Der Cloud Act der US-Regierung, der den USA das Recht einräumt, auf Daten überall auf der Welt zuzugreifen, stellt eine direkte Reaktion auf die Datenschutz-Grundverordnung (DSGVO) der EU dar. Der Hintergrund liegt in der stark exterritorialen Wirkung der DSGVO. Sie gilt nämlich keineswegs nur für Firmen, die in der EU ansässig sind, sondern für alle Unternehmen, die ihre Dienste in der EU anbieten. Im Klartext: Alle US-Digitalkonzerne sind unmittelbar betroffen. Die USA will mit dem Cloud Act sicherstellen, dass sie die weltweite Datenhoheit unabhängig von den Datenschutzgesetzgebungen anderer Staaten besitzt.

Der „Globale Datenkrieg“ ist eines der Topthemen auf dem DC Executive Club vor dem Sommerfest des Diplomatic Council am 18. Juni im Schlosshotel Kronberg bei Frankfurt.

Von der Erfassung bis zur Löschung

Der Kern der DSGVO lässt sich wie folgt zusammenfassen: Es dürfen nur Daten erfasst werden, die wirklich gebraucht werden (Grundsatz der Datenminimierung), bspw. zur Erfüllung von Vertragspflichten. Bei jeder Datenerhebung muss klargestellt werden, wofür die erhobenen Daten verwendet werden (Zweckbindung). Für jede Datenspeicherung muss ein Rechtfertigungsgrund dokumentiert werden (Dokumentationspflicht).

Der Bürger muss nicht mehr – wie früher – beweisen, dass seine Daten missbraucht wurden (also z.B. mehr Daten erhoben wurden, als nötig war), sondern umgekehrt müssen die Firmen beweisen, dass sie Daten NICHT missbraucht haben (Umkehrung der Beweislast). Der Bürger hat jederzeit das Recht auf eine vollständige Auskunft über alle Daten, die ein Unternehmen von ihm besitzt (Auskunftsrecht). Das umfasst beispielsweise auch den gesamten E-Mailverkehr. Verlangt der Bürger Löschung, müssen alle diese Daten unwiederbringlich und dokumentiert vernichtet werden.

DSGVO in der Praxis

Die Auswirkungen der DSGVO in der Praxis bleibt abzuwarten. Wenn bei der Online-Anmeldung zu einem Newsletter den Namen des Interessenten verlangt wird, verstößt man vermutlich schon gegen die DSGVO, weil für den Online-Newsletter natürlich nur die E-Mailadresse benötigt wird (Datenminimierung). Kreative Köpfe finden aber möglicherweise einen plausiblen, dokumentierten und gerichtsfesten Grund, warum bei der Anmeldung auch der Name des Newsletter-Beziehers verlangt wird. Ob eine Arztpraxis, eine Autowerkstatt oder ein Restaurant bei einem Anruf zur Terminvereinbarung den Namen des Anrufers erfragen darf ohne vorherige dokumentierte Datenschutzbelehrung, werden Juristen zu entscheiden haben. Klar scheint heute schon: Wer eine ihm überreichte Visitenkarte in sein Smartphone eintippt und in einer Cloud speichert, handelt illegal, wenn er sich nicht vorher vom Smartphone-Anbieter – also z.B. Apple oder Samsung – eine schriftliche Versicherung besorgt hat, dass die Cloud-Speicherung ausschließlich im EU-Raum erfolgt… und natürlich eine Einverständniserklärung zur Datenspeicherung mit Zweckangabe vom demjenigen hat unterschreiben lassen, der ihm die Visitenkarte überreicht hat. Möglicherweise werden Gerichte künftig entscheiden, dass die Überreichung einer Visitenkarte eine implizite Zustimmung zur Speicherung zwecks Kontaktaufnahme bedeutet – aber sicherlich nicht „auf ewig“, sondern für einen Zeitraum von vier Wochen oder sechs Monaten, bis die Kartendaten wieder gelöscht werden müssen. Es gibt viel zu tun für Juristen.

Abmahnvereine und Aufsichtsbehörden stehen parat

Kaum ein Unternehmen wird zum Inkrafttreten der DSGVO am 25. Mai den gesetzlichen Vorgaben in vollem Umfang genügen. Die Aufsichtsbehörden in der EU und insbesondere Deutschland haben sich darauf vorbereitet und das Kontrollpersonal erheblich aufgestockt. Die dadurch verursachten Personalmehrkosten sollen spätestens ab 2019 durch viele und hohe Bußgelder wieder „hereingeholt“ werden. Nicht nur die 600 bis 1000 Abmahnvereine allein in Deutschland haben ihr Geschäftsmodell auf die DSGVO ausgerichtet, auch viele Aufsichtsbehörden wollen kräftig „absahnen“. Im Visier der anwaltlichen und behördlichen Fahnder sind Freiberufler, Selbstständige, mittelständische Firmen und Großkonzerne – auf jeden Fall jeder, der eine Webpräsenz betreibt.

Das gilt auch für die US-Konzernwelt, die sich im Grunde entscheiden muss, ob sie nach US-amerikanischem Recht agiert und damit gegen EU-Recht verstößt – oder umgekehrt. Stand heute sind die angedrohten Bußgelder in der EU höher als in den USA; andererseits: kann ein US-Digitalkonzern wohl kaum dauerhaft US-Gesetzgebung verletzen. Es wird auf ein „best of both worlds“, also „ein bisschen von allem“, hinauslaufen.

Soziale Netze kaum betroffen

Auf die sozialen Netzwerke und die damit verbundenen Herausforderungen etwa für die Demokratie hat die DSGVO übrigens nur geringe Auswirkungen. Der Grund: Die Bürger machen dort alle Angaben freiwillig. Sein eigenes und sei es noch so privates Leben öffentlich darzustellen ist weiterhin in den bisherigen Grenzen erlaubt.

EU-Grundsätze gelangen in die USA

Dennoch ist wohl abzusehen, dass insbesondere der Facebook-Datenskandal dem Thema Datenschutz auch in der US-Gesetzgebung einen stärkeren Auftrieb als bisher geben wird. Möglicherweise steht die US-amerikanische Digitalwirtschaft vor einer staatlichen Regulierung, die sie bislang unter allen Umständen vermeiden wollte. Das Schlüsselargument aus Silicon Valley, Datenschutz schade der Innovation, könnte ins Gegenteil umschlagen, je mehr sich auch US-Bürger um ihre Privatsphäre sorgen und das Thema dadurch politisches Gewicht erhält. Die Digitalkonzerne sind aufgrund ihrer Aktivitäten in Europa ohnehin gezwungen, zumindestens die Grundsätze der DSGVO in ihre Strategien einzubauen. Auf diesem Weg gelangt der europäische Datenschutz ohnehin auf den US-Markt – und mit dem weltweiten Aufblühen der chinesischen Digitalriesen und deren Hineinwachsen in den europäischen Markt möglicherweise auch nach China.