Das letzte knappe Jahr hielt zahlreiche Enthüllungen zur Abhörtätigkeit nicht nur amerikanischer Geheimdienste bereit. Von Politik und Behörden gab es teils Beschwichtigungen, teils verbales Säbelrassen, aber kaum spürbare Veränderungen. Helmut Sauro und Christian Kuß stecken das rechtliche Feld ab und fragen, was die nationalen Datenschutzbehörden und die EU bewirken können.
Mit der Enthüllung der Abhörmaßnahmen der amerikanischen National Security Agency (NSA) hat Edward Snowden eine neue Debatte über den Schutz von Informationen im elektronischen Datenverkehr angestoßen. Obwohl Deutschland bereits eines der strengsten Datenschutzgesetze hat, fordern Politiker, Bürger und Unternehmen einen besseren Schutz ihrer Daten im Internet. Bei manchen ist die Bereitschaft gesunken, ihre Daten auf amerikanischen Server zu hosten, auch der Ruf nach mehr innerdeutschem Routing bis hin zu einem "Deutschlandnetz" wurde laut. Manche Provider machen sich dies zu Nutze, indem sie Lösungen wie etwa "deutsche Clouds" anbieten, obwohl auch hiermit kein vollständiger Schutz zu erreichen ist.
In gerichtlichen Streitfällen sehen sich Unternehmen in Europa zudem mit den Anforderungen des amerikanischen oder britischen Prozessrechts konfrontiert. Danach sind die Unternehmen gezwungen, in einem vorprozessualen Verfahren, der sogenannten Discovery, fallrelevante Unternehmensinformationen an die Gegenseite oder das Gericht zu übersenden. Die aggregierten Datenbestände sind jedoch in vielen Fällen hoch sensibel. Manche Unternehmen fürchten deshalb, dass die NSA oder andere Geheimdienste auch auf diese Informationen zugreifen können, sollten diese bei der Gegenseite oder bei Gericht gespeichert werden. Deshalb verlangen sie zunehmend, dass bei einer E-Discovery die Datenbestände in lokalen Rechenzentren vor Ort gespeichert werden oder sogar im Unternehmen verbleiben, anstatt sie zur Datenaufbereitung in die USA oder nach Großbritannien zu transferieren.
Auch Mandatsgeheimnis spielt keine Rolle
Dass diese Ängste begründet sind, verdeutlichte im Februar ein Artikel der New York Times. Die Zeitung berichtete, dass die Kommunikation zwischen einer US-amerikanischen Rechtsanwaltskanzlei und deren ausländischem Mandanten durch die NSA und den australischen Geheimdienst abgehört wurde – trotz des besonderen Schutzes, welcher für die Kommunikation zwischen Anwalt und Mandant eigentlich gilt.
In Deutschland setzen die Grundrechte dem Staat Grenzen, wenn er die Daten von Bürgern einsehen oder auf Datenbestände von Unternehmen zugreifen möchte. Insbesondere das Recht auf informationelle Selbstbestimmung schützt die personenbezogenen Daten der Bürger vor staatlicher Neugier. Die Grundrechte binden jedoch nur die Gesetzgebung, die vollziehende Gewalt und die Rechtsprechung in Deutschland. Deshalb beschränken die Grundrechte Maßnahmen anderer Staaten oder deren Geheimdienste nicht. Werden die Grundrechte der Bürger aber durch Dritte beeinträchtigt, kann dies den Staat dazu verpflichten, die Beeinträchtigung zu beseitigen. Die Grundrechte können damit einen Schutzanspruch begründen.
Deutschland hat versucht, mit den USA eine völkerrechtliche Übereinkunft zu erzielen, in der die beiden Staaten auf das gegenseitige Ausspähen verzichten. Ein solches No-Spy-Abkommens ist jedoch nie in die Nähe einer konkreten Umsetzung gelangt, und kann inzwischen als gescheitert gelten. Stattdessen werden in Europa vermehrt technische Lösungen diskutiert. Unter dem Schlagwort "Schengen-Netz" wird die Idee eines dedizierten Internets für Europa erörtert.
Bislang keine gesetzgeberische Reaktion
Konkrete gesetzliche Reaktionen auf den NSA-Skandal sind bisher ausgeblieben. In einer Erklärung vom letzten Jahr haben die Datenschutzbeauftragten des Bundes und der Länder angegeben, fortan keine Übermittlungen personenbezogener Daten in Drittstaaten mehr genehmigen zu wollen und zu prüfen, ob das Safe-Harbor-Abkommen mit den USA ausgesetzt werden müsse. Dadurch würde der Datentransfer erheblich beeinträchtigt werden. Auch das Europäische Parlament hat im Januar dieses Jahres verlangt, das Safe-Harbor-Abkommen aufzuheben.
Hierzu etwas rechtlicher Hintergrund: Der Transfer von personenbezogenen Daten ist innerhalb der Europäischen Union zulässig, sofern der Betroffene, auf den sich die personenbezogenen Daten beziehen, eingewilligt hat oder ein Gesetz die Datenverarbeitung gestattet. Sollen personenbezogene Daten aus der Europäischen Union heraus in einen Drittstaat übermittelt werden, müssen zusätzliche Voraussetzungen erfüllt sein. Auf Grundlage der Europäischen Datenschutzrichtlinie 95/46/EG verlangen die nationalen Datenschutzgesetze, dass in dem Drittstaat ein angemessenes Datenschutzniveau besteht. Dadurch sollen die Interessen des Betroffenen geschützt und verhindert werden, dass der Empfänger die personenbezogenen Daten uneingeschränkt verwenden kann.
Die Europäische Kommission kann ein angemessenes Schutzniveau in einem Drittland feststellen. Dafür beurteilt sie die innerstaatlichen Rechtsvorschriften und internationalen Verpflichtungen in Bezug auf den Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen. Fehlt eine solche Feststellung, können personenbezogene Daten in ein Drittland übermittelt werden, wenn der Schutz dieser Daten beim Empfänger durch andere Maßnahmen sichergestellt wird. Dies sind zum Beispiel die EU-Standardvertragsklauseln oder verbindliche Unternehmensregeln (Binding Corporate Rules).
Zwischenbilanz zur Abhöraffäre: . In: Legal Tribune Online, 12.04.2014 , https://www.lto.de/persistent/a_id/11684 (abgerufen am: 09.12.2025 )
Infos zum Zitiervorschlag
