EU-Datenschutzreform: Ein gescheitertes Großprojekt?

Foto: Hans-Jörg von Schroeter, Baustelle Kornmarkt. CC BY-ND 2.0

Was haben der Berliner Flughafen BER, die Hamburger Elbphilharmonie und die EU-Datenschutzreform gemeinsam? Alle drei Projekte wurden vollmundig angekündigt, warten aber immer noch auf ihre Vollendung.

Die Europäische Kommission hatte die Reformvorschläge für das Datenschutzrecht im Januar 2012 verkündet: Eine Datenschutzgrundverordnung und eine darauf abgestimmte Richtlinie für den Datenschutz bei Polizei und Justiz sollten an die Stelle der EG-Datenschutzrichtlinie von 1995 und des Rahmenbeschlusses zur Strafverfolgung aus dem Jahr 2008 treten. Nach dem ursprünglichen Zeitplan sollte das Reformpaket bis Ende 2013 von den EU-Gremien beschlossen werden und 2015 in Kraft treten.

Die Defizite des bisherigen Datenschutzrechts

Seit langem hatten Fachleute auf die Beschränktheit des bisherigen europäischen Datenschutzrechts hingewiesen, in den letzten Jahren wurden die Defizite aber unübersehbar.
Die Datenschutzrichtlinie von 1995 legte zwar gemeinsame Standards fest, überließ es aber den Mitgliedstaaten, die Vorgaben umzusetzen. Die inhaltlichen Vorgaben für den Umgang mit personenbezogenen Daten, die Anforderungen an die staatlichen Stellen und Unternehmen und die Datenschutzaufsicht sind in den EU-Staaten dementsprechend höchst unterschiedlich. Verschieden ausgeprägt sind auch die Möglichkeiten der Betroffenen, ihre verbrieften Rechte auf Auskunft, Korrektur und gegebenenfalls Löschung von Daten durchzusetzen. Unternehmen können – ähnlich wie im Steuerrecht – durch geschickte Standortwahl unangenehmen Pflichten und störenden Aufsichtsbehörden ausweichen und trotzdem ihre Dienste innerhalb der gesamten EU anbieten.

Der Versuch deutscher Aufsichtsbehörden zum Beispiel, die durch nationales Recht festgeschriebenen Regeln gegenüber Facebook durchzusetzen – etwa den im Telemediengesetz enthaltenen Anspruch auf anonyme Nutzung –, scheiterten daran, dass das Unternehmen seinen europäischen Sitz in Dublin hat und sich nur an irisches Recht gebunden fühlt.

Noch gravierender sind die datenschutzrechtlichen Defizite bei Unternehmen, die ihre Dienste zwar in der EU vermarkten, die Verarbeitung personenbezogener Daten aber aus einem Drittstaat steuern. So sah sich Google nicht verpflichtet, die Nutzungsbedingungen für seine Dienste den EU-Vorgaben anzupassen. Immerhin hat der Europäische Gerichtshof (EuGH) mit seinem Urteil im Rechtsstreit zwischen der spanischen Datenschutzbehörde und Google vom Mai 2014 die Weichen neu gestellt. Der EuGH maß die Zulässigkeit der Praktiken des Suchmaschinenbetreibers an den Regeln des EU-Datenschutzrechts und forderte vom Unternehmen, dass es seine Praxis erheblich verändern sollte. Manche sehen darin einen Vorgriff auf das im Reformpaket vorgesehene „Marktortprinzip“ im Datenschutz.

Des Weiteren gilt der durch den Rahmenbeschluss des EU-Ministerrats 2008 definierte Mindeststandard für Polizei und Justiz bisher lediglich für die Daten, die zwischen den Mitgliedstaaten ausgetauscht werden, nicht jedoch für die innerstaatliche Datenverarbeitung. Er lässt den Behörden einen viel zu großen Spielraum bei der Entscheidung darüber, wann Daten an Sicherheitsbehörden von Drittstaaten weiter übermittelt werden. Angesichts des immer intensiveren innereuropäischen Datenaustauschs zwischen den Sicherheitsbehörden und der freizügigen Übermittlungspraxis der US-Behörden ist der Datenschutz in diesem Bereich nur unvollkommen gewährleistet.

Zuletzt belegten die durch Edward Snowden bekannt gewordenen Dokumente nicht nur die ungezügelte Datensammelwut von Nachrichtendiensten der USA und Großbritanniens. Sie legen auch darüber Zeugnis ab, dass das Europäische Datenschutzrecht gegen derartige Praktiken kaum etwas ausrichten kann. So blenden die rechtlichen Instrumente, die den Datenschutz bei der Übermittlung personenbezogener Daten an Drittstaaten gewährleisten sollen, die geheimdienstlichen Aktivitäten völlig aus und enthalten zudem sehr pauschale Ausnahmen zur Datenverarbeitung für Zwecke der „nationalen Sicherheit“. Dies gilt auch für das Safe-Harbor-Abkommen, das den Schutz europäischer Daten bei der Verarbeitung in den USA sichern soll.

Reformpaket für den Datenschutz

Das Reformpaket packt diese Defizite an: Die Grundverordnung soll in allen Mitgliedstaaten unmittelbar gelten und so die Einheitlichkeit des Datenschutzrechts in der EU besser gewährleisten als die alte EG-Richtlinie. Das EU-Recht soll auch dann gelten, wenn ein Anbieter, der auf dem europäischen Markt aktiv ist, seine Dienste aus einem Drittstaat erbringt (Marktortprinzip). Der technologische Datenschutz wird ebenso gestärkt wie die Rechte der Betroffenen. So soll der bestehende Löschungsanspruch weiterentwickelt („Recht auf Vergessenwerden“) und den Betroffenen ein Anspruch eingeräumt werden, ihre Daten zu exportieren, um den Wechsel zu konkurrierenden Anbietern zu erleichtern. Die Richtlinie für Polizei und Justiz soll sich nicht nur auf den Datenaustausch beschränken, sondern auch in wesentlichen Bereichen die innerstaatliche Verarbeitung personenbezogener Daten regeln.

Wer gehofft hatte, dass die Reform noch vor der Wahl zum Europäischen Parlament im Frühjahr 2014 in trockene Tücher kommen würde, wurde bitter enttäuscht. Die Verantwortung für die Verzögerung liegt bei den Regierungen der EU-Mitgliedstaaten, die im Ministerrat keine besondere Eile zeigten, das wichtige Reformvorhaben zu beschließen. Es ist kein Geheimnis, dass die Regierungen einiger Mitgliedstaaten – allen voran Großbritannien – kein Interesse daran haben, ein Reformvorhaben zu befördern, das die europäische Integration weiter voranbringt. Aber auch die deutsche Verhandlungslinie steht in der Kritik. Während einerseits die zu große Regelungsdichte der Grundverordnung beklagt wurde, scheint in den veröffentlichten Zwischenberichten zum Verhandlungsstand immer wieder das Bemühen auf, bei der Formulierung der Verordnung noch weiter ins Detail zu gehen. Immerhin überwiegen nach dem Berliner Regierungswechsel im Herbst 2013 bei Vertretern der Bundesregierung konstruktive Äußerungen zur Datenschutzreform, sodass man weiter hoffen kann.

Zwar ist es völlig normal, dass ein europäischer Gesetzgebungsakt gründlich diskutiert werden muss, denn die durch nationales Recht garantierten Grundrechte müssen weiterhin Bestand haben. Dies gilt besonders für Deutschland, wo das Bundesverfassungsgericht vor allem mit dem „Grundrecht auf informationelle Selbstbestimmung“ von 1983 und dem „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ von 2008 verfassungsrechtliche Datenschutzwälle errichtet hat.

Ein völlig falsches Signal wäre es aber, aus Furcht vor Absenkungen des nationalen Datenschutzniveaus ganze Bereiche aus der Datenschutzreform herauszunehmen. So hatte die Bundesregierung bis ins Frühjahr 2014 hinein dafür geworben, den staatlichen Bereich gänzlich aus dem Geltungsbereich der Grundverordnung auszunehmen. Diese Ausnahmen würden aber nicht nur für Deutschland gelten, sondern auch für diejenigen EU-Staaten, bei denen das Datenschutzniveau im öffentlichen Sektor weit unter den vorgesehenen EU-Vorgaben liegt. Deshalb muss es darum gehen, auch für die staatliche Datenverarbeitung die Mindeststandards möglichst hoch zu setzen und zugleich dem nationalen Gesetzgeber die Möglichkeit zu lassen, durch nationales Recht die Vorgaben zu konkretisieren und über diese Mindestanforderungen hinauszugehen.

Dass es gelingen kann, beim Datenschutzrecht auf einen gemeinsamen Nenner zu kommen, der sowohl die gewachsenen Grundrechte in den Mitgliedstaaten als auch die Grundrechtecharta der EU gewährleistet, hat das Europäische Parlament (EP) bewiesen, das das Reformpaket zeitgerecht im Herbst 2013 nahezu einstimmig verabschiedet hat – trotz tausender Änderungsanträge aus den Ausschüssen und Fraktionen. Die vom EP beschlossenen Vorschläge stärken ganz überwiegend den Datenschutz. Bemerkenswert ist eine Klausel, die international tätigen Unternehmen ausdrücklich untersagt, Daten entgegen europäischem Recht an Behörden von Drittstaaten weiterzugeben – offenbar eine Reaktion auf die Snowden-Veröffentlichungen.

Nach aktuellen Ankündigungen der europäischen Gremien soll die Datenschutzreform nun 2015 beschlossen werden – mit zweijähriger Verspätung. Angesichts des rasanten Wandels hin zu einer Informationsgesellschaft ist zu hoffen, dass zumindest dieser neue Termin gehalten wird, damit das Datenschutzrecht seine nötige Steuerungs- und Schutzfunktion wiedergewinnt.

 

Peter Schaar
Folgen

Peter Schaar

Peter Schaar ist Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) und war von 2003 bis 2013 Bundesbeauftragter für den Datenschutz und die Informationsfreiheit.

Foto: Alexander Klink / Wikimedia CC BY
Peter Schaar
Folgen