DSGVO Daten Souveränität Begriffsbestimmungen

Die DSGVO ist kein Schutzschild für die Souveränität

Die DSGVO wird als Beweis für digitale Unabhängigkeit angeführt. Dabei wird ein Recht des Einzelnen mit einer Industriepolitik verwechselt. Zwei Fragen, zwei Antworten und ein Knoten, den es zu entwirren gilt.

·6 Min. Lesezeit

In den Ausschüssen taucht diese Argumentation wie ein Reflex immer wieder auf. Wir halten uns an die DSGVO, also sind wir souverän. Dieser Satz beruhigt, ist aber falsch. Die DSGVO schützt Personen vor dem Missbrauch ihrer Daten. Sie sagt nichts über Ihre Abhängigkeit von einem Anbieter aus, nichts über die Herkunft Ihrer Infrastruktur, nichts über ausländisches Recht, das möglicherweise Vorrang vor dem eigenen hat. Das sind zwei getrennte Fragen. Man verwechselt sie, weil sie ein gemeinsames Wort haben – „Daten“ – und weil das Wort „Souveränität“ mittlerweile als Schlagwort für alles dient, was mit der europäischen Digitalwirtschaft zu tun hat.

Stellen wir beide Themen nebeneinander, ohne das eine zu überbetonen, um das andere zu retten.

Was die DSGVO genau bewirkt

Die Verordnung (EU) 2016/679, die im Mai 2018 in Kraft trat, hat einen ganz konkreten Zweck: den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Es handelt sich weder um einen Infrastrukturtext noch um eine Industriepolitik. Es ist ein Recht der Menschen, verbunden mit Pflichten für diejenigen, die ihre Daten verarbeiten.

Für die betroffenen Personen schafft sie einklagbare Rechte: Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch, Einschränkung der Verarbeitung. Sie können verlangen, dass Ihnen mitgeteilt wird, welche Daten über Sie gespeichert sind, dass diese berichtigt oder gelöscht werden und dass sie Ihnen in einem wiederverwendbaren Format zur Verfügung gestellt werden. Auf Seiten der Organisationen erlegt es dem für die Verarbeitung Verantwortlichen – also demjenigen, der über die Verarbeitungszwecke entscheidet – sowie dem Auftragsverarbeiter – also demjenigen, der im Auftrag des Ersteren verarbeitet – Verpflichtungen auf. Jede Datenverarbeitung muss auf einer von sechs Rechtsgrundlagen beruhen: Einwilligung, Erfüllung eines Vertrags, gesetzliche Verpflichtung, Schutz lebenswichtiger Interessen, Aufgabe im öffentlichen Interesse oder berechtigtes Interesse. Außerhalb dieser sechs Fälle ist die Datenverarbeitung unzulässig.

Zwei Grundsätze strukturieren den Rest. Die Datenminimierung: Es werden nur die Daten erhoben, die für den angegebenen Zweck erforderlich sind, nicht mehr, nur für den Fall der Fälle. Die Zweckbindung: Daten, die für einen bestimmten Zweck erhoben wurden, dürfen nicht beliebig für einen anderen Zweck verwendet werden. Hinzu kommen die Sicherheitspflicht, die Meldung von Datenschutzverletzungen innerhalb von 72 Stunden und die Folgenabschätzung bei risikobehafteten Verarbeitungen. Das ist der Geltungsbereich. Er ist kohärent, anspruchsvoll und ganz auf den Schutz des Einzelnen ausgerichtet.

Was sie nicht regelt

Nichts in diesem Rahmen berührt die industrielle oder technologische Souveränität. Die DSGVO verbietet weder AWS noch Azure oder Google Cloud. Sie regelt die Art und Weise, wie dort personenbezogene Daten verarbeitet werden, und verlangt Garantien, schreibt jedoch nicht vor, von wem die Infrastruktur bezogen werden muss. Ein Unternehmen kann seine gesamten Systeme bei einem amerikanischen Hyperscaler hosten und dennoch die Vorschriften vollständig einhalten, sofern es die rechtlichen Grundlagen, den Grundsatz der Datenminimierung und die Sicherheitsverpflichtungen beachtet.

Die Verordnung schafft keine lokalen Angebote. Sie finanziert keine Rechenzentren, fördert nicht die Entstehung europäischer Anbieter und verringert in keiner Weise die Abhängigkeit des Kontinents von einer Handvoll ausländischer Akteure. Das ist nicht ihre Aufgabe, und wer ihr diese Absicht unterstellt, missversteht den Text.

Sie verbietet auch nicht die Datenübermittlung außerhalb der Union. Sie regelt sie. Eine Übermittlung in ein Drittland ist zulässig, wenn sie auf einer Angemessenheitsentscheidung, auf Standardvertragsklauseln oder auf verbindlichen Unternehmensregeln beruht. Regeln heißt nicht verhindern. Europäische Daten fließen rechtmäßig in Rechtsordnungen, in denen das lokale Recht von unserem abweicht.

Und sie löst auch nicht die Frage des CLOUD Act. Dieser US-amerikanische Gesetzestext aus dem Jahr 2018 ermächtigt die US-Behörden, Daten von einem Unternehmen zu verlangen, das ihrer Gerichtsbarkeit unterliegt, unabhängig davon, wo diese gespeichert sind. Die DSGVO stellt diesem Anspruch ihre eigenen Anforderungen entgegen, hebt jedoch die rechtliche Anknüpfung des Betreibers nicht auf. Der Rechtskonflikt bleibt bestehen. Die Einhaltung der Verordnung beseitigt nicht die Geltung eines ausländischen Rechts gegenüber Ihrem Anbieter.

Woher kommt die Verwirrung, und warum hält sie an?

Die Verwirrung hat einen logischen Ursprung. Die DSGVO ist das bekannteste und in den Medien am meisten beachtete europäische Gesetz im Digitalbereich – das einzige, das Führungskräfte aus dem Stegreif zitieren können. Wenn man nach einem Symbol für die digitale Autonomie des Kontinents sucht, drängt sich gerade diese Verordnung in den Vordergrund, da es keinen anderen so sichtbaren Bezugspunkt gibt. Europa hat Gesetze erlassen, wo sich andere mit Allgemeinen Geschäftsbedingungen begnügten: Dieser normative Vorsprung wurde mit einem Machtvorsprung verwechselt.

Diese Fehlinterpretation wurde durch den Sprachgebrauch noch verstärkt. Indem man die Kontrolle über die Datenverarbeitung immer wieder als „Datensouveränität“ bezeichnete, wurde der Eindruck erweckt, dass der Schutz von Daten gleichbedeutend damit sei, sie jeglichem ausländischen Einfluss zu entziehen. Das Marketing hat den Rest erledigt. Die Einhaltung der DSGVO zur Schau zu stellen, ist zu einem Argument der Beruhigung geworden, und diese Beruhigung hat sich in ein implizites Versprechen der Unabhängigkeit verwandelt. Die Verwirrung hält an, weil sie gelegen kommt: Sie ermöglicht es, ein Kästchen der Souveränität anzukreuzen, ohne etwas an der eigenen Infrastruktur zu ändern.

Die beiden Fragen, die voneinander zu trennen sind

Man muss zwei unterschiedliche Stränge im Blick behalten und akzeptieren, dass sie sich nicht überschneiden. Die DSGVO-Konformität ist eine Frage des Schutzes von Personen: Werden ihre Daten rechtmäßig, fair, auf der Grundlage der richtigen Rechtsgrundlagen und mit den richtigen Garantien verarbeitet? Die Abhängigkeit von der Infrastruktur ist eine Frage der industriellen Souveränität: Von wem ist man abhängig, um seine Systeme am Laufen zu halten, welchem Recht unterliegt dieser Anbieter, kann man ihn wechseln, ohne alles neu programmieren zu müssen?

Diese beiden Achsen stehen senkrecht zueinander, und alle vier Kombinationen kommen in der Realität vor. Man kann konform und abhängig sein: ein KMU, das alle Vorschriften einhält und vollständig bei einem dem CLOUD Act unterliegenden Hyperscaler gehostet wird. Man kann nicht konform und souverän sein: eine Behörde, die auf einer SecNumCloud-zertifizierten Infrastruktur hostet, aber ohne Rechtsgrundlage Daten erhebt und die Rechte der Menschen missachtet. Man kann beides sein oder weder das eine noch das andere. Der einzige unmögliche Fall ist der, den der vorherrschende Diskurs als gegeben voraussetzt: dass Konformität zu Souveränität führen würde. Das tut sie nicht.

Der Fall „Schrems II“ hat dies unmissverständlich gezeigt. Im Jahr 2020 erklärte der Gerichtshof der Europäischen Union das „Privacy Shield“ – das Abkommen, das Datenübermittlungen in die Vereinigten Staaten regelte – für ungültig, mit der Begründung, dass das US-amerikanische Überwachungsrecht keinen gleichwertigen Schutz garantiere. Formale Konformität reichte nicht mehr aus, da trotz aller vertraglichen Garantien ausländisches Recht auf die Daten einwirkte. Das dabei zutage getretene Problem war kein Mangel bei der Datenverarbeitung: Es war eine Frage der Gerichtsbarkeit und der Abhängigkeit. Die DSGVO hat dazu gedient, das Problem der Souveränität aufzudecken. Sie war nie das Instrument, um es zu lösen.

Für Führungskräfte ist die Schlussfolgerung eindeutig: Die Einhaltung der DSGVO ist notwendig und nicht verhandelbar. Aber die Einhaltung der DSGVO sagt nichts über Ihre Abhängigkeit von der Infrastruktur aus, noch über das Recht, das für Ihren Anbieter gelten könnte. Das sind zwei Aufgabenbereiche, zwei Budgets, zwei Entscheidungen. Sie zu verwechseln bedeutet, zu glauben, das eine sei geregelt, wenn man nur das andere behandelt.

Quellen

  • Verordnung (EU) 2016/679 (DSGVO), offizieller Text
  • CNIL, Informationsblätter zu den Rechtsgrundlagen, zur Datenminimierung und zu Datenübermittlungen in Länder außerhalb der EU, cnil.fr
  • EuGH, Urteil „Schrems II“, Rechtssache C-311/18, 16. Juli 2020
  • CLOUD Act (USA, 2018)
  • Europäischer Datenschutzausschuss (EDSA), Empfehlungen zu internationalen Datenübermittlungen