Standort: fm4.ORF.at / Meldung: "Irland torpediert EU-Datenschutz"

Erich Moechel

CC zazie.at

Erich Möchel

Netzpolitik, Datenschutz - und Spaß am Gerät.

14. 1. 2013 - 06:00

Irland torpediert EU-Datenschutz

Wie ein internes Dokument der irischen EU-Ratspräsidentschaft zeigt, wollen die Iren Geldstrafen für Datenschutzverstöße in der neuen Datenschutzrichtlinie durch "Rügen" ersetzen.

"Brüssel, eine der beiden größten Lobbyingzentralen der Welt, hat noch nie eine Kampagne diesen Ausmaßes
gesehen. Ziemlich sicher ist das überhaupt die größte weltweite Lobbying Campaign, die es je gab", sagte Joe McNamee, Direktor des Dachverbands der europäischen Bürgerrechtsorganisationen EDRi zu ORF.at.

Der Grund für diesen einmaligen Lobbyisten-Auftrieb in der EU-Metropole ist die Novellierung der EU-Datenschutzrichtlinie, die schon im März abgeschlossen werden soll. Die alte Richtlinie stammt aus dem Jahr 1995, einer Zeit, als weder Google noch Facebook existierten und Apple ein kleiner PC-Hersteller war, der um sein Überleben kämpfte.

Torpedos aus Dublin

Auf Ebene des Ministerrats, der einer Neufassung ebenfalls zustimmen muss, können die Lobbyisten mit einem wichtigen Verbündeten rechnen. Während der geplanten Finalisierung der Datenschutzrichtlinie hat nämlich Irland die EU-Präsidentschaft inne.

Facebook Friendwheel

http://www.flickr.com/photos/factoryjoe/

"Friendwheel" - geographische Visualisierung der Wohnorte von Facebook-FreundInnen einer Nutzerin

Wie ein nicht für die Öffentlichkeit bestimmtes Positionspapier der irischen Präsidentschaft zeigt - das Dokument liegt ORF.at vor - setzt Irland darauf, eine gesamteuropäische Regelung nach Kräften zu torpedieren.

Update Montag 14:30

Das betreffende Dokument wurde Montag Mittag von EDRi.org publiziert. Das Vorhaben der irischen Ratspräsidentschaft wird am Mittwoch Thema bei einer parlamentarischen Aussprache in Strassburg sein. Am Donnerstag hält der österreichische Abgeordnete Josef Weidenholzer zusammen mit Max Schrems von Europe vs Facebook eine Pressekonferenz zu diesem Thema in Dublin ab.

Im Positionspapier für das informelle Ministerratstreffen am 17. und 18. Jänner in Dublin schlägt die Ratspräsidentschaft "den Ministern vor, über die Angemessenheit des Strafrahmens" bei Verstößen gegen den Datenschutz zu diskutieren.

Rügen statt Strafen

Und zwar, "ob Warnungen oder Verweise stärker zur Anwendungen kommen und Strafen dabei optional gemacht werden sollten", und, ob es "Aufsichtsbehörden erlaubt sein soll, andere, mildernde Umstände bei der Festlegung der Sanktionen ins Kalkül zu ziehen". Als Beispiel dafür wird das Führen eines Datenschutzzertifikats und sonstiges Wohlverhalten wie das Befolgen eines "Code of Conduct" genannt.

Wenn also Facebook wieder einmal als "persönlich" und auf eine Gruppe beschränkte Datensätze der Benutzer für alle öffentlich macht oder Fotos der User mit Gesichtsbiometrie erfasst und zuordnet, dann könnte die irische Datenschutzbehörde - je nach Ermessen - eine milde oder gar scharfe Rüge aussprechen.

Verweise, Zertifikate

Wenn einem der in Irland ansässigen US-Internetkonzerne ein paar Millionen Datensätze seiner Kunden durch Nachlässigkeit abhanden kommen, dann müsste der Umstand, dass es bisher keinen solchen Verlust gegeben hat, schon einmal mildernd wirken.

Was Europäern blühen kann, wenn sie unter Berufung auf die Rechtslage von ihrem Auskunftsrecht Gebrauch machen, das erlebt die Gruppe "Europe vs Facebook" gerade.Das vor der irischen Datenschutzbehörde angestrengte Auskunftsverfahren gegen Facebook - Unternehmenssitz ist Irland - nachgerade kafkaeske Züge an. Erst wurde sie monatelang hingehalten und schließlich vom Verfahren, das sie selbst angestrengt hatten, de facto ausgeschlossen.

Verfügt die Firma dann noch über irgendein Datenschutzzertifikat, kann man es wohl bei einem mittleren Verweis belassen. So etwa stellt sich das die irische Ratspräsdidentschaft offenbar vor.

Das vorgesehene Strafmaß

Der aktuelle Entwurf der Datenschutzrichtlinie sieht allerdings keine Rügen, sondern Strafen in einer Höhe vor, die auch für Netzgiganten wie etwa Google spürbar sind. Die drei möglichen Sanktionen sind für Einzelpersonen zwischen 250.000 und einer Million Euro gestaffelt.

Für Firmen werden die Strafen an deren weltweitem Gesamtumsatz bemessen, die Staffelung reicht von einem halben bis zwei Prozent. Für einen Großkonzern, der die Kontodaten seiner Kunden durch Nachlässigkeit oder Gewinnsucht kompromittiert, könnten da schon ein paar hundert Millionen Euro zusammenkommen.

"Big Data", Lobbying

Das ist der Grund für die derzeit laufende Lobbying-Lawine. Ihr Ausmaß ist darauf zurückzuführen, dass hier eine Unzahl an Großunternehmen aus verschiedenen Marktsektoren zusammentrifft.

Die Lobbyisten vertreten "Big Data"-Companies, allesamt Unternehmen, die riesige Ansammlungen von personenbezogenen Daten prozessieren. Von Facebook abwärts sind das alle Anbieter, die soziale Netzwerke unterhalten, Werbung verkaufen, Marketing-Dienstleistungen erbringen, Bezahlungen abwickeln oder Infrastruktur betreiben. Europäische Unternehmen, nämlich die Telekoms, spielen nur im letztgenannten Segment eine Rolle, alle anderen Sektoren werden haushoch von US-Seite dominiert.

Geographie von Twitter-Replies

http://www.flickr.com/photos/walkingsf/

Die globale Geographie von Twitter-Replies

Steuer-Dumping, Schlupflöcher

Diesen Firmen kommt der Umstand, dass Irland mit Anfang 2013 turnusmäßig die EU-Präsidentschaft übernommen hat, sehr gelegen. Die von der US-Handelskammer orchestrierte Welle der Beeinflussung startete denn auch gerade eine Woche, bevor jenes europäische Land die Präsidentschaft übernahm, in dem praktisch alle großen IT- und Internetkonzerne ihre europäischen Niederlassungen haben.

Von Google über Facebook und Apple bis Microsoft hatten vor Jahren praktisch alle das Angebot zum Steuer-Dumping der irischen Republik dankend angenommen und dort ihr Hauptquartier errichtet.

"Double Irish" via Karibik

Zum EU-weit mithin niedrigsten Unternehmenssteuersatz haben die Iren überdies ein Steuerschlupfloch für diese Firmen offen gelassen, das unter dem Titel "Double Irish" bekannt und berüchtigt geworden ist.

Im Zusammenspiel mit ein paar Briefkastenfirmen in den Steuerparadiesen der Karibik können Firmengewinne dorthin verschoben und die abzuführenden Unternehmenssteuern auf weniger als fünf Prozent gedrückt werden.

US-Großkonzerne haben komplexe Fluchtrouten ausgetüftelt, über die sie - ganz legal - ihre Gewinne vor den Steuerbehörden in Sicherheit bringen. Googles Erlöse nehmen den Umweg über Irland und Amsterdam, um schließlich auf den Bermudas zu landen. Insider nennen das "Double Irish" bzw. "Dutch Sandwich".

"Ungewöhnlich bis absurd"

Die Argumentation der Lobbyisten reiche von "ungewöhnlich bis absurd", sagt Joe Mcnamee. So würden manche dieser "Interessensvertreter" mit Verve behaupten, bestimmte Regelungen, die seit Jahren längst rechtsgültig und umgesetzt sind, seien unmöglich zu implementieren.

Ein Lobbyist der Kreditkartenbranche verstieg sich sogar zu der Forderung, Karteneigentümern den Zugang zu ihren eigenen Datensätzen zu verwehren. Das Argument: Kreditkartenbesitzer könnten bei Zugriff auf ihre Datensätze diese manipulieren und für Betrugszwecke benutzen. Der Zugang zu den auf die eigene Person bezogenen Datensätzen ist seit gut 18 Jahren gültiges Recht in der Europäischen Union.

"Recht auf Vergessenwerden"

Ebenso verhält es sich mit dem Recht auf Löschung dieser Datensätze, das seit 1995 besteht und jetzt noch verstärkt werden soll. Das geschieht angesichts der Tatsache, dass Facebook und die meisten anderen Betreiber Sozialer Netze dieses Recht bis jetzt einfach ignoriert hatten.

Sprachcommunities auf Twitter

http://www.flickr.com/photos/walkingsf/

Sprachcommunities auf Twitter

Im EU-Parlament sind insgesamt sieben Ausschüsse mit der Novelle der Datenschutzrichtlinie befasst, die in zwei getrennten Richtlinien erfolgt. Neben dem großen Update der generellen Datenschutzrichtlinie steht eine zweite zu ihrer Umsetzung im Strafrecht. Federführend ist dabei jeweils der Innenausschuss LIBE, Meinungen von Rechts- Industrie-, Handels- und Binnenmarktaussschuss usw. werden dabei ebenfalls einfließen. Berichterstatter für das Gesamtupdate ist der deutsche Parlamentarier Jan Albrecht (Grüne), die Durchsetzungsrichtlinie verantwortet Dimitris Droutsas (SPE, Griechenland). Die ausführliche Dokumentation von EDRi zu beiden Richtlinien

Daten werden dort nicht aus den Systemen gelöscht, sondern nur vor den Benutzern versteckt. Diese Verschärfung einer Regelung, die bis jetzt mangels Sanktionen überhaupt nicht funktioniert, ist der irischen Ratspräsidentschaft ebenfalls ein Dorn im Auge.

"Vernünftig und umsetzbar"

Im Ministerrat ab 17. Jänner soll nach Willen der Iren die Notwendigkeit dieser Verschärfung ebenso diskutiert werden wie die Frage, ob die Vorgaben für die nationalen Datenschützer "vernünftig und umsetzbar" sind. Was aber sind die Vorgaben?

Wenn ein Gesetzverstoß wie die Nichtlöschung personenbezogener Datensätze trotz Verlangen des Eigentümers angezeigt wird, dann hat die Datenschutzbehörde dem nachzugehen und bei Nichtbeachtung eben Sanktionen zu verhängen.

Wie die jämmerliche Vorstellung der irischen Datenschutzbehörden im Fall der Gruppe "Europe vs Facebook" zeigt, ist man in Irland überhaupt nicht daran interessiert, die Interessen europäischer Bürger gegen die Datensammelwut vorwiegend amerikanischer Firmen durchzusetzen.

Vorbild Bankensektor

Offenbar lege man es darauf an, die vergangenen Fehler im Bankensektor auf einem neuem Gebiet zu wiederholen, meint der Direktor von EDRi. Die Banken sollten sich "selbst regulieren", weil sie es am besten wüssten, das sei der Ansatz des damaligen Binnenmarkt-Kommissars Charlie McCreevy aus Irland gewesen. Wie gut dieser Ansatz sowohl für Banken wie für Bürger funktioniert habe, sei mittlerweile ja hinlänglich bekannt, so McNamee abschließend.