Big Brother und Big Data - Was heißt eigentlich Datenschutz auf

Transcription

Big Brother und Big Data - Was heißt eigentlich Datenschutz auf
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data –
Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013
Rede anlässlich der 41. Römerberggespräche in Frankfurt am Main vom 26. Oktober 2013
Big Brother und Big Data - Was heißt eigentlich Datenschutz auf Amerikanisch?
Von Peter Schaar
Sehr geehrter Herr Professor Vec, sehr geehrte Damen und Herren,
ich danke Ihnen sehr für die Einladung zu den diesjährigen Römerberggesprächen und freue
mich, zum Datenschutz in Europa und in den USA sprechen zu dürfen.
Einleitung
Transatlantische Entfremdung als Thema der diesjährigen Römerberggespräche – mit Blick
auf das Datenschutzrecht kann ich dem Titel nur bedingt wörtlich entsprechen, da Entfremdung ja zunächst einmal eine bestehende Nähe voraussetzt.
Und eine solche Nähe ist im Verhältnis Europa –Vereinigte Staaten im Datenschutzrecht ist –
zumindest in den letzten Jahren und Monaten –nicht ohne weiteres auszumachen.
Das Problem wird besonders deutlich, dass – dem Datenschutzthema vorgelagert – diesseits
und jenseits des Atlantiks sehr verschiedene Vorstellungen darüber herrschen, wie man angesichts terroristischer Bedrohungen Freiheit und Sicherheit miteinander in Einklang bringen
kann. Die Erkenntnisse zu den Überwachungsaktivitäten US-amerikanischer – aber auch britischer –Geheimdienste haben dies sehr drastisch klar gemacht.
Und was den Datenschutz selbst betrifft, gab es in den 1960er und 1970er Jahren des letzten
Jahrhunderts durchaus Berührungspunkte. Die wissenschaftlichen und die politischen Debatten über die mit der Computertechnik verbundenen Herausforderungen ähnelten sich diesseits
und jenseits des Atlantiks. Allerdings unterschieden sich die daraus gezogenen Konsequenzen
auf dem Gebiet der Gesetzgebung.
1
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data –
Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013
Mit dem Inkrafttreten der europäischen Datenschutzrichtlinie im Jahre 1995, die erstmalig
einen verbindlichen europäischen Datenschutz-Rechtsraum schuf, kam es binnen kurzem zu
einer intensiven transatlantischen Debatte, da sich die USA – europarechtlich betrachtet – in
den Reihen der nicht-adäquaten Drittstaaten wiederfanden.
Joel Reidenberg, ein Kenner des amerikanischen wie des europäischen Datenschutzrechts,
fasste es einige Jahre später in die Worte: For almost a decade, the United States and Europe
have anticipated a clash over the protection of personal information; … trans-Atlantic privacy policies have been at odds with each other.
Dabei nahm die Geschichte dessen, was sich im anglo-amerikanischen Sprachgebrauch als
privacy law und in Europa als Datenschutzrecht – data protection law – herauskristallisiert
hat, in den Vereinigten Staaten von Amerika ihren Anfang.
1. Historischer Hintergrund
a) USA
Als Genesis gilt gemeinhin der bekannte Aufsatz The Right to Privacy von Samuel Warren
und Louis Brandeis, zwei Rechtsanwälten und nachmaligen Bundesrichtern aus Boston, in der
Harvard Law Review aus dem Jahre 1890.
Warren und Brandeis näherten sich dem Gegenstand noch unter dem zivilrechtlichen Gedanken des Deliktsrechts, stellten aber als verfassungsrechtliche Kernthese heraus, dass das Recht
auf Privatheit die wertvollste Freiheit in einer Demokratie sei, was sich letztlich in der Verfassung der USA spiegeln müsse. Als Bundesrichter prägte Brandeis dann im Jahre 1928 –
im Rahmen eines dissenting vote –die berühmte Formel des right to be let alone.
Diskussionen Anfang der 1960er Jahre während der Amtszeit von John F. Kennedy bildeten
die Grundlage für den – allerdings erst 1974 verabschiedeten – Privacy Act als erstes Gesetz
für die Bundesverwaltung gegen hoheitliche Eingriffe in die Privatsphäre.
2
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data –
Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013
Allerdings ist der Privacy Act –trotz seiner klaren Bezeichnung –nicht als umfassende Regelung entsprechend eines Datenschutzgesetzes nach europäischem Muster zu verstehen, da er
sich –neben anderen Desideraten –nur an einen eingeschränkten Adressatenkreis wendet und
zahlreiche behördliche Aufgaben ausklammert.
Auch weitere gesetzliche Datenschutzvorgaben, etwa der bereits aus dem Jahre 1970 stammende Fair Credit Reporting Act, der Drivers Privacy Protection Act von 1994 und der
Children's Online Privacy Protection Act (COPPA) von 1998 richten sich immer nur an bestimmte Behörden oder bestimmte Datenverarbeiter des privaten Bereichs und greifen jeweils
nur punktuelle Probleme auf.
Es gibt in den USA bis heute keinen umfassend gesetzlich geregelten Datenschutz, wie wir
ihn in Europa kennen.
b) Deutschland
Ein umfassendes Datenschutzgesetz wurde weltweit erstmals in Deutschland – und zwar auf
Länderebene, durch den Hessischen Landtag – am 30. September 1970 aus der Taufe gehoben. Dem Hessischen Datenschutzgesetz folgten weitere Landesdatenschutzgesetze und die
Verabschiedung des ersten Bundesdatenschutzgesetzes im Jahre 1977.
Sechs Jahre später, im Dezember 1983 –und wenige Tage vor dem symbolträchtigen 1984 –,
kreierte das Bundesverfassungsgericht in seinem Volkszählungsurteil das Grundrecht auf informationelle Selbstbestimmung, das das Gericht auf das allgemeinen Persönlichkeitsrecht
aus Art. 2 Abs. 1 i.V.m. der Menschenwürdegarantie aus Art. 1 Abs. 1 des Grundgesetzes
stützte.
Das Grundrecht auf informationelle Selbstbestimmung erkennt jedem das Recht zu, grundsätzlich selbst über den Umgang mit seinen personenbezogenen Daten zu bestimmen.
Das BVerfG blieb nicht beim Volkszählungsurteil stehen, sondern entwickelte seine Rechtsprechung zum Datenschutz insbesondere in den Bereichen der staatlichen Gefahrenabwehr
und der Strafverfolgung fort.
3
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data –
Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013
Zu erwähnen sind die Entscheidungen zum großen Lauschangriff aus dem Jahre 2004 und zur
präventiven Telekommunikationsüberwachung aus dem Jahre 2005. Beide Urteile stellen
klar, dass ein unantastbarer Kernbereich privater Lebensgestaltung vor jeglicher Überwachung geschützt bleiben muss.
Von Bedeutung ist insbesondere das Urteil zur Online-Durchsuchung aus dem Jahre 2008:
Hier entwickelte das Verfassungsgericht – als zweites Datenschutzgrundrecht mit der etwas
sperrigen Bezeichnung das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität
informationstechnischer Systeme. Zu nennen sind schließlich die Urteile zur Vorratsdatenspeicherung (2010) und zum Antiterrordateien-Gesetz (2013).
c) Europa
Meine Damen und Herren,
Lassen Sie mich nun den wichtigen Bereich des Datenschutzes in der Europäischen Union
ansprechen.
Die zu Beginn der 90er Jahre in den Mitgliedstaaten der EU bestehenden Datenschutzgesetze
basierten auf identischen, im Datenschutzübereinkommen Nr. 108 des Europarates festgelegten Grundsätzen, unterschieden sich jedoch im Detail mitunter erheblich. Da dies als Beeinflussung des Wettbewerbs und damit des guten Funktionierens des Binnenmarktes angesehen
wurde, nahm der Ruf nach Schaffung eines stärker harmonisierten Umfeldes zu.
Dies mündete in der Annahme der Datenschutz-Richtlinie 95/46/EG im Jahre 1995. Sie bildet
das Kernstück einer einheitlichen Datenschutzgesetzgebung in den Mitgliedstaaten der EU.
In der Richtlinie sind allgemeine Bestimmungen über die Rechtmäßigkeit der Verarbeitung
personenbezogener Daten und die Rechte der Personen, deren Daten verarbeitet werden, festgelegt. Die Richtlinie sieht auch vor, dass in jedem Mitgliedstaat mindestens eine unabhängige Kontrollbehörde für die Überwachung ihrer Umsetzung zuständig ist.
4
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data –
Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013
Die Richtlinie hat insgesamt zu einem fortgeschrittenen, vom Anspruch her einheitlichen Datenschutzstandard bei staatlichen und privaten Stellen in den mittlerweile 28 Mitgliedstaaten
der EU geführt.
Ein weiterer wichtiger Meilenstein für den Datenschutz in der EU ist das Inkrafttreten des
Vertrages von Lissabon 2009. Verbindlichkeit erlangte damit auch das in Artikel 8 der Charta
der Grundrechte der Europäischen Union explizit geregelte individuelle Grundrecht auf
Schutz personenbezogener Daten. Das Datenschutzgrundrecht ist nicht nur von den Stellen
der EU, sondern auch den Mitgliedstaaten zu beachten, wenn sie EU-Recht anwenden.
Allerdings: Auch das EU-Datenschutzrecht bedarf der Fortentwicklung.
Einerseits wird die Datenschutzrichtlinie aus 1995 nicht durchweg einheitlich in den Mitgliedstaaten umgesetzt und angewandt. Andererseits ist die Richtlinie nicht hinreichend geeignet, die rasende Entwicklung der Informations- und Kommunikationstechnologien und die
globale Natur des Internets abzudecken.
Damit komme ich zur aktuellen Reform des EU-Datenschutzrechts.
Bekanntlich hat die Europäische Kommission im Januar 2012 einen Vorschlag für eine EUDatenschutz-Grundverordnung vorgelegt. Die Grundverordnung soll die Datenschutzrichtlinie aus dem Jahre 1995 ersetzen. Sie wird seither im Rat der Union und im Europäischen Parlament intensiv diskutiert.
Erst vor wenigen Tagen hat sich der Innenausschuss des Europäischen Parlaments auf eine
gemeinsame Position zum Verordnungsvorschlag der Kommission geeinigt und damit grünes
Licht für die Aufnahme der Verhandlungen mit dem Rat der Europäischen Union über dieses
für Datenschutz so wichtige Dossier erteilt. Der Ball liegt insofern jetzt beim Rat.
Der Vorschlag der Kommission, den Geltungsbereich der Grund-Verordnung künftig nicht
mehr ausschließlich an den Umstand zu knüpfen, wo – in geografischer Hinsicht – die verantwortliche Stelle niedergelassen ist und wo die Verarbeitung erfolgt, sondern auch danach
zu fragen, ob hiervon personenbezogene Daten von Personen in der EU betroffen sind –also
5
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data –
Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013
das sogenannte Marktortprinzip –, ist nach meinem Dafürhalten eine zwingende Antwort auf
die globale Natur des Internets. Jedenfalls werden sich dann große Unternehmen wie Google,
die hier in Deutschland und in Europa gute Geschäfte machen, nicht mehr darauf berufen
können, das Europäische Recht binde sie nicht.
Natürlich wird die Grund-Verordnung nicht alles regeln können, was an Defiziten des Datenschutzes im internationalen Kontext vorzufinden ist. Aber sie ist ein wichtiger Schritt hin zu
einer Verbesserung der Standards und der Rechte der Betroffenen über die EU-Grenzen hinaus.
Erwähnen möchte ich auch die in Kapitel VII der Grundverordnung vorgesehenen neuen Verpflichtungen der Datenschutzbehörden zur Zusammenarbeit und zur Kohärenz. Die Grundidee, dass die nationalen Behörden in Sachverhalten, die von grundlegender Relevanz für den
Datenschutz in der gesamten EU sind, miteinander kooperieren und mit einer Stimme sprechen, halte ich für unverzichtbar, gerade auch im internationalen Kontext.
2) Konfliktfelder
Meine sehr geehrten Damen und Herren,
gestatten Sie mir nun einige Bemerkungen zu den Unterschieden und Konfliktfeldern zwischen dem US-amerikanischen und dem europäischen Datenschutzrecht.
a) Schutzgegenstand
Wie gesehen, nähern sich Amerikaner und Europäer dem Datenschutz aus unterschiedlichen
Perspektiven.
Zum einen meine ich die verfassungsrechtliche Sichtweise: So ist ein Right to Privacy weder
in der Bill of Rights oder der US-Konstitution niedergelegt. Auch wenn sich der Datenschutz
nicht explizit im Grundgesetz findet und – wie gesagt – vom Bundesverfassungsgericht aus
den Artikeln 2 und 1 hergeleitet wird, hat der Datenschutz bei uns Grundrechtsqualität. Dies
gilt im Hinblick auf Art. 8 der EU-GRCh auch für Europa.
6
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data –
Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013
Außerdem geht es nach deutschem und europäischem Verständnis beim Datenschutz nicht
allein darum, in Ruhe gelassen zu werden. Vielmehr soll jeder – in der Diktion des Bundesverfassungsgerichts – grundsätzlich selbst über Preisgabe und Verwendung seiner Daten
bestimmen können, wobei der Menschenwürde die entscheidende Rolle zukommt.
Anders der amerikanische Ansatz, der, gestützt auf den Vierten Verfassungszusatz – the
Fourth Amendment –die Freiheit gegenüber staatlicher Willkür betont.
Der Rechtshistoriker James Whitman aus Yale bringt es so auf den Punkt: Continental privacy protections are, at their core, a form of protection of a right to respect and personal
dignity ... By contrast, America, ... is much more orientated towards values of liberty, and
especially liberty against the state.
Diesem grundverschiedenen strukturellen Ansatz ist auch die unterschiedliche Terminologie
geschuldet: Privacy bedeutet eben Privatleben, Zurückgezogenheit, Intimsphäre und wird in
den Rechtswörterbüchern nur als erste Hilfe zum besseren Verständnis mit Datenschutz übersetzt. Umgekehrt ist data protection eine englische Wort-für-Wort-Übersetzung, die man als
originären amerikanischen legal term vergeblich sucht.
b) Ruf nach Gesetzgeber vs. Selbstregulierung
Da die Sammlung personenbezogener Daten in den USA als Ausübung des Rechts auf Redefreiheit verstanden wird, verzichtet der Staat –nicht zuletzt aus Respekt vor diesem Recht der
Datenverarbeiter –auf die Vorgabe eines verbindlichen Rahmens.
Anstelle systematischer gesetzlicher Regelungen wird daher bis heute versucht, den Schutz
der Daten durch Selbstregulierung und Selbstkontrolle zu bewerkstelligen.
Allerdings fehlt es, von Ausnahmen abgesehen, an Transparenz für die Betroffenen und es
mangelt an durchsetzbaren Individualrechten und wirksamem Schutz gegen zweckwidrige
Datenverarbeitungen.
7
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data –
Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013
Joel Reidenberg fasst es in einem Satz zusammen: Reliance on self-regulation is not an appropriate mechanism to achieve the protection of basic political rights.
An dieser Situation regt sich auch in den USA zunehmend Kritik.
So legte im Jahre 2002 Senator Hollings den Entwurf eines Online Personal Privacy Act vor,
der allerdings nicht weiter verfolgt wurde.
Mehr Erfolg zu wünschen ist dem Anfang 2012 von Präsident Obama vorgelegten Entwurf
eines Verbraucherdatenschutzgesetzes, der Consumer Privacy Bill of Rights. Der Vorschlag
beinhaltet von Unternehmen einzuhaltende Grundprinzipien zum Verbraucherdatenschutz.
Diese Grundprinzipien sollen durch spezifische Codes of Conduct für bestimmte Wirtschaftssektoren konkretisiert werden.
Ob diese Initiative tatsächlich den Weg in das US-Gesetzblatt findet, erscheint mir angesichts
der derzeitigen Blockadesituation im US-Kongress sehr zweifelhaft. Und selbst wenn ich
mich hier irre und das Gesetz doch kommt, bleiben Zweifel in Bezug auf die Verbindlichkeit
der Regelungen. Denn den Unternehmen steht es danach frei, zu entscheiden, ob sie den Verhaltenskodizes beitreten oder nicht. Von einer allgemeinverbindlichen Datenschutzgesetzgebung nach europäischem Verständnis ist der Entwurf einer Consumer Bill of Rights damit
immer noch weit entfernt.
c) Safe Harbor
Unter dem Eindruck des Adäquanzerfordernisses der Drittstaatenregelung der europäischen
Datenschutzrichtlinie, wie voranstehend skizziert, zielte die – nach wie vor vom Vorrang der
Selbstregulierung vor umfassender Gesetzgebung geprägte – rechtspolitische Diskussion in
den USA nach und nach auf die Erarbeitung von Lösungsansätzen, um die transatlantischen
Systemunterschiede zu überbrücken.
Sie gipfelte in der seit etwa Juli 1998 von der US-Seite initiierten Diskussion um das Arrangement eines Sicheren Hafens, das die Europäische Kommission nach intensiven Verhandlungen mit dem US-Handelsministerium per Entscheidung vom 26. Juli 2000 absegnete. Da-
8
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data –
Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013
mit stellte sie für die USA - im Rahmen von Safe Harbor –ein angemessenes Datenschutzniveau im Sinne der von der Richtlinie geforderten drittstaatlichen Adäquanz fest.
Safe Harbor setzt sich in seinem Kern aus sieben Principles (Informationspflicht/Notice,
Wahlmöglichkeit/Choice, Weitergabe/Onward Transfer, Sicherheit/Security, Datenintegrität/Data Integrity, Auskunftsrecht/Access und Durchsetzung/Enforcement) sowie fünfzehn
Häufig gestellten Fragen (Frequently Asked Questions - FAQs) zusammen.
Das Arrangement sieht vor, dass das US-Handelsministerium ein Verzeichnis derjenigen Unternehmen führt, die sich, um in den Genuss der Vorteile des Systems zu gelangen, öffentlich
auf die Grundsätze des Safe Harbor verpflichtet haben. Wer sich auf amerikanischer Seite
dem System des Safe Harbor anschließt, ist vor einer Sperrung des Datenverkehrs sicher. Im
Gegenzug wissen die europäischen Datenexporteure, an welche US-Firmen Daten übermittelt
werden können, ohne dass zusätzliche Garantien verlangt werden müssen.
Der Inhalt der Principles und der FAQs ist deutlich als Kompromiss zwischen zwei höchst
unterschiedlichen Positionen erkennbar. Während die amerikanische Seite von den wesentlich
weicheren OECD-Guidelines von 1980 ausgehen wollte, bildet für die europäische Seite die
Richtlinie selbst den Ausgangspunkt. Beide Seiten mussten sich also in entscheidenden Fragen erheblich bewegen, um zu einer gemeinsamen Linie zu gelangen.
Der Erfolg für Amerika liegt vor allem in folgendem:
-
Soweit eine Übermittlung in die USA ein adäquates Schutzniveau voraussetzt, kann
dieses statt durch gesetzliche Bestimmungen auch durch ein auf freiwilliger Selbstverpflichtung beruhendes Konzept hergestellt werden. Das Safe-Harbor-Arrangement
wird von den Aufsichtsbehörden der Mitgliedstaaten der EU als ausreichend anerkannt.
-
Das Opt-In-Prinzip (Einwilligungserfordernis) wird, soweit es nicht um sensitive Daten geht, weitgehend durch den Opt-Out-Mechanismus (Widerspruchslösung) ersetzt.
Die Betroffenen müssen über die Verarbeitung, die Verarbeitungszwecke und ihre
Möglichkeiten zum Opt-Out informiert werden (Principles 1 bis 3).
9
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data –
Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013
-
Für zahlreiche Branchen und Spezialprobleme wurden spezielle Grundsätze vereinbart, die den Erwartungen der amerikanischen Wirtschaft entgegenkommen und die
Grundsätze der EU-Datenschutzrichtlinie modifizieren.
Als größter Erfolg der europäischen Seite können die Maßnahmen angesehen werden, die die
teilnehmenden Organisationen ergreifen bzw. denen sie sich unterwerfen müssen, wenn sie
am Safe-Harbor-Programm teilnehmen. Sie umfassen:
-
einen sofort verfügbaren und erschwinglichen Beschwerdemechanismus in Form einer
unabhängigen Stelle, durch die Streitfragen gelöst und Schadensersatzverpflichtungen
ausgesprochen werden können,
-
eine Pflicht, durch eine unabhängige Stelle verifizieren und bestätigen zu lassen, ob
die mit der Selbstverpflichtung auf das Safe-Harbor-Programm verbundenen Verpflichtungen eingehalten werden (eine Art Auditierung) und
-
einen mit hinreichend strengen Sanktionen verbundenen Mechanismus, der eingreift,
wenn die im Rahmen des Programms übernommenen Verpflichtungen von einer Organisation nicht eingehalten werden.
In den ersten Jahren sah sich Safe Harbor auf beiden Seiten des Atlantiks der Kritik ausgesetzt. So gipfelten die in Teilen rundweg ablehnenden Äußerungen auf amerikanischer Seite
in dem an die Adresse der US-Regierung gerichteten Vorwurf, der EU wesentlich zu weit
entgegen gekommen zu sein. Von europäischen Datenschützern hingegen wurde Brüssel bisweilen vorgehalten, aus Gründen der Marktpolitik und des Außenhandels ein Regelungswerk
geschaffen zu haben, das aufgrund seiner augenscheinlichen Datenschutzdefizite gegen ebenso zentrale wie verbindliche Grundsätze des Gemeinschaftsrechts verstößt.
Darin spiegelt sich aber nichts anderes als der deutliche Kompromisscharakter von Safe Harbor als Ergebnis eines schrittweisen Aufeinanderzugehens von höchst unterschiedlichen Positionen aus.
10
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data –
Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013
Positiv bewerten möchte ich an dieser Stelle auch die Rolle der Europäischen Kommission.
Sie hat, wie schon bei der Vorbereitung der Richtlinie, nicht die Befürchtungen bestätigt, dass
die Rechte des einzelnen im Zielkonflikt mit ökonomischen Interessen zwangsläufig auf der
Strecke blieben. Sie hat vielmehr, bei allem Willen, zügig zu einer Vereinbarung zu gelangen,
nachhaltig im Sinne des Datenschutzes verhandelt und sich dabei insbesondere der Beratung –
und Unterstützung –der in der Artikel 29-Gruppe versammelten europäischen Datenschützer
versichert.
d) Unterschiedliches Verständnis der Aufsichtsbehörden
Da es in den USA an einer umfassenden Datenschutzgesetzgebung mangelt, fehlt es auch an
den entsprechenden aufsichtsbehördlichen Mechanismen, wie wir sie in Europa kennen.
Während in den Mitgliedstaaten der EU unabhängige Kontrollstellen über die Einhaltung der
Datenschutzgesetze im öffentlichen wie im privaten Bereich wachen und hierzu über wirksame Kontroll- und Sanktionsbefugnisse verfügen, wird Aufsicht über den Umgang mit personenbezogenen Daten in den USA, soweit vorhanden, als Teil des Konsumentenschutzes und
des Wettbewerbsrechts verstanden.
Die dem Department of Commerce angegliederte Federal Trade Commission (FTC) wird
aktiv, wenn unfaire oder betrügerische Geschäftspraktiken zum Nachteil von Konsumenten in
Rede stehen. Allerdings ist die FTC auch zuständig für die Kontrolle der Einhaltung der Safe
Harbor-Regeln. In diesem Rahmen agiert sie ähnlich wie eine europäische Datenschutzbehörde. Hier möchte ich als gute Nachricht ausdrücklich die verstärkten EnforcementAktivitäten der FTC aus der jüngeren Vergangenheit gegen Unternehmen wie Google oder
Facebook hervorheben.
Die divergierenden Ansätze beidseits des Atlantiks – datenschutzrechtlich im Allgemeinen
wie aufsichtsbehördlich im Besonderen – lassen die Idee einer globalen Charta digitaler
Grundrechte immer dringlicher erscheinen. Die Internationale Datenschutzkonferenz, zuletzt
vor einem Monat in Warschau, hat hierzu bereits wichtige Impulse geliefert. Aber dies ist ein
eigenes Thema, das ich hier nicht vertiefen kann.
11
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data –
Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013
3) Reaktionen auf 9/11
Lassen Sie mich nun auf den komplexen Bereich der Sicherheitsgesetzgebung in den USA
und in der EU nach 9/11 zu sprechen kommen.
a) US: Patriot Act, PNR, TFTP ... PRISM, Xkeyscore
Die gesetzgeberischen Reaktionen auf 9/11 sind legendär –und ebenso allgemein bekannt, so
dass ich mich an dieser Stelle darauf beschränken kann, die wesentlichen Gesetzespakete und
bestimmte Einzelgesetze in Erinnerung zu rufen.
Symbolisch für die Reaktion auf der US-amerikanischen Seite steht der PATRIOT Act, der
den Sicherheitsbehörden im war on terror in einer Vielzahl von Gesetzen neue und erweiterte
Befugnisse eingeräumt hat.
Bekanntschaft mit dessen Folgen hat die europäische Politik in erster Linie durch den Zugriff
von US-Sicherheitsbehörden auf Finanztransaktionsdaten und Fluggastdaten gemacht.
Ich erinnere an die Diskussion über den Zugriff auf die Daten des globalen Finanzdienstleisters SWIFT, aus der das heute sog. Terrorist Finance Tracking Program (TFTP)Abkommen entstanden ist.
Der andere Dauerstreit im Verhältnis zwischen EU und USA betrifft die Verpflichtung von
Fluggesellschaften, den amerikanischen Grenzbehörden umfangreiche Informationen aus den
Computerreservierungssystemen über ihre Passagiere vorab zu übermitteln, die sog. PNRDaten.
Im Zuge der jüngsten Enthüllungen über die amerikanischen Überwachungsprogramme ist
daneben mehr und mehr der Foreign Intelligence Surveillance Act (FISA) in den Vordergrund
gerückt.
Dieser stammt bereits aus dem Jahr 1978 und wurde durch den PATRIOT Act, und später
durch den FISA Amendment Act aus dem Jahr 2008 ergänzt. Durch die gesetzlichen Änderungen des PATRIOT Act und des FISA Amendment Act sind die rechtlichen Grundlagen geschaf-
12
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data –
Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013
fen worden, auf denen die – wie es scheint – umfassendste globale Überwachung von Telekommunikationsdaten im weitesten Sinne fußt, für die heute die Schlagworte PRISM,
UPSTREAM oder XKeyscore stehen.
b) DE: Otto-Pakete, ATD …
Aber auch der deutsche Gesetzgeber reagierte auf 9/11 mit der Verabschiedung einer Vielzahl
von sog. Sicherheitsgesetzen, insbesondere die Otto-Kataloge, benannt nach dem damaligen
Bundesinnenminister Schily.
Auch hier zur Erinnerung: Das Terrorismusbekämpfungsgesetz und das Terrorismusbekämpfungsergänzungsgesetz haben die Befugnisse der deutschen Nachrichtendienste erheblich
ausgeweitet.
Das BKA erhielt neue Kompetenzen im Bereich der präventiven Abwehr der Gefahren des
internationalen Terrorismus.
Brisant war zudem das sog. Gemeinsame-Dateien-Gesetz, das die Rechtsgrundlage für die
Antiterrordatei schafft – jene Datei von Polizei und Nachrichtendiensten, die das Trennungsgebot von Polizeien und Diensten in besonderer Weise in Frage stellt.
c) EU: VDS-RL, Stärkung Europol
Auch auf der Ebene der Europäischen Union blieb man nicht untätig.
Die Abkommen zu PNR und TFTP habe ich bereits erwähnt. Ausgehandelt wurden sie durch
die Europäische Kommission.
Sie sah ihre Aufgabe darin, in Nachahmung der US-amerikanischen Vorbilder erste Entwürfe
für die Errichtung von EU-eigenen PNR-und TFTP-Systemen zu unterbreiten. Beide liegen
allerdings noch nicht vor.
Das umstrittenste gesetzgeberische Vorhaben war vermutlich die Richtlinie über die Vorratsdatenspeicherung von Telekommunikationsdaten aus dem Jahre 2006.
13
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data –
Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013
Aus dem Strauß an EU-Vorhaben möchte ich die weitere Stärkung von Europol hervorheben.
Die Verhandlungen über eine neue Verordnung laufen gegenwärtig, und es ist zu hoffen, dass
das Europäische Parlament die vorgesehene Befugniserweiterung nicht zulässt, ohne gleichzeitig ein robustes Datenschutzregime zu sichern.
4) Besatzungsrecht
Die Enthüllungen zur – soviel scheint klar zu sein – weltweiten und weitgehend anlasslosen
Überwachung der Internetkommunikation durch US-amerikanische und britische Geheimdienste lassen mich nicht nur isoliert auf die Praktiken eben dieser Dienste schauen. Sie legen
auch den Blick frei auf die Zusammenarbeit bundesdeutscher Nachrichtendienste mit anderen
– dann so genannten befreundeten – Diensten. Diese Zusammenarbeit ist zwar von den einschlägigen Gesetzen etwa über den Bundesverfassungsschutz und den Bundesnachrichtendienst gedeckt. Ihr Umfang und ihre Intensität sind aber noch nicht – wie ich es beständig
fordere –aufgeklärt.
Diese Zusammenarbeit hat gerade mit Blick auf die Überwachung deutscher Telekommunikationsverkehre eine schon längere Tradition und spiegelte sich in bilateralen Verwaltungsvereinbarungen zwischen Deutschland und den USA, Großbritannien und Frankreich wider.
Diese Verwaltungsvereinbarungen regelten seit Ende der 1960er Jahre die Zusammenarbeit
zwischen den in der Bundesrepublik stationierten Alliierten und dem Bundesamt für Verfassungsschutz bzw. dem Bundesnachrichtendienst auf dem Gebiet der Überwachung des Postund Fernmeldeverkehrs in der Bundesrepublik.
Zum Kontext dieser Vereinbarungen muss man wissen, dass es trotz Geltung des Brief-, Postund Fernmeldegeheimnisses in Art. 10 Grundgesetz seit dessen Inkrafttreten im Jahr 1949
weitgehende Vorbehaltsrechte der Alliierten gab. Diese Rechte nutzten die Alliierten offenbar
auch zur Überwachung des Post- und Fernmeldeverkehrs. Schon Anfang der 1950er Jahre
aber drängten besonders die USA die Bundesregierung, eigene Rechtsgrundlagen zur Telekommunikationsüberwachung zu schaffen und diese Überwachung auch selbst durchzuführen.
14
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data –
Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013
Dieser Forderung ließ die Bundesregierung aber erst 1968 mit Inkrafttreten des Gesetzes zur
Beschränkung des Brief-, Post- und Fernmeldegeheimnisses – kurz G 10-Gesetz –Taten folgen. Die Alliierten wollten aber nicht auf die Erkenntnisse aus der Überwachung verzichten.
Deshalb wurde das G 10-Gesetz quasi ergänzt um Geheimvereinbarungen mit den USA,
Großbritannien und Frankreich.
So geheim diese Vereinbarungen bis in die jüngste Vergangenheit waren und so überrascht
sich die interessierte Öffentlichkeit über sie zeigte, so rasch wurden sie selbst Geschichte. Das
Auswärtige Amt und die zuständigen US-amerikanischen, britischen und französischen Stellen beeilten sich in diesem Sommer, die Vereinbarungen aufzuheben und vergaßen dabei
nicht zu versichern, dass sie spätestens seit der Wiedervereinigung Deutschlands nicht mehr
angewendet wurden und eigentlich schon in Vergessenheit geraten waren.
5) Lassen sich die unterschiedlichen Sichtweisen überbrücken/überwinden?
a) Rolle der Transparenz auch bei Geheimdiensten
Vor dem Hintergrund der jüngsten Auseinandersetzungen nach den Snowden-Enthüllungen
möchte ich noch der demokratischen Kontrolle und Transparenz von Geheimdiensten nachgehen.
Die Definitionsmacht dessen, was zum Schutze unserer Sicherheit und unserer Demokratien
notwendig ist, dürfen wir nicht an Geheimdienste delegieren. Die Bürgerinnen und Bürger
müssen wissen und über ihre Parlamente entscheiden, wie weit staatliche Erfassung und
Überwachung gehen dürfen. Die Demokratien haben es nun in der Hand, den hämischen Jubel von Regierungen autoritärer Überwachungsstaaten nach der Aufdeckung der umfassenden
Internetüberwachung zu widerlegen.
Die die jüngsten Berichte über Praktiken und Initiativen der russischen Behörden zur exzessiven Internetüberwachung belegen, wie wichtig es ist, dass sich zumindest die westlichen Demokratien hier auf gemeinsame Grenzen der Überwachung und Mindeststandards der Sicherung von informationellen und kommunikativen Grund- und Menschenrechten einigen.
15
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data –
Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013
Nach meinem Eindruck kommt Bewegung in die Diskussion, jedenfalls im Hinblick auf das
Thema Transparenz.
Dass sich der Präsident des deutschen Auslandsnachrichtendienstes der Forderung nach mehr
Transparenz anschließt, ist bemerkenswert. In einer kürzlich gehaltenen Rede sieht er in der
Aufgabe, mehr Transparenz zu erzeugen, sogar die wichtigste Herausforderung (Zitat aus
Rede des BND-Präsidenten Gerhard Schindler anlässlich der 1. Nachrichtendienst-Konferenz
am 13. September 2013).
Welche Konsequenzen aus den Diskussionen der letzten Monate für die parlamentarische
Kontrolle der Geheimdienste zu ziehen sind, halte ich für eine zentrale rechtspolitische Frage
an die neue Koalition.
b) Richtiger Schritt: FTC als Datenschutz-Behörde, PCLOB ...
Erwähnen möchte ich hier auch das noch junge und insofern wenig bekannte Privacy and
Civil Liberties Oversight Board (PCLOB).
Geschaffen wurde das Board schon vor fast 10 Jahren zur Überprüfung der 9/11 Antiterrorgesetzgebung, doch hat es nach jahrelanger Obstruktion erst vor wenigen Monaten seine Arbeit
in einer neuen Organisationsform wirklich aufgenommen.
Es ist nur eine sehr kleine Behörde mit 5 Board-Mitgliedern und wenigen Mitarbeitern. Gespannt bin ich trotzdem, welche Empfehlungen das PCLOB Präsident Obama machen wird.
Ein Verdienst von PCLOB ist meines Erachtens schon jetzt, dass es öffentliche Anhörungen
veranstaltet, bei denen sowohl Repräsentanten der jetzigen und früheren US-Administrationen
als auch Bürgerrechtsanwälte und Praktiker der Sicherheitsbehörden zu Worte kommen.
Vielleicht
könnte
das
PCLOB
sogar
der
Nukleus
einer
unabhängigen
US-
Datenschutzaufsichtsbehörde sein und Ansprechpartner für alle datenschutzrechtlichen Fragen
werden.
16
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data –
Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013
c) Internationales Recht (warum blockieren USA?)
Bei allen bisherigen Verhandlungen zu Abkommen zwischen der EU und den USA im Sicherheitsbereich gibt es ein wiederkehrendes Problem: Die US-Seite lehnt es regelmäßig ab,
die Abkommen so auszugestalten, dass sie in den USA einklagbare Rechte für EU-Bürger
beinhalten.
So löst es doch Verwunderung aus, wenn nach schwierigen Verhandlungen am Ende ein Abkommen unterzeichnet wird, in dem es –wie bei PNR –heißt: This Agreement does not create or confer any right.
Dies mag mit komplizierten US-amerikanischen Rechtsfragen zusammenhängen. Doch halte
ich diesen Einwand letztlich nicht für überzeugend. Er ist auch nicht dem traditionellen
Rechtsstaatsverständnis der USA angemessen.
Und ich frage mich, ob es rein rechtstatsächlich auf die Dauer haltbar ist. Wie sollten im Zeitalter von Big Data Inländer und Ausländer trennscharf auseinander gehalten werden können?
Ich sehe in der Einräumung von Rechtsschutzmöglichkeiten für EU-Bürger für einen wesentlichen Punkt im künftigen Verhältnis der USA zur EU. So wie es umgekehrt selbstverständlich ist, dass US-Bürger Rechtsschutz vor europäischen oder deutschen Behörden und Gerichten erlangen können, da das Grundecht auf Datenschutz nach unserem Recht ohne Ansehen
der Person gilt. So kann sich nach § 21 BDSG Jedermann an mich wenden, wenn er seine
Datenschutzrechte durch eine meinem Zuständigkeitsbereich unterliegende Stelle verletzt
sieht, auch wenn der Petent in den USA wohnt.
Die US-Seite könnte verlorenes Vertrauen zurückgewinnen – im Rahmen bestehender wie
künftig zu vereinbarender Abkommen zum Datenaustausch:
-
durch die Einräumung datenschutzrechtlicher Mindestgarantien
-
gepaart mit der Sicherung ihrer effektiven Durchsetzung – enforcement ist hier der
Schlüsselbegriff für die europäischen Wünsche an die Amerikaner
-
und das Ganze flankiert durch die Eröffnung des Rechtsweges vor staatlichen Gerichten.
17
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data –
Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013
d) Europa/DE muss sich nicht verstecken. Selbstbewusstes Auftreten gefragt – US können mit offenen Worten gut umgehen und verabscheuen Opportunisten und Heuchler
Zum Ende meines Vortrags stellt sich naturgemäß die Frage, ob und, wenn ja, wie sich die
unterschiedlichen Sichtweisen diesseits und jenseits des Atlantiks überbrücken oder gar
überwinden lassen.
Ich hatte eingangs gezeigt, dass der Gedanke von Privacy und letztlich die Vor-Geschichte
dessen, was wir unter Datenschutz verstehen, in Amerika beheimatet sind.
Treffend fand ich daher, wie es der Economist in seiner Ausgabe vom 3. August dieses Jahres
formulierte: Unter den nichts beschönigenden Überschriften Security v(ersus) Freedom in the
United States – Liberty’s lost Decade und Still unjust, unwise and un-American beginnt der
Text: This newspaper is a wholehearted supporter of the United States and its commitment to
individual freedom.
In diesem Sinne stelle ich mir vor, wo und wie wir unsere Gesprächspartner von der anderen
Seite des Atlantiks abholen können.
In diesem Dialog braucht Europa sich nicht zurückzunehmen, sondern kann selbstbewusst
auftreten, weil es etwas zu bieten hat.
Angesichts der gewohnten Offenheit, in der wir uns mit unseren amerikanischen Gesprächspartnern austauschen, könnte etwa darauf hingewiesen werden, dass Amerika auch etwas von
uns will. Ich denke nur an das von den USA favorisierte Freihandelsabkommen, aber auch an
die bestehenden Sicherheitsabkommen: Immerhin stehen diese aus Sicht des Europäischen
Parlaments auf dem Prüfstand und könnten ausgesetzt werden.
e) Aktuell: SWIFT und Safe Harbor
Und dann der Paukenschlag vor drei Tagen, als das Europaparlament (EP) in einer Entschließung die Aussetzung des SWIFT-Abkommens zur Übermittlung von Bankkundendaten in die
USA forderte. Nach Ansicht des EP soll das Abkommen so lange auf Eis gelegt werden, bis
18
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data –
Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013
vollständig geklärt ist, ob sich US-Dienste unter Verletzung der Vereinbarung einen nicht
genehmigten Zugang zu Finanzdaten verschafft haben.
Und ebenso gehört meiner Meinung nach das zuvor skizzierte Safe-Harbor-Abkommen auf
den Prüfstand.
Wie sich zuletzt in einer Anhörung des LIBE-Ausschusses des EP am 7. Oktober gezeigt hat,
ist die Revisionsbedürftigkeit von Safe Harbor bereits im Hinblick auf enforcement offensichtlich: Nach den gemachten Erfahrungen ist es für Unternehmen zu einfach, falsche Angaben über die Einhaltung der Datenschutz-Standards zu machen, während den Betroffenen
geeignete Instrumente zu Rechtsdurchsetzung fehlen.
Vor allem aber halte ich die Grundsätze der Kommissionsentscheidung aus dem Jahre 2000
dadurch für verletzt, dass die vorgesehene Ausnahme der national security mit der Konsequenz umfassender und anlassloser Datenzugriffe auf Kosten der Grundsätze der Zweckbindung, der Erforderlichkeit und Verhältnismäßigkeit der Datenverarbeitung ins Spiel gebracht
wird.
Die Europäische Kommission hat stets betont, dass die nationalen Kontrollstellen für den Datenschutz eine Datenübermittlung in die USA aussetzen können, wenn eine hohe Wahrscheinlichkeit besteht, dass die Safe-Harbor-Grundsätze verletzt sind. Mit meinen Kolleginnen und
Kollegen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder halte ich
diesen Fall jetzt für eingetreten. Mit ihnen fordere ich zugleich die Europäische Kommission
auf, ihre Entscheidung zu Safe Harbor (und zu den Standardverträgen) vor dem Hintergrund
der exzessiven Überwachungstätigkeit US-amerikanischer (und anderer ausländischer) Geheimdienste bis auf weiteres zu suspendieren.
Schluss
Im Übrigen, und damit möchte ich schließen, müssen sich die USA von ihrem Landsmann,
dem bereits zitierten Joel Reidenberg vorhalten lassen: The United States desperately needs to
establish a basic set of legal protections for privacy.
19
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data –
Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013
Sie sehen, die transatlantische Debatte über Freiheit, Sicherheit und Datenschutz bleibt spannend.
Ich danke für Ihre Aufmerksamkeit!
20