Lex Laux: Personendaten und die USA – wie steht es um den Privacy Shield?

Kolumnist Christian Laux zerlegt das Thema Datenschutz und grenzüberschreitender Transfer von Personendaten in seine Teile.
 
Der grenzüberschreitende Transfer von Personendaten ist eine komplexe Sache. Und es steckt viel Bewegung in diesem Thema. Demnächst, am 18. Oktober 2018, unterziehen die EU und die USA das bestehende Privacy Shield-System der zweiten jährlichen Überprüfung. Das Privacy Shield-System wurde eingerichtet, um den Datenaustausch zwischen Unternehmen in Europa und solchen in der USA datenschutzrechtlich zu ermöglichen. Die EU-Kommission hat am 12. Juli 2016 bestätigt, dass der "Datenschutzschild" eine rechtmässige Basis zur Übermittlung von Personendaten in die USA darstellt. Die Schweiz hat den Privacy Shield ebenfalls adaptiert.
 
Am 18. Oktober 2018 will nun EU-Kommissarin Vera Jourová mit dem US-amerikanischen Handelsminister (State Secretary of Commerce), Wilbur Ross, in Brüssel über die Punkte sprechen, welche die EU-Kommission in ihrem "Ersten Bericht zur jährlichen Überprüfung der Funktionsweise des EU-US-Datenschutzschilds" vom 18. Oktober 2017 festgestellt hat (der Bericht der EU-Kommission und weitere Unterlagen zur ersten jährlichen Überprüfung befindet sich hier, die Beurteilung der heute aufgelösten Artikel 29-Arbeitsgruppe zum Datenschutzrecht hier).
 
Vor dem Europäischen Parlament hat die EU-Kommissarin Jourová am 4. Juli 2018 betont, sie wolle sich von den USA in Bezug auf die im Rahmen des ersten Reviews geäusserten Bedenken nicht vertrösten lassen und wolle Fortschritte sehen, auch z.B. was die dauerhafte Ernennung einer Ombudsperson zur Überprüfung von Beschwerden von betroffenen Personen angehe.
 
Im EU-Parlament wurde der Privacy Shield in der anschliessenden Diskussion zwar als Verbesserung im Vergleich zum früheren Safe Harbor-System gewürdigt. Eine Parlamentarierin stellte aber die rhetorische Frage, ob dies ausreiche, um in den USA einen Datenschutz zu erreichen, der im Wesentlichen den EU-Regeln entspricht. Dies allein sei der Massstab, an dem der Datenschutzschild gemessen werden müsse. Und der Datenschutzschild erfülle den durch die EU-Regeln gesetzten Massstab nicht.
 
Die Parlamentarierin nannte eine ganze Liste von Bedenken: Unzureichender Schutz vor Profiling, Schwache Aufsicht durch die Ombudsperson, das Privacy Civil Liberties Oversight Board (PCLOB, Stelle zur Überwachung des Schutzes der Privatsphäre und der bürgerlichen Freiheiten) sei noch immer nicht voll beschlussfähig, es sei schwer, sich als betroffene Person gegen Datenmissbrauch zu wehren, Berichte über das Ausmass nachrichtendienstlicher Überwachung in den USA würden der Öffentlichkeit vorenthalten und es bestehe kein Schutz gegen Datenmissbrauch durch Unternehmen – der kürzliche Skandal von Facebook Analytica habe das ja gezeigt. In einer Situation, wo der Privacy Shield keinen angemessenen Schutz vermittle, müsse die EU-Kommission tätig werden und gestützt auf Art. 45(5) der EU-Datenschutzgrundverordnung den Privacy Shield aussetzen. Es handle sich somit um eine rechtliche Fragestellung, und nicht um eine Fragestellung politischer Natur.
 
Dass es also nur um eine Rechtsfrage gehen soll und nicht um Politik könnte beruhigen. Nur, genau in diesem Punkt bestehen Zweifel. Werden wir hier gerade Zeugen echter Sorge um den Schutz von Personen und deren Daten? Oder ist die Diskussion um Datenübermittlungen in die USA nicht doch ein blosser Stellvertreterkrieg? Könnte es sein, dass "die EU" den bestimmenden Einfluss US-amerikanischer Unternehmen im europäischen Markt nicht goutiert? Datenschutzbedenken und fehlende Gleichwertigkeit des US-amerikanischen Datenschutzrechts als Roter Hering?
 
Es ist nie gut, eine Institution (Datenschutz) für "niedere" Zwecke (Kampf gegen die wahrgenommene Vormachtstellung der USA im Markt) zu missbrauchen. Die Institution würde ausgehöhlt und entwertet.
 
Ist Datenschutz eine solche Institution? Natürlich! Datenschutz ist für die Zukunft unserer Gesellschaft zentral. Es geht um den Schutz unserer Freiheit. Weder der Staat noch Unternehmen sollen mehr über mich wissen als ich selber. Nur: Bislang hat niemand das Patentrezept gefunden, wie ein solcher Schutz langfristig aufgebaut werden kann.
 
Datenschutzrecht ähnelt in der Praxis häufig einer Dokumentationsübung, mit hohen Kosten. Dies gilt auch unter der EU-Datenschutzgrundverordnung, einem Instrument, das Information Governance erzwingen will (und damit am richtigen Punkt ansetzt). Man fragt sich zwar gelegentlich, ob die konkreten Umsetzungen (lange Datenschutzpolicies mit dem Hauptziel, sich gegen Abmahnungen vor Konkurrenten zu schützen) noch dem eigentlichen Ziel ("Lasst uns die Freiheit unserer Gesellschaft bewahren!") dienen. Aber im Kern setzt die EU-Datenschutzgrundverordnung am richtigen Punkt an. Dies muss man anerkennen. Und es ist wichtig, die Fahne echt verstandenen Datenschutzes hochzuhalten. – Ich halte dies hier bewusst fest. Denn was folgt mag den einen oder anderen erstaunen. Die Mechanismen des geregelten Datenschutzrechts sind ziemlich profan, im Vergleich zu dem "höheren gesellschaftlichen Anspruch", den ich gerade an die Institution Datenschutzrecht formuliert habe.
 
Um die Diskussion um den Privacy Shield einordnen zu können, muss man verschiedene datenschutzrechtliche Konzepte verstehen. Es geht um Folgendes:
 
1) Der Gesetzgeber tut was er kann: Wir wollen Freiheit. Das lässt sich in einem Gesetz aber nicht regeln (es ist schwer, mit Bezug auf Datenschutz ein Regel-Rechtsfolge-System für Freiheit zu formulieren). Deswegen verlangen die Datenschutzgesetze nach Massnahmen, die Bewusstsein schaffen und hoffentlich dazu beitragen, dass sich das Verhalten der Gesellschaft und von Unternehmen zum Positiven hin verändert. Das schweizerische Datenschutzrecht wurde im Jahr 1992 erlassen, die jetzt von der Datenschutzgrundverordnung abgelöste europäische Datenschutzrichtlinie im Jahr 1995. Keines dieser Instrumente hat verhindern können, dass immense Datenpools gesammelt und verknüpft werden, wenn Privatpersonen Webseiten aufrufen (und am 12. September 2018 folgte die meines Wissens erste Beschwerde dazu unter der EU-Datenschutzgrundverordnung). Aber immerhin: Wir haben ein mulmiges Bauchgefühl. Ich will das nicht ins Lächerliche ziehen, die Datenschutzgesetze haben ein Problembewusstsein geschaffen, und das ist schon mal gut. Aber man muss sehen: Die Datenschutzgesetze haben bis jetzt nur an der Oberfläche gewirkt, sie waren "Dokumentationsübungen", haben aber das Problem im Wesentlichen nicht gelöst.
 
2) Der Gesetzgeber sieht einen synthetischen Schutz vor: Der Gesetzgeber knüpft Rechtsfolgen an Punkten an, die sich beurteilen lassen. Zum Beispiel: Wurde informiert? Wurde dokumentiert? Liegt ein organisierter Zustand vor? Es handelt sich um synthetischen Schutz. Ob diese Massnahmen die Welt verbessern? Nur indirekt, "synthetisch" eben.

3) Der Gesetzgeber verzichtet nicht auf Staatsschutz: Kein Gesetzgeber dieser Erde hat ein Datenschutzrecht erlassen, das dem Staatsschutz vorgeht. Der Staatsschutz in der Schweiz, in Deutschland, im restlichen Europa und in den USA darf aus Sicherheitsgründen auf Personendaten zugreifen.
 
4) Der Gesetzgeber kann nur seine eigene Rechtsordnung regeln: Staaten sind souverän, was bedeutet, dass man seinem Nachbarn nicht ins Handwerk pfuschen darf. Man kann mittels internationalen Vereinbarungen Abhilfe schaffen. Solche gibt es aber im Bereich des Datenschutzes nicht. Deswegen wurde das System geschaffen, dass grenzüberschreitende Datentransfers nur unter Voraussetzungen in Ordnung sind. Das Kriterium ist Gleichwertigkeit. Wenn eine andere Rechtsordnung mit Blick auf den Datenschutz als gleichwertig gilt, dann darf ich auch Personendaten anderer Leute in solche Länder exportieren. Der Export als solcher ist dann voraussetzungslos möglich. Gilt eine andere Rechtsordnung nicht als gleichwertig, wird sie oft auch als "unsicheres Ausland" bezeichnet, ein Begriff, der missverstanden werden kann (mehr dazu unten).
 
5) Gleichwertigkeit lässt sich wiederum synthetisch erzielen: Datenexporte ins unsichere Ausland sind möglich, sofern ich Gleichwertigkeit anders herstelle. Und es zeigt sich: Gleichwertigkeit lässt sich in der Praxis relativ einfach bewerkstelligen. Dem Anwalt stehen im Wesentlichen drei Instrumente zur Verfügung: Das Modell 1 sind "Vertragsklauseln": Der Empfänger im nicht gleichwertigen Zielland verpflichtet sich zur Einhaltung des Datenschutzniveaus im Land des Absenders. Es gibt hierfür Standardvertragsklauseln. Modell 2: "Weisungsrecht innerhalb einer Unternehmensgruppe", sogenannte. "Binding Corporate Rules". Das Modell 3: Eine "Sonderregel", wie sie nach dem Privacy Shield vorgesehen ist. Solange diese Alternativen nicht nur vorgeschoben sind und im Notfall gerichtlich durchgesetzt werden könnten, gelten sie als wirksame Massnahmen, um im unwirtlichen Gelände des unsicheren Auslands einen synthetischen Schutz zu bekommen, wie er im Herkunftsland galt (das ja seinerseits auch nicht vollkommen ist, siehe Punkt 1 und Punkt 3). Man kann sich das bildlich so vorstellen: Der beabsichtigte Datenempfänger errichtet in der Wüste des unsicheren Auslands eine Wassersäule, die genauso hoch ist wie der Wasserstandspegel im Herkunftsland (die Wassersäule deckt aber nur sein Empfängerunternehmen ab). Der Wasserstandspegel symbolisiert das Mass an Datenschutz (gleiche Höhe = Gleichwertigkeit). Derzeit stehen in den USA zum Beispiel etwa 4'000 Wassersäulen gemäss dem Modell 3 "Privacy Shield" und eine wohl x-fach höhere Anzahl Wassersäulen nach dem Modell 1 "Vertragsklausel".
 
Soviel zum System, das die europäischen Staaten (unter Einschluss der Schweiz) zum grenzüberschreitenden Austausch von Personendaten aufgestellt haben. Weitere Grundlagen sind notwendig:
 
6) Datenschutz in der Schweiz und in der EU: Die europäischen Staaten haben den Schutz von Personendaten ähnlich geregelt wie andere Immaterialgüterrechte (Urheberrechte, Patentrechte, Markenrechte etc.). Gleich wie das Urheberrecht besonders gestaltete Information (Literatur, Bilder, Musik, Skulpturen, etc.) vor unbefugtem Zugang und Verwertung schützt (ebenso Patentrecht, etc.), schützen die Länder der EU und die Schweiz Informationen mit Personenzug durch das Datenschutzrecht vor unbefugtem Zugang und Verwertung. Der Anspruch aus dem Gesetz steht der einzelnen Person zu und richtet sich gegen jedermann – wie im Immaterialgüterrecht.
 
7) Die USA verfolgen keinen solchen Ansatz. Der Schutz von Personendaten ist dort, wie ich es bezeichne, "transaktional" geregelt. Geschützt ist der einzelne vor unbefugtem Zugriff auf seine Information, zum Beispiel über das Strafrecht oder die Verfassung, soweit es um behördlichen Zugriff geht. Macht er die Daten aber einem anderen zugänglich, gilt das informationsrechtliche Grundprinzip, dass jeder das nutzen darf, worauf er Zugriff hat. Die Gliedstaaten kennen besondere Zusatzregeln und auch auf Bundesebene gibt es in Einzelfällen Sonderregeln. Beispielsweise ist es einer Videothek strafrechtlich verboten, darüber zu informieren, welche Videos eine Person ausleiht. Eine heute eher historisch anmutende Bestimmung, da der Geltungsbereich im Online-Bereich unklar ist. Diese Sonderregeln geben dem US-amerikanischen System oft auch das Prädikat "sektorielles Schutzsystem". Ansonsten gilt informationsrechtlich "anything goes". Das ist etwas polemisch formuliert: Die informationsrechtliche Freiheit gilt – nur, aber immerhin – dort nicht, wo sie eingeschränkt wurde, zum Beispiel über einen Vertrag, eine Privacy Policy oder eines der Sondergesetze. Die meisten Gesetze der Gliedstaaten verlangen genau aus diesem Grund, dass Online-Geschäfte eine Privacy Policy verwenden. Das Online-Business kann die Spielregeln innerhalb der Grenzen der Sondergesetze nach Belieben in die Privacy Policy schreiben, solange klar gesagt wird, was gilt. Wer in der Privacy Policy "A" schreibt und dann "B" tut, kann von der Federal Trade Commission nach den Grundsätzen des Unlauteren Wettbewerbs zu Millionenbussen verurteilt werden. Schon seit Jahrzehnten. Die USA haben der EU insoweit datenschutzrechtlich sogar einiges Voraus … (übrigens wurde auch das Konzept des "Data Breach" in den USA erfunden – die EU hat dies in die DSGVO hineinkopiert).
 
8) Die USA gelten als sog. "unsicheres Drittland" – zumindest aus datenschutzrechtlicher Sicht. Hintergrund ist die Gegenüberstellung der Punkte 1 und 2. Die datenschutzrechtliche Bewertung als "unsicheres Drittland" hat nichts damit zu tun, dass auch in den USA das Datenschutzrecht nachrichtendienstlicher Sicherheit nicht im Wege steht (siehe Punkt 3).
 
9) Unsicheres Drittland klingt harsch, aber im Grunde genommen ist die Einschätzung richtig: Das System der USA auferlegt dem Einzelnen ein grosses Mass an Selbstverantwortung, die Privacy Policy zu lesen. Diese Verantwortung wird der betroffenen Person in der EU abgenommen. Die europäischen Staaten sind insofern sicherer für den einzelnen als die USA. "Unsicheres Drittland" bedeutet aber nicht, dass es sich bei den USA um einen Schurkenstaat handelt. Es bedeutet auch nicht, dass die USA Personendaten nicht schützen würden. Sie haben einfach ein anderes Schutzkonzept gewählt, durchaus zufällig. Man darf hier nicht auf die harsch gewählten Begrifflichkeiten hereinfallen.
 
10) Zufällige Abweichungen lassen sich synthetisch lösen: Nachdem die Abweichungen im Datenschutzrecht der USA gleichsam zufällig sind, wird auch verständlich, warum es aus der Optik des europäischen Datenschutzrechtes völlig in Ordnung ist, dass eine blosse Wassersäule in der Wüste (siehe vorn, Punkt 5) eine gute Massnahme sein soll. Die Antwort lautet: Weil es um nichts anderes geht, als darum, der betroffenen Person einen institutionellen Schutz zu geben und ihr Selbstverantwortung abzunehmen. Sobald sich das US-amerikanische Zielunternehmen bereit erklärt, sich dem institutionellen Schutz der EU zu unterwerfen, ist das Thema erledigt. Wirklich. Vorbehalten sind die Punkte 1 – 3, aber die gelten ja wie erwähnt auch schon für die europäischen Staaten.
 
Deshalb: Ja, wirklich, das Thema, ob der Privacy Shield eine gute Sache ist, ist mit einer blossen Wassersäule in der Wüste von der Konzeption her erledigt – und es ist aus rechtlich-konzeptioneller Sicht vollkommen richtig und konsequent, wenn die EU-Kommissarin Jourová am 18. Oktober 2018 mit dem Kollegen Ross aus den USA vor allem über die scheinbar untergeordnete Frage der Rechtsdurchsetzungsmöglichkeiten bei Verletzungen des Privacy Shield sprechen will.
 
Obwohl die EU-Kommissarin einen rechtlich korrekten Fahrplan verfolgt: Sie wird feststellen, dass die Öffentlichkeit das anders sehen wird. Mit der Begründung nämlich, in den USA gebe es voraussetzungslosen und massenhaften Zugriff der Nachrichtendienste auf Personendaten, die in Cloud-Speicherdiensten der grossen Anbieter gespeichert sind. Die USA seien eben doch nicht ganz koscher, was den Datenschutz angeht. Und weil sich zu dieser Frage Widerstand regen wird, folgt in wenigen Tagen ein zweiter Beitrag mit einigen Ausführungen dazu, wie es sich verhält mit dem Zugriff von Staatsverfolgungsbehörden in den USA auf Personendaten.
 
Noch vor dem zweiten Beitrag hier der Hinweis darauf, was im Anschluss an die Parlamentsdebatte vom 4. Juli 2018 im EU-Parlament geschehen ist. Am 5. Juli 2018 hat das EU-Parlament in einer Resolution unter anderem Folgendes beschlossen:
 
• Es fordert die Kommission auf, sämtliche Massnahmen zu ergreifen, die erforderlich sind, damit der Datenschutzschild uneingeschränkt im Einklang mit der DSGVO und der EU-Charta steht, so dass das Kriterium der Angemessenheit nicht zu Schlupflöchern oder Wettbewerbsvorteilen für US-Unternehmen führt;
• Es vertritt die Auffassung, dass die derzeitige Datenschutzschild-Regelung nicht das angemessene Schutzniveau bietet, das nach dem EU-Datenschutzrecht und der EU-Charta gemäss der Auslegung durch den Europäischen Gerichtshof erforderlich ist;
• Es ist der Ansicht, dass die Kommission nicht gemäss Artikel 45 Absatz 5 der EU-Datenschutzgrundverordnung tätig geworden ist. Falls die USA die Anforderungen bis zum 1. September 2018 nicht vollständig erfüllen, fordert es die Kommission daher auf, den Datenschutzschild auszusetzen, bis die US-Behörden seine Bestimmungen einhalten.
 
Teilweise wurde in den Medien davon gesprochen, dass das EU-Parlament den USA eine Frist bis zum 1. September 2018 angesetzt habe, um die Kritikpunkte des EU-Parlaments aufzunehmen, oder dass das Parlament den Privacy Shield ausgesetzt habe. Beides ist so nicht korrekt. Vielmehr handelt es sich bei dieser Resolution um ein politisches Instrument, das den Stand des Gesprächs zwischen der EU-Kommission und dem EU-Parlament abbildet. Die Aufforderung an die EU-Kommission, den Privacy Shield auszusetzen, wenn die USA die Frist bis zum 1. September 2018 nicht einhalten, kann nach dem Recht der EU-Institutionen nicht durchgesetzt werden. Nur der EuGH kann die Kommission diesbezüglich disziplinieren. Er hat dies am 6. Oktober 2015 zum Beispiel für das Vorgängersystem des Datenschutzschilds – das Safe Harbor-System – tatsächlich getan. Auch darauf wird der Folgebeitrag etwas genauer eingehen.
 
Dr. Christian Laux, LL.M. ist Anwalt und fokussiert auf IT-Rechtsangelegenheiten. Für inside-it.ch äussert er sich an dieser Stelle regelmässig zu Rechtsfragen, welche die Schweizer IT-Branche in relevanter Weise betreffen.
 
Im Folgebeitrag – Publikation am Freitag, 12.10. – wird auf Folgendes eingegangen:
• Rechtssache Schrems I (Erstes Safe Harbor-Urteil des EuGH vom 6. Oktober 2015)
• Rechtssache Schrems II (Entscheidungen des High Court von Irland vom 3. Oktober 2017 und vom 12. April 2018 (PDF) sowie Entscheidung des Supreme Court von Irland vom 31. Juli 2018 (PDF))
• Rechtssache T-738/16 i.S. La Quadrature du Net u.a. / EU-Kommission: Link
• Stand der FISA-Gesetzgebung (Stichwort: Massenhafte und anlasslose Überwachung)
• Einordnung des CLOUD-Act
• e-Evidence-Verordnung: Vorschlag für eine Verordnung des europäischen Parlaments und des Rates über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen: Link.