Auf dem Prüfstand
Die EU-Datenschutz-Grundverordnung
Auf dem Prüfstand
Die EU-Datenschutz-Grundverordnung
Als Anfang 2012 der Vorschlag der Kommission für einen neuen Rechtsrahmen zum Schutz personenbezogener Daten in der EU auf dem Tisch lag, konnte niemand ahnen, wie brisant der Modernisierungsversuch angesichts der 2013 durch den amerikanischen Geheimdienst-Dissidenten Edward Snowden ans Licht kommenden Datenüberwachungsmaßnahmen von Geheimdiensten und Regierungsstellen weltweit geraten würde.
Dümpelte das Thema Datenschutz weitgehend unbeachtet von der Öffentlichkeit dahin, ist der Schutz personenbezogener Daten mitten in der Diskussion um den „Vorschlag für die Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr (Datenschutz-Grundverordnung)“ plötzlich zu einem Politikum geworden.
Die Ausgangslage
Bislang beschränkten sich die EU-Regelungen zum Datenschutz auf die Richtlinie 95/46/EG aus dem Jahr 1995, die auf zweierlei abzielt: den Schutz des Grundrechts auf Datenschutz und die Garantie des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten. Ergänzt wurde die Richtlinie durch den Rahmenbeschluss 2008/977/JI, der den Schutz personenbezogener Daten im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen regelt.
In Deutschland wurden die Vorgaben der Datenschutzrichtlinie mit einem hohen Datenschutzniveau im BDSG und den Sozialgesetzbüchern umgesetzt. Die betriebliche Praxis hat den Datenschutz, kontrolliert durch Datenschutzbeauftragte und eine entsprechende Behördenstruktur, klaglos akzeptiert, auch wenn es mit den Themen Adresshandel, Profiling, Scoring und illegalem Datentransfer immer wieder zu Friktionen kam. Beim Auftauchen neuer Gefährdungsphänomene im Informationstechnologiezeitalter wurde regelmäßig auf die gefestigte Rechtsprechung des BVerfG zurückgegriffen, die seit dem „Volkszählungsurteil“ dem Recht auf informationelle Selbstbestimmung Verfassungsrang eingeräumt und die Rechtsprechung konsequent fortentwickelt hat.
Die Stärke Deutschlands als Hüter eines ausreichend hohen Datenschutzniveaus entstammte weniger der Lückenlosigkeit und Aktualität der Gesetzgebung als vielmehr einem gesellschaftlichen Konsens über den Verfassungsrang des Datenschutzes, der auch von neuen technologischen Entwicklungen nicht ausgehöhlt werden durfte. Die Rechtsprechung war sensibilisiert und das Grundsatzurteil des BVerfG übte bei Legislative, Exekutive und Judikative eine stärkere Verpflichtungswirkung aus, als alles, was das BVerfG in den letzten Jahrzehnten entschieden hatte. Mit dieser Grundhaltung konnten neue Geschäftsfelder, die mit der Sammlung, Auswertung und Vermarktung von Verbraucherdaten entstanden, relativ problemlos auf Datenschutz gefährdende Tendenzen untersucht und gesetzlich nachgesteuert werden. Überall dort, wo moderne Technologie Datenpakete zum Verbraucherverhalten zusammenführen und analysieren konnte, schlugen die Datenschützer Alarm und forderten sinnvolle Beschränkungen zum Schutz vor einem Missbrauch der Ware „Information“ und warnten rechtzeitig und lautstark vor der „Brave New World -Vision“ des gläsernen Bürgers.
Gerade in der Bundesrepublik Deutschland hatte man das Gefühl, ein Gleichgewicht zwischen der Abwehr von Missbrauchsmöglichkeiten personenbezogener Daten und der Zulassung und Überwachung eines wettbewerbsstärkenden Gebrauchs zulässig erhobener Daten erreicht zu haben. Dieses beruhigende Gefühl, jederzeit reaktionsstark alles im Griff zu haben, ist seit Bekanntwerden der Snowden-Enthüllungen bis an die Grenzen der Resignation erschüttert worden und hat auch die EU-Datenschutz-Grundverordnung wieder in den Fokus der Aufmerksamkeit gerückt.
Der Verordnungsvorschlag
Die 139 Erwägungsgründe und 91 Artikel des Verordnungsentwurfs wurden mit der Begründung konzipiert, dass das Recht auf Schutz personenbezogener Daten, das in Art. 8 der Grundrechtecharta verankert ist, ein unionsweit einheitliches Datenschutzniveau verlangt. Am Beispiel der Datenschutzrichtlinie aus dem Jahr 1995 habe sich gezeigt, dass unterschiedliche Umsetzungspraktiken und die erlaubte Bandbreite oberhalb des festgelegten Datenschutzminimums zu einem Datenschutzgefälle innerhalb der EU führt. Schon immer spielten Staaten im Steuer-, Finanz- und Umweltbereich die Karte der attraktiveren Industrieansiedlungspolitik. Im Bereich des Datenschutzes war in der EU Ähnliches zu beobachten. Unterschiedliche Datenschutzanforderungen in EU-Mitgliedstaaten können nur durch eine unmittelbar geltende Verordnung aufgehoben werden.
Nach Ansicht der Kommission dürfen auch beim Datenschutz angesichts der rasant anwachsenden Durchleitung personenbezogener Daten in andere EU-Staaten und in Drittländer keine unterschiedlichen Datenschutzniveaus entstehen. Dies würde wie in anderen Bereichen dazu führen, dass der Datenschutz zu einem Spielball von Wirtschaftsinteressen wird und verminderte Datenschutzanforderungen als Argument für eine wirtschaftsfreundliche Haltung des jeweiligen Staates gedeutet werden. Eine Migration von Unternehmen hin zu Staaten mit niedrigen Datenschutzniveaus sei zu vermeiden. Den Verbrauchern sei EU-weit ein einheitlicher, wirksamer Datenschutz zu garantieren. Dies sei nur über eine Verordnung möglich.
Der durch die Verordnung gewährte Schutz betrifft die Verarbeitung personenbezogener Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Wohnortes. Im Falle juristischer Personen, deren Daten verarbeitet werden, ist eine Berufung auf die Verordnung nicht vorgesehen. Die Hauptsorge gilt dem Verbraucher, der Datentransfers und Datenauswertung nicht weitgehend schutzlos oder schutzgemindert ausgesetzt sein soll.
Der aktuelle Sachstand
Die Initiative zur Überarbeitung der existierenden Datenschutzbestimmungen führte laut Kommission zu über zwei Jahre andauernden Konsultationen, die im Mai 2009 begannen und an denen die wichtigsten Interessengruppen beteiligt waren (insbesondere die involvierten Behörden der Mitgliedstaaten, Datenschutz- und Verbraucherverbände und private Interessengruppen).
Mit seiner Entschließung vom 06. 07. 2011 billigte das Europäische Parlament einen Bericht, der das Konzept der Kommission für die Reform des Datenschutzrechts unterstützte.
Dennoch ist die Initiative im Vorfeld der Trilog-Verhandlungen zwischen Parlament, Rat und Kommission im Herbst 2013 ins Stocken gekommen. Gemeinsames Ziel war und ist es, die Verordnung innerhalb der laufenden Legislaturperiode bis zum Frühjahr 2014 zu verabschieden, denn im Mai 2014 werden Europawahlen durchgeführt und jede weitere Verzögerung könnte dazu führen, dass durch die Zäsur der Wahl die Verwirklichung der Verordnungsziele in weite Ferne rückt. Europäisches Parlament und die Kommission fordern neben der raschen Umsetzung auch die zeitgleiche und inhaltlich abgestimmte Umsetzung der Richtlinie für Polizei und Justiz (sog. „package approach“).
Der Europaabgeordnete und Berichterstatter der Reforminitiative, Jan Philipp Albrecht, weist in seinen im Netz veröffentlichten Hintergrundinformationen darauf hin, dass einige Mitgliedstaaten über den Ministerrat als Gremium Bedenken gegen eine schnelle Umsetzung der Verordnung angemeldet haben (s. auch http://gruenlink.de/egu):
„Einige Mitgliedstaaten wollen sowohl die Grundprinzipien der Datenschutz-Grundverordnung abschwächen und sich selber lockerere Regelungen für behördliche Datenverarbeitung geben als auch am Paket Verordnung und Richtlinie rütteln. Dies drückt sich momentan in einer Verzögerungstaktik seitens des Rates aus.“
Auch die Bundesregierung hält den Verordnungsentwurf in Teilen für problematisch. Insbesondere wird befürchtet, dass „mit dem Rasenmäher“ über bereits bestehende nationale Regelungen hinweggegangen werde und damit ein existierendes „Mehr“ an Datenschutz, z. B. bei dem Thema „Profiling“, gekappt werden könne. Strittig sind auch die Themen Datenportabilität, Pseudonymisierung, opt-out und das Recht auf Vergessenwerden. Hierbei geht es weniger um die Regelungsansätze als solche, sondern um ihre Praktikabilität und die Folgewirkungen. Beispielhaft sei beim „Recht auf Vergessenwerden“ die Durchsetzungsproblematik bei weitergegebenen Daten genannt. Würde an diesem Ansatz unkonkretisiert festgehalten, müssten sämtliche Datenweitergaben jeweils dauerhaft protokolliert werden. Dies sei ein kaum bewältigbarer finanzieller und personeller Aufwand für Unternehmen und führe seinerseits wieder zu folgenschweren datenschutzrechtlichen Problemen, so Rainer Stentzel vom Bundesinnenministerium.
Der Berliner Datenschutzbeauftragte Alexander Dix weist ergänzend darauf hin, dass das Recht auf Datenlöschung auch die verfassungsrechtlich garantierte Pressefreiheit beeinträchtigen könne, wenn Texte nachträglich aus den Archiven verschwinden müssten. Zudem könnten Eigentums- und Leistungsschutzrechte von Pressebetrieben betroffen sein.
Aus den unterschiedlichen Positionen wird deutlich, dass der Teufel im Detail steckt und eine unmittelbar geltende Verordnung in ihrer Folgenabschätzung genau durchdacht werden muss. Die erneute Überarbeitung des Verordnungsentwurfs unter Beibehaltung der grundsätzlichen Verordnungsziele dürfte unausweichlich sein.
Fazit
Die Datenschutz-Grundverordnung soll EU-weit harmonisiert dem Internetzeitalter angemessene Datenschutzstandards implementieren und den Schutzbereich weltweit ausdehnen, sobald Daten von EU-Bürgern verarbeitet werden – unabhängig davon, ob die Speicherung und Verarbeitung innerhalb oder außerhalb der EU stattfindet.
Der Verhandlungsführer des Europäischen Parlaments, Jan Philipp Albrecht, bringt die zentralen Anliegen auf den Punkt:
- Will ein Webseiten-Anbieter persönliche Daten verarbeiten, muss er anfragen, ob die Nutzer mit der Verarbeitung und Weitergabe der Daten einverstanden sind. Nutzungsbedingungen von Diensten sollen standardisierte, einfach verständliche Symbole benutzen, um Zustimmung oder Ablehnung einzuholen. Nutzungsprofile sollen nur erstellt werden dürfen, wenn die Nutzer dies durch die Einstellungen ihres Browsers erlauben (gestufter Verzicht auf absolute Privatsphäre).
- Alle Informationen, die direkt oder indirekt einer Person zugeordnet werden können, gelten als personenbezogen und sind zu schützen, um die ungehemmte Zusammenführung, Kombination und Auswertung von Daten zu verhindern.
- Das Recht auf Vergessenwerden soll in einer sinnvollen Balance von Selbstbestimmungsrecht und Informationsfreiheit geregelt werden. Diensteanbieter sollen verständlich, kostenfrei und schnell mitteilen, welche Daten sie wie und zu welchen Zwecken verarbeiten und diese Daten auf Anfrage Betroffenen elektronisch zugänglich machen.
- Die Sanktionen für Unternehmen bei Verstößen sollen empfindlich sein (2 % des konsolidierten Jahresumsatzes) und im Einzelfall ausgereizt werden, um eine sofortige und wirksame Abschreckungswirkung zu erzielen.
- Diensteanbieter sollen ihr Angebot datensparsam und mit datenschutzfreundlichen Voreinstellungen präsentieren. Dienste sollen anonym und pseudonym genutzt werden können.
- Die Ernennung von Datenschutzbeauftragten soll vom Ausmaß der Datenverarbeitung und nicht von der Betriebsgröße abhängig sein.
- Die Durchsetzung des Datenschutzes muss durch eine entsprechende Ausstattung der Behörden gewährleistet werden.
- Bürger und Unternehmen müssen sich nach dem „one-stop-shop“-Ansatz EU-weit nur noch an eine Datenschutzbehörde als Ansprechpartner wenden. Die Koordinierung der Behörden untereinander ist entsprechend festzuschreiben und zu ermöglichen.
Man wird sehen, welche der hehren Ziele dem Proporz oder den wirtschaftlichen Gegebenheiten bzw. nationalen Sonderinteressen zum Opfer fallen. Wichtige Themen, wie die Bespitzelung durch Geheimdienste oder die kaum greifbare Datengefährdung durch unternehmerisches „Cloud-Computing“ sind von dem Verordnungsentwurf ohnehin nicht erfasst.
Herauskommen wird wahrscheinlich ein Konsens, der hinter dem angestrebten „großen Wurf“ zurückbleibt. In Sachen EU-Datenschutz wird auch die Datenschutz-Grundverordnung noch nicht das letzte Wort gewesen sein.