abhörurteil), die zu achten und zu schützen Verpflichtung aller staatlichen Gewalt ist. Da liegt die Annahme nahe, daß es einen Kernbereich von Privatheit gibt, der nicht nur vor Geheimdiensten und Strafverfolgungsbehörden zu schützen ist, sondern als Kernbereich der Menschenwürde schlicht unveräußerliches Menschenrecht ist.

    Wer diesen Ansatz weiter verfolgt, muß vernünftigerweise zu dem Ergebnis kommen, daß eine Vielzahl von Einwilligungen zur Datenerhebung und -verarbeitung schlicht sittenwidrig ist. Es ist, so lange die Politik schweigt oder sich zum Handlanger von Wirtschaftsinteressen macht, Aufgabe von Aufsichtbehörden und Justiz im Rahmen des geltenden Datenschutzrechtes dem Daten(verwertungs)hunger auch europäischer Institutionen und Unternehmen ein „P“ (= prohibited) vorzusetzen.