Big Brother und Big Data - Was heißt eigentlich Datenschutz auf
Transcription
Big Brother und Big Data - Was heißt eigentlich Datenschutz auf
Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data – Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013 Rede anlässlich der 41. Römerberggespräche in Frankfurt am Main vom 26. Oktober 2013 Big Brother und Big Data - Was heißt eigentlich Datenschutz auf Amerikanisch? Von Peter Schaar Sehr geehrter Herr Professor Vec, sehr geehrte Damen und Herren, ich danke Ihnen sehr für die Einladung zu den diesjährigen Römerberggesprächen und freue mich, zum Datenschutz in Europa und in den USA sprechen zu dürfen. Einleitung Transatlantische Entfremdung als Thema der diesjährigen Römerberggespräche – mit Blick auf das Datenschutzrecht kann ich dem Titel nur bedingt wörtlich entsprechen, da Entfremdung ja zunächst einmal eine bestehende Nähe voraussetzt. Und eine solche Nähe ist im Verhältnis Europa –Vereinigte Staaten im Datenschutzrecht ist – zumindest in den letzten Jahren und Monaten –nicht ohne weiteres auszumachen. Das Problem wird besonders deutlich, dass – dem Datenschutzthema vorgelagert – diesseits und jenseits des Atlantiks sehr verschiedene Vorstellungen darüber herrschen, wie man angesichts terroristischer Bedrohungen Freiheit und Sicherheit miteinander in Einklang bringen kann. Die Erkenntnisse zu den Überwachungsaktivitäten US-amerikanischer – aber auch britischer –Geheimdienste haben dies sehr drastisch klar gemacht. Und was den Datenschutz selbst betrifft, gab es in den 1960er und 1970er Jahren des letzten Jahrhunderts durchaus Berührungspunkte. Die wissenschaftlichen und die politischen Debatten über die mit der Computertechnik verbundenen Herausforderungen ähnelten sich diesseits und jenseits des Atlantiks. Allerdings unterschieden sich die daraus gezogenen Konsequenzen auf dem Gebiet der Gesetzgebung. 1 Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data – Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013 Mit dem Inkrafttreten der europäischen Datenschutzrichtlinie im Jahre 1995, die erstmalig einen verbindlichen europäischen Datenschutz-Rechtsraum schuf, kam es binnen kurzem zu einer intensiven transatlantischen Debatte, da sich die USA – europarechtlich betrachtet – in den Reihen der nicht-adäquaten Drittstaaten wiederfanden. Joel Reidenberg, ein Kenner des amerikanischen wie des europäischen Datenschutzrechts, fasste es einige Jahre später in die Worte: For almost a decade, the United States and Europe have anticipated a clash over the protection of personal information; … trans-Atlantic privacy policies have been at odds with each other. Dabei nahm die Geschichte dessen, was sich im anglo-amerikanischen Sprachgebrauch als privacy law und in Europa als Datenschutzrecht – data protection law – herauskristallisiert hat, in den Vereinigten Staaten von Amerika ihren Anfang. 1. Historischer Hintergrund a) USA Als Genesis gilt gemeinhin der bekannte Aufsatz The Right to Privacy von Samuel Warren und Louis Brandeis, zwei Rechtsanwälten und nachmaligen Bundesrichtern aus Boston, in der Harvard Law Review aus dem Jahre 1890. Warren und Brandeis näherten sich dem Gegenstand noch unter dem zivilrechtlichen Gedanken des Deliktsrechts, stellten aber als verfassungsrechtliche Kernthese heraus, dass das Recht auf Privatheit die wertvollste Freiheit in einer Demokratie sei, was sich letztlich in der Verfassung der USA spiegeln müsse. Als Bundesrichter prägte Brandeis dann im Jahre 1928 – im Rahmen eines dissenting vote –die berühmte Formel des right to be let alone. Diskussionen Anfang der 1960er Jahre während der Amtszeit von John F. Kennedy bildeten die Grundlage für den – allerdings erst 1974 verabschiedeten – Privacy Act als erstes Gesetz für die Bundesverwaltung gegen hoheitliche Eingriffe in die Privatsphäre. 2 Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data – Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013 Allerdings ist der Privacy Act –trotz seiner klaren Bezeichnung –nicht als umfassende Regelung entsprechend eines Datenschutzgesetzes nach europäischem Muster zu verstehen, da er sich –neben anderen Desideraten –nur an einen eingeschränkten Adressatenkreis wendet und zahlreiche behördliche Aufgaben ausklammert. Auch weitere gesetzliche Datenschutzvorgaben, etwa der bereits aus dem Jahre 1970 stammende Fair Credit Reporting Act, der Drivers Privacy Protection Act von 1994 und der Children's Online Privacy Protection Act (COPPA) von 1998 richten sich immer nur an bestimmte Behörden oder bestimmte Datenverarbeiter des privaten Bereichs und greifen jeweils nur punktuelle Probleme auf. Es gibt in den USA bis heute keinen umfassend gesetzlich geregelten Datenschutz, wie wir ihn in Europa kennen. b) Deutschland Ein umfassendes Datenschutzgesetz wurde weltweit erstmals in Deutschland – und zwar auf Länderebene, durch den Hessischen Landtag – am 30. September 1970 aus der Taufe gehoben. Dem Hessischen Datenschutzgesetz folgten weitere Landesdatenschutzgesetze und die Verabschiedung des ersten Bundesdatenschutzgesetzes im Jahre 1977. Sechs Jahre später, im Dezember 1983 –und wenige Tage vor dem symbolträchtigen 1984 –, kreierte das Bundesverfassungsgericht in seinem Volkszählungsurteil das Grundrecht auf informationelle Selbstbestimmung, das das Gericht auf das allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. der Menschenwürdegarantie aus Art. 1 Abs. 1 des Grundgesetzes stützte. Das Grundrecht auf informationelle Selbstbestimmung erkennt jedem das Recht zu, grundsätzlich selbst über den Umgang mit seinen personenbezogenen Daten zu bestimmen. Das BVerfG blieb nicht beim Volkszählungsurteil stehen, sondern entwickelte seine Rechtsprechung zum Datenschutz insbesondere in den Bereichen der staatlichen Gefahrenabwehr und der Strafverfolgung fort. 3 Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data – Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013 Zu erwähnen sind die Entscheidungen zum großen Lauschangriff aus dem Jahre 2004 und zur präventiven Telekommunikationsüberwachung aus dem Jahre 2005. Beide Urteile stellen klar, dass ein unantastbarer Kernbereich privater Lebensgestaltung vor jeglicher Überwachung geschützt bleiben muss. Von Bedeutung ist insbesondere das Urteil zur Online-Durchsuchung aus dem Jahre 2008: Hier entwickelte das Verfassungsgericht – als zweites Datenschutzgrundrecht mit der etwas sperrigen Bezeichnung das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Zu nennen sind schließlich die Urteile zur Vorratsdatenspeicherung (2010) und zum Antiterrordateien-Gesetz (2013). c) Europa Meine Damen und Herren, Lassen Sie mich nun den wichtigen Bereich des Datenschutzes in der Europäischen Union ansprechen. Die zu Beginn der 90er Jahre in den Mitgliedstaaten der EU bestehenden Datenschutzgesetze basierten auf identischen, im Datenschutzübereinkommen Nr. 108 des Europarates festgelegten Grundsätzen, unterschieden sich jedoch im Detail mitunter erheblich. Da dies als Beeinflussung des Wettbewerbs und damit des guten Funktionierens des Binnenmarktes angesehen wurde, nahm der Ruf nach Schaffung eines stärker harmonisierten Umfeldes zu. Dies mündete in der Annahme der Datenschutz-Richtlinie 95/46/EG im Jahre 1995. Sie bildet das Kernstück einer einheitlichen Datenschutzgesetzgebung in den Mitgliedstaaten der EU. In der Richtlinie sind allgemeine Bestimmungen über die Rechtmäßigkeit der Verarbeitung personenbezogener Daten und die Rechte der Personen, deren Daten verarbeitet werden, festgelegt. Die Richtlinie sieht auch vor, dass in jedem Mitgliedstaat mindestens eine unabhängige Kontrollbehörde für die Überwachung ihrer Umsetzung zuständig ist. 4 Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data – Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013 Die Richtlinie hat insgesamt zu einem fortgeschrittenen, vom Anspruch her einheitlichen Datenschutzstandard bei staatlichen und privaten Stellen in den mittlerweile 28 Mitgliedstaaten der EU geführt. Ein weiterer wichtiger Meilenstein für den Datenschutz in der EU ist das Inkrafttreten des Vertrages von Lissabon 2009. Verbindlichkeit erlangte damit auch das in Artikel 8 der Charta der Grundrechte der Europäischen Union explizit geregelte individuelle Grundrecht auf Schutz personenbezogener Daten. Das Datenschutzgrundrecht ist nicht nur von den Stellen der EU, sondern auch den Mitgliedstaaten zu beachten, wenn sie EU-Recht anwenden. Allerdings: Auch das EU-Datenschutzrecht bedarf der Fortentwicklung. Einerseits wird die Datenschutzrichtlinie aus 1995 nicht durchweg einheitlich in den Mitgliedstaaten umgesetzt und angewandt. Andererseits ist die Richtlinie nicht hinreichend geeignet, die rasende Entwicklung der Informations- und Kommunikationstechnologien und die globale Natur des Internets abzudecken. Damit komme ich zur aktuellen Reform des EU-Datenschutzrechts. Bekanntlich hat die Europäische Kommission im Januar 2012 einen Vorschlag für eine EUDatenschutz-Grundverordnung vorgelegt. Die Grundverordnung soll die Datenschutzrichtlinie aus dem Jahre 1995 ersetzen. Sie wird seither im Rat der Union und im Europäischen Parlament intensiv diskutiert. Erst vor wenigen Tagen hat sich der Innenausschuss des Europäischen Parlaments auf eine gemeinsame Position zum Verordnungsvorschlag der Kommission geeinigt und damit grünes Licht für die Aufnahme der Verhandlungen mit dem Rat der Europäischen Union über dieses für Datenschutz so wichtige Dossier erteilt. Der Ball liegt insofern jetzt beim Rat. Der Vorschlag der Kommission, den Geltungsbereich der Grund-Verordnung künftig nicht mehr ausschließlich an den Umstand zu knüpfen, wo – in geografischer Hinsicht – die verantwortliche Stelle niedergelassen ist und wo die Verarbeitung erfolgt, sondern auch danach zu fragen, ob hiervon personenbezogene Daten von Personen in der EU betroffen sind –also 5 Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data – Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013 das sogenannte Marktortprinzip –, ist nach meinem Dafürhalten eine zwingende Antwort auf die globale Natur des Internets. Jedenfalls werden sich dann große Unternehmen wie Google, die hier in Deutschland und in Europa gute Geschäfte machen, nicht mehr darauf berufen können, das Europäische Recht binde sie nicht. Natürlich wird die Grund-Verordnung nicht alles regeln können, was an Defiziten des Datenschutzes im internationalen Kontext vorzufinden ist. Aber sie ist ein wichtiger Schritt hin zu einer Verbesserung der Standards und der Rechte der Betroffenen über die EU-Grenzen hinaus. Erwähnen möchte ich auch die in Kapitel VII der Grundverordnung vorgesehenen neuen Verpflichtungen der Datenschutzbehörden zur Zusammenarbeit und zur Kohärenz. Die Grundidee, dass die nationalen Behörden in Sachverhalten, die von grundlegender Relevanz für den Datenschutz in der gesamten EU sind, miteinander kooperieren und mit einer Stimme sprechen, halte ich für unverzichtbar, gerade auch im internationalen Kontext. 2) Konfliktfelder Meine sehr geehrten Damen und Herren, gestatten Sie mir nun einige Bemerkungen zu den Unterschieden und Konfliktfeldern zwischen dem US-amerikanischen und dem europäischen Datenschutzrecht. a) Schutzgegenstand Wie gesehen, nähern sich Amerikaner und Europäer dem Datenschutz aus unterschiedlichen Perspektiven. Zum einen meine ich die verfassungsrechtliche Sichtweise: So ist ein Right to Privacy weder in der Bill of Rights oder der US-Konstitution niedergelegt. Auch wenn sich der Datenschutz nicht explizit im Grundgesetz findet und – wie gesagt – vom Bundesverfassungsgericht aus den Artikeln 2 und 1 hergeleitet wird, hat der Datenschutz bei uns Grundrechtsqualität. Dies gilt im Hinblick auf Art. 8 der EU-GRCh auch für Europa. 6 Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data – Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013 Außerdem geht es nach deutschem und europäischem Verständnis beim Datenschutz nicht allein darum, in Ruhe gelassen zu werden. Vielmehr soll jeder – in der Diktion des Bundesverfassungsgerichts – grundsätzlich selbst über Preisgabe und Verwendung seiner Daten bestimmen können, wobei der Menschenwürde die entscheidende Rolle zukommt. Anders der amerikanische Ansatz, der, gestützt auf den Vierten Verfassungszusatz – the Fourth Amendment –die Freiheit gegenüber staatlicher Willkür betont. Der Rechtshistoriker James Whitman aus Yale bringt es so auf den Punkt: Continental privacy protections are, at their core, a form of protection of a right to respect and personal dignity ... By contrast, America, ... is much more orientated towards values of liberty, and especially liberty against the state. Diesem grundverschiedenen strukturellen Ansatz ist auch die unterschiedliche Terminologie geschuldet: Privacy bedeutet eben Privatleben, Zurückgezogenheit, Intimsphäre und wird in den Rechtswörterbüchern nur als erste Hilfe zum besseren Verständnis mit Datenschutz übersetzt. Umgekehrt ist data protection eine englische Wort-für-Wort-Übersetzung, die man als originären amerikanischen legal term vergeblich sucht. b) Ruf nach Gesetzgeber vs. Selbstregulierung Da die Sammlung personenbezogener Daten in den USA als Ausübung des Rechts auf Redefreiheit verstanden wird, verzichtet der Staat –nicht zuletzt aus Respekt vor diesem Recht der Datenverarbeiter –auf die Vorgabe eines verbindlichen Rahmens. Anstelle systematischer gesetzlicher Regelungen wird daher bis heute versucht, den Schutz der Daten durch Selbstregulierung und Selbstkontrolle zu bewerkstelligen. Allerdings fehlt es, von Ausnahmen abgesehen, an Transparenz für die Betroffenen und es mangelt an durchsetzbaren Individualrechten und wirksamem Schutz gegen zweckwidrige Datenverarbeitungen. 7 Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data – Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013 Joel Reidenberg fasst es in einem Satz zusammen: Reliance on self-regulation is not an appropriate mechanism to achieve the protection of basic political rights. An dieser Situation regt sich auch in den USA zunehmend Kritik. So legte im Jahre 2002 Senator Hollings den Entwurf eines Online Personal Privacy Act vor, der allerdings nicht weiter verfolgt wurde. Mehr Erfolg zu wünschen ist dem Anfang 2012 von Präsident Obama vorgelegten Entwurf eines Verbraucherdatenschutzgesetzes, der Consumer Privacy Bill of Rights. Der Vorschlag beinhaltet von Unternehmen einzuhaltende Grundprinzipien zum Verbraucherdatenschutz. Diese Grundprinzipien sollen durch spezifische Codes of Conduct für bestimmte Wirtschaftssektoren konkretisiert werden. Ob diese Initiative tatsächlich den Weg in das US-Gesetzblatt findet, erscheint mir angesichts der derzeitigen Blockadesituation im US-Kongress sehr zweifelhaft. Und selbst wenn ich mich hier irre und das Gesetz doch kommt, bleiben Zweifel in Bezug auf die Verbindlichkeit der Regelungen. Denn den Unternehmen steht es danach frei, zu entscheiden, ob sie den Verhaltenskodizes beitreten oder nicht. Von einer allgemeinverbindlichen Datenschutzgesetzgebung nach europäischem Verständnis ist der Entwurf einer Consumer Bill of Rights damit immer noch weit entfernt. c) Safe Harbor Unter dem Eindruck des Adäquanzerfordernisses der Drittstaatenregelung der europäischen Datenschutzrichtlinie, wie voranstehend skizziert, zielte die – nach wie vor vom Vorrang der Selbstregulierung vor umfassender Gesetzgebung geprägte – rechtspolitische Diskussion in den USA nach und nach auf die Erarbeitung von Lösungsansätzen, um die transatlantischen Systemunterschiede zu überbrücken. Sie gipfelte in der seit etwa Juli 1998 von der US-Seite initiierten Diskussion um das Arrangement eines Sicheren Hafens, das die Europäische Kommission nach intensiven Verhandlungen mit dem US-Handelsministerium per Entscheidung vom 26. Juli 2000 absegnete. Da- 8 Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data – Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013 mit stellte sie für die USA - im Rahmen von Safe Harbor –ein angemessenes Datenschutzniveau im Sinne der von der Richtlinie geforderten drittstaatlichen Adäquanz fest. Safe Harbor setzt sich in seinem Kern aus sieben Principles (Informationspflicht/Notice, Wahlmöglichkeit/Choice, Weitergabe/Onward Transfer, Sicherheit/Security, Datenintegrität/Data Integrity, Auskunftsrecht/Access und Durchsetzung/Enforcement) sowie fünfzehn Häufig gestellten Fragen (Frequently Asked Questions - FAQs) zusammen. Das Arrangement sieht vor, dass das US-Handelsministerium ein Verzeichnis derjenigen Unternehmen führt, die sich, um in den Genuss der Vorteile des Systems zu gelangen, öffentlich auf die Grundsätze des Safe Harbor verpflichtet haben. Wer sich auf amerikanischer Seite dem System des Safe Harbor anschließt, ist vor einer Sperrung des Datenverkehrs sicher. Im Gegenzug wissen die europäischen Datenexporteure, an welche US-Firmen Daten übermittelt werden können, ohne dass zusätzliche Garantien verlangt werden müssen. Der Inhalt der Principles und der FAQs ist deutlich als Kompromiss zwischen zwei höchst unterschiedlichen Positionen erkennbar. Während die amerikanische Seite von den wesentlich weicheren OECD-Guidelines von 1980 ausgehen wollte, bildet für die europäische Seite die Richtlinie selbst den Ausgangspunkt. Beide Seiten mussten sich also in entscheidenden Fragen erheblich bewegen, um zu einer gemeinsamen Linie zu gelangen. Der Erfolg für Amerika liegt vor allem in folgendem: - Soweit eine Übermittlung in die USA ein adäquates Schutzniveau voraussetzt, kann dieses statt durch gesetzliche Bestimmungen auch durch ein auf freiwilliger Selbstverpflichtung beruhendes Konzept hergestellt werden. Das Safe-Harbor-Arrangement wird von den Aufsichtsbehörden der Mitgliedstaaten der EU als ausreichend anerkannt. - Das Opt-In-Prinzip (Einwilligungserfordernis) wird, soweit es nicht um sensitive Daten geht, weitgehend durch den Opt-Out-Mechanismus (Widerspruchslösung) ersetzt. Die Betroffenen müssen über die Verarbeitung, die Verarbeitungszwecke und ihre Möglichkeiten zum Opt-Out informiert werden (Principles 1 bis 3). 9 Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data – Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013 - Für zahlreiche Branchen und Spezialprobleme wurden spezielle Grundsätze vereinbart, die den Erwartungen der amerikanischen Wirtschaft entgegenkommen und die Grundsätze der EU-Datenschutzrichtlinie modifizieren. Als größter Erfolg der europäischen Seite können die Maßnahmen angesehen werden, die die teilnehmenden Organisationen ergreifen bzw. denen sie sich unterwerfen müssen, wenn sie am Safe-Harbor-Programm teilnehmen. Sie umfassen: - einen sofort verfügbaren und erschwinglichen Beschwerdemechanismus in Form einer unabhängigen Stelle, durch die Streitfragen gelöst und Schadensersatzverpflichtungen ausgesprochen werden können, - eine Pflicht, durch eine unabhängige Stelle verifizieren und bestätigen zu lassen, ob die mit der Selbstverpflichtung auf das Safe-Harbor-Programm verbundenen Verpflichtungen eingehalten werden (eine Art Auditierung) und - einen mit hinreichend strengen Sanktionen verbundenen Mechanismus, der eingreift, wenn die im Rahmen des Programms übernommenen Verpflichtungen von einer Organisation nicht eingehalten werden. In den ersten Jahren sah sich Safe Harbor auf beiden Seiten des Atlantiks der Kritik ausgesetzt. So gipfelten die in Teilen rundweg ablehnenden Äußerungen auf amerikanischer Seite in dem an die Adresse der US-Regierung gerichteten Vorwurf, der EU wesentlich zu weit entgegen gekommen zu sein. Von europäischen Datenschützern hingegen wurde Brüssel bisweilen vorgehalten, aus Gründen der Marktpolitik und des Außenhandels ein Regelungswerk geschaffen zu haben, das aufgrund seiner augenscheinlichen Datenschutzdefizite gegen ebenso zentrale wie verbindliche Grundsätze des Gemeinschaftsrechts verstößt. Darin spiegelt sich aber nichts anderes als der deutliche Kompromisscharakter von Safe Harbor als Ergebnis eines schrittweisen Aufeinanderzugehens von höchst unterschiedlichen Positionen aus. 10 Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data – Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013 Positiv bewerten möchte ich an dieser Stelle auch die Rolle der Europäischen Kommission. Sie hat, wie schon bei der Vorbereitung der Richtlinie, nicht die Befürchtungen bestätigt, dass die Rechte des einzelnen im Zielkonflikt mit ökonomischen Interessen zwangsläufig auf der Strecke blieben. Sie hat vielmehr, bei allem Willen, zügig zu einer Vereinbarung zu gelangen, nachhaltig im Sinne des Datenschutzes verhandelt und sich dabei insbesondere der Beratung – und Unterstützung –der in der Artikel 29-Gruppe versammelten europäischen Datenschützer versichert. d) Unterschiedliches Verständnis der Aufsichtsbehörden Da es in den USA an einer umfassenden Datenschutzgesetzgebung mangelt, fehlt es auch an den entsprechenden aufsichtsbehördlichen Mechanismen, wie wir sie in Europa kennen. Während in den Mitgliedstaaten der EU unabhängige Kontrollstellen über die Einhaltung der Datenschutzgesetze im öffentlichen wie im privaten Bereich wachen und hierzu über wirksame Kontroll- und Sanktionsbefugnisse verfügen, wird Aufsicht über den Umgang mit personenbezogenen Daten in den USA, soweit vorhanden, als Teil des Konsumentenschutzes und des Wettbewerbsrechts verstanden. Die dem Department of Commerce angegliederte Federal Trade Commission (FTC) wird aktiv, wenn unfaire oder betrügerische Geschäftspraktiken zum Nachteil von Konsumenten in Rede stehen. Allerdings ist die FTC auch zuständig für die Kontrolle der Einhaltung der Safe Harbor-Regeln. In diesem Rahmen agiert sie ähnlich wie eine europäische Datenschutzbehörde. Hier möchte ich als gute Nachricht ausdrücklich die verstärkten EnforcementAktivitäten der FTC aus der jüngeren Vergangenheit gegen Unternehmen wie Google oder Facebook hervorheben. Die divergierenden Ansätze beidseits des Atlantiks – datenschutzrechtlich im Allgemeinen wie aufsichtsbehördlich im Besonderen – lassen die Idee einer globalen Charta digitaler Grundrechte immer dringlicher erscheinen. Die Internationale Datenschutzkonferenz, zuletzt vor einem Monat in Warschau, hat hierzu bereits wichtige Impulse geliefert. Aber dies ist ein eigenes Thema, das ich hier nicht vertiefen kann. 11 Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data – Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013 3) Reaktionen auf 9/11 Lassen Sie mich nun auf den komplexen Bereich der Sicherheitsgesetzgebung in den USA und in der EU nach 9/11 zu sprechen kommen. a) US: Patriot Act, PNR, TFTP ... PRISM, Xkeyscore Die gesetzgeberischen Reaktionen auf 9/11 sind legendär –und ebenso allgemein bekannt, so dass ich mich an dieser Stelle darauf beschränken kann, die wesentlichen Gesetzespakete und bestimmte Einzelgesetze in Erinnerung zu rufen. Symbolisch für die Reaktion auf der US-amerikanischen Seite steht der PATRIOT Act, der den Sicherheitsbehörden im war on terror in einer Vielzahl von Gesetzen neue und erweiterte Befugnisse eingeräumt hat. Bekanntschaft mit dessen Folgen hat die europäische Politik in erster Linie durch den Zugriff von US-Sicherheitsbehörden auf Finanztransaktionsdaten und Fluggastdaten gemacht. Ich erinnere an die Diskussion über den Zugriff auf die Daten des globalen Finanzdienstleisters SWIFT, aus der das heute sog. Terrorist Finance Tracking Program (TFTP)Abkommen entstanden ist. Der andere Dauerstreit im Verhältnis zwischen EU und USA betrifft die Verpflichtung von Fluggesellschaften, den amerikanischen Grenzbehörden umfangreiche Informationen aus den Computerreservierungssystemen über ihre Passagiere vorab zu übermitteln, die sog. PNRDaten. Im Zuge der jüngsten Enthüllungen über die amerikanischen Überwachungsprogramme ist daneben mehr und mehr der Foreign Intelligence Surveillance Act (FISA) in den Vordergrund gerückt. Dieser stammt bereits aus dem Jahr 1978 und wurde durch den PATRIOT Act, und später durch den FISA Amendment Act aus dem Jahr 2008 ergänzt. Durch die gesetzlichen Änderungen des PATRIOT Act und des FISA Amendment Act sind die rechtlichen Grundlagen geschaf- 12 Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data – Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013 fen worden, auf denen die – wie es scheint – umfassendste globale Überwachung von Telekommunikationsdaten im weitesten Sinne fußt, für die heute die Schlagworte PRISM, UPSTREAM oder XKeyscore stehen. b) DE: Otto-Pakete, ATD … Aber auch der deutsche Gesetzgeber reagierte auf 9/11 mit der Verabschiedung einer Vielzahl von sog. Sicherheitsgesetzen, insbesondere die Otto-Kataloge, benannt nach dem damaligen Bundesinnenminister Schily. Auch hier zur Erinnerung: Das Terrorismusbekämpfungsgesetz und das Terrorismusbekämpfungsergänzungsgesetz haben die Befugnisse der deutschen Nachrichtendienste erheblich ausgeweitet. Das BKA erhielt neue Kompetenzen im Bereich der präventiven Abwehr der Gefahren des internationalen Terrorismus. Brisant war zudem das sog. Gemeinsame-Dateien-Gesetz, das die Rechtsgrundlage für die Antiterrordatei schafft – jene Datei von Polizei und Nachrichtendiensten, die das Trennungsgebot von Polizeien und Diensten in besonderer Weise in Frage stellt. c) EU: VDS-RL, Stärkung Europol Auch auf der Ebene der Europäischen Union blieb man nicht untätig. Die Abkommen zu PNR und TFTP habe ich bereits erwähnt. Ausgehandelt wurden sie durch die Europäische Kommission. Sie sah ihre Aufgabe darin, in Nachahmung der US-amerikanischen Vorbilder erste Entwürfe für die Errichtung von EU-eigenen PNR-und TFTP-Systemen zu unterbreiten. Beide liegen allerdings noch nicht vor. Das umstrittenste gesetzgeberische Vorhaben war vermutlich die Richtlinie über die Vorratsdatenspeicherung von Telekommunikationsdaten aus dem Jahre 2006. 13 Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data – Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013 Aus dem Strauß an EU-Vorhaben möchte ich die weitere Stärkung von Europol hervorheben. Die Verhandlungen über eine neue Verordnung laufen gegenwärtig, und es ist zu hoffen, dass das Europäische Parlament die vorgesehene Befugniserweiterung nicht zulässt, ohne gleichzeitig ein robustes Datenschutzregime zu sichern. 4) Besatzungsrecht Die Enthüllungen zur – soviel scheint klar zu sein – weltweiten und weitgehend anlasslosen Überwachung der Internetkommunikation durch US-amerikanische und britische Geheimdienste lassen mich nicht nur isoliert auf die Praktiken eben dieser Dienste schauen. Sie legen auch den Blick frei auf die Zusammenarbeit bundesdeutscher Nachrichtendienste mit anderen – dann so genannten befreundeten – Diensten. Diese Zusammenarbeit ist zwar von den einschlägigen Gesetzen etwa über den Bundesverfassungsschutz und den Bundesnachrichtendienst gedeckt. Ihr Umfang und ihre Intensität sind aber noch nicht – wie ich es beständig fordere –aufgeklärt. Diese Zusammenarbeit hat gerade mit Blick auf die Überwachung deutscher Telekommunikationsverkehre eine schon längere Tradition und spiegelte sich in bilateralen Verwaltungsvereinbarungen zwischen Deutschland und den USA, Großbritannien und Frankreich wider. Diese Verwaltungsvereinbarungen regelten seit Ende der 1960er Jahre die Zusammenarbeit zwischen den in der Bundesrepublik stationierten Alliierten und dem Bundesamt für Verfassungsschutz bzw. dem Bundesnachrichtendienst auf dem Gebiet der Überwachung des Postund Fernmeldeverkehrs in der Bundesrepublik. Zum Kontext dieser Vereinbarungen muss man wissen, dass es trotz Geltung des Brief-, Postund Fernmeldegeheimnisses in Art. 10 Grundgesetz seit dessen Inkrafttreten im Jahr 1949 weitgehende Vorbehaltsrechte der Alliierten gab. Diese Rechte nutzten die Alliierten offenbar auch zur Überwachung des Post- und Fernmeldeverkehrs. Schon Anfang der 1950er Jahre aber drängten besonders die USA die Bundesregierung, eigene Rechtsgrundlagen zur Telekommunikationsüberwachung zu schaffen und diese Überwachung auch selbst durchzuführen. 14 Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data – Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013 Dieser Forderung ließ die Bundesregierung aber erst 1968 mit Inkrafttreten des Gesetzes zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses – kurz G 10-Gesetz –Taten folgen. Die Alliierten wollten aber nicht auf die Erkenntnisse aus der Überwachung verzichten. Deshalb wurde das G 10-Gesetz quasi ergänzt um Geheimvereinbarungen mit den USA, Großbritannien und Frankreich. So geheim diese Vereinbarungen bis in die jüngste Vergangenheit waren und so überrascht sich die interessierte Öffentlichkeit über sie zeigte, so rasch wurden sie selbst Geschichte. Das Auswärtige Amt und die zuständigen US-amerikanischen, britischen und französischen Stellen beeilten sich in diesem Sommer, die Vereinbarungen aufzuheben und vergaßen dabei nicht zu versichern, dass sie spätestens seit der Wiedervereinigung Deutschlands nicht mehr angewendet wurden und eigentlich schon in Vergessenheit geraten waren. 5) Lassen sich die unterschiedlichen Sichtweisen überbrücken/überwinden? a) Rolle der Transparenz auch bei Geheimdiensten Vor dem Hintergrund der jüngsten Auseinandersetzungen nach den Snowden-Enthüllungen möchte ich noch der demokratischen Kontrolle und Transparenz von Geheimdiensten nachgehen. Die Definitionsmacht dessen, was zum Schutze unserer Sicherheit und unserer Demokratien notwendig ist, dürfen wir nicht an Geheimdienste delegieren. Die Bürgerinnen und Bürger müssen wissen und über ihre Parlamente entscheiden, wie weit staatliche Erfassung und Überwachung gehen dürfen. Die Demokratien haben es nun in der Hand, den hämischen Jubel von Regierungen autoritärer Überwachungsstaaten nach der Aufdeckung der umfassenden Internetüberwachung zu widerlegen. Die die jüngsten Berichte über Praktiken und Initiativen der russischen Behörden zur exzessiven Internetüberwachung belegen, wie wichtig es ist, dass sich zumindest die westlichen Demokratien hier auf gemeinsame Grenzen der Überwachung und Mindeststandards der Sicherung von informationellen und kommunikativen Grund- und Menschenrechten einigen. 15 Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data – Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013 Nach meinem Eindruck kommt Bewegung in die Diskussion, jedenfalls im Hinblick auf das Thema Transparenz. Dass sich der Präsident des deutschen Auslandsnachrichtendienstes der Forderung nach mehr Transparenz anschließt, ist bemerkenswert. In einer kürzlich gehaltenen Rede sieht er in der Aufgabe, mehr Transparenz zu erzeugen, sogar die wichtigste Herausforderung (Zitat aus Rede des BND-Präsidenten Gerhard Schindler anlässlich der 1. Nachrichtendienst-Konferenz am 13. September 2013). Welche Konsequenzen aus den Diskussionen der letzten Monate für die parlamentarische Kontrolle der Geheimdienste zu ziehen sind, halte ich für eine zentrale rechtspolitische Frage an die neue Koalition. b) Richtiger Schritt: FTC als Datenschutz-Behörde, PCLOB ... Erwähnen möchte ich hier auch das noch junge und insofern wenig bekannte Privacy and Civil Liberties Oversight Board (PCLOB). Geschaffen wurde das Board schon vor fast 10 Jahren zur Überprüfung der 9/11 Antiterrorgesetzgebung, doch hat es nach jahrelanger Obstruktion erst vor wenigen Monaten seine Arbeit in einer neuen Organisationsform wirklich aufgenommen. Es ist nur eine sehr kleine Behörde mit 5 Board-Mitgliedern und wenigen Mitarbeitern. Gespannt bin ich trotzdem, welche Empfehlungen das PCLOB Präsident Obama machen wird. Ein Verdienst von PCLOB ist meines Erachtens schon jetzt, dass es öffentliche Anhörungen veranstaltet, bei denen sowohl Repräsentanten der jetzigen und früheren US-Administrationen als auch Bürgerrechtsanwälte und Praktiker der Sicherheitsbehörden zu Worte kommen. Vielleicht könnte das PCLOB sogar der Nukleus einer unabhängigen US- Datenschutzaufsichtsbehörde sein und Ansprechpartner für alle datenschutzrechtlichen Fragen werden. 16 Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data – Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013 c) Internationales Recht (warum blockieren USA?) Bei allen bisherigen Verhandlungen zu Abkommen zwischen der EU und den USA im Sicherheitsbereich gibt es ein wiederkehrendes Problem: Die US-Seite lehnt es regelmäßig ab, die Abkommen so auszugestalten, dass sie in den USA einklagbare Rechte für EU-Bürger beinhalten. So löst es doch Verwunderung aus, wenn nach schwierigen Verhandlungen am Ende ein Abkommen unterzeichnet wird, in dem es –wie bei PNR –heißt: This Agreement does not create or confer any right. Dies mag mit komplizierten US-amerikanischen Rechtsfragen zusammenhängen. Doch halte ich diesen Einwand letztlich nicht für überzeugend. Er ist auch nicht dem traditionellen Rechtsstaatsverständnis der USA angemessen. Und ich frage mich, ob es rein rechtstatsächlich auf die Dauer haltbar ist. Wie sollten im Zeitalter von Big Data Inländer und Ausländer trennscharf auseinander gehalten werden können? Ich sehe in der Einräumung von Rechtsschutzmöglichkeiten für EU-Bürger für einen wesentlichen Punkt im künftigen Verhältnis der USA zur EU. So wie es umgekehrt selbstverständlich ist, dass US-Bürger Rechtsschutz vor europäischen oder deutschen Behörden und Gerichten erlangen können, da das Grundecht auf Datenschutz nach unserem Recht ohne Ansehen der Person gilt. So kann sich nach § 21 BDSG Jedermann an mich wenden, wenn er seine Datenschutzrechte durch eine meinem Zuständigkeitsbereich unterliegende Stelle verletzt sieht, auch wenn der Petent in den USA wohnt. Die US-Seite könnte verlorenes Vertrauen zurückgewinnen – im Rahmen bestehender wie künftig zu vereinbarender Abkommen zum Datenaustausch: - durch die Einräumung datenschutzrechtlicher Mindestgarantien - gepaart mit der Sicherung ihrer effektiven Durchsetzung – enforcement ist hier der Schlüsselbegriff für die europäischen Wünsche an die Amerikaner - und das Ganze flankiert durch die Eröffnung des Rechtsweges vor staatlichen Gerichten. 17 Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data – Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013 d) Europa/DE muss sich nicht verstecken. Selbstbewusstes Auftreten gefragt – US können mit offenen Worten gut umgehen und verabscheuen Opportunisten und Heuchler Zum Ende meines Vortrags stellt sich naturgemäß die Frage, ob und, wenn ja, wie sich die unterschiedlichen Sichtweisen diesseits und jenseits des Atlantiks überbrücken oder gar überwinden lassen. Ich hatte eingangs gezeigt, dass der Gedanke von Privacy und letztlich die Vor-Geschichte dessen, was wir unter Datenschutz verstehen, in Amerika beheimatet sind. Treffend fand ich daher, wie es der Economist in seiner Ausgabe vom 3. August dieses Jahres formulierte: Unter den nichts beschönigenden Überschriften Security v(ersus) Freedom in the United States – Liberty’s lost Decade und Still unjust, unwise and un-American beginnt der Text: This newspaper is a wholehearted supporter of the United States and its commitment to individual freedom. In diesem Sinne stelle ich mir vor, wo und wie wir unsere Gesprächspartner von der anderen Seite des Atlantiks abholen können. In diesem Dialog braucht Europa sich nicht zurückzunehmen, sondern kann selbstbewusst auftreten, weil es etwas zu bieten hat. Angesichts der gewohnten Offenheit, in der wir uns mit unseren amerikanischen Gesprächspartnern austauschen, könnte etwa darauf hingewiesen werden, dass Amerika auch etwas von uns will. Ich denke nur an das von den USA favorisierte Freihandelsabkommen, aber auch an die bestehenden Sicherheitsabkommen: Immerhin stehen diese aus Sicht des Europäischen Parlaments auf dem Prüfstand und könnten ausgesetzt werden. e) Aktuell: SWIFT und Safe Harbor Und dann der Paukenschlag vor drei Tagen, als das Europaparlament (EP) in einer Entschließung die Aussetzung des SWIFT-Abkommens zur Übermittlung von Bankkundendaten in die USA forderte. Nach Ansicht des EP soll das Abkommen so lange auf Eis gelegt werden, bis 18 Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data – Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013 vollständig geklärt ist, ob sich US-Dienste unter Verletzung der Vereinbarung einen nicht genehmigten Zugang zu Finanzdaten verschafft haben. Und ebenso gehört meiner Meinung nach das zuvor skizzierte Safe-Harbor-Abkommen auf den Prüfstand. Wie sich zuletzt in einer Anhörung des LIBE-Ausschusses des EP am 7. Oktober gezeigt hat, ist die Revisionsbedürftigkeit von Safe Harbor bereits im Hinblick auf enforcement offensichtlich: Nach den gemachten Erfahrungen ist es für Unternehmen zu einfach, falsche Angaben über die Einhaltung der Datenschutz-Standards zu machen, während den Betroffenen geeignete Instrumente zu Rechtsdurchsetzung fehlen. Vor allem aber halte ich die Grundsätze der Kommissionsentscheidung aus dem Jahre 2000 dadurch für verletzt, dass die vorgesehene Ausnahme der national security mit der Konsequenz umfassender und anlassloser Datenzugriffe auf Kosten der Grundsätze der Zweckbindung, der Erforderlichkeit und Verhältnismäßigkeit der Datenverarbeitung ins Spiel gebracht wird. Die Europäische Kommission hat stets betont, dass die nationalen Kontrollstellen für den Datenschutz eine Datenübermittlung in die USA aussetzen können, wenn eine hohe Wahrscheinlichkeit besteht, dass die Safe-Harbor-Grundsätze verletzt sind. Mit meinen Kolleginnen und Kollegen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder halte ich diesen Fall jetzt für eingetreten. Mit ihnen fordere ich zugleich die Europäische Kommission auf, ihre Entscheidung zu Safe Harbor (und zu den Standardverträgen) vor dem Hintergrund der exzessiven Überwachungstätigkeit US-amerikanischer (und anderer ausländischer) Geheimdienste bis auf weiteres zu suspendieren. Schluss Im Übrigen, und damit möchte ich schließen, müssen sich die USA von ihrem Landsmann, dem bereits zitierten Joel Reidenberg vorhalten lassen: The United States desperately needs to establish a basic set of legal protections for privacy. 19 Peter Schaar, Rede anlässlich der 41. Römerberggespräche „Big Brother und Big Data – Was heißt eigentlich Datenschutz auf Amerikanisch?“, Frankfurt am Main, 26. Oktober 2013 Sie sehen, die transatlantische Debatte über Freiheit, Sicherheit und Datenschutz bleibt spannend. Ich danke für Ihre Aufmerksamkeit! 20