Im Rahmen der Verhandlungen zwischen den USA und der EU über das "Transatlantic Trade and Investment Partnership" (TTIP) taucht immer mehr die Sorge auf, dass durch solch ein Abkommen auch unsere europäischen Datenschutzstandards unterlaufen werden könnten. Zivilgesellschaft und Verbraucherschutzverbände in der EU und in den USA sind sich einig, dass mögliche Regelungen im Kapitel zu e-Commerce und elektronischen Datenflüssen eine Gefahr für Datenschutzrechte darstellen könnten. Die EU-Kommission beteuert immer wieder öffentlich und zuletzt auch bei der Anhörung der Grünen Europafraktion am 5. März 2014, dass sie kein Mandat habe, über Datenschutz zu verhandeln. Sie orientiert sich stattdessen an der Ausnahmeklausel aus Artikel XIV des GATS-Abkommens der Welthandelsorganisation WTO, laut der Datenschutzregeln nicht als Handelshemmnis bewertet werden dürfen.
Der Haken mit der "Interoperabilität"
Auf amerikanischer Seite wird dagegen alles versucht, um den europäischen Datenschutz zu unterlaufen. Dafür werden sogar neue Lobbyverbände gegründet - zum Beispiel die von der US-Großkanzlei Hogan Lovells koordinierte "Coalition for Privacy and Free Trade". Sie werben seit mehr als einem Jahr für "Interoperabilität" zwischen den europäischen und den amerikanischen Regeln zum Datenschutz. Damit ist eine gegenseitige Anerkennung der jeweiligen Regeln auf beiden Seiten des Atlantiks gemeint. Der Haken: Es gibt in den USA bis heute kein umfassendes Datenschutzgesetz, besonders im Bereich der Online-Daten und auch der Kreditbewertungen herrscht weitgehend Wilder Westen.
Der Safe-Harbor-Beschluss von 2000, nach dem sich US-Firmen freiwillig europäischen Standards unterwerfen können und dann auch personenbezogene Daten aus Europa verarbeiten dürfen, ist weitgehend wirkungslos. Das Europäische Parlament hat es bereits bei seiner Entstehung kritisiert und im Abschlussbericht der NSA-Sonderuntersuchung vom 12. März 2014 forderte es sogar seine Aussetzung. EU-Justizkommissarin Viviane Reding verhandelt Safe Harbor derzeit mit den USA neu, sie wird allerdings der neuen EU-Kommission nach den Europawahlen Ende Mai nicht mehr angehören. Von "Interoperabilität" kann also erst gar nicht die Rede sein, weil ein umfassendes Datenschutzrecht in den USA nicht existiert. Die Anforderungen in Europa umfassen aber viel mehr als Interoperabilität: Die EU-Datenschutzrichtlinie von 1995 verlangt ein "angemessenes" Datenschutzniveau in Drittstaaten, das mit dem Europäischen Grundrechtsschutz vergleichbar sein muss. Das die "Interoperabilität" überhaupt erst in die Kommunikation der Lobbyisten eingezogen ist soll die Forderung nach "Angemessenheit" im Europäischen Recht unterlaufen, die ja deutlich höhere Anforderungen stellt.
Sind Schengen-Routing und die EU-Cloud Handelshemmnisse?
Von amerikanischer Seite wird darüber hinaus seit einigen Monaten ein weiterer Trick versucht: Er entstand als Reaktion auf die Folgen der Snowden-Überwachungsaffäre. Teilweise wird seit den NSA-Enthüllungen gefordert, dass Routing der Datenpakete im Internet so zu ändern, dass sie einen bestimmten Weg nehmen und etwa innerhalb der EU oder gar innerhalb Deutschlands verbleiben, sofern Sender und Empfänger auch dort lokalisiert sind. Was auf den ersten Blick einleuchtend klingt - warum sollte eine Mail von Brüssel nach Berlin über New York gerouted werden? - ist technisch nicht einfach und in den Folgen gefährlich. Technisch ist es nicht trivial, weil das Internet-Protokoll mit seinen IP-Adressen einen logischen Adressraum benutzt, der von der darunter liegenden physischen Transportebene gar nicht wissen kann, wo sie sich geografisch befindet.
Es gibt zwar Dienste, um auch auf IP-Ebene Lokalisierung zu ermöglichen, aber schon meine eigene IP-Adresse im Europäischen Parlament in Brüssel etwa macht von außen betrachtet so aus, als käme ich aus Luxemburg. Selbst wenn ein solches Geo-Routing technisch machbar wäre, kann es nicht unser Ziel sein, die Topologie des transnationalen und globalen Internets wieder an nationale Grenzen anzugleichen. Dadurch würden nämlich schnell unerwünschte Folgen ausgelöst, etwa Rufe nach "Einreisekontrollen" für Datenpakete, was einer Internet-Zensur gleichkäme. Die Grünen haben im Abschlussbericht der NSA-Sonderuntersuchung beantragt, dass jeglicher Internet-Verkehr von beiden Seiten verschlüsselt werden müsse - dann wäre es egal, wie die Daten entlangfließen. Dieser Antrag wurde als Teil eines Kompromisses auch angenommen. Leider hat Bundeskanzlerin Merkel im Februar 2014 einen Vorstoß zum Europäischen Routing gemacht, der von den Medien breit aufgegriffen wurde. Die Diskussion köchelt also weiter.
Von den USA wird diese Debatte nun genutzt, um die europäischen Regeln zum Transfer und damit zum Schutz personenbezogener Daten zu kritisieren. Sie werfen Begriffe wie "Schengen-Netz", "Cloud Computing" und die Drittstaatenregeln der EU-Datenschutzrichtlinie in einen Topf und schreiben "Lokalisierung" darauf. Der US-Handelsbeauftragte Michael Froman hat bei der Vorstellung zu seines Berichts zu Handelsabkommen für den Telekommunikationsmarkt am 4. April 2014 gleiches getan: Er behauptete, europäische Regeln, die einen Datentransport oder eine Datenverarbeitung in Europa erfordern würden, seien ein Handelshemmnis. Solch eine "Lokalisierung" müsse als Handelshemmnis betrachtet werden.
Was in dieser Debatte auf europäischer Seite vielfach noch nicht verstanden wird: Die EU-Datenschutzregeln sind grundsätzlich Regeln zur Lokalisierung. Weil Datenschutz in Europa ein verbindliches Grundrecht mit Verfassungsrang in der EU-Grundrechtecharta ist, dürfen personenbezogene Daten grundsätzlich nur innerhalb Europas verarbeitet werden. Alle Regeln zum Transfer solcher Daten in Drittstaaten stellen Ausnahmen davon dar, die bestimmte Bedingungen erfüllen müssen - wie etwa ein angemessenes Schutzniveau in dem Drittstaat, in den unsere persönlichen Daten fließen sollen.
Der "Digital Trade Act" und TTIP
Ein im Dezember 2013 im US-Senat eingebrachter Entwurf für eine "Digital Trade Act", also ein "Digitales Handelsgesetz", würde US-Handelsbeauftragten ein Mandat für internationale Verhandlungen im Bereich des Online-Handels geben. Regelungen zur "Lokalisierung" müssten verboten werden und "Interoperabilität" als Grundprinzip festgeschrieben werden. Das gilt auch für das entsprechende Kapitel in TTIP. Der Gesetzesentwurf befindet sich derzeit in den Ausschüssen.
Ähnliche Vorgaben sind auch in dem Entwurf für einen überparteilichen "Trade Priorities Act" enthalten. Entwürfe der USA für das e-Commerce-Kapitel von TTIP enthalten laut Aussagen von Kommissionsvertretern bereits die zwei Ausschlag gebenden Punkte: die Festschreibung der "Interoperabilität" und ein Verbot von "Lokalisierung".
Die EU-Kommission darf auf diese Forderungen der USA im Rahmen ihres Verhandlungsmandates eigentlich nicht im geringsten eingehen, doch am Ende solcher Verhandlungen kommt immer ein Kompromiss heraus. Es ist daher zu befürchten, dass TTIP am Ende zumindest in abgeschwächter Form Regelungen enthalten wird, die unsere Datenschutzstandards unterlaufen.
Im Kontext der Snowden-Enthüllungen ist darüber hinaus deutlich geworden, dass Europa dringend in den Aufbau einer unabhängigen IT-Industrie investieren muss. Dies gilt bis hinunter zur Hardware-Ebene, wenn Europa mittelfristig vor der Massenüberwachung durch die NSA geschützt sein will. Ein Handelsabkommen darf eine solche bevorzugte Behandlung von europäischen Unternehmen nicht verbieten - es bedürfe sogar einer Schutzpflicht des Staates wie der ehemalige Bundesverfassungsrichter Wolfgang Hoffmann-Riem im Januar in Brüssel bekräftigte.
Schutz für Investoren oder Daten?
Beim Thema "TTIP oder Datenschutz" befinden wir uns auch in einem Wettlauf mit der Zeit. Die EU modernisiert bereits seit zwei Jahren ihre Datenschutzgesetze. Ich habe als Verhandlungsführer des Europäischen Parlaments für die neue Datenschutz-Grundverordnung am 12. März 2014 ein starkes Mandat in der Plenarabstimmung erhalten - bei 653 abgegebenen Stimmen gab es nur zehn Gegenstimmen für einen deutlich verbesserten Datenschutz in Europa. Die Mitgliedsstaaten, leider auch die deutsche Bundesregierung, drehen sich im Kreis und können sich bislang nicht auf eine gemeinsame Verhandlungsposition einigen, um dann mit dem Parlament einen finalen Gesetzestext zu formulieren.
Falls das TTIP-Abkommen beschlossen werden sollte, bevor die EU-Datenschutzreform in Kraft tritt, können sich Unternehmen aus den USA unter Umständen auf die berüchtigten Klauseln zum Investorenschutz berufen und gegen die neuen und schärferen europäischen Datenschutzregeln vor intransparenten Schiedsgerichten klagen.
