Problem Project Prism: Welche europäischen Lösungsansätze gibt es?

Nach dem Bekanntwerden des umfassenden Überwachungsprogrammes, Project Prism, des amerikanischen Geheimdienstes (einen Überblick über die Nachrichtenlage und die Entwicklungen gibt es bei Spiegel-Online und der SZ) erheben sich die politischen Stimmen in Europa. So wurde heute im Europäischen Parlament über das Thema diskutiert (Video), die für die Datenschutz-Grundverordnung zuständige EU-Justizkommissarin Viviane Reding erhofft sich durch den Skandal einen neuen Schub für die Verhandlungen zur Reform des Datenschutzrechts.

Doch können durch verschärfte Änderungen der geplanten Grundverordnung in Bezug auf die Übermittlung von personenbezogenen Daten europäischer Bürger an Unternehmen in Drittländer wirklich eine Lösung des Problems erwartet werden? Wohl nur zum Teil. Möchte man das europäische Grundrecht auf den Schutz personenbezogener Daten wirklich verteidigen, so bliebe nur eine Alternative, die niemand ernsthaft in Erwägung ziehen kann, nämlich die völlige digitale Trennung von den USA.

Welche Grundlagen hat die weltweite Überwachung?
Die amerikanischen Geheimdienste handeln auf der Basis nationaler Gesetz, vor allem des Patriot Act von 2001 und der durch ihn eingeführten Änderungen des Foreign Intelligence Surveillance Act (FISA) und des Electronic Communications Privacy Act (ECPA). Zudem kamen 2007 der Protect America Act (PAA) und 2008 der FISA Amendments Act (FAA 2008) hinzu. Insbesondere der zuletzt genannte FAA 2008 ist für die nun aufgedeckten Handlungen der Geheimdienste relevant. In Abschnitt 702 des FAA 2008 („Procedures for targeting certain persons outside the United States other than United States persons“) und unter „Title VII“ werden den US-Behörden verschiedene Befugnisse erteilt, um Auskunft über die Daten von Europäern und Nicht-amerikanischen Bürgern, auch von Servern außerhalb von Amerika, zu erhalten, solange das die Daten verwaltende Unternehmen auf dem amerikanischen Markt aktiv ist. Hierzu ist es nicht erforderlich, dass das Unternehmen seinen Hauptsitz in den USA unterhält. Das Unternehmen muss nur irgendwie dem amerikanischen Recht unterfallen, was durch eine weite Auslegung der amerikanischen Behörden sehr häufig der Fall sein wird. Die Überwachungsmaßnahmen und Auskunftsverlangen unterliegen dabei keinen nennenswerten, hohen Anforderungen. Ähnlich wie dies auch für den BND in Deutschland der Fall sein wird (hierzu Niko Härting im cr-online Blog), genügt dafür ein begründetes (nicht notwendigerweise alleiniges) Interesse an ausländischen Geheimdienstinformationen, in Bezug auf die nationale Sicherheit, Verteidigung oder die ausländischen Beziehungen der USA. In Bezug auf Informationen auf Ausländer muss ein solcher Zugriff zwar auch grundsätzlich vorher freigegeben werden (durch den Foreign Intelligence Surveillance Court (FISC)), jedoch sind auch hier die Anforderungen nicht hoch, so bedarf es etwa nur eine Abwägung mit den Interessen des Betroffenen, welche nach der amerikanischen Verfassung geschützt werden (siehe dazu unten). Zudem fehlt eine zusätzliche gerichtliche Überprüfungsmöglichkeit.

Nationale Gesetze
Es handelt sich hier also um nationale, amerikanische Gesetze. Dies ist bereits, was Rechtsanwalt Stadler in seinem Blog anmerkt, ein Grund dafür, dass gesetzliche europäische Vorgaben prinzipiell nur beschränkte Wirkung entfalten können. Man wird aus Europa nicht in die USA hinein gesetzliche Beschränkungen beschließen können. Derartige nationale, gesetzliche Anpassungen ließen sich, wenn überhaupt, durch politische Verhandlungen erzielen. Die Erfolgsquote dürfte jedoch nicht besonders hoch eingeschätzt werden.

Fehlender, grundgesetzlicher Schutz
Die Änderungen durch den FFA 2008 beziehen sich auf Eingriffe in die Freiheiten von nicht-amerikanischen Bürgern. Eine gerichtliche Geltendmachung einer Verletzung von Grundrechten durch die Überwachungsmaßnahmen, vor einem Gericht in Amerika, ist jedoch ausgeschlossen. Denn insbesondere das Recht auf Schutz vor staatlichen Übergriffen und Schutz der Privatsphäre (4. Zusatzartikel zur Bill of Rights) können nur von amerikanischen Staatsbürgern geltend gemacht werden.

Verschärfung von Übermittlungsbefugnissen
Unter geltendem europäischen Datenschutzrecht ist eine Übermittlung personenbezogener Daten auf Server von Unternehmen in einem Drittland, wie den USA, erlaubt, wenn (neben einer gesetzliche Grundlage der Datenübermittlung an sich) nach Art. 25 Abs. 1 der Datenschutzrichtlinie (RL 95/46/EG, DS-RL) durch die Europäische Kommission ein angemessenes Schutzniveau personenbezogener Daten in diesem Drittland anerkannt wurde. Im Fall der USA wurde dies durch den Beschluss (2000/520/EG) und das Safe Harbor Abkommen festgestellt. Amerikanische Unternehmen können sich, unter der Aufsicht der Federal Trade Commission (FTC) zertifizieren und in eine Liste aufnehmen lassen. Sie haben dann bestimmt Pflichten zu erfüllen, wie etwa Auskunfts- und Informationspflichten gegenüber den Nutzern. Eine Übermittlung personenbezogener Daten aus Europa an diese Unternehmen ist dann jedoch erlaubt.

Nun bestünde natürlich die Möglichkeit, die Anforderungen an amerikanische Unternehmen zu erhöhen (hierzu mein Blogbeitrag), also neue Verhandlungen mit den USA aufzunehmen und die Voraussetzungen für eine Weitergabe von personenbezogenen Daten an amerikanische Geheimdienste zu schärfen. Dies wäre zumindest als kurzfristige Lösung in der Tat wohl der schnellste und auch nach außen deutlichste Weg, den die europäischen Staaten gehen könnten. Jedoch darf dabei natürlich nicht übersehen werden, dass amerikanische oder irgendwie mit Amerika verbundene Unternehmen auch den nationalen Gesetzen der Geheimdienste unterliegen und auch grundsätzlich deren Forderungen nachkommen müssen. Im Prinzip stellt sich damit für transatlantisch tätige Unternehmen das Problem, dass sie so oder so gegen Gesetze verstoßen werden. Sollte es sich dabei um originäre amerikanische Unternehmen handeln, ist es wohl verständlich, wenn sie hierbei einer Einhaltung der amerikanischen Anforderungen Vorrang einräumen. Zudem ist Angriffspunkt dieser Regelungen immer nur das Unternehmen selbst und nicht die ausländische Behörde, von der die Anfrage kommt oder die Tätigkeit selbst ausgeht. Und nach Art. 3 Abs. 2 DS-RL sind Datenverarbeitungsvorgänge, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen und etwa der nationalen Sicherheit eines Staates dienen, ganz von der Anwendung ausgenommen.

Änderungen durch die Datenschutz-Grundverordnung
Auch Art. 2 Abs. 2a der Datenschutz-Grundverordnung (KOM (2012) 11, DS-GVO) würde genau diese Verarbeitungstätigkeiten der ausländischen Behörden aus dem Anwendungsbereich herausnehmen. Jedoch werden auch die Anforderungen an eine Datenübermittlung von personenbezogenen Daten an Unternehmen in Drittstaaten näher präzisiert (vgl. Art. 40 – 44 DS-GVO). Die vorliegende Problematik, dass eventuell drittstaatliche Gesetze bestehen und Pflichten festschreiben, die dem europäischen Datenschutzstandard zuwider laufen, behandelt Erwägungsgrund 90 der DS-GVO. Eine Weitergabe von Daten (also an Dritte, wie etwa Behörden) wird dort dann für rechtmäßig erachtet, wenn „die Weitergabe aus einem wichtigen öffentlichen Interesse erforderlich ist, das im Unionsrecht oder im Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, anerkannt ist“. Ein wichtiges öffentliches Interesse der amerikanischen Geheimdienste, die Informationen zu europäischen Nutzern in einem praktisch unbegrenzten Umfang zu erhalten, wird man aber wohl kaum in einem Mitgliedstaat als anerkannt ansehen müssen.

Zudem gibt es auch einige Änderungsanträge des LIBE-Ausschusses des Europäischen Parlaments, die eine Verschärfung der Voraussetzungen für eine Übermittlung personenbezogener Daten in Drittländer vorsehen. Diese reichen von vorherigen Informations- und Aufklärungspflichten des Verantwortlichen über ein Auskunftsersuchen (vgl. etwa den Vorschlag für einen neuen Art. 43 a Abs. 4 im Entwurf von Jan Philipp Albrecht) oder eine Benachrichtigung der jeweiligen europäischen Datenschutzbehörde über das Ersuchen (Art. 43 a Abs. 2 des Albrecht-Entwurfs). Freilich wird sich etwa in Bezug auf eine Benachrichtigung des Betroffenen oder der Aufsichtsbehörde erneut das Problem für das Unternehmen stellen, dass es gerade dies Offenlegung nach den ausländischen Gesetzen gerade nicht vornehmen darf und damit wieder zwischen zwei Rechtsverstößen unterscheiden muss.

Ausblick
Welche Lösung hier die richtige ist, lässt sich schwer sagen. Erforderlich erscheint zumindest ein breit angelegtes Vorgehen, sowohl im europäischen Recht, als auch auf politischer Ebene, um etwa mit den USA hier den Dialog zu suchen und so vielleicht sogar Anpassungen der Gesetze zu ermöglichen. Nicht unterschätzt werden sollte zudem der Einfluss der weltweit tätigen amerikanischen Unternehmen. Sollten diese durch eine in Aussichtstellung zu rigider europäischer Vorgaben um den europäischen Markt und ihren dortigen Einfluss und Umsatz fürchten, so könnte auch die amerikanische selbst ihren Einfluss in Washington im Rahmen von Verhandlungen geltend machen. Wichtig ist sicherlich, dass rasch Gespräche geführt und konstruktive Lösungen gefunden werden.

Zur vertieften Literatur ist die durch den LIBE-Ausschuss in Auftrag gegebene Studie „Fighting Cyber Crime And Protecting Provacy In The Cloud“ aus dem Jahre 2012 zu empfehlen.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>