EU-Datenschutzreform: Schnelle Verabschiedung oder nicht? (Update)

Heute tagten in Brüssel die europäischen Staats- und Regierungschefs. Neben der deutsch-französischen Initiative, die Spähaffäre gemeinsam aufzuklären, legte man sich auch auf einen Zeitplan zur Verabschiedung der Datenschutzgrundverordnung fest, wo ja seit der Verabschiedung des Parlamentsberichtes am Montag, der Ball bei den Mitgliedsstaaten liegt. Im dazugehörigen Beschlussdokument heißt es:

It is important to foster the trust of citizens and businesses in the digital economy. The timely adoption of a strong EU General Data Protection framework and the Cyber-security Directive is essential for the completion of the Digital Single Market by 2015.

Dieser Satz sorgt nun für zahlreiche Diskussionen. Diejenigen, die an einer zeitnahen Verabschiedung der EU-Datenschutzverordnung vor den Europawahlen interessiert sind (EU-Kommissarin Viviane Reding und das Eurpoäisches Parlament in Person von Berichterstatter Jan Albrecht), interpretieren den Satz als Entschluss der Mitgliedsstaaten, genau das anzustreben. Denn dann könnte das Gesetz 2015 in Kraft treten.

Andere wiederum, etwa die europäischen Nachrichtenportale EurActiv und der EUObserver schreiben, dass das eben nicht der Fall sein wird und sich die Verhandlungen verzögern werden. Der oben zitierte Satz könnte dann bedeuten, dass 2015 erst die Verhandlungen beendet sein werden. Der EUOberserver zitiert aus diplomatischen Kreisen:

Meanwhile, an EU diplomat said member states are already using tactics to delay the bill. “At the technical level, we are hear a lot of noises in terms of ‘quality before timing’, ‘we shouldn’t rush this’, which is basically code words for delaying the whole thing,” the diplomat said.

Unsere Bundeskanzlerin wird zudem mit den Worten zitiert (Sorry, sehe es gerade in keiner anderen Quelle außer diesem Tweet.):

https://twitter.com/CasparBowden/status/393666092498833408

Warum ist das wichtig? Fakt ist, an der Datenschutzreform würde auch nach den Europawahlen weitergearbeitet werden. Wer allerdings an der Verabschiedung einer starken Datenschutzverordnung interessiert ist, sollte alles daran setzen, die Verordnung vor den Europawahlen fertig zu verhandeln. Erstens, weil so das politische Momentum nicht verloren geht. Zweitens, weil nicht nur einige Mitgliedstaaten, sondern auch die Industrie daran interessiert ist, das Gesetz weiter zu verzögern und dadurch zu verwässern. Letztere könnten zudem darauf zielen, die Datenschutzverordnung in die Verhandlungen um das transatlantische Freihandelsbakommen (TAFTA/TTIP) mitreinzuziehen und damit das Recht auf Datenschutz verhandelbar zu machen.

Die deutsche Regierung nimmt dabei eine ambivalente Rolle ein (siehe oben). Andere Staaten werden – zu Recht – als Verzögerer benannt. Deutschland selbst versteckt sich allerdings hinter dem Argument des handwerklichen Nachbesserungsbedarfs, der seine Zeit bräuchte – und erweist dem europäischen Datenschutz damit ebenfalls einen Bärendienst. Die derzeit laufenden Koalitionsverhandlungen könnten eine Möglichkeit sein, die CDU in der Frage Datenschutzverordnung auf eine schnelle Einigung zu drängen. Los, SPD!

Update: Mich erreicht gerade die Nachricht (danke dafür!), dass der oben zitierte Tweet die Position der Kanzlerin nicht richtig erfassen würde, da sie Großbritannien nicht direkt der Verzögerung bezichtigt. In der Pressekonferenz in der Nacht von Donnerstag auf Freitag hat sie laut Protokoll gesagt:

Frage: Frau Bundeskanzlerin, ist es das Ziel, die Datenschutzverordnung, die das Europaparlament vorgeschlagen hat, noch in der Legislaturperiode, also spätestens bis zum Frühjahr, zu verabschieden? Wie ist es mit den Bedenken der Briten? Auch die Bundesregierung war ja da gerade nicht auf dem Gaspedal.

BK’in Merkel: Großbritannien und Deutschland kommen aus sehr unterschiedlichen Richtungen. Großbritannien sagt: Wir brauchen einen Datenschutz, der unsere Unternehmen nicht zu sehr beeinträchtigt. Wir sagen: Wir haben einen sehr klaren Datenschutz für die Bürgerinnen und Bürger in Deutschland, und wir wollen davon nichts aufgeben.

Insofern haben wir auch von beiden Seiten deutlich gemacht, dass wir nicht ganz sicher sind, ob wir das schaffen. Wir haben gesagt: Wir wollen es schaffen, also schnelle Verhandlungen, intensive Verhandlungen. Aber ein absolutes Versprechen, ob wir es noch schaffen, kann ich nicht abgeben, weil die Interessen sehr unterschiedlich sind und ich als Bundeskanzlerin der Bundesrepublik Deutschland nicht nach Hause kommen kann und habe sozusagen große Teile unseres heutigen Datenschutzes geopfert – und angesichts der aktuellen Situation noch weniger.

Der Spin kommt in der vollständigen Aussage leicht anders heraus. Das Ergebnis bleibt das Gleiche. Der Prozess wird verzögert und die Industrie freut sich. „Victory for tech giants on EU data laws“ betitelt die Financial Times (Pastebin hier) deshalb das Gipfelergebnis.

Britain has echoed the concerns of US tech groups that the legislation would create a conflict between American and European legislation as well as burden companies with unnecessary red-tape during a difficult economic recovery.

„It looks like we won,“ said an executive at a large US tech company. „When we saw the story about Merkel’s phone being tapped and that 35 leaders‘ phones were also compromised, we thought we were going to lose … Britain’s common sense prevailed.“

One of David Cameron’s aides said on Friday that he had „no idea“ whether the prime minister had discussed the data protection rules with Eric Schmidt, the chairman of Google, who sits on the prime minister’s business advisory board.

But he insisted that Google was „not the reason why“ the prime minister had fought against early adoption of the rules. „As offered it contains huge extra burdens on businesses so there has to be some changes to it, that is why we got it removed.“

5 Ergänzungen

  1. Los SPD, vergeige es wieder lese ich da eher …

    Ich erwarte eher ein Versagen der SPD und eine Einbeziehung in TAFTA. Trotz der aktuellen Umstände. Wegen der Wirtschaft, wegen Merkel, wegen der SPD.

    Genauso wir es die SPD auch mit der Metadatenerhebung (=VDS) vergeigen, sie waren ja auch nie wirklich dagegen.

  2. Die EU-Datenschutzgrundverordnung sollte in der derzeitigen Entwurfsfassung nicht verabschiedet werden. Es würden zum Beispiel die im deutschen Bundesdatenschutzgesetz enthaltenen Regelungen zur Videoüberwachung im öffentlichen Raum vollständig entfallen.

    Siehe hier:

    http://www.datenschutzbeauftragter-info.de/neues-eu-datenschutzrecht-ist-nicht-gleich-besserer-datenschutz/

    Zitat: „Das BDSG wird aufgeweicht

    Im Vergleich zu den relativ strengen Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) bleibt der EU-Entwurf jedoch an vielen Stellen zurück. Ein paar Beispiele:

    – Das Schriftformerfordernis für die Erteilung von Einwilligungen wird aufgehoben (§ 4a BDSG)
    – Der betriebliche Datenschutzbeauftragte verliert seinen besonderen Kündigungsschutz (§ 4f BDSG)
    – Die Bestellung eines betrieblichen Datenschutzbeauftragten ist nur noch für Unternehmen verpflichtend, die pro Jahr personenbezogene Daten von mehr als 5.000 Betroffenen (MA und Kunden zusammen) verarbeiten (aktuell ab 10 MA, die mit PC arbeiten, § 4f BDSG)
    – Die Vorgaben für Videoüberwachungen im öffentlichen Raum entfallen (§ 6b BDSG)
    – Die Anforderungen an Datenverarbeitungen im Auftrag durch externe Dienstleister sind wesentlich geringer als in § 11 BDSG“

    1. Danke – endlich geht mal eine Diskussion über die Fakten los.

      Im Einzelnen kann man trefflich darüber streiten, ob das BDSG besser und zeitgemäßer ist:
      – schriftliche Einwilligung: Da sollte doch heutzutage auch ein „ok, ich will“ reichen statt einer Unterschrift. Willkommen im Internet.
      – Kündigungsschutz des BDSB: „During their term of office, the data protection officer may only be dismissed if the data protection officer no longer fulfils the conditions required for the performance of their duties.“ Artikel 35(7) EP-Version. §4f(3) BDSG sagt ja auch nur, dass „aus wichtigem Grund“ gekündigt werden darf.
      – Schwelle für die Bestellung des BDSB: §4f(1) BDSG gibt eine Schwelle von 10 Personen an, die „ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind – nicht zehn PC-Arbeitsplätze. In Zeiten von Cloud Computing kann man aber auch schon mit viel weniger Leuten massiv Daten verarbeiten, daher ist die Zahl der Betroffenen als Berechnungsgrundlage sinnvoller.
      – Videoüberwachung ist als Risikofaktor, der weitere Auflagen triggert, in Artikel 32a(2.e) enthalten. Die Schwelle von 5000 Betroffenen pro Jahr gilt hier übrigens auch. Außerdem ist es nur noch möglich, das ohne Zustimmung der Betroffenen zu machen, wenn ein berechtigtes Interesse vorliegt und die Beobachteten das vernünftigerweise erwarten können. Bei Arbeitnehmern wurden dafür sogar spezielle Regeln geschaffen (Artikel 82(1c), Punkte (a) und (b).)
      – Die Auftragsdatenverarbeitung ist ebenfalls sehr detailliert geregelt in Artikel 26 (weitere Guidance wird der neue Europäische Datenschutzausschuss geben), da kann man sich streiten, ob das BDSG wirklich besser ist. Neu ist in der Verordnung aber auch, dass der Auftragsverarbeiter bei Privacy by Design mitmachen muss (Art. 23) und dass er nicht die Terms of Service bestimmen kann nur wegen seiner Marktmacht, Stichwort Cloud Computing (Art. 26(4)).

      Soweit in Kürze, ich vertiefe das gerne bei Gelegenheit. Insgesamt muss sich die Riege der deutschen Datenschutzbeauftragten an ein paar neue Regeln gewöhnen, aber das ist in der Natur jeder Gesetzgebung. Insgesamt ist aber m.E. ein durchaus modernes Datenschutzgesetz dabei herausgekommen.

      Die von Benjamin erwähnten Bedenken der Bundesregierung speisen sich dagegen aus einer ganz anderen Motivation. Sich damit gemein zu machen, wäre IMHO falsch verstandener Datenschutz. Eher muss der Druck auf die Bundesregierung erhöht werden, sich in die Verhandlungen in Brüssel endlich mal konstruktiv einzubringen.

      Disclaimer: Ich arbeite für den EP-Berichterstatter Jan Philipp Albrecht.

      1. @ Ralf Bendrath

        Danke für Deine detaillierte Antwort. Hoffentlich bleibt es dabei, dass die EU-VO sowohl in Gänze als auch im Einzelnen das Datenschutzniveau des BDSG nicht unterschreiten wird.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.