15 minute read
Die multilaterale handelspolitische Ebene WTO
sowie Lokalisierungszwänge in den Partnerstaaten zu verhindern. Unter dem Vorwand dieser Schutzinteressen könnten praktisch jedwede Einschränkungen begründet werden. Vor diesem Hintergrund schlägt der BDI für den Ausnahmetatbestand zum Schutz personenbezogener Daten und Privatsphäre im Musterkapitel der EU diesen alternativen Wortlaut vor:
– „Staatliche Maßnahmen, die den grenzüberschreitenden Transfer persönlicher Daten beschränken,
– dürfen nicht willkürlich sein,
– müssen verhältnismäßig sein
– und dürfen nicht dazu dienen, andere Zwecke als den Datenschutz zu verfolgen“.
Darüber hinaus sind die Texte aus dem USMCA und dem CPTPP älter als der Vorschlag der EU. Es wäre für die EU also durchaus möglich gewesen, sich an den Texten aus dem Pazifikraum zu orientieren, um auf diese Art und Weise in globalen Foren gemeinsam starke Standards zu setzen. Dass dies nicht geschehen ist, ist aus Sicht des BDI bedauerlich.
Sollten die Regelungen dieser wichtigen Wirtschaftsräume nicht deutlich harmonisiert werden können, sollten die den Texten zugrunde liegenden Mechanismen zumindest in Bezug auf Mindeststandards interoperabel sein. Insofern begrüßt es der BDI, dass die G20-Vertreter dieses Problem erkannt haben und sich in ihrer „Osaka Declaration“ vom Juni 2019 ausdrücklich für diese interoperablen Mechanismen aussprechen, um den grenzüberschreitenden Datenaustausch möglichst fließend weltweit auszugestalten. Die G20-Staaten sollten dafür einen konkreten Arbeitsplan erstellen und mit Nachdruck an entsprechenden Vereinbarungen arbeiten.
Dass die EU allerdings im Hinblick auf die Definition des Begriffs „persönliche Daten“ auf bereits bestehende Definitionen der OECD und des Europarats zurückgreift, ist begrüßenswert. Eine solche Vorgehensweise schafft wichtige Übersichtlichkeit und vermeidet unnötige Komplexitäten.
Die in USMCA und CPTPP geregelten Vorschriften im Hinblick auf den Datenaustausch sind flexibler gestaltet als der Vorschlag der EU. Man hält sich weitestgehend an allgemeine Rechtsgrundsätze (u.a. Willkürverbot und Verhältnismäßigkeitsgrundsatz), was positiv ist. Im Hinblick auf den grenzüberschreitenden Datentransfer und die Problematik der Datenlokalisierung sind sich beide Abkommen sehr ähnlich, teilweise im Wortlaut sogar identisch. Die Abkommen sind fein austariert und regeln Grundsatz und Ausnahme anschaulich. Da deutsche Industrieunternehmen sowohl in Nordamerika als auch im Asiatisch-Pazifischen Wirtschaftsraum ansässig sind und in der Region Geschäft betreiben, ist dies, insbesondere aus Gründen der Rechtssicherheit, sehr wichtig.
Die multilaterale handelspolitische Ebene – WTO
Auf Ebene der WTO gibt es zahlreiche Rechtsakte, die sich mit handelspolitischen Fragen in Zusammenhang mit der Datenwirtschaft befassen. Hierunter fallen insbesondere das WTO-Abkommen über Handelserleichterungen (WTO TFA), das WTO-Abkommen über den Handel mit Dienstleistungen (GATS), das Zollmoratorium für elektronische Übertragungen sowie das WTO-Abkommen über die Informationstechnologie (ITA). Abgesehen vom WTO TFA, auf welches sich die WTO-Mitglieder im Jahr 2013 einigten, wurden alle WTO-Abkommen, die in die oben beschriebene Kategorie fallen, in den frühen 1990er Jahren ausverhandelt. Es stellt sich folglich die Frage, ob diese WTO-Abkommen ausreichend für die Masse an Daten und ihre ökonomische Bedeutung sind, die heutzutage weltweit zirkulieren.
Die WTO-Mitglieder haben das Problem erkannt und im Jahr 1998 ein entsprechendes Arbeitsprogramm zum elektronischen Handel („e-Commerce“) auf den Weg gebracht. 7 Auch wenn die WTO auf jeder Ministerkonferenz das Thema e-Commerce auf die Agenda setzt, hat man leider hier bisher nur wenige Fortschritte gemacht. Mithin haben sich zahlreiche WTO-Mitglieder auf die bereits oben beschriebenen bilateralen und plurilateralen bzw. regionalen Initiativen fokussiert, um im kleineren Kreis handelspolitische Instrumente zu entwickeln, die tragfähige Lösungen für die Datenwirtschaft, insbesondere im Bereich e-Commerce, bringen können.
Ferner gibt es seit der zweiten WTO-Ministerkonferenz im Jahr 1998 ein WTO-Moratorium im Hinblick auf die Nicht-Verzollung von Datentransfers (elektronischen Übertragungen) über Ländergrenzen hinweg. Dieses Moratorium wurde bislang rechtzeitig alle zwei Jahre verlängert und gilt nun bis zur nächsten (zwölften) Ministerkonferenz. 8 Die Konferenz sollte eigentlich im Juni 2020 stattfinden, wurde nun aber wegen der Covid-19-Pandemie auf einen bislang unbestimmten Zeitraum (wahrscheinlich Sommer 2021) vertagt. Sollte die Vereinbarung dann nicht vom Allgemeinen Rat der WTO erneuert werden, drohen neue Belastungen und Konflikte im Welthandel. Die Verzollung wäre komplex, für Unternehmen und Verbraucher kostspielig und politisch kontrovers. Außerdem kommt das European Centre for International Political Economy (ECIPE) in einer Studie9 aus dem Jahr 2019 zu dem Schluss, dass sich die Vorteile eines Staates durch Zolleinnahmen auf Datenströme über einen Rückgang der Wirtschaftsleistung in einen finanziellen Nachteil verkehren würde. Aus diesen Gründen sprechen sich der BDI und internationale Wirtschaftsverbände wie die International Chamber of Commerce (ICC) dafür aus, die Nicht-Verzollung von elektronischen Datenübertragungen unbefristet zu vereinbaren. Dies würde für Wirtschaft und Verbraucher Vertrauen und Planungssicherheit schaffen und Protektionismus einen Riegel vorschieben.
Nachdem sich ein Verbot im Hinblick auf die Verzollung von Datentransfers laut einer ICC-Untersuchung bereits in 59 bilateralen und regionalen Freihandelsabkommen befindet, gab es dann im Januar 2019 auf WTO-Ebene einen plurilateralen Fortschritt beim Thema e-Commerce. Die EU und 48 weitere Mitglieder, darunter China und die Vereinigten Staaten, setzten sich zum Ziel, die Zusammenarbeit im Bereich e-Commerce zu vertiefen und auf plurilateraler Ebene regulatorische Fortschritte zu erzielen. 10 Andere WTO-Mitglieder, die bisher nicht Teil der Initiative sind, dürfen jederzeit beitreten.
Die EU hat sich bereits aktiv in diesen Prozess eingebracht und im April 2019 einen Vorschlag11 im Hinblick auf den grenzüberschreitenden Datenaustausch im Bereich e-Commerce vorgelegt. Dieser schreibt den Grundsatz der Freiheit des Datenverkehrs vor und untersagt u.a. Datenlokalisierungsanforderungen (Artikel 2.7). Darüber hinaus darf der grenzüberschreitende Datenaustausch nicht davon abhängig gemacht werden, dass ein Unternehmen etwa Computernetzwerke innerhalb der Jurisdiktion eines WTO-Mitglieds nutzt. Zudem kann man die plurilaterale e-commerce-Initiative dazu nutzen, um Zölle auf Datentransfers dauerhaft auszuschließen.
Position des BDI
Der BDI bewertet die Arbeit im Bereich der WTO zum Thema e-Commerce und den offenen Charakter der entsprechenden plurilateralen Initiative als positiv.
7 https://www.wto.org/english/tratop_e/ecom_e/ecom_e.htm 8 https://www.wto.org/english/news_e/news19_e/gc_10dec19_e.htm 9 https://ecipe.org/publications/moratorium/ 10 http://trade.ec.europa.eu/doclib/docs/2019/january/tradoc_157643.pdf 11 http://trade.ec.europa.eu/doclib/docs/2019/may/tradoc_157880.pdf
Der Wortlaut des EU-Vorschlags für die plurilaterale Initiative ähnelt im Bereich e-Commerce dem Wortlaut der Abkommen USMCA und CPTPP. Dies begrüßt der BDI ausdrücklich, erhöht dies doch die Übersicht und die Kongruenz im Hinblick auf die Regelungsrahmen in wichtigen Zielmärkten.
Wichtig ist, dass die WTO-Initiative verbindliche Regeln für eine freie, sichere und zuverlässige grenzüberschreitende Datenübertragung liefert. Die gesetzlichen Eingriffsrechte zur Lokalisierung sollten minimiert werden. Die Freiheit der Unternehmen zu entscheiden, ob und welche Daten übertragen werden, sollte nicht eingeschränkt werden. Die Übertragung oder der Zugriff auf Quellcodes und Algorithmen sollte keine Marktzugangsanforderung für Software sein. Es wäre wünschenswert, wenn im Rahmen der nächsten WTO-Ministerkonferenz (voraussichtlich im Sommer 2021 in Kasachstan) ein umfassender Fortschrittsbericht und eine Einigung über einen konkreten Arbeitsplan, inhaltliche Themen und Schwerpunkte vorliegen würde.
Zölle für elektronische Übermittlungen sollten dauerhaft untersagt werden.
Regelungen über den grenzüberschreitenden Datentransfer außerhalb der Handelspolitik
EU-Japan-Angemessenheitsbeschluss
Der Transfer von persönlichen Daten zwischen der EU und Japan ist nicht im Freihandelsabkommen zwischen beiden Staaten geregelt, es ist dafür allerdings eine Nachverhandlungsklausel enthalten. Grundlage des Datentransfers ist die Angemessenheitsentscheidung der EU, welche das EU-JapanHandelsabkommen entsprechend komplementiert. Ihre Grundlage findet der Angemessenheitsbeschluss in der EU-Datenschutzgrundverordnung (DSGVO) und bezieht sich auf Daten, die aus der EU nach Japan transferiert werden.
Da das Datenschutzniveau in der EU und in Japan als vergleichbar gilt, ist ein freier Datenaustausch zwischen der EU und Japan zulässig. Die Angemessenheit des Datenschutzniveaus wird in einem Durchführungsrechtsakt durch die EU-Kommission festgestellt. In dem Durchführungsrechtsakt ist ein Mechanismus für eine regelmäßige Überprüfung vorgesehen, die mindestens alle vier Jahre erfolgt und bei der allen maßgeblichen Entwicklungen in Japan Rechnung getragen wird (Artikel 45 Absatz 3 DSGVO). Gemäß Artikel 45 Absatz 5 DSGVO kann die EU-Kommission ihren Beschluss widerrufen, sofern die Voraussetzungen für die Feststellung der Angemessenheit weggefallen sind. Auch in diesem Fall können personenbezogene Daten weiter in das Drittland, in diesem Fall Japan, übermittelt werden. Eine solche Übermittlung kann dann nur noch nach bestimmten Voraussetzungen (Artikel 44 bis Artikel 50 DSGVO) erfolgen. Insbesondere seien hierbei geeignete Garantien nach Artikel 46 DSGVO wie EU-Standardvertragsklauseln, die Einwilligung der betroffenen Person (Artikel 49 Absatz 1 a DSGVO), Binding Corporate Rules (Artikel 46 Absatz 2 b, Artikel 47 DSGVO), Code of Conducts (Artikel 40 DSGVO), anerkannte Zertifizierungsmechanismen (Artikel 42 DSGVO) oder das Vorliegen eines öffentlichen Interesses (Artikel 49 DSGVO) genannt.
Da für Japan nun keine zusätzlichen Beschränkungen für den Datenfluss gelten, besteht für andere Drittländer ein Anreiz, ihre Datenschutzstandards zu verbessern, um zukünftig ebenfalls von den Vorteilen eines EU-Angemessenheitsbeschlusses zu profitieren. Kanada, Israel, Japan, Neuseeland, die Schweiz und Uruguay sind einige der zwölf Länder, denen von der Europäischen Kommission bisher ein vergleichbares Datenschutzniveau attestiert wurde.
Die EU-Datenschutzgrundverordnung hat bereits einige Länder in wichtigen Drittmärkten zu vergleichbaren Gesetzen inspiriert. Argentinien verfolgt bereits einen ähnlichen Ansatz bei internationalen Datentransfers, und das neue Datenschutzgesetz, das die Regierung dem Kongress im Oktober 2018 vorgelegt hat, würde das Land noch stärker an die EU-Datenschutzgrundverordnung in Europa angleichen. 12
Dies ist auch in Brasilien der Fall, wo das neue Allgemeine Datenschutzgesetz im August 2018 verabschiedet wurde und im Februar 2020 in Kraft getreten ist. Internationale Datenübermittlungen sind nur in bestimmten Situationen zulässig, etwa wenn in den Empfängerländern ein angemessenes Datenschutzniveau gewährleistet ist, wenn genehmigte rechtliche Mechanismen (z.B. Mustervertragsklauseln) angewendet werden oder wenn die betroffenen Personen ihre Einwilligung erteilt haben.
Position des BDI
Der BDI begrüßt den Angemessenheitsbeschluss der EU zu Japan ausdrücklich. Die EU-Datenschutzgrundverordnung setzt damit internationale Standards. Die EU sollte im Dialog mit anderen Schlüsselmärkten ebenfalls auf eine Angleichung der dortigen Datenschutzstandards hinwirken. Im Idealfall könnte dies zu einer Ausweitung der Angemessenheitsbeschlüsse durch die EU führen. Damit könnten die hohen EU-Standards de facto in wichtige Märkte übertragen werden („protection travels with the data“).
EU-US Privacy Shield
Das Privacy-Shield-Abkommen zwischen der EU und den Vereinigten Staaten war seit 2016 in Kraft und wurde mit Urteil vom 16. Juli 2020 (C-3111/18 – „Schrems II“) durch den Europäischen Gerichtshof (EuGH) gekippt. Den Auslöser des Urteils bildete eine Beschwerde eines Bürgers bei der irischen Datenschutzbehörde, mit der er sich wiederholt gegen die Weitergabe seiner Daten durch Facebook in die USA gewehrt hatte. Nach der Entscheidung zum Safe Harbour Abkommen im Jahr 2015 (C-362/14 - „Schrems I“) hat der EuGH damit bereits zum zweiten Mal die wesentliche Rechtsgrundlage für den Transfer personenbezogener Daten europäischer Bürger in die USA zu Fall gebracht.
Das am 12. Juli 2016 ausgehandelte Privacy-Shield-Abkommen war bis zu dem Urteil neben den Standarddatenschutzklauseln die wesentliche Grundlage für die Übertragung personenbezogener Daten aus der EU in die USA über die Möglichkeiten der Übermittlung an Drittstaaten nach Art. 44 ff. DSGVO hinaus. Das Abkommen erleichterte den EU-US-Datenfluss für Unternehmen. Gleichzeitig verlangte das Privacy Shield von den US-Unternehmen – verglichen mit dem US-Datenschutz – strengere Verpflichtungen zum Schutz personenbezogener Daten, wenn sie Daten aus der EU beziehen. Um dem Anwendungsbereich des Abkommens und dem erleichterten Datenfluss zu unterliegen, mussten sich US-Unternehmen anhand gewisser Datenschutzstandards selbst zertifizieren. Mittels jährlicher Registrierung wurden sie sodann seitens der US-Behörden in die Privacy-Shield-Liste beim US-Wirtschaftsministerium aufgenommen. Wenn personenbezogene Daten auf der Grundlage des Privacy Shield an ein zertifiziertes US-Unternehmen übermittelt wurden, ergaben sich für die betroffenen EUBürger gegenüber dem US-Unternehmen das Recht auf Information, gegebenenfalls das Recht auf Widerspruch gegen eine Datenverarbeitung, das Recht auf Auskunft und die Zweckbindung der Datenspeicherung. Ferner wurde ein jährlicher Review-Mechanismus zwischen der US-Regierung, der EU-Kommission und Vertretern der europäischen Datenschutzbehörden vereinbart.
12 https://iapp.org/news/a/argentinas-new-bill-on-personal-data-protection/
Durch das Urteil des EuGHs wurde den europäischen Unternehmen die Möglichkeit des rechtssicheren Datentransfers ohne Übergangsfrist entzogen. Insbesondere kann der transatlantische Datenfluss nach dem EuGH-Urteil auch nicht mehr ohne Weiteres auf die so genannten Standarddatenschutzklauseln gestützt werden. Zwar sind diese grundsätzlich weiterhin für den Datentransfer in Drittstaaten anwendbar. Jedoch muss im Einzelfall überprüft werden, ob die vertraglichen Abreden aus den Standarddatenschutzklauseln zur Wahrung des nach Unionsrecht geforderten Schutzniveaus im Drittland auch eingehalten werden können. Erforderlichenfalls müssten hierfür auch weitere Datenschutzmaßnahmen seitens der Verantwortlichen ergriffen werden. Sollte auch durch zusätzliche Maßnahmen kein angemessenes Datenschutzniveau sichergestellt werden können, müsse die Datenübermittlung in das betreffende Land ausgesetzt werden. Sollte der Transfer bereits begonnen haben, sei er unverzüglich einzustellen. Bereits übertragene Daten müssten zurückgegeben werden, so der EuGH. Da jedoch der EuGH die Angemessenheit des Datenschutzniveaus in den USA aufgrund der weitreichenden Eingriffsbefugnisse der dortigen Nachrichtendienste und der fehlenden Rechtsbehelfe verneint und eine umfangreiche Einzelfallprüfung vom Datenexporteur mit Sitz in der EU verlangt, wird der Datentransfer in die USA auch auf der Basis der EU-Standarddatenschutzklauseln praktisch deutlich erschwert, was insgesamt zu großer Rechtsunsicherheit führt. Hierzu ist insbesondere auch zu berücksichtigen, dass die Standarddatenschutzklauseln – wie der Gerichtshof konstatiert – nur zwischen den Vertragsparteien gelten und für drittstaatliche Behörden unverbindlich sind.
Position des BDI
Der transatlantische Datenverkehr ist für die deutsche Industrie von enormer Bedeutung. Insbesondere vor dem Hintergrund der Wichtigkeit der USA als Investitionsstandort und Exportmarkt sowie als Anbieter innovativer und leistungsfähiger globaler IT-Dienstleistungen ist ein einfacher und sicherer transatlantischer Datentransfer essenziell. Welche Form und Inhalte zusätzliche Vereinbarungen oder Maßnahmen haben müssten, um die vom EuGH aufgezeigten Defizite beim Datenschutzniveau in den USA zu überwinden, bleibt bisher ungeklärt. Angesichts dieser Risiken ist es nun dringende Aufgabe der EU-Kommission, mit den US-amerikanischen Behörden möglichst schnell eine wirksame und nachhaltige Nachfolgeregelung zu verhandeln und die EU-Standarddatenschutzklauseln zu verbessern. Der Europäische Datenschutzausschuss ist zeitgleich aufgefordert, praxistaugliche europaweit einheitliche und verbindliche Leitlinien für ergänzende Schutzmaßnahmen zu den Standarddatenschutzklauseln zu veröffentlichen. Europäische Unternehmen sind auf Rechtssicherheit im weltweiten Daten- und Wirtschaftsverkehr angewiesen. Das Vertrauen der EU-Bürger, und nicht zuletzt auch der Unternehmen, in den transatlantischen Datenverkehr muss wiederhergestellt werden. Dies ist Aufgabe der Politik auf beiden Seiten des Atlantiks.
In der Zwischenzeit sollten die Aufsichtsbehörden in der EU und Deutschland den Unternehmen, die ihre Datenprozesse im Vertrauen auf die Gültigkeit des Privacy Shield und der Standarddatenschutzklauseln organisiert haben, ein angemessenes Moratorium gewähren.
Europarat
Der Europarat hat das Übereinkommen 108 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten auf den Weg gebracht. Diese Datenschutzkonvention stammt aus dem Jahr 1981. Das Abkommen schützt das Recht des Menschen auf Schutz der Privatsphäre bei der automatischen Verarbeitung personenbezogener Daten. Bisher haben sich 53 Staaten verpflichtet, nach ihrem eigenen innerstaatlichen Recht Sanktionen und Rechtsbehelfe für Verstöße gegen die Bestimmungen des Übereinkommens zu verhängen. Einige Grundprinzipien des Übereinkommens sind:
1. das Verbot rechtswidriger Datenverarbeitung (Art. 5 lit. a);
2.
3.
4. die Datenverarbeitung muss zweckgebunden und verhältnismäßig sein (Art. 5 lit. b und c);
personenbezogene Daten müssen so früh wie möglich anonymisiert werden (Art. 5 lit. e);
Artikel 10 regelt Sanktionsmechanismen bei Verletzung der Vorschriften des Übereinkommens. Demnach regelt der ratifizierende Staat entsprechende Sanktionsmöglichkeiten selbst.
Interessant an diesem Übereinkommen ist u.a. der Artikel 23. Hiernach können auch Länder dem Abkommen beitreten, die nicht Mitglied des Europarats sind.
Position des BDI
Dieses Regelwerk war ursprünglich die erste verpflichtende zwischenstaatliche Vereinbarung, die sich mit Datenschutz auseinandergesetzt hat. Im Jahr 2018 wurde sie reformiert. Das entsprechende Änderungsprotokoll ist mit dem EU-Datenschutzrecht vollständig kohärent. Dies ist eine wichtige Entwicklung, stellt sie doch einen weiteren Beispielsfall des erfolgreichen Exports verbindlicher EU-rechtlicher Datenschutzvorschriften dar. Für die Unternehmen ist das positiv, da diese Entwicklung auch Rechtssicherheit schafft.
OECD - Die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung
Die OECD-Datenschutzrichtlinien stammen aus dem Jahr 1980 und sind nicht bindend sowie technologieneutral. Sie wurden seitens einer Expertenkommission erarbeitet und sollen Regierungsvertreter dazu inspirieren, einen umfassenden Datenschutz in ihren jeweiligen Jurisdiktionen sicherzustellen.
Darüber hinaus haben die Leitlinien das Ziel, Staaten zu ermutigen in Datenschutzfragen zusammenzuarbeiten und die Entwicklung internationaler Vereinbarungen zu unterstützen. Dadurch soll auch die Interoperabilität zwischen Datenschutzrahmen gefördert werden. Interessant sind die OECD-Datenschutzrichtlinien insbesondere deshalb, da sie eine Definition für den Begriff der personenbezogenen Daten liefern. Hiernach sind personenbezogene Daten „Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen“ . Darüber hinaus finden sich Bestimmungen im Hinblick auf die Zweckbestimmung der Datenbenutzung (Teil 2, Punkt 9) und entsprechende Schutzmaßnahmen in den Leitlinien (Teil 2, Punkt 11).
Position des BDI
Auch wenn die Leitlinien der OECD mangels rechtsverbindlichen Charakters nicht rechtlich durchsetzbar sind, ist die Initiative der OECD grundsätzlich als vorteilhaft zu bewerten. Dies gilt insbesondere vor dem Hintergrund der Tatsache, dass sehr viele relevante außereuropäische Kernmärkte der deutschen Industrie, etwa die USA, Südkorea, Japan und Australien, Mitglieder der OECD sind und an diesen Diskussionen teilnehmen. Die Arbeit zum grenzüberschreitenden Datentransfer sollte vor diesem Hintergrund in den relevanten Foren auf Ebene der OECD weitergeführt werden. Hierbei sollten sich die Mitglieder der OECD am europäischen Datenschutzniveau, wie es insbesondere in der DSGVO zu finden ist, orientieren.
Empfehlungen des BDI
Datenströme sind global und global ist auch das Geschäft der deutschen Industrie. Der BDI spricht sich dafür aus, einen internationale Rechtsrahmen zu schaffen, um den grenzüberschreitenden Datenaustausch zu regeln. Nationale Alleingänge sind zu vermeiden. Wo globale Regelungen nicht schnell und ambitioniert genug gesetzt werden, wie etwa im Bereich e-Commerce auf Ebene der WTO, muss der Weg regionaler und plurilateraler Initiativen gegangen werden. Die Ergebnisse sollten mit multilateralen Regeln kompatibel sein und schrittweise auf die globale Ebene übertragen werden. Gleiches gilt für bilaterale Initiativen mit strategisch wichtigen Partnern, wie etwa dem MERCOSUR-Staatenbund oder Japan.
Mit der Ausarbeitung eines horizontalen Kapitels für Datenströme im Bereich der Handelspolitik hat die EU-Kommission im Sommer 2018 einen neuen Weg eingeschlagen. Der BDI begrüßt das. Jedoch wirkt der Text der EU zu starr, die vergleichbaren Texte aus USMCA und CPTPP sind flexibler und erleichtern dadurch auch die Rechtsdurchsetzung. Anstatt mit einem abschließenden Listenansatz zu arbeiten, wäre es besser, wenn die Verbotsliste der EU nicht abschließend wäre, um so ähnlich handelsstörende Maßnahmen zu erfassen, die in ihrer Wirkung mit den vier bereits erwähnten Fallgruppen vergleichbar sind. Die seitens der EU vorgesehene uneingeschränkte Regulierungsfreiheit zum Schutz personenbezogener Daten verhindert, dass die Abkommen wirksam gegen Einschränkungen des grenzüberschreitenden Datenverkehrs sowie Lokalisierungszwänge in den Partnerstaaten eingesetzt werden können. Unter dem Vorwand dieser Schutzinteressen könnten praktisch jedwede Einschränkungen begründet werden. Wichtig ist, dass die Maßnahmen, die zum Schutz personenbezogener Daten erlassen werden, verhältnismäßig und nicht willkürlich sind. Darüber hinaus darf Zweck der staatlichen Maßnahme nur die Verfolgung des Datenschutzes sein.
Wichtig ist nun, dass die den Texten zugrunde liegenden Mechanismen interoperabel sind. Die G20Staaten haben dies in Osaka im Juni 2019 erkannt und rufen dazu auf, interoperable Systeme zu schaffen. Der BDI begrüßt das.
Die deutsche Industrie braucht Rechtssicherheit. Dies wird vor dem Hintergrund des Angemessenheitsbeschlusses der EU nochmals deutlich. Sollte sich die EU-Kommission dazu entscheiden, einen Angemessenheitsbeschluss zu widerrufen, ruft die deutsche Industrie die Entscheidungsträger dazu auf, die Voraussetzungen für einen Widerruf gründlich zu prüfen. Sollte der Widerruf tatsächlich vollzogen werden, sind die Unternehmen zeitnah von der Entscheidung zu informieren. Darüber hinaus ist seitens der EU-Kommission sicherzustellen, dass Daten in geregelter Art und Weise und in Übereinstimmung mit der europäischem DSGVO, etwa durch Garantien oder allgemeine Vertragsklauseln, grenzüberschreitend weiterhin zirkulieren.
Im Bereich der Rechtssetzung des Datenaustausches ist bindendes Recht für Unternehmen vorteilhafter, da es Rechtssicherheit schafft, die für den elektronischen Datenaustausch wichtig ist. Dennoch sind auch Lösungen im Bereich des sogenannten „soft-laws“ von Bedeutung, da es für die Kooperation in globalen Foren mit wichtigen Partnern hilfreich sein kann. Darüber hinaus erwächst aus dem softlaw oft bindendes Recht und kann dem Gesetzgeber so auch als Anregung und Inspiration für gut funktionierende Mechanismen dienen.
Genehmigungspflichten und Beschränkungen zur Ausfuhr bestehen auch für immaterielle Güter und betreffen deshalb Technologie und Datenverarbeitungsprogramme. Ungeachtet der im Positionspapier angebrachten Forderungen, sollten daher Beschränkungen für exportkontrollrelevante Daten berücksichtigt werden.
Impressum
Bundesverband der Deutschen Industrie e.V. (BDI) Breite Straße 29, 10178 Berlin www.bdi.eu T: +49 30 2028-0
Redaktion
Dr. Stormy-Annika Mildner T: +493020281562 s.mildner@bdi.eu
Eckart von Unger T: +3227921020 e.vonunger@bdi.eu
Stefanie Ellen Stündel T: +327921015 s.stuendel@bdi.eu
BDI Dokumentennummer: D 1120
