Das Recht in Zeiten der technischen Revolution
Vor einigen Monaten erhielt ich einen Auftrag für ein Rechtsgutachten. Ich sollte die rechtliche Zulässigkeit einer Migration von bisher in einer anderen Anwendung gespeicherten und genutzten personenbezogenen Daten zu Google Apps und Google Docs prüfen. In Frage stand also eine Form des Cloud Computings, unter Nutzung der technischen Infrastruktur eines Großkonzerns, der bisher noch nicht durch Liebe zum Datenschutz aufgefallen ist.
Großes Erstaunen
Schon in dem Vorgespräch löste ich unter den anwesenden IT Verantwortlichen großes Erstaunen mit der Aussage aus, dass dieses Vorhaben wegen der damit verbundenen Übermittlung von personenbezogenen Daten in die USA datenschutzrechtlich ziemlich sicher nicht erlaubt sei. Die Auftraggeber sind nun auch nicht irgendeine kleine Bude, sondern ein international verbundenes, politisch einflussreiches Unternehmen. Von Seiten der internationalen Töchterfirmen wurde an die deutsche Zentrale der Wunsch heran getragen, sich zur Vereinfachung der internationalen Kommunikation doch bitte der Nutzung von Google Appsund Docs anzuschließen.
Datenübermittlung in die USA
Eine Datenübermittlung ist nach den europäischen und deutschen Rechtsvorschriften – wie alle andere Datenverarbeitung auch – nicht einfach so erlaubt, sondern an bestimmte Regeln gebunden. Im Fall der Datenübermittlung in einen Staat außerhalb der EU müssen grob gesagt drei Voraussetzungen erfüllt sein, damit sie zulässig ist:
– Es muss einen Grund für die Übermittlung geben, der vom BDSG akzeptiert ist;
– In dem Staat, in den übermittelt wird, hier also den USA, muss ein angemessenes datenschutzrechtliches Schutzniveau bestehen;
– und es darf der Übermittlung kein schutzwürdiges Interesse der von der Datenverarbeitung Betroffenen entgegen stehen.
Diese Voraussetzungen waren in beschriebenen Fall alle nicht erfüllt, was die Auftraggeber, die dem Wunsch der Migration zu Google ohnehin skeptisch gegenüber standen, nicht wirklich dramatisch fanden. Dennoch zeigten zahlreiche Nachfragen, wie groß die Überraschung über dieses eindeutige Ergebnis war. Einwände, mit denen wir auch in vergleichbaren Fällen immer wieder konfrontiert sind.
Es machen doch alle
Der Haupteinwand lautet in diesen Fällen oft: Aber es machen doch alle! Sicher, Datenübermittlungen in die USA sind in Zeiten des globalisierten Handels Alltag, und sie sind durchaus nicht grundsätzlich unzulässig. Es gibt eine Reihe von Möglichkeiten, den Datenaustausch mit den USA datenschutzkonformen Regeln zu unterwerfen, und diese werden auch genutzt. Die spezielle Konstellation der Nutzung des Cloud Computings von Anbietern wie Google gehört allerdings nicht dazu. Man muss sich also mit dem Einzelfall beschäftigen, anstatt einfach davon auszugehen, dass erlaubt ist, was technisch gemacht werden kann.
Muss man sich an Datenschutzgesetze halten?
Der Einwand, es täten doch alle, impliziert immer auch ein wenig die Frage: Muss man sich an Datenschutzgesetze halten, wenn andere es auch nicht tun? In diesem Bereich verursache „Compliance“ doch nur Aufwand, den andere sich nicht aufbürden. Diese Frage höre ich wie gesagt direkt oder indirekt immer mal wieder. Meine Gegenfrage lautet: Sollte man im Laden Dinge ohne Bezahlung mitnehmen, weil andere sich auch nicht an die Regel halten, die da lautet, du sollst nicht stehlen?
Die Gesetze sind doch antiquiert!
Ein anderer Einwand in solchen Fällen lautet, die Datenschutzgesetze seien doch überholt und für moderne technische Zeiten gar nicht mehr tauglich. Dem ist ohne Zweifel in weiten Teilen so. Die Datenschutzgesetze genügen modernen Anforderungen nicht und dies ändert sich nur sehr langsam. Aber auch das kann kein Grund sein, sie einfach zu ignorieren. Befolgte jeder nur noch die Gesetze, die er für sinnvoll hielte, wäre das für einen Rechtsstaat ein gefährlicher Zustand.
Die gute Nachricht
Die gute Nachricht lautet allerdings, dass es in den meisten Fällen Lösungen gibt, die datenschutzkonform sind und die trotzdem keinen übergroßen Aufwand für die Unternehmen bedeuten. Man muss sich allerdings die Mühe machen, sie zu finden und sie mit internationalen Partnern, die unser Verständnis von Datenschutz oft nicht teilen, auszuhandeln. Wichtiger als das ist vielleicht noch: Man muss Datenschutz nicht als lästiges Übel betrachten, sondern als Regelwerk, das für das Leben in der digitalen Gesellschaft eine unabdingbare Voraussetzung für den Schutz unserer Rechte darstellt.