Mit der gesellschaftlichen und wirtschaftlichen Bedeutung von Digitaltechnologie nimmt auch die Notwendigkeit zu, personenbezogene Daten und andere Informationen über das Internet zu übermitteln. Weltweit zirkulierende Datenströme sind heute für den internationalen Handel und die Weiterentwicklung der Weltwirtschaft unabdingbar. Tatsächlich ist die bereits vollzogene digitale Transformation der Wirtschaft rund um den Globus ohne die offene und international ausgelegte Architektur des Internets und die Möglichkeit, Daten länderübergreifend auszutauschen, gar nicht vorstellbar. Denn wie in unserem gestrigen Blogbeitrag beschrieben, ist Datenlokalisierung nicht immer gleichbedeutend mit besserem Datenschutz. Tatsächlich kann es der Datensicherheit und damit dem Datenschutz ausgesprochen durchaus zuträglich sein, wenn sich Daten über Landesgrenzen hinweg übertragen lassen. Da morgen der internationale Datenschutztag begangen wird, wollten wir die Gelegenheit ergreifen, um uns näher mit den aktuellen Gegebenheiten bei der durch die Datenschutzgrundverordnung (DSGVO) der Europäischen Union geregelten Weiterleitung personenbezogener Daten aus dem Staatenverbund in die Vereinigten Staaten zu befassen. Was die Zukunft betrifft, werden wir erläutern, warum es aus unserer Sicht eines Rahmenwerks für eine zuverlässigere, weltweite und grenzüberschreitende Datenübertragung bedarf, die für ein offenes, sichereres und datenschutzfreundlicheres Internet unerlässlich sein wird.
Datenschutz als Herausforderung bei internationaler Datenübermittlung
Im letzten Jahrzehnt haben wir rund um den Erdball eine wachsende Tendenz beobachtet, das Internet einzuzäunen und neue Hürden für den internationalen Datenverkehr zu errichten – insbesondere für die Übermittlung personenbezogener Daten. In einigen Fällen hat dies zur Einschränkung der Wahlmöglichkeiten und zu einer schlechteren Performance für Nutzer von Digitalprodukten und -dienstleistungen geführt. In anderen Fällen wurde dadurch der freie Informationszugang eingeschränkt, was unter bestimmten Umständen paradoxerweise Datensicherheit und -schutz sogar schwächt und somit dem Zweck von Datenschutzvorschriften zuwiderläuft. Die Gründe für diese bedenklichen Entwicklungen sind vielfältig: Dazu zählen unter anderem mangelndes Vertrauen in die Fähigkeit von Drittländern, angemessenen Datenschutz zu gewährleisten, Argumente der nationalen Sicherheit und das Bedürfnis nach wirtschaftlicher Selbstbestimmung.
In den letzten Jahren sahen sich sogar die am meisten am Datenschutz orientierten Unternehmen (wie Cloudflare) in der Europäischen Union immer wieder Spekulationen und Bedenken von Datenschutzaktivisten und von einigen besonders strengen Aufsichtsbehörden ausgesetzt, ob Daten von US-amerikanischen Cloud-Dienstleistern tatsächlich in DSGVO-konformer Weise verarbeitet werden können. Oft sind diese Bedenken jedoch rein legalistisch, während die tatsächlichen Risiken eines konkreten Datentransfers und im Fall von Cloudflare der wichtige Beitrag, den bestimmte Dienste für die IT-Sicherheit und den Datenschutz von Millionen europäischer Internetnutzer leisten, völlig außer Acht gelassen werden. Tatsächlich hat eine offizielle Empfehlung des Europäischen Datenschutzausschusses bestätigt, dass personenbezogene Daten aus der EU weiterhin in den USA verarbeitet werden können. Allerdings ist das zu einem ziemlich komplizierten Unterfangen geworden, seit der Europäische Gerichtshof (EuGH) in seinem Schrems II-Urteil im Jahr 2020 das Privacy Shield-Abkommen für unwirksam erklärt hat. Seitdem müssen Datenverantwortliche auf weiterhin gültige rechtliche Mechanismen zur Datenübertragung wie die EU-Standardvertragsklauseln sowie diverse weitere rechtliche, technische und organisatorische Schutzmaßnahmen zurückgreifen.
Letzten Endes liegt die Entscheidung darüber, ob die ergriffenen Maßnahmen den gesetzlichen Anforderungen genügen, bei den zuständigen Datenschutzbehörden, die dies von Fall zu Fall prüfen. Weil jedoch diese Fälle oft komplex sind, jede Sachlage anders ist und es zudem allein in Europa 45 verschiedene Datenschutzbehörden gibt, ist eine Skalierung dieser Verfahren schlicht unmöglich. Hinzu kommt, dass diese Datenschutzbehörden – mitunter selbst innerhalb eines EU-Mitgliedstaats (Deutschland) – die Gesetzgebung im Hinblick auf die Übertragung von Daten in Drittländer unterschiedlich auslegen. Geht ein Fall tatsächlich vor Gericht, erweisen sich die Gerichte unserer Erfahrung nach oft als pragmatischer und ausgewogener in ihrem Urteil als die Datenschutzbehörden. Doch es ist zeit- und ressourcenraubend, Datenschutzfälle vor Gericht zu bringen. Besonders problematisch ist das für kleinere Firmen, die sich eine lange juristische Auseinandersetzung nicht leisten können. Zudem droht bei Verstößen theoretisch die Verhängung schmerzhafter Geldbußen durch eine Datenschutzbehörde. Das kann ausreichen, um solche Unternehmen ganz von der Nutzung von Diensten abzuhalten, bei denen Daten in Drittländer übermittelt werden – auch wenn diese Dienste größere Sicherheit und höheren Schutz für die von ihnen verarbeiteten personenbezogenen Daten bieten und zur Produktivitätssteigerung beitragen. Diese Entwicklung liegt eindeutig nicht im Interesse der europäischen Wirtschaft und dürfte auch nicht den Beweggründen des Gesetzgebers bei der der Verabschiedung der DSGVO im Jahr 2016 entsprechen.
Doch es besteht Hoffnung
Zwar werden sich im Zuge der aktuellen Entwicklungen nicht alle bisher dargelegten Probleme lösen lassen, doch nach jahrelangen komplizierten Verhandlungen haben politische Entscheidungsträger auf internationaler Ebene im Dezember zwei wichtige Schritte zur Wiederherstellung der Rechtssicherheit und des Vertrauens im Hinblick auf die transnationale Übertragung personenbezogener Daten unternommen.
Am 13. Dezember 2022 hat die Europäische Kommission (EK) ihren bereits lang erwarteten Entwurf eines Angemessenheitsbeschlusses veröffentlicht. Daraus geht hervor, dass die EU beim Transfer personenbezogener Daten aus ihren Mitgliedsstaaten in die USA im Rahmen des künftigen transatlantischen Datenschutzabkommens (Data Privacy Framework – DPF) einen angemessenen Schutz dieser Daten in den Vereinigten Staaten als gewährleistet ansieht. Zuvor hatte US-Präsident Joe Biden unlängst das Dekret (Executive Order) 14086 erlassen, mit dem die vom EuGH in seinem Schrems II-Urteil aus dem Jahr 2020 aufgeworfenen Bedenken eingegangen wird. Insbesondere wird die Regierung der Vereinigten Staaten den rechtlichen Rahmen für die Massenüberwachung von Ausländern durch heimische Behörden einschränken und in den USA ein unabhängiges Rechtsbehelfsverfahren einrichten, dass es betroffenen Personen aus der EU erlaubt, ihre Datenschutzrechte geltend zu machen. Mit dem Entwurf des Angemessenheitsbeschlusses der EU-Kommission steht der Ratifizierungsprozess, der sich voraussichtlich über etwa vier bis sechs Monate erstrecken wird, zwar noch am Anfang, doch laut Fachleuten stehen die Chancen für eine Verabschiedung der neuen Regelung gut.
Nur einen Tag darauf haben die USA gemeinsam mit den 37 anderen Mitgliedern der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (Organisation for Economic Co-operation and Development – OECD) und der Europäischen Union die erste Vereinbarung ihrer Art zur Stärkung des Vertrauens in internationale Datentransfers zwischen demokratischen und rechtsstaatlichen Systemen verabschiedet. Darin wurden gemeinsame Grundsätze zum Schutz der Privatsphäre und anderer Menschenrechte und Freiheiten in den Fällen definiert, in denen der Staat unter Verweis auf die nationale Sicherheit sowie auf die Durchsetzung von Gesetzen bzw. die Strafverfolgung auf personenbezogene Daten zugreift, die sich in Besitz von natürlichen und juristischen Personen des privaten Rechts befinden. Sofern rechtliche Rahmenvorschriften verlangen, dass Schutzmaßnahmen für internationale Datentransfers getroffen werden, wie dies etwa bei der DSGVO in der EU der Fall ist, haben sich die Unterzeichner darauf geeinigt, „die faktische Implementierung der Grundsätze in einem Bestimmungsland als positiven Beitrag zur Erleichterung internationaler Datentransfers im Rahmen der Anwendung dieser Regeln zu berücksichtigen“. (An dieser Stelle sei angemerkt, dass in der Erklärung der OECD an das gemeinsame Engagement der Mitgliedsstaaten für ein „globales, offenes, zugängliches, vernetztes, interoperables, zuverlässiges und sicheres Interne“, erinnert wird. Dies deckt sich mit dem Ziel von Cloudflare, ein besseres Internet zu schaffen.)
Einem wahrhaft globalen Rahmenwerk für Datenschutz gehört die Zukunft
Das transantlantische Datenschutzabkommen zwischen der EU und den USA sowie die OECD-Erklärung ergänzen sich und stellen jeweils einen wichtigen Schritt zur Wiederherstellung des Vertrauens in den internationalen Datentransfer zwischen Ländern her, die Werte wie Demokratie, Rechtsstaatlichkeit sowie den Schutz von Privatsphäre und anderen Menschenrechten und Freiheiten gemeinsam haben. Allerdings sind beiden Ansätzen Grenzen gesetzt. Das transantlantische Abkommen gilt nur für die Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten. Außerdem lässt sich nicht ausschließen, dass auch diese Übereinkunft in einigen Jahren vom EuGH für ungültig erklärt wird, da Datenschutzaktivisten bereits angekündigt haben, juristisch dagegen vorgehen zu wollen. Die OECD-Erklärung wiederum wird zwar weltweit Anwendung finden, beschränkt sich jedoch auf allgemeine Grundsätze für Staaten, die in der Praxis recht unterschiedlich ausgelegt werden können.
Aus diesen Gründen wird zusätzlich ein solides multilaterales Rahmenwerk mit konkreten Datenschutzvorschriften benötigt, die sich nicht einseitig aushebeln lassen. Eine einzelne weltweit gültige Zertifizierung sollte genügen: So könnten entsprechend zertifizierte Unternehmen weltweit personenbezogene Daten auf sichere Weise an Länder übermitteln, die Mitglieder dieses Systems sind. Äußerst vielversprechend erscheint in dieser Hinsicht die relativ neue Zertifizierung für grenzüberschreitenden Datenschutz (Cross Border Privacy Rules – CBPR), die bereits von mehreren Staaten in Nordamerika und Asien unterstützt wird.
Europäische Entscheidungsträger werden sich überlegen müssen, ob sie den eingeschlagenen Weg fortsetzen wollen, was die Gefahr bergen würde, dass sich Europa als eine Art Dateninsel international isoliert. Die EU könnte ihre Datenschutzvorschriften aber auch so anpassen, dass die vielen auf ihrem Territorium agierenden nationalen und regionalen Datenschutzbehörden diese künftig nicht mehr auf realitätsferne Weise auslegen können. Sie könnte auch dafür sorgen, dass ihre Gesetze auf Grundlage gemeinsamer Werte und gegenseitigen Vertrauens mit einem weltweit geltenden Rahmenwerk für grenzüberschreitende Datenströme kompatibel sind.
Cloudflare wird sich weiterhin aktiv dafür einsetzen, bei Entscheidungsträgern rund um den Globus ein Bewusstsein für die praktischen Herausforderungen zu schaffen, mit denen unsere Branche konfrontiert ist. Außerdem werden wir uns weiter um nachhaltige politische Lösungen für ein offenes und vernetztes Internet bemühen, das besseren Datenschutz und größere Sicherheit bietet.
Der morgige Datenschutztag bietet uns allen eine einzigartige Gelegenheit, die großen Fortschritte zu feiern, die bereits beim Schutz der Online-Privatsphäre der Nutzer erzielt werden konnten. Zugleich sollten wir diesen Tag zum Anlass nehmen, um darüber nachzudenken, wie sich Vorschriften so anpassen oder durchsetzen lassen, dass die Privatsphäre künftig noch besser geschützt werden kann. Dabei sollte man insbesondere auf den Einsatz von Sicherheits- und Datenschutz-begünstigenden Technologien setzen, anstatt Herangehensweisen zu verfolgen, die der Wirtschaft schaden, ohne den Datenschutz substanziell zu stärken.