Seitdem die europäischen Datenschutz-Grundverordnung (DSGVO) am 25. Mai in Kraft getreten ist, müssen europäische und nicht-europäische Unternehmen, Organisationen und Institutionen, die ihre Produkte und Dienstleistungen auf in Europa lebende Menschen ausrichten, mit hohen Bußgeldern rechnen.
Die DSGVO besteht aus einer Reihe strenger Regeln, die den Bürgern der Europäischen Union (EU) die Kontrolle über ihre persönlich identifizierbaren Informationen (PII) ermöglichen. Diese Vorschriften haben bei vielen Unternehmen Befürchtungen ausgelöst, dass ihnen Bußgelder von bis zu vier Prozent ihres jährlichen, weltweiten Umsatzes oder 20 Millionen Euro drohen, falls sie die Einhaltung der DSGVO nicht gewährleisten können.
Doch eine wichtige Frage ist, ob die DSGVO in qualitativer und quantitativer Weise auch für US-amerikanische Behörden gilt?
Der Sprecher des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BFDI), Dirk Hensel, sagte den Deutschen Wirtschaftsnachrichten: „Wenn eine US-Regierungsbehörde nicht den europäischen Markt mit Gütern und Dienstleistungen anvisiert, dann müsste sie sich nicht an die DSGVO halten. Doch ich denke nicht, dass derartige Fälle oft auftreten werden.” Auf Nachfrage, ob der DSGVO auch die Aktivitäten von US-Sicherheitsbehörden in Europa umfasst, antwortete Hensel: „Der DSGVO umfasst weder die Aktivitäten von europäischen noch US-amerikanischen Sicherheitsbehörden oder Regierungsbehörden in der EU. Das gilt auch für die Sicherheitsbehörden von anderen Drittstaaten”.
Demnach dürfen ausländische Regierungen, Strafverfolgungsbehörden wie etwas das FBI und Geheimdienste weiter ohne Einschränkungen Daten erheben, weitergeben und nach Belieben bearbeiten.
Auch technisch ist das mittlerweile höchstgerichtlich geklärt: IT-Dienstleister müssen alle Daten an den BND weitergeben, der diese Daten dann wiederum an andere Dienste weitergeben kann.
Wenn beispielsweise die Tourismusabteilung eines US-Bundesstaates eine Werbekampagne startet, um die in Deutschland lebenden Einwohner für eine Reise zu begeistern, würden nach Angaben von Hensel alle PII-Daten, die der betroffene US-Bundesstaat über diese deutschen Bürger sammelt, unter die DSGVO fallen.
Wenn jedoch die jeweilige Tourismusabteilung des betroffenen US-Bundesstaats ein PR-Unternehmen beauftragt, die potenziellen Touristen in Deutschland und in der EU zu erreichen, muss das PR-Unternehmen sich an die DSGVO halten.
Anya Burgess, Sprecherin des britischen Datenschutzbeauftragten, sagte dem Technologiemagazin Government Technology, dass die DSGVO nur dann gilt, wenn Personen, die das Produkt oder die Dienstleistung erhalten, in Europa leben.
Demnach gilt die DSGVO nicht, wenn eine US-Regierungsbehörde PII-Daten über einen Bürger Europas erfasst, der in den USA lebt und die Dienste oder Produkte dieser Behörde in den USA nutzt.
Bei Personen, die in Europa leben, gilt dagegen: Alle Unternehmen, Institutionen, Organisationen und Behörden, die personenbezogene Daten von Personen mit Wohnsitz in der Europäischen Union verarbeiten, müssen diese Datenschutzbestimmungen einhalten – unabhängig davon, wo sich die Einrichtung befindet. Die DSGVO verlangt von den Unternehmen, dass sie PII-Daten in einer klaren, einfachen Sprache anfordern und das Einwilligungsformular an die Information anfügen, warum die Daten benötigt werden. Bevor eine Regierungsbehörde oder andere Stellen die PII-Daten verwenden können, müssten sich die Benutzer mit ihrer Zustimmung anmelden – und diese Zustimmung auch genauso einfach widerrufen können, wie es in der DSGVO vorgesehen ist.
Insgesamt besteht das Ziel der DSGVO darin, den europäischen Bürgern Transparenz bei der Verwendung ihrer personenbezogenen Daten zu bieten, die Kontrolle über ihre eigenen Daten zu verbessern und die Maßnahmen zum Schutz dieser Daten zu verbessern.
Nach Angaben von Will Saunders, dem leitenden Programmmanager für Open-Data am Washington State Office of Privacy and Data Protection (OPDP), hielt das OPDP im März 2018 eine Mitarbeiterversammlung zur Erörterung von DSGVO-Fragen ab.
Alex Alben, Staatsdirektor für Datenschutz des US-Bundesstaats Washington, leitete eine Diskussion darüber ein, wie viel Risiko Washington im Rahmen der DSGVO eingeht. Eines der Themen bezog sich auf die Tatsache, dass es Europäer gibt, die Dienstleistungen des US-Bundesstaats Washington in Anspruch nehmen. Daraus ergab sich die Frage, welche potenziellen Risiken dies für den US-Bundesstaat nach sich ziehen könnte. „Die Zahl der Europäer, die staatliche Dienste in Anspruch nehmen, ist ziemlich gering und der Staat bemüht sich bereits, seine PII auf einem Minimum zu halten”, so Saunders.
Die DSGVO-Beraterin Sheila FitzPatrick, Gründerin von FitzPatrick & Associates, meint, dass die staatlichen und lokalen Regierungen im Vergleich zu den US-Bundesbehörden wahrscheinlich nicht viele PII-Daten über europäische Einwohner besitzen.
„Regierungen neigen dazu, Daten festzuhalten. Aber im Rahmen der DSGVO werden sie das in den meisten Fällen nicht tun können (...). Die föderalen und lokalen Behörden und Gemeinden sind von der DSGVO nicht ausgenommen”, argumentiert FitzPatrick.
***
Für PR, Gefälligkeitsartikel oder politische Hofberichterstattung stehen die DWN nicht zur Verfügung. Bitte unterstützen Sie die Unabhängigkeit der DWN mit einem Abonnement:
Hier können Sie sich für einen kostenlosen Gratismonat registrieren. Wenn dieser abgelaufen ist, werden Sie von uns benachrichtigt und können dann das Abo auswählen, dass am besten Ihren Bedürfnissen entspricht. Einen Überblick über die verfügbaren Abonnements bekommen Sie hier.