Nach einer Studie des Instituts der deutschen Wirtschaft vom 15.01.2022 sieht wohl ein Großteil der deutschen Unternehmen keinen Vorteil im globalen Wettbewerb durch den europäischen Datenschutzstandard1.
Sollte daraus der Schluss gezogen werden, dass seit dem Inkrafttreten der DSGVO europäische Unternehmen global einem Wettbewerbsnachteil unterliegen oder ist eher Geduld angebracht? Seit 2021 scheint es jedenfalls auch außerhalb der EU eine gestiegene Gesetzgebungsfreudigkeit im Bereich des Datenschutz- und IT-Sicherheitsrechts zu geben. Um den Umfang dieses Beitrags nicht zu sprengen, wollen und können wir uns nicht allzu viele Länder anschauen, aber vielleicht die jüngsten Entwicklungen in einigen der größten Volkswirtschaften grob anreißen.
In „Faust I“ heißt es „Im Anfang war die Tat!“ – oder man hält es mit dem römischen Dichter Horaz, der schrieb „Dimidium facti, qui coepit, habet.“(„Wer begonnen hat, hat schon die Hälfte getan.“). Möglicherweise war der 25. Mai 2018 der Anfang einer Anhebung des globalen Datenschutzniveaus, deren Früchte wir erst dann sehen werden, wenn die gesäten Samen weiterhin Zeit und Pflege bekommen.
USA
Am 16. Juli 2020 ist der EU-U.S.-Privacy Shield vom EuGH gekippt worden. Grund hierfür waren die Zugriffsmöglichkeiten von US-Ermittlungsbehörden auf die Server US-amerikanischer Unternehmen. Seitdem besteht eine erhebliche Rechtsunsicherheit beim Datenaustausch mit US-Unternehmen. Eine Übergangslösung bilden derzeit neue Standardvertragsklauseln und eine Art besondere Datenschutzfolgenabschätzung (TIA), die überprüfen soll, ob ein Risiko besteht, dass ein faktischer Zugriff von US-Behörden auf die Server möglich ist und ob dieses als gering einzuordnen ist. Im Einzelfall können nach EuGH-Rechtsprechung dutzende verbreitete und gängige Datentransfers als datenschutzwidrig angesehen werden – so beispielsweise Anfang des Jahres bei der Google-Fonts-Entscheidung vom LG München2 schon geschehen.
Um dieser unsicheren Rechtslage Herr zu werden, und da der Verzicht auf IT-Lösungen aus den USA alternativlos erscheint, kündigten im März 2022 die EU-Kommissionspräsidentin Ursula von der Leyen und der US-Präsident Joe Biden ein „Transatlantic Data Privacy Framework“ an. Ziel dieses Frameworks soll es sein, dem von der Schrems II-Rechtsprechung des EuGH geforderten Datenschutzniveau zu genügen, sodass europäische Unternehmen wieder mit Rechtsklarheit IT-Produkte aus den USA nutzen können. Nun folgte am 7. Oktober 2022 ein Dekret, das zu einem gewissen Teil das Vorhaben des Frameworks umsetzen würde. Gemäß des Dekretes wird der Civil Liberties Protection Officer (CLPO) im US-Büro des Direktors der nationalen Nachrichtendienste Beschwerden untersuchen und Entscheidungen treffen. Das US-Justizministerium richtet ein Datenschutzprüfungsgericht ein, das die Entscheidungen des CLPO unabhängig überprüfen soll. Richter mit Erfahrung im Bereich des Datenschutzes und der nationalen Sicherheit sollen von Gremien außerhalb der US-Regierung ernannt werden. Weiter sollen die nationalen Sicherheitsziele bei der nachrichtendienstlichen Arbeit vorher definiert werden – Aufklärungsarbeit soll nur dann durchgeführt werden, wenn notwendig und dem Umfang angemessen.
Max Schrems steht wahrscheinlich schon in den Startlöchern, um vermeintlich unzureichende Aspekte auch in diesem Dekret zu finden. Das ist auch gut so! Denn genau diese Arbeit setzt die DSGVO als den weltweiten Maßstab an. So entfaltet sich die DSGVO als ein Magnet für ein höheres Datenschutzniveau auch außerhalb der EU.
China
„China? Da gibt’s keinen Datenschutz!“ War das Ihr erster Gedanke? Wahrscheinlich. Der chinesische Philosoph Laotse (6. Jhr. v. Chr.) gab den Rat: „Zu wissen, was man nicht weiß, ist der beste Teil des Wissens.“ Diesem Gedanken folgend können wir so einiges in China sehen, was von der DSGVO übernommen wurde.
Seit dem 1.11.2021 gilt dort das Gesetz zum Schutz personenbezogener Daten (Personal Information Protection Law, PIPL). Dieses hat selbstverständlich viele Unterschiede zur europäischen Datenschutzarchitektur – vor allem hat sie eine exterritoriale Wirkung und stellt mehr die Verarbeitung personenbezogener Daten durch IT-Unternehmen unter Vorbehalt, als dass es Datenverarbeitungen durch den Staat einschränkt.
Doch der Konsens unter Datenschutzjuristen scheint zu sein, dass das PIPL fast schon einen harmonisierenden Ansatz mit der DSGVO habe3. Viele Regelungsprinzipien aus der DSGVO finden sich im PIPL wieder. Das allgemeine Persönlichkeitsrecht dient auch in China als Legitimationsgrundlage für das PIPL. In Art. 28 – 32 PIPL wird die Verarbeitung sog. „sensibler“ personenbezogener Daten geregelt, welche zu Art. 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten) äquivalent stehen. In Art. 44 – 50 PIPL finden sich die Rechte der Betroffenen. Das Kernelement für eine zulässige Datenverarbeitung bildet ein Konstrukt, das sich am ehesten als „Mitteilung/Einwilligung“ übersetzen lässt. Das bedeutet, dass eine persönliche Einwilligung erst nach einer ausreichenden Vorabinformation vom Betroffenen einzuholen ist. Ebenso gilt auch hier neben dem Widerrufsrecht das Kopplungsverbot aus der DSGVO. Das PIPL sieht zudem Daten eines Minderjährigen bis zum 14. Lebensjahr pauschal als „sensible“ Daten an, sodass für die Verarbeitung der Daten von unter 14-Jährigen weitere spezielle Voraussetzungen gelten. Auch hier lässt sich eine Ähnlichkeit zu Art. 8 und 9 DSGVO erkennen. Die Rollenverteilung – wie „Verantwortlicher“ und „Auftragsverarbeiter“ – wurde ebenso übernommen.
Damit hieraus keine wissenschaftliche Arbeit wird, sparen wir uns eine ausführliche Analyse des Gesetzes und die Bewertung ihrer Konformität mit dem europäischen Datenschutz.
Fazit
Ohnedies lässt sich sagen, dass die DSGVO einen neuen Standard gesetzt hat und nicht davor Halt machen möchte, diesen Trend fortzusetzen. Ihre Prinzipien etablieren sich in nationalen Datenschutzgesetzen außerhalb der EU. Diese Wirkung wird früher oder später europäischen Unternehmen, die erheblich früher den Standard implementiert haben, einen deutlichen Wettbewerbsvorteil bescheren. All dies schließt die Notwendigkeit einer Weiterentwicklung im Hinblick auf Praktikabilität des europäischen Datenschutzes aber nicht aus.
1 https://www.iwkoeln.de/presse/pressemitteilungen/barbara-engels-marc-scheufen-wettbewerbsnachteil-dsgvo.html (aufgerufen am 21.10.2022)
2 LG München, Urteil vom 20.01.2022, Az. 3 O 17493/20
3 Dennis-Kenji Kipper in: „PIPL betrifft auch deutsche Unternehmen“ (Computerwoche) am 23.08.2021;
Lulu Zhang in: IWRZ 2022, 161; Paul Johannes in: Datenschutz und Datensicherheit in China, ZD 2022, S. 90.