Datenschutz zwischen EU und USA – Eine Einführung

Datenschutz zwischen EU und USA – Eine Einführung

In technologisch schnell voranschreitenden Zeiten wird der Datenschutz zu einem immer wichtigeren aber auch komplexeren Rechtsgut. Hebt man genau diese Komplexität hervor, so gelangt man schnell zur Problematik des transnationalen Datenschutzes. Als bestes und medial weit diskutiertes Beispiel kann hier die NSA-Affäre und folgerichtig der Datenschutz zwischen der Europäischen Union und den Vereinigten Staaten von Amerika angeführt werden. Dieser Datenschutz betrifft sodann aber nicht nur Bundesbehörden und Beamten, sondern vielmehr auch den privaten und privatwirtschaftlichen Bereich. Um hier einheitliche Datenschutzvorgaben einzuführen, sollte im Sommer 2014 ein transatlantisches Datenschutz-Rahmenabkommen zwischen den beiden Mächten geschlossen werden.

Die folgende Beitragsreihe bietet in einem ersten Beitrag eine Einführung in die systematischen Unterschiede der Datenschutz-Regime der EU und der USA.

Im darauf folgenden Beitrag kommt dann eine Experten-Stimme zu Wort: Ass. Iur. Stefanie Hänold wird in einem kurzen Interview zur Situation des transatlantischen Datenschutzes am Beispiel der Behandlung von Patientendaten im „p-medicine“ Projekt Stellung nehmen und ihre Meinung zur Zukunft des transatlantischen Datenschutzabkommens geben.

In einem abschließenden Beitrag wird dann noch einmal auf das Safe Harbor Agreement und das Datenschutz-Rahmenabkommen eingegangen.

Unterschiede in System und Tradition des Datenschutzes zwischen der EU und den USA

Beginnen wir nun mit den systematischen und traditionellen Unterschieden in den jeweiligen Datenschutz-Regimen. Die Ursprünge des Datenschutzes datieren sich in den verschiedenen Facetten mehr als 100 Jahre zurück.1 So entwickelten sich über die Zeit verschiedene Datenschutz-Modelle, von denen sich heute im Speziellen vier hervorheben lassen.

Zum einen der Schutz durch umfassende Gesetze („comprehensive laws“). Dieser Ansatz schafft einen Gesetzesrahmen für das Sammeln, Nutzen und die Verbreitung persönlicher Informationen, der durch offizielle Behörden überwacht und durchgesetzt werden soll. Es handelt sich hierbei um einen eher proaktiven Ansatz zum Datenschutz.

Dem gegenüber stellt der Schutz durch sektorale Gesetze („sectoral laws”) einen eher reaktiven Ansatz dar. Sektorale Gesetze adrressieren stets spezifische und konkrete Einzelbereiche und -probleme des Datenschutzes und versuchen dort auf den Bereich oder das Problem zugeschnittene Lösungen zu installieren oder Rechtsrahmen zu schafffen.

Der Schutz durch wirtschaftliche Selbstregulierung („industrial self-regulation“) ist der wohl flexibelsten Ansatz. Er verlässt sich dabei allerdings lediglich auf die selbst auferlegten Regeln der Wirtschaftsteilnehmer.

Letztlich gibt es noch den Schutz durch Privatsphäre schützende Technologien („privacy-enhancing technologies“), die vor allem Verschlüsselungstechnologien, digitale Währungen und ähnliches umfassen.2

Die USA – Datenschutz als Manifest des Eigentumsrechts

In der legislativen Umsetzung des Datenschutzes kommt es oftmals zur Kombination dieser Modelle. Die Ausgestaltung hängt dabei von der Auffassung und Bewertung des Datenschutzes ab. In den USA wird traditionell ein eher liberalerer Datenschutz-Ansatz verfolgt. Wahrgenommen wird hier ein Gefahrenpotential, das eher vom Staat als vom privaten Sektor ausgeht. Der Datenschutz ist dabei die Manifestation eines individuellen Eigentumsrechts, über welches nach bestem Gewissen aber auch Gut-Dünken verfügt werden kann. Einschränkungen findet dies, nach einer Entscheidung des Supreme Court, nur in einem limitierten Rahmen hinsichtlich des Schutzes vor staatlicher Überwachung.3 Ferner steht der Datenschutz im starken Konflikt mit der Rede- und Pressefreiheit, welche durch den ersten Verfassungszusatz garantiert wird. Folge ist, dass Vorstöße der EU – vor allem das „Right to be forgotten” – Friktionen mit der bestehenden Rechtsprechung hervorrufen.4

Die USA verlassen sich auf eine Vielzahl von staatlichen und föderalen Statuten und Doktrinen, mithin also sektorale Gesetzgebung. Hierzu zählen unter anderem der „Intelligence Surveillance Act”, der „Children Online Privacy Protection Act”, der “Protect IP Act” und der „Health Insurance Portability and Accountability Act”. Es wird ersichtlich, dass der Datenschuttzrahmen sehr sektoral beinahe fragmentarisch und reaktiv ausgestaltet ist. Ferner ist zu beobachten, dass der Datenschutz primär nur an den Verbraucherschutz und das Wettbewerbsrecht anknüpft.

Hinzukommt die Abwesenheit einer überwachenden Durchsetzungsbehörde. Vielmehr wird auf ein starkes selbst-regulatorisches Element gesetzt, welches Raum für Leistungspotential und Flexibilität in einem sich schnell wandelnden Medium wie dem Internet bieten soll.5 So ermangelt es beispielsweise der Federal Trade Commission (FTC) an effektiven Durchsetzungsmechanismen in Datenschutz-Bereich, da sie auf die Mitarbeit der Unternehmen selbst angewiesen sind.

Die EU- Datenschutz innerhalb der europäischen Gemeinschaft

Dem gegenüber ist die Datenschutz-Tradition der EU im Grundgedanken der Supranationalität verwurzelt.6 Der Schwerpunkt liegt hier auf der Uniformität des Datenschutzes innerhalb Europas, um Barrieren zwischen den Mitgliedstaaten sowie aus solchen erwachsende Ungleichbehandlungen abzubauen. Ziel ist ein Datenschutz, der die weitest mögliche Akzeptanz unter den Mitgliedern erlangt, indem die Essentialia der nationalen Datenschutz-Lösungen in einem uniformen Gesetz vereint werden.7

Dabei wird der Schutz des Individuums gegenüber der Wirtschaft fokussiert und die Bürde des Schutzes der Staatengemeinschaft auferlegt.8 Dieser Gesetzesrahmen stellt wie erwähnt einen eher proaktiven Ansatz dar. Trotzdem muss – im Kontext der Berührung mit außereuropäischen Datenschutz-Regimen – ein Ergängzung eines reaktives Element ererfolgen. Artikel 25 der EU-Datenschutzrichtlinie verpflichtet die EU nämlich in solchen Fällen zu einer Einzelfallanalyse, wenn die persönlichen Daten von EU-Bürgern betroffen sind.9 Damit soll nach dem vorliegenden Entwurf eine Durchsetzungsbehörde innerhalb des Unionssystems installiert werden.

Aber es ist genau dieser Ansatz, der den Konflikt zwischen den beiden grundsätzlich verschiedenen Ansätzen der EU und der USA noch weiter verschärft. Damit wird nämlich zumindest auch ein Streit über den Zuständigkeitsbereich („Jurisdiction“) aufgeworfen.10

Nach klassischer Völkerrechtslehre wird die Zuständigkeit der Gerichtsbarkeit durch die Souveränität eines Staates festgestellt. Es soll sichergegangen werden, dass die Unabhängigkeit und Gleichheit der interagierenden Souveräne beibehalten wird.11 Auch hier divergieren die Ansichten der USA und der EU bezüglich des Anknüpfungspunktes der Zuständigkeit.

Die USA machen es – nach der so genannten „Zippo-Entscheidung“ – innerhalb einer Einzelfallbetrachtung davon abhängig, ob tatsächlich eine wirtschaftliche Transaktion stattgefunden hat oder lediglich Informationen ausgetauscht wurden.12 Im Gegensatz dazu sieht sich die EU – wie bereits oben erwähnt – in all den Fällen zuständig in denen Daten von EU-Bürgern gesammelt werden oder auf solche zugegriffen wird.13

1Warren/Brandeis, ‘The Right to Privacy’, Harvard Law Review, No. 4, 1890, S. 2f.
2Long/Pang Quek, Personal data privacy protection in an age of globalization: The US-EU safe harbor compromise, Journal of European Public Policy, 9:3, 325-44.
3Katz v. United States, 386 U.S. 954, 1967.
4Bennett, The „Right To Be Forgotten“: Reconciling EU and US perspectives, Berkeley Journal of International Law, 2012, Seite 4f.
5Long/Pang Quek, (Fn 2), Seite 332f.; Korbin, Safe harbours are hard to find: the trans-Atlantic data privacy dispute, territorial jurisdiction and global governance, Review of International Studies (2004), 30, Seite 115.
6Vgl. Reding, Rede Washington/Brüssel, 19 März 2012, „Towards a new „Gold Standard“ in Data Protection?“, http://ec.europa.eu/commission_2010-2014/reding/pdf/speeches/20120319speech-data-gold-standard_en.pdf(zuletzt besucht am 28.06.2014)
7Simitis, (1998) zitiert in Long/Pang Quek, (Fn 2), Seite 333.
8Korbin, (Fn 5), Seite 116.
9Long/Pang Quek, (Fn 2), Seite 334.
10Korbin, (Fn 5), Seite 111–131.
11Hope, Einführung in das Völkerrecht, S. 37.
12Bennett, (Fn 4), Seite 5.
13Long/Pang Quek, (Fn 2), Seite 334; Bennett, (Fn 4), Seite 5.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *