Erstellt am: 12. 10. 2014 - 19:00 Uhr
"Ehrgeiziger" EU-Datenschutzfahrplan für den Herbst
Datenschutz ist diesen Herbst Topthema in den EU-Gremien. Den Auftakt dazu setzte der EU-Ministerrat am Freitag mit der Veröffentlichung seiner Version des vierten Kapitels der Datenschutzverordnung. Erstmals seit einem Jahr kam damit Bewegung in die längst überfällige Novelle der EU-Datenschutzrichtlinie von 1995, die im Parlament schon im Oktober 2013 fertig ausgehandelt war. Seit einem Jahr ist nun der Ministerrat am Zug, seine Änderungswünsche in einer gemeinsamen Position zu formulieren. Das war bis jetzt an einzelnen Mitgliedsstaaten gescheitert.
Die Ratssitzung am Freitag war nicht nur öffentlich, sondern auch Vorbehalte und abweichende Länderpositionen wurden publiziert. Beides ist bei Ratssitzungen absolut unüblich und soll wohl guten Willen demonstrieren, die von Kommissionspräsident Jean-Claude Juncker ausgerufene Transparenzoffensive auch im Rat zu unterstützen.
Zeitrahmen und Risiko
Wie sich der von Juncker und seinen designierten Kommissaren einhellig betonte, "ehrgeizige" Zeitrahmen von sechs Monaten allerdings ausgehen soll, steht angesichts des bisher im Rat eingeschlagenen Tempos sehr in Frage. Bereits Anfang 2015 sollten Rat, Parlament und Kommission im Rahmen des sogenannten "Trilogs" dann die Endversion der Datenschutzverordnung erstellen. Voraussetzung dafür ist, dass der Ministerrat bis dahin eine gemeinsame Position zu allen elf Kapiteln gefunden hat.
Mit den Kapiteln IV und dem schon im Juni approbierten Kapitel V ist ja nur ein Teil der Datenschutzverordnung im Rat abgehandelt. Er betrifft die Verpflichtungen für Datenhalter ("Controllers") - Firmen aber auch Behörden - sowie für Dienstleister wie etwa Cloud-Anbieter ("Processers"). Der Text des Parlaments wurde vom Rat dafür um einen "risikobasierten Ansatz" erweitert. Der Datenhalter selbst muss dabei eine Risikoabwägung durchführen, die sich an der Art der verarbeiteten Daten orientiert und dann abgestufte Maßnahmen zu deren Schutz treffen. Dieser Ansatz steht durchaus nicht in grundsätzlichem Widerspruch zur Position des Parlaments, wird er allerdings zu sehr ausgeweitet, sind Gummiparagraphen die Folge.
Vor ziemlich genau einem Jahr, nämlich am 21. Oktober 2013, wurde die Datenschutzverordnung mit 49 Pro-, drei Gegenstimmen und einer Enthaltung im Innenausschuss des EU-Parlaments fast einstimmig angenommen
Konjunktive und Einschätzungen
Diese Tendenz ist quer durch alle vom Ministerrat überarbeіteten Abschnitte von Kapitel IV feststellbar, typisch dafür ist der auffällig häufige Gebrauch von Mögklichkeitsformen wie "sollte". In der Ratsversion von Absatz 74 der Einleitung führen die neu eingezogenen Risikoabwägungen dazu, dass etwa die Einschätzung, wie mit "hochriskanten Daten" umzugehen ist, weitgehend dem Datenhalter selbst überlassen ist.
EU Council
Im Klartext und in Kurzfassung: Ein Unternehmen meldet eine Verarbeitung personenbezogener Daten pflichtgemäß bei der Datenschutzbehörde, die das Vorhaben prüft und und Auflagen zum Schutz der Daten erlässt. Ergibt die Überprüfung, dass mit dieser speziellen Anwendung ein hohes Datenschutzrisiko gegeben ist, so soll laut Ministerrat alles Weitere dem betreffenden Unternehmen überlassen werden. Die Datenschutzbehörde "sollte" vor dem Start der betreffenden Anwendung nur dann konsultiert werden, wenn sich das Unternehmen durch die Auflagen überfordert fühlt, oder diese mit "vernünftigen Mitteln" nicht durchführbar erscheinen.
Vorbehalte aus Österreich
Österreich hat gegen diesen Abschnitt Prüfvorbehalte angemeldet, man ist der Meinung, dass "hochriskante" Datenverarbeitungen von Beginn an nur in Zusammenarbeit mit der Datenschutzbehörde gestartet werden dürfen sollen. Mit hohem Risiko ist etwa die Verarbeitung von Gesundheitsdaten verbunden, die auf den Schwarzmärkten der Kriminellen im Netz mittlerweile die begehrteste Ware sind und um ein Vielfaches höher gehandelt werden, als die üblichen Kreditkartendaten.
Vom Innenausschuss bis zur Plenarabstimmung verging aufgrund eines vom Ministerrat überraschend aus dem Hut gezauberten juristischen Manövers wiederum ein halbes Jahr. Die Plenarabstimmung im März 2014 sah eine eine ebenso deutliche Mehrheit. 621 MEPs stimmten dafür, gerade einmal zehn Gegenstimmen und 22 Enthaltungen wurden registriert.
Wird eine große Menge davon zusammengeführt, verarbeitet und dauerhaft gespeichert, sind in der Regel auch externe Dienstleister involviert, etwa Betreiber von Datenzentren, die Cloud-Computing anbieten. Seitens der österreichischen Ratsdelegation wurde betont, dass den abgestuften Risikoebenen auch mit unterschiedlich hohen Auflagen begegnet werden müsse. Zudem wurde ein schriftlicher Vorschlag präsentiert, wie mit solch "sensitiven Daten" umgegangen werden könnte.
Risikobasierte Meldepflicht
Auch in den Artikeln 31 und 32 zur Meldepflicht von Datenlecks greift diese Risikoabwägung, nicht ganz überraschend auch im Sinn der Industrie. Nur wenn durch den Datenverlust ein "hohes Risiko" durch nachfolgenden Identitätsdiebstahl, Betrug usw. anzunehmen sei, müsse der Datenhalter das der Datenschutzbehörde "ohne ungebührliche Verzögerung" melden, heißt es in der Ratsversion von Artikel 31.
EU Council
Die dafür gesetzte Maximalfrist von 72 Stunden - die noch dazu überschritten werden kann - ist in diesen Zeiten der organisierten Datenkriminalität viel zu lang angesetzt, um im Ernstfall auf eine neuartige, umfassende Bedrohung reagieren zu können. Ebenso "risikobasiert" abgewandelt präsentiert sich Artikel 32, der die Informationspflicht von Datenhaltern gegenüber den Betroffenen regelt. Eine Benachrichtigung kann nach Willen des Ministerrats dann entfallen, wenn die gestohlenen Daten verschlüsselt waren (32,3a), oder der Betreiber inzwischen geeignete Maßnahmen ergriffen hat, um hohe Risiken ausschalten. All das soll alleine im Ermessen des Datenhalters liegen.
Österreich hat gegen beide Artikel Prüfvorbehalt angemeldet, die Kommission je einen Vorbehalt, da die Regelung mit der gültigen E-Privacy-Richtlinie übereinstimmen müsse, die strengere Auskunftspflichten bei kürzeren Meldefristen vorsieht.
"Recht auf Vergessenwerden"
Das Urteil des EuGH zum "Recht auf Vergessenwerden" wurde im Ministerrat zwar diskutiert, allerdings ohne Ergebnis. Man kam zum Schluss, dass solche Fälle nur einzeln und daher auf nationaler Basis entschieden werden könnten, da das "Recht auf Vergessenwerden" ja auf Kollisionskurs mit den Grundrechten auf freie Meinungsäußerung bzw. der Informationsfreiheit stehe. Anders als der Datenschutz ist das Recht auf freie Meinungsäußerung nicht auf Ebene der EU sondern im Rahmen der nationalen Gesetzgebung geregelt.
EU Parlament
Auch der für die Koordination aller digitalen Agenden zuständige Vizepräsident der EU-Kommission Andrus Ansip hatte sich bei den parlamentarischen Hearings der neuen Kommission in diese Richtung geäußert. Das Recht auf Vergessenwerden müsse als Ausnahme betrachtet werden, eine Abwägung mit dem Recht auf freie Meinungsäußerung können nur auf der Basis jeweils konkreter Fälle stattfinden.
"Recht auf Nicht-Sofort-Gefunden-Werden"
Seitens Deutschlands und Österreichs wurde dazu angemerkt, dass diese Abwägung zwischen Informationsfreiheit und dem Recht auf Vergessenwerden seit dem EuGH-Urteil nicht von nationalen Gerichtsbarkeiten sondern de facto von Google getroffen wird. Das "Recht auf Vergessenwerden" ist tatsächlich ja nur ein "Recht auf nicht sofort gefunden zu werden", denn es wird nur die Anzeige bestimmter Suchergebnisse bei Google und anderen Suchmaschinen in den regionalen Trefferlisten unterdrückt.
EU Parlament
Die betreffenden Informationen sind im gesamten Suchmaschinenindex jedoch weiterhin vorhanden und können von dort auch abgerufen werden, wenn man etwa einen anderen Länderindex von Google u.a. zur Suche nützt. Das Originaldokument, also die eigentliche Information, die dem Vergessenwerden anheim fallen sollte, bleibt von allem völlig unberührt und weiterhin vorhanden. Nach Willen des Rats (Sektion vier, Artikel 35 f.) sollen auch die Modalitäten zur Bestellung eines betrieblichen Datenschutzbeauftragten nationalen Regelungen überlassen werden.
Schwere Brocken, unsichere Häfen
Die wirklich schweren Brocken hat der Rat allerdings noch vor sich. Die Behandlung von Kapitel V, "Transfer personenbezogener Daten an Drittstaaten", erfordert eine Entscheidung zur "Safe Harbour"-Regelung", die derzeit den Rechtsrahmen für Europas Firmen und Insitutionen darstellt, um Daten in den USA zu verarbeiten. "Safe Harbor ist im Moment nicht sicher. Eine Kündigung des Abkommens ist nicht vom Tisch", hatte der designierte Vizepräsident Ansip dazu geäußert. Zu Kapitel VIII, das Sanktionen und Strafzahlungen bei Verstößen vorsieht, die bis zu drei Prozent des Konzernumsatzes ausmachen können, sind Kontroversen ebenfalls garantiert.
Seit dem NSA-Skandal steht das "Safe Harbour"-Abkommen auf dem Prüfstand. Bis jetzt ist es nur eine formale Erklärung der Unternehmen, europäischen Grundätzen bei der Verarbeitung von Daten aus der EU etwa in den USA zu folgen. Überprüft oder gar sanktioniert wurden Firmen nach dem "Safe Harbour Agreement" bis heute nie.
Ausblick
Am 20. Oktober steht in Sachen Datenschutz ein weiteres Hearing auf dem Tagungsplan des Parlaments. In Strassburg wird da der designierte Oberste Europäische Datenschutzbeauftragte (EDPS) Giovanni Butarelli angehört. Butarelli war bis jetzt Stellvertreter des scheidenden EDPS Peter Hustinx und steht daher für Kontinuität.
Was den Ministerrat betrifft, so müsste pro Monat Einigung über mehr als nur eines der zehn noch ausstehenden Kapitel während des nächsten halben Jahres erzielt werden, um Junckers Zeitplan einzuhalten. Die meisten Beobachter gehen davon aus, dass sich die nachfolgenden Trilog-Verhandlungen bis weit ins Jahr 2016 ziehen könnten.