EU-Datenschutzreform: Konkrete Vorschläge aus Brüssel gegen PRISM und Co.

Am vergangenen Freitag hatte ich darüber geschrieben, dass wir bei der derzeit in Brüssel verhandelte EU-Datenschutzgrundverordnung Lehren aus PRISM ziehen können. Da es einige Rückfragen gab, fassen wir an dieser Stelle noch einmal die konkreten Ansätze zusammen. Es geht hier um zwei Dinge: Datenschutz in Clouds außerhalb Europas (sic!) und Schutz von Whistleblowern wie Edward Snowden. Für beides gibt es Änderungsanträge von Europaparlamentarier/innen, die bei den derzeit laufenden Kompromissverhandlungen im Innenausschuss (LIBE) nicht unter den Tisch fallen sollten.

Transparenz und Einwilligung

Ich muss dem Datentransfer ins Drittland informiert zustimmen, d.h. im Zweifelsfall auch über die Rechtslage bspw. in den USA informiert sein. Ein Vorschlag dafür kommt von der niederländischen Liberalen Sophia in ‚t Veld:

Änderungsantrag 2531: Artikel 44a

Die Übermittlung personenbezogener Daten an Cloud-Dienste im Zuständigkeitsbereich eines Drittlandes ist verboten, es sei denn:

a) einer der Rechtsgründe dieses Kapitels für die Übermittlung personenbezogener Daten an Drittländer findet Anwendung; und

b) die betroffene Person hat eingewilligt, und

c) die betroffene Person hat nach Unterrichtung in klarer, eindeutiger und warnender Sprache eingewilligt, die durch einen zusätzlichen und deutlich sichtbaren Hinweis auf

i) die Möglichkeit, dass die personenbezogenen Daten Gegenstand der Informationsgewinnung oder Überwachung durch Behörden aus Drittländern sein könnten; und

ii) das Risiko, dass der durch das Unionsrecht und das mitgliedstaatliche Recht gewährte Schutz der personenbezogenen Daten und der Grundrechte nicht gewährleistet werden kann, erfolgte.

Einen weiteren „Transparenzvorschlag“ macht der Sozialdemokrat Dimitrios Droutsas:

Änderungsantrag 2390: Artikel 41 – Absatz 1 a (neu)

Alle Datenübertragungen von einer Cloud im Zuständigkeitsbereich der Europäischen Union in eine Cloud im  Zuständigkeitsbereich eines Drittlandes werden von einer Mitteilung über diese Datenübertragung und seine Rechtsfolgen an die betroffene Person begleitet.

Wiedereinführung des Artikels 42 zur Erfordernis eines Rechtshilfeabkommens

Darüber hatten wir schon am Freitag diskutiert und dank Ralf Bendrath festgestellt, dass die Abwesenheit eines Rechtshilfeabkommens für den Zugriff auf Cloud-Daten von EU-Bürger/innen, auch wenn in einer zukünftigen Datenschutzgrundverordnung explizit festgeschrieben, höchstens EU gegen US-Recht stehen lassen würde. Es ist anzunehmen, dass ein US-Unternehmen eher US-Recht und damit Geheimdiensten dienen würde, weil in Europa höchstens Sanktionen drohen. Auf der anderen Seite kann die Erfordernis eines solchen Abkommens Öffentlichkeit schaffen. À la: „Seht her, Staaten und Unternehmen machen das, obwohl ein Rechtshilfeabkommen notwendig ist.“  Einen solchen Vorschlag machen mehrere Abgeordnete, z.B. Cornealia Ernst (Linke):

Änderungsantrag 2491: Artikel 43a

Datentransfers, die nicht im Einklang mit dem Unionsrecht stehen

1. Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden eines Drittstaats, die von einem für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter verlangen, personenbezogene Daten weiterzugeben, werden nur auf der Grundlage von und im Einklang mit einem Abkommen über Amtshilfe oder einem zwischen dem ersuchenden Drittstaat und der Union oder einem Mitgliedstaat geltenden internationalen Übereinkommens anerkannt und vollstreckt. […]

Einbindung und Schutz von Whistleblowern

Verschiedene Abgeordnete haben Änderungsanträge formuliert, die den Umgang mit Hinweisen von Informantinnen über Datenschutzvergehen regeln und sie zugleich schützen sollen.

Als Verpflichtung für die europäische Datenschutzaufsichtbehörde, vorgesehen bei der spanischen Sozialistin Carmen Romero López (ebenso ihr Änderungsantrag 2604):

Änderungsantrag 2748: Artikel 66 – Absatz 1 – Buchstabe g a (neu)

ga) Festlegung von gemeinsamen Verfahren für den Erhalt und die Prüfung von Informationen im Zusammenhang mit Beschwerden über die unzulässige Verarbeitung personenbezogener Daten, für den Schutz von Hinweisgebern vor Repressalien und für die Wahrung der Vertraulichkeit der Quellen dieser Informationen in Fällen, in denen Hinweisgeber nach den  Rechtsvorschriften von Drittländern, die die Offenlegung der unzulässigen Verarbeitung personenbezogener Daten verbieten, gerichtlich belangt werden könnten;

Weiterhin schlägt Sophia in ‚t Veld vor, Informantenschutz in einem extra Legislativakt zu verankern:

Änderungsantrag 2950: Artikel 79 – Absatz 7 c (neu)

7c. Die Kommission hat einen Legislativvorschlag vorzulegen, in dem die Bedingungen und Kriterien spezifiziert werden, um innerhalb eines Jahres nach Inkrafttreten dieser Verordnung den rechtlichen Schutz von Informanten sicherzustellen.

Whistleblowing kann man natürlich auch anreizen:

Änderungsantrag 2637: Artikel 53 – Absatz 4 a (neu)

4a. Die Aufsichtsbehörde zahlt Informanten, die Informationen über eine mutmaßliche rechtswidrige Verarbeitung liefern, eine Belohnung in Höhe von bis zu 20 % der Geldbuße nach Absatz 4, die infolge von Ermittlungen auf der Grundlage der erhaltenen Informationen verhängt wurden. Die Verfahren zur Auszahlung der Belohnung schützen die Identität des Informanten vor Offenlegung und sehen Bestimmungen für Zahlungen an anonyme Informanten vor.

Inwiefern dieser Vorschlag von Cornelia Ernst praktikabel ist, bleibt eine andere Frage. Informanten wie Edward Snowden brauchen eher politisches Asyl als Belohnungszahlungen. Fest steht: Whistleblower brauchen Schutz und keine Bestrafung.

Keine Mehrheiten gegen Überwachung?

Einige konkrete Handlungsoptionen liegen also allein im Rahmen der Datenschutzverordnung auf dem Tisch. Diese versprechen natürlich keinen vollständigen Schutz vor Programmen wie PRISM, können aber für Transparenz und Politisierung beim Thema Überwachung sorgen.

Oben sind die Namen verschiedener Abgeordneter gefallen – Konservative waren nicht dabei. Auch Sophia in ‚t Velds Position entspricht nicht dem Konsens der liberalen Fraktion im Europäischen Parlament. Zudem müsste auch der Ministerrat bei solchen Vorschlägen mitmachen. Aber hier bitten wir wohl die Böcke zum Gärtnern.

Bei den Abgeordneten des Europäischen Parlaments könnt ihr ja mal nachfragen, warum sie z.B. Whistleblowerschutz nicht für wichtig halten. Die finalen Verhandlungen zur Datenschutzgrundverordnung finden jetzt statt.

3 Ergänzungen

  1. Der Artikel ist ja vollkommener Humbug! Was hat denn Prism mit der Datenschutz VO zu tun? Wie will man denn einem souveränen Staat beikommen, der sich mit geheimdienstlichen Mitteln Zugang zu Daten verschafft? Doch nicht mit Viviane Redings Datenschutzverordnung! Dies umso weniger, als die im Zusammenhang mit Prism genannten amerikanischen Firmen doch ohnehin alle überwiegend auf Basis von Zustimmung arbeiten und damit gar nicht großartig von der Verordnung betroffen sind. Hier werden doch Äpfel mit Birnen verglichen…..

  2. Ich schreibe ja selten solche Kommentare, aber: Haben Sie den Artikel gelesen? Viele Menschen waren nicht informiert, wer da dank dem Fisa Amendment Act von 2008 Zugriff auf ihre Daten hat. Viele Wihistleblower haben Angast vor Verfolgung. Das – und der zugegebenermaßen – diskutable herauslobbyierte Artikel 42 sind konkrete Maßnahmen, die Dinge wie PRISM im Zweifelsfall nicht verhindern, aber die ungleiche Informationslage zwischen Öffentlichkeit und „Staat“ etwas kippen können – zugunsten Ersterer.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.