Für multinationale Unternehmen ist es häufig schwierig, die unterschiedlichen Datenschutzgesetze in verschiedenen Ländern zu erfüllen. So gelten allein innerhalb der Europäischen Union (EU) 27 verschiedene nationale Rechtssprechungen - das bedeutet auch, mit einer Vielzahl von Datenschutzbehörden zusammen arbeiten zu müssen. In Deutschland hat gar jedes Bundesland seine eigene Behörde. Die Folgen sind rechtliche Unsicherheit, hohe Kosten und administrative Belastungen.
Anfang März verabschiedeten die Bundesländer im Plenum des Bundesrats das Gesetz zur Fortentwicklung des Meldewesens (MeldFortG). Damit werden die Rechte der Bürger gestärkt, denn die Einwohnermeldeämter dürfen deren Daten nicht mehr ohne ihre Zustimmung weitergeben. In Kraft treten wird es erst mit der Unterzeichnung durch den Bundespräsidenten, voraussichtlich am 1. Mai 2015. Die staatlichen Behörden haben vor, im Rahmen des Gesetzes Überprüfungen bei Unternehmen vorzunehmen, die solche Adressdaten nutzen. Unternehmen können abgemahnt werden, wenn sie die Daten anfordern, ohne vorher die Erlaubnis jedes Einzelnen einzuholen.
Die geplante EU-weite Reform des Datenschutzrechts soll die bisher bestehenden Probleme auch auf internationaler Ebene lösen. Unternehmen hoffen, dass eine neue Vorschrift - und damit ein in der gesamten EU direkt anwendbares Regelwerk - Besserung bringt. Der derzeit diskutierte Vorschlag sieht unter anderem vor, dass eine Organisation mit mehrfacher Präsenz in der EU nur noch mit einer EU-Datenschutz-"Aufsichtsbehörde" (und nur mit deren Anweisungen) zu tun haben soll. Entscheidend dafür ist der Standort der "Hauptniederlassung" der Organisation (je nachdem, wo die Hauptentscheidungen über die Datenverarbeitung getroffen werden - oder andernfalls, wo in der EU die Hauptverarbeitungstätigkeiten stattfinden).
Datenschutz im Cloud-Zeitalter
Eine große Herausforderung für die europäischen Datenschützer stellt das Cloud Computing dar, das Daten immer und überall verfügbar macht und Datenschutz-Richtlinien über Staats- und Unternehmensgrenzen hinweg erfordert.
Die geplante neue EU-Vorschrift sieht deshalb vor, das bestehende Rahmenwerk durch sogenannte Binding Corporate Rules (BCR) zu erweitern. Bei BCRs handelt es sich um interne Verhaltenskodizes, zu denen sich die Unternehmen innerhalb eines Konzerns bezüglich des Datenschutzes und der -sicherheit "verpflichten" können. Sie sollen sicherstellen, dass auch die firmeninterne Übertragung persönlicher Daten ins nichteuropäische Ausland die europäischen Datenschutzvorschriften erfüllt. IT-Outsourcing-Dienstleister, Cloud-Provider und Rechenzentrumsbetreiber wären nach der Genehmigung der eigenen BCRs durch die jeweilige Aufsichtsbehörde in der Lage, Daten von europäischen Kunden zu empfangen und innerhalb ihres eigenen Konzerns auch in nichteuropäische Länder zu transferieren. Die geplante Neuregelung sieht vor, die Aufsichtsbehörden zur Genehmigung der BCRs zu verpflichten, wenn bestimmte Anforderungen erfüllt oder von der EU-Kommission genehmigte "Modellparagraphen" verwendet werden. Eine bisher noch ungelöste Herausforderung bei der Ausarbeitung der BCR ist die häufig gesehene Doppelfunktion von Unternehmen - insbesondere von Cloud-Providern - als Datenschutzbeauftragte (in Bezug auf eigene Daten) und als Datenverarbeiter (in Bezug auf Kundendaten).
Was drin stehen soll
Foto: ENISA, Ulf Bergstrom
Inhaltlich konzentriert sich die Debatte um ein neues europäisches Datenschutzrecht besonders auf zwei Punkte: das "Recht auf Vergessen" und die unternehmerische Meldepflicht bei Datenverlusten. Es ist geplant, dass Privatpersonen (insbesondere Kinder und Jugendliche unter 18 Jahren) verlangen können, dass online über sie veröffentlichte Informationen dauerhaft gelöscht werden. Organisationen, bei denen ein solcher Antrag eingeht, sollen angehalten werden, "alle angemessenen Anstrengungen" zu unternehmen, Website-Betreiber über diese Beschwerde zu informieren. Von der Pflicht, die in erster Linie die Betreiber von Social-Media-Angeboten betreffen würde, sollen Journalisten ausgenommen werden, die private Informationen über Dritte im öffentlichen Interesse ins Netz stellen. Die Krux an dem Plan: Technisch ist ein solches Gesetz kaum realisierbar, weil eine Information, die einmal im Internet steht, nicht mehr gelöscht oder überhaupt kontrolliert werden kann. Die Europäische Agentur für Netz- und Informationssicherheit ENISA hat zu diesem Thema einen Bericht mit dem Titel "Das Recht auf Vergessen - zwischen Erwartung und Praxis" veröffentlicht.
Was die Meldepflicht bei Verletzungen der Datensicherheit angeht, fehlt in Europa bisher eine einheitliche Regelung. Bislang gelten in den verschiedenen Staaten unterschiedliche Schwellenwerte, ab wann und wie schnell ein Datenverlust gemeldet werden muss. Zudem unterscheiden sie sich in der Frage, ob betroffene Privatpersonen, Regulierungsinstanzen oder beide Gruppen informiert werden müssen. Der neue Vorschriftenentwurf verlangt, dass Datenschutzbeauftragte aller Sektoren ihre Aufsichtsbehörde über Verletzungen der Datensicherheit bei persönlichen Daten informieren. Solch eine umfassende Regelung ist in der aktuellen Gesetzeslage bisher nur für die öffentlichen Anbieter von Telekommunikationsdiensten vorgesehen. Die Aufsichtsbehörde muss "ohne schuldhaftes Verzögern" - in der Regel binnen 24 Stunden nach Entdeckung des Vorfalls - benachrichtigt werden. Privatpersonen sollen immer dann zu informieren sein, wenn der Datenabfluss deren Privatsphäre "wahrscheinlich" beeinträchtigt.
Die 24-Stunden-Frist befindet sich derzeit noch auf dem Prüfstand - so hat der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments vorgeschlagen, den Zeitraum auf 72 Stunden auszuweiten. Auch die Unterrichtung von Privatpersonen ist umstritten: Privatpersonen sollten nur benachrichtigt werden müssen, wenn ihre Privatsphäre durch einen Datenverlust erheblich beeinträchtigt werden könnte - "zum Beispiel in Fällen von Identitätsdiebstahl oder Betrug, körperlichen Schäden, erheblicher Demütigung oder Rufschädigung", wie es der Ausschuss formuliert.
Kürzlich haben sich EU-Justizkommissarin Viviane Reding, die auch Vize-Präsidentin der Europäischen Kommission ist und Bundesinnenminister Hans-Peter Friedrich darauf geeinigt, dass eine Reform des Europäischen Datenschutzgesetzes notwendig ist. Im Vordergrund soll der Schutz der Privatsphäre des Einzelnen stehen und das hohe, seit 1995 in Europa gültige Datenschutzniveau nicht abgesenkt werden. Reding erklärte, dass das bisherige Opt-in-Verfahren bestehen bleiben soll. Der Betroffene muss seine aktive Zustimmung geben, dass seine Daten verarbeitet werden dürfen. Derzeit arbeiten die Verantwortlichen an „geeigneten Formulierungen“ für ein reformiertes europäisches Datenschutzgesetz.
Asiatisches Modell
Ein Blick über die EU-Grenzen hinaus zeigt, dass die Vorschläge, die in der neuen EU-Vorschrift zu finden sind, anderswo bereits umgesetzt wurden: So haben die Mitgliedsstaaten der Asia Pacific Economic Cooperation (APEC) im November 2011 ein ähnliches multinationales Modell auf die Straße gesetzt - die APEC Cross Border Privacy Rules (CBPR). Diese Vereinbarung schafft einen einheitlichen Datenschutz für Privatpersonen im gesamten APEC-Raum - sie gilt somit in Australien, Brunei, Kanada, Chile, China, Hongkong, Indonesien, Japan, Malaysia, Mexico, Neuseeland, Papua-Neuguinea, Peru, Philippinen, Russland, Singapur, Südkorea, Taiwan, Thailand, den USA und Vietnam. Laut CBPR müssen teilnehmende Unternehmen ihre eigenen, internen Geschäftsregeln zu grenzüberschreitenden Datenschutzverfahren entwickeln. Diese Regeln werden dann überprüft, genehmigt und von einem Behördenvertreter zertifiziert. Anschließend ist das Unternehmen berechtigt, persönliche Daten in andere APEC-Staaten zu übertragen, ohne sich weiter mit lokalen Gesetzen beschäftigen zu müssen.
Seit Juli sind die CBPR in den USA im Einsatz. Die Vereinigten Staaten ernannten die Federal Trade Commission (FTC) zur zuständigen Datenschutzvollzugsbehörde und kürten den FTC Act (15 USC 45) zu dem von den CBPR-Protokollen verlangten Datenschutzgesetz. Was den asiatischen Raum angeht, soll der Datenstrom von und nach Europa überstaatlich kontrolliert werden – darauf einigten sich Vertreter von EU von APEC. Ende Januar legten sie im indonesischen Jakarta eine Roadmap auf, um das BCR-Programm für die EU zu adaptieren. Eine neugeschaffene EU-APEC BCR-CBPR-Arbeitsgruppe befasst sich mit den entsprechenden Anforderungen und Freigabeprozessen der beteiligten Parteien. Die EU wird von der „Working Party 29“ repräsentiert, einem französisch-deutschen Team, das sich nach Artikel 29 des EU-Vertrags benannt hat. Das nächste Treffen soll im Juni auf Sumatra stattfinden.
Sollte die EU mit einem analog verfassten BCR-Programm nachziehen, stünde einer Vernetzung beider Regelsets nichts mehr im Weg. Damit wären viele der heutigen Datenschutzprobleme besonders zugunsten der großen Cloud-Provider gelöst.
Technologietrends begegnen
Es gibt neben dem Cloud Computing weitere technische Entwicklungen, die eine Reform des europäischen Datenschutzrechtes erforderlich machen. Allen voran ist der Consumerization-Trend zu nennen, häufig auch als "Bring your own device" bezeichnet, weil Mobilgeräte zunehmend gleichermaßen privaten wie beruflichen Zwecken dienen. Viele der auf den mobilen Plattformen genutzten Anwendungen entbehren jedweder Datenschutzerklärung, obwohl sie unmittelbar auf bestimmte Daten des Nutzers oder sensible Geräteinformationen zugreifen. Auch die komplexe Geräteverwaltung innerhalb eines Unternehmens - von der IT-Abteilung unter Sicherheitsaspekten nicht gerne gesehen - verlangt eine Neubewertung der Sachlage. Es gilt eine neue Balance zwischen Nutzerpräferenzen, unternehmerischen Bedürfnissen und den Anforderungen der Informationssicherheit zu finden. Auf jeden Fall bis dahin gilt weiterhin:
2013 wird ein entscheidendes Jahr für den Datenschutz - sowohl für Unternehmen, Privatanwender als auch Regulierer. Datenschutz gehört ins unternehmerische Top-Management und darf nicht den Rechts- und Compliance-Experten überlassen werden. Daran wird auch eine geänderte EU-Gesetzgebung nichts ändern. (sh)