Das letzte knappe Jahr hielt zahlreiche Enthüllungen zur Abhörtätigkeit nicht nur amerikanischer Geheimdienste bereit. Von Politik und Behörden gab es teils Beschwichtigungen, teils verbales Säbelrassen, aber kaum spürbare Veränderungen. Helmut Sauro und Christian Kuß stecken das rechtliche Feld ab und fragen, was die nationalen Datenschutzbehörden und die EU bewirken können.
Mit der Enthüllung der Abhörmaßnahmen der amerikanischen National Security Agency (NSA) hat Edward Snowden eine neue Debatte über den Schutz von Informationen im elektronischen Datenverkehr angestoßen. Obwohl Deutschland bereits eines der strengsten Datenschutzgesetze hat, fordern Politiker, Bürger und Unternehmen einen besseren Schutz ihrer Daten im Internet. Bei manchen ist die Bereitschaft gesunken, ihre Daten auf amerikanischen Server zu hosten, auch der Ruf nach mehr innerdeutschem Routing bis hin zu einem "Deutschlandnetz" wurde laut. Manche Provider machen sich dies zu Nutze, indem sie Lösungen wie etwa "deutsche Clouds" anbieten, obwohl auch hiermit kein vollständiger Schutz zu erreichen ist.
In gerichtlichen Streitfällen sehen sich Unternehmen in Europa zudem mit den Anforderungen des amerikanischen oder britischen Prozessrechts konfrontiert. Danach sind die Unternehmen gezwungen, in einem vorprozessualen Verfahren, der sogenannten Discovery, fallrelevante Unternehmensinformationen an die Gegenseite oder das Gericht zu übersenden. Die aggregierten Datenbestände sind jedoch in vielen Fällen hoch sensibel. Manche Unternehmen fürchten deshalb, dass die NSA oder andere Geheimdienste auch auf diese Informationen zugreifen können, sollten diese bei der Gegenseite oder bei Gericht gespeichert werden. Deshalb verlangen sie zunehmend, dass bei einer E-Discovery die Datenbestände in lokalen Rechenzentren vor Ort gespeichert werden oder sogar im Unternehmen verbleiben, anstatt sie zur Datenaufbereitung in die USA oder nach Großbritannien zu transferieren.
Auch Mandatsgeheimnis spielt keine Rolle
Dass diese Ängste begründet sind, verdeutlichte im Februar ein Artikel der New York Times. Die Zeitung berichtete, dass die Kommunikation zwischen einer US-amerikanischen Rechtsanwaltskanzlei und deren ausländischem Mandanten durch die NSA und den australischen Geheimdienst abgehört wurde – trotz des besonderen Schutzes, welcher für die Kommunikation zwischen Anwalt und Mandant eigentlich gilt.
In Deutschland setzen die Grundrechte dem Staat Grenzen, wenn er die Daten von Bürgern einsehen oder auf Datenbestände von Unternehmen zugreifen möchte. Insbesondere das Recht auf informationelle Selbstbestimmung schützt die personenbezogenen Daten der Bürger vor staatlicher Neugier. Die Grundrechte binden jedoch nur die Gesetzgebung, die vollziehende Gewalt und die Rechtsprechung in Deutschland. Deshalb beschränken die Grundrechte Maßnahmen anderer Staaten oder deren Geheimdienste nicht. Werden die Grundrechte der Bürger aber durch Dritte beeinträchtigt, kann dies den Staat dazu verpflichten, die Beeinträchtigung zu beseitigen. Die Grundrechte können damit einen Schutzanspruch begründen.
Deutschland hat versucht, mit den USA eine völkerrechtliche Übereinkunft zu erzielen, in der die beiden Staaten auf das gegenseitige Ausspähen verzichten. Ein solches No-Spy-Abkommens ist jedoch nie in die Nähe einer konkreten Umsetzung gelangt, und kann inzwischen als gescheitert gelten. Stattdessen werden in Europa vermehrt technische Lösungen diskutiert. Unter dem Schlagwort "Schengen-Netz" wird die Idee eines dedizierten Internets für Europa erörtert.
Bislang keine gesetzgeberische Reaktion
Konkrete gesetzliche Reaktionen auf den NSA-Skandal sind bisher ausgeblieben. In einer Erklärung vom letzten Jahr haben die Datenschutzbeauftragten des Bundes und der Länder angegeben, fortan keine Übermittlungen personenbezogener Daten in Drittstaaten mehr genehmigen zu wollen und zu prüfen, ob das Safe-Harbor-Abkommen mit den USA ausgesetzt werden müsse. Dadurch würde der Datentransfer erheblich beeinträchtigt werden. Auch das Europäische Parlament hat im Januar dieses Jahres verlangt, das Safe-Harbor-Abkommen aufzuheben.
Hierzu etwas rechtlicher Hintergrund: Der Transfer von personenbezogenen Daten ist innerhalb der Europäischen Union zulässig, sofern der Betroffene, auf den sich die personenbezogenen Daten beziehen, eingewilligt hat oder ein Gesetz die Datenverarbeitung gestattet. Sollen personenbezogene Daten aus der Europäischen Union heraus in einen Drittstaat übermittelt werden, müssen zusätzliche Voraussetzungen erfüllt sein. Auf Grundlage der Europäischen Datenschutzrichtlinie 95/46/EG verlangen die nationalen Datenschutzgesetze, dass in dem Drittstaat ein angemessenes Datenschutzniveau besteht. Dadurch sollen die Interessen des Betroffenen geschützt und verhindert werden, dass der Empfänger die personenbezogenen Daten uneingeschränkt verwenden kann.
Die Europäische Kommission kann ein angemessenes Schutzniveau in einem Drittland feststellen. Dafür beurteilt sie die innerstaatlichen Rechtsvorschriften und internationalen Verpflichtungen in Bezug auf den Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen. Fehlt eine solche Feststellung, können personenbezogene Daten in ein Drittland übermittelt werden, wenn der Schutz dieser Daten beim Empfänger durch andere Maßnahmen sichergestellt wird. Dies sind zum Beispiel die EU-Standardvertragsklauseln oder verbindliche Unternehmensregeln (Binding Corporate Rules).
2/2: Aufhebung des Safe-Harbor-Abkommens sinnvoll?
Für die USA hat die Europäische Kommission kein angemessenes Schutzniveau festgestellt. Um den Datentransfer zu erleichtern, haben die Europäische Union und die USA das Safe-Harbor-Abkommen geschlossen. Damit können sich US-amerikanische Unternehmen den Safe-Harbor-Prinzipien unterwerfen, die sie zum Datenschutz verpflichten. Sie gelten dann als "sicherer Hafen" für personenbezogene Daten.
Die zuvor beschriebene Erklärung der deutschen Datenschutzbehörden, das Safe-Harbor-Abkommen aussetzen zu wollen, dürfte in der Praxis jedoch ohnehin keine Auswirkungen auf die Spionagetätigkeit der NSA haben. Denn die NSA hat sich nicht den Safe-Harbor-Prinzipien unterworfen und würde diese wohl auch nicht beachten. Allerdings vertrauen US-amerikanische und europäische Unternehmen für den Datentransfer auf das Abkommen. Ein Aussetzen dieser Rechtsgrundlage würde damit vor allem wirtschaftliche Folgen haben.
Die US-amerikanischen Unternehmen würden beeinträchtigt werden, obwohl ihre Rolle im NSA-Skandal unklar ist. Die in den USA ansässigen IT-Dienstleister haben dementiert, überhaupt von Prism gewusst oder personenbezogene Daten an die NSA weitergegeben zu haben. Dies geschehe nur im Rahmen der gesetzlichen Bestimmungen, und natürlich müssen auch europäische Unternehmen im Rahmen der jeweiligen Gesetze Informationen an die nationalen Sicherheitsbehörden der Mitgliedsstaaten weitergeben. Unterstellt man, dass die gesetzlichen Pflichten nicht unverhältnismäßig sind, würde das Aussetzen des Safe-Harbor-Abkommen also die falschen Adressaten treffen.
Fehlende Zuständigkeit nationaler Datenschutzbehörden
Zudem fehlt den Datenschutzbehörden die erforderliche Zuständigkeit, um das Safe-Harbor-Abkommen aussetzen zu können. Das Abkommen sieht zwar vor, dass die nationalen Datenschutzbehörden im Rahmen ihrer Befugnisse einzelne Übermittlungen an konkrete Organisationen in den USA aussetzen können. Dies setzt jedoch voraus, dass die Organisation gegen die Safe-Harbor-Grundsätze verstoßen hat und ein solcher Verstoß durch die amerikanische Federal Trade Commission (FTC), das US-Verkehrsministerium oder eine unabhängige Instanz festgestellt wurde. Fehlt es an einer Feststellung durch eine unabhängige Instanz, können die Datenschutzbehörden einzelne Übermittlungen aussetzen, wenn eine hohe Wahrscheinlichkeit für eine Verletzung der Safe-Harbor Grundsätze besteht und dem Betroffenen ein schwerer Schaden droht. Das Safe-Harbor-Abkommen als solches kann indes allein die Europäische Kommission aussetzen oder kündigen.
Die Erklärung der Datenschutzbehörden, keine Genehmigungen für den Datentransfer in Drittstaaten mehr erteilen zu wollen, hat zudem kaum praktische Relevanz. Zwar sieht das Bundesdatenschutzgesetz (BDSG) in § 4c Abs. 2 die Möglichkeit vor, dass die Aufsichtsbehörden den Datentransfer in Drittstaaten genehmigen können, sollte der Empfänger in einem Land sitzen, das kein angemessenes Datenschutzniveau hat. Dafür muss die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweisen. Eine Genehmigung ist aber nicht erforderlich, wenn die Parteien den Datentransfer auf die Standardvertragsklauseln der Europäischen Kommission stützen.
Die Europäische Kommission hat entschieden, dass diese Standardvertragsklauseln eine ausreichende Garantie darstellen; daher ist insoweit gerade keine Genehmigung erforderlich. Diese Kommissionentscheidung ist bindend. Neben dem Safe-Harbor-Abkommen stellen die EU-Standardvertragsklauseln in der Praxis wohl die häufigste Grundlage für den Datentransfer in Drittstaaten dar. Relevanz könnte die Androhung daher einzig im Bereich der verbindlichen Unternehmensregelungen, der sogenannten Binding Corporate Rules, haben. Diese müssen jeweils durch die Aufsichtsbehörden genehmigt werden, bevor sie als Grundlage für den Datentransfer eingesetzt werden können.
Topologie des Internets folgt nicht geografischen Gegebenheiten
Auch aus technischer Sicht dürfte ein Aussetzen des Safe-Harbor-Abkommens keinen besseren Schutz der Informationen bewirken. Die Topologie des Internets folgt nicht den geografischen Gegebenheiten. Versendet man eine Email aus einem in Deutschland betriebenen Email-Postfach an ein anderes, ebenfalls in Deutschland betriebenes Email-Postfach, können die Datenpakete auf dem Weg dahin über amerikanische oder asiatische Server geroutet werden, ohne dass der Nutzer dies mitbekommt. Die genaue Transportstrecke der Datenpakete hängt von der zugrundeliegenden Server-Infrastruktur ab. Damit sind diese Informationen – zumindest für die Dauer der Übermittlung – potentiell nicht mehr im Anwendungsbereich des deutschen oder europäischen Datenschutzrechts. Damit fallen sie während dieses Zeitraumes auch nicht mehr in den Anwendungsbereich des Safe-Harbor-Abkommens.
Aus technischer Sicht sind Informationen besser geschützt, wenn sie vor dem Versand verschlüsselt werden. Dies verhindert zwar nicht, dass die Daten abgefangen werden, macht sie jedoch für den Abfangenden unlesbar. Allerdings kursieren Gerüchte, dass die Geheimdienste an Verfahren zur Aufhebung kommerziell eingesetzter Verschlüsselungen arbeiten bzw. dies zum Teil schon bewerkstelligt haben. Eine absolute Sicherheit bietet die Verschlüsselung also nicht.
Die Erklärungen der deutschen Datenschutzbehörden und des Europäischen Parlaments, das Safe-Harbor-Abkommen aussetzen zu wollen, erhöhen den Druck auf die politischen Entscheider, rechtliche Konsequenzen aus dem Skandal zu ziehen. Obwohl durch solche Initiativen die Interessen von Unternehmen, Bürgerinnen und Bürgern geschützt werden sollen, verstärken sie auch die allgemeine Unsicherheit, wenn die angestrebten Maßnahmen rechtlich oder politisch nicht umsetzbar sind. Dass aus dem Skandal noch spürbare Konsequenzen folgen werden, wird mit fortschreitender Zeit nicht unbedingt wahrscheinlicher. Wem wirklich am umfassenden Schutz der eigenen bzw. der Daten seiner Kunden gelegen ist, der muss bei der Speicherung und Übermittlung vor allem selbst behutsam zu Werke gehen, und etwa in gerichtlichen Verfahren auf die Dienste spezialisierter Anbieter zurückgreifen.
Helmut Sauro ist Key Account Manager bei Kroll Ontrack, einem weltweit führenden Anbieter für Legal Technologies Services, und verantwortet das Business Development der Bereiche Ediscovery und Computer Forensik.
Christian Kuß, LL.M. ist Rechtsanwalt bei der Luther Rechtsanwaltsgesellschaft und auf IT-, Urheber- und Datenschutzrecht spezialisiert.
Helmut Sauro und Christian Kuß, LL.M., Zwischenbilanz zur Abhöraffäre: Viel Aufregung, wenig Veränderung . In: Legal Tribune Online, 12.04.2014 , https://www.lto.de/persistent/a_id/11684/ (abgerufen am: 20.04.2024 )
Infos zum Zitiervorschlag