Das "Schrems II - Urteil" des Europäischen Gerichtshofes und die Anforderungen an die zusätzlichen Maßnahmen im Datenschutz - Urteil" des ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Hochschule Rhein-Waal
Fakultät Kommunikation und Umwelt
Bachelor-Arbeit
Das „Schrems II - Urteil“ des Europäischen Gerichtshofes und die
Anforderungen an die zusätzlichen Maßnahmen im Datenschutz
vorgelegt von:
Benedikt Haaz
Medien- und Kommunikationsinformatik
Benedikt.haaz@hsrw.org
Erstberichterstatter: Prof. Dr. jur. Dieter Kopetz
Zweitberichterstatter: Prof. Dr.-Ing. Ido Iurgel
Matrikelnummer
23787Abstract
Our everyday is ruled by transporting data across the globe. It is unimaginable not being
able to communicate around the world nowadays.
It is not trivial to find suitable legal grounds for transferring data out of the European Union.
The European Commission must declare a country as safe to be able to transfer data in this
specific country. It is necessary to follow this principle not to violate any data protection laws.
Since the 16th of July 2020 it is not allowed to transfer any data into the United States using
the “Privacy Shield” as a legal safeguard due to the judgment of the European Court. There
are still methods for legitimizing data transfers such as ”Binding Corporate Rules (BCR’s)”
or “Standard contractual clauses”. Those well-known legal safeguards are only available for
transferring data into the United States if “additional measures” were taken according to the
European Court. To this day no official instance announced what those “additional
measures” could be.
This bachelor thesis will analysis the problems a possible “additional measure” must face.
To achieve this goal the method of literature review will be used. Many older and newer
professional article, books, laws and jurisprudence will be researched and analysed to an-
ticipate the needs for a “additional measure”.
Since the European Court complained in its jurisprudence about the lack of data security
due to the enhanced possibilities of the US intelligence authorities inside the United States
a possible outcome of this bachelor thesis could be the need to encrypt every data that is
been send to the United States. Other possibilities could be to transfer the place where the
data is processed into the European Union.
iiInhaltsverzeichnis
Seite
1 Maximilian Schrems – David gegen Goliath ..................................................................1
2 Historie des Datenschutzes zwischen der EU und den USA .........................................3
2.1 Das „Safe Harbour“ – Abkommen ............................................................................. 3
2.2 Die Person Maximilian Schrems ................................................................................ 4
2.3 Das Schrems I – Urteil des EUGH vom 6. Oktober 2015 .......................................... 4
2.4 Das “Privacy Shield” – Abkommen ............................................................................ 5
2.5 Das Schrems II – Urteil des EUGH vom 16. Juli 2020 .............................................. 6
3 Die aktuelle datenschutzrechtliche Lage und damit verbundene Problemstellung ........8
3.1 Standarddatenschutzklauseln.................................................................................... 8
3.2 Verbindliche interne Datenschutzvorschriften ........................................................... 8
3.3 Erforderliche zusätzliche Maßnahmen ...................................................................... 9
4 Ansätze für zusätzliche Maßnahmen ...........................................................................10
4.1 Anonymisierung der Daten ...................................................................................... 10
4.1.1 Rechtliche Aspekte................................................................................................. 10
4.1.1.1 Rechtliches Ziel der Maßnahme.......................................................................... 10
4.1.1.2 Begrifflichkeiten: Anonymisierung vs. Pseudonymisierung ................................. 10
4.1.1.3 Gesetzliche Grundlagen: DS-GVO, BDSG, KDG, etc. ........................................ 11
4.1.2 Mögliche Umsetzung der Maßnahme .................................................................... 12
4.1.2.1 Technische Umsetzung ....................................................................................... 12
4.1.2.2 Organisatorische Umsetzung .............................................................................. 14
4.1.2.3 Vertragliche Umsetzung ...................................................................................... 14
4.1.3 Probleme der Maßnahme....................................................................................... 15
4.1.3.1 Unmöglichkeit der Anonymisierung ..................................................................... 15
4.1.3.2 Zweckmäßigkeit einer Anonymisierung bei Aufgabenerfüllung........................... 16
4.1.4 Praktische Anwendung der Maßnahme ................................................................. 17
4.2 Zentralisierung der Datenverarbeitung in der EU .................................................... 18
4.2.1 Rechtliche Aspekte................................................................................................. 18
iii4.2.1.1 Rechtliches Ziel der Maßnahme.......................................................................... 18
4.2.1.2 Standortfragen..................................................................................................... 18
4.2.2 Mögliche Umsetzung der Maßnahme .................................................................... 20
4.2.2.1 Technische Umsetzung ....................................................................................... 20
4.2.2.2 Organisatorische Umsetzung .............................................................................. 22
4.2.2.3 Vertragliche Umsetzung ...................................................................................... 22
4.2.3 Probleme der Maßnahme....................................................................................... 23
4.2.3.1 Patriot-Act............................................................................................................ 23
4.2.3.2 CLOUD-Act ......................................................................................................... 25
4.2.4 Praktische Anwendung der Maßnahme ................................................................. 27
4.3 Verschlüsselung der Daten vor der Übermittlung .................................................... 28
4.3.1 Rechtliche Aspekte................................................................................................. 28
4.3.1.1 Rechtliches Ziel der Maßnahme.......................................................................... 28
4.3.1.2 Zugangsverweigerung zum geistigen Eigentum ................................................. 29
4.3.2 Mögliche Umsetzung der Maßnahme .................................................................... 30
4.3.2.1 Technische Umsetzung ....................................................................................... 30
4.3.2.2 Organisatorische Umsetzung .............................................................................. 31
4.3.2.3 Vertragliche Umsetzung ...................................................................................... 31
4.3.3 Probleme der Maßnahme....................................................................................... 32
4.3.3.1 Verbot von Verschlüsselung im Drittland ............................................................ 32
4.3.3.2 Verwaltung des Schlüssels ................................................................................. 33
4.3.3.3 Nutzbarkeit der Daten ......................................................................................... 33
4.3.3.4 Brechen der Verschlüsselung ............................................................................. 35
4.3.4 Praktische Anwendung der Maßnahme ................................................................. 36
5 Fazit für die „zusätzlichen Maßnahmen“ im Datenschutz ............................................37
6 Literaturverzeichnis ......................................................................................................39
7 Anhangsverzeichnis .....................................................................................................41
8 Anhang .........................................................................................................................42
ivAbkürzungsverzeichnis
Abkürzung
Aktz…………...……………………………………………………………………….Aktenzeichen
amtl………………………………………………………………………amtliche Veröffentlichung
BCR………….….…Binding Corporate Rules (Verbindliche interne Datenschutzvorschriften)
BDSG………………………………………………………………..…Bundesdatenschutzgesetz
DS-GVO……………………………………………………….....Datenschutz-Grundverordnung
EK………………………………………………………………………..Europäische Kommission
ErwG…………………………………………………………………………..…..Erwägungsgrund
EUGH………………………………………………………………..….Europäischer Gerichtshof
FISA………………………………………………………...Foreign Intelligence Surveillance Act
FISC……………………………………………………...Foreign Intelligence Surveillance Court
KDG……………………………..Gesetz für den Kirchlichen Datenschutz (römisch-katholisch)
NOYB…………………………………………………………………..…..None of Your Business
Rn……………………………………………………………………………………...Randnummer
SDK……...…………………………………………………………Standarddatenschutzklauseln
TOM………………………………………………..…….technisch organisatorische Maßnahme
USV………………………………………………………Unterbrechungsfreie Stromversorgung
vgl.…………………………………………………………………………………………vergleiche
v1 Maximilian Schrems – David gegen Goliath
Unsere moderne Gesellschaft wird unter anderem maßgeblich durch den weltweiten Daten-
verkehr ermöglicht. Social Media, Streaming, News, Bankgeschäfte, grundlegende Kommu-
nikation sowie viele, wenn nicht gar alle, andere Bereiche unseres Lebens geschehen über
das Internet. Daten werden in rekordverdächtigen Mengen quer über den Globus gejagt und
lange Zeit hat sich niemand Gedanken über den Schutz dieser Daten gemacht. Der Daten-
schutz ist aus heutiger Sicht zwar nicht gänzlich neu, endgültig ausgereift ist er jedoch eben-
falls nicht.
Um besagten Datenverkehr sicher betreiben zu können, ist es unumgänglich, die Aspekte
des Datenschutzes zu berücksichtigen. Die Möglichkeit, Daten aus dem europäischen
Rechtsraum in ein unsicheres Drittland zu übermitteln und somit den Datenschutz zu um-
gehen, ist eines der großen Probleme. In den „allgemeinen Grundsätzen der Datenübermitt-
lung“ des Art. 44 DS-GVO ist festgelegt, dass jedwede Übermittlung personenbezogener
Daten nur zulässig ist, wenn die dort niedergelegten Bedingungen sowie alle weiteren Best-
immungen dieser Verordnung eingehalten werden.
Um die Übermittlung zu ermöglichen, muss die Europäische Kommission beschließen, dass
ein jeweiliges Drittland, in welches Daten übermittelt werden sollen, ein angemessenes
Schutzniveau bietet (Art. 45 DS-GVO). Durch bekannte Internetdienstleister, wie z.B. Face-
book, Amazon, Google ist gerade in unserer modernen Gesellschaft die Datenverbindung
in die USA von besonderem Interesse. Dies ist maßgeblich auf die Tatsache zurückzufüh-
ren, dass die weltweit relevantesten Internetdienstleister, Webseiten, Streaming Anbieter
und Social Media Plattformen alle aus den USA stammen. Seit dem Jahr 2000 existieren zu
verschiedenen Zeitpunkten verschiedene Abkommen mit den USA, um die Datenübermitt-
lung sicher zu gestalten. Alle Bewertungen dieser Abkommen als angemessen konnten je-
doch einer juristischen Prüfung nicht standhalten. Somit wurde die Gültigkeit aller verhan-
delten Abkommen widerrufen.
Am 16. Juli 2020 wurde die Gültigkeit des „Privacy Shield“ – Abkommens, das bis dahin
letzte Übermittlungsabkommen mit den USA, von dem Europäischen Gerichtshof widerru-
fen. In dem Urteil des EUGH vom 16. Juli 20201 stimmte der Europäische Gerichtshof dem
Kläger Maximilian Schrems, welcher zuvor bereits für das erfolgreiche Anfechten des
1
EUGH, Urteil vom 16.07.2020, Aktz: C – 311/18.
1vorangegangenen „Safe Harbour“ – Abkommens verantwortlich war2, in seinen Bedenken
zu dem Privacy Shield zu. Seither ist es nicht mehr möglich, Daten in die USA aufgrund
dieser Vertragsgrundlage zu übermitteln. Dennoch gibt es andere Rechtsgrundlagen, wie
die Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DS-GVO) oder die verbindlichen in-
ternen Datenschutzvorschriften (Art. 46 Abs. 2 lit. b DS-GVO), um weiterhin die Datenüber-
mittlung in die USA zu rechtfertigen. Diese Rechtsgrundlagen sind laut dem Europäischen
Gerichtshof jedoch nur weiterhin gültig, wenn geeignete „zusätzliche Maßnahmen“ getroffen
wurden3.
Wie solche Maßnahmen auszusehen haben, wurde jedoch nicht näher erörtert. Dennoch
sind diese Maßnahmen essenziell, um weiterhin legal Daten übermitteln zu können. Mit die-
ser Frage wird sich diese Ausarbeitung befassen. Einen Ausblick auf ein mögliches Resultat
liefert bereits das Urteil selbst. Aus diesem geht hervor, dass die Hauptbedenken des Euro-
päischen Gerichtshofes daher rühren, dass etwaige Nachrichtendienste der USA nahezu
unbeschränkte Zugriffe und Handlungsmöglichkeiten im Umgang mit Daten aus der EU ha-
ben. Ein möglicher Ansatz für eine „zusätzliche Maßnahme“ wäre beispielsweise die Be-
schränkung der Möglichkeiten der Nachrichtendienste. Dies wäre jedoch eine Änderung,
welche von den amerikanischen Zuständigen umgesetzt werden müsste. Für die EU könnte
es ein lohnender Ansatz sein, den Zugriff auf den Inhalt der personenbezogenen Daten
selbst einzugrenzen.
2
EUGH, Urteil vom 06.10.2015, Aktz: C – 362/14.
3
EUGH, Urteil vom 16.07.2020, Aktz: C – 311/18.
22 Historie des Datenschutzes zwischen der EU und den USA
Der Datenschutz zwischen der EU und den USA hat eine lange Vorgeschichte. Auch wenn
der Kerninhalt dieser Arbeit, zusätzliche Maßnahmen zur Datenübermittlung in Drittländer,
theoretisch auf jedes Drittland angewendet werden kann, so gilt der USA im Bereich des
Datenschutzes immer ein besonderes Augenmerk. Dies rührt nicht zuletzt daher, dass die
weltweit relevantesten Internetdienstleister, Webseiten, Streaming Anbieter und Social Me-
dia Plattformen alle aus den USA stammen.
Für unsere moderne Gesellschaft, besonders für die jüngeren Generationen, ist eine durch-
gängige Datenverbindung mit den USA essenziell. Da gleichzeitig auch die Menge der (per-
sonenbezogenen) Daten steigt4, ist der Datenschutz, gerade zwischen der EU und der USA,
wichtiger als je zuvor.
2.1 Das „Safe Harbour“ – Abkommen
Eine mögliche Rechtsgrundlage, um Daten in ein Drittland zu übermitteln, ist der soge-
nannte Angemessenheitsbeschluss. Dieser wird in Art. 45 DS-GVO erwähnt. Grundsätzlich
besagt ein Angemessenheitsbeschluss, welcher von der Europäischen Kommission (im Fol-
genden: EK) erlassen wird, dass ein etwaiges Drittland ein angemessenes Datenschutzni-
veau besitzt und es daher legitim ist, Daten in dieses Drittland zu transferieren. Diesen
Grundgedanken des Angemessenheitsbeschlusses gab es seit der Richtlinie 95/46/EG,
auch Datenschutzrichtlinie genannt, die am 24 Oktober 1995 verabschiedet wurde.
Das „Safe Harbour“ – Abkommen5 trat im Juli 2000 in Kraft und war seiner Zeit der erste
Angemessenheitsbeschluss der EK, auf dessen Grundlage Daten in die USA übermittelt
werden durften. Dies galt jedoch nicht pauschal für die gesamte USA.
Zusammengefasst ist das „Safe Harbour“ – Abkommen eine Art Zertifikat. Obwohl die USA
selbst kein angemessenes Datenschutzniveau besitzen, konnten sich US-Firmen öffentlich
bei dem „Safe Harbour“ – Abkommen „einschreiben“ und somit öffentlich kundtun, dass sie
sich an die europäischen Datenschutzstandards halten würden5.
Herr Maximilian Schrems sah in diesem Verfahren jedoch eine Verletzung des europäischen
Datenschutzrechts. Seit 2013 ist, dank Edward Snowden, allgemein bekannt, dass die Be-
hörden der USA weitaus mehr Zugriff auf die Daten innerhalb der USA haben, als bis dahin
bekannt war. Dies begründet sich maßgeblich auf den 2001 in Kraft getretenen PATRIOT-
ACT der USA (vgl. Kapitel „4.2.3.1 Patriot-Act“). Herr Schrems hat in einem Schreiben an
4
BfDI, Anonymisierung unter der DS-GVO unter besonderer Berücksichtigung der TK-Branche, S 3.
5
EK, Entscheidung vom 26.07.2000, Aktz: K(2000) 2441.
3den Datenschutzbeauftragten Irlands seine Sorge zum Ausdruck gebracht, dass die Daten
innerhalb der USA nicht konform mit den europäischen Vorgaben behandelt werden könn-
ten.
2.2 Die Person Maximilian Schrems
Maximilian Schrems wurde 1987 in Salzburg geboren, wo er auch in die Schule ging. Für
sein Studium der Rechtswissenschaften zog er 2007 nach Wien, wo er seitdem – mit Aus-
nahme eines Auslandsaufenthalts an der US-Universität Santa Clara in Kalifornien – lebt.
Mit seiner Initiative unter dem Titel „Europa gegen Facebook“ will der 26-Jährige das soziale
Netzwerk zu mehr Transparenz und einem verantwortungsvolleren Umgang mit den Daten
seiner Nutzer bewegen6.
Ihm ist das Schrems I sowie auch das Schrems II Urteil, welche beide als Meilensteine im
Datenschutz gelten, zu verdanken. Weiterhin gründete er den Verein „NOYB – None of Your
Business“, der sich der Durchsetzung des Datenschutzes verschrieben hat7.
2.3 Das Schrems I – Urteil des EUGH vom 6. Oktober 2015
Das Schrems I Urteil deckte eine maßgebliche Schwäche des „Safe Harbour“ – Abkommens
auf8.
Am 25 Juni 2013 richtete sich Maximilian Schrems mit einem Schreiben an den irischen
Datenschutzbeauftragten9. In diesem Schreiben bringt Herr Schrems seine Sorge zum Aus-
druck, dass seine Daten sowie vermutlich die Daten aller EU-Mitbürger, welche einen Fa-
cebook-Account besitzen, im großen Maßstab an die NSA weitergeleitet werden würden.
Das Problem begründe sich auf das amerikanische Recht, welchem Facebook Ireland Ltd.
unterliegen würde (vgl. Kapitel „4.2.3.1 Patriot-Act“). Herr Schrems forderte eine Untersu-
chung dieser Sachlage.
Der irische Datenschutzbeauftragte lehnte die weitere Untersuchung ab, da Facebook Teil
des „Safe Harbour“ – Abkommens sei und somit kein weiterer Handlungsgrund bestehen
würde10. Folglich richtete sich Herr Schrems an den High Court, um Klage gegen diese An-
sicht einzureichen11. Der High Court stellte fest, dass die Klage von Herrn Schrems de facto
6
Edition-A, Max Schrems – Kämpf um deine Daten, erreichbar unter: www.edition-a.at, Abrufdatum: 20.04.21.
7
NOYB – My Privacy is None of Your Business, erreichbar unter: www.noyb.eu, Abrufdatum: 20.04.21.
8
EUGH, Urteil vom 06.10.2015, Aktz.: C – 362/14.
9
Schrems/ Complaint against Facebook Ireland Ltd – 23 „PRISM“, erreichbar unter: www.europe-v-facebook.org,
Aufgerufen am: 08.03.2021.
10
EUGH, Urteil vom 06.10.2015, Aktz.: C – 362/14, Rn. 29.
11
EUGH, Urteil vom 06.10.2015, Aktz.: C – 362/14, Rn. 30.
4die Rechtmäßigkeit des „Safe Harbour“ – Abkommens infrage stelle12. Um diese übergeord-
nete Frage zu klären, reichte der High Court das Anliegen an den EUGH weiter.
Im darauffolgenden Urteil des EUGH vom 6. Oktober 2015 (Schrems I Urteil) stellt der
EUGH fest, dass das „Safe Harbour“ – Abkommen aufgrund der Überwachungsmechanis-
men der USA nicht mehr fortgeführt werden kann13. Damit stimmt der Gerichtshof Herrn
Maximilian Schrems in seinen Bedenken zu.
2.4 Das “Privacy Shield” – Abkommen
Nachdem das „Safe Harbour“ – Abkommen gekippt wurde, fiel diese Rechtsgrundlage für
Datenübermittlungen in die USA weg. Da dieser Zustand nicht haltbar war, wurde zeitnah
ein neues Abkommen geschlossen.
Am 12. Juli 2016 beschloss die EK den „EU-US-Datenschutzschild“14 (im Folgenden: „Pri-
vacy Shield“).
Das „Privacy Shield“ – Abkommen beruhte auf derselben Funktionsweise wie das „Safe
Harbour“ – Abkommen. Wieder war es angedacht, dass sich Firmen mit Sitz in den USA
selbstlizensieren, indem sie sich öffentlich verpflichten, die Datenschutz-Grundsätze der EU
einzuhalten. Grundsätzlich, auch wenn es im Detail abweicht, ist das „Privacy Shield“ – Ab-
kommen nahezu identisch mit dem „Safe Harbour“ – Abkommen und weist somit auch die-
selben Schwachstellen auf15.
Die einzigen Unterschiede des „Privacy Shield“ – Abkommen zum „Safe Harbour“ sind die
darin verbundenen politischen Zusicherungen der USA an die EU16. So sichert die USA zu,
dass die Befugnisse der US-amerikanischen Nachrichtendienste massiv eingeschränkt wer-
den sollen. Weiter sollen, und dies dürften die größten Unterschiede sein, wirksame Rechts-
behelfe für EU-Bürger eingeführt werden. So müssen bspw. US-amerikanische Unterneh-
men den Beschwerden von EU-Bürgern innerhalb von 45 Tag nachkommen16. Das Prob-
lem, bei diesem doch überzeugend klingendem Argument, ist die Tatsache, dass es sich
allenfalls um politische Verbindlichkeiten handelt16. „Die EU ist letztlich von den Zusicherun-
gen der US-Behörden und dem Vertrauen auf deren tatsächliche Durchführung abhängig“17
- so Leffer.
12
EUGH, Urteil vom 06.10.2015, Aktz.: C – 362/14, Rn. 35.
13
EUGH, Urteil vom 06.10.2015, Aktz.: C – 362/14, Rn. 106.
14
EK, Entscheidung vom 12.06.2016, Aktz.: C(2016) 4176.
15
Leffer/ Mayer, EU-Datenschutz nach „Safe Harbour“.
16
Leffer/ Mayer, EU-Datenschutz nach „Safe Harbour“, S. 59.
17
Zitat: Leffer/Mayer,EU-Datenschutz nach „Safe Harbour“, S. 59 Abs. 2.
52.5 Das Schrems II – Urteil des EUGH vom 16. Juli 2020
Im Anschluss an das Schrems I Urteil des EUGH wurde der irische Datenschutzbeauftragte
angehalten, die von Herrn Schrems geforderten Untersuchungen durchzuführen18. Im Zuge
dieser Untersuchungen gab Facebook Ireland bekannt, dass ein Großteil der personenbe-
zogenen Daten auf der Grundlage, der im Anhang des „Beschlusses 2010/87/EU der Kom-
mission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personen-
bezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46, in der
durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember
2016 geänderten Fassung“19 (im Folgenden: SDK-Beschluss) enthaltenen Standarddaten-
schutzklauseln an die Facebook Inc. übermittelt werden18. Am 24. Mai 2016 veröffentlichte
der irische Datenschutzbeauftragte die Ergebnisse seiner Untersuchungen20. Er kam zu der
Auffassung, dass aufgrund der anhaltenden Massenüberwachung seitens der USA die
Standarddatenschutzklauseln im Anhang des SDK-Beschlusses nicht geeignet wären, um
den Datentransfer in die USA zu legitimieren20. Der irische Datenschutzbeauftragte gab sein
Ergebnis an den High Court weiter mit der Empfehlung, den EUGH mit der Prüfung der
Gültigkeit des SDK-Beschlusses zu beauftragen21.
In der folgenden Untersuchung des EUGH kam dieser zu dem Schluss, dass sich die prob-
lematischen nachrichtendienstlichen Tätigkeiten der amerikanischen Behörden maßgeblich
auf die Überwachungsprogramme PRISM und UPSTREAM berufen, welche sich wiederum
auf Section 702 FISA und die E.O. 12333 stützen22.
Der EUGH erklärt die Section 702 FISA in dem Schrems II Urteil wie folgt: „Zu Section 702
des FISA führt das vorlegende Gericht in diesem Urteil aus, der Justizminister und der Di-
rektor der nationalen Nachrichtendienste könnten gemäß dieser Vorschrift nach Billigung
durch den FISC gemeinsam zur Beschaffung von ‚Informationen im Bereich der Aus-
landsaufklärung‘ die Überwachung von Personen genehmigen, die keine amerikanischen
Staatsbürger seien (im Folgenden: Nicht-US-Personen) und sich außerhalb des Hoheitsge-
biets der Vereinigten Staaten aufhielten.“23
Die E.O. 12333 erörtert der EUGH in demselben Urteil wie folgt: „Die E.O. 12333 erlaube
der NSA den Zugang zu Daten, die ‚auf dem Weg‘ in die Vereinigten Staaten seien, mittels
Zugriff auf die am Grund des Atlantiks verlegten Seekabel, sowie die Sammlung und Spei-
cherung dieser Daten, bevor sie in den Vereinigten Staaten ankämen und dort den
18
EUGH, Urteil vom 16.07.2020, Aktz: C – 311/18, Rn. 54.
19
Zitat: EUGH, Urteil vom 16.07.2020, Aktz: C – 311/18, Rn. 1 Gedankenstrich 2.
20
EUGH, Urteil vom 16.07.2020, Aktz: C – 311/18, Rn. 56.
21
EUGH, Urteil vom 16.07.2020, Aktz: C – 311/18, Rn. 57.
22
EUGH, Urteil vom 16.07.2020, Aktz: C – 311/18, Rn. 60.
23
Zitat: EUGH, Urteil vom 16.07.2020, Aktz: C – 311/18, Rn. 61.
6Bestimmungen des FISA unterlägen. Die, auf die E.O. 12333 gestützten Tätigkeiten, seien
nicht gesetzlich geregelt.“24
Kurzgefasst besagen diese beiden Überwachungsprogramme zusammen, dass die NSA,
CIA als auch das FBI Zugriff auf alle Kommunikationsdaten haben, welche sich in den USA
oder auf dem Weg in die USA befinden. Darüber hinaus unterliegt dieser Zugriff keinen
gesetzlichen Regelungen25.
Facebook Ireland Ltd. vertrat die Auffassung, dass die Standarddatenschutzklauseln im An-
hang des SDK-Beschlusses weiterhin zutreffend seien, da die EK durch den „Privacy Shield“
die Angemessenheit der USA „bescheinigt“ hätte. Da sich daher die Frage nach der Ange-
messenheit nicht mehr stelle, sei auch die Verwendung der Standarddatenschutzklauseln
im Anhang des SDK-Beschlusses legitim26.
Im Laufe des Verfahrens kam der EUGH nach Prüfung aller Aspekte zu dem Schluss, dass
die Angemessenheit des „Privacy Shield“ maßgeblich aufgrund dieser Bedenken ungültig
sei27. Die Standarddatenschutzklauseln im Anhang des SDK-Beschlusses jedoch würden
weiterhin gelten, wenn „der Verantwortliche zusätzliche Maßnahmen ergreift, um die Ein-
haltung dieses Schutzniveaus zu gewährleisten“28.
24
Zitat: EUGH, Urteil vom 16.07.2020, Aktz: C – 311/18, Rn. 63.
25
EUGH, Urteil vom 16.07.2020, Aktz: C – 311/18, Rn. 61 - 63.
26
EUGH, Urteil vom 16.07.2020, Aktz: C – 311/18, Rn. 66.
27
EUGH, Urteil vom 16.07.2020, Aktz: C – 311/18, Rn. 201.
28
EUGH, Urteil vom 16.07.2020, Aktz: C – 311/18, Rn. 133.
73 Die aktuelle datenschutzrechtliche Lage und damit verbundene
Problemstellung
Seit dem Inkrafttreten des Schrems II Urteils des EUGH ist die Datenübermittlung in die
USA weitaus komplizierter geworden. Die „Pauschal“ – Lösung „Privacy Shield“ gibt es nicht
mehr. Daher müssen sich Datenexporteure nun andere rechtliche Grundlagen suchen. Für
Unternehmen wie Facebook, welche möglichst nichts an ihrer Unternehmensstruktur um-
stellen möchten und lediglich eine andere rechtliche Grundlage suchen, kommen hierfür
faktisch nur zwei Möglichkeiten in Frage: die Standarddatenschutzklauseln oder die verbind-
lichen internen Datenschutzvorschriften (im Folgenden: BCR). Anders als die bisher in die-
ser Arbeit angesprochenen Abkommen, welche sich auf Art. 45 DS-GVO berufen, handelt
es sich bei den Standarddatenschutzklauseln und den BCR um „geeignete Garantien“ nach
Art. 46 DS-GVO. Nach besagtem Artikel ist es möglich, Daten in ein Drittland zu übermitteln,
sofern „geeignete Garantien“ vorgesehen sind. „(…) geeignete Garantien können, ohne
dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre, beste-
hen in (…)“ (Art. 46 Abs. 2 DS-GVO).
3.1 Standarddatenschutzklauseln
„(…) Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren
nach Artikel 93 Absatz 2 erlassen werden,“ (Art. 46 Abs. 2 lit. c DS-GVO). Der in Kapitel 2.5
angesprochene SDK-Beschluss stellt genau eine derartige Standarddatenschutzklausel zur
Verfügung. Durch diese Standarddatenschutzklauseln können also, sofern diese unverän-
dert in den jeweiligen Vertrag zwischen Datenexporteur und Datenimporteur (bspw. Auf-
tragsverarbeitungsvertrag) aufgenommen werden, als Grundlage für eine Datenübermitt-
lung dienen. Durch das Schrems II Urteil des EUGH müssen nun jedoch, damit diese Grund-
lage auch für die Übermittlung in die USA weiterhin gilt, „zusätzliche Maßnahmen“29 ergriffen
werden.
3.2 Verbindliche interne Datenschutzvorschriften
„(…) verbindliche interne Datenschutzvorschriften gemäß Artikel 47,“ (Art. 46 Abs. 2 lit. b
DS-GVO). BCR‘s können einem Unternehmen oder einem Konzern die Arbeit enorm er-
leichtern. Obwohl anfangs ein großer Aufwand vonnöten ist, die BCR’s einzurichten, so ist
es anschließend möglich, Daten ohne weiteres innerhalb eines Konzerns, bspw. zwischen
29
EUGH, Urteil vom 16.07.2020, Aktz: C – 311/18, Rn. 133.
8sämtlichen auf dem Globus verteilten Tochterfirmen, zu transferieren. BCR’s besagen im
Grunde, dass sich ein Unternehmen oder Konzern geschlossen an die Datenschutzvor-
schriften hält. Die BCR’s einer Institution werden von der zuständigen Aufsichtsbehörde ge-
nehmigt (Art. 47 Abs. 1 DS-GVO). Art. 47 DS-GVO regelt die BCR‘s. Einmal genehmigt,
greift wieder die Aussage aus Art. 46 Abs. 2 DS-GVO, nach welcher keine weiteren Geneh-
migungen einer Aufsichtsbehörde notwendig sind.
3.3 Erforderliche zusätzliche Maßnahmen
Beide Möglichkeiten bieten dieselbe Schwachstelle. Sie binden nicht die Behörden in dem
jeweiligen Empfängerland. Durch das Schrems II Urteil des EUGH wurde für die Standard-
datenschutzklauseln bereits gesagt, dass daher zusätzliche Maßnahmen getroffen werden
müssten. Auch wenn die BCR’s in dem besagten Urteil nicht direkt thematisiert wurden, so
ist aufgrund ihrer Natur davon auszugehen, dass dieselben Probleme und Bedenken ein-
treten würden. De facto gilt dies für alle Ansätze, welche die DS-GVO oder der EUGH be-
reitstellen, um Daten zu übermitteln. Sämtliche Ansätze binden nicht die Behörden des je-
weiligen Empfängerlandes.
Als Lösung sollen die besagten „zusätzlichen Maßnahmen“ herhalten, welche der EUGH in
dem Schrems II Urteil fordert. Leider wurde nirgends erwähnt, wie diese Maßnahmen aus-
zusehen haben. Folglich liegt es aktuell an der Wirtschaft, Lösungsvorschläge zu erbringen.
Es ist davon auszugehen, dass der EUGH im Laufe der Zeit diverse Maßnahmen, die sich
durchgesetzt haben, legitimieren wird.
Im Folgenden werden einige Maßnahmen erörtert, besprochen und ihre jeweiligen Vor- und
Nachteile sowie etwaige Schwächen thematisiert, welche als mögliche Lösungsansätze die-
ses Dilemmas herhalten könnten.
94 Ansätze für zusätzliche Maßnahmen
Ist im Datenschutz die Rede von „Maßnahmen“, dann werden diese oft, wenn nicht immer,
im Hinblick auf technische und organisatorische Maßnahmen (TOM‘s) betrachtet. Auch in
der DS-GVO wird dies dementsprechend gehandhabt (vgl. Art. 5 Abs. 1 lit. e DS-GVO, Art.
17 Abs. 2 DS-GVO, usw.). Da es sich auch bei den „zusätzlichen Maßnahmen“ am Ende
um Maßnahmen handelt, wird jede Maßnahme in dieser Arbeit ebenfalls unter diesen As-
pekten berücksichtigt. Hinzu kommt noch zusätzlich zu der technischen und der organisa-
torischen Umsetzung die „vertragliche Umsetzung“. Obwohl strenggenommen eine Subka-
tegorie der organisatorischen Umsetzung, ist die vertragliche Umsetzung im Hinblick auf die
Auftragsverarbeitung durchaus separat berichtenswert.
Die drei im Folgenden thematisierten Maßnahmen entsprangen allein den Überlegungen
des Autors, wie das Problem der zusätzlichen Maßnahmen gelöst werden könnte.
4.1 Anonymisierung der Daten
Daten zu anonymisieren bevor diese den europäischen Rechtsraum verlassen, könnte ein
lohnender Ansatz sein. Im Folgenden wird diese mögliche Maßnahme erörtert, mögliche
Umsetzungen besprochen sowie die Maßnahme kritisch hinterfragt werden.
4.1.1 Rechtliche Aspekte
4.1.1.1 Rechtliches Ziel der Maßnahme
Die DS-GVO regelt den Umgang und den Schutz von personenbezogenen Daten (Art. 2
Abs. 1 DS-GVO). Demnach findet sie keine Anwendung bei Daten, die nicht personenbe-
zogen sind. Dies ist das Ziel dieser Maßnahme. Wenn es möglich wäre, durch separate
Verarbeitung der Daten den Personenbezug zu entfernen, so würden die Grundsätze des
Datenschutzes nicht weiter greifen und die Daten könnten übermittelt werden.
4.1.1.2 Begrifflichkeiten: Anonymisierung vs. Pseudonymisierung
Um den Unterschied zwischen Anonymisierung und Pseudonymisierung verstehen zu kön-
nen, muss zuerst der Begriff „personenbezogene Daten“ erörtert werden. Art. 4 Abs. 1 DS-
GVO definiert personenbezogene Daten als „alle Informationen, die sich auf eine identifi-
zierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen;
als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbeson-
dere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu
Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merk-
malen, die Ausdruck der physischen, physiologischen, genetischen, psychischen,
10wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifi-
ziert werden kann;“.
Anonymisierung ist ein Vorgang, der darauf gerichtet ist, den Personenbezug von Daten
aufzuheben. Mit anderen Worten soll mit dem Einsatz von Anonymisierungstechniken er-
reicht werden, dass die betroffene Person nicht mehr identifiziert werden kann30.
Pseudonymisierung hingegen entfernt den Personenbezug nicht vollständig. Der Art. 4 der
DS-GVO definiert die Pseudonymisierung als „Verarbeitung personenbezogener Daten in
einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informa-
tionen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern
diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und orga-
nisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen
Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen wer-
den“. Im ErwG 26 Satz 2 der DS-GVO heißt es „Einer Pseudonymisierung unterzogene
personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natür-
lichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizier-
bare natürliche Person betrachtet werden“. Folglich unterliegen pseudonymisierte Daten
auch weiterhin der DS-GVO. Daher ist die Pseudonymisierung von Daten nicht ausreichend.
Im besagten ErwG Satz 5 – 6 heißt es weiter „Die Grundsätze des Datenschutzes sollten
daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine
identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Da-
ten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder
nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung
solcher anonymer Daten, auch für statistische oder für Forschungszwecke“.
Anonymisierte Daten unterliegen daher explizit nicht der DS-GVO. Daher ist es bekannter-
weise ein beliebtes Vorgehen bei Umfragen, um die Probanden anonymisiert zu befragen.
Gleiches gilt für Forschungen. Medizinische Forschungen werden häufig, wenn nicht gar
ausschließlich, auf Basis anonymisierter Patientendaten durchgeführt.
4.1.1.3 Gesetzliche Grundlagen: DS-GVO, BDSG, KDG, etc.
Anonymisierung ist in Gesetzen immer seltener zu finden. Warum dies so ist, wird in Kapitel
4.1.3.1 erörtert.
Die DS-GVO z.B. thematisiert die Anonymisierung nicht mehr, mit Ausnahme des ErwG 26
(siehe Kapitel 4.1.1.2).
30
BfDI, Positionspapier zur Anonymisierung unter der DS-GVO unter besonderer Berücksichtigung der TK-Branche, S. 3
11Das BDSG definiert die Anonymisierung auch nicht mehr selbst, führt aber an einigen Stel-
len die Anonymisierung von Daten als „geeignete Garantien“ auf (vgl. §50 BDSG). Das
BDSG in der alten nicht amtlichen Fassung, außer Kraft getreten am 25.05.2018 (im Fol-
genden: altes BDSG), hingegen hatte noch in seinem § 3 Abs. 6 die Anonymisierung defi-
niert als „Verändern personenbezogener Daten derart, dass die Einzelangaben über per-
sönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig gro-
ßen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natür-
lichen Person zugeordnet werden können“.
Das KDG hingegen definiert in seinem § 4 Abs. 7 die Anonymisierung noch selbst als „Ver-
arbeitung personenbezogener Daten derart, dass die Einzelangaben über persönliche oder
sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand
an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person
zugeordnet werden können“.
Es zeichnet sich also ab, dass die Anonymisierung fortschreitend aus den Gesetzen ver-
schwindet je neuer und relevanter diese sind. Was daraus folgt, wird in Kapitel 4.1.4 thema-
tisiert.
4.1.2 Mögliche Umsetzung der Maßnahme
4.1.2.1 Technische Umsetzung
Obwohl der Gesetzgeber in dem ErwG 26 der DS-GVO ganz klar die Existenz der Anony-
misierung voraussetzt, wird nirgends erwähnt, wie diese Verfahren aussehen. Auch wenn
die Anonymisierung von digitalen Daten technisch erfolgen muss, ist eine technische Ano-
nymisierung nicht zwingend gesetzeskonform. Der Gesetzgeber muss also im Zweifel prü-
fen, ob die technisch eingesetzten Methoden den rechtlichen Kriterien an eine Anonymisie-
rung genügen31. Im Themengebiet der Anonymisierung ist meistens die Rede von dem Aus-
gangsdatenbestand (Daten bzw. Datenbank vor der Anonymisierung), dem Ergebnisdaten-
bestand (Daten bzw. Datenbank nach der Anonymisierung) und dem Vergleichsdatenbe-
stand (das potenzielle Zusatzwissen, welches ein möglicher Angreifer besitzen könnte)32.
Technische Anonymisierungsverfahren werden grob in zwei Kategorien unterschieden:
perturbative Verfahren und nicht-perturbative Verfahren33. Beide Kategorien werden im Fol-
genden anhand von einigen Verfahren erörtert beginnend mit den perturbativen Verfahren.
31
Hölzer, Anonymisierungstechniken und das Datenschutzrecht, S. 502.
32
Hölzer, Anonymisierungstechniken und das Datenschutzrecht, S. 503 – 504.
33
Hölzer, Anonymisierungstechniken und das Datenschutzrecht, S. 505.
12Swapping34
Beim Swapping-Verfahren werden die einzelnen Daten des Ausgangsdatenbestands mit
den anderen Werten vertauscht. So wird in einer Datenbank, deren Datensätze aus Vor-
name, Nachname, Adresse und Telefonnummer einer Person besteht, alle Nachnamen ver-
tauscht. Wichtig ist hierbei, dass die statistische Aussagekraft zwischen dem Ausgangsda-
tenbestand und dem Ergebnisdatenbestand nicht verändert wird. Üblicherweise werden für
das Swapping-Verfahren die Daten gewählt, welche den höchsten Identifizierungswert ha-
ben. In diesem Beispiel könnten das die Daten Vorname und Adresse sein.
Microaggregation34
Das Microaggregationsverfahren anonymisiert den Ausgangsdatenbestand durch Durch-
schnittswerte. Eine Datenbank wird in Gruppen unterteilt, welche nicht kleiner als drei sein
darf, um die Identifikationswahrscheinlichkeit zu verringern. Innerhalb dieser Gruppe wer-
den einzelne Werte dann durch einen Gruppenwert ersetzt.
Es folgen Beispiele für nicht-perturbative Verfahren.
Recoding34
Beim Recoding werden einzelne Werte, welche sinngemäß untergeordnet werden können,
zusammengefasst. So werden bspw. die Werte „Postleitzahl“, „Straße“ und „Hausnummer“
zu „Anschrift“ zusammengefasst.
Suppression34
Suppression bezeichnet ein Verfahren, bei dem einzelne Werte bzw. alle Werte eines be-
stimmten Datensatzes entfernt bzw. durch einen speziellen Suppressionswert (bspw. einer
ID) ersetzt werden. Das Ziel dieses Verfahrens ist es, mehrere ähnlich wirkende Datensätze
zu schaffen, um eine Identifizierung mit einem Vergleichsdatenbestand zu erschweren.
Es zeigt sich, dass die perturbativen Verfahren generell für den Zweck dieser Maßnahme
nicht geeignet sind. Jegliche Operationen würden auf einer Gruppe von Usern ausgeführt
werden, was die Bearbeitung einer einzelnen Anfrage ungenau, falsch oder gar unmöglich
macht. Die nicht-perturbativen Verfahren hingegen, wie bspw. die Suppression, wären ge-
eignet, um die Maßnahme umzusetzen. Daten würden, ohne dass diese weiterhin einer
bestimmten Person zuordenbar wären, einzeln anonymisiert. So repräsentiert jeder
34
Hölzer, aaO. (Fn. 33).
13anonymisierte Datensatz weiterhin eine einzige Person, verrät jedoch nicht, welche Person
dies ist.
4.1.2.2 Organisatorische Umsetzung
Die organisatorische Umsetzung dieser Maßnahme bezieht sich nicht auf das Anonymisie-
ren selbst, welches, wie im vorherigen Kapitel erwähnt, technisch vonstattengeht, sondern
auf die organisatorische Einhaltung der technischen Anonymisierung, um sicherstellen zu
können, dass die Daten ausschließlich anonymisiert übermittelt werden. Die sich hier stel-
lende Frage lautet, wo bzw. wann sollten die Daten anonymisiert werden?
Ein möglicher Ansatz wäre es, Daten erst dort zu anonymisieren, wo sie den europäischen
Rechtsraum verlassen. Der Großteil der interkontinentalen Kommunikation findet über See-
kabel statt. Diese sind, anders als das überirdische Pendant, einfach weniger wetteranfällig.
Gut isoliert und vor dem Wasser geschützt war das erste transatlantische Seekabel, wel-
ches auch für den Nutzen durch das Internet verlegt wurde, TAT-8 von 1988 bis 2002 im
Dienst35. Lediglich durch seine langsame Übertragungsrate, verglichen mit der Technologie
von 2002, wurde TAT-8 vom Netz genommen36.
Verteilt in Europa gibt es diverse „Landestationen“, an welchen Seekabel ankommen bzw.
abgehen. Einige dieser Stationen stehen bspw. im Süd-Westen Englands bei Cornwall,
West Portugal bei Lissabon oder auch in Süd Frankreich bei Monaco37. Um Daten nicht
unnötigerweise zu anonymisieren, solange diese noch innerhalb des europäischen Rechts-
raumes verweilen, könnten einige, der im vorherigen Kapitel beschriebenen Methoden, erst
an diesen „Landestationen“ angewandt werden, praktisch an der letzten Station, bevor die
Daten Europa verlassen.
4.1.2.3 Vertragliche Umsetzung
Bei der vertraglichen Umsetzung ist zu unterscheiden zwischen der Umsetzung durch ei-
gene Aktivität bzw. durch die eines Dritten. Sollte der Verantwortliche selbstständig anony-
misieren, ist eine vertragliche Unterstützung hier nicht notwendig.
Da nicht zwingend jede Firma in der Lage ist ihre Daten selbst zu anonymisieren (bspw. ein
recht kleines Unternehmen mit einem außergewöhnlich großen Datenbestand), kann es
sinnvoll sein, dass ein externer Anonymisierer eingesetzt wird. Dies ist nur dann möglich,
wenn dieser durch einen Auftragsverarbeitungsvertrag entsprechend eingebunden wird.
35
Abbot, Review of 20 years of undersea optical fiber transmission system development and deployment since TAT-8,
S. 1 – 2.
36
Abbot, Review of 20 years of undersea optical fiber transmission system development and deployment since TAT-8, S. 2.
37
TeleGeography, erreichbar unter: www.telegeography.com, Aufgerufen: 22 März 2021.
144.1.3 Probleme der Maßnahme
4.1.3.1 Unmöglichkeit der Anonymisierung
In Kapitel 4.1.1.3 wurde aufgezeigt, dass die Anonymisierung immer stärker aus den Ge-
setzestexten verschwindet. Auch wenn die Anonymisierung für gewisse Tätigkeiten valide
ist, liegt der zunehmende Rückgang an der faktischen Unmöglichkeit einer sicheren Anony-
misierung. Die Gefahr der indirekten Identifizierung durch „Aussondern“, oder in der ge-
bräuchlicheren englischen Übersetzung „singling-out“, ohne dass eine direkte Identifizie-
rung notwendig wäre, ist höchst relevant. Bei diesem Verfahren werden nicht personenbe-
zogene Daten genutzt, um erneut einen Personenbezug herzustellen. Ein Beispiel: Herr
Heinz Müller wohnt auf der Musterstraße. Die Verbindung aus seinem Namen und dem
Wohnort gilt als personenbezogenes Datum, da es unwahrscheinlich ist, dass es mehrere
Heinz Müller mit demselben Wohnort gibt. Demnach ist nur der Straßenname kein perso-
nenbezogenes Datum. Schließlich können mehrere Personen in ein und derselben Straße
wohnen. Werden nun jedoch weitere nicht personenbezogene Daten hinzugezogen, wie die
Tatsache, dass an der Musterstraße nur ein einziges Haus steht, dann kann allein der Stra-
ßenname ein personenbezogenes Datum sein. Dieses Beispiel hinkt an einigen Stellen, da
z.B. mehrere Menschen in einem Haus wohnen können, aber es verdeutlicht die Funktions-
weise des „Aussonderns“. An dieser Stelle ist es relevant, sich erneut in das Gedächtnis zu
rufen, dass diese Arbeit nach Maßnahmen sucht, welche unter anderem vor dem Zugriff der
NSA schützen soll.
Unabhängig von dem Gesetzestext ist immer die Sprache von einem „unverhältnismäßig
großen Aufwand an Zeit, Kosten und Arbeitskraft“, welcher aufgebracht werden müsste, um
die Anonymisierung aufzuheben (vgl. KDG & altes BDSG).
Alle Sicherheitshürden, die der Gesetzgeber nennt, sind für die hier thematisierten Institution
leicht zu brechen. Staatliche Geheimdienste, Wissenschaftler oder auch wirtschaftliche In-
stitutionen investieren durchaus hohe Arbeitsleistung, um Anonymisierungsverfahren von
Daten auch mit geringem unmittelbaren wirtschaftlichem Wert zu „knacken“38. Der Faktor
„Arbeitskraft“ kann in diesem Kontext mit „Rechenleistung“ gleichgesetzt werden. „Zeit“ ist
weniger vonnöten, je mehr Rechenleistung vorhanden ist. „Kosten“ würden hauptsächlich
durch den Zukauf von Daten entstehen, welche für das Aussondern der Daten relevant sind.
Vor diesem Hintergrund betrachten wir nun die NSA, die National Security Agency der USA,
also dem Auslandsgeheimdienst eines der mächtigsten Länder der Welt. Wie in Kapitel 2.5
dargelegt wurde hat der EUGH festgestellt, dass sämtliche Daten in und zu der USA voll-
ständig von der NSA erfasst werden können, was die Frage nach den „Kosten“ obsolet
38
Marnau, Anonymisierung, Pseudonymisierung und Transparenz für Big Data, S. 430.
15macht. Weiterhin steht den USA der stärkste Supercomputer der Welt zur Verfügung (Stand:
2018)39. Das erlaubt zwar der NSA noch nicht den direkten Zugriff auf diesen, wovon der
Autor dennoch ausgeht und was seit den Snowden Veröffentlichungen allgemein bekannt
ist, steht aber stellvertretend für die generelle Rechenkapazität, welche diesem Land und
seinen Institutionen zugänglich ist. Damit stehen der NSA nahezu unbegrenzte, wie der Ge-
setzgeber es formuliert, „Arbeitskraft“ zur Verfügung, was wie bereits festgestellt die erfor-
derliche Zeit drastisch reduziert.
Zusammengefasst ermöglicht der es enorme Datenbestand der NSA gepaart mit der dieser
Institution zur Verfügung stehenden Rechenkapazität, Anonymisierungen, so gut diese auch
sein mögen, mit nahezu keinem Aufwand zu „knacken“. Es ist also festzuhalten, dass eine
Anonymisierung einem Aufkommen von Datenmenge gepaart mit Rechenkapazität nicht
standhalten kann.
Auch wenn Unternehmen wie Facebook und Co. nicht diese gigantischen Ressourcen zur
Verfügung stehen, sind die Datenmengen und Rechenkapazitäten dieser Konzerne den-
noch beträchtlich. Dazu kommt, dass je nach Standpunkt diese Unternehmen aber ein stär-
keres Motiv haben. Wirtschaftlichkeit. Ist das Interesse der NSA der nationalen Sicherheit
geschuldet, so haben Facebook und Co. den erhöhten Umsatz im Blick. Daher ist davon
auszugehen, dass die NSA „gezielter“ agiert. Durchleuchtet die NSA vorrangig Ziele, welche
zum Schutz der USA relevant sind, so haben die Internetkonzerne Interesse an allen Daten,
welchen ihnen zur Verfügung stehen.
Die Frage, welche dieser beiden Parteien ein größeres Risiko für den Datenschutz darstellt,
ist nur schwer zu beantworten. Die NSA oder generell die Institutionen der USA haben grö-
ßere und stärkere Ressourcen und Möglichkeit, wohingegen bei den Internetkonzernen da-
von auszugehen ist, dass kein Datensatz unberührt bleibt. Rein rechtlich jedoch stellt sich
diese Frage gar nicht. Beide Institutionen stellen ein Risiko dar und sind damit auch proble-
matisch.
4.1.3.2 Zweckmäßigkeit einer Anonymisierung bei Aufgabenerfüllung
Da die hier thematisierten Maßnahmen im Optimalfall als Pauschallösung herhalten sollten,
stellt sich die Frage, ob sämtliche Daten, welche anonymisiert werden, auch weiterhin ihren
Nutzen erfüllen können oder ob es nicht für gewisse Zwecke erforderlich ist, personenbezo-
gene Daten zu nutzen.
Für die allermeisten Aufgaben würden anonymisierte Daten ausreichen. Social-Media-Ac-
counts können anonymisiert geführt werden, Gehaltszahlungen können anonymisiert
39
Melesse Vergara, Scaling the Summit: Deploying the World’s Fastest Supercomputer.
16berechnet werden und ärztliche Zweitmeinungen können anonymisiert eingeholt werden.
Dennoch gibt es Fälle, in denen ein Personenbezug zwingend erforderlich ist. Wird ein ame-
rikanischer Staatsbürger in Europa verletzt und behandelt und möchte daraufhin zurück in
die USA verlegt werden oder die Verlegung ist aufgrund eines Experten in den USA medi-
zinisch relevant, so ist es durchaus erforderlich, dass die medizinischen Daten dieses Pati-
enten ihm auch zugeordnet werden können, um seine weitere Genesung zu gewährleisten.
Folglich ist festzuhalten, dass eine ausschließlich anonymisierte Datenübermittlung nicht für
jeden Fall anwendbar ist.
4.1.4 Praktische Anwendung der Maßnahme
Würde diese Maßnahme praktisch angewendet werden, würde sich die Sicherheit der Daten
teilweise erhöhen. Es würde einen großen Aufwand bedeuten, die Anonymisierer einzurich-
ten und die erforderlichen Verarbeitungsweisen umzustellen. Der damit verbundene Kos-
tenaufwand ist nur schwer zu erahnen. Das alles würde für einige Drittland Übermittlungen
auch eine geeignete zusätzliche Maßnahme darstellen, abhängig von dem jeweiligen Dritt-
land, in welches die Daten übermittelt werden sollen. Es ist jedoch ebenfalls festzuhalten,
dass diese Maßnahme für den konkreten Fall der Datenübermittlung in die USA nicht an-
wendbar ist.
Wie in Kapitel 4.1.3.1 dargestellt wurde, bietet die Anonymisierung an sich keinen ausrei-
chenden Schutz. Dies liegt in der Natur einer Anonymisierung, da diese einem Aufkommen
von Datenmengen gepaart mit Rechenkapazität nicht standhalten kann.
Dies erklärt jedoch ebenfalls, warum die Maßnahme durchaus für bestimmte Fälle geeignet
sein kann. Sollen Daten nämlich in ein Drittland transferiert werden, das als unsicher gilt
und welchem entweder die Datenmengen und oder die Rechenkapazität fehlt, um die Ano-
nymisierung zu umgehen, kann diese Maßnahme durchaus angewendet werden.
Aufgrund des Beispiels an den USA jedoch ist festzuhalten, dass die Maßnahme keinesfalls
als Pauschallösung angesehen werden kann. Darüber hinaus wurde in dieser Arbeit der
notwendige finanzielle Aufwand nicht thematisiert, welcher erforderlich wäre, um die Maß-
nahme umzusetzen.
Schlussendlich bleibt festzuhalten, dass eine generelle Anonymisierung durch einen Ano-
nymisierer nur schwer umsetzbar ist. Eine gezielte Anonymisierung direkt bei dem Verant-
wortlichen für einige gezielte Verfahren ist dennoch möglich und kann unter Umständen eine
geeignete Maßnahme darstellen.
17Sie können auch lesen
