Erstellt am: 6. 1. 2015 - 19:00 Uhr
EU-Ministerrat zerpflückt Datenschutzverordnung
Der "ambitionierte Zeitplan" der neuen EU-Kommission für die Finalisierung der Datenschutzverordung wird nicht halten. Wie der kurz vor Jahreswechsel geleakte Verhandlungsstand im EU-Ministerrat zeigt, herrscht dort alles andere als Einigkeit. Die neue Version des Ministerrats enthält so viele nationale Vorbehalte, dass eine schnelle Einigung unwahrscheinlich ist. Alleine Österreich hat mehr als zwei Dutzend grundsätzlicher Vorbehalte zu einer ganzen Reihe von Passagen angemeldet.
Zu den seit Anbeginn besonders umstrittenen Strafmaßnahmen bei wiederholten und schweren Datenschutzverstößen gibt es noch überhaupt keine brauchbare Textvorlage, sondern nur Bruchstücke. Was den konsolidierten Teil des nun geleakten Texts betrifft, so zeichnet sich jedoch bereits eine Linie ab. Anders als der vom EU-Parlament im Frühjahr mit großer Mehrheit akkordierte Text weist die neue Ministerratsversion mittlerweile erste Schlupflöcher für den Datenhandel durch Telekoms und Internetkonzerne auf.
Start der Trilog-Verhandlungen gefährdet
Angesichts von 232 Seiten Text, der mit Vorbehalten aus den verschiedensten Mitgliedstaaten nur so gespickt ist, steht der für das zweite Quartal 2015 geplante Start der Trilog-Verhandlungen sehr in Frage. Im sogenannten Trilog werden unter Beiziehung der Kommission jene legistischen Vorhaben behandelt, auf die sich Rat und Parlament nicht einigen konnten. Der Trilog kann allerdings erst starten, wenn eine Ratsversion fertig vorliegt, und das kann dauern.
Im Oktober hatte der Ministerrat in einer öffentlichen Sitzung seine Version von Kapitel vier der Verordung präsentiert. Die neue EU-Kommission hatte zur selben Zeit bei ihrem Amtsantritt eine Frist bis zur Behandlung im Trilog von nur sechs Monaten angegeben.
Gleich der erste vom Rat in den Parlamentstext eingefügte Satz in den einleitenden "Recitals", die Ziel und rechtlichen Rahmen der Verordung schildern, ist sypmtomatisch. "Das Recht auf den Schutz der persönlichen Daten ist kein absolutes Recht", heißt es da, vielmehr müsse dieses Recht in seiner gesellschaftlichen Funktion gesehen und mit anderen Grundrechten abgewogen werden. (Rec 3a, S. 3).
Public
Grundrechte und Ökonomie
Welche anderen Grundrechte da dem Recht auf die eigenen persönlichen Daten entgegenstehen könnten, wird nicht näher ausgeführt. Allerdings findet sich in der anschließenden Aufzählung der Grundrechte wie dem auf freie Meinungsäußerung auch das Recht darauf "ein Geschäft zu betreiben". Und gegen dieses Recht auf Geschäftemacherei wird das Grundrecht auf Schutz und Integrität der persönlichen Daten in Folge abgewogen. Um einen funktionierenden Binnenmarkt zu gewährleisten, dürfe der freie Fluss persönlicher Daten aus Gründen des Datenschutzes weder beschränkt, noch verboten werden, heißt es weniger abwägend als apodiktisch in Recital 11.
Public
Pseudonymisierte Daten
In Recital 23 wiederum wird zwar richtig erkannt, dass pseudonymisierte Daten durch weitere Abgleichung wieder einer Person zugeordnet werden könnten. Im organisierten Datenhandel war dies lange systematisch ausgenützt worden, indem pseudonymisierte einfach zu "anonymisierten Daten" erklärt wurden. Die europäischen Datenschutzgesetze wurden damit systematisch umgangen, da anonyme Daten ja nicht darunter fallen.
Public
Rund um die Speicherung der Daten von Flugpassagieren wurde mit der Pseudonymisierung besonders viel Schindluder getrieben. In den als "maskiert" bezeichneten Datensätzen wurden nur Namen und Adressen der Passagiere nach 30 Tagen nicht mehr automatisch angezeigt, sondern mussten extra abgerufen werden.
Doch auch 2014 soll diese Möglichkeit, pseudonymisierte Datensätze unter bestimmten Umständen wie anonyme Datzensätze zu behandeln, nach Willen des Ministerrats bestehen bleiben. Dazu wird "identifizierbar" als neues Kriterium eingeführt und ein wirtschaftliches Argument bemüht. Für die Beurteilung, ob die jeweiligen pseudonymisierten Datensätze einer Person zuordenbar sind, müssten "alle objektiven Faktoren" einbezogen werden, namentlich "Kosten- und Zeitaufwand für eine solche Identifikation". Im nächsten Satz werden dann Daten, die nicht "identifizierbar" sind, zu "anonymen Daten" erklärt, die nicht unter die Datenschutzverordung fallen. (Rec 23)
Zustimmung und Stillschweigen
Anders als in den einleitenden "Recitals", die rechtlich zwar nicht bindend sind, aber einen Eindruck vermitteln, in welche Richtung das gesamte Vorhaben geht, ist die Ratsversion des eigentlichen Texts der Datenschutzverordung noch nicht stabil genug, um durchgehend eindeutige Aussagen darüber zu treffen. Anhand der Anhäufungen von Vorbehalten zu bestimmten Passagen lässt sich allerdings schon absehen, dass es weitgehend die gleichen Abschnitte sind, an denen sich schon die Kontroversen im Parlament entzündet hatten.
Ein besonders wichtiger Punkt der Verordnung ist die Zustimmung des Inhabers zur Verarbeitung seiner Daten, im Parlament gab es hier mehrere Versuche, die einmalige Zustimmung zu einer bestimmten Art von Verarbeitung zu pauschalisieren und sillschweigend auf die Erstellung von Benutzerprofilen sowie deren Verkauf auszuweiten.
Im Mai 2013 war die EU-Datenschutzreform in ihre heiße Phase getreten. Im federführenden parlamentarischen Innenausschuss LIBE mussten die Berichterstatter insgesamt 4.000 Änderungsanträge auf einen brauchbaren Umfang reduzieren.
Was Profiling ist
In Artikel 20 zeigt sich die Instabilität des Verordnungstexts bereits im Schriftbild ganz deutlich, nicht einmal die grundsätzliche Definition von Profiling ist derzeit akkordiert. Die fett und unterstrichen markierten Teile des Texts sind neu und noch nicht abgestimmt, die unterstrichenen Passagen haben eine Mehrheit im Ministerrat, die nicht markierten Wörter stammen aus der Parlamentsversion.
Public
Gegen den gesamten Artikel gibt es acht nationale Vorbehalte, neben Österreich haben auch Deutschland, Spanien, Frankreich, Polen, Schweden und Großbritannien hier Prüfvorbehalte eingelegt. Das Urteil der Kommission über die Qualität von Artikel 20 ist ziemlich eindeutig: "Das Datenschnutzniveau diese Artikelentwurfs fällt hinter jenes der Datenschutzrichtlinie von 1995 zurück" (Fußnote 204 zu Artikel 20).
Kapitel vier kaum verändert
Das bereits im Oktober offiziell veröffentlichte Kapitel vier, das die Verpflichtungen der Datenverarbeiter regelt, ist anscheinend nicht oder kaum verändert worden. Die Einschätzung, wie mit "hochriskanten Daten" umzugehen ist - vor allem Gesundheitsdaten fallen in diese Kategorie -, bleibt nach dem Willen einer Mehrheit im Ministerrat weitgehend dem Datenverarbeiter selbst überlassen. Auf den Schwarzmärkten der Kriminellen im Netz sind Gesundheitsdaten mittlerweile die begehrteste Ware und werden um ein Vielfaches höher gehandelt als die üblichen Kreditkartendaten. Gesundheitsdaten haben eine hohe Haltbarkeit, Sozialversicherungsnummern lassen sich nicht sperren, Kreditkarten sehr wohl.
Auch für die Artikel 31 bis 33 zur Meldepflicht von Datenlecks gilt dieselbe Risikoabwägung, nicht ganz überraschend erfolgt sie vornehmlich im Sinn der Industrie. Nur wenn durch den Datenverlust ein "hohes Risiko" durch nachfolgenden Identitätsdiebstahl, Betrug usw. anzunehmen sei, müsse der Datenhalter dies der Datenschutzbehörde "ohne ungebührliche Verzögerung" melden, heißt es in der Ratsversion von Artikel 31. Angesichts dessen, dass der kriminelle Untergrund nahe an der Echtzeit operiert, sind Meldefristen von fast drei Tagen gerade bei Hochrisikofällen absurd hoch angesetzt.
Public
"Penalties" und die Hierarchie
Wie angesichts der heftigen Diskussionen im Vorfeld zu erwarten war, liegen die Ansichten zum Thema "Geldstrafen" besonders weit auseinander, was dazu führte, dass es im Ratsentwurf noch überhaupt keine Zahlen dazu gibt. Ganz offensichtlich will man es hier deutlich billiger geben als das Parlament, das eine dreistufige Skala mit einer Höchststrafe von drei Prozent für schwere, systematische und wiederholte Verstöße durch die Datenhändler vorsieht. Der ursprünglich für sich stehende Artikel 78 "Penalties" wurde schon einmal in der Hierarchie zurückgestuft und als Artikel 79b unter "administrative Bußgelder" subsummiert.
Neben Großbritannien erweis sich vor allem Irland im Vorfeld als Blockadestaat. Wie interne Dokumente der damaligen irischen EU-Ratspräsidentschaft im Jänner 2013 zeigten, wollten die Iren Geldstrafen für Datenschutzverstöße überhaupt durch "Rügen" ersetzen.
Der neue Artikel 79b steht zwar unter dem Titel "Penalties", ist aber weitgehend inhaltsleer und soll nur auf nationaler Ebene gelten. Die EU-weit harmonisierten Strafen etwa für Internetkonzerne sollen im Rahmen von "administrativen Bußgeldern" behandelt werden. Auch wenn es hier noch keine Prozente oder Zahlen zur Höhe gibt, so sind jedenfalls auf EU-Ebene keinerlei strafrechtlichen Maßnahmen etwa gegen notorische und gezielte Datenschutzverstöße zum Zwecke der Bereicherung vorgesehen.
Ausblick
Angeführt von Deutschland, das strafrechtliche Maßnahmen "expressis verbis" festgeschrieben wissen will, haben insgesamt zehn Staaten hierzu Vorbehalte angemeldet. Ohne Prophezeiungen zu strapazieren, lässt sich jetzt schon sagen, dass dieser wohl als einer der letzten Punkte der EU-Novelle zum Datenschutz akkordiert werden wird.