Erstellt am: 2. 7. 2015 - 19:00 Uhr
EU-Ministerrat demontiert Datenschutzverordnung
Während die Aufregung um den Coup von EU-Ministerrat und Kommission zur Regelung des digitalen Binnenmarkts anhält, läuft bereits der nächste sogenannte Trilog. Beobachter in Brüssel haben wenig Zweifel, dass die Parlamentsversion der Datenschutzverordung in diesen informellen Dreier-Runden gerade ebenso demontiert wird, wie jene zum Binnenmarkt in der Nacht auf Dienstag. Das Prozedere war in beiden Fällen bis jetzt fast dasselbe, auch dieselbe Deadline wurde gesetzt.
Aktuell dazu in ORF.at
Die Hintertüren des Roaming-Deals- Überholspur für Spezialdienste.
Auch in der neuesten Version der Datenschutzverordnung, die von der britischen Bürgerrechtsorganisation Statewatch veröffentlicht wurde, zeigt sich dasselbe Bild. Unmissverständliche und präzise Formulierungen im Parlamentstext werden in der Ratsversion durch neue vage, nicht näher definierte Formulierungen ersetzt. Aus Muss-Bestimmungen wurden Soll-Bestimmungen, wenn sie nicht überhaupt gestrichen werden. Auch hier zeigt sich dasselbe Muster: Rat und Kommission demontieren gemeinsam die Version des Parlaments.
Public Domain
Lex TISA, CETA, TTIP
Das nun veröffentlichte Dokument stammt vom ersten Trilog am 24. Juni, es umfasst nicht die komplette Richtlinie, sondern nur jene Punkte, die bis jetzt noch umstritten sind. Nicht ganz überraschend stehen die Grundkriterien für Datentransfers in Drittstaaten ganz oben auf der Liste der noch offenen Punkte. Hier werden nämlich die Kriterien für Datentransfers im Rahmen der Freihandelsverträge TTIP, TISA, CETA etc. festgelegt, die allesamt umstritten sind. Auch der noch offene Artikel 41 gehört zu diesem Komplex, er regelt die Kontrollfunktion für Datentransfers in Drittstaaten.
Das letztendliche Ergebnis der Regelung zum digitalen Binnenmarkt hatte sich bereits in den Leaks davor abgezeichnet. Der Begriff "Netzneutralität war bereits davor aus dem Text verschwunden
In der Ratsversion wird nun die Kommission allein ermächtigt (Artikel 41/3), darüber zu entscheiden, ob das Schutzniveau für personenbezogene Daten in bestimmten Drittstaaten den Kriterien des europäischen Datenschutzes entspricht. Die Kommission ist ebenso wie der Rat dafür, hier weder dem Parlament, dem Beauftragten für Datenschutz noch dem neu zu schaffenden "Data Protection Board" hier ein Mitspracherecht einzuräumen.
Public Domain
Der EU-Rechtsrahmen
Das Parlament verlangt hingegen eine Regelung als "delegated Act", wie sie seit dem Vertrag von Lissabon im EU-Recht verankert ist. In einem "delegated act" tritt der "Gesetzgeber Befugnisse an die Kommission ab, Änderungen an nicht-essentiellen Elementen einer Gesetzgebung" durchzuführen, heißt es im EU-Rechtsrahmen dazu. Das Parlament delegiert also die technischen Details der Umsetzung an die Kommission, die aber explizit nicht ermächtigt wird, essentielle Passagen zu verändern. Vielmehr gibt hier das EU-Parlament den Rahmen für die Änderungen vor, Artikel 290 des "Vertrags über die Arbeitsweise der Union" ermächtigt sowohl das Parlament wie den Ministerrat eine solche Delegierung an die Kommission auch wieder aufzuheben.
Dass der Ministerrat im Fall der Datenschutzverordnung auf dieses Recht zugunsten der Kommission einfach verzichtet, hat nur einen Grund, nämlich das Parlament von einer solchen Entscheidung auszuschließen. Zudem macht diese Entscheidung ziemlich klar, wie hier die Fronten sind: Rat und Kommission wollen dadurch sicherstellen, dass die zitierten Freihandelsverträge nicht durch leidige Datenschutzfragen gefährdet werden.
Public Domain
Großvaterregel statt Sonnenuntergang
Im Amendment 137 zu Artikel 41 der geplanten Neuregelung verlangte das Parlament eine "Sonnenuntergangsklausel" für eine Datenweitergabe in Drittstaaten. Sollte sich herausstellen, dass in einem Drittstaat kein adäquates Schutzniveau mehr existiert, so sei die Übertragung der Daten einzustellen. Im Rat wurde dieser "Sunset Clause" gestrichen und durch einen sogenannten "Grandfather Clause" ersetzt, das heißt, ältere Regelungen in internationalen Verträgen können beibehalten werden, auch wenn sie neueren Gesetzen widersprechen.
Aus diesen beiden Vorgaben ergibt sich folgendes Szenario etwa nach Abschluss des TISA-Freihandelsvertrags, an dem insgesamt 23 Staaten aus allen Weltregionen beteiligt sind: Dann entscheidet die Kommission allein darüber, ob in Pakistan oder Kolumbien, in Panama, Israel oder Südkorea ein dem europäischen Recht adäquates Datenschutzniveau gegeben ist. Hier ist es dem Freihandel natürlich dienlich, wenn das Niveau des europäischen Datenschutzes von vornherein nicht besonders hoch wird.
Public Domain
Abwägungen und Possenspiele
Das war nämlich immer schon die Linie der EU-Kommission, wenigstens während der letzten 15 Jahre. Wann immer es galt, eine Abwägung zwischen Wirtschaftsinteressen und dem Grundrecht zum Schutz persönlicher Daten zu treffen, fiel die Entscheidung ausnahmslos zugunsten der Wirtschaftsinteressen aus. Das war bereits beim ersten Flugpassagierabkommen der Fall, wie auch beim Zugriff der USA auf die internationalen Finanzdaten im SWIFT-System. Rund um den Datenschutz gab man in beiden Fällen ein legistisches Possenspiel, das seinesgleichen suchte.
Im Fall des Flugverkehrs wurden zuerst pseudonymisierte zu "anonymisierten" Daten umgelogen, der gesamte Sachverhalt wurde damit jahrelang auf den Kopf gestellt, bis dieser dreiste Schwindel nicht mehr zu halten war. Sodann wurden diese pseudonymisierten zu "maskierten" Datensätzen erklärt, der Sachverhalt war jedoch immer derselbe. Mit einem einzigen Befehl konnte der Ursprungszustand dieser Datensätze wiederhergestellt werden, der einzige "Schutzmechanismus" für diese Datensätze sind de facto die internen Dienstvorschriften der US-Ministerien für Finanzen bzw. Heimatschutz.
Public Domain
Sichere Häfen per Dekret
Im Jahr 2000 wurden die USA von der Kommission per se zum "sicheren Hafen" für europäische Daten erklärt, US-Unternehmen mussten nur formal bestätigen, dass sie sich an europäische Datenschutzregelungen halten würden. In 16 Jahren Gültigkeit von "Safe Harbor" wurde keine einzige US-Firma in dieser Hinsicht überprüft, Sanktionen hätte es sowieso keine gegeben, da keine vorgesehen waren. Das "Safe Harbor"-Abkommen, das den Transfer europäischer Daten zur Verarbeitung in die USA überhaupt erst ermöglichte, ist dabei nicht einmal ein Abkommen nach dem Völkerrecht, sondern eine Entscheidung der EU-Kommission.
Der Grüne EU-Parlamentarier Michel Reimon, der beim letzten Trilog zum digitalen Binnenmarkt dabei war, hat über das Geschehen dies garstige Sittenbild verfasst
Eine diesbezügliche Sonnenuntergangsklausel wie sie das Parlament nun für die neue Datenschutzverordnung fordert, würde dieses Pseudo-Abkommen nicht lange überleben. Erst im März 2014 hatte sich das EU-Parlament mit überwältigender Mehrheit für eine Aussetzung von "Safe Harbor" ausgesprochen. Angesichts der flächendeckenden NSA-Spionage wurde dieses Possenspiel vom "sicheren Hafen USA" nach den Enthüllungen Edward Snowdens zu einer Hanswurstiade, besetzt mit Darstellern aus Kommission und Rat.
Heißer Herbst steht ins Haus
Die Verordnung zum digitalen Binnenmarkt, die in der Nacht auf Dienstag unter abenteuerlichen Umständen im Trilog durchgedrückt wurde, kommt im Herbst zur zweiten Lesung wieder ins EU-Parlament. Mit der Datenschutzverordnung verhält es sich kaum anders, zu erwarten ist daher, dass auch dabei vor der Sommerpause des Parlaments im August zu irgendeinem Ergebnis kommen wird. Dass sich die Parlamentarier, die in beiden Fällen mit großer Mehrheit für völlig andere Lösungen gestimmt hatten, einen solch hanebüchenen Umgang mit ihren Beschlüssen gefallen lassen, ist zu bezweifeln. In Sachen Datenschutz und Netzneutralität steht also ein heißer Herbst ins Haus, der sich voraussichtlich bis weit ins Frühjahr erstrecken wird.