Pünktlich zum Datenschutztag 2024 am 28. Januar (und kurz vor dem 6. Jahrestag des Inkrafttretens der DSGVO) hat die EU-Kommission eine Sondierung gestartet, um besser beurteilen zu können, wie gut die Datenschutz-Grundverordnung (DSGVO) der EU in ihrer Anwendung funktioniert.
Wir begrüßen diese Initiative sehr, denn wir haben so einiges dazu zu sagen. Und wie könnte man den Datenschutztag besser feiern, als darüber zu diskutieren, ob die Anwendung der DSGVO die Privatsphäre der Menschen tatsächlich verbessert hat?
Die Antwort lautet überwiegend „Ja“, aber in vielerlei Hinsicht auch „Nein“.
Insgesamt wird die DSGVO zu Recht als der globale Goldstandard für den Schutz der Privatsphäre angesehen. Sie hat als Modell für Datenschutzpraktiken weltweit gedient und verankert Rechte betroffener Personen, die in vielen Gerichtsbarkeiten kopiert wurden. Mit ihrem Inkrafttreten schuf sie einen Standard für Datenschutz, den Menschen weltweit von den Unternehmen, die ihre persönlichen Daten verarbeiten, erwarten und auch einfordern können sollten. Alles in allem hat die DSGVO also definitiv dazu beigetragen, dass Menschen mehr Kontrolle über ihre persönlichen Daten haben und ihre Privatsphäre besser schützen können.
Allerdings sind wir auch der Ansicht, dass die Art und Weise, wie die DSGVO in einigen wichtigen Bereichen auf die durch das Internet fließenden Daten angewandt wurde, nichts zum Schutz der Privatsphäre beigetragen hat und den Schutz personenbezogener Daten sogar gefährden könnte. Das betrifft unserer Ansicht nach etwa den Bereich der grenzüberschreitenden Datenübermittlungen. Für viele Datenschutzbehörden in der EU ist der Standort der Daten zum Indikator (oder gar Synonym) für Privatsphäre geworden, was wir für eine falsche Entwicklung halten. Der zweite Bereich ist eine zu weit gefasste Auslegung einiger Regulierungsbehörden darüber, was „personenbezogene Daten“ in Bezug auf Internetprotokoll- oder „IP“-Adressen darstellt. Wir sind der Ansicht, dass IP-Adressen nicht immer als personenbezogene Daten gelten sollten, insbesondere wenn die diese IP-Adressen verarbeitenden Unternehmen selbst nicht in der Lage sind, diese IP-Adressen einzelnen Personen zuzuordnen. Dieser Punkt ist deswegen so wichtig, da eine Reihe von branchenführenden Maßnahmen für Cybersicherheit nur implementiert werden können, wenn Bedrohungsdaten anhand von Metadaten zum Internettraffic, einschließlich IP-Adressen, gesammelt und analysiert werden können.
Der Standort sollte kein Indikator für den Datenschutz sein
Grundsätzlich sollten gute, der Privatsphäre dienende Datenschutzpraktiken personenbezogene Daten schützen können, unabhängig davon, wo diese Verarbeitung oder Speicherung erfolgt. Dennoch basiert die DSGVO auf der Idee, dass der rechtliche Schutz personenbezogener Daten auf der Grundlage des Ortes erfolgen sollte, an dem die Daten erzeugt, verarbeitet oder gespeichert werden. Die Artikel 44 bis 49 legen die Bedingungen fest, die für die Übertragung von Daten in eine außerhalb der EU gelegene Gerichtsbarkeit erfüllt sein müssen, mit der Idee, dass selbst wenn die Daten sich an einem anderen Ort befinden, die durch die DSGVO etablierten Datenschutzmaßnahmen den Daten folgen sollten. Zweifelsohne wurde dieser Ansatz von politischen Ereignissen rund um die Überwachungspraktiken von Regierungen beeinflusst, darunter etwa die 2013 erfolgten Enthüllungen geheimer Dokumente, die die Zusammenarbeit zwischen der US-amerikanischen NSA (und ihren Five Eyes-Verbündeten) und großen Internetunternehmen aufzeigten, und der Umstand, dass Geheimdienste Daten an Nadelöhren des Internets abfingen. Und nach Inkrafttreten der DSGVO waren viele für den Datenschutz zuständige Regulierungsbehörden in der EU der Ansicht, dass die Verarbeitung europäischer personenbezogener Daten in den Vereinigten Staaten aufgrund der in der DSGVO festgelegten Beschränkungen für grenzüberschreitende Datenübertragungen nicht DSGVO-konform erfolgen könnte.
Ihren Höhepunkt erreichte diese Angelegenheit im Juli 2020, als der Europäische Gerichtshof (EuGH) in seinem „Schrems II“-Urteil1 den Angemessenheitsstandard des EU-US-Privacy Shield für ungültig erklärte und die Eignung der EU-Standardvertragsklauseln (ein Mechanismus, den Entitäten nutzen können, um sicherzustellen, dass die in der DSGVO definierten Schutzmaßnahmen für personenbezogene Daten aus der EU angewendet werden, auch wenn diese außerhalb der EU verarbeitet werden) in Frage stellte. Das Urteil ließ den Datenschutzbehörden in mancher Hinsicht wenig Spielraum in Fragen des transatlantischen Datenflusses.Doch während einige Aufsichtsbehörden das Urteil Schrems-II so auslegten, dass die Verarbeitung personenbezogener Daten aus der EU in den Vereinigten Staaten immer noch möglich wäre, sahen andere Datenschutzbehörden in der Entscheidung eine Gelegenheit, ihre Ansicht zu bekräftigen, dass personenbezogene Daten aus der EU in den USA nicht DSGVO-konform verarbeitet werden können. Dies hat den Irrglauben gefördert, dass die Lokalisierung von Daten mit Datenschutz gleichzusetzen sei.
Tatsächlich würden wir argumentieren, dass das Gegenteil der Fall ist. Aus eigener Erfahrung und aufgrund aktueller Untersuchungen wissen wir, dass die Datenlokalisierung die Fähigkeit einer Organisation zum integrierten Management von Cybersicherheitsrisiken gefährdet und die Fähigkeit einer Organisation einschränkt, modernste Cybersicherheitsmaßnahmen anzuwenden, die erst durch grenzüberschreitende Datenübertragungen so effektiv wie möglich werden.2 Beispielsweise erhöht sich die Genauigkeit des Bot-Management-Produkts von Cloudflare nur durch kontinuierlichen Einsatz im globalen Netzwerk: Es erkennt und blockiert den Datenverkehr, der vermutlich von Bots stammt, bevor es die Erkenntnisse an die Modelle zurückgibt, die dem Produkt zugrunde liegen. Eine Vielfalt von Signalen und der Umfang der Daten auf einer globalen Plattform sind entscheidend, um unsere Tools zur Bot-Erkennung weiterzuentwickeln. Wäre das Internet fragmentiert – würde also der Datenaustausch über verschiedene Gerichtsbarkeiten hinweg verhindert – gingen immer mehr Signale verloren. Wir wären beispielsweise nicht in der Lage, Erkenntnisse aus Trends in Asien auf Maßnahmen zur Bot-Abwehr in Europa anzuwenden. Und wenn die Fähigkeit zur Identifizierung von Bot-Traffic beeinträchtigt ist, stört dies auch die Fähigkeit, diese schädlichen Bots von Diensten abzuhalten, die personenbezogene Daten verarbeiten.
Der Bedarf an branchenführenden Cybersicherheitsmaßnahmen liegt auf der Hand und die Datenschutzbehörden wissen das. Sieht man sich die Durchsetzungsklagen gegen Unternehmen an, in denen es zu einer Datenschutzverletzung gekommen ist, wird deutlich, dass Datenschutzbehörden von den betroffenen Unternehmen immer strengere Cybersicherheitsmaßnahmen fordern. Dies steht im Einklang mit der in Artikel 32 der DSGVO festgelegten Verpflichtung für Datenverantwortliche und -verarbeiter, unter “Berücksichtigung des Stands der Technik” geeignete technische und organisatorische Maßnahmen zu entwickeln, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“ . Darüber hinaus untergräbt die Lokalisierung von Daten den Informationsaustausch zwischen Unternehmen und mit Regierungsbehörden zu Zwecken der Cybersicherheit, der generell für wirksame Cybersicherheit als absolut notwendig angesehen wird.
Obwohl die DSGVO selbst einen soliden Rahmen für den Schutz personenbezogener Daten vorgibt, um deren Privatsphäre zu gewährleisten, hat die Anwendung der DSGVO-Bestimmungen zur grenzüberschreitenden Datenübertragung den Zweck der DSGVO verdreht und verzerrt. Es ist ein klassisches Beispiel dafür, dass man den Wald vor lauter Bäumen nicht mehr sieht. Wenn die DSGVO so angewendet wird, dass die Datenlokalisierung wichtiger ist als die Wahrung der Privatsphäre und die Sicherheit der Daten, leidet der Schutz der Daten der normalen Bürger.
Die Anwendung von Datenübertragungsregeln auf IP-Adressen könnte zu einer fortschreitenden Fragmentierung des Internets führen
Die andere wichtige Art und Weise, in der die Anwendung der DSGVO den tatsächlichen Schutz personenbezogener Daten beeinträchtigt hat, hängt mit der Definition des Begriffs „personenbezogene Daten“ im Kontext des Internets zusammen – insbesondere in Bezug auf Internetprotokoll- oder „IP“-Adressen. Eine Welt, in der IP-Adressen immer als personenbezogene Daten behandelt werden und daher den Datenübertragungsregeln der DSGVO unterliegen, könnte ein abgeschottetes europäisches Internet unvermeidlich werden. Und wie oben erwähnt, könnte dies schwerwiegende Folgen für den Datenschutz haben, ganz zu schweigen davon, dass die EU dadurch wahrscheinlich von zahlreichen globalen Marktplätzen, dem Austausch von Informationen und Social-Media-Plattformen abgeschnitten würde.
Das ist ein etwas kompliziertes Argument, also lassen Sie es uns aufschlüsseln. Wie die meisten von uns wissen, sind IP-Adressen das Adresssystem des Internets. Wenn Sie eine Anfrage an eine Website senden, eine E-Mail verschicken oder auf andere Weise online kommunizieren, verbinden IP-Adressen Ihre Anfrage mit dem Ziel, auf das Sie zugreifen möchten. Diese IP-Adressen sind der Schlüssel, um sicherzustellen, dass Internet-Traffic dorthin gelangt, wo er hingehen soll. Da es sich beim Internet um ein globales Netzwerk handelt, ist es durchaus möglich, dass Internet-Traffic, der notwendigerweise IP-Adressen enthält, nationale Grenzen überschreitet. Tatsächlich kann es durchaus sein, dass das Ziel, auf das Sie zugreifen möchten, in einer völlig anderen Gerichtsbarkeit liegt. So funktioniert das globale Internet. So weit, so gut.
Wenn IP-Adressen jedoch als personenbezogene Daten gelten, unterliegen sie den Beschränkungen für die Datenübertragung gemäß der DSGVO. Und bei der Art und Weise, wie diese Bestimmungen in den letzten Jahren angewandt wurden, waren einige Datenaufsichtsbehörden gefährlich nahe daran, zu sagen, dass IP-Adressen die Grenzen der Gerichtsbarkeit nicht überschreiten dürfen, wenn dies bedeutet, dass die Daten in die USA gehen könnten. Mit der kürzlichen Genehmigung des Datenschutzrahmens EU-USA (EU-US Data Privacy Framework) durch die EU wurde die Angemessenheit für US-Unternehmen, die sich für den Rahmen zertifizieren, festgelegt, sodass diese grenzüberschreitenden Datenübertragungen derzeit kein Problem darstellen. Sollte der Datenschutzrahmen jedoch für ungültig erklärt werden, so wie zuvor dass EU-US Privacy Shield durch die Schrems-II-Entscheidung, dann könnten wir uns in einer Situation wiederfinden, in der die DSGVO so angewendet wird, dass IP-Adressen, die scheinbar mit in der EU ansässigen Personen verknüpft sind, nicht in den USA verarbeitet werden oder möglicherweise nicht einmal die EU verlassen können.
Wenn dies der Fall wäre, müssten Anbieter reine Europa-Netzwerke entwickeln, um sicherzustellen, dass IP-Adressen niemals die Grenzen der Gerichtsbarkeit überschreiten. Aber wie würden Menschen in der EU und den USA kommunizieren, wenn EU-IP-Adressen nicht in die USA gelangen könnten? Würde es EU-Bürgern verwehrt bleiben, auf in den USA gespeicherte Inhalte zuzugreifen? Es handelt sich um eine Anwendung der DSGVO, die zu dem absurden Ergebnis führen würde – eines, das von ihren Verfassern sicherlich nicht beabsichtigt war. Und doch sind wir im Lichte von Schrems II und der bisherigen Anwendung der DSGVO in diese Lage geraten.
Eine mögliche Lösung wäre zu berücksichtigen, dass IP-Adressen nicht immer „personenbezogene Daten“ sind, die der DSGVO unterliegen. Im Jahr 2016 – noch vor Inkrafttreten der DSGVO – hat der Gerichtshof der Europäischen Union (EuGH) im Fall Breyer gegen Bundesrepublik Deutschland die Ansicht vertreten, dass auch dynamische IP-Adressen, die sich bei jeder neuen Verbindung zum Internet ändern, personenbezogene Daten darstellen, wenn die verarbeitende Stelle die IP-Adresse einer natürlichen Person zuordnen könnte. Die Entscheidung des Gerichts besagt zwar nicht, dass dynamische IP-Adressen nach europäischem Datenschutzrecht immer personenbezogene Daten sind, aber genau das haben viele EU-Datenschutzbehörden aus der Entscheidung entnommen, ohne zu prüfen, ob ein Unternehmen tatsächlich eine Möglichkeit hat, die IP-Adresse einer realen Person zuzuordnen.3
Die Frage, wann eine Kennung ein „personenbezogenes Datum“ darstellt, liegt nun erneut vor dem EuGH: Im April 2023 entschied das nachgeordnete Gericht der Europäischen Union im Fall SRB gegen EDPS4, dass übermittelte Daten als anonymisiert und daher nicht als personenbezogene Daten angesehen werden können, wenn der Datenempfänger nicht über zusätzliche Informationen verfügt, die es ihm vernünftigerweise ermöglichen würden, die betroffenen Personen erneut zu identifizieren, und keine rechtlichen Mittel zur Verfügung hat, um auf solche Informationen zuzugreifen. Der Beschwerdeführer - der Europäische Datenschutzbeauftragte (EDSB) - ist da anderer Meinung. Der EDSB, der hauptsächlich die Einhaltung der Datenschutzbestimmungen durch die EU-Organe und -Einrichtungen überwacht, hat gegen die Entscheidung Berufung eingelegt und argumentiert, dass eine eindeutige Kennung als personenbezogenes Datum gelten sollte, wenn diese Kennung jemals mit einer Einzelperson in Verbindung gebracht werden könnte, unabhängig davon, ob das Unternehmen, das über die Kennung verfügt, tatsächlich über die Mittel verfügt, eine solche Verknüpfung herzustellen.
Wenn die vernünftige Entscheidung des untergeordneten Gerichts zutrifft, könnte man argumentieren, dass IP-Adressen keine personenbezogenen Daten sind, wenn diese IP-Adressen von Unternehmen wie Cloudflare verarbeitet werden, die keine Möglichkeit haben, eine IP-Adresse einer Person zuzuordnen. Wenn IP-Adressen also nicht immer personenbezogene Daten sind, dann unterliegen IP-Adressen auch nicht immer den Bestimmungen der DSGVO über grenzüberschreitende Datenübertragungen.
Auch wenn es kontraintuitiv erscheinen mag, wäre ein Standard, bei dem eine IP-Adresse nicht zwangsläufig als „personenbezogenes Datum“ gilt, tatsächlich eine positive Entwicklung für den Datenschutz. Wenn IP-Adressen frei durch das Internet fließen können, dann können Unternehmen in der EU Cybersicherheitsanbieter außerhalb der EU nutzen, um ihre persönlichen Daten zu schützen. Fortgeschrittene Techniken des Machine Learning und der prädiktiven KI, die IP-Adressen untersuchen, um vor DDoS-Angriffen zu schützen, Bots zu verhindern oder anderweitig vor Verletzungen personenbezogener Daten zu schützen, sind in der Lage, auf Angriffsmuster und Bedrohungsinformationen aus der ganzen Welt zurückzugreifen, was den Unternehmen und Einwohnern der EU zugute kommt. Aber keiner dieser Vorteile kann in einer Welt zum Tragen kommen, in der IP-Adressen nach der DSGVO immer personenbezogene Daten sind und in der die Datenübertragungsregeln der DSGVO so ausgelegt werden, dass IP-Adressen, die mit in der EU ansässigen Personen verknüpft sind, niemals in die Vereinigten Staaten übertragen werden dürfen.
Die Privatsphäre im Fokus behalten
An diesem Tag des Datenschutzes fordern wir die politischen Entscheidungsträger in der EU dringend auf, genau zu prüfen, wie die Anwendung der DSGVO in der Praxis funktioniert , und die Fälle zur Kenntnis zu nehmen, in denen die DSGVO auf eine Weise angewendet wird, die den Schutz der Privatsphäre über alle anderen Überlegungen stellt – sogar über angemessene Sicherheitsmaßnahmen gemäß Art. 32 DSGVO unter Berücksichtigung des Stands der Technik. Wenn dies geschieht, könnte sie sogar schädlich für die Privatsphäre sein. Im Extremfall hätte dieser formelhafte Ansatz nicht nur negative Auswirkungen auf die Cybersicherheit und den Datenschutz, sondern würde sogar die Funktionsfähigkeit der globalen Internet-Infrastruktur insgesamt in Frage stellen, die auf grenzüberschreitende Datenströme angewiesen ist. Was kann man also unternehmen, um dies zu verhindern?
Erstens meinen wir, dass die politischen Entscheidungsträger der EU Leitlinien (wenn nicht sogar rechtliche Klarstellungen) für die Regulierungsbehörden verabschieden könnten, wonach IP-Adressen nicht als personenbezogene Daten betrachtet werden sollten, wenn sie von einem Unternehmen nicht mit einer realen Person verknüpft werden können. Zweitens sollten politische Entscheidungsträger klarstellen, dass die Umsetzung der DSGVO im Lichte der mit der Datenverarbeitung verbundenen Vorteile für die Cybersicherheit zu betrachten ist. Aufbauend auf dem bestehenden Erwägungsgrund 49 der DSGVO, der Cybersicherheit korrekterweise als berechtigtes Interesse an der Verarbeitung anerkennt, sollten personenbezogene Daten, die für Cybersicherheitszwecke außerhalb der EU verarbeitet werden müssen, von den DSGVO-Beschränkungen für internationale Datenübertragungen ausgenommen werden. Dies würde einige der schlimmsten Auswirkungen der Denkweise vermeiden, die Datenlokalisierung derzeit als Indikator für Datenschutz betrachtet bzw. gar mit diesem gleichsetzt. Eine solche Änderung wäre eine wahrhaft datenschutzfreundliche Anwendung der DSGVO.
1 Case C-311/18, Data Protection Commissioner v Facebook Ireland and Maximillian Schrems.
2 Swire, Peter and Kennedy-Mayo, DeBrae and Bagley, Andrew and Modak, Avani and Krasser, Sven and Bausewein, Christoph, Risks to Cybersecurity from Data Localization, Organized by Techniques, Tactics, and Procedures (2023).
3 Different decisions by the European data protection authorities, namely the Austrian DSB (December 2021), the French CNIL (February 2022) and the Italian Garante (June 2022), while analyzing the use of Google Analytics, have rejected the relative approach used by the Breyer case and considered that an IP address should always be considered as personal data. Only the decision issued by the Spanish AEPD (December 2022) followed the same interpretation of the Breyer case. In addition, see paragraphs 109 and 136 in Guidelines by Supervisory Authorities for Tele-Media Providers, DSK (2021).
4 Single Resolution Board v EDPS, Court of Justice of the European Union, April 2023.