Entwurf zur EU-Datenschutzverordnung: Weitere Zugeständnisse darf sich der europäische Datenschutz nicht erlauben

Jan Philipp Albrecht (Grüne), Berichterstatter des Europäischen Parlaments für die neue EU-Datenschutzgrundverordnung, hat seinen Berichtsentwurf (PDF) veröffentlicht. Es ist derzeit der wohl sinnvollste, da internetfreundlichste existierende Datenschutzgesetzesentwurf. Zugleich zeugt das Dokument auch von Kompromissen, die der Berichterstatter bereits eingegangen ist. Das ist keine Überraschung: In und außerhalb Brüssels arbeiten mehr Menschen daran, den europäischen Datenschutz zu verwässern als ihn zu verbessern.

Vorgeschichte und Einordnung

Im Januar 2012 hat die EU-Justiz-Kommissarin Viviane Reding ihre Pläne für eine Reform des europäischen Datenschutzes vorgestellt. Entgegen dem Wunsch des Europäischen Parlaments und vieler DatenschützerInnen (PDF) umfasst die Reform zwei Gesetzesvorhaben: eine Richtlinie für die Datenverarbeitung im Polizei- und Justizbereich (PDF) sowie eine Verordnung für den privaten und öffentlichen Bereich (PDF) (also auch Ämter, Behörden etc.). Eine ganzheitliche Lösung war mit den Mitgliedstaaten wohl nicht zu machen. Zudem kam der Verordnungsvorschlag der Kommission gegenüber einer geleakten früheren Fassung bereits abgeschwächt daher – Lobby sei dank. Nichtsdestotrotz verdient die gewählte Rechtsform der Verordnung Beachtung: Verordnungen setzen unmittelbar geltendes Recht in allen Mitgliedsstaaten. Tritt die Verordnung also irgendwann einmal in Kraft, gilt in der gesamten EU ein europäisches Datenschutzrecht für den privaten und öffentlichen Bereich (mit Ausnahme des Polizei- und Justizbereiches). Eine Richtlinie enthält dagegen lediglich Vorgaben, anhand derer die Mitgliedsstaaten Gesetze erlassen sollen (siehe die Richtlinie zur Vorratsdatenspeicherung).

Dem ordentlichen Gesetzgebungsverfahren der EU folgend, wurden die beiden Legislativvorhaben ins Parlament und in den Ministerrat gegeben. Beide Institutionen erarbeiten ihre Änderungswünsche, um dann in gegenseitige Verhandlungen mit der Kommission zu gehen (Trilog). Der Berichtsentwurf ist dabei ein notwendiger Zwischenschritt im Parlament. Er bildet die Diskussionsgrundlage, auf dessen Basis der federführende Ausschuss (in diesem Fall der LIBE-Ausschuss) die Position des Parlaments, den eigentlichen Bericht, für den Trilog abstimmt. Der Berichtsentwurf gibt zudem Hinweise auf den derzeitigen Stand der Diskussion im Parlament sowie auf die Position des Berichterstatters. Das ist wichtig, da er oder sie ja das Parlament im Trilog vertreten. Konkret besteht so ein Berichtsentwurf aus Änderungsvorschlägen (Amendments) für die einzelnen Punkte des Kommissionsvorschlags. Berichterstatter für die Richtlinie ist der Sozialdemokrat Dimitrios Droutsas. Berichterstatter für die Verordnung, um die es im Folgenden gehen soll, ist der erwähnte Jan Philipp Albrecht.

Der Berichtsentwurf: Licht

Eins vorweg: Ich kann an dieser Stelle nicht auf alle Feinheiten des Berichtentwurfs zur Datenschutzgrundverordnung eingehen. Die folgende kleine Analyse soll einen Überblick bieten und eine Anregung sein, sich kritisch mit der Datenschutzreform auseinanderzusetzen. Eine gewisse Grundkenntnis des Kommissionsvorschlags erleichtert das Verständnis. Einführungen bieten Presseberichterstattung, EDRi-Materialien oder der Berichterstatter selbst.

Generell sind die Rechte auf Auskunft über die Daten(verarbeitung) und die Löschung von Daten gegenüber dem Kommissionsvorschlag noch einmal gestärkt bzw. konkretisiert worden (siehe Amendments zu den Artikeln 5 sowie 11-21).

Die Reichweite der Verordnung wurde in den Amendments zu den Artikeln 2 und 3 noch einmal konkretisiert, um möglichst rechtssicher alle öffentlichen und kommerziellen Datenverarbeitungen zu erfassen (auch solche, die als „free services“ gelten).

Neu sind konkrete Definitionen von anonymen (Amendment zu Recital 23) und pseudonymen Daten (Amendment 85 zu Art. 4) sowie Profilbildung (Amendment 87 zu Art. 4). Der springende Punkt dabei: Anonyme Daten fallen aus der Reichweite der Verordnung, aber auch pseudonyme Daten ermöglichen die Aussortierung und gezielte Ansprache von Individuen und sind daher schützenswert (z.B. die IP-Adresse). Die Definition persönlicher Daten wird also erweitert und dabei ein Anreiz zu anonymer Datenverarbeitung geschaffen. Das Thema „Profiling“ ist gerade in Verbindung mit der aktuellen Big Data-Debatte brisant. By the way: EDRi sieht in ihrer Analyse des Berichtsentwurfs die Definitionen von anonymen Daten und Profiling etwas kritischer.

Teilweise integriert wurde zudem das sogenannte Schutzziele-Konzept, wie es auch im Landesdatenschutzgesetz von Schleswig-Holstein (§ 5) zu finden ist. Es schafft Kriterien und damit konkrete Begriffe, die Datenverarbeitungsprozesse analysier- und vergleichbar machen (siehe Amendments zu Art. 5). Einer europaweiten Standardisierung des Datenschutzes könnte das zuträglich sein.

Konkretisierungen gibt es auch beim technischen Datenschutz. Debatten wie privacy icons als fairere AGBs (Amendment 118 zu Art. 11) und Do Not Track (Amendment 105 zu Art. 7) als wirksamer Widerspruch gegen Datenverarbeitung wurden berücksichtigt. Auch Hersteller von Hard- und Software, die an sich keine Datenverarbeiter sind, nimmt der Berichtsentwurf in die Pflicht (Amendment 178 zu Art. 23).

Der umstrittene Medienmagnet „Recht auf Vergessenwerden“ ist im Berichtsentwurf definiert als Pflicht des Datenverarbeiters, die Löschung von unrechtmäßig erhobenen Daten, die von ihm an Drittparteien gegeben wurden, zu erwirken (Amendment 147 zu Art. 17).

Die Bestellung von Datenschutzbeauftragten in einem Unternehmen macht der Berichtsentwurf von der Menge der verarbeitenden Datensätze und nicht – wie von der Kommission vorgesehen – von der Anzahl der MitarbeiterInnen in einem Unternehmen abhängig (Amendment 223 zu Art. 35). Verarbeitet ein Unternehmen die Daten von mehr als 500 Personen, muss ein/e Datenschutzbeauftragte/r im Unternehmen bestellt werden. Diese Zahl dürfte wohl Verhandlungsmasse sein.

Auch der – unter anderem in diesem EDRi-Papier (PDF) – kritisierte Artikel 6(4), der die Zweckbindung von Daten unterlaufen kann, indem er eine Weiternutzung der Daten in neuem Kontext erlaubt, darf als entschärft gelten. Ohne Information des Datensubjektes ist das laut Berichtsentwurf nicht mehr möglich (Amendment 103 zu Art. 6 in Verbindung mit der Konkretisierung des „legitimen Interesses“).

Der Berichtsentwurf führt zudem eine Überprüfung für internationale Abkommen, die den Datentransfer in Drittstaaten regeln (z.B. Safe Harbor), innerhalb von zwei Jahren ein (Amendment zu Recital 134).

Vielfach wurde die Rolle der Kommission in ihrem eigenen Entwurf als zu mächtig kritisiert. Der Berichtsentwurf reagiert auf diese Kritik und beschränkt die Zahl der delegierten und implementierten Rechtsakte, die der Kommission in vielen Bereichen der Verordnung legislative Gestaltungsspielräume gelassen haben, auf technische Aspekte, die notwendigerweise up-to-date gehalten werden müssen. Von diesen Änderungen profitiert wiederum der neu einzurichtende Europäische Datenschutzausschuss. Die Kommission hätte de facto nicht mehr das letzte Wort im sogenannten Kohärenzverfahren, der europaweiten Einigung in Fragen der Anwendung des Datenschutzrechts (siehe Amendment 289 zu Art. 58).

Der Berichtsentwurf: Schatten

An mehreren Stellen geht der Berichtsentwurf nicht weit genug. Das Hintertürchen des legitimen Interesses als Datenverarbeitungsgrund (PDF) wurde zwar eingeschränkt (Amendments zu Artikel 6(1)), aber nicht komplett entfernt.

Ein weiterer Kompromiss sind auch die Änderungsvorschläge an Artikel 34(2). Die Vorabschätzung der Risiken bei der Datenverarbeitung wird den Datenschutzbeauftragten der Firmen überlassen (Amendment 216 zu Artikel 34). Hierfür sind im Kommissionsvorschlag noch die Datenschutzbehörden zu konsultieren. Im Sinne der Machbarkeit und Entlastung der Datenschutzbehörden ist dieser Punkt nachvollziehbar. Auf der anderen Seite verbleibt die Prüfung so in der eigenen Firma.

Die schon im Kommissionsvorschlag herunterlobbyierten Sanktionen bei Datenschutzvergehen von max. 2% des Jahresumsatzes des Unternehmens, versucht der Berichtsentwurf nicht wieder zu verschärfen. Hier haben die LobbyistInnen wohl gewonnen.

Möglich wäre auch eine Verortung der Datenschutzgrundverordnung gegenüber der Richtlinie zur Vorratsdatenspeicherung gewesen. Im Klartext: Hier hätte der Berichterstatter versuchen können, die VDS-Richtlinie für unvereinbar mit der Datenschutzgrundverordnung zu erklären. Der Berichtsentwurf vermeidet diesen irgendwann fälligen Konflikt.

Und nun?

Würde der Berichtsentwurf so Realität werden, wäre das eine erhebliche Verbesserung des europäischen Datenschutzniveaus. Das gilt auch für Deutschland. Der Berichtsentwurf geht an den meisten Stellen über das Bundesdatenschutzgesetz hinaus. Das Getrolle von Innenminister Friedrich aus dem vergangenen Jahr (eine Reform des europäischen Datenschutzes würde das deutsche Datenschutzniveau absenken) ist haltlos und eine Strategie, um Lobbyinteressen zu schützen.

Jan Philipp Albrecht hat als Berichterstatter bereits Kompromisse gemacht. Es ist anzunehmen, das derer noch weitere folgen, da die Position der Grünen/EFA im Europäischen Parlament (zu der auch die Piraten gehören) bereits die wohl datenschutzfreundlichste Position darstellt. Im weiteren Verhandlungsprozess ist nicht mit Amendments zu rechnen, die über den Berichtsentwurf hinausgehen. Im Gegenteil: Was bisher in den meinungsgebenden Ausschüssen vorgelegt wurde, sah eher schlechter aus. Ein eindrucksvolles Negativbeispiel lieferte in diesem Zusammenhang die Stellungnahme des Ausschusses für Binnenmarkt und Verbraucherschutz (IMCO), in der sich wörtlich übernommene Formulierungen der Europäischen Bankenvereinigung fanden.

Zudem verzögert der Ministerrat die Arbeit an der EU-Datenschutzreform enorm. Dies gilt sowohl für die Richtlinie als auch für die Verordnung. Setzen die MinisterInnen der Mitgliedsstaaten – allen voran Friedrich – ihre Verzögerungstaktik fort, kann die Reform wohl nicht mehr innerhalb dieser europäischen Legislaturperiode (2009 – 2014) verabschiedet werden. De facto würde das ihre Verzögerung um mindestens ein weiteres Jahr bedeuten.

Das beste Gegenrezept ist eine geschlossene und datenschutzfreundliche Position des Europäischen Parlaments. Die Abgeordneten des Europäischen Parlaments müssen überzeugt werden, für die datenschutzfreundlichsten Amendments zu stimmen. Es gilt also, sich mit der Reform auseinanderzusetzen und den Terminkalender mit den Ausschusssitzungen im Blick zu behalten. Besonders die Richtlinie, deren Berichtsentwurf zugleich veröffentlicht wurde, ist derzeit in der Berichterstattung unterbeleuchtet (was dieser Artikel leider reproduziert).

In diesem Pad werden alle notwendigen Informationen und Ideen für eine Kampagne gesammelt. Eine weitere Verwässerung oder gar ein Ende der Datenschutzreform wäre eine herbe Niederlage. Nach ACTA besteht diesmal die Chance, nicht nur etwas zu verhindern, sondern etwas Neues zu schaffen.

16 Ergänzungen

  1. Es geht nicht „nur“ um die VDS. Es geht insgesamt um die Verhinderung des europäischen Überwachungsstaats, wozu die Verordnung keinen Beitrag leistet. Hätte sie ein Fluggastdatenabkommen verhindert? Nein. Hätte sie SWIFT verhindert? Nein. Sie ist bestenfalls eine Art lex Facebook. Und das ist für mich zu wenig, um nationale Handlungsspielräume, bis hin zu unserem Bundesverfassungsgericht, in einem zentralen Bürgerrechtsfeld dieser oder künftigen EU-Kommissionen auszuliefern.

      1. Ist bekannt ;) Interessant, dass man beim Überwachungsstaat „nur“ eine Richtlinie will und beim Datenschutz auf eine Verordnung setzt….

  2. Herr Benjamin Bergemann,

    wie können Sie einen so einseitigen Artikel schreiben? Wie hängen Sie mit Herrn Dipl. Pol. Ralf Bendrath, dem Mitarbeiter von Herrn Albrecht zusammen? Netzpolitik ist angesehen für seine kompromisslosen Berichte und Analysen und dann schreiben Sie so etwas? Wieso wird der Gesetzesvorschlag so positiv dargestellt, wenn doch offensichtliche Kritik nötig wäre?

    Anonyme Daten fallen aus der Reichweite der Verordnung? – Die waren nie drinnen. Die angesprochene Änderung betrifft einen Erwägungsgrund ohne gesetzliche Wirkung.

    Die Löschung von Daten ist gegenüber dem Kommissionsvorschlag noch einmal gestärkt bzw. konkretisiert worden? – Können Sie lesen? Der Artikel 17, der das Recht auf Löschung vorsieht, wurde eingeschränkt, und das drastisch und sogar mit einer Begründung darunter weshalb.

    Do Not Track wurden berücksichtigt? – Worauf basiert diese Behauptung? Der Artikel hat nichts mit Do Not Track zu tun. Und sonst auch kein anderer Artikel.

    Man könnte ihren Artikel ewig so weiter kritisieren.

    Ich bin das erste Mal von netzpolitik enttäuscht. Wo bleibt die Objektivität? Man muss auch Freunde kritisieren, wenn sie nicht ihre Versprechen halten. Sie kritisieren, dass manche Abgeordnete wortwörtlich Lobbyistenvorschläge übernehmen. Das macht Albrecht ebenso unverschämt. Googlen Sie mal die Definition von „profiling“ aus dem Albrecht Vorschlag.

    Aber gleich zu einer Kampagne aufrufen, wie bei ACTA. Schämen Sie sich. Wir brauchen keine Kampagne, sondern eine Debatte. Was ist gut, was fehlt und wie kriegen wir das, was Albrecht ausgelassen hat noch hinein? Nicht blind immer alles gut finden, nur weil Grün oder Pirat. Kreative Vorschläge sind gefragt!

    MFG, Dr. User

    1. Unglaublich aber wahr:

      Lobbygruppe:
      https://www.bof.nl/live/wp-content/uploads/Amendments-DP-Regulation-Bits-of-Freedom.pdf

      ‚profiling‘ means any form of automated processing intended to evaluate certain personal aspects relating to this natural person or to analyse or predict in particular the natural person’s performance at work, economic situation, location, health, personal preferences, reliability or behaviour.

      Albrecht:
      http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387en.pdf

      ‚profiling‘ means any form of automated processing of personal data intended to evaluate certain personal aspects relating to a natural person or to analyse or predict in particular that natural person’s performance at work, economic situation, location, health, personal preferences, reliability or behaviour;

      Guttenberg lässt grüssen. Zeit für AlbrechtPlag Wiki?

      1. Dann aber bitte auch bei den Stellungnahmen der Opinion Committees. EDRi hat schon rausgefunden, dass dort u.a. Änderungsanträge der Bankenverbände kopiert wurden. Welche sind euch lieber?

      2. Vielleicht stammt das ja aus der ursprünglichen Kommissionsfassung. Übrigens findet sich der Vorschlag auch im EDRI-Entwurf.

        Im übrigen ist es normal, dass Legaldefinitionen „plagiiert“ werden, nämlich 1 zu 1 aus Urteilen und bestehenden Gesetzen übernommen. Und gute Vorschläge der Interessenvertreter werden eingebracht. Alles ganz normal. Wer sich darüber echauffiert macht sich lächerlich. Abgeordnete, die sich damit brüsten, dass sie Änderungsanträge selbst schreiben, kann ich auch nicht ernst nehmen.

    2. „Dr. User“,

      danke für Ihr Interesse an dem Artikel. Zu Ihren Fragen:

      Wie viele AutorInnen dieses Blogs kenne ich Jan Albrecht und sein Team. Falls Ihnen das entgangen sein sollte, hat Ralf Bendrath sogar einen eigenen Autoren-Account hier. Den hatte er schon vor seinem Job bei Jan Albrecht und bloggt aus genau diesem Grund auch kaum noch an dieser Stelle. netzpolitik.org vertritt eine bürgerrechtliche Position. Es ist daher nicht verwunderlich, dass wir Teile des Berichtsentwurfs durchaus gut heißen. Wir stehen damit in einer Linie mit den Einschätzungen anderer Bürgerrechtsorganisationen, wie etwa der von Digitalcourage.

      Man kann sich darüber streiten, ob es sinnvoll ist, anonyme Daten zu definieren. Ich habe dargestellt, dass es darüber widerstreitende Meinungen, auch auf bürgerrechtlicher Seite, gibt.

      Ja, ich kann lesen. In meinen Augen wurde der Artikel 17 eher konkretisiert (statt eingeschränkt), was ich prinzipiell begrüßenswert finde. Berechtigte Einwände zur Meinungs- und Pressefreiheit wurden berücksichtigt.

      Do Not Track wird in der dazugehörigen Begründung zu Amendment 105 wörtlich erwähnt. Das Amendment an sich nimmt sich allgemeiner und auch vager aus, was durchaus kritikwürdig ist:

      2a. If the data subject’s consent is to be given in the context of the use of information society services where personal data are processed only in the form of pseudonyms, consent may be given by automated means using a technical standard with general validity in the Union in accordance with paragraph 4c, which allows the data subject to clearly express his or her wishes without collecting identification data.

      Für den Hinweis auf die Bits of Freedom-Formulierung danken wir Ihnen. Mein Artikel stellt einen ersten Aufschlag dar, dieses 200-seitige Dokument zu analysieren. Gut, dass wir aufmerksame LeserInnen haben, die uns weiter dabei helfen und wichtige Debatten anstoßen. Davon lebt unser Blog.

      1. Dann wird es Zeit, der Einseitigkeit etwas entgegen zu setzen. Die vernichtende Kritik bei der 2-tägigen Veranstaltung im BMI kam gerade von engagierten Datenschützern. Dass jeder Kritiker des Entwurfs aus dieser Ecke dort persönlich diffamiert wurde, wie z.B. Bull, lässt tief blicken. Dass Stimmen aus „der Wirtschaft“ generell als Lobbyismus verteufelt werden, gleichfalls. Es waren Datenschützer wie Büllesbach (damals Daimler Chrysler), die zu Schilys Zeiten mehr für den Datenschutz standen und mich unterstützten als beispielsweise der damalige innenpolitische Sprecher der Grünen Oezdemir. Nur mal so ;)

      2. Lieber Herr Tauss,

        es geht hier nicht um einen Konflikt zwischen unseren Unternehmen /-sverbänden und Bürgerrechtlern/Datenschützern, da versteht ja jeder, dass Datenschutz eine unverzichtbare Sache für das Verbrauchervertrauen ist, und dass es vorteilhaft ist, bewährtes deutsches Recht nach Europa zu exportieren. Wie wichtig Klarheit des Rechts ist.

        Sondern hier geht es um eine Invasion der Tobaccos aus den USA in Brüssel! Die geballten Lobbyhilfstruppen von Google, Microsoft, Facebook usw. sind mobilisiert. Die US Botschaft hatte sogar in der Inter-Service-Konsultation bei der EU Kommission eingegriffen. Viel Noise, viel FUD, viel Blödsinn.

        Auf der anderen Seite ein extrem „technisch“ kompliziertes Dossier.

  3. Gut recherchierter Artikel. Ich finde es sehr gut dass dieses Thema hier mal zur Sprache kommt.

  4. Der umstrittene Medienmagnet „Recht auf Vergessenwerden“ stand schon in der 85er Konvention. Nur so nebenbei.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.