Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

11       Europa  und Internationales

Auf internationaler Ebene hat sich das ULD an einer Vielzahl von Aktivitäten beteiligt, die darauf abzielen, das globale Datenschutzniveau zu heben und zu verhindern, dass die lokalen Standards nicht durch internationalen Datenaustausch abgesenkt werden (Tz. 2.3).

Die Europäische Union (EU) erlangt zunehmenden Einfluss auf die Datenverar­beitung öffentlicher und nicht öffentlicher Stellen in Schleswig-Holstein. Ein Beispiel hierfür ist die Vorratsdatenspeicherung, die auf einer Richtlinie der Euro­päischen Gemeinschaften beruht. Es ist daher notwendig, sich mit den Vorhaben schon auseinanderzusetzen, wenn sie in Brüssel beraten werden. Einmal beschlos­sen, bestehen für die Mitgliedstaaten meist keine oder nur geringe Spielräume.

Auf Ebene der EU gewinnen zwei Institutionen eine zunehmende Bedeutung: der Europäische Datenschutzbeauftragte (EDSB) und die Artikel-29-Datenschutz­gruppe. Der EDSB hat mit dem Lissabon-Vertrag (Tz. 11.1) zusätzliche Auf­gaben erhalten. An erster Stelle ist insofern der Bereich „Justiz und Inneres“ zu nennen. Als Koordinierungsgremium zwischen den nationalen Datenschutzauf­sichtsbehörden in der EU wie auch als Instanz bei der Festlegung gemeinsamer Positionen erhält die Artikel-29-Datenschutzgruppe immer mehr Gewicht. Sie geht auf die Regelung des Artikels 29 der Europäischen Datenschutzrichtlinie zurück. Die Gruppe hat inzwischen 168 Arbeitspapiere (Working Paper) vor allem für den nicht öffentlichen Bereich erarbeitet, in denen einheitliche Antworten auf sich EU‑weit stellende Fragen gegeben werden.

www.edps.europa.eu/EDPSWEB/edps/site/mySite/lang/de/pid/1
          http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_de.htm

Nach dem im Dezember 2009 verabschiedeten Stockholmer Programm sind in den nächsten fünf Jahren wichtige Veränderungen im Datenschutz zu erwarten. Positiv ist, dass es eine grundlegende Evaluierung des europäischen Datenschutz­rechts auf seine Eignung zur Gewährleistung eines angemessenen Datenschutzes und eine Stärkung des technischen Datenschutzes vorsieht. Im Sicherheitsbereich sind aufgrund des Stockholmer Programms allerdings gravierende Eingriffe zu erwarten (Tz. 11.2). Angedacht sind etwa Maßnahmen zur Erfassung und Aus­wertung von Daten über Ein- und Ausreisen in die und aus der EU. Darin deutet sich die Wiederaufnahme des Vorhabens an, in der EU ein System zur Speiche­rung und Auswertung von Passenger Name Records (PNR) einzurichten (30. TB, Tz. 11.1). Die Arbeiten an einem entsprechenden Rahmenbeschluss sind zunächst wegen erheblicher Vorbehalte des Europäischen Parlaments gestoppt worden. Es ist zu befürchten, dass dieses Thema erneut aufgegriffen wird.

 

11.1       Vertrag von Lissabon

Am 1. Dezember 2009 ist der Vertrag von Lissabon in Kraft getreten. Damit sind gewichtige Änderungen für die EU verbunden, die sich auch auf den Datenschutz auswirken.

Mit dem Vertrag von Lissabon wurde die Grundrechtecharta der EU rechtsver­bindlich. Zudem ist vorgesehen, dass die EU der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK) beitritt. Hierfür ist noch ein einstimmiger Beschluss des Rates erforderlich. Damit werden die Grund­rechte, die in der EMRK niedergelegt sind, zu allgemeinen, direkt anwendbaren Rechtsgrundsätzen in der EU. Für den Datenschutz bedeutet beides eine gewich­tige Stärkung, denn sowohl die Grundrechtecharta der EU als auch die EMRK enthalten ein Recht auf Datenschutz.

Besondere Bedeutung hat der Reformvertrag von Lissabon für die polizeiliche und justizielle Zusammenarbeit der Mitgliedstaaten der EU in Strafsachen. Nach dem bisherigen Recht galt für diesen Bereich als der sogenannten dritten Säule ein eigenes Rechtssetzungsverfahren, in dem die Entscheidungen maßgeb­lich durch den Rat, d. h. durch die Regierungen der Mitgliedstaaten, getroffen wurden. Mitwirkungsmöglichkeiten des Europäischen Parlaments waren beschränkt; es war bei Rechtssetzungsverfahren lediglich anzuhören und hatte keine Entscheidungsbefugnisse. Nach dem Vertrag von Lissabon gilt für die Zusammenarbeit in Strafsachen weitgehend das ordentliche Gesetzgebungsverfah­ren. Dies unterscheidet sich vom früheren Rechtssetzungsverfahren in der dritten Säule vor allem durch eine stärkere Einbindung des Europäischen Parlaments.

Erweiterte Kompetenzen des Europäischen Parlaments bedeuten eine wesentliche Stärkung der Demokratie in der EU. Gerade die polizeiliche und justizielle Zusammenarbeit in Strafsachen wurde vor Inkrafttreten des Vertrags von Lissabon wegen ihres Demokratiedefizits kritisiert. Wie wichtig die Beteiligung des Euro­päischen Parlaments werden kann, hat sich jüngst beim SWIFT-Abkommen (Tz. 11.3) gezeigt. Das Parlament stand dem Abkommen von Anfang an kritisch gegenüber und hat seine Bedenken in einer Entschließung klar zum Ausdruck gebracht. Nach dem Inkrafttreten des Vertrages von Lissabon hat das Parlament das zuvor vom Rat gebilligte Abkommen abgelehnt.

Durch den Vertrag von Lissabon erhalten auch die nationalen Parlamente mehr Mitspracherechte. In Deutschland hat vor allem die Entscheidung des Bundesver­fassungsgerichts zur Umsetzung des Vertrags von Lissabon dazu geführt, dass dem Bundestag und dem Bundesrat Mitentscheidungsbefugnisse bei der Änderung der Verträge und mehr Mitspracherechte bei Gesetzgebungsverfahren der Euro­päischen Union eingeräumt werden.

 

11.2       Stockholmer Programm

Die EU hat im Stockholmer Programm die Ziele der Innen- und Sicherheits­politik der EU zur Entwicklung eines Raumes der Freiheit, der Sicherheit und des Rechts festgelegt. Der Katalog der geplanten Maßnahmen zum Schutz der inneren Sicherheit lässt Zweifel entstehen, ob Datenschutzverbes­serungen möglich sein werden.

Das Programm nennt als ausdrückliches Ziel die Wahrung der persönlichen Freiheitsrechte und der Privatsphäre über die nationalen Grenzen der Mitglied­staaten hinweg. Das Datenschutzrecht soll vereinheitlicht und weiterentwickelt und es sollen neue datenschutzfreundliche Technologien zertifiziert und eingesetzt werden. Schlimmes ist aber zu befürchten, wenn zugleich das Abkommen über die Zusammenarbeit mit den Vereinigten Staaten von Amerika als vorbildlich bezeichnet wird.

Eine umfassende Darstellung der sicherheitspolitischen Ziele des Stockholmer Programms ist in diesem Zusammenhang nicht möglich; drei wesentliche Ziele sind:

die Optimierung des Informationsaustausches und eine technische Infrastruktur hierfür mit einem europäischen Informationsmodell,
die Verstärkung von Europol mit einer intensiveren automatisierten Datenver­netzung, auch zu anderen europäischen Datenbanken und internationalen Systemen,
die Einführung eines elektronischen Registriersystems für Ein- und Ausreisen in die bzw. aus den Hoheitsgebieten der EU-Mitgliedstaaten mit einem Vorab­genehmigungsverfahren.

Voraussetzung für die technische Optimierung des Informationsaustausches ist eine Synchronisierung der bisher getrennten Datenverarbeitungswelten. Europä­ische und nationale Systeme und Verfahren sollen aufeinander abgestimmt werden, damit technische Unverträglichkeiten kein Hindernis mehr darstellen. Die Vereinheitlichung betrifft kompatible Hard- und Software sowie die von den Sicherheitsbehörden verwendeten Datenmodelle.

Europol soll aufgewertet werden und internationale Funktionen übernehmen, indem es in bestimmten Kriminalitätsbereichen zur zentralen Sammelstelle natio­naler Informationen und zum Mittler dieser Daten für andere europäische sowie internationale Datenverarbeitungssysteme wird. Geklärt werden muss, inwieweit dabei die Rohdaten der nationalen Behörden und die Inhalte von Analysen weiter­gegeben werden sollen. Bei den differenzierten Ansätzen muss neben dem auto­matisierten Datenaustausch weiterhin die konventionelle Datenübermittlung, etwa durch Verbindungsbeamte, im Blickfeld bleiben.

Das US-amerikanische Vorbild für ein elektronisches Registriersystem für Ein- und Ausreisen aus den bzw. in die Hoheitsgebiete der Mitgliedstaaten mit einem Vorabgenehmigungsverfahren ist bekannt. Ein zentraler Bestandteil ist die daten­schutzrechtlich äußerst heikle Übermittlung der Passagierdaten, der Passenger Name Records (PNR). Viele Bürgerinnen und Bürger sehen in dieser anlasslosen Überwachung eine übermäßige Beeinträchtigung ihrer Reisefreiheit und verzich­ten auf Reisen in die USA (30. TB, Tz. 11.1). Die Effizienz des bestehenden Verfahrens in den Vereinigten Staaten ist bis heute nicht erwiesen. Es werden riesige Datenbestände von Reisenden aufgebaut. Für die Betroffenen ist nicht transparent, zu welchen Zwecken diese genutzt und wie lange die Daten bei welcher Stelle gespeichert werden. Das Stockholmer Programm erwähnt das Registriersystem, ohne sich zur Geeignetheit und Effizienz eines solchen Verfah­rens zu äußern.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat sich im Oktober 2009 auf eine Entschließung zu den Datenschutzdefiziten in Europa auch nach dem Stockholmer Programm geeinigt.

http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_de.htm

 

11.3       Bankdaten für die USA

Die gute Nachricht zuerst: Die US-Behörden haben keinen direkten Zugriff mehr auf die internationalen Banktransaktionsdaten des in Belgien ansässi­gen Dienstleisters SWIFT. Die schlechte Nachricht: Damit ist der Zugriff von US-Behörden auf die Datensätze keineswegs gestoppt, zumindest nicht nach den Plänen der USA.

Drei Jahre nachdem bekannt wurde, dass regelmäßig Daten aus dem US-amerika­nischen Rechenzentrum der SWIFT, der Society for Worldwide Interbank Telecom­munications, an US-Finanz- und Sicher­heitsbehörden übermittelt wurden (29. TB, Tz. 5.1), hat SWIFT mit dem Ziel der Sicherung des Bankgeheimnisses der Kun­dinnen und Kunden sein Spiegelrechen­zentrum von den USA in die Schweiz verlegt. Damit war dem Datenzugriff ein Ende bereitet.

Am 30. November 2009, ein Tag vor Inkrafttreten des Vertrags von Lissabon (Tz. 11.1), hat der Rat der EU den Entwurf für ein Abkommen mit den USA gebilligt, das US-Behörden doch wieder die internationalen Zahlungsverkehrs­daten von Banknetzdienstleistern ermöglicht. Bereits im Vorfeld war dieser Plan massiv kritisiert worden, u. a. vom Europäischen Parlament, vom Bundesrat und von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder.

http://www.bfdi.bund.de/cln_134/SharedDocs/Publikationen/Entschliessungssammlung/DSBundLaender/78.DSK_SWIFT.html?
nn=409240

Ungeachtet der vorgetragenen Kritik hatte Deutschland mit einer Stimmenthaltung im EU-Rat den Weg für dieses Abkommen frei gemacht. Das EU-Parlament hat das Abkommen dagegen mehrheitlich abgelehnt, sodass es außer Kraft gesetzt ist. Eine besonnene Entscheidung, denn das Abkommen enthält gewaltige Daten­schutzdefizite. Ein angemessenes Datenschutzniveau der in die USA über­mittelten Daten und ihrer weiteren Verwendung ist nicht gewährleistet. Das ULD hat die Kritikpunkte in einer Stellungnahme zusammengefasst.

Kernstück des Abkommens ist das vom US-Finanzministerium betriebene Terrorist Finance Tracking Programme, ein Analysewerkzeug zum Aufspü­ren von Terrorismusbezügen und Terrorismusfinanzierung. Hierfür sollen Daten von europäischen Zahlungsdiensteanbietern bereitgestellt werden. Was genau sich hinter dem Terrorist Finance Tracking Programme verbirgt, ist im Abkommen nicht beschrieben; lediglich Data Mining wird ausgeschlossen. Der Nutzen der SWIFT-Daten für dieses Programm ist nicht belegt. Angeblich wurden bisher 1.450 Hinweise aus dem Programm an Sicherheitsbehörden in der EU weitergegeben. Was tatsächlich an sicherheitsrelevanten Erkenntnissen herausgekommen ist, ist nicht überprüfbar dargelegt.
Unzureichend geregelt ist die Reichweite des Abkommens. Es zielt vor allem auf SWIFT als globalen Dienstleister. Doch werden weitere Verfahren betrie­ben, etwa das innereuropäische Überweisungssystem SEPA, dessen Einbezie­hung in den Anwendungsbereich des Abkommens keineswegs ausgeschlossen ist. Wer welche Daten liefern soll, wird nicht im Abkommen selbst, sondern in geheimen Zusatzvereinbarungen festgelegt.
Ausufernd sind die Voraussetzungen für die Bereitstellung der Daten an das US-Finanzministerium. Es reicht ein Verdacht künftiger terroristischer Straf­taten und ein nicht näher definierter Bezug hierzu. Die im Abkommen verwen­dete Terrorismusdefinition knüpft schon an Sachverhalte weit im Vorfeld strafbarer Handlungen an. Die Definition ist so weit gefasst, dass auch legitime und in einer Demokratie selbstverständliche Handlungen wie etwa politische Demonstrationen darunterfallen können.
Den weitreichenden Informationsmöglichkeiten der US-Behörden stehen wenige, völlig unzureichende Datenschutzvorkehrungen gegenüber: Mit den bereitgestellten Daten soll kein Data Mining betrieben werden; sie sollen, sicher gespeichert, nur für Zwecke der Terrorismusbekämpfung genutzt und nach spätestens fünf Jahren gelöscht werden. Aus der Datenanalyse erlangte Hinweise dürfen mit Behörden in den USA, der EU und Drittstaaten ausge­tauscht werden. Voraussetzung ist lediglich das Vorliegen terroristischer Anhaltspunkte. Offen bleibt, ob die Hinweise auch personenbezogene Daten enthalten können. Darüber hinaus gibt es keine weiteren materiellen Daten­schutzvorkehrungen. Den Betroffenen werden keine Rechte auf Auskunft, Berichtigung und Löschung der Daten eingeräumt. Eine ausreichende unab­hängige Datenschutzkontrolle oder ein wirksamer Rechtsschutz ist nicht vorge­sehen.

www.datenschutzzentrum.de/wirtschaft/swift/091218-stellungnahme.html

Im Abkommen wird angedeutet, dass ein System nach dem Vorbild des US-ame­rikanischen Terrorist Finance Tracking Programme auch in der EU eingeführt werden könne. Das Stockholmer Programm weist in dieselbe Richtung, wenn die Kommission aufgefordert wird, Möglichkeiten zur Aufdeckung der Terrorismus­finanzierung innerhalb Europas zu untersuchen.

 

11.4       US Safe Harbor

Das US-Safe-Harbor-Programm soll die europäischen Datenschutzstandards für Übermittlungen von personenbezogenen Daten aus Europa an US-ameri­kanische Unternehmen sicherstellen. Nach Bekanntwerden von weitreichen­den Verstößen gegen Safe Harbor stellt sich die Frage nach dessen Verläss­lichkeit.

Das seit dem Jahr 2000 bestehende US‑Safe-Harbor-Programm beruht auf einer Vereinbarung zwischen der Euro­päischen Kommission und dem Wirt­schaftsministerium (Department of Commerce) der Vereinigten Staaten von Amerika (USA). US-Unternehmen, die sich hierauf verpflichten, wollen damit die Vereinbarkeit ihrer Daten­verarbeitungsgrundsätze mit den An­forderungen der Europäischen Daten­schutzrichtlinie nachweisen. Grundvor­aussetzung für jede Übermittlung per­sonenbezogener Daten aus der EU in ein Drittland ist das Bestehen eines mit EU‑Datenschutzrecht vergleichbaren Standards im Empfängerland. Dies liegt für die USA mangels vergleichbarer Datenschutzgesetze nicht vor. Will ein euro­päisches Unternehmen Daten in die USA übermitteln, muss es sicherstellen, dass das empfangende Unternehmen die Daten den europäischen Vorgaben entspre­chend behandelt. Dies kann über Standardvertragsklauseln, verbindliche Unter­nehmensregeln (Binding Corporate Rules), eine Genehmigung der zuständigen Datenschutzbehörde oder eben durch eine Selbstverpflichtung des US-Unterneh­mens nach den Safe-Harbor-Grundsätzen erfolgen. Dies gilt selbstverständlich auch für schleswig-holsteinische Unternehmen, die Daten in die USA transferie­ren bzw. einen Datenaustausch z. B. mit Konzernmuttergesellschaften mit Sitz in den USA pflegen.

Ob sich europäische Unternehmen in jedem Fall auf die Behauptung einer Mitgliedschaft bei Safe Harbor und auf die Einhaltung der Safe-Harbor-Grund­sätze in den USA verlassen können, ist nach der australischen Studie „The US Safe Harbor – Fact or Fiction?“ vom Dezember 2008 mehr als fraglich. Im Mittelpunkt der Kritik europäischer Datenschutzbehörden steht die mangelnde Kontrolle der Unternehmen seitens der zuständigen US-Behörde. Bislang kann ein US-Unternehmen die Mitgliedschaft durch Selbsterklärung erlangen, die sogenannte Selbstzertifizierung, und dies dem Department of Commerce mitteilen, um sich auf einer zentralen Liste eintragen zu lassen. Seit März 2009 erhebt das Department of Commerce für die Eintragung erstmalig eine einmalige Gebühr von 200 US-Dollar und eine jährliche Gebühr von 100 US-Dollar. Eine Überprüfung erfolgt nicht. Zuständig für Verstö­ße gegen Safe Harbor ist in begrenztem Umfang die Federal Trade Commission (FTC). Als für den Verbraucherschutz zuständige Behörde kann sie gegen unfaire und irreführende Praktiken vorgehen. Erstmalig wurden 2009 von der FTC Maß­nahmen gegen sechs Unternehmen ergriffen, die fälschlicherweise behauptet hatten, sich nach Safe Harbor selbst zertifiziert zu haben. Eine Überprüfung der Einhaltung der Safe-Harbor-Grundsätze – Informationspflicht, Wahlmöglichkei­ten, Weitergabe, Sicherheit, Datenintegrität, Auskunftsrecht und Durchsetzung – ist nicht erfolgt.

Das ULD hat 2009 die Aufsichtsbehör­den der Bundesländer bei den Beratun­gen der Art. 29 Safe Harbor Contact Group mit dem Department of Commerce und der FTC vertreten. Es bestehen große Bedenken an der weite­ren Tragfähigkeit des Konzeptes, wenn das Department of Commerce die Einhaltung der Selbstverpflichtungen der an Safe Harbor teilnehmenden Unternehmen nicht in einem höheren Maße selbst kontrolliert oder entspre­chende Kontrollmaßnahmen implemen­tiert. Unternehmen ist zu raten, sich nicht allein auf die Behauptung eines US-Unternehmens, Mitglied bei Safe Harbor zu sein, zu verlassen. Der Verwendung von Standardvertragsklauseln oder der von einer Datenschutzbehörde genehmigten bindenden Unternehmensricht­linien (BCR) ist derzeit der Vorzug zu geben.

Zurück zum vorherigen Kapitel

Zum Inhaltsverzeichnis

Zum nächsten Kapitel