Erstellt am: 28. 2. 2012 - 18:32 Uhr
Die Neuordnung des Datenschutzes in Europa
Ende Jänner 2012 hat die EU-Kommission den lange erwarteten Vorschlag für eine Reform des europäischen Datenschutzrechts vorgelegt. Intention der EU-Kommission ist, den Datenschutz in Europa zu vereinheitlichen - ein Vorhaben, das mit der bisherigen EU-Datenschutz-Richtlinie aus dem Jahr 1995 nicht gelungen war. Der Vorschlag für die Reform besteht im wesentlichen aus einer Datenschutz-Grundverordnung, die 90 Artikel enthält, plus einer zusätzlichen Richtlinie.
Über diesen ersten Vorschlag der Kommission wird als nächstes der Rat der Europäischen Union diskutieren, wo die Regierungen der Mitgliedsstaaten ihre Meinungen einbringen. Danach muss das Europäische Parlament darüber abstimmen. Der gesamte politische Prozess dürfte zumindest noch ein Jahr lang dauern. Tritt die Grundverordnung der EU schließlich in Kraft, dann ist sie sofort in allen Mitgliedsstaaten gültig.
Die Grundverordnung steht über der österreichischen Verfassung. Österreichische Gerichte würden in Sachen Datenschutz nicht mehr Bundes- und Verfassungsgesetze anwenden, sondern die Regeln der EU-Grundverordnung, für deren Auslegung der Europäische Gerichtshof zuständig ist. Tritt die Verordnung in Kraft, hat das - verglichen mit dem derzeitigen Datenschutzrecht in Österreich - gravierende Änderungen zur Folge.
APA/EPA
Wunsch der Konzerne: One Stop Shop
Bisher müssen Firmen in jedem EU-Staat ihre Kundendaten gemäß der jeweiligen nationalen Gesetzgebung verarbeiten. Internationale Konzerne wünschen sich deshalb seit Jahren einen sogenannten „One Stop Shop“ für Datenschutz: Nur in jenem EU-Staat, wo der Konzern seinen Hauptsitz hat, solle eine Behörde die Datenverarbeitung kontrollieren.
Genau diesem Wunsch habe die EU-Kommission in ihrem Entwurf zur Datenschutz-Grundverordnung entsprochen, sagt der IT-Rechtsexperte Rainer Knyrim.
Er gibt ein einfaches Beispiel, wie die Grundverordnung sich auf die Verarbeitung von Konsumentendaten auswirkt: „Ein österreichischer Konsument geht zu einer österreichischen Firma, etwa einer GmbH, einkaufen. Diese Firma erhebt die Daten des Kunden für eine der typischen Kundenkarten oder Bonuskarten. Weil diese GmbH aber die Tochtergesellschaft eines internationalen Konzerns ist, würde der Datenschutz in einem völlig anderen Land der EU, zum Beispiel England, Frankreich oder Griechenland, mit der dortigen Datenschutzbehörde besprochen. Diese Behörde wäre dann auch für die Kontrolle und Sanktionierung zuständig.“
Meldepflicht ade
Der Entwurf sieht vor, dass die in Österreich geltenden Melde- und Vorabkontrollpflichten für die Kundendatenverarbeitung komplett wegfallen. Bis jetzt muss jede Firma in Österreich ihre Datenverarbeitungen bei der Datenschutzbehörde melden. Stattdessen sollen laut Grundverordnung die Unternehmen in Zukunft einen internen Datenschutzbeauftragten installieren – dies allerdings nur, wenn das Unternehmen mindestens 250 Mitarbeiter hat.
Rainer Knyrim: „Ich habe bei der Statistik Austria nachgeforscht. In Österreich sind 99,7% der Betriebe Klein- und Mittelbetriebe, haben also weniger als 250 Mitarbeiter. Sie würden also nicht unter diese Bestimmung fallen, das heißt sie hätten keine interne Kontrolle. Sie müssten keinen internen Datenschutzbeauftragten einführen und sie hätten auch keine internen Dokumentationspflichten.“
In der geplanten Grundverordnung wird also von einer Größenordnung von Firmen ausgegangen, die auf die Struktur der österreichischen Wirtschaft überhaupt nicht zutrifft. Nur noch 0,3% der heimischen Unternehmen könnten kontrolliert werden.
Fraglich ist in diesem Zusammenhang auch, wie groß die Firmensitze großer Konzerne in Europa tatsächlich sind. Weltweit operierende Firmen, die oft nur aus steuerrechtlichen Gründen in einem für sie günstigen EU-Mitgliedsstaat (wie z.B. Irland) residieren, hätten aufgrund der geringen Zahl an Mitarbeitern in Europa vielleicht keine Verpflichtung zur Einrichtung eines Datenschutzbeauftragten, zur Meldung und zur Dokumentation.
Kommission als Oberbehörde
Sich selbst schreibt die Europäische Kommission im Entwurf der Datenschutz-Grundverordnung eine wichtige Rolle zu: Nämlich die einer Art „Oberbehörde“, die über den nationalen Datenschutzbehörden steht. Rainer Knyrim hält das für verwunderlich: „Es gab zwei Klagen vor dem Europäischen Gerichtshof. Eine gegen Deutschland, die schon entschieden ist, und eine gegen Österreich, die noch anhängig ist. Es geht darin genau um diese Frage der Unabhängigkeit von Datenschutzbehörden. Man wirft Österreich vor - und hat es auch Deutschland vorgeworfen - dass die Datenschutzbehörden nicht ausreichend unabhängig sind. Es ist verwunderlich, dass die EU-Kommission, die nämlich diese Klagen initiiert hat, nun selbst sagt: Künftig soll es so sein, dass die EU-Kommission bei Fragen von europaweiter Bedeutung Entscheidungen von nationalen Datenschutzbehörden aussetzen kann.“
Die EU-Kommission sei keinesfalls eine unabhängige Behörde oder ein unabhängiges Gericht, so Knyrim, sondern ein Apparat zur Verwaltung der Europäischen Union – und als solcher sehr anfällig für Lobbying, wie gerade die bisherige Entstehung der Grundverordnung selbst zeige.
Diese Meinung Knyrims teilt auch Gerrit Hornung, Professor für IT-Recht und Rechtsinformatik an der Universität Passau: Der Entwurf zur Grundverordnung sei verfassungswidrig, weil er die Behördentätigkeit der nationalen Verfassungskontrolle entziehe, weil ausländische Datenschutzbehörden in die nationale Souveränität eingreifen würden und weil der Entwurf zwar unbedingt die Unabhängigkeit der nationalen Datenschutzbehörden fordert, über diesen hierarchisch aber künftig die EU-Kommission das letzte Wort haben werde.
Die EU-Kommission hält Hornung - wie auch Knyrim - keinesfalls für unabhängig, sondern für erheblich lobbyinganfällig. Weiters schreibt der IT-Rechtsexperte, dass der Grundverordnungs-Entwurf selbst gegen EU-Recht verstoße, etwa weil er zu viele delegierte Rechtsakte vorsehe, die laut EU-Vertrag nur für Nebenaspekte zulässig seien.
Recht auf Vergessen
Gesprochen wird über das geplante EU-weite Datenschutzrecht derzeit meistens dann, wenn der Begriff „Recht auf Vergessen“ fällt. Gemeint ist damit die Erleichterung des Löschvorgangs von Daten vor allem im Internet. EU-Datenschutz-Kommissarin Vivian Reding wirbt in der Öffentlichkeit stark damit.
Rainer Knyrim ärgert sich, dass in der öffentlichen Diskussion die geplante 112 Seiten dicke Datenschutz-Grundverordnung auf diesen einen Aspekt reduziert wird: „Dieses ‚Recht auf Vergessen‘ wird in der Fachwelt eher belächelt. Denn in Wirklichkeit gibt es solch ein Recht auf Löschung schon, in der alten EU-Richtlinie, in Österreich seit 1980. Es ist also überhaupt nichts Neues. Man hat in der Grundverordnung versucht, das ein wenig zu erweitern, indem man sagt: Ein Unternehmen muss auch alle anderen Unternehmen, denen es die Daten gegeben hat, vom Löschungswunsch des Kunden verständigen. Wir werden sehen wie gut das funktioniert. Meiner Meinung nach wird mehr Wind um das ‚Recht auf Vergessen‘ gemacht, als es tatsächlich kann.“
Christoph Weiss
Datenportabilität
Für spannend hält Rainer Knyrim das im Entwurf vorgesehene Recht auf Datenportabilität: Firmen sollen verpflichtet werden, die Übertragung von Datensätzen eines Kunden zu einer anderen Firma zu ermöglichen. Die Übersiedlung von Facebook auf Google+ mit einem Klick? "Die Grundverordnung ist sehr technikneutral formuliert", sagt Knyrim, "wie die Datenportabilität in der Praxis tatsächlich aussehen kann, wird sich zeigen."
Eine Gefahr sieht der IT-Rechtsexperte für kleine Unternehmen: Denn Ausnahmen seien in der Regelung zur Datenportabilität nicht festgelegt. Auch die kleine Bäckerei müsse gesammelte Daten in das Computersystem des Mitbewerbers übertragen können, wenn der Kunde das wünscht. „Niemand ist sich bewusst, was da eventuell auf Kleinbetriebe zukommt.“
Vorratsdatenspeicherung anyone?
Nicht in der EU-Grundverordnung enthalten sind die Regelungen zur Datenverarbeitung in der Verbrechensbekämpfung und Gefahrenabwehr. Für diese gibt es stattdessen eine gewöhnliche EU-Richtlinie. Diese Richtlinie können die EU-Mitgliedstaaten – im Gegensatz zu einer Grundverordnung - in die eine oder andere Richtung auslegen. Sprich: Man schafft den nationalen Regierungen mehr Freiraum bei ihrer Interpretation von Vorratsdatenspeicherung, Passagierdaten-Weitergabe oder der Überwachung wie ACTA sie vorsieht.
Der Diskussionsprozess um ein vereinheitlichtes EU-Datenschutzrecht hat gerade erst begonnen und wird uns zumindest noch ein Jahr lang beschäftigen. Ein Jahr, in dem hoffentlich noch viel über die Datenschutz-Grundverordnung diskutiert wird.