Internationaler Datenschutz
Internationaler Datenschutz
Beim Umgang mit personenbezogenen Daten spielen Landesgrenzen heute kaum noch eine Rolle. Mehrere Entwicklungen spielen zusammen.
- Die IT-Industrie, zu der neben den Anbietern von Hard- und Software auch die großen Internetfirmen gehören, deren Suchmaschinen, soziale Netzwerke und Handelsplattformen wir benutzen, besteht zu einem großen Teil aus international aufgestellten Konzernen mit oft US-amerikanischem Hauptsitz. Die Daten ihrer Kunden werden zentral verarbeitet.
- Die stark exportorientierte deutsche Industrie ist global tätig; entsprechend hoch ist der Anteil der Daten von Arbeitnehmern und Kunden, die aus Deutschland in andere Länder oder von dort nach Deutschland bewegt werden.
- Immer mehr in Deutschland tätige Firmen aller Branchen sind in internationale Konzerne eingebunden. Die Muttergesellschaften sorgen für zentrale IT-Lösungen und möchten über alle Details informiert sein.
- Unser persönliches Leben wird zunehmend international. Ob Urlaub, Kultur-, Sport- und Bildungsreisen, Schul- Ausbildungs- und Studienabschnitte, Arbeitseinsätze, Interneteinkäufe - zwischen In- und Ausland machen wir kaum noch einen Unterschied.
- Zunehmend werden - auch von Privatleuten - Daten und Programme nicht mehr nur auf den eigenen Geräten gespeichert, sondern in der Cloud, d.h. auf zahlreichen miteinander gekoppelten, meist über viele Länder verteilten Servern.
Dass auch der Datenschutz, wenn er wirksam sein soll, international ansetzen muss, ist seit langem allgemein anerkannt. Auf europäischer Ebene wurden in den 1980er und 1990er Jahren internationale Regelungen vereinbart. Ein globales Abkommen schwebt dagegen noch in weiter Ferne. Es gibt dazu bisher nicht einmal Regierungsverhandlungen.
Themenbereiche des internationalen Datenschutzes
Wie auch in anderen Lebensbereichen ist es bei grenzüberschreitenden Sachverhalten auch beim Datenschutz für den Einzelnen schwierig, die Rechtslage auszumachen - und oft noch viel schwieriger, seine Rechte dann auch durchzusetzen. Aus rechtlicher Sicht sind beim internationalen Datenschutz vier Problembereiche zu unterscheiden.
- Die Frage, das Recht welchen Landes anwendbar ist und ob ein bestimmtes Recht vereinbart werden kann bzw. wirksam vereinbart wurde (Anwendbares Recht).
- Die Frage, vor den Gerichten welches Landes geklagt oder angeklagt werden kann (Internationaler Gerichtsstand).
- Die Frage, welche Aufsichtsbehörde zuständig ist (Internationale Behördenzuständigkeit).
- Die Frage, wie die Zulässigkeit des Umgangs mit personenbezogenen Daten bei Datenexport und bei anderen grenzüberschreitenden Sachverhalten geregelt ist (Grenzüberschreitender Datenverkehr).
Anwendbares Recht
Auf Sachverhalte und Vorgänge in Deutschland ist im Allgemeinen deutsches Recht anwendbar (Territorialitätsprinzip). Das ist auch im Datenschutz der Ausgangspunkt. Das BDSG hat aber in Umsetzung der europäischen Datenschutzrichtlinie für den EU/EWR-Bereich zwei Ausnahmen vorgesehen.
- Für alle Aktivitäten einer Niederlassung in einem EU/EWR-Staat gilt das Recht der Niederlassung, auch wenn die Aktivität in einem anderen EU/EWR-Staat stattfindet (näher Kommentar zu § 1 Abs. 5 Satz 1).
- Für Aktivitäten einer in einem Drittstaat niedergelassenen Stelle gilt deutsches Recht, wenn sie dabei auf Mittel zurückgreift, die in Deutschland belegen sind (§ 1 Abs. 5 Satz 2 bis 4 BDSG). Davon ist der bloße Transit ausgenommen (näher Kommentar zu § 1 Abs. 5 Satz 2 bis 4).
Internationaler Gerichtsstand
Zur Frage, die Gerichte welchen Landes bei internationalen Sachverhalten zuständig sind, enthalten das deutsche und das europäische Datenschutzrecht keine besonderen Regelungen.
Internationale Behördenzuständigkeit
Das Prinzip, dass die nationalen Datenschutzaufsichtsbehörden jeweils nur im eigenen Land tätig werden können (Territorialitätsprinzip), wird von der Richtlinie nicht angetastet. Sie fördert jedoch die Zusammenarbeit im Wege der Amtshilfe (näher Kommentar zu § 1 Abs. 5 Satz 5).
Grenzüberschreitender Datenverkehr
Die Zulässigkeit der Verbringung personenbezogener Daten von einem Staat in den anderen ist das Kernthema des internationalen Datenschutzes. Die klassische Problemlage ist folgende: Daten werden in einem Staat mit einem entwickelten Datenschutz verarbeitet und sollen in ein Land übermittelt werden, in dem kein oder nur ein schwächerer Schutz besteht. Gegen die dort folgende weitere Verarbeitung hat der Betroffene keinen oder keinen gleichwertigen Schutz. Auskunfts-, Berichtigungs- und Löschungsrechte können ebenso fehlen. Die Grundsätze der Zweckbindung und der Erforderlichkeit beim Umgang mit personenbezogenen Daten sind weithin unbekannt. Zudem drohen die im Ausland unkontrollierbar verarbeiteten Daten zurück ins Ursprungsland zu gelangen, was den dort garantierten Schutz illusorisch macht. Der nationale Gesetzgeber kann dieses Problem nicht lösen. Er kann lediglich die Bedingungen dafür verschärfen, dass Daten in ein Land mit weniger Schutz verbracht werden.
Auch handelspolitisch ist ein Datenschutzgefälle ein Ärgernis. Unternehmen in Ländern mit hohen Datenschutzanforderungen sehen sich durch zusätzliche Kosten im Wettbewerb benachteiligt. "Teuer Datenschutz" gilt auch vielen Wirtschaftspolitikern als Nachteil im internationalen Wettbewerb der Standorte. Aber es gibt durchaus auch die umgekehrte Betrachtungsweise. Errichtet ein Land einen Sonderschutz gegen Datenexport, so wird dies als protektionistische Maßnahme zur Abschirmung der heimischen Wirtschaft gegen unliebsame ausländische Konkurrenz angeprangert.
Das klassische Mittel zum Abbau von Handelshemmnissen besteht darin, die Ausgangsbedingungen in den beteiligten Ländern anzugleichen, damit ein fairer Wettbewerb ermöglicht wird. Der Erhebung von Schutz-Zöllen und der Errichtung nicht-monetärer Schranken an der Grenze bedarf es dann nicht mehr. Die teilnehmenden Staaten verpflichten sich im Gegenteil, den (insofern "freien") Datenverkehr über die Grenzen nicht zu behindern.
Dieser Philosophie der Harmonisierung folgen auch die bisher unternommenen Versuche, den Datenschutz international verbindlich zu regulieren,
- die Datenschutz-Konvention des Europarats (Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28.Januar 1981, Konvention 108)
- die europäische Datenschutzrichtlinie Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom vom 24. Oktober 1995 (EU-Datenschutzrichtlinie)
Beide Instrumente sind für Deutschland verbindlich. Im Rahmen der EU und der (mit ihr eng verbundenen) EWR-Staaten hat die Richtlinie die weitaus größere Bedeutung. Die Europarats-Konvention erfüllte und erfüllt weiterhin gewissermaßen Zubringerdienste bei Ländern, die sich Europa annähern.
Die EU-Datenschutzrichtlinie setzt die genannten Grundsätze wie folgt um:
- die Übermittlung in ein Mitgliedsland der EU oder des EWR wird einer inländischen Übermittlung gleichgestellt; es spielt also keine Rolle mehr, ob der Empfänger im Inland oder im EU/EWR-Ausland sitzt.
- die Datenübermittlung in Drittstaaten wird - verglichen mit einer Übermittlung im Inland - deutlich erschwert.
(Näher dazu Kommentare zu § 4b und § 4c)
Die Harmonisierung des Datenschutzrechts in den beteiligten Ländern ist umfassend angelegt. Sie betrifft neben den (materiellrechtlichen) Regelungen des Umgangs mit Daten und der Rechte der Betroffenen auch die Aspekte der organisatorischen und technischen Umsetzung, der externen Kontrolle durch unabhängige Behörden und die Haftung bei Verstößen wie auch deren Sanktionierung. Der EU-Kommission und den Kontrollstellen der Mitgliedstaaten obliegt es, die Harmonisierung auch in der Praxis zu sichern.
Das Datenschutzkonzept der EU ist beschränkt sich nicht auf die formelle Gleichheit, die der Markt erfordert, sondern verfolgt zugleich in materieller Hinsicht einen Datenschutz auf hohem Niveau. Orientierungspunkte sind insoweit
- die Grundrechte der Europäischen Grundrechtscharta
- die Datenschutzgrundrechte der Verfassungen der Mitgliedstaaten und
- die "best practice", also die bewährte und vorbildliche Praxis der im Datenschutz seinerzeit führenden Länder, zu welchen Deutschland gehörte.
Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.