Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

1. Fragestellung

 Am 14.07.2014 startete die 6. Verhandlungsrunde zum Freihandelsabkommen zwischen den USA und der Europäischen Union (EU) – der „Trans-Atlantic Trade and Investment Partnership“ (TTIP). In den öffentlichen Diskussionen wird von Nicht-Regierungsorganisationen (NGOs) und sonstigen Kritikern vorgebracht, ein solches Abkommen werde zu massiven Einschränkungen bei digitalen Grundrechten, insbesondere beim Grundrecht auf Datenschutz in Europa führen.[1]

Von offizieller Seite wurde und wird immer wieder zum Ausdruck gebracht, die EU werde beim Datenschutz nicht zulassen, dass Standards abgesenkt werden.[2] Bundeswirtschaftsminister Sigmar Gabriel macht sich für ein Freihandelsabkommen stark und erklärt, es sei eine Voraussetzung, dass keine „Datenschutzrechte“ eingeschränkt würden.[3] Die EU-Kommission beteuert immer wieder öffentlich, dass sie kein Mandat hat, über den Datenschutz zu verhandeln. Sie verweist auf die Ausnahmeklausel des Art. XIV des GATS-Abkommens der Welthandelsorganisation WTO, wonach Datenschutzregeln nicht als Handelshemmnis bewertet werden dürfen. Wie realistisch die Unberührtheit des Datenschutzes von TTIP ist, wurde von offizieller Seite bisher nicht qualifiziert begründet dargelegt.

Im Folgenden wird untersucht, inwieweit es Hinweise gibt, dass durch ein Freihandelsabkommen der Datenschutzstandard in Deutschland und Europa abgesenkt wird, inwieweit eine Festlegung eines einheitlichen Datenschutzniveaus zwischen den USA und der EU realistisch ist und welche Konsequenzen zu ziehen sind.

 

2. Datenschutz contra freier Handel

Datenaustausch hat in einer globalisierten Informationsgesellschaft eine zunehmende wirtschaftliche Bedeutung bekommen; diese Bedeutung wird weiter zunehmen. Daher spielt das Ziel des freien Datenflusses zwecks Abbaus von Handelshemmnissen bei internationalen Abkommen schon seit Jahren eine zentrale Rolle. Dabei wurde jedoch immer das weitere Ziel verfolgt, den freien Datenfluss von der Gewährleistung eines angemessenen Datenschutzniveaus abhängig zu machen.

Auf diesem Gedanken basiert die Konvention des Europarates zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten von 1981, die 1983 in Kraft trat. Die Konvention beinhaltet bestimmte elementare Datenschutzprinzipien, die in innerstaatliches Recht umzusetzen sind, darunter den Grundsatz der Datenverarbeitung nach Treu und Glauben, den Zweckbindungsgrundsatz, das Erforderlichkeitsprinzip, die unabhängige Kontrolle sowie den Informationsanspruch des Betroffenen.[4]

Auf diesem Gedanken basiert auch die EU-Datenschutzrichtlinie von 1995 (EU-DSRL) mit einer erheblich höheren rechtlichen Verbindlichkeit für die EU-Mitgliedsstaaten.[5]

Nachdem das Bundesverfassungsgericht im Jahr 1983 in seinem Volkszählungsurteil Datenschutz als Grundrecht anerkannt hat, erfolgte 2009 durch die Aufnahme dieses Rechts in Art. 8 Europäische Grundrechte-Charta dessen europaweite explizite Normierung.[6]

Die Intention, einen Ausgleich zwischen Datenschutz und freiem Handel zu schaffen, wurde auch mit dem Safe-Harbor-Beschluss der EU-Kommission aus dem Jahr 2000 angestrebt. Tatsächlich konnte aber mit Safe Harbor in den USA keine Sicherstellung der inzwischen international anerkannten Datenschutzgrundsätze erreicht werden. Auswirkungen auf die nationale Datenschutzgesetzgebung der USA sind nicht feststellbar. Insbesondere die großen US-Firmen nutzen das Abkommen mit dem Ziel, eine europarechtliche Legitimation für die Verarbeitung europäischer Daten in den USA zu erlangen, die faktisch in vielerlei Hinsicht gegen deutsche und europäische Grundrechte verstößt.[7]

Eine wirksame Implementierung in den USA erfolgte nicht. Die Verwirklichung der Grundsätze von Safe Harbor und deren Durchsetzung von Europa aus wird durch folgende Umstände verhindert:

• Vertragssprache ist ausschließlich Englisch, das von den Betroffenen wie von europäischen Aufsichtsbehörden oft nicht so beherrscht wird, dass eine qualifizierte juristische Auseinandersetzung möglich wäre.
• Der Verifikationsprozess der Selbst-Zertifizierung ist derart intransparent und unqualifiziert, dass eine Überprüfung durch Betroffene, Aufsichtsbehörden und europäische Unternehmen nicht gewährleistet werden kann.
• Die für die Überwachung des Abkommens zuständige Federal Trade Commission (FTC) verfolgte Beschwerden nur mit begrenztem Interesse und teilweise überhaupt nicht[8]; Sanktionierungen von Verstößen sind die große Ausnahme.

Unabhängig von den Bestrebungen der Safe-Harbor-zertifizierten Unternehmen erweist sich die Gesetzgebung in den USA als nicht geeignet, rechtliche Rahmenbedingungen zu schaffen, in denen die in den „sicheren Hafen“ gelangten Daten weiterhin einem akzeptablen Schutzniveau unterliegen. Dies gilt insbesondere, aber nicht nur für die Sicherheitsgesetzgebung, die Datenschutzerwägungen beim Zugriff auf fremde Daten nicht kennt (Patriot Act, Foreign Intelligence Surveillance Act, „Bank-of-Nova-Scotia-Subpoena“-Maßnahme).[9] Dies wurde erst jüngst wieder durch ein Urteil des U.S. District Court vom 25.04.2014 bestätigt, der Datenschutz für ausländische Kunden US-amerikanischer Firmen grundsätzlich in Frage stellt. Diese Firmen müssen US-Behörden auch dann vollen Zugriff auf Daten ihrer Kunden verschaffen, wenn sich die betroffenen Rechenzentren außerhalb der USA befinden.[10]

Anders als das europäische, kennt das US-amerikanische Recht keinen konsistenten Datenschutz. So ist ein Grundrecht auf Datenschutz von der herrschenden Meinung in Politik, Rechtsprechung und Literatur nicht anerkannt. Unabhängig davon ist auch keine Grundrechtsbindung von Privaten anerkannt. Dies hat zur Folge, dass fundamentale Datenschutz-Grundsätze in den USA nicht oder nur begrenzt durchgesetzt werden können:

• Datenerhebung beim Betroffenen
• Zweckbindung
• Gesetzesvorbehalt im öffentlichen wie im nicht-öffentlichen Bereich
• Auskunftsanspruch sowie weitere Betroffenenrechte inkl. Rechtsschutz
• unabhängige Kontrolle[11]

Generell muss festgestellt werden, dass das Datenschutzniveau in den USA nicht ansatzweise den deutschen und europäischen verfassungsrechtlichen Anforderungen genügt[12] und daher ein berechtigtes Handelshemmnis darstellen kann.

 

3.    CETA und TISA

Die Verhandlungen zu TTIP stehen inhaltlich in einem engen Zusammenhang mit vergleichbaren Abkommen zur Förderung des freien Handels. Ein solches Abkommen wurde im August 2014 zwischen der EU und Kanada unter dem Namen „Comprehensive and Economic Trade Agreement (CETA) finalisiert. Der Textentwurf von CETA umfasst viele hundert Seiten. CETA gilt als Test für TTIP. Die deutsche Bundesregierung äußerte Vorbehalte gegen dieses fertig verhandelte Abkommen.[13]

Im CETA-Text ist das Thema Datenschutz z. B. in Bezug auf Telekommunikationsdienste sowie öffentliche Netzdienste wie folgt adressiert:

„Further to Article X (Exceptions – General Exceptions), and notwithstanding the paragraph 3, a Party shall take appropriate measures to protect:

1. the security and confidentiality of telecommunications services, or
2. the privacy of users of public telecommunications transport services, subject to the requirement that such measures are not applied in a manner which would constitute a means of arbitrary or unjustifiable discrimination or a disguised restriction on trade.“ (Artikel X.2 Abs. 4)

(Übersetzt: „Ergänzend zu Artikel X (Ausnahmen – allgemeine Ausnahmen) und ungeachtet von Absatz 3 ergreift jede Vertragspartei angemessene Maßnahmen zum Schutz

1. der Sicherheit und der Vertraulichkeit von Telekommunikationsdiensten oder
2. der Privatheit der Nutzenden von öffentlichen Telekommunikationsnetzdiensten unter der Voraussetzung, dass derartige Maßnahmen nicht in einer Weise angewendet werden, die eine Form willkürlicher oder ungerechtfertigter Diskriminierung oder eine verdeckte Handelseinschränkung darstellen würde.“)[14]

 

Kanadas Datenschutzregelungen wurden von der EU-Kommission als gleichwertig im Sinne von Art. 25 Abs. 2 EU-DSRL anerkannt.[15] Dessen ungeachtet sind die CETA-Regeln geeignet, die ansonsten in der EU geltenden Datenschutzregeln in Frage zu stellen bzw. einzuschränken.[16]

Parallel zu TTIP finden Gespräche zwischen 50 Partnern, einschließlich der USA und der EU, zu einem Trade in Services Agreement (TISA) statt. Hierbei geht es u. a. um elektronischen Handel und Telekommunikationsdienste sowie um Finanzdienstleistungen. Im April 2014 legten die USA in diesem Zusammenhang einen Verhandlungsvorschlag vor, der die Beteiligten zum freien Datenfluss bei Dienstleistungen in allen Sektoren verpflichten würde. Bei grenzüberschreitenden Diensten würde damit ausgeschlossen, vor Ort eine lokale Niederlassung zu verlangen.[17]

Ähnlich wie bei TTIP vertritt die Bundesregierung in Beantwortung einer parlamentarischen Anfrage die Ansicht, beim TISA-Abkommen dürften „die in Deutschland und in der EU geltenden Datenschutzvorschriften nicht beeinträchtigt werden“. Sie verweist insofern auf das GATS-Abkommen. Die EU-Textvorschläge würden „in Artikel 1-9 c (ii) die übliche Ausnahme zum Datenschutz, die Artikel XIV c (ii) GATS“ nachbilden. Die Antwort geht aber nicht darauf ein, dass gemäß öffentlich gewordenen vertraulichen Unterlagen in Bezug auf TISA die USA z. B. für Finanzkonzerne und Banken fordern, Informationen ungehindert von einem Land in andere übertragen zu dürfen.[18]

 

4. Erwartungen von Wirtschaft und Administration an TTIP

Es ist die offensichtliche Erwartung sowohl der US-Administration als auch der US-Unternehmen, dass datenschutzrechtliche Handelsbeschränkungen im Freihandelsabkommen mitreguliert werden. Aus Unterlagen, die von der Nichtregierungsorganisation „Corporate Europe Observatory“ auf der Grundlage von Informationsfreiheitsregeln von der EU-Kommission erlangt wurden, ergibt sich, dass auch europäische Unternehmen von TTIP Klarstellungen zum Datenschutz erwarten.[19] Google und Microsoft wiesen anlässlich eines Besuchs eines hohen EU-Kommissionsvertreters in Washington im April 2013 auf eine neue ECIPE-Studie hin und betonten die Wichtigkeit dieses Themas für TTIP. Die US Chamber of Commerce betonte zugleich ihr großes Interesse, den grenzüberschreitenden Datenfluss in TTIP zu adressieren.[20] Es geht um zwei Fragestellungen: Zum einen sollen Datenströme zwischen der EU und den USA durch einschränkende Regelungen zum elektronischen grenzüberschreitenden Datenverkehr nicht behindert werden. Zum anderen soll eine Lokalisierung (im Sinne einer Ortsbindung) bei der Datenverarbeitung verhindert werden, wie sie nach den Snowden-Enthüllungen z. B. mit den Schlagworten Euro-Cloud und Schengen-Routing neue Popularität gewonnen hat.[21]

In Empfehlungen der „Business Coalition for Transatlantic Trade“ (BCTT) zum transatlantischen Handel und zur Investment-Partnerschaft von Juli 2013 heißt es, TTIP solle einen verbindlichen Rahmen schaffen, um transatlantischen digitalen Handel zu fördern. Grenzüberschreitende Datenflüsse sollten durch rechtliche Kompatibilität erleichtert werden, um Cloud Computing und informationstechnische Dienste anzukurbeln und regional erzwungene Anforderungen zu verhindern. Ziel der TTIP-Verhandlungen müsse es sein, einen Rahmen zu schaffen, der Flexibilität beim Datenschutz und die Fortsetzung der Sicherheitszusammenarbeit ermöglicht.[22]

In einem Schreiben von BusinessEurope und der US-Handelskammer an die Europäische Kommission wird darauf hingewiesen, dass diese Einrichtungen die Interessen von Millionen von Unternehmen, groß und klein, aus allen Sektoren und Regionen in der EU und in den USA, vertreten.[23] Danach müssten der Handel von Waren und Dienstleistungen, der Schutz von Urheberrechten und regulatorische Themen von dem Abkommen abgedeckt werden. Hierzu zählen die Verfasser insbesondere die „Erleichterung von grenzüberschreitenden Dienstleistungen und der dafür nötigen Datenflüsse“. Es bedürfe einer regulatorischen Kooperation, „um einen Mechanismus zu etablieren, der es den Kontrollstellen in Europa und in den USA erlaubt, unter Anhörung ihrer politischen Aufsichtsgremien zu erkennen, dass sie miteinander in Einklang zu bringende Regelungsansätze haben und daher in ihrem Markt Waren und Dienstleistungen zuzulassen, deren Veräußerung in dem jeweils anderen Markt genehmigt ist.“

Während das Thema „Datenschutz“ in der Vorlage nicht erwähnt wird, wird gefordert, dass „unsere Bemühungen zum Schutz des globalen Systems von Urheberrechten gestärkt werden und die effektive Durchsetzung des Urheberrechtsschutzes in Drittländern gefördert wird“. Insofern wie auch bei der Regulierung von Informations- und Kommunikationstechnologien werden Rechtsstaatlichkeit und Deregulierung der Märkte zwanglos nebeneinandergestellt. Weitere markante Zitate: „Vermeintliche Unterschiede im Hinblick auf die Struktur des Grundansatzes sollten nicht den Beginn der Verhandlungen aufhalten dürfen. … Um grenzüberschreitenden Handel im Bereich der Dienstleistungen weiter zu fördern, müssen wir die Reisefreiheit von Dienstleistungskonsumenten wie -anbietern liberalisieren; aber noch wichtiger wird es sein, die weiteren grenzüberschreitenden Datenflüsse von Diensteanbietern zu erleichtern. … Fast die Hälfte der globalen grenzüberschreitenden Dienstleistungen wird erst durch die Informations- und Kommunikationstechnologien (IKT) ermöglicht. Dies schließt nicht nur Datenverarbeitung, Verwaltung, Telekommunikation, Computer- und verbundene Dienste mit ein, sondern auch eine große Vielfalt weiterer Dienste. So werden heute durch IKT zum Beispiel Finanzanalysen, Versorgungsketten und Logistikdienste … das Geltendmachen von Versicherungsleistungen, Ausbildung, das Verlagswesen, medizinische Dienste und verschiedene berufliche und Beratungsdienste möglich. …“

(Zu nationalen Regelungsansätzen: ) „Jede USA-EU-Vereinbarung sollte sicherstellen, dass solche Anforderungen transparent, objektiv und nicht belastender für die Anbieter der anderen Seite als notwendig sind, um das Regulierungsziel zu erreichen. Die Notwendigkeit solcher Anforderungen sollte nach Kriterien ähnlich denen überprüft werden, die 1998 in die WTO GATS-Rechenschaftsregeln eingeführt wurden.“

„Wie schon in unserer vorangegangenen Vorlage dargelegt wurde, muss der Datenaustausch, wie er zur Bereitstellung dieser Dienste gehört, ungehindert stattfinden können, so wie dies heute der Fall ist. Wir sollten in der Lage sein, die liberalsten Ansätze beim Online-Handel zusammenzuführen zu Themen wie elektronische Signaturen und Vertrauen, und wir müssen um jeden Preis verhindern, dass dies unterlaufen wird durch unnötig strenge und abweichende Ansätze in Bezug auf Privatheit, Datenaufbewahrung, Schutz von Daten sowie auf Standortanforderungen. Um den transatlantischen Online-Handel auszudehnen, sollten Verbraucherschutzstellen in den USA und der EU zum Verbessern der Kooperation ermuntert werden, um Wege zur Anpassung von Datenflüssen zu finden, die für tägliche Geschäftsaktivitäten sowie für den Schutz von Verbrauchern und Sicherheit nötig sind.…“

„Das Herzstück jedes umfassenden Pakets zur Liberalisierung des transatlantischen Handels und zur Investition muss ein robuster Mechanismus zur Förderung regulatorischer Kooperation sein.“ Es gehe um „vergleichbar hohe Standards beim Schutz für Verbraucher, Investoren und Umwelt.“

In einem gemeinsamen Lobbypapier der „Coalition of Services Industries“ (CSI/USA) und des „European Services Forum“ (ESF/EU) wird darauf hingewiesen, dass der transatlantische Handel mit Dienstleistungen im Jahr 2012 einen Umfang von 312 Mrd. US-Dollar ausmachte. In der EU machte dieser Austausch mit den USA 24,9 % des globalen Aufkommens aus, in den USA waren es im Gegenzug mit der EU gar 30,8 %. Der Gesamtanteil der Dienstleistungen am Gesamthandelsaufkommen wird in der EU mit 36 % und in den USA mit 41 % angegeben. CSI und ESF fordert gemeinsam den Abbau von Handelshindernissen. Dies gelte insbesondere für den grenzüberschreitenden wirtschaftlichen Datenfluss, der das Rückgrat der digitalen Wirtschaft sei, für Dienstleistungen generell und Finanzdienstleistungen im Besonderen. Es dürfe insofern keine Ausnahme geben. Hinsichtlich der Regulierung müsse es eine Kooperation und eine Koordination zwischen den USA und der EU geben.[24]

Der enge Bezug zwischen Freihandel und Datenschutz wird von der Wirtschaft klar erkannt. Hierfür wurden sogar neue Lobbyverbände gegründet, z. B. die von der US-Großkanzlei Hogan Lovells koordinierte „Coalition for Privacy and Free Trade“, die für „Interoperabilität“ zwischen den europäischen und amerikanischen Regeln zum Datenschutz wirbt.[25]

 

5. Der Entwurf eines Abkommens

Bisher ist nur ein Entwurf des TTIP-Abkommens vom 02.07.2013 öffentlich verfügbar. Auf diesen Text wird im Folgenden Bezug genommen.

In den Art. 19 ff. wird das grenzüberschreitende Erbringen von Dienstleistungen geregelt. Nach Art. 19 Abs. 2 werden Rundfunkdienste („audio-visual services“) ausgeschlossen. In diesem Zusammenhang muss darauf hingewiesen werden, dass angesichts der Internettechnologie die Unterscheidung zwischen Rundfunk- und Mediendiensten immer schwieriger wird.

Der regulatorische Rahmen von TTIP wird in den Art. 29 festgelegt. Davon betroffen sein soll nach Art. 29 Abs. 1 lit. a die grenzüberschreitende Angebot von Dienstleistungen. Lizenz- und Qualifikationsanforderungen müssen nach Art. 30 Abs. 2 lit. a „verhältnismäßig im Hinblick auf ein legitimes öffentliches politisches Ziel“ sein. Nach Art. 30 Abs. 4 S. 1 hat jedes Unternehmen ein Recht auf „umgehende Prüfung, und soweit gerechtfertigt, angemessene Rechtsmittel zu Niederlassungen, grenzüberschreitende Angebote von Dienstleistungen … betreffende Verwaltungsentscheidungen“. Bei den legitimen öffentlichen politischen Zielsetzungen werden in Art. 30 Abs. 6 benannt: Gesundheit, Sicherheit, Umweltschutz und die Wahrung des Kulturerbes, nicht aber der digitale Grundrechtsschutz generell oder das Recht auf informationelle Selbstbestimmung oder der Datenschutz im Speziellen.

Gemäß Art. 31 Abs. 4 S. 2 werden Verwaltungsbehörden verpflichtet, über Anträge ohne „übermäßige Verzögerung“ zu entscheiden. Nach Abs. 5-9 sind Entscheidungen „innerhalb eines verhältnismäßigen Zeitrahmens“ nach Antragstellung zu treffen und in Kraft zu setzen.

In Art. 32 werden gegenseitige Anerkennungen geregelt. Werden nach Art. 33 von Verwaltungsseite Informationen gefordert, so dürfen diese nach Abs. 2 nicht zur Beschaffung von „vertraulichen Informationen“ dienen, die u. a. „legitimen kommerziellen Interessen von bestimmten Unternehmen, privat oder öffentlich“ schaden würden.

In den Art. 34 ff. werden „Computerdienste“ normiert. Dabei soll es sich gem. CPC 84 der UN u. a. handeln um: Computerprogramme, Datenverarbeitung und -speicherung, damit verbundene Dienste wie z. B. Beratung und Ausbildung, „Dienste wie das Web- oder Domain-Hosting, Data Mining oder Grid-Computing, die jeweils aus einer Kombination von grundlegenden Funktionen von Computerdiensten bestehen“ (Art. 34 Abs. 2 S. 3). Diese Dienste werden in Art. 34 Abs. 3, 4 weiter präzisiert und beziehen praktisch sämtliche personenbezogenen kommerziellen Datenverarbeitungen mit ein.

Art. 36 verbietet im Post- und Telekommunikationssektor wettbewerbsbehindernde Praktiken. In den Art. 40 ff. werden Netze und Dienste der elektronischen Kommunikation geregelt. In Art. 47 ist die Zusicherung der Übertragbarkeit von Kommunikationsnummern (Number Portability) vorgesehen. Art. 48 gewährt zwar kein Grundrecht auf ein Telekommunikationsgeheimnis, wohl aber die „Vertraulichkeit von Information“: „Jeder Vertragspartner gewährleistet die Vertraulichkeit elektronischer Kommunikation und damit verbundener Verkehrsdaten mit den Mitteln eines öffentlichen elektronischen Kommunikationsnetzwerkes und öffentlich verfügbaren elektronischen Kommunikationsdiensten, ohne den Handel mit Dienstleistungen zu beschränken.“

Die Art. 51 ff. regulieren Finanzdienstleistungen. In Art. 56 wird der freie Datenverkehr von Finanzdienstleistern gewährleistet. In Abs. 2 heißt es dann: „Jede Vertragspartei setzt angemessene Sicherungen fest zum Schutz der Privatheit, der Grundrechte und der individuellen Freiheiten, insbesondere im Hinblick auf die Übermittlung persönlicher Daten.“ In Art. 58 werden Selbstregulierungsmechanismen der Wirtschaft zugelassen.

In den Art. 62 f. wird der Online-Handel reguliert. Als relevante Aspekte werden insofern in Art. 63 Abs. 1 der Verbraucherschutz und die Behandlung unerwünschter Werbung erwähnt, nicht aber explizit der Datenschutz.

In Art. 64 werden allgemeine Ausnahmen von der Anwendbarkeit des TTIP erwähnt, zu denen der Schutz der öffentlichen Sicherheit und Moral, der Gesundheit, der Ressourcen und vor Betrug gehören sowie auch „der Schutz der Privatheit von Individuen im Hinblick auf die Verarbeitung und Verbreitung von persönlichen Daten und den Schutz der Vertraulichkeit von individuellen Dateien und Konten“.

Der bisher verfügbare Text des TTIP enthält also in einigen wenigen Regulierungen Hinweise auf den Datenschutz. Über die Erwähnung des allgemeinen Schutzzieles gehen diese aber nicht hinaus. Angesichts des Umstandes, dass die herrschende Praxis in den USA unter „Datenschutz“ etwas völlig anderes versteht, kann dies nicht beruhigen. Die Vertragsbestimmungen begründen ausschließlich Befugnisse zur Datenverarbeitung und -übermittlung, nennen aber keinerlei Konkretisierungen, die europäischem Grundrechtsschutz auch nur ansatzweise entsprechen (Auskunftsrecht und sonstige Betroffenenrechte, Rechtsschutz, Zweckbindung, unabhängige Aufsicht, Festlegung von Schutzzielen, s. o. 2.).

 

6. Verhandlungsstand

Bislang liegt öffentlich kein aktuellerer Vertragsentwurf vor. Wegen der Geheimhaltung der Verhandlungen kann die Diskussion hierzu auch nicht nachvollzogen werden. Aus demokratischer Sicht eher problematisch ist, dass Wirtschaftsinteressen in die Verhandlungen direkt einfließen. So liest sich z. B. die Teilnehmerliste eines Treffens zu TTIP mit der EU-Kommission wie das Who is who der IT-Wirtschaft: ESF, BT Group, IBM, France Telecom, Inmersat, SES, Nokia, Ericsson, Deutsche Telekom, Telefónica, Etno, Vodafone, DigitalEurope, Telenor. Nicht bzw. nur indirekt konnten bisher die Interessen von Nichtregierungsorganisationen, von Verbraucherverbänden oder von Datenschutzbehörden eingebracht werden. Letztere wurden bisher noch nicht einmal – trotz der offensichtlichen Relevanz – über den Umstand der Vertragsverhandlungen offiziell informiert.

Einen gewissen Einblick gewähren geleakte – als vertraulich klassifizierte – Dokumente aus der 5. Verhandlungsrunde vom 19. bis 23.05.2014.[26]

Explizite Aussagen zum Datenschutz enthalten die Dokumente gemäß der Vorgabe, dass sie kein Verhandlungsgegenstand sind, nicht. Auch die zwangsläufige Verknüpfung des Freihandels mit Informationsdiensten und des Datenschutzes wird an keiner Stelle explizit erwähnt. Deshalb muss sich die Darstellung auf Indizien in den Dokumenten beschränken, die Rückschlüsse ermöglichen.

Hinsichtlich Geo-Indikatoren hat die EU auf rechtliche Restriktionen hingewiesen, die von der US-Seite zurückgewiesen wurden.[27] Der Zugang zum Internet für Dienstleister wurde erörtert. Bezüglich des insofern nötigen Verbraucherschutzes vereinbarten die Parteien, „sich gegenseitig über deren jeweiliges rechtliches System Informationen zuzusenden. Die Parteien diskutierten Möglichkeiten zur Verhinderung von Diskriminierungen bei digitalen Übermittlungen, ohne eine ´dritte Kategorie` von digitalen Produkten einführen zu müssen, die zwischen Dienstleistungen und Waren einzuordnen wäre“.[28] „Über Telekommunikationsdienste führten die Parteien fruchtbare Diskussionen insbesondere über die Reichweite, Zulassungsverfahren, ausländische Angleichungsregeln und ´besonderen Zugang` zu Netzwerken und Netzwerk-Einrichtungen. Es wurden Fortschritte gemacht bzgl. eines gemeinsamen Verständnisses über die Reichweite und über eine Regelung zu Zulassungsverfahren“.[29] An audiovisuellen Dienstleistungen bekräftigten die USA ihr besonderes Interesse und die EU verwies insofern auf ihr beschränktes Verhandlungsmandat, bot aber weitere Informationen über den Stand der Anforderungen und deren Umsetzung an.[30]

Über die Pharmaüberwachung tauschte man sich aus. Die USA bekräftigten ihren Wunsch nach einem starken Urheberrechtsschutz im Chemiebereich.[31] Über die Veröffentlichung von Daten aus klinischen Studien wurden die Sachstände ausgetauscht, bei der Erarbeitung von Regeln in der EU werde die Wirtschaft zu Kommentaren eingeladen.[32]

„Die EU und die USA diskutierten über eHealth, Verschlüsselung, elektronische Zugangsmöglichkeiten, Rechtsdurchsetzung und elektronische Kennzeichnung; beide Parteien stimmten darin überein, dass eine Zusammenarbeit in diesen Sektoren von gegenseitigem Interesse ist“.[33] Dabei geht es nach US-Sicht um Fortschritte bei der Interoperationalität von Gesundheitsakten. Bei der Verschlüsselungstechnologie würden die USA gerne ihr System der Entwicklungsakkreditierung und das Festlegen eines ´goldenen Standards` umgesetzt sehen.[34]

Die Datenanforderungen beim Handel sollen nach dem Wunsch der EU untereinander angenähert werden.[35] Public Private Partnerships können aus EU-Sicht vereinheitlicht werden.[36]

Innerhalb der EU setzt sich insbesondere Schweden dafür ein, im Rahmen von TTIP Erleichterungen beim Datentransfer festzuschreiben. Hierzu hat die Nationale Außenhandelsagentur Schwedens eine Studie veröffentlicht.[37]

Die Strategie der Bundesregierung scheint zu sein, die bestehenden grundlegenden Unterschiede in den Rechtssystemen im Datenschutz bei den Verhandlungen überhaupt nicht zu thematisieren. Fragen des transatlantischen Datenschutzes sollten außerhalb der TTIP-Verhandlungen geklärt werden, z. B. in der EU-US Ad hoc working group on data protection oder bei der Überarbeitung der Safe-Harbor-Entscheidung. Dies scheint auch der von der EU-Kommission bisher verfolgte Ansatz zu sein.

 

7. Die aktuelle Unmöglichkeit der Zielerreichung im Bereich der personenbezogenen IT-Dienste und ähnlicher Dienstleistungen

Um eine Einigung zwischen den USA und der EU hinsichtlich des Datenschutzes beim TTIP zu erreichen, gibt es drei Alternativen: Die Anpassung an die jeweils andere Seite oder die Suche nach gemeinsamen (Minimal-) Standards. Eine Anpassung des europäischen Datenschutzrechts an die US-Standards ist aus verfassungsrechtlichen Gründen nicht möglich. Während in den USA weder ein datenschutzrechtlicher Grundrechtsschutz anerkannt ist und ein solcher keine Drittwirkung auf Privatunternehmen entfaltet, gehören diese Grundsätze zum Kernbestand des deutschen und europäischen Verfassungsrechts. Das BVerfG hat festgestellt, dass es zur „verfassungsrechtlichen Identität der Bundesrepublik Deutschland“ gehört, „dass die Freiheitswahrnehmung der Bürger nicht total erfasst und registriert werden darf“.[38]

Der Europäische Gerichtshof (EuGH) hat in seiner Vorratsdatenentscheidung als Anforderung des Art. 8 Europäische Grundrechte-Charta festgehalten, dass „vollumfänglich gewährleistet“ werden muss, dass die Einhaltung der „Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird. Eine solche Überwachung auf der Grundlage des Unionsrecht ist … ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten“.[39] In den USA besteht keine derartige unabhängige Stelle zur Sicherung des Datenschutzes.

Wegen dieser antagonistischen Ansätze beim Datenschutz bleiben derzeit nur zwei Möglichkeiten: Entweder die USA erkennen den europäischen digitalen Grundrechtsschutz an, oder es kann insofern keinen transatlantischen Freihandel geben.

Bei einer Anhörung der grünen Fraktion im Europaparlament am 05.03.2014 gab ein Vertreter der EU-Kommission bekannt, die USA hätten einen Entwurf zu elektronischem Handel für das Freihandelsabkommen eingebracht. Datenströme zwischen EU und den USA sollen auf Wunsch der USA nach Vorbild eines Abkommens mit Südkorea geregelt werden. Dort müssen Unternehmen sich keine Erlaubnis mehr holen, um sensible Daten in Übersee verarbeiten zu dürfen. Mitgliedsstaaten kann nach einem derartigen Modell auch untersagt werden, Unternehmen dazu zu verpflichten, sensible Daten auf europäischen Servern zu speichern.[40]

Die US-Administration reagierte auf das Einbringen eines Entwurfs für eine Europäische Datenschutz-Grundverordnung durch die EU-Kommission im Jahr 2012 mit dem Vorschlag eines unverbindlichen Verbraucherdatenschutzkanons, der europäischen Datenschutz-Grundprinzipien nicht einmal im Ansatz entspricht.[41] Seitdem waren insofern keine weiteren Regierungsaktivitäten festzustellen. Zugleich versucht die US-Lobby aus Unternehmen und Administration, eine Einigung auf eine Europäische Datenschutz-Grundverordnung zu verhindern.[42]

Auf die daten- und verbraucherschutzrechtlichen Bedenken im Hinblick auf die Praxis der National Security Agency (NSA) zur Beobachtung des internationalen Telekommunikations- und Internetverkehrs gab es trotz einer über einjährigen erhitzten Diskussion mit den US-Partnern noch nicht einmal ein Verständnis für das europäische Anliegen, geschweige denn das Eingehen auf grundlegende verfassungsrechtliche Erfordernisse. Kennzeichnend für die US-amerikanische Ignoranz im Hinblick auf den Datenschutz war ein Vortrag des US-Handelsvertreters Michael Froman zum TTIP im Februar 2014, wo er die Bedeutung des „freien Datenflusses“ betonte und vor zunehmendem „Datennationalismus“ warnte. Ein „freies Internet“ sei in der Handelspolitik der Obama-Regierung sehr wichtig.[43]

Auch nach der Intensivierung des transatlantischen Datenschutzdialogs wegen der Enthüllungen von Edward Snowden sind keine optimistischeren Prognosen angesagt. Zwar erklärte sich US-Justizminister Eric Holder im Juni 2014 bereit, EU-Bürgern das Recht einzuräumen, in den USA gegen Datenschutzverletzungen zu klagen. Man werde auf entsprechende Gesetze hinarbeiten. Um mehr als einen allerersten „Schritt in die richtige Richtung“, so die bisherige EU-Justizkommissarin Vivian Reding, handelt es sich dabei aber nicht.[44] Es muss davon ausgegangen werden, dass eine umfassende Datenschutzreform in den USA – mag sie sich auch nur auf EU-Bürger beschränken – ein äußerst umstrittenes langwieriges Gesetzgebungsverfahren voraussetzt. Hinsichtlich der Normierungsreihenfolge kann ein Freihandelsabkommen erst dann aus europäischer Sicht akzeptiert werden, wenn die grundrechtswahrenden US-Gesetze in Kraft sind oder zumindest verabschiedet wurden. Reine Willenserklärungen von einzelnen US-Politikern genügen nicht.

Initiiert werden in den USA derzeit keine Datenschutzgesetze, sondern Handelsgesetze. So wird ein im Dezember 2013 im US-Senat eingebrachter „Digital Trade Act“ verhandelt; eingebracht wurde zudem der Entwurf eines überparteilichen „Trade Priorities Act“. Der erstgenannte Entwurf gewährt US-Handelsbeauftragten ein Mandat für internationale Verhandlungen im Bereich des Online-Handels. Beide Entwürfe sehen die „Interoperabilität“ und ein Verbot der „Lokalisierung“ vor.[45]

 

8. Ergebnis

Angesichts der Erfahrungen mit der Behandlung des Datenschutzes durch die US-Administration und US-Unternehmen ist es zum gegenwärtigen Zeitpunkt nicht sinnvoll, mit den USA über ein Freihandelsabkommen zu verhandeln, bei dem Materien behandelt werden, die mit der Verarbeitung personenbezogener Daten einhergehen. Da praktisch jede Form des Handels eine solche Datenverarbeitung mit sich bringt, kann ein Freihandelsabkommen sein erklärtes Ziel nicht erreichen, solange die USA nicht anerkennen, dass auch im digitalen Bereich das Grundrecht auf Datenschutz allen Menschen unabhängig von ihrer Staatangehörigkeit und ihrem Wohnsitz zusteht, und solange nicht einige wesentliche sich aus der Grundrechtsbindung ergebenden Konsequenzen gezogen werden.

Zu berücksichtigen ist, dass die TTIP-Verhandlungen und die Gesetzgebung zu einer Europäischen Datenschutz-Grundverordnung (EU-DSGVO) parallel laufen. Dabei wird ein zentraler Regelungsinhalt in der Datenübermittlung an Drittstaaten und der Festlegung von Angemessenheitsbeschlüssen liegen. Es muss vermieden werden, dass über TTIP Festlegungen erfolgen, die die Umsetzung einer EU-DSGVO beeinträchtigen. Es besteht zudem die Gefahr, dass wegen der Meinungsverschiedenheiten bzgl. des Datenschutzes im Verhältnis zwischen den USA und Europa die Verabschiedung der Grundverordnung verzögert oder gar verhindert wird.

Im Bereich der personenbezogenen Datenverarbeitung ist es nicht wahrscheinlich, dass ein TTIP eine Steigerung von Wirtschaftskraft und von Arbeitsplätzen in Europa mit sich bringen würde. Vielmehr ist zu befürchten, dass die bestehende Dominanz von US-Unternehmen verstärkt wird. Umgekehrt würde eine Verbesserung der Durchsetzungsmöglichkeit beim Datenschutz dazu führen, dass die US-Unternehmen ihre datenschutzwidrigen Geschäftsmodelle ändern müssten und dass deutsche bzw. europäische datenschutzkonforme Angebote auf dem Markt eine größere Verbreitung fänden.

Aus Datenschutzsicht grundsätzlich nicht ausgeschlossen ist es, ein Freihandelsabkommen für Wirtschaftsbereiche abzuschließen, bei denen die personenbezogene Datenverarbeitung nicht zentraler Gegenstand der Ware bzw. Dienstleistung ist und sich personenbezogene Datenverarbeitung lediglich auf die Zuordnungs- und Rahmendaten der Handelspartner bezieht (vgl. § 4c BDSG). Doch auch insofern muss in den USA ein angemessenes Datenschutzniveau eingehalten werden. Die EU muss von den USA Datenschutzreformen einfordern.

Hier nicht weiter behandelt wurden weitere datenschutzrechtliche Aspekte des freien Handels, wozu auch die Reisefreiheit der Verbraucherinnen und Verbraucher gehört. Derzeit bestehen auf der Seite der USA Reiserestriktionen im Sinne von sicherheitsbehördlichen Datenerhebungen und Auswertungen, die mit europäischem Datenschutzrecht wohl nicht in Einklang zu bringen sind. Dies müsste vor einer vertraglichen Verpflichtung klargestellt und grundrechtsfreundlich geregelt werden.

 

Zum Autor: Dr. Thilo Weichert ist Landesbeauftragter für Datenschutz in Schleswig-Holstein und damit Leiter des Unabhängigen Landeszentrums für Datenschutz (ULD), Kiel

 

---

[1] Thomas Fritz, TTIP: Die Kapitulation vor den Konzernen, April 2014, 37 ff.; Rüdiger, TTIP – Freier Handel, unfreie Bürger? DatenschutzNachrichten (DANA) 2/2014, 58; von Notz, Grüne bleiben bei Forderung nach Aussetzung von #TTIP, gruen-digital.de 15.07.2014.

[2] So z. B. de Gucht, zit. in: Freihandelsabkommen mit der EU: US-Handelsvertreter warnt vor Datennationalismus, www.heise.de 19.02.2014.

[3] Gabriel für Freihandel, Der Spiegel 13/2014, 14

[4] Simitis, in: Simitis, BDSG, 8. Aufl. 2014, Einl. Rn. 151 ff.; Weichert, in: Däubler/Klebe/Wedde/Weichert, BDSG, 4. Aufl., Einl. Rn. 88.

[5] Simitis, in: Simitis (Fn. 4), Einl. Rn. 203 ff.; Weichert, in: Däubler/Klebe/Wedde/Weichert (Fn. 4), Einl. Rn. 82.

[6] Simitis, in: Simitis (Fn. 4), Einl. Rn. 244 ff.; Weichert, in: Däubler/Klebe/Wedde/Weichert (Fn. 4), Einl. Rn. 80.

[7] Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), 32. Tätigkeitsbericht (TB) 2010, Kap. 11.4; Düsseldorfer Kreis, Beschlüsse vom 28./29.04.2010 (Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe Harbor-Abkommen durch das Daten exportierende Unternehmen) und 11./12.09.2013 (Datenübermittlung in Drittstaaten erfordert Prüfung in zwei Stufen); Simitis (Fn. 4), § 4b, Rn. 73 ff.; Kamp, in: v.d. Bussche/Voigt, Konzerndatenschutz, 2014, S. 245 ff.; zur US-Sicht siehe Greer, Safe Harbor – ein bewährter Rechtsrahmen, RDV 2011, 267 ff.; Ritchie, Safe Harbor aktuell, PinG 02.13, 45 ff.; inzwischen liegt ein Vorlage-Beschluss des Irish High Court gegenüber dem EuGH vom 18.06.2014 wegen Verletzung von EU-Grundrechten vor, dazu: ULD begrüßt Safe-Harbor-Vorlage wegen Facebook beim EuGH, PE 20.06.2014.

[8] ULD, Schreiben an die FTC v. 21.08.2012; www.datenschutzzentrum.de/facebook/kommunikation/20120821-ftc-facebook-de.pdf, 34. TB ULD 2013, Kap. 7.1.4; das Schreiben blieb bis heute ohne inhaltliche Antwort.

[9] Vgl. https://www.datenschutzzentrum.de/internationales/20111115-patriot-act.html.

[10] Vgl. http://www.nysd.uscourts.gov/cases/show.php?db=special&id=398; Gericht: US-Firmen müssen Daten von europäischen Servern offenlegen, c´t 11/2014, 43.

[11] Solove/Schwartz, Privacy Law Fundamentals, 2011; zur verfassungsrechtlichen Situation: Wittmann, Der Schutz der Privatsphäre vor staatlichen Überwachungsmaßnahmen durch die US-Bundesverfassung, 2014; Gärditz/Stuckenberg, Zur Verfassungsmäßigkeit der Sammlung von Telefonverbindungsdaten durch die NSA, JZ 2014, 209.

[12] Weichert, Privatheit und Datenschutz im Konflikt zwischen den USA und Europa, RDV 3/2012, 113-118.

[13] Berlin lehnt Abkommen zu Freihandel vorerst ab, SZ 26./27.07.2014, 1; Rexer, Kanadische Blaupause, SZ 16./17.08.2014, 23; Traufetter, Missliche Lage, Der Spiegel 34/2014, 69.

[14] Text: http://www.tagesschau.de/wirtschaft/ceta-dokument-101.pdf, vgl. Zwingelberg, Private – riskante Dienstleister bei Behörden, Vortrag auf der Sommerakademie 2014, Folie 20, https://www.datenschutzzentrum.de/sommerakademie/2014/SAK14-IB3-Zwingelberg-Private-riskante-IT-Dienstleister-bei-Behoerden.pdf.

[15] ABl. EG v. 04.01.2000, Nr. L 215/1; Simitis, in: Simitis, BDSG (Fn. 4), § 4b Rn. 65, Fn. 105.

[16] Zwingelberg (Fn. 14), Folie 21.

[17] U.S. Tables News TISA Proposal To Ensure Free Flow Of Data, Network Access, Inside U.S. Trade – 05/16/2014

[18] Von Notz, Bundesregierung sieht keine Gefahr für den Datenschutz durch TISA, gruen-digital.de 27.08.2014.

[19] Rüdiger, TTIP – Freier Handel, unfreie Bürger? DatenschutzNachrichten (DANA) 2/2014, 57.

[20] Dazu auch Nocun, Neue TTIP-Dokumente: US-Regierung und Unternehmen wollen EU-Datenschutz umgehen, blog.campact.de 11.03.2014.

[21] Rüdiger (Fn. 19), S. 57.

[22] BCTT Working Group Recommendations concerning the Transatlantic Trade and Investment Partnership, July 2013.

[23] Undatiert 2013, BUSINESSEUROPE-U.S. Chamber of Commerce- submission to the Public Consultation by European Commission – DG Trade on the U.S.-EU High-Level Working Group on Jobs and Growth.

[24] CSI/ESF, Services must be a major component of TTIP, May 2014,

[25] Albrecht, Datenschutz ist nicht verhandelbar, www.boell.de 21.05.2014.

[26] TTIP, Report of the fifth Negotiation Round, Brussels, 19-23 May 2014, Trade 37/2014, künftig „Report“; EU papers discussed with the US during the fifth round of TTIP negotiations (19-23 May 2014), Trade 36/2014, künftig „EU-Papers“.

[27] Report (Fn. 26), S. 10.

[28] Report (Fn. 26), S. 14

[29] Report (Fn. 26), S. 14 f.

[30] Report (Fn. 26), S. 16.

[31] Report (Fn. 26), S. 28.

[32] Report (Fn. 26), S. 29.

[33] Report (Fn. 26), S. 37.

[34] Report (Fn. 26), S. 38.

[35] EU-Papers (Fn. 26), S. 37 f.

[36] EU-Papers (Fn. 26), S. 39 ff.

[37] No transfer, no trade – the Importance of Cross-Border Data Transfer for Companies based in Sweden, 2014.

[38] BVerfG, U. v. 02.03.2010, 1 BvR 256/08 u. a., Rdn. 218, NJW 2010, 839.

[39] EuGH, U. v. 08.04.2014, C-293/12 u. C-594/12, Rn. 68, DVBl. 2014, 712 = NVwZ 2014, 713.

[40] Mitgeteilt von Nocun (Fn. 20).

[41] Consumer Privacy Bill of Rights; Übersetzung und Darstellung: Weichert, Der neue US-Rechtekanon für den Verbraucherdatenschutz, 14.03.2012, https://datenschutzzentrum.de/gesetze/Consumer-Privacy-Bill-of-Rights.html.

[42] Cáceres, Im Netz der Datenindustrie – Wie US-Lobbyisten die Akteure in Brüssel umgarnen, SZ 08.05.2014, 17.

[43] Freihandelsabkommen mit der EU: US-Handelsvertreter warnt vor Datennationalismus, www.heise.de 19.02.2014.

[44] Europäer sollen klagen dürfen, SZ 26.06.2014, 8.

[45] Albrecht, Datenschutz ist nicht verhandelbar, www.boell.de 21.05.2014.