POSITION I AUSSENWIRTSCHAFT | DATENSTRÖME
Internationale Datenströme Regelungsoptionen in der internationalen Zusammenarbeit
November 2020 Kernforderungen des BDI 1.
Der grenzüberschreitende Datenaustausch wird oft durch protektionistische Gesetze gehemmt. Dadurch werden europäische Unternehmen in wichtigen Drittmärkten gegenüber den Wettbewerbern auf unbegründete Art und Weise diskriminiert. Daher gilt es, diesen Abschottungstendenzen umfassend durch Handelsabkommen und andere internationale Vereinbarungen entgegenzutreten und den Freihandel zu stärken.
2.
Es müssen globale Lösungsansätze für die Regulierung von grenzüberschreitenden Datenströmen geschaffen werden. Nationale Alleingänge müssen vermieden werden. Die Welthandelsorganisation WTO muss spätestens anlässlich ihrer 12. Ministerkonferenz den Beschluss gegen die Verzollung elektronischer Übertragungen verlängern, möglichst ohne Befristung.
3.
Die von der EU vorgesehenen Regelungen in Freihandelsabkommen zum grenzüberschreitenden Datenaustausch und gegen Lokalisierungszwänge sind im Vergleich zu Vereinbarungen in bestehenden nordamerikanischen und asiatisch-pazifischen Freihandelsabkommen (USMCA, CPTPP) zu unflexibel und erlauben unverhältnismäßig starke Staatseingriffe. Die EU muss in Handelsabkommen stärkere Vorkehrungen gegen digitalen Protektionismus treffen.
4.
Die den Freihandelsabkommen der EU, Nordamerikas und der Region Asien-Pazifik (CPTPP) unterliegenden Mechanismen sollten interoperabel ausgestaltet werden, um den Datenaustausch zu fördern. Die Vertreter der G20 haben dieses Problem in der OsakaErklärung („Osaka Declaration“) von Juni 2019 benannt. Die dort getroffenen Vereinbarungen müssen nun schnell umgesetzt werden. Es ist wichtig, starke globale Standards für den internationalen Datenaustausch zu setzen.
5.
Bevor EU-Institutionen eine Adäquanzentscheidung widerrufen, muss gründlich geprüft werden, ob die Voraussetzungen für einen Widerruf auch tatsächlich vorliegen. Sollte widerrufen werden, müssen die beteiligten Unternehmen entsprechend frühzeitig in dieser
Internationale Datenströme
Causa unterrichtet werden, um sich auf die mit dem Widerruf einhergehenden Veränderungen einstellen zu können. 6.
Der BDI bevorzugt im Bereich Datenaustausch eine Rechtsetzung durch bindende praktikable Regeln gegenüber dem soft-law, da diese Rechtssicherheit schafft. Dennoch ist Soft-law wichtig. Es kann beispielsweise bei der Kooperation in globalen Foren mit wichtigen Partnern hilfreich sein. Darüber hinaus erwächst aus dem Soft-law oft bindendes Recht. Insofern kommt ihm auch eine inspirierende Funktion zu.
2
Internationale Datenströme
Inhaltsverzeichnis Grenzüberschreitender Datenaustausch .......................................................................................... 4 Internationale Regelungsrahmen ...................................................................................................... 4 Handelspolitik ...................................................................................................................................... 4 Handelsabkommen ............................................................................................................................. 5 EU-MERCOSUR-Handelsabkommen ....................................................................................................5 Horizontales Kapitel für den Datenaustausch der EU-Kommission .......................................................5 Comprehensive and Progressive Agreement for Trans-Pacific Partnership (CPTPP) ..........................6 USMCA – Das Freihandelsabkommen in Nordamerika zwischen den USA, Mexiko und Kanada (NAFTA 2.0) ...........................................................................................................................................7 Die multilaterale handelspolitische Ebene – WTO .................................................................................8 Regelungen über den grenzüberschreitenden Datentransfer außerhalb der Handelspolitik .... 10 EU-Japan-Angemessenheitsbeschluss .......................................................................................... 10 EU-US Privacy Shield ........................................................................................................................ 11 Europarat............................................................................................................................................ 13 OECD - Die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung ...................... 13 Empfehlungen des BDI ..................................................................................................................... 14 Impressum ......................................................................................................................................... 16
3
Internationale Datenströme
Grenzüberschreitender Datenaustausch Die digitale Transformation hat zu einem Anstieg der weltweiten Datenflüsse geführt. Die globale Datensphäre wird von 33 Zettabyte im Jahr 2018 auf 175 Zettabyte (dies entspricht der Zahl 175 mit 21 Nullen) im Jahr 2025 anwachsen.1 Nicht nur Verbraucher, sondern auch Unternehmen produzieren Daten („Internet of Things“). Daten werden immer mehr zum Rohstoff für neue Dienstleistungen und Geschäftsmodelle. Die Größe der Internet-Wirtschaft wird sich für die G20-Volkswirtschaften voraussichtlich mehr als verdoppeln, wobei die Wachstumsrate für die Entwicklungsländer sogar noch höher sein wird. Diese Datenproduktion hat einen erheblichen Einfluss auf die Unternehmen und deren Produktionsprozesse. Im Zeitalter der Digitalisierung sind Produktion und Handel in hohem Maße davon abhängig, dass digitale Informationen (Daten) zunehmend grenzüberschreitend transportiert, gespeichert und genutzt werden können. Die Nutzung der Daten erleichtert zum Beispiel die Koordination internationaler Produktionsprozesse über globale Wertschöpfungsketten. Kleinen und mittelgroßen Unternehmen (KMU) wird der Zugang zu globalen Märkten erleichtert und auch größere Firmen profitieren von zunehmend digitalisierten Betriebsabläufen. Zum Beispiel wird das Transferieren von Personaldaten zu und von der Zentrale, das Senden von Daten an Forschungs- und Entwicklungseinrichtungen (F & E) im Ausland und Dienstleistungen im Bereich After Sales vereinfacht. In Anbetracht des Datenwachstums stellen sich Fragen zum rechtlichen Regelwerk. Nachstehend werden einige der bereits gängigen internationalen Kooperationsmodelle im Hinblick auf den grenzüberschreitenden Datentransfer bzw. den Datenaustausch dargestellt und kritisch erläutert sowie daraus Forderungen der deutschen Industrie an die Politik abgeleitet. Zielsetzung des Papieres ist es nicht, auf einzelne unilaterale Maßnahmen und Gesetze eines Einzelstaates einzugehen. Die nachfolgende Darstellung erhebt keinen Anspruch auf Vollständigkeit.
Internationale Regelungsrahmen Die deutschen Industrieunternehmen sind auf den Märkten weltweit zuhause. Sie produzieren entlang globaler Lieferketten und vertreiben die Produkte und Dienstleistungen über globale Vertriebsnetzwerke. Aus Gründen der juristischen und operativen Effizienz spricht sich der BDI grundsätzlich für global einheitliche regulatorische Lösungsansätze („one set of rules”) und gegen nationale Alleingänge aus. Wichtig ist, einen unnötigen Flickenteppich an Regelungen zu vermeiden, auf den sich der exportstarke Mittelstand nur schwer einstellen kann. Dies ist wichtig, um auch auf diese Weise von den notwendigen Skaleneffekten im Bereich der digitalen Technologie profitieren zu können und um Innovationen zu fördern. Wo globale Lösungsansätze nur schwierig zu gestalten sind, sollen gut ausgearbeitete bilaterale, regionale bzw. plurilaterale Regelungsansätze helfen, die Unternehmen in ihrem operativen Geschäft zu unterstützen. Letztlich gilt es, auch Protektionismus zu vermeiden. Internationale Regelsetzung sollte politische und legale Hebel schaffen, um ungerechtfertigter oder überproportionaler Diskriminierung europäischer Unternehmen auf den Weltmärkten entgegenzuwirken.
Handelspolitik Der grenzüberschreitende Datenaustausch wird zunehmend auch in Handelsabkommen geregelt. Dies gilt für bilaterale und plurilaterale Initiativen sowie für die multilaterale Ebene der Welthandelsorganisation (WTO). Grund ist zum einen der direkte oder indirekte Zusammenhang, in dem die
1 Seagate,
Data Age 2025, The Digitization of the World From Edge to Core, Seite 3, URL: https://www.seagate.com/files/www-content/our-story/trends/files/idc-seagate-dataage-whitepaper.pdf
4
Internationale Datenströme
Datenflüsse mit grenzüberschreitenden Geschäftsprozessen sowie Handels- und Investitionsentscheidungen stehen. Zum anderen stehen Datentransfers im engen Zusammenhang mit zentralen politischen Erwägungen wie dem Schutz von Persönlichkeitsrechten und Sicherheit (z.B. Cybersicherheit). Regelungen zu Datentransfers sind damit immer eine Abwägung zwischen teils konkurrierenden politischen Zielen. Handelspolitisch stehen sie im Zusammenhang mit Fragen des Marktzugangs und eines möglichen digitalen Protektionismus. So können staatliche Beschränkungen wie die verpflichtende Datenlokalisierung als nichttarifäres Hindernis für den Handel (non-tariff barrier to trade, NTB) in der digitalen Wirtschaft gelten. Regelungen des grenzüberschreitenden Datenaustausches in Handelsabkommen können solche Hemmnisse gegebenenfalls auf ein notwendiges Minimum reduzieren. Ebenso können internationale Regelungen zum Datenschutz helfen, ein verlässliches, offenes und vertrauenswürdiges Umfeld für den grenzüberschreitenden Wirtschaftsaustausch zu schaffen. Richtigerweise hat die EU-Kommission in ihrer Mitteilung 374 (2019) festgestellt, dass Verhandlungen über den Datenschutz und den Handel separat erfolgen, sich aber ergänzen können.2
Handelsabkommen EU-MERCOSUR-Handelsabkommen Nach langen Verhandlungen (Verhandlungsmandat stammt aus dem Jahr 1999) einigten sich die Vertragsparteien im Juli 2019 grundsätzlich auf den Text eines Handelsabkommens zwischen der EU und dem MERCOSUR-Staatenbund. Wann das Abkommen von den Verhandlungspartnern allerdings unterzeichnet werden kann, ist angesichts des derzeitigen Widerstands in einigen EU-Mitgliedstaaten noch nicht absehbar. Der Marktzugang für bestimmte Dienstleistungssektoren wird geregelt. Die Vorschriften über den elektronischen Geschäftsverkehr und Telekommunikationsdienstleistungen sind im Dienstleistungskapitel des Abkommens zu finden. Sie zielen darauf ab, ungerechtfertigte Hindernisse für den elektronischen Geschäftsverkehr zu beseitigen, Unternehmen Rechtssicherheit zu bieten und ein sicheres OnlineUmfeld für Verbraucher zu gewährleisten. Das Kapitel enthält verbindliche Vorschriften, die die Zollerhebung auf elektronische Übermittlungen verbieten. Die Vertragsparteien einigten sich auf Bestimmungen, die darauf abzielen, übermäßige Genehmigungsverfahren zu verhindern, die Rechtsgültigkeit und Wirksamkeit elektronischer Verträge zu gewährleisten und die Verbreitung von Datenmüll („Spam“) auszuschließen. Ein gesondertes Kapitel zum grenzüberschreitenden Datentransfer, der verarbeitung und -lokalisierung ist nicht enthalten. Der Artikel über allgemeine Ausnahmen gewährt es allen Beteiligten, zum Schutz privater Daten Maßnahmen einzuführen und durchzusetzen, solange diese nicht zu willkürlichen und ungerechtfertigten Diskriminierungen führen. Horizontales Kapitel für den Datenaustausch der EU-Kommission Seit Sommer 2018 verhandelt die EU-Kommission in Freihandelsabkommen mit Drittstaaten wie Australien, Neuseeland, Chile und Indonesien erstmals auch über Kapitel zum digitalen Handel. Teil eines solchen Kapitels sind insbesondere Vorschriften über den Datenaustausch. 3 Dies stellt eine wichtige handelsrechtliche Weiterentwicklung dar. Im Hinblick auf eine Definition des Begriffs „persönliche Daten“ orientiert sich die EU-Kommission in diesem Zusammenhang an den bereits bestehenden
KOM (2019) 374: “Whereas dialogues on data protection and trade negotiations must follow different tracks, they can complement each other. “ 3 http://trade.ec.europa.eu/doclib/docs/2018/july/tradoc_157130.pdf 2
5
Internationale Datenströme
Definitionen der OECD und des Europarats (siehe weiter unten). Dies zeigt ein Blick auf Artikel 6 IV des EU-Verhandlungstextes über ein Freihandelsabkommen mit Australien innerhalb des Digitalkapitels. Inhalt des Kapitels: 4 Grundsatz des Ansatzes der EU ist, dass Daten zwischen den Partnern des EU-Handelsabkommens frei zirkulieren sollen. Die Datenzirkulation darf nicht durch vier gelistete Fallgruppen eingeschränkt werden (s. auch Artikel 5 Absatz 1). Diese sind: –
Die Verpflichtung zur Nutzung von Computereinrichtungen oder Netzwerkelementen im Gebiet des Handelspartners;
–
Vorschriften, welche die Lokalisierung von Daten im Hoheitsgebiet der anderen Partei zur Speicherung oder Verarbeitung erfordern würden;
–
Verbot der Speicherung oder Verarbeitung von Daten im Hoheitsgebiet der anderen Vertragspartei;
–
Verbot, die grenzüberschreitende Übermittlung von Daten von der Nutzung von Datenverarbeitungseinrichtungen oder Netzelementen im Gebiet der Vertragspartei oder von den Lokalisierungserfordernissen im Gebiet der Vertragspartei abhängig zu machen.
Sollten ähnlich handelserschwerende Maßnahmen später dazukommen, etwa weil diese erst zu einem späteren Zeitpunkt entwickelt oder eingeführt worden sind, wären sie vom Verbot nicht erfasst, da sie nicht in der abschließend formulierten Liste enthalten sind. Die EU und ihre Handelspartner müssten sich dann erneut zusammensetzen und sich entsprechend auf die Aufnahme der handelserschwerenden Maßnahme einigen (Artikel 5 Absatz 2). Außerdem enthält das Musterkapitel der EU einen Ausnahmetatbestand zum Schutz personenbezogener Daten und Privatsphäre. Jede Vertragspartei kann demnach Schutzmaßnahmen („Safeguards“) erlassen, um persönliche Daten und die Privatsphäre zu schützen, auch wenn diese gegebenenfalls gegen die oben genannten Fallgruppen verstoßen. Comprehensive and Progressive Agreement for Trans-Pacific Partnership (CPTPP) Dieses Abkommen5 wurde von Kanada, Australien, Brunei, Chile, Japan, Malaysia, Mexiko, Neuseeland, Peru, Singapur und Vietnam unterschrieben. Am 30. Dezember 2018 trat das Abkommen zwischen Kanada, Australien, Japan, Mexiko, Neuseeland und Singapur in Kraft. Am 14. Januar 2019 kam Vietnam hinzu. Auch die Vereinigten Staaten gehörten anfangs zu den Verhandlungsparteien, zogen sich dann aber nach der Präsidentschaftswahl von Donald Trump aus den Verhandlungen zurück. Daher sind die Vereinigten Staaten nicht Teil dieses Abkommens. In seinem Kapitel über den elektronischen Geschäftsverkehr schützt das Abkommen den grenzüberschreitenden Fluss persönlicher Daten und verbietet grundsätzlich den staatlichen Zwang zur Datenlokalisierung (Artikel 14.13). Im Hinblick auf das Verbot der Datenlokalisierung und die Freiheit der
4
https://trade.ec.europa.eu/doclib/docs/2018/december/tradoc_157570.pdf; Text des Vorschlags der EU-Kommission für ein Freihandelsabkommen mit Australien. Die Textvorschläge bzgl. Der Verhandlungen mit Neuseeland, Indonesien und Chile sind ähnlich 5 https://www.mfat.govt.nz/assets/CPTPP/Comprehensive-and-Progressive-Agreement-for-Trans-Pacific-Partnership-CPTPPEnglish.pdf
6
Internationale Datenströme
Datenzirkulation bleiben insbesondere dann Ausnahmen möglich, wenn die Maßnahme notwendig ist, um ein legitimes öffentliches Interesse zu erreichen. In diesem Zusammenhang gelten ein Diskriminierungsverbot sowie der Grundsatz der Verhältnismäßigkeit der staatlichen Maßnahme. USMCA – Das Freihandelsabkommen in Nordamerika zwischen den USA, Mexiko und Kanada (NAFTA 2.0) Das Handelsabkommen6 USMCA zwischen den USA, Kanada und Mexiko, das am 1. Juli 2020 in Kraft trat, ersetzt NAFTA („North American Free Trade Area“). Das Kapitel „Digitaler Handel“ verhindert die Beschränkung der grenzüberschreitenden Übermittlung von Informationen – mit Ausnahmen, die für legitime politische Ziele erforderlich sind (Artikel 19.11). Auch hier gilt wie im Bereich des CPTPP ein Diskriminierungsverbot sowie der Grundsatz der Verhältnismäßigkeit der staatlichen Maßnahme. Die Regelungen zur Datenlokalisierung verbieten es, die Nutzung lokaler Computereinrichtungen bzw. das Einrichten solcher Einrichtungen als Voraussetzung für die Geschäftstätigkeit im Land vorzuschreiben (Artikel 19.12). Eine Ausnahme hiervon ist im Abkommen nicht vorgesehen. Daher schränkt das USMCA nationale Maßnahmen und Gesetze stärker ein als das CPTPP. Position des BDI zum Ansatz der EU, CPTPP und USMCA EU-Freihandelsabkommen müssen umfassende und ehrgeizige Kapitel zum digitalen Handel, insbesondere auch Vorschriften zu Datenflüssen, enthalten. Deshalb begrüßt der BDI grundsätzlich, dass über solche Kapitel verhandelt wird. Es ist wichtig, dass die EU diesen Kurs beibehält und dass die Regeln zeitgemäß weiterentwickelt werden. Die EU muss einen regulatorischen Rahmen schaffen, der grenzüberschreitende Datenströme ermöglicht und der gleichzeitig sicherstellt, dass grenzüberschreitende Datenströme höchsten Sicherheitsstandards unterliegen. Die EU sollte sich für starke Standards im digitalen Handel weltweit einsetzen, die mit der Handelsliberalisierung einhergehen. Diese Kapitel sollten die Hindernisse für den digitalen Handel beseitigen, den grenzüberschreitenden Datenfluss sicherstellen und die staatlich vorgeschriebene Datenlokalisierung bestmöglich begrenzen. Grundsätzlich wirkt der von der EU vorgeschlagene Ansatz etwas starr und unflexibel. Der von der EU-Kommission aufgestellte Listenansatz schafft zwar für die vier genannten Fallgruppen gewisse Rechtssicherheit. Allerdings entwickelt sich Technologie schnell weiter, und das Regelwerk sollte in der Lage sein, diesen rasanten Entwicklungen entsprechend folgen zu können. Dies gelingt dem Vorschlag der EU nur teilweise, da die Rechtsanpassung, so wie sie in Artikel 5 II vorgesehen ist, gegebenenfalls nur langsam oder aber auch gar nicht zu vollziehen sein könnte. Die dort vorgesehene Überprüfung und Nachverhandlungen der Fallgruppen ist nämlich von Wohlwollen und Kompromissbereitschaft der Vertragspartner abhängig und kann sehr viel Zeit in Anspruch nehmen. Sinnvoller wäre es, wenn die Verbotsliste der EU nicht abschließend wäre (gekennzeichnet im Text u.a. mit „insbesondere“), um so ähnliche handelsstörende Maßnahmen zu erfassen, die in ihrer Wirkung mit den vier bereits erwähnten Fallgruppen vergleichbar sind. Um die notwendige Rechtssicherheit herzustellen, ist es wichtig, dass die Voraussetzungen an eine Vergleichbarkeit hoch sind, sodass eine unnötige Ausweitung des Anwendungsbereichs vermieden werden kann. Ferner droht die Gefahr, dass die vorgesehene uneingeschränkte Regulierungsfreiheit zum Schutz personenbezogener Daten und der Privatsphäre („privacy“) dazu führt, dass die Abkommen nicht effektiv eingesetzt werden können, um Einschränkungen des grenzüberschreitenden Datenverkehrs
6
https://ustr.gov/trade-agreements/free-trade-agreements/united-states-mexico-canada-agreement/agreement-between
7
Internationale Datenströme
sowie Lokalisierungszwänge in den Partnerstaaten zu verhindern. Unter dem Vorwand dieser Schutzinteressen könnten praktisch jedwede Einschränkungen begründet werden. Vor diesem Hintergrund schlägt der BDI für den Ausnahmetatbestand zum Schutz personenbezogener Daten und Privatsphäre im Musterkapitel der EU diesen alternativen Wortlaut vor: – „Staatliche Maßnahmen, die den grenzüberschreitenden Transfer persönlicher Daten beschränken, – dürfen nicht willkürlich sein, – müssen verhältnismäßig sein – und dürfen nicht dazu dienen, andere Zwecke als den Datenschutz zu verfolgen“.
Darüber hinaus sind die Texte aus dem USMCA und dem CPTPP älter als der Vorschlag der EU. Es wäre für die EU also durchaus möglich gewesen, sich an den Texten aus dem Pazifikraum zu orientieren, um auf diese Art und Weise in globalen Foren gemeinsam starke Standards zu setzen. Dass dies nicht geschehen ist, ist aus Sicht des BDI bedauerlich. Sollten die Regelungen dieser wichtigen Wirtschaftsräume nicht deutlich harmonisiert werden können, sollten die den Texten zugrunde liegenden Mechanismen zumindest in Bezug auf Mindeststandards interoperabel sein. Insofern begrüßt es der BDI, dass die G20-Vertreter dieses Problem erkannt haben und sich in ihrer „Osaka Declaration“ vom Juni 2019 ausdrücklich für diese interoperablen Mechanismen aussprechen, um den grenzüberschreitenden Datenaustausch möglichst fließend weltweit auszugestalten. Die G20-Staaten sollten dafür einen konkreten Arbeitsplan erstellen und mit Nachdruck an entsprechenden Vereinbarungen arbeiten. Dass die EU allerdings im Hinblick auf die Definition des Begriffs „persönliche Daten“ auf bereits bestehende Definitionen der OECD und des Europarats zurückgreift, ist begrüßenswert. Eine solche Vorgehensweise schafft wichtige Übersichtlichkeit und vermeidet unnötige Komplexitäten. Die in USMCA und CPTPP geregelten Vorschriften im Hinblick auf den Datenaustausch sind flexibler gestaltet als der Vorschlag der EU. Man hält sich weitestgehend an allgemeine Rechtsgrundsätze (u.a. Willkürverbot und Verhältnismäßigkeitsgrundsatz), was positiv ist. Im Hinblick auf den grenzüberschreitenden Datentransfer und die Problematik der Datenlokalisierung sind sich beide Abkommen sehr ähnlich, teilweise im Wortlaut sogar identisch. Die Abkommen sind fein austariert und regeln Grundsatz und Ausnahme anschaulich. Da deutsche Industrieunternehmen sowohl in Nordamerika als auch im Asiatisch-Pazifischen Wirtschaftsraum ansässig sind und in der Region Geschäft betreiben, ist dies, insbesondere aus Gründen der Rechtssicherheit, sehr wichtig. Die multilaterale handelspolitische Ebene – WTO Auf Ebene der WTO gibt es zahlreiche Rechtsakte, die sich mit handelspolitischen Fragen in Zusammenhang mit der Datenwirtschaft befassen. Hierunter fallen insbesondere das WTO-Abkommen über Handelserleichterungen (WTO TFA), das WTO-Abkommen über den Handel mit Dienstleistungen (GATS), das Zollmoratorium für elektronische Übertragungen sowie das WTO-Abkommen über die Informationstechnologie (ITA). Abgesehen vom WTO TFA, auf welches sich die WTO-Mitglieder im Jahr 2013 einigten, wurden alle WTO-Abkommen, die in die oben beschriebene Kategorie fallen, in den frühen 1990er Jahren ausverhandelt. Es stellt sich folglich die Frage, ob diese WTO-Abkommen ausreichend für die Masse an Daten und ihre ökonomische Bedeutung sind, die heutzutage weltweit zirkulieren.
8
Internationale Datenströme
Die WTO-Mitglieder haben das Problem erkannt und im Jahr 1998 ein entsprechendes Arbeitsprogramm zum elektronischen Handel („e-Commerce“) auf den Weg gebracht.7 Auch wenn die WTO auf jeder Ministerkonferenz das Thema e-Commerce auf die Agenda setzt, hat man leider hier bisher nur wenige Fortschritte gemacht. Mithin haben sich zahlreiche WTO-Mitglieder auf die bereits oben beschriebenen bilateralen und plurilateralen bzw. regionalen Initiativen fokussiert, um im kleineren Kreis handelspolitische Instrumente zu entwickeln, die tragfähige Lösungen für die Datenwirtschaft, insbesondere im Bereich e-Commerce, bringen können. Ferner gibt es seit der zweiten WTO-Ministerkonferenz im Jahr 1998 ein WTO-Moratorium im Hinblick auf die Nicht-Verzollung von Datentransfers (elektronischen Übertragungen) über Ländergrenzen hinweg. Dieses Moratorium wurde bislang rechtzeitig alle zwei Jahre verlängert und gilt nun bis zur nächsten (zwölften) Ministerkonferenz.8 Die Konferenz sollte eigentlich im Juni 2020 stattfinden, wurde nun aber wegen der Covid-19-Pandemie auf einen bislang unbestimmten Zeitraum (wahrscheinlich Sommer 2021) vertagt. Sollte die Vereinbarung dann nicht vom Allgemeinen Rat der WTO erneuert werden, drohen neue Belastungen und Konflikte im Welthandel. Die Verzollung wäre komplex, für Unternehmen und Verbraucher kostspielig und politisch kontrovers. Außerdem kommt das European Centre for International Political Economy (ECIPE) in einer Studie9 aus dem Jahr 2019 zu dem Schluss, dass sich die Vorteile eines Staates durch Zolleinnahmen auf Datenströme über einen Rückgang der Wirtschaftsleistung in einen finanziellen Nachteil verkehren würde. Aus diesen Gründen sprechen sich der BDI und internationale Wirtschaftsverbände wie die International Chamber of Commerce (ICC) dafür aus, die Nicht-Verzollung von elektronischen Datenübertragungen unbefristet zu vereinbaren. Dies würde für Wirtschaft und Verbraucher Vertrauen und Planungssicherheit schaffen und Protektionismus einen Riegel vorschieben. Nachdem sich ein Verbot im Hinblick auf die Verzollung von Datentransfers laut einer ICCUntersuchung bereits in 59 bilateralen und regionalen Freihandelsabkommen befindet, gab es dann im Januar 2019 auf WTO-Ebene einen plurilateralen Fortschritt beim Thema e-Commerce. Die EU und 48 weitere Mitglieder, darunter China und die Vereinigten Staaten, setzten sich zum Ziel, die Zusammenarbeit im Bereich e-Commerce zu vertiefen und auf plurilateraler Ebene regulatorische Fortschritte zu erzielen.10 Andere WTO-Mitglieder, die bisher nicht Teil der Initiative sind, dürfen jederzeit beitreten. Die EU hat sich bereits aktiv in diesen Prozess eingebracht und im April 2019 einen Vorschlag11 im Hinblick auf den grenzüberschreitenden Datenaustausch im Bereich e-Commerce vorgelegt. Dieser schreibt den Grundsatz der Freiheit des Datenverkehrs vor und untersagt u.a. Datenlokalisierungsanforderungen (Artikel 2.7). Darüber hinaus darf der grenzüberschreitende Datenaustausch nicht davon abhängig gemacht werden, dass ein Unternehmen etwa Computernetzwerke innerhalb der Jurisdiktion eines WTO-Mitglieds nutzt. Zudem kann man die plurilaterale e-commerce-Initiative dazu nutzen, um Zölle auf Datentransfers dauerhaft auszuschließen. Position des BDI Der BDI bewertet die Arbeit im Bereich der WTO zum Thema e-Commerce und den offenen Charakter der entsprechenden plurilateralen Initiative als positiv.
7
https://www.wto.org/english/tratop_e/ecom_e/ecom_e.htm https://www.wto.org/english/news_e/news19_e/gc_10dec19_e.htm 9 https://ecipe.org/publications/moratorium/ 10 http://trade.ec.europa.eu/doclib/docs/2019/january/tradoc_157643.pdf 11 http://trade.ec.europa.eu/doclib/docs/2019/may/tradoc_157880.pdf 8
9
Internationale Datenströme
Der Wortlaut des EU-Vorschlags für die plurilaterale Initiative ähnelt im Bereich e-Commerce dem Wortlaut der Abkommen USMCA und CPTPP. Dies begrüßt der BDI ausdrücklich, erhöht dies doch die Übersicht und die Kongruenz im Hinblick auf die Regelungsrahmen in wichtigen Zielmärkten. Wichtig ist, dass die WTO-Initiative verbindliche Regeln für eine freie, sichere und zuverlässige grenzüberschreitende Datenübertragung liefert. Die gesetzlichen Eingriffsrechte zur Lokalisierung sollten minimiert werden. Die Freiheit der Unternehmen zu entscheiden, ob und welche Daten übertragen werden, sollte nicht eingeschränkt werden. Die Übertragung oder der Zugriff auf Quellcodes und Algorithmen sollte keine Marktzugangsanforderung für Software sein. Es wäre wünschenswert, wenn im Rahmen der nächsten WTO-Ministerkonferenz (voraussichtlich im Sommer 2021 in Kasachstan) ein umfassender Fortschrittsbericht und eine Einigung über einen konkreten Arbeitsplan, inhaltliche Themen und Schwerpunkte vorliegen würde. Zölle für elektronische Übermittlungen sollten dauerhaft untersagt werden.
Regelungen über den grenzüberschreitenden Datentransfer außerhalb der Handelspolitik EU-Japan-Angemessenheitsbeschluss Der Transfer von persönlichen Daten zwischen der EU und Japan ist nicht im Freihandelsabkommen zwischen beiden Staaten geregelt, es ist dafür allerdings eine Nachverhandlungsklausel enthalten. Grundlage des Datentransfers ist die Angemessenheitsentscheidung der EU, welche das EU-JapanHandelsabkommen entsprechend komplementiert. Ihre Grundlage findet der Angemessenheitsbeschluss in der EU-Datenschutzgrundverordnung (DSGVO) und bezieht sich auf Daten, die aus der EU nach Japan transferiert werden. Da das Datenschutzniveau in der EU und in Japan als vergleichbar gilt, ist ein freier Datenaustausch zwischen der EU und Japan zulässig. Die Angemessenheit des Datenschutzniveaus wird in einem Durchführungsrechtsakt durch die EU-Kommission festgestellt. In dem Durchführungsrechtsakt ist ein Mechanismus für eine regelmäßige Überprüfung vorgesehen, die mindestens alle vier Jahre erfolgt und bei der allen maßgeblichen Entwicklungen in Japan Rechnung getragen wird (Artikel 45 Absatz 3 DSGVO). Gemäß Artikel 45 Absatz 5 DSGVO kann die EU-Kommission ihren Beschluss widerrufen, sofern die Voraussetzungen für die Feststellung der Angemessenheit weggefallen sind. Auch in diesem Fall können personenbezogene Daten weiter in das Drittland, in diesem Fall Japan, übermittelt werden. Eine solche Übermittlung kann dann nur noch nach bestimmten Voraussetzungen (Artikel 44 bis Artikel 50 DSGVO) erfolgen. Insbesondere seien hierbei geeignete Garantien nach Artikel 46 DSGVO wie EU-Standardvertragsklauseln, die Einwilligung der betroffenen Person (Artikel 49 Absatz 1 a DSGVO), Binding Corporate Rules (Artikel 46 Absatz 2 b, Artikel 47 DSGVO), Code of Conducts (Artikel 40 DSGVO), anerkannte Zertifizierungsmechanismen (Artikel 42 DSGVO) oder das Vorliegen eines öffentlichen Interesses (Artikel 49 DSGVO) genannt. Da für Japan nun keine zusätzlichen Beschränkungen für den Datenfluss gelten, besteht für andere Drittländer ein Anreiz, ihre Datenschutzstandards zu verbessern, um zukünftig ebenfalls von den Vorteilen eines EU-Angemessenheitsbeschlusses zu profitieren. Kanada, Israel, Japan, Neuseeland, die Schweiz und Uruguay sind einige der zwölf Länder, denen von der Europäischen Kommission bisher ein vergleichbares Datenschutzniveau attestiert wurde.
10
Internationale Datenströme
Die EU-Datenschutzgrundverordnung hat bereits einige Länder in wichtigen Drittmärkten zu vergleichbaren Gesetzen inspiriert. Argentinien verfolgt bereits einen ähnlichen Ansatz bei internationalen Datentransfers, und das neue Datenschutzgesetz, das die Regierung dem Kongress im Oktober 2018 vorgelegt hat, würde das Land noch stärker an die EU-Datenschutzgrundverordnung in Europa angleichen.12 Dies ist auch in Brasilien der Fall, wo das neue Allgemeine Datenschutzgesetz im August 2018 verabschiedet wurde und im Februar 2020 in Kraft getreten ist. Internationale Datenübermittlungen sind nur in bestimmten Situationen zulässig, etwa wenn in den Empfängerländern ein angemessenes Datenschutzniveau gewährleistet ist, wenn genehmigte rechtliche Mechanismen (z.B. Mustervertragsklauseln) angewendet werden oder wenn die betroffenen Personen ihre Einwilligung erteilt haben. Position des BDI Der BDI begrüßt den Angemessenheitsbeschluss der EU zu Japan ausdrücklich. Die EU-Datenschutzgrundverordnung setzt damit internationale Standards. Die EU sollte im Dialog mit anderen Schlüsselmärkten ebenfalls auf eine Angleichung der dortigen Datenschutzstandards hinwirken. Im Idealfall könnte dies zu einer Ausweitung der Angemessenheitsbeschlüsse durch die EU führen. Damit könnten die hohen EU-Standards de facto in wichtige Märkte übertragen werden („protection travels with the data“).
EU-US Privacy Shield Das Privacy-Shield-Abkommen zwischen der EU und den Vereinigten Staaten war seit 2016 in Kraft und wurde mit Urteil vom 16. Juli 2020 (C-3111/18 – „Schrems II“) durch den Europäischen Gerichtshof (EuGH) gekippt. Den Auslöser des Urteils bildete eine Beschwerde eines Bürgers bei der irischen Datenschutzbehörde, mit der er sich wiederholt gegen die Weitergabe seiner Daten durch Facebook in die USA gewehrt hatte. Nach der Entscheidung zum Safe Harbour Abkommen im Jahr 2015 (C362/14 - „Schrems I“) hat der EuGH damit bereits zum zweiten Mal die wesentliche Rechtsgrundlage für den Transfer personenbezogener Daten europäischer Bürger in die USA zu Fall gebracht. Das am 12. Juli 2016 ausgehandelte Privacy-Shield-Abkommen war bis zu dem Urteil neben den Standarddatenschutzklauseln die wesentliche Grundlage für die Übertragung personenbezogener Daten aus der EU in die USA über die Möglichkeiten der Übermittlung an Drittstaaten nach Art. 44 ff. DSGVO hinaus. Das Abkommen erleichterte den EU-US-Datenfluss für Unternehmen. Gleichzeitig verlangte das Privacy Shield von den US-Unternehmen – verglichen mit dem US-Datenschutz – strengere Verpflichtungen zum Schutz personenbezogener Daten, wenn sie Daten aus der EU beziehen. Um dem Anwendungsbereich des Abkommens und dem erleichterten Datenfluss zu unterliegen, mussten sich US-Unternehmen anhand gewisser Datenschutzstandards selbst zertifizieren. Mittels jährlicher Registrierung wurden sie sodann seitens der US-Behörden in die Privacy-Shield-Liste beim US-Wirtschaftsministerium aufgenommen. Wenn personenbezogene Daten auf der Grundlage des Privacy Shield an ein zertifiziertes US-Unternehmen übermittelt wurden, ergaben sich für die betroffenen EUBürger gegenüber dem US-Unternehmen das Recht auf Information, gegebenenfalls das Recht auf Widerspruch gegen eine Datenverarbeitung, das Recht auf Auskunft und die Zweckbindung der Datenspeicherung. Ferner wurde ein jährlicher Review-Mechanismus zwischen der US-Regierung, der EU-Kommission und Vertretern der europäischen Datenschutzbehörden vereinbart.
12
https://iapp.org/news/a/argentinas-new-bill-on-personal-data-protection/
11
Internationale Datenströme
Durch das Urteil des EuGHs wurde den europäischen Unternehmen die Möglichkeit des rechtssicheren Datentransfers ohne Übergangsfrist entzogen. Insbesondere kann der transatlantische Datenfluss nach dem EuGH-Urteil auch nicht mehr ohne Weiteres auf die so genannten Standarddatenschutzklauseln gestützt werden. Zwar sind diese grundsätzlich weiterhin für den Datentransfer in Drittstaaten anwendbar. Jedoch muss im Einzelfall überprüft werden, ob die vertraglichen Abreden aus den Standarddatenschutzklauseln zur Wahrung des nach Unionsrecht geforderten Schutzniveaus im Drittland auch eingehalten werden können. Erforderlichenfalls müssten hierfür auch weitere Datenschutzmaßnahmen seitens der Verantwortlichen ergriffen werden. Sollte auch durch zusätzliche Maßnahmen kein angemessenes Datenschutzniveau sichergestellt werden können, müsse die Datenübermittlung in das betreffende Land ausgesetzt werden. Sollte der Transfer bereits begonnen haben, sei er unverzüglich einzustellen. Bereits übertragene Daten müssten zurückgegeben werden, so der EuGH. Da jedoch der EuGH die Angemessenheit des Datenschutzniveaus in den USA aufgrund der weitreichenden Eingriffsbefugnisse der dortigen Nachrichtendienste und der fehlenden Rechtsbehelfe verneint und eine umfangreiche Einzelfallprüfung vom Datenexporteur mit Sitz in der EU verlangt, wird der Datentransfer in die USA auch auf der Basis der EU-Standarddatenschutzklauseln praktisch deutlich erschwert, was insgesamt zu großer Rechtsunsicherheit führt. Hierzu ist insbesondere auch zu berücksichtigen, dass die Standarddatenschutzklauseln – wie der Gerichtshof konstatiert – nur zwischen den Vertragsparteien gelten und für drittstaatliche Behörden unverbindlich sind. Position des BDI Der transatlantische Datenverkehr ist für die deutsche Industrie von enormer Bedeutung. Insbesondere vor dem Hintergrund der Wichtigkeit der USA als Investitionsstandort und Exportmarkt sowie als Anbieter innovativer und leistungsfähiger globaler IT-Dienstleistungen ist ein einfacher und sicherer transatlantischer Datentransfer essenziell. Welche Form und Inhalte zusätzliche Vereinbarungen oder Maßnahmen haben müssten, um die vom EuGH aufgezeigten Defizite beim Datenschutzniveau in den USA zu überwinden, bleibt bisher ungeklärt. Angesichts dieser Risiken ist es nun dringende Aufgabe der EU-Kommission, mit den US-amerikanischen Behörden möglichst schnell eine wirksame und nachhaltige Nachfolgeregelung zu verhandeln und die EU-Standarddatenschutzklauseln zu verbessern. Der Europäische Datenschutzausschuss ist zeitgleich aufgefordert, praxistaugliche europaweit einheitliche und verbindliche Leitlinien für ergänzende Schutzmaßnahmen zu den Standarddatenschutzklauseln zu veröffentlichen. Europäische Unternehmen sind auf Rechtssicherheit im weltweiten Daten- und Wirtschaftsverkehr angewiesen. Das Vertrauen der EU-Bürger, und nicht zuletzt auch der Unternehmen, in den transatlantischen Datenverkehr muss wiederhergestellt werden. Dies ist Aufgabe der Politik auf beiden Seiten des Atlantiks. In der Zwischenzeit sollten die Aufsichtsbehörden in der EU und Deutschland den Unternehmen, die ihre Datenprozesse im Vertrauen auf die Gültigkeit des Privacy Shield und der Standarddatenschutzklauseln organisiert haben, ein angemessenes Moratorium gewähren.
12
Internationale Datenströme
Europarat Der Europarat hat das Übereinkommen 108 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten auf den Weg gebracht. Diese Datenschutzkonvention stammt aus dem Jahr 1981. Das Abkommen schützt das Recht des Menschen auf Schutz der Privatsphäre bei der automatischen Verarbeitung personenbezogener Daten. Bisher haben sich 53 Staaten verpflichtet, nach ihrem eigenen innerstaatlichen Recht Sanktionen und Rechtsbehelfe für Verstöße gegen die Bestimmungen des Übereinkommens zu verhängen. Einige Grundprinzipien des Übereinkommens sind: 1.
das Verbot rechtswidriger Datenverarbeitung (Art. 5 lit. a);
2.
die Datenverarbeitung muss zweckgebunden und verhältnismäßig sein (Art. 5 lit. b und c);
3.
personenbezogene Daten müssen so früh wie möglich anonymisiert werden (Art. 5 lit. e);
4. Artikel 10 regelt Sanktionsmechanismen bei Verletzung der Vorschriften des Übereinkommens. Demnach regelt der ratifizierende Staat entsprechende Sanktionsmöglichkeiten selbst. Interessant an diesem Übereinkommen ist u.a. der Artikel 23. Hiernach können auch Länder dem Abkommen beitreten, die nicht Mitglied des Europarats sind. Position des BDI Dieses Regelwerk war ursprünglich die erste verpflichtende zwischenstaatliche Vereinbarung, die sich mit Datenschutz auseinandergesetzt hat. Im Jahr 2018 wurde sie reformiert. Das entsprechende Änderungsprotokoll ist mit dem EU-Datenschutzrecht vollständig kohärent. Dies ist eine wichtige Entwicklung, stellt sie doch einen weiteren Beispielsfall des erfolgreichen Exports verbindlicher EUrechtlicher Datenschutzvorschriften dar. Für die Unternehmen ist das positiv, da diese Entwicklung auch Rechtssicherheit schafft.
OECD - Die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung Die OECD-Datenschutzrichtlinien stammen aus dem Jahr 1980 und sind nicht bindend sowie technologieneutral. Sie wurden seitens einer Expertenkommission erarbeitet und sollen Regierungsvertreter dazu inspirieren, einen umfassenden Datenschutz in ihren jeweiligen Jurisdiktionen sicherzustellen. Darüber hinaus haben die Leitlinien das Ziel, Staaten zu ermutigen in Datenschutzfragen zusammenzuarbeiten und die Entwicklung internationaler Vereinbarungen zu unterstützen. Dadurch soll auch die Interoperabilität zwischen Datenschutzrahmen gefördert werden. Interessant sind die OECD-Datenschutzrichtlinien insbesondere deshalb, da sie eine Definition für den Begriff der personenbezogenen Daten liefern. Hiernach sind personenbezogene Daten „Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen“. Darüber hinaus finden sich Bestimmungen im Hinblick auf die Zweckbestimmung der Datenbenutzung (Teil 2, Punkt 9) und entsprechende Schutzmaßnahmen in den Leitlinien (Teil 2, Punkt 11).
13
Internationale Datenströme
Position des BDI Auch wenn die Leitlinien der OECD mangels rechtsverbindlichen Charakters nicht rechtlich durchsetzbar sind, ist die Initiative der OECD grundsätzlich als vorteilhaft zu bewerten. Dies gilt insbesondere vor dem Hintergrund der Tatsache, dass sehr viele relevante außereuropäische Kernmärkte der deutschen Industrie, etwa die USA, Südkorea, Japan und Australien, Mitglieder der OECD sind und an diesen Diskussionen teilnehmen. Die Arbeit zum grenzüberschreitenden Datentransfer sollte vor diesem Hintergrund in den relevanten Foren auf Ebene der OECD weitergeführt werden. Hierbei sollten sich die Mitglieder der OECD am europäischen Datenschutzniveau, wie es insbesondere in der DSGVO zu finden ist, orientieren.
Empfehlungen des BDI Datenströme sind global und global ist auch das Geschäft der deutschen Industrie. Der BDI spricht sich dafür aus, einen internationale Rechtsrahmen zu schaffen, um den grenzüberschreitenden Datenaustausch zu regeln. Nationale Alleingänge sind zu vermeiden. Wo globale Regelungen nicht schnell und ambitioniert genug gesetzt werden, wie etwa im Bereich e-Commerce auf Ebene der WTO, muss der Weg regionaler und plurilateraler Initiativen gegangen werden. Die Ergebnisse sollten mit multilateralen Regeln kompatibel sein und schrittweise auf die globale Ebene übertragen werden. Gleiches gilt für bilaterale Initiativen mit strategisch wichtigen Partnern, wie etwa dem MERCOSUR-Staatenbund oder Japan. Mit der Ausarbeitung eines horizontalen Kapitels für Datenströme im Bereich der Handelspolitik hat die EU-Kommission im Sommer 2018 einen neuen Weg eingeschlagen. Der BDI begrüßt das. Jedoch wirkt der Text der EU zu starr, die vergleichbaren Texte aus USMCA und CPTPP sind flexibler und erleichtern dadurch auch die Rechtsdurchsetzung. Anstatt mit einem abschließenden Listenansatz zu arbeiten, wäre es besser, wenn die Verbotsliste der EU nicht abschließend wäre, um so ähnlich handelsstörende Maßnahmen zu erfassen, die in ihrer Wirkung mit den vier bereits erwähnten Fallgruppen vergleichbar sind. Die seitens der EU vorgesehene uneingeschränkte Regulierungsfreiheit zum Schutz personenbezogener Daten verhindert, dass die Abkommen wirksam gegen Einschränkungen des grenzüberschreitenden Datenverkehrs sowie Lokalisierungszwänge in den Partnerstaaten eingesetzt werden können. Unter dem Vorwand dieser Schutzinteressen könnten praktisch jedwede Einschränkungen begründet werden. Wichtig ist, dass die Maßnahmen, die zum Schutz personenbezogener Daten erlassen werden, verhältnismäßig und nicht willkürlich sind. Darüber hinaus darf Zweck der staatlichen Maßnahme nur die Verfolgung des Datenschutzes sein. Wichtig ist nun, dass die den Texten zugrunde liegenden Mechanismen interoperabel sind. Die G20Staaten haben dies in Osaka im Juni 2019 erkannt und rufen dazu auf, interoperable Systeme zu schaffen. Der BDI begrüßt das. Die deutsche Industrie braucht Rechtssicherheit. Dies wird vor dem Hintergrund des Angemessenheitsbeschlusses der EU nochmals deutlich. Sollte sich die EU-Kommission dazu entscheiden, einen Angemessenheitsbeschluss zu widerrufen, ruft die deutsche Industrie die Entscheidungsträger dazu auf, die Voraussetzungen für einen Widerruf gründlich zu prüfen. Sollte der Widerruf tatsächlich vollzogen werden, sind die Unternehmen zeitnah von der Entscheidung zu informieren. Darüber hinaus ist seitens der EU-Kommission sicherzustellen, dass Daten in geregelter Art und Weise und in Übereinstimmung mit der europäischem DSGVO, etwa durch Garantien oder allgemeine Vertragsklauseln, grenzüberschreitend weiterhin zirkulieren.
14
Internationale Datenströme
Im Bereich der Rechtssetzung des Datenaustausches ist bindendes Recht für Unternehmen vorteilhafter, da es Rechtssicherheit schafft, die für den elektronischen Datenaustausch wichtig ist. Dennoch sind auch Lösungen im Bereich des sogenannten „soft-laws“ von Bedeutung, da es für die Kooperation in globalen Foren mit wichtigen Partnern hilfreich sein kann. Darüber hinaus erwächst aus dem softlaw oft bindendes Recht und kann dem Gesetzgeber so auch als Anregung und Inspiration für gut funktionierende Mechanismen dienen. Genehmigungspflichten und Beschränkungen zur Ausfuhr bestehen auch für immaterielle Güter und betreffen deshalb Technologie und Datenverarbeitungsprogramme. Ungeachtet der im Positionspapier angebrachten Forderungen, sollten daher Beschränkungen für exportkontrollrelevante Daten berücksichtigt werden.
15
Internationale Datenströme
Impressum Bundesverband der Deutschen Industrie e.V. (BDI) Breite Straße 29, 10178 Berlin www.bdi.eu T: +49 30 2028-0 Redaktion Dr. Stormy-Annika Mildner T: +493020281562 s.mildner@bdi.eu Eckart von Unger T: +3227921020 e.vonunger@bdi.eu Stefanie Ellen Stündel T: +327921015 s.stuendel@bdi.eu
BDI Dokumentennummer: D 1120
16
