Datentransfers : Stoppschilder für globale Datenströme?

Datenströme sind die zentrale Infrastruktur globaler Interaktion. Kommunikation und Handel basieren auf kabel- wie satellitengestützten Datentransfers. Viele digitale Dienstleistungen und digitale Produkte sind ohne globale Datenströme nicht denkbar. Besonders sichtbar wird die Abhängigkeit von Daten beim Training von Künstlicher Intelligenz (KI). Um Qualitätsdaten besteht ein erheblicher, systemischer Wettbewerb. Die Kontrolle von Datenströmen und der Zugang zu Daten sind vor diesem Hintergrund ein maßgeblicher Faktor der Wettbewerbsfähigkeit nicht nur von Ökonomien, sondern von Gesellschaften im 21. Jahrhundert insgesamt. Das hat jüngst auch der Draghi-Report unterstrichen.

Globale Datenströme als nationales Sicherheitsrisiko

Offene Gesellschaften haben zwar aufgrund ihrer Struktur und ihrer Innovationsprozesse im Ausgangpunkt einen Vorteil gegenüber autoritär geführten Staaten. Ob dieser auch immer realisiert werden kann, ist damit jedoch (leider) noch nicht gesagt. Eine EU als „Datenkolonie“ (Francesca Bria) ist sicher nicht erstrebenswert, aber eben perspektivisch möglich. Folgerichtig werden Datenabflüsse in autoritäre Staaten seit geraumer Zeit als Wirtschaftsrisiko, aber auch als Bedrohung der nationalen Sicherheit eingestuft. Dies ist nur konsequent: Denn der Produktionsfaktor Daten hat nicht immer im Vorhinein eingrenzbare Einsatzmöglichkeiten. Daten sind mindestens ein „Dual-Use“-, wenn nicht gar ein „Multiple-Use“-Gut. Der anhaltende Diskurs um das Heben von (Nutzer-)Datenschätzen durch Unternehmen aus dem EU-Ausland unterstreicht diese Mehrdimensionalität.

Ideen für eine weitergehende Regulierung globaler Datenströme sind ein Ergebnis dieser Gemengelage industrie-, sicherheits-, außen- und verteidigungspolitischer Konflikte. Plastisch formuliert: Das Teilen von Bilddaten mag eben nicht nur zur Unterhaltung in einer App dienen, sondern gegebenenfalls auch dem Training von Gesichtserkennungssystemen autonomer Waffensysteme. Wer weiß das schon? Insbesondere in Zeiten systemischer Rivalitäten diskutieren deswegen zahlreiche Stakeholder Schranken globaler Datenströme. Dabei sind vielfältige Trade-offs zu gewichten. Aufgrund der multiplen Einsatzmöglichkeiten von Daten stehen bei Stoppschildern schließlich erhebliche Beschränkungen, etwa für den freien Waren- und Dienstleistungsverkehr, in Rede.

In Bezug auf personenbezogene Daten ist die Ausgangslage dazu bereits seit längerem bekannt. Die Datenschutzgrundverordnung (DSGVO) statuiert hier Transferhürden (aber keine harten Schranken). Der Fokus liegt dabei auf dem Datenschutzniveau im jeweiligen Drittstaat. Die beiden Schrems-Urteile des Europäischen Gerichtshofs haben hierfür den Kontrollmaßstab gesetzt – und dass die Regulierung zu Drittlandtransfers wirkt, hat jüngst auch das Bußgeld in Höhe von 530 Millionen Euro gegen Tiktok verdeutlicht.

Nicht-personenbezogene Daten bisher kaum geregelt

Ob die datenschutzrechtlichen Vorgaben sich jedoch auch langfristig als taugliches Instrument gegen Datenabflüsse ins EU-Ausland erweisen werden, ist noch offen. Aspekte der Wettbewerbsfähigkeit oder der Systemrivalität sind dem Datenschutzrecht fremd. Genau diese Aspekte gewinnen allerdings an Relevanz. Dies zeigt sich deutlich anhand von nicht-personenbezogenen Daten. Handfeste Herausforderungen in Bezug auf Geschäftsgeheimnisse, Immaterialgüterrechte und sonstiges Know-how sind hier an der Tagesordnung. Deutsche Automobilkonzerne mit Fertigungsstätten in China, die unter den vagen, aber potenziell behördlich scharf ausgelegten Regelungen bei einem Datentransfer ins chinesische Ausland konfrontiert sind, können ein Lied davon singen.

In der EU besteht demgegenüber kein kohärentes Datentransferrecht für nicht-personenbezogene Daten. Vielmehr bestehen nur punktuelle Regelungen. Erst recht hat sich ein Datenaußenwirtschaftsrecht bislang noch nicht herausgebildet. Blickt man in die USA, zeigt sich (unabhängig von Trump) eine gegenläufige Tendenz. Die Kehrtwende hat bereits im Jahre 2024 noch unter der Biden-Regierung stattgefunden. Waren die USA lange Zeit ein großer Befürworter des „free flow of data“, setzte die Executive Order zum massenhaften Abfluss sensitiver persönlicher Daten einen Kontrapunkt.

Diesseits des Atlantiks wird daher eine Novellierung der bislang zumindest nicht explizit auf Daten ausgerichteten Dual-Use-Verordnung erwogen. Die Etablierung einer eigenständigen Datenausfuhrkontrolle ist ebenso denkbar. In diesem Rahmen könnte genauer als bisher definiert werden, welche Zielländer für welche Arten von Datentransfers als vertrauenswürdig einzustufen sind – und welche Länder nicht. Während die DSGVO noch mit einer „White List“ hantiert, dürfte sich der Ansatz einer Kriterien-basierten „Black List“ anbieten.

Zeit für „Datenrealpolitik“

Vertrauensgrundlage können auch die derzeit in unterschiedlicher Art und Weise verhandelten multi- und bilateralen Abkommen sein. Solche Digital Economy bzw. Digital Trade Agreements haben deutlich zugenommen – zum Beispiel durch das Vereinigte Königreich post-Brexit, aber auch seitens der EU etwa mit Japan (und wohl bald mit der Republik Korea und Singapur).

Die globale Tendenz geht klar in Richtung mehr „Datenexportkontrolle“. Die vielen und teils verschränkten Regelungsschichten gilt es im Blick zu behalten. Denn mit Datentransferregelungen stehen und fallen Transaktionen, Geschäftsmodelle sowie unter Umständen sogar konzerninterne Datentransfers. Seitens des Gesetzgebers ist deswegen eine umsichtige Kalibrierung der beteiligten Interessen erforderlich.

Gleichfalls nicht vergessen werden sollte, dass der Zugang zu europäischen Daten auch ein wirkmächtiger politischer Hebel sein kann. Allein an wirtschaftlichen Effizienzgesichtspunkten wird man sich angesichts der geopolitischen Lage daher sicher nicht orientieren können. Viel gewonnen wäre bereits, wenn zumindest die in Daten enthaltenen Werte nicht ungewollt abflössen und auch sicherheitspolitische Belange gewahrt würden, ohne damit den globalen Handel und digitale Dienstleistungen allgemein abzuwürgen. Dass allerdings die Einschränkung bestimmter Anwendungen, die zu einem ungewollten Abfluss von Daten in Drittländer beitragen oder gar darauf ausgelegt sind, notwendig sein kann, versteht sich von selbst. Hier ist ein realistischer, geopolitisch nüchterner Blick gefragt. Man kann das Datenrealpolitik nennen. Oder anders gesagt: Bei Tiktok geht es keinesfalls nur um lustige Videos.

Moritz Hennemann ist Inhaber des Lehrstuhls für Zivilrecht mit Informationsrecht, Medienrecht, Internetrecht sowie Direktor des Instituts für Medien- und Informationsrecht, Abteilung Privatrecht, der Albert-Ludwigs-Universität Freiburg. Alexander Wehde ist Vorstandsvorsitzender der Forschungsstelle für Rechtsfragen neuer Technologien sowie Datenrecht („ForTech“).