EU-DSGVO im Kern gescheitert

0
1356

Die EU ist mit ihrem Anliegen, durch die neue europäische Datenschutzgrundverordnung einerseits zu einer Vereinheitlichung des Datenschutzniveaus innerhalb der Mitgliedsstaaten beizutragen, andererseits  nicht-europäischen IT-Unternehmen die Weitergabe von personenbezogenen Daten europäischer Bürger an Drittstaaten zu untersagen, indem sie diese nur in Europa datentechnisch bearbeiten dürfen, grandios gescheitert. In einem sogenannten Busgesetz, also einem auch hierzulande üblichen parlamentarischen Verfahren, “sachfremde” Belange in einzelnen Artikeln eines Gesetzes zu einem anderen Thema als Appendix “hineinzuschmuggeln”, ist es der US-Regierung gelungen, den sogenannten CLOUD-Erlass parlamentarisch durchzubringen (siehe hierzu den Artikel im aktuellen Behörden Spiegel auf Seite 45).

Das bedeutet ab sofort, dass US-Unternehmen Daten von Nicht-US-Bürgern auf Rechnern in Drittländern auf Anfrage von US-Behörden in jedem Fall, auch wenn dies gegen dortige Gesetze verstößt, herausgeben müssen. Das gilt ohne wenn und aber. Ein richterlicher Vorbehalt ist so eingegrenzt, dass er vernächlassigt werden kann. Ausnahmen sind nur dann möglich, wenn ein bilaterales Abkommen des Landes, in dem die Daten liegen, mit der US-Regierung besteht. Solche gibt es jedoch noch nicht. Zudem: die deutschen Daten liegen in Holland oder Irland. Staatenbünde, also die EU, sind nicht berechtigt, solche bilateralen Abkommen abzuschließen. Wenn überhaupt müssten nun alle EU-Mitgliedsstaaten separate Abkommen mit der US-Regierung treffen. Damit ist schonmal die angestrebte Einheitlichkeit innerhalb der EU ausgehebelt.

Schlimmer noch ist der universelle Anspruch, befeuert durch die Trump-Devise “America first”, dass US-Gesetze andere nationale Rechtschreibung brechen dürfen. Die gute Idee hinter der europäischen Datenschutzgrundverordnung war ja im Kern, die personenbezogenen Daten europäischer Bürger zu schützen, nicht nur vor grenzenloser kommerzieller Ausnutzung durch die US-Internetkonzerne, sondern auch vor Zugriff der US-Nachrichtendienste. Das ist jetzt allerdings Makulatur.

Für deutsche Behörden ist das ein Desaster, denn alle Bemühungen, mit den Software- und Cloud-Monopolisten aus den USA über äußert komplizierte Vertragskonstrukte zu einer aus Souveränitätsgründen (Datensicherheit durch Lagerung dieser im europäischen Rechtsraum) einvernehmlichen Einigung zu gelangen, sind damit vorerst obsolet.

Die Lage ist so vertrackt, dass bisher weder die EU, noch die Bundesregierung und auch nicht die Sicherheitsbehörden zu einer Äußerung fähig waren. Das Spektakel gehört zu der großen Auseinandersetzung zwischen USA und Europa. Die EU wollte die Internet-Giganten, in Europa sind das ausnahmslos US-Konzerne, in die Schranken weisen, so wie es die US-Regierung derzeit deutschen Autokonzernen wegen ihrer Marktführerschaft in den USA heimzahlt. Doch was bleibt nun. Wenn das politische Ziel der Datenschutzgrundverordnung der EU, die US-Konzerne regulatorisch, steuer- und datenschutzrechtlich an die Kandarre zu nehmen, nicht gelingt. Es bleibt ein Bürokratiemonster, das die datenschutzrechtliche Lage in Deutschland nicht elementar verbessert, aber Behörden und Unternehmen mit enormen finanziellen und personellen Zusatzaufwendungen belastet und zudem – wie so viele Gesetze vorher auch schon – der Perversität Freiraum gibt, der professionellen Abmahnindustrie.

R. Uwe Proll