Nachdem vor Kurzem erneut und diesmal gleich in einem wissenschaftlichen Gutachten bestätigt wurde, dass nahezu alle US-Behörden freien Zugriff auf die bei US-Unternehmen gelagerten Cloud-Daten haben, habe ich die Bundesregierung im Rahmen der mündlichen Fragestunde des Bundestages hierzu befragt. Über die Frage hatten wir ja bereits gebloggt.
Konkret hatten wir die Bundesregierung gefragt, was sie dagegen unternommen oder vorhat zu unternehmen gegen die erwiesen hohe Gefahr des Zugriffs von US-Sicherheitsbehörden auf Cloud-Daten der marktführenden US-Unternehmen. Hier meine Frage, die im Rahmen der Fragestunde leider nicht mehr aufgerufen wurde, im Wortlaut:
Welche konkreten Schritte etwa im Zusammenhang mit den Verhandlungen zur EU-Datenschutzreform hat die Bundesregierung in Wahrnehmung ihrer verfassungsrechtlich vorgegebenen Schutzpflicht für das Grundrecht auf informationelle Selbstbestimmung unternommen, um die aufgrund der US-Rechtslage bereits seit längerem bekannte und nunmehr erneut bestätigte (Gutachten im Auftrag des EU-Parlaments, vgl. Spiegel Online Meldung vom 10.01.2013) Gefahr des Zugriffs von US-Behörden auf Cloud-Daten von Bundesbürgern zu verhindern, deren Cloud-Anbieter über einen Sitz in den USA verfügen?
Die Bundesregierung beantwortete jetzt unsere Frage auf schriftlichem Wege wie folgt:
Der Bundesregierung ist die im Spiegel Online-Artikel zitierte EU-Studie („Fighting Cybercrime and protecting privacy in the cloud“) sowie die dort beschriebene Thematik bekannt. Sie nimmt den mit der Möglichkeit derartiger Zugriffe durch Drittstaaten verbundene Aufgabe zur Gewährleistung des informationellen Selbstbestimmungsrechts seit dem Auftreten von Zugriffen sehr ernst. Die Durchsetzung datenschutzrechtlicher Standards im zwischenstaatlichen Bereich begegnet allerdings einer Reihe von Fragen, die die Bundesregierung nicht allein lösen kann. Die Bundesregierung hält deshalb ein einheitliches Vorgehen auf EU-Ebene für den erfolgversprechendsten Weg.
Der Vorschlag der EU-Kommission für eine Datenschutz-Grundverordnung vom 25. Januar 2012 sieht vor, dass eine Weitergabe nur zulässig sein soll, wenn sie zur Verfolgung eines wichtigen öffentlichen Interesse erforderlich ist, das im Unionsrecht oder im Recht des jeweils betroffenen Mitgliedstaates anerkannt ist. Im Europäischen Parlament wird eine vorherige Genehmigung derartiger Weitergaben durch die zuständige Datenschutzaufsichtsbehörden diskutiert, wie sie in der gegenwärtigen EU-Datenschutz-Richtlinie grundsätzlich schon enthalten ist.
Die Bundesregierung prüft sowohl die im Vorschlag der Kommission für eine Datenschutz-Grundverordnung vorgesehene Regelung als auch die im Europäischen Parlament diskutierten Ansätze sorgfältig. Sie spricht sich für die Aufnahme eines Genehmigungserfordernisses aus, wie es auch das geltende europäische und deutsche Datenschutzrecht vorsieht. Zu einer Gesamtregelung gehört aus Gründen der Ausübung des individuellen Rechtsschutzes auch eine dem jeweiligen öffentlichen Interesse entsprechende Information des Betroffenen in geeigneter Form und zum frühestmöglichen Zeitpunkt. Die Bundesregierung wirkt in diesem Sinne an den Beratungen im Rat und mit dem Europäischen Parlament mit.
Bewertung der Antwort der Bundesregierung:
Die Antwort der Bundesregierung ist höchst widersprüchlich und wirft schon vor diesem Hintergrund mehr Fragen auf als sie beantwortet. Zunächst fällt auf, dass die Bundesregierung offen einräumt, erst seit dem tatsächlichen Auftreten von Zugriffen die Frage „sehr ernst“ zu nehmen. Dieses Verhalten ist mit den datenschutzrechtlichen Schutzpflichten nicht vereinbar, weil diese bereits bei Vorliegen entsprechender (auch nur theoretischer) Gefahren, wie z.B. Rechtsbestimmungen im Empfängerland, die entsprechende Zugriffe ohne weiteres ermöglichen, greifen.
Zum anderen bekennt sich die Bundesregierung zur Verfolgung einer europäischen Lösung, weil sie diese für am „erfolgversprechendsten“ hält. Als inhaltlichen Rahmen sieht sie die Reform des EU-Datenschutzes in Gestalt der EU-Datenschutzverordnung als einschlägig an. In diesem Rahmen behauptet sie, „die Aufnahme eines Genehmigungserfordernisses“ als Verfahren zu unterstützen, wie sie nach der gegenwärtigen Rechtslage grundsätzlich schon vorgesehen sind.
Diese Positionierung der Bundesregierung passt nicht mit ihrem Verhalten im Rahmen des Beschäftigtendatenschutzgesetzes zusammen. In Ihrem Änderungsentwurf zum Entwurf der Bundesregierung zum Beschäftigtendatenschutzgesetz vom 10. Januar 2013 schlagen CDU/CSU und FDP nämlich völlig überraschend und weit über den Rahmen der Arbeitnehmerdatenschutzdebatte hinausgehend vor, im Bundesdatenschutzgesetz ganz allgemein Auftragsdatenverarbeitungen in Staaten mit sog. „angemessenen Datenschutzniveau“ schlicht nicht als „Dritte“ im Sinne des Gesetzes zu behandeln. Die Folge: bei den Datenweitergaben im Rahmen eines typischen verbraucherrelevanten Cloud Computing etwa (Speicherung u.a.) würde es sich zukünftig –gesetzlich fingiert – um eine privilegierte sog. Auftragsdatenverarbeitung handeln, keine Datenübermittlung. Die USA wäre insoweit mit erfasst, als dort ansässige Unternehmen über ihre Teilnahme am Safe Harbor Abkommen ebenfalls als angemessen geschützt gelten. Aufgrund dieser gesetzlichen Fiktion werden die weiteren Schutzvorkehrungen wie etwa die Praxis bundesdeutscher Aufsichtsbehörden, eine Vorabprüfung auf Zulässigkeit vorzunehmen (vgl. Zwei-Stufen-Prüfung), in Frage gestellt. Hierzu hatte sich auh Peter Schaar bereits kritisch geäußert. Die Aufsichtsbehörden können bislang, gerade mit Blick auf die dem EU-Recht nicht entsprechenden Zugriffe von Sicherheitsbehörden in Drittstaaten, zugunsten des Grundrechtsschutzes der Bürgerinnen und Bürger gestaltend eingreifen.
Im Ergebnis macht die Bundesregierung also genau das Gegenteil von dem, was sie in ihrer Antwort behauptet: Sie versucht nunmehr auf nationaler Ebene einen Alleingang. Und zwar entgegen ihrer Behauptung in Richtung auf die Abschaffung des Genehmigungserfordernisses!
Damit zeigt sich einmal mehr, dass die schwarz-gelbe Bundesregierung beim Bürgerrecht Datenschutz offen schummelt. Vordergründig werden Schutzanstrengungen behauptet, während de facto hintenrum versucht wird, das bestehende Schutzniveau weiter abzusenken. Gerade der Entwurf zum Beschäftigtendatenschutz enthält zahlreiche Belege für diese Vorgehensweise.
Der Versuch, die Öffentlichkeit auf diese Weise über die eigenen Absichten zu täuschen, ist ungehörig und unredlich. Für die Bürgerinnen und Bürger gilt: In puncto Datenschutz sollten sie Schwarz-Gelb und insbesondere der ehemaligen Bürgerrechtspartei FDP keine Sekunde mehr über den Weg trauen.
Comments are closed