Erstellt am: 6. 9. 2015 - 18:00 Uhr
Zweiter Anlauf für EU-Datenschutzverordnung
Am Dienstag wurde die Arbeit an der EU-Datenschutzverordnung mit einem Treffen der Schattenberichterstatter der Fraktionen im EU-Parlament wieder aufgenommen. Am 16. September tagt der Ministerrat erstmals nach der Sommerpause wieder zum Thema, dann gehen die Verhandlungen im Trilog von Kommission, Ministerrat und Parlamentariern weiter. Die Verordnung soll bis Jahresende soweit fertig sein, dass sie dem Parlament im Frühjahr zur zweiten Lesung vorgelegt werden kann.
Ob das so schnell über die Bühne gehen wird, ist fraglich. Drei Jahre nach dem Start liegen zwei konträre Entwürfe vor, denn der Ministerrat hatte eine Version erstellt, die dem Parlamentstext in zentralen Punkten widerspricht. Sowohl der EU-Datenschutzbeauftragte Giovanni Buttarelli wie auch zuletzt die Konferenz der deutschen Datenschützer Ende August hatten den Ansatz des Ministerrats heftig kritisiert. Der vom Rat vorgelegte Text falle hinter die derzeit gültige Regelung zurück, da Kernelemente derselben geschwächt bzw. einfach gestrichen worden seien, lautete der Tenor der Kritik.
Nach Einigung bereits veraltet
Die Demontage des Datenschutzes im Ministerrat hatte sich bereits im Mai 2013 erstmals abgezeichnet, als erste Entwürfe aus den geheimen Ratssitzungen geleakt wurden.
Buttarelli hatte insbesonders die schleppende Erarbeitung und damit indirekt den Ministerrat kritisiert. Dessen Vorgangsweise hatte die Fertigstellung dieser überfälligen EU-Novelle zum Datenschutz um mehr als ein Jahr verzögert. Während das Parlament bereits im April 2014 eine mehrheitsfähige Version präsentiert hatte, wurde die Ratsversion erst im Mai 2015 fertig. Sollte es tatsächlich eine Einigung bis zum Frühjahr 2016 geben, dann würde die Verordnung frühestens ab Anfang 2018 in Kraft treten.
EDRi.org
Durch die rasante, technische Entwicklung in den Bereichen Internet der Dinge, Cloud-Computing und Big Data, bei denen allesamt enorme Mengen an neuen, personenbezogenen Daten anfielen, zeichne sich jetzt schon ab, dass die Datenschutznovelle bei ihrer Umsetzung 2018 in nationale Gesetze bereits veraltet sei, warnte Buttarelli. Gerade diese neuen Technologien aber stellten die Grundprinzipien des Datenschutzes in Frage. "Eine zukunftsorientierte Reform muss daher an der Menschenwürde ansetzen und von ethischen Grundsätzen geleitet sein" forderte der europäischen Datenschutzbeauftragte. Nur so könne dem wachsenden Ungleichgewicht zwischen technischer Entwicklung und Datenschutz begegnet werden.
Während der Schutz der Daten im "Internet der Dinge" überhaupt noch nicht geregelt ist, werden bereits ETSI-Standards zur "gesetzlichen Überwachung" von Daten aus vernetzten Autos und dem Gesundheitssektor entwickelt.
Gestrichene Prinzipien
Der Ministerrat hat genau das Gegenteil getan, tragende Elemente und Prinzipien des Datenschutzes, die nicht zur derzeit praktizierten Datenökonomie im Netz passten, wurden im Rat mit Ausnahmen durchlöchert oder einfach gestrichen. Das Prinzip der "Datensparsamkeit", das sämtlichen europäischen Datenschutzgesetzen zugrundeliegt, kommt in der Ratsversion als Begriff nicht einmal mehr vor. Gerade angesichts der wachsenden Zahl von "Big Data"-Anwendungen, bei denen große Mengen neuer, auch personenbezogener Daten aus allen Lebensbereichen anfielen, sei das Prinzip der Datenvermeidung wichtiger als je zuvor, argumentieren die deutschen Datenschützer.
Public Domain
Durchlöchert und gestrichen
Die Empfehlungen aus dem Büro des obersten EU-Datenschützers Giovanni Buttarelli an Ministerrat, Kommission und Parlament für die weiteren Verhandlungen sind allerdings nicht verbindlich.
Diese und andere Eingriffe des Ministerrats in bestehende Grundrechte waren allerdings nicht trotz, ѕondern gerade wegen des global rasch wachsenden Geschäfts mit "Big Data" erfolgt. Sie sollen die Wettbewerbsfähigkeit europäischer Firmen im globalen Datenhandel gegenüber der US-Konkurrenz verbessern. Wenn Grundrechte des Einzelnen dem entgegenstehen, dann müssen die betreffenden Schutzparagraphen "adaptiert", also mit Ausnahmen durchlöchert, oder eben gestrichen werden. Wie aus der Beschlussfassung des Rats eindeutig hervorgeht, werden Grundrechte wie jenes auf informationelle Selbstbestimmung dort offenbar als absterbendes Recht betrachtet, weil sie der derzeit ausufernden Datenökonomie im Netz entgegenstehen.
Public Domain
Im Fall der Zweckbindung von Daten hatte der Rat zwar den Begriff im Text belassen, den Verarbeitern dieser Daten jedoch einen Freibrief ausgestellt. "Die Konzeption der geltenden Richtlinie 95/46/EG ist dadurch geprägt, dass sie eine Verarbeitung personenbezogener Daten zu anderen Zwecken nur zulässt, wenn diese neuen Zwecke mit dem Ursprungszweck vereinbar sind", heißt es in der Resolution der deutschen Datenschützer. Dieser Ansatz findet sich im Text des Parlaments, die Version der Kommission sah bereits vor, die Verarbeitung der Daten auch für andere als den Ursprungszweck freizugeben. "Der Rat hat diese Ausnahme noch erweitert, indem er solche Zweckänderungen auch bei einem überwiegenden berechtigten Interesse des Verarbeiters zulassen will", halten die Datenschützer fest.
Ein Leak von Teilen der Ratsversion im Jänner 2015 machte weitere Abschnitte öffentlich, die weitere Hintertüren zur Umgehung der Verordnung etwa zur Meldepflicht bei Datenverlusten enthalten
Zweckbindung, informationelle Selbstbestimmung
Dieses gleichfalls elementare Prinzip basiert ebenfalls auf dem Recht für informationelle Selbstbestimmung, Benutzer eines webbasierten Dienstes stimmen der Verarbeitung ihrer Daten für bestimmte Zwecke zu. Man willigt als Kunde etwa ein, dass der berühmte "Bäcker um die Ecke" die eigenen Daten verarbeitet, um daraus eine Liste samt Präferenzen und Vorlieben seiner Kunden zu erstellen. Der Verarbeitungszweck ist klar definiert, nämlich gezielte Belieferung des Kunden, was durchaus in dessen Interesse ist. Der Kunde hat dem zwar zugestimmt, nicht aber, dass dieser Bäcker - den vor allem Datenschutzgegner im EU-Parlament gern zitieren - diese personenbezogenen Daten auch an den Greißler um die Ecke, die Apotheke, die Putzerei, den Postauslieferer und andere verkauft, die daraus ein umfassendes Kundengesamtprofil zusammenstellen und weiterverkaufen.
Public Domain
Nun soll nach Willen von Kommission und Ministerrat aber genau das möglich sein. Die Zweckbindung hätte ebensogut gestrichen werden können, weil sie durch diese Ausnahmen de facto aufgehoben würde. Eine Streichung war juristisch deshalb nicht möglich, weil diese Zweckbindung mit der Einwilligung des Datenhalters verknüpft ist. Die aber ist in der EU-Grundrechtecharta (Artikel 8/2) als Legitimation für die Verarbeitung personenbezogener Daten explizit festgeschrieben, also wurde im Rat die Latte für die Firmen möglichst tief gelegt.
Pauschalisierte Einwilligung
Während die Versionen von Kommission und Parlament eine "ausdrückliche Einwilligung" zur Verarbeitung der eigenen Daten verlangen, ist im Text des Ministerrats nur noch von einer "eindeutigen Willensbekundung" die Rede. Mit dieser unscheinbaren Änderung aber steht und fällt die derzeitige Praxis kommerzieller Services im Internet, "durch die Verwendung pauschaler Datenschutzbestimmungen und datenschutzunfreundlicher Voreinstellungen weitreichende Datenverarbeitungsbefugnisse ohne eine ausdrückliche Einwilligung des Nutzers für sich zu reklamieren", konstatieren die deutschen Datenschützer.
Public Domain
Das sind nur zwei von insgesamt 14 aufgeführten Einwänden, die nicht nur sichtbar machen, wohin die Reise gehen soll, sondern auch, was in europäischen Kanzlerämtern und Ministerialbüros von Datenschutz generell gehalten wird. Wie die Ratsbeschlüsse nämlich zeigen, wird Datenschutz als "legacy law" des 20. Jahrhunderts angesehen, als Überbleibsel, das die Geschäfte des 21. Jahrhunderts mit "Big Data" noch eine Zeitlang behindern wird, bevor sich dieses "Problem" durch den "technischen Fortschritt" von selbst erledigen wird.
Neben den erwähnten Punkten werden auch die Kriterien für Datentransfers in Drittstaaten im Rahmen der Freihandelsverträge TTIP, TISA, CETA etc. festgelegt Nach Stand der ersten Trilogsitzung von Ende Juni 2015 sollen weder Parlament noch der Datenschutzbeauftragte der Union bei der Beurteilung, ob das Schutzniveau in bestimmten Drittstaaten den EU-Standards genügt, ein Mitspracherecht erhalten.
Ausnahmen Österreich und Slowenien
Deshalb hat es eine große Mehrheit im Ministerrat auch gar nicht eilig, etwa die in der neuen Verordnung enthaltenen Sanktionen gegen Datenschutzverstöße umzusetzen. Währenddessen werden von Internetfirmen und dem organisierten Datenhandel laufend vollendete Tatsachen gesetzt, denn die derzeit gültige Richtlinie von 1995 sieht noch keine Strafen vor. Soziale Netzwerke und alle weiteren neueren Entwicklungen im Internet und anderen Technikfeldern wie etwa Biometrie, vernetzte Autos oder Wohnbereiche sind in der Richtlinie von 1995 naturgemäß nicht abgedeckt.
Ausdrücklich von dieser Einschätzung auszunehmen sind Slowenien und Österreich, denn diese beiden Staaten hatten sich im Rat konsequent - wenngleich weitgehend erfolglos - gegen diesen Kurs gestemmt.