Am 06. Oktober 2015 fiel das schon lang erwartete Urteil in der Sache Schrems gegen Facebook. Das Urteil wurde bereits vor seiner Verkündung als Grundsatzentscheidung in Sachen Datensicherheit eingeschätzt. Doch ist das Urteil auch wirklich ein Anstoß in Richtung Neuausgestaltung des europäischen Datenschutzes?

Der Datenschutzexpertin Saskia Fritzsche zufolge wird das Urteil zunächst praktische Konsequenzen entfalten. Aber auch Konsequenzen im Zusammenhang mit der Datenschutzgrundverordnung seien zu erwarten. Die Datenschutzgrundverordnung soll den europäischen Datenschutz zugunsten einer besseren Kontrolle der Bürger über ihre personenbezogenen Daten vereinheitlichen. Als Schutzmechanismen sieht die Verordnung das Recht auf Vergessenwerden und das Recht auf Datenportabilität vor. Das Recht auf Vergessenwerden wurde zuletzt mit dem Urteil gegen Google Spain im Jahr 2014 konkretisiert: Der EuGH bestimmte darin das Recht auf Löschung von bestimmten personenbezogenen Daten. Die Datenportabilität beschreibt wiederum das Recht, die eigenen Daten von einem Portal zu einem anderen zu transportieren.

Alternativen zu Safe Harbor gesucht: Die EU-Standardklausel

Doch welche praktischen Konsequenzen sind für den EU-Bürger zu erwarten? Nach Fritzsche ist hier das Schutzniveau bei der laufenden Übermittlung von Daten bedeutend. Als Stichwort fallen die EU-Standardklauseln, die als zukünftige Alternative zu Safe Harbor gelten könnten. Standardklauseln werden dem eigentlichen Vertrag über Dienstleitungen ergänzend zugefügt. Sie sollten ursprünglich ein Schutzniveau in den Fällen gewährleisten, in denen ein Vertrag mit einem Drittland besteht in denen ein Vertrag mit einem Drittland ohne ausreichendes Datenschutzniveau besteht. Das Instrument der Standardverträge wurde 2001 von der Europäischen Kommission entwickelt. Die Standardklauseln sind von den Vertragspartnern einklagbar. So könnten z.B. Personen klagen, wenn der Datenexporteur die Regelungen zur Verarbeitung ihrer übermittelten personenbezogenen Daten verletzt. Damit stellen die Standardklauseln ein geeignetes Instrument dar, um in angemessener Weise den Schutz der eigenen Privatsphäre zu gewährleisten.

Ein anderes Instrument sind die Binding Corporate Rules (BCR). Unter den BCR werden rechtlich verbindliche Unternehmensregelungen verstanden. Sie regeln den Umgang mit personenbezogenen Daten in Drittländern wie den USA. Die Sicherheitsstandards werden dabei von den jeweiligen nationalen Datenschutzbehörden bestimmt. Microsoft als prominentes Großunternehmen wendet die BCR bereits an.

Alternativen, ja –Effektivität, …?

Beiden Instrumenten ist eins gemein. Sie sollen Sicherheit und Transparenz im Umgang mit personenbezogenen Daten gewährleisten. Fraglich ist, ob sie diesem Anspruch auch gerecht werden, wie sich jetzt im Urteil Schrems zeigte. Das grundlegende Problem ist die mangelnde Durchsetzungsfähigkeit, da sie für Unternehmen nicht verpflichtend sind. Ob und inwiefern die Unternehmen von ihnen Gebrauch machen wollen, steht weitestgehend in ihrem Ermessen.

Dem schließt sich die Frage nach der Qualität des Schutzniveaus an. Die Frage stellt sich vor allem bei ihrer Gegenüberstellung mit Safe Harbor. Das Begriffspaar „angemessenes Schutzniveau“ bleibt dabei auch im Urteil Schrems weitestgehend unbestimmt. Generalanwalt Bot führte dazu in seinem Schlussantrag aus, dass der Begriff voraussetzt, dass ein Schutzniveau besteht, dass die europäischen Freiheiten und Grundrechte gewährleistet. Als Maßstab gilt das in den EU-Verträgen und der Grundrechte Charta garantierte Niveau.

Unternehmen: Schutzniveau und Umgang mit personenbezogenen Daten

Wird das geforderte Schutzniveau nicht eingehalten, sind nationale Behörden fortan zur Anzeige verpflichtet. Das wirkt sich unmittelbar auf den Umgang der Unternehmen mit personenbezogenen Daten aus. Sie müssen das Einverständnis zur Datenübermittlung mit den Kunden neu regeln. Möglich ist das sowohl auf gesetzlichem wie auch privat-autonomem Weg. Als Problem stellt sich in beiden Fällen der Aspekt der Geheimhaltung, so Fritzsch.

Die Geheimhaltungspflicht bezieht sich unmittelbar auf den Schutz der Daten. Dabei stellt sich die Frage, wie transparent ein Unternehmen mit dem Thema Datenschutz umgeht. Wie Fritzsche betont, müssen an dieser Stelle vor allem politische Lösungen implementiert werden. Im Fokus müsse dabei der Bürger und der für ihn nachvollziehbare Umgang mit seinen Daten stehen. Als Säule dienen dabei die Grundrechte – auf die sich der EuGH in seinem Urteil unmittelbar bezog. Allen voran Art. 7 und Art. 8 EU-GrCH, die Achtung des Privatlebens und der Schutz personenbezogener Daten. Die Union bekennt sich mit seinem Urteil unmissverständlich zu dem Datenschutz als EU-Grundrecht.

Europäischer Grundrechtsschutz: Chance und Herausforderung

Soll das Grundrecht nicht nur eine leere Phrase sein, gilt es den europäischen Datenschutz anders zu begreifen. Die Chance dazu bietet das Urteil Schrems. Wichtig ist, die Ausgestaltung des Rechts nicht wirtschaftlichen Erwägungen zu unterordnen. Eine entscheidende Frage ist, welche personenbezogene Daten warum gespeichert werden. Das muss für den Nutzer nachvollziehbar geregelt sein. Datenschutzexpertin Fritzsche sieht hier eine reale Gefahr der mitunter diskriminierenden Wirkung der massenhaften Speicherung von Daten. Wie Fritzsche ausführt, sei für die Nutzer weder transparent nach welchen Kriterien die Daten ausgewertet werden, noch könnten diese beeinflusst werden.

Wird nun ein ernsthafter Versuch zur Neuausgestaltung des europäischen Datenschutzes vorgenommen? Wenn ja, dann gelte es nach Fritzsche zwischen persönlichen und unpersönlichen Daten zu unterscheiden. Vor allem persönlichen Daten fordern die Einhaltung des von dem EuGH geforderten hohen Schutzniveaus. Der Ausgangspunkt muss dabei klar sein: Datenverarbeitungssysteme auf Unternehmensseite sind den europäischen Grundrechtsstandard unterworfen. Spielräume zur rechtlichen Ausgestaltung dieses Standards sind der Nährboden für hoffentlich ergiebige zukünftige Diskussion und mehr noch: Lösungen.

Bild: tammylo (CC BY-NC 2.0)

CC-BY-SA