Der Zusammenbruch des US-EU Safe Harbor: Lösungen für den neuen datenschutzrechtlichen Zauberwürfel

Brad Smith

Brad Smith

Wenn Menschen, denen Technologie wichtig ist, auf das Jahr 2015 zurücksehen werden, werden sie sich an diesen Oktober als den Monat erinnern, in dem der US-EU Safe Harbor zusammengebrochen ist. Ein internationales Rechtsabkommen, das 15 Jahre wirksam war, wurde an einem einzigen Tag außer Kraft gesetzt. Am 6. Oktober hat der Europäische Gerichtshof ein internationales Rechtskonstrukt für ungültig erklärt, auf das sich über 4.000 Firmen verlassen haben, nicht nur, um Daten über den Atlantik zu übertragen, sondern auch, um auf zwei Kontinenten mit über 800 Millionen Menschen Geschäfte zu machen und Verbraucher zu bedienen.

Die Entscheidung hat verdeutlicht, was viele schon seit einiger Zeit vertreten haben: Rechtsnormen, die zu Beginn der PC-Ära geschrieben wurden, sind in einer Zeit allgegenwärtiger Mobilgeräte, die mit der Cloud verbunden sind, nicht mehr zeitgemäß. Sowohl in den Vereinigten Staaten als auch in Europa benötigen wir an die neue technologische Welt angepasste neue Gesetze. Während Anwälte und Beamte hastig versuchen, die Lage zu beurteilen, ist es offensichtlich, dass sowohl eine Vielzahl kleiner Schritte als auch tiefgreifende Langzeitveränderungen nötig sein werden. Wir müssen uns auf beide Aspekte konzentrieren.

Es ist wichtig, vor allem in Anbetracht des möglicherweise drastischen Welleneffekts, der durch den Zusammenbruch des US-EU Safe Harbors entstehen kann, sich auf vielfältige Maßnahmen zu fokussieren. Staatsbedienstete in Washington und Brüssel müssen schnell handeln, und wir sollten hoffen, dass der Kongress („Congress“) schnell den Judicial Regress Act („Gesetz zur Rechtshilfe“) verabschiedet, um europäischen Bürgern ausreichenden Zugang zu US-amerikanischen Gerichten zu gewähren. Zusätzlich werden Firmen wie wir, die zusätzliche Schutzmaßnahmen wie die „EU Model Clauses“ (Standardvertragsklauseln) eingeführt haben, uns auf diese verlassen und diese weiter entwickeln, noch während zusätzliche Maßnahmen diskutiert werden.

Auf lange Sicht sollten wir jedoch auch einige offensichtliche und fundamentale Fakten anerkennen. Wir benötigen nicht nur für große Technologieunternehmen wirksame Lösungen, sondern auch für kleine Wirtschaftsunternehmen aller Art sowie, an aller erster Stelle, für Verbraucher. Wenn wir sicherstellen wollen, dass in größerem Umfang Daten auf einer nachhaltigen Grundlage über den Atlantik geschickt werden können, müssen wir zu einer neuen Art transatlantischer Vereinbarung gelangen. Diese Vereinbarung muss sowohl den Datenschutz der Bürger nach deren jeweiligen nationalen Gesetzen sicherstellen als auch gewährleisten, dass Rechtsverfolgungsbehörden die Öffentlichkeit durch neue internationale Verfahren schützen können, indem sie einen schnellen und angemessenen Zugriff auf persönliche Informationen unter Beachtung geeigneter rechtlicher Standards erhalten.

Während wir überlegen, welche weiteren Schritte unternommen werden können, ist es wichtig, sich die Vielzahl an Faktoren vor Augen zu führen, die zu den Entwicklungen in diesem Monat geführt haben. Diese sind vielfältig und komplex und haben sich über Jahre entwickelt. Sie machen jede Lösung der gegenwärtigen Herausforderungen komplizierter. Wenn wir nicht alle diese Faktoren berücksichtigen, kann es gut sein, dass wir uns bei Problemen auf kurzfristige Notlösungen verlassen, obwohl diese tiefergreifende Veränderungen verlangen.

Datenschutz ist wirklich ein fundamentales Menschenrecht. Der Zusammenbruch von Safe Harbor zeigt in erster Linie die beeindruckende Entwicklung von Datenschutzthemen. Der Rechtsstreit begann in Irland, wo das Oberste Zivilgericht („High Court“) in Dublin Bedenken äußerte, ob sich Europäer bei der Übermittlung ihrer persönlichen Daten in die Vereinigten Staaten weiterhin sicher fühlen können, da die möglicherweise weitreichende Erhebung persönlicher Informationen durch die US-Behörden den „von der irischen Verfassung garantierten Grundwerten“ entgegenstehen. Das sind keine kleinen Worte.

In vielerlei Hinsicht folgte die Entscheidung des irischen Gerichts einer langen Reihe von Datenschutzentwicklungen, die beinahe bis zum Zweiten Weltkrieg zurückreichen. Im Jahr 1950 hat der Europarat den Datenschutz als fundamentales Menschenrecht anerkannt. Seither ist er ein wichtiger Bestandteil europäischen Rechts geblieben und in der Charta der Grundrechte der Europäischen Union enthalten. Auch wird im ersten Absatz der jüngsten Entscheidung des Europäischen Gerichtshofs der „Schutz personenbezogener Daten“ durch die Charta erwähnt.

Es wäre einfach als Amerikaner zu denken, dass all das den abweichenden rechtlichen Ansatz eines anderen Kontinents wiedergibt. Dies wäre ein Fehler. Der Schutz der Privatsphäre vor staatlichen Eingriffen ist seit 1791 Teil der Verfassung der Vereinigten Staaten, als der 4. Zusatzartikel als Teil der Bill of Rights ratifiziert worden war. In unserer Zeit haben sich – aus guten Gründen – sowohl die Gerichte der Vereinigten Staaten als auch Europas in die gleiche Richtung bewegt.

Im letzten Jahr hat der Supreme Court der Vereinigten Staaten in einer einstimmigen Entscheidung entschieden, dass die Polizei einen gerichtlichen Beschluss benötigt, um den Inhalt eines Mobiltelefons zu durchsuchen. Das Gericht führte aus, dass „moderne Mobiltelefone nicht nur eine weitere technologische Bequemlichkeit darstellen. Mit allem was sie speichern und offenlegen können, enthalten sie für viele Amerikaner den „Privatbereich ihres Lebens“.

Der Supreme Court diskutierte dabei den verfassungsrechtlichen Schutz, der von der Regierung die Einholung eines gerichtlichen Beschlusses abverlangt, bevor die Wohnung einer Person durchsucht werden darf. Er führte sodann aus, dass die Durchsuchung eines Telefons „der Regierung regelmäßig weit mehr offenbart, als die weitreichendste Durchsuchung eines Hauses: Ein Telefon enthält in digitaler Form nicht nur viele sensible Daten, die früher in einem Haus gefunden werden konnten, sondern auch eine Vielzahl persönlicher Informationen, die nie zuvor in irgendeiner Form in einer Wohnung gefunden werden konnten.“

Dies ist zum einen bemerkenswert und zum anderen vollkommen zutreffend. In den letzten drei Jahrzehnten hat Technologie das tägliche Leben so stark verändert, dass Menschen heutzutage mehr Informationen auf einem Gerät in ihren Taschen gespeichert haben, als sie früher in ihrem gesamten Haus aufbewahrten. Und wie wir wissen, bleiben diese Daten nicht auf dem eigenen Telefon: Sensible Informationen werden in der Cloud dupliziert, das heißt in Datenzentren quer über einen Kontinent oder die gesamte Welt.

Diese Veränderung hilft zu erklären, warum immer mehr Einzelpersonen aus dem technologischen Sektor über Datenschutz reden. Nur eine Woche vor der Entscheidung des Europäischen Gerichtshofs hat der Vorstandsvorsitzende von Apple, Tim Cook, explizit den Datenschutz als fundamentales Menschenrecht anerkannt. Ich habe letzten Januar in einer Rede in Brüssel das Gleiche für Microsoft gesagt. Der Vorstandvorsitzende von Microsoft, Satya Nadella, hat vor über einem Jahr deutlich ausgesprochen, dass wir zwar technologischen Fortschritt anstreben, zeitlose Werte jedoch bestehen bleiben müssen. Datenschutz ist ein solcher zeitloser Wert, der es verdient fortzubestehen.

Aber Datenschutzrechte können ihre Gültigkeit nicht bewahren, wenn sie sich bei jedem Ortswechsel der Daten ändern. Individuen sollten ihre Grundrechte nicht verlieren, nur weil ihre persönlichen Informationen eine Grenze überqueren. Auch wenn nie explizit ausgesprochen, liegt dieses Prinzip jedem Aspekt der Entscheidung des Europäischen Gerichtshofs zugrunde – und es macht Sinn.

Hinzu kommt, dass im täglichen Leben personenbezogene Daten nicht von Individuen, sondern von Unternehmen oder Regierungen übertragen werden. In aller Regel sind sich Individuen nicht einmal darüber im Klaren, wohin ihre Informationen übertragen oder wo sie gespeichert werden. Es ist nicht haltbar von Menschen zu erwarten, sich auf einen Datenschutzbegriff zu verlassen, der sich jedes Mal ändert, wenn jemand anderes ihre Daten überträgt. Kein Grundrecht kann auf solchen wackligen Beinen stehen.

Diese Bedenken wären wohl ohne die Enthüllungen der letzten zwei Jahre weiterhin auf europäischer Sparflamme behandelt worden. Der High Court in Dublin hat es offen ausgesprochen, indem er davon ausging, dass die Enthüllungen von Edward Snowden einen „massiven Übergriff“ der US-Behörden zeigten. Wie der Europäische Gerichtshof argumentierte, hat der Fall eine ernstzunehmende Besorgnis begründet, dass bei Übertragung personenbezogener Daten in die Vereinigten Staaten, diese einer staatlichen Massenspeicherung ausgesetzt seien, ohne dass europäische Staatsbürger die Möglichkeit haben, sich dagegen vor US-amerikanischen Gerichten zu verteidigen.

Praktisch ausgedrückt bedeuten diese Enthüllungen, dass die europäischen politischen Entscheidungsträger nun von neuem bewerten müssen, ob europäische Bürger, wenn ihre persönlichen Informationen den Atlantik überqueren, nach wie vor einen Datenschutz genießen der „im Wesentlichen gleichwertig“ demjenigen Schutz ist, der in ihrem Herkunftsland anwendbar ist. Wenn sie dies nicht tun, kann der Safe Harbor, der zur Jahrhundertwende erstellt wurde, ohne neue Änderungen nicht mehr zum Leben erweckt werden. Was dies wirklich bedeutet und was den Staatsbediensteten auf beiden Seiten des Atlantiks nunmehr klar ist, ist, dass der alte „Harbor“ („Hafen“) durch etwas Besseres ersetzt werden muss.

Wir benötigen ein globales Internet. Jedenfalls aus einer rechtlichen Perspektive wäre diese Herausforderung unkompliziert, wenn Daten nicht übertragen werden müssten. Neue Gesetze könnten schlicht festlegen, dass jedermanns Informationen im jeweiligen Land oder sogar auf dem jeweiligen Gerät verbleiben müssen. Dies würde jedoch eine Rückkehr in das digitale finstere Mittelalter bedeuten.

Während es zunehmend möglich ist, Daten in bestimmten Datenzentren zu speichern, müssen persönliche Daten von Endkunden aus nachvollziehbaren Gründen immer noch in einer Vielzahl von Fällen Grenzen überschreiten. Stellen Sie sich vor, einen Online-Einkauf abzuschließen und als Antwort zu bekommen, dass Ihr Einkauf blockiert wird, weil Ihre Kreditkarteninformationen an einem anderen Ort verarbeitet werden müssen. Stellen Sie sich vor, dass Ihre Flugbuchung abgelehnt wird, weil Ihre Passdaten von der Fluglinie nicht in das Land übermittelt werden dürfen, in das Sie fliegen. Unzählige Male jede Woche benötigen wir als Verbraucher und Bürger andere Leute, um unsere persönlichen Informationen an Orte zu übermitteln, an denen diese gebraucht werden. Und zukünftige technologische Entwicklungen werden persönliche Informationen weiter anhäufen, um die Geräte noch nützlicher für die Menschen zu machen.

Diese internationale Übertragung von Daten ist nicht nur für Individuen von Bedeutung, sondern auch für Unternehmen und sogar Staaten. Die EU-Kommissarin für Justiz, Věra Jourová, hat es treffend ausgedrückt, als sie auf die Entscheidung des Europäischen Gerichtshofs antwortete, „es sei wichtig, dass transatlantische Datenströme weiter fließen, da sie das Rückgrat unserer Wirtschaft sind.“

Wenn Regierungen festlegen würden, dass Daten von Endkunden immer im eigenen Land zu verbleiben haben, wäre dies wie Problemen mit Banken dadurch zu begegnen, dass jedem aufgegeben wird, sein Geld unter der Matratze aufzubewahren. Die Bedürfnisse des 21. Jahrhunderts verlangen eine bessere Lösung.

Wir müssen den Schutz der Öffentlichkeit gewährleisten. Diese Probleme werden durch einen dritten, wichtigen Faktor noch komplizierter: Regierungen müssen den Schutz der Öffentlichkeit gewährleisten. Während viel Raum für die Debatte besteht, wie Sicherheitsfragen begegnet werden sollte, gibt es einen breiten und sogar globalen Konsens, dass der Schutz der öffentlichen Sicherheit eine der wichtigsten Aufgaben eines Staates darstellt. Und es gibt eine breite Anerkennung auf beiden Seiten des Atlantiks, dass wir in gefährlichen Zeiten leben.

Bei der Begegnung dieser Herausforderung wird eines der Paradoxe des heutigen Internets offensichtlich. Das Internet wurde zum weltweit führenden Medium der Menschen, um Ideen auszutauschen und miteinander zu kommunizieren. Wie der Telegraf, das Telefon und andere Erfindungen zuvor, benutzen Menschen die neue Technologie auf vielfältige Weisen – um Gutes zu tun und – manchmal – um Schaden zuzufügen.

Wenn wir Menschen in der realen Welt schützen wollen, müssen wir sie auch im Internet schützen. Ebenso müssen Regierungen, wenn sie in der realen Welt Gefahren für die öffentliche Sicherheit verhindern oder verfolgen wollen, schnellen und angemessenen Zugriff auf online gespeicherte Daten haben.

Ein datenschutzrechtlicher Zauberwürfel. Die Komplexität, die in der Zusammensetzung dieser Prinzipien erscheint, ist bemerkenswert. Wir müssen den Datenschutz als fundamentales Menschenrecht schützen. Wir benötigen ein globales Internet. Wir müssen die Öffentlichkeit schützen. Und wir müssen einen rechtlichen Weg finden, der auf beiden Seiten des Atlantiks funktioniert. Wir müssen alle vier Dinge zusammen und gleichzeitig verwirklichen. Dies ist die datenschutzrechtliche Version eines Zauberwürfels.

Soll es uns gelingen, einen lang anhaltenden und nachhaltigen Lösungsansatz zu finden, müssen wir anfangen, neu zu denken. Das wichtigste Datenschutzgesetz der Vereinigten Staaten wurde 1986 verabschiedet. Die Gesetze in Europa stammen aus derselben Zeit. Die Lösungsansätze, die 15 Jahre bevor das 20. Jahrhundert endete, verabschiedet wurden, sind 15 Jahre nachdem das 21. Jahrhundert begonnen hat, schlichtweg nicht mehr angemessen. Es ist nicht nur die Technologie, die sich verändert hat. Die Welt hat sich verändert.

Wie beim Zauberwürfel ist die Lösung erst nach der Vollendung einleuchtend. In diesem Falle müssen wir vier Schritte durchführen.

Als erstes müssen wir über den Atlantik hinweg sicherstellen, dass die Rechte der Menschen mit den Daten übertragen werden. Dies ist ein geradliniger Vorschlag, der zum Beispiel erfordern würde, dass die US-Regierung sich damit einverstanden erklärt, nur in einer Art und Weise Zugriff auf persönliche Informationen, die in den Vereinigten Staaten gespeichert und einem EU-Bürger zugeordnet sind, zu verlangen, wie es mit europäischem Recht vereinbar ist und vice versa.

Zweitens ist ein neues transatlantisches Abkommen erforderlich, das nicht nur einen „safe harbor“ (sicheren Hafen) konstituiert, sondern eine neuartige Verbindung zwischen zwei Häfen schafft. Wir müssen für staatliche Stellen in den USA und der EU einen beschleunigten Prozess entwickeln, um auf persönliche Online-Informationen zuzugreifen, die über den Atlantik übertragen werden und die den jeweiligen Bürgern gehören. Dies hat durch gesetzmäßige Anfragen direkt bei der zuständigen Behörde im Heimatstaat des Individuums zu erfolgen. Die anfragende Regierung kann Informationen nur im Rahmen ihrer eigenen Gesetze verlangen und die Anfrage wäre sodann unverzüglich von der staatlichen Behörde im Land des Nutzers zu bearbeiten. Soweit die zuständige Behörde zu dem Ergebnis gelangt, dass die Anfrage im Einklang mit dem Datenschutz und anderen Anforderungen des lokalen Rechts des Bürgers steht, würde sie diese bestätigen und durchführen, indem sie die Herausgabe autorisiert.

Wenn die US-Regierung diesem Prozess zustimmen würde, würde dieser für in den Vereinigten Staaten gespeicherte europäische Daten in einfacher Weise die Anforderungen des Europäischen Gerichtshofs erfüllen. Das Gericht verlangte, dass EU-Bürger für Daten, die in die Vereinigten Staaten übertragen werden, einen rechtlichen Schutz genießen, der dem in ihrer Heimat „im Wesentlichen gleichwertig“ ist. Das würde genau dies sicherstellen, weil ihre Regierungen nach wie vor das eigene Recht anwenden würden. Und weil der Prozess darüber hinaus in beiden Richtungen funktioniert, also auch wenn amerikanische Daten nach Europa übertragen werden, wären amerikanische Bürger weiterhin durch US-Recht und die Grundsätze der Verfassung der Vereinigten Staaten geschützt.

Drittens sollte für Bürger, die tatsächlich den Atlantik überqueren, eine Ausnahme in Bezug auf diesen Lösungsansatz bestehen. Zum Beispiel sollte die US-Regierung dazu berechtigt sein, sich allein an die eigenen Gerichte unter Anwendung amerikanischen Rechts zu halten, um Daten über EU-Bürger zu erlangen, die in die Vereinigten Staaten ziehen. Dasselbe gilt für europäische Regierungen, wenn sich US-Bürger dort aufhalten. Dies steht im Einklang mit langwährenden Rechtsprinzipien sowie der konkreten Realität, dass die Frage der öffentlichen Sicherheit besonders ausgeprägt ist, wenn sich ein Individuum in einer Jurisdiktion tatsächlich aufhält.

Schlussendlich ergibt es Sinn – außer in extremen Ausnahmefällen –, dass die Regierungen auf beiden Seiten des Atlantiks zustimmen, auf die Inhalte eines redlichen Unternehmens („legitimate business“) nur nach Zustellung an dieses Unternehmen zuzugreifen, selbst wenn diese Inhalte in der Cloud gespeichert sind. Dadurch würde ein Hauptbereich rechtlicher Bedenken von Unternehmen, die auf cloud-basierte Dienstleistungen angewiesen sind, adressiert.

Ein neuer Weg in die Zukunft. Es gibt weitere Feinheiten und Komplexitäten, die in Betracht gezogen werden sollten. Solche gibt es immer. Aber dieser grundlegende Lösungsansatz würde die existierende rechtliche Verwirrung unterbinden, indem klargestellt wird, dass die Menschen ihren Datenschutz nicht verlieren, wenn ihre Daten über eine Grenze hinweg übertragen werden und dass eine effektive und gesicherte rechtliche Basis für die Strafverfolgung besteht, um auf für den Schutz der Öffentlichkeit erforderliche Informationen zuzugreifen.

Dieser Lösungsansatz erfordert es ebenso, dass Regierungen alte Gesetze und rechtliche Verfahren endlich modernisieren. Einige werden darin eine Herausforderung sehen und sie haben nicht ganz Unrecht. Aber dies ist auch eine Chance, deren Zeit gekommen ist. In diesem Monat ist das alte Rechtssystem kollabiert. Aber das Fundament war schon seit langer Zeit marode. In den letzten Jahren ist klargeworden, dass das neue Jahrhundert einen neuen datenschutzrechtlichen Rahmen erfordert. Es ist an der Zeit, ihn zu bauen.

Veröffentlicht von Brad Smith – President and Chief Legal Officer, Microsoft Corporation

Das englische Original des Blogposts vom 20. Oktober 2015 finden Sie hier.

Kommentar verfassen