EU-Datenschutzreform: Ein gescheitertes Großprojekt?
Die Europäische Kommission hatte die Reformvorschläge für das Datenschutzrecht im Januar 2012 verkündet: Eine Datenschutz-Grundverordnung und eine darauf abgestimmte Richtlinie für den Datenschutz bei Polizei und Justiz sollten an die Stelle der EG-Datenschutzrichtlinie von 1995 und des Rahmenbeschlusses zur Strafverfolgung aus dem Jahr 2008 treten. Nach dem ursprünglichen Zeitplan sollte das Reformpaket bis Ende 2013 von den EU-Gremien beschlossen werden und 2015 in Kraft treten.
Die Defizite des bisherigen Datenschutzrechts
Seit langem hatten Fachleute auf die Beschränktheit des bisherigen europäischen Datenschutzrechts hingewiesen, in den letzten Jahren wurden die Defizite aber unübersehbar.
Die Datenschutzrichtlinie von 1995 legte zwar gemeinsame Standards fest, überließ es aber den Mitgliedstaaten, die Vorgaben umzusetzen. Die inhaltlichen Vorgaben für den Umgang mit personenbezogenen Daten, die Anforderungen an die staatlichen Stellen und Unternehmen und die Datenschutzaufsicht sind in den EU-Staaten dementsprechend höchst unterschiedlich.
Verschieden ausgeprägt sind auch die Möglichkeiten der Betroffenen, ihre verbrieften Rechte auf Auskunft, Korrektur und gegebenenfalls Löschung von Daten durchzusetzen. Unternehmen können – ähnlich wie im Steuerrecht – durch geschickte Standortwahl unangenehmen Pflichten und störenden Aufsichtsbehörden ausweichen und trotzdem ihre Dienste innerhalb der gesamten EU anbieten.
Der Versuch deutscher Aufsichtsbehörden zum Beispiel, die durch nationales Recht festgeschriebenen Regeln gegenüber Facebook durchzusetzen – etwa den im Telemediengesetz enthaltenen Anspruch auf anonyme Nutzung –, scheiterten daran, dass das Unternehmen seinen europäischen Sitz in Dublin hat und sich nur an irisches Recht gebunden fühlt.
Schlupfloch Drittstaat
Noch gravierender sind die datenschutzrechtlichen Defizite bei Unternehmen, die ihre Dienste zwar in der EU vermarkten, die Verarbeitung personenbezogener Daten aber aus einem Drittstaat steuern. So sah sich Google nicht verpflichtet, die Nutzungsbedingungen für seine Dienste den EU-Vorgaben anzupassen.
Immerhin hat der Europäische Gerichtshof mit seinem Urteil im Rechtsstreit zwischen der spanischen Datenschutzbehörde und Google vom Mai 2014 die Weichen neu gestellt. Der Gerichtshof maß die Zulässigkeit der Praktiken des Suchmaschinenbetreibers an den Regeln des EU-Datenschutzrechts und forderte vom Unternehmen, dass es seine Praxis erheblich verändern sollte. Manche sehen darin einen Vorgriff auf das im Reformpaket vorgesehene „Marktortprinzip“ im Datenschutz.
Desweiteren gilt der durch den Rahmenbeschluss des EU-Ministerrats 2008 definierte Mindeststandard für Polizei und Justiz bisher lediglich für die Daten, die zwischen den Mitgliedstaaten ausgetauscht werden, nicht jedoch für die innerstaatliche Datenverarbeitung. Er lässt den Behörden einen viel zu großen Spielraum bei der Entscheidung darüber, wann Daten an Sicherheitsbehörden von Drittstaaten weiter übermittelt werden.
Zahnloses europäische Datenschutzrecht
Angesichts des immer intensiveren innereuropäischen Datenaustauschs zwischen den Sicherheitsbehörden und der freizügigen Übermittlungspraxis der US-Behörden ist der Datenschutz in diesem Bereich nur unvollkommen gewährleistet. Zuletzt belegten die durch Edward Snowden bekannt gewordenen Dokumente nicht nur die ungezügelte Datensammelwut von Nachrichtendiensten der USA und Großbritanniens. Sie legen auch darüber Zeugnis ab, dass das Europäische Datenschutzrecht gegen derartige Praktiken kaum etwas ausrichten kann.
So blenden die rechtlichen Instrumente, die den Datenschutz bei der Übermittlung personenbezogener Daten an Drittstaaten gewährleisten sollen, die geheimdienstlichen Aktivitäten völlig aus und enthalten zudem sehr pauschale Ausnahmen zur Datenverarbeitung für Zwecke der „nationalen Sicherheit“. Dies gilt auch für das Safe-Harbor-Abkommen, das den Schutz europäischer Daten bei der Verarbeitung in den USA sichern soll.
Verordnung würde Lücken schließen
Das Reformpaket packt diese Defizite an: Die Grundverordnung soll in allen Mitgliedstaaten unmittelbar gelten und so die Einheitlichkeit des Datenschutzrechts in der EU besser gewährleisten als die alte EG-Richtlinie. Das EU-Recht soll auch dann gelten, wenn ein Anbieter, der auf dem europäischen Markt aktiv ist, seine Dienste aus einem Drittstaat erbringt (Marktortprinzip). Der technologische Datenschutz wird ebenso gestärkt wie die Rechte der Betroffenen.
So soll der bestehende Löschungsanspruch weiterentwickelt („Recht auf Vergessenwerden“) und den Betroffenen ein Anspruch eingeräumt werden, ihre Daten zu exportieren, um den Wechsel zu konkurrierenden Anbietern zu erleichtern. Die Richtlinie für Polizei und Justiz soll sich nicht nur auf den Datenaustausch beschränken, sondern auch in wesentlichen Bereichen die innerstaatliche Verarbeitung personenbezogener Daten regeln.
Wer gehofft hatte, dass die Reform noch vor der Wahl zum Europäischen Parlament im Frühjahr 2014 in trockene Tücher kommen würde, wurde bitter enttäuscht. Die Verantwortung für die Verzögerung liegt bei den Regierungen der EU-Mitgliedstaaten, die im Ministerrat keine besondere Eile zeigten, das wichtige Reformvorhaben zu beschließen. Es ist kein Geheimnis, dass die Regierungen einiger Mitgliedstaaten – allen voran Großbritannien – kein Interesse daran haben, ein Reformvorhaben zu befördern, das die europäische Integration weiter voranbringt. Aber auch die deutsche Verhandlungslinie steht in der Kritik.
Diskussion um Ausnahmen
Während einerseits die zu große Regelungsdichte der Grundverordnung beklagt wurde, scheint in den veröffentlichten Zwischenberichten zum Verhandlungsstand immer wieder das Bemühen auf, bei der Formulierung der Verordnung noch weiter ins Detail zu gehen. Immerhin überwiegen nach dem Berliner Regierungswechsel im Herbst 2013 bei Vertretern der Bundesregierung konstruktive Äußerungen zur Datenschutzreform, sodass man weiter hoffen kann.
Zwar ist es völlig normal, dass ein europäischer Gesetzgebungsakt gründlich diskutiert werden muss, denn die durch nationales Recht garantierten Grundrechte müssen weiterhin Bestand haben. Dies gilt besonders für Deutschland, wo das Bundesverfassungsgericht vor allem mit dem „Grundrecht auf informationelle Selbstbestimmung“ von 1983 und dem „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ von 2008 verfassungsrechtliche Datenschutzwälle errichtet hat.
Ein völlig falsches Signal wäre es aber, aus Furcht vor Absenkungen des nationalen Datenschutzniveaus ganze Bereiche aus der Datenschutzreform herauszunehmen. So hatte die Bundesregierung bis ins Frühjahr 2014 hinein dafür geworben, den staatlichen Bereich gänzlich aus dem Geltungsbereich der Grundverordnung auszunehmen.
Diese Ausnahmen würden aber nicht nur für Deutschland gelten, sondern auch für diejenigen EU-Staaten, bei denen das Datenschutzniveau im öffentlichen Sektor weit unter den vorgesehenen EU-Vorgaben liegt. Deshalb muss es darum gehen, auch für die staatliche Datenverarbeitung die Mindeststandards möglichst hoch zu setzen und zugleich dem nationalen Gesetzgeber die Möglichkeit zu lassen, durch nationales Recht die Vorgaben zu konkretisieren und über diese Mindestanforderungen hinauszugehen.
EU-Parlament demonstrierte politischen Willen
Dass es gelingen kann, beim Datenschutzrecht auf einen gemeinsamen Nenner zu kommen, der sowohl die gewachsenen Grundrechte in den Mitgliedstaaten als auch die Grundrechtecharta der EU gewährleistet, hat das Europäische Parlament (EP) bewiesen, das das Reformpaket zeitgerecht im Herbst 2013 nahezu einstimmig verabschiedet hat – trotz tausender Änderungsanträge aus den Ausschüssen und Fraktionen.
Die vom EP beschlossenen Vorschläge stärken ganz überwiegend den Datenschutz. Bemerkenswert ist eine Klausel, die international tätigen Unternehmen ausdrücklich untersagt, Daten entgegen europäischem Recht an Behörden von Drittstaaten weiterzugeben – offenbar eine Reaktion auf die Snowden-Veröffentlichungen.
Nach aktuellen Ankündigungen der europäischen Gremien soll die Datenschutzreform nun 2015 beschlossen werden – mit zweijähriger Verspätung. Angesichts des rasanten Wandels hin zu einer Informationsgesellschaft ist zu hoffen, dass zumindest dieser neue Termin gehalten wird, damit das Datenschutzrecht seine nötige Steuerungs- und Schutzfunktion wiedergewinnt.
Dieser Text erscheint in „Das Netz 2014/2015 – Jahresrückblick Netzpolitik“. Das Magazin versammelt mehr als 70 Autoren und Autorinnen, die einen Einblick geben, was 2014 im Netz passiert ist und was 2015 wichtig werden wird. Bestellen können Sie „Das Netz 2014/2015“ bei iRights.Media.
Was sagen Sie dazu?