Internationaler Datenverkehr – ein juristisches Fragezeichen
Die EU und die USA ringen regelmässig um das Thema Datenschutz. Jüngst erklärte der Europäische Gerichtshof (EuGH) das Datenschutzabkommen Safe Harbor für ungültig – die US-Firmen schützten die aus Europa übermittelten Personendaten nicht ausreichend. Grundsätzlich ist die Rechtslage um Daten und Datenverkehr unklar, international gültige Regulierungen gibt es nur wenige. Im Vorfeld der Konferenz «Regulating International Transfers of Data» erklärt die Völkerrechtlerin Krista Nadakavukaren im Interview weshalb die Regulierung des internationalen Datenverkehrs und bisher weitgehend ungeklärt ist.
21. März 2016
Frau Nadakavukaren, warum tut sich das Rechtssystem so schwer bei der Regelung des Datentransfers?
Ursprung des Problems ist die Tatsache, dass Daten an sich juristisch nicht eindeutig definiert sind. Wir wissen schlichtweg nicht, was Daten eigentlich sind. Unser Rechtsystem funktioniert mit Kategorien, auf die bestehende Regeln angewendet werden. Daten sind bisher keiner dieser juristischen Kategorien eindeutig zugeordnet. Handelt es sich dabei um Waren? Oder eher Dienstleistungen? Sind sie Eigentum oder gar Ressource? Ohne eine klare Zuordnung zu einer dieser Sachbegriffe tut sich das Rechtssystem schwer, den Datenverkehr effektiv zu regulieren. Ausserdem entwickelt sich unsere digitale Welt so schnell, dass das Rechtssystem ständig hinterherhinkt.
Was wären denn mögliche Lösungsansätze?
Persönlich bin ich nicht sicher, ob unser bestehender Rechtsgedanke sich überhaupt dazu eignet, hier eine Lösung zu finden. Eine Idee wäre, dass man für jeden einzelnen Bereich den Transfer von Daten separat regelt. Das würde aber bedeuten, dass Datentransfer auf ganz verschiedene Arten behandelt wird, je nach der Benutzung der Daten. Das scheint mir nicht sehr sinnvoll oder praktikabel. Möglicherweise brauchen wir auch eine ganz neue Kategorie, in der Daten eben einfach als solche definiert sind und wir ein ganz neues Regelwerk darum herum bauen. All diese Überlegungen machen dieses Gebiet so herausfordernd und spannend für mich – man muss kreativ denken und sich grundsätzlich neue Ansätze überlegen. Die Thematik steht noch ganz am Anfang und unsere Konferenz soll hier erste Impulse und Ideen liefern.
Das Thema der Konferenz ist seit dem EuGH-Urteil ja hochaktuell. Was genau hat es mit dem Safe-Harbor-Abkommen auf sich?
Das Safe-Harbor-Abkommen trat 2000 zwischen der EU und den USA in Kraft. Grundsätzlich geht es darum, dass die USA, aus der Sicht Europas, über kein ausreichend hohes Datenschutzniveau verfügen, so dass für den Transfer von Personendaten zu einem Unternehmen in den Vereinigten Staaten jeweils spezielle Verträge vereinbart werden müssen. Das ist ein sehr umständliches Verfahren, welches vor allem kleinere und mittlere Betriebe benachteiligt. Um den Datenverkehr zu erleichtern, wurde mit Safe Harbor ein Regelwerk entwickelt, bei dem US-Firmen sich im Sinne einer Selbstzertifizierung auf einer Liste eintragen konnten und sich dadurch verpflichteten, die übermittelten Daten aus Europa ausreichend zu schützen. Allerdings wurde die Einhaltung dieser Verpflichtungen nicht von aussen kontrolliert und sie boten ebenfalls keinen Schutz gegen die Datensammelaktionen der NSA. Ein ähnliches Abkommen besteht übrigens auch zwischen der Schweiz und den USA. Dieses wird man wohl im Zuge der jüngsten Entwicklungen ebenfalls überdenken müssen.
Weshalb hat der EuGH das Abkommen im Oktober 2015 für ungültig erklärt?
Der österreichische Jurist und Datenschutzaktivist Maximilian Schrems hat eine Klage am EuGH eingereicht, wobei es sich konkret um den Datenschutz bei Facebook handelte. Facebook lässt die Daten seiner europäischen Nutzer in den USA verarbeiten und hatte sich deshalb ebenfalls auf die Safe-Harbor-Liste eingetragen. Basierend auf den Enthüllungen Edward Snowdens, argumentierte Schrems, dass das Safe-Harbor-Abkommen den Schutz der Daten durch Firmen wie Facebook nicht genügend sicherstelle. Das Gericht unterstützte diese Ansicht und erklärte daraufhin das derzeitige Verfahren für den Datentransfer zwischen der EU und den USA für rechtswidrig und das Abkommen für ungültig. Das Timing für unsere Konferenz könnte also nicht besser sein. Ich habe mit der Planung dafür allerdings schon begonnen bevor der EuGH-Entscheid gefallen ist – ein glücklicher Zufall sozusagen.
Was erwartet die Teilnehmer der Konferenz «Regulating International Transfers of Data»?
Bei Safe Harbor geht es um personenbezogene Daten, also um den Schutz der Privatsphäre. Eine wichtige Thematik, welche die Konferenz entsprechend aufgreift. Die Veranstaltung widmet sich aber auch dem internationalen Transfer von Datenarten, wie sie beispielsweise in der Finanzwelt, bei Geheimdiensten oder im internationalen Handel vorkommen. Wir haben hierzu Experten aus verschiedenen Rechtsgebieten sowie Vertreter aus Firmen und Regierungen eingeladen. Sie alle werden in ihren Beiträgen das Thema aus verschiedenen Blickwinkeln beleuchten. Ein Highlight des Tages wird sicher der Beitrag von Monty Raphael, einer der grossen Londoner Strafrechtler, der die Tagung mit einer Keynote-Präsentation zu Cybersecurity abschliessen wird.
«Regulating International Transfers of Data»
Die Konferenz «Regulating International Transfers of Data» findet am 7. April 2016 im Pro Iure Auditorium der Juristischen Fakultät statt. Die Veranstaltung beginnt um 8.30 Uhr und dauert bis ca. 19 Uhr. Die Teilnahmegebühr zur Kostendeckung beträgt CHF 90.00.
