Wir hatten heute Vormittag auf Innenminister Friedrichs scheinbaren Sinneswandel in Sachen Datenschutz hingewiesen. Nicht nur in Sachen staatlicher Überwachung, sondern auch in Bezug auf die laufenden Verhandlungen zur EU-Datenschutzgrundverordnung sind Friedrichs Aussagen einen genaueren Blick wert. Schließlich WÜRDE ein stärkeres deutsches Engagement für Datenschutz im EU-Ministerrat durchaus einflussreich sein.
Abschied von der Selbstregulierung? Nicht ganz…
Ein kleiner Blick zurück: Friedrich hatte im Herbst 2011 einen Dialog zur Selbstregulierung Sozialer Netzwerke ins Leben gerufen. Februar 2013: Dieser gilt wohl als gescheitert. Im Friedrich-Sprech heißt das: „Da ist schon einiges passiert, aber das reicht noch nicht.“ Stimmt, und jetzt?
Eindruck entstehen, Friedrich nähme Abschied von der Methode Selbstregulierung. Zwei Dinge sprechen allerdings dagegen:
(1) In einem weniger beachteten DPA-Artikel aus der vergangenen Woche heißt es:
Ich kann den Sozialen Netzwerken nur raten, sich schnellstmöglich auf konkrete Regelungen zu einigen, damit wir die daraus gewonnenen Erfahrungen in die gesetzgeberischen Überlegungen einbeziehen können“, erklärte Friedrich.
Btw: Auf welche Vorschläge wartet Friedrich eigentlich? Was etwa Facebook will, haben sie schon eindeutig ans Innenministerium kommuniziert, wie aus den von Europe vs. Facebook gesammelten Lobbypapieren fürs BMI hervorgeht. Facebook listet hier die üblichen Datenschutz-Mythen vom Ende des nutzerfreundlichen sozialen Netzwerks durch eindeutige Zustimmung vor der Datenverarbeitung sowie Privacy-by-design/default-Regelungen.
(2) Einen gegenteiligen Eindruck in Sachen Abkehr von der Selbstregulierung erweckt zudem ein Eckpunktepapier des BMI mit dem Titel: „Konzept der regulierten Selbstregulierung in der EU Datenschutz-Grundverordnung“. Entstanden ist es anlässlich des kürzlich von der Koordinierungsstelle IT-Sicherheit im DIN (KITS) in Kooperation mit dem BMI veranstalteten Workshops: „EU Datenschutzgrundverordnung: Selbstregulierung der Industrie mittels genormter Best-Practices!?“ [sic!]
Warten auf Konkretes
Diese Widersprüche sind Symptome für ein größeres Problem: Die Arbeit der Mitgliedsstaaten (in unserem Fall des BMI) an der EU-Datenschutzgrundverordnung ist extrem undurchsichtig. Wir müssen uns die Position des BMI mühseelig zusammenpuzzeln. Ob Friedrich sich im Wahlkampf mehr oder weniger für das Thema interessiert: Die konkreten Änderungswünsche der Mitgliedsstaaten an der Datenschutzgrundverordnung entstehen jetzt. Das Wenige, das über den Verhandlungsstand bekannt ist, klingt nicht besonders viel versprechend.
In einem Arbeitspapier der irischen Ratspräsidentschaft ist vor allem von Möglichkeiten der Absenkung des Datenschutzes die Rede: „risikobasierter Ansatz“ und „Flexibilität für den öffentlichen Sektor“ sind hier die Stichworte. Auch von Selbstregulierers Liebling, den „Verhaltenscodices“, ist hier wieder die Rede. (SCNR: Hier könnte hat das BMI ja wunderbar seine Kompetenzen einbringen.) Mit diesen will der Ministerrat am liebsten auch die Sanktionen entschärfen, wie wir vor einiger Zeit berichtet haben.
Fazit: Es wäre schön, wenn das BMI eine Kehrtwende in Sachen Datenschutzreform vollzieht. Abzusehen ist diese allerdings nicht, es sei denn Friedrich überzeugt uns vom Gegenteil und kommuniziert mal ein paar konkrete Verhandlungsmaßnahmen. Eine Anleitung zur Selbstregulierung sollten Europas neue Datenschutzregeln jedenfalls nicht werden.
Update: Der Tagesspiegel hat das Thema noch mal aufgegriffen und sich mit dem Berichterstatter für die Datenschutzgrundverordnung, Jan Philipp Albrecht (Grüne/EFA), unterhalten: EU-Berichterstatter wirft Innenminister „Täuschung“ vor. Konkret kritisiert Albrecht:
Im Gegensatz zu seiner jüngsten Darstellung fordere Friedrich in Brüssel mehr Flexibilität für die Unternehmen bei der Umsetzung der Verordnung. Die deutschen Verhandlungsführer würden versuchen, feste Sanktionen und den allgemeinen Erlaubnisvorbehalt für das Speichern von Daten abzuschwächen, wie er im deutschen Datenschutzrecht bereits besteht.
Wie Friedrich öffentlich verdeutlichte im Merkur, hat er Skepsis gegenüber einer EU-Verordnung. Natürlich entmachtet eine Verordnung auch den deutschen Gesetzgeber. Im übrigen dürfte es politisch sehr ambitioniert sein, ein äquivalentes gesetzliches Niveau wie in Deutschland auf EU-Ebene durchzusetzen.
Verordnungen („Regulation“) sind europaeinheitlich, Richtlinien („Directives) dagegen werden in nationale Gesetze umgesetzt. Da sollten wir doch alle offen sein, wer pro-Datenschutz und für eine paneuropäische Lösung ist, der hat den Binnenmarkt und Drittstaaten im Blick und ist bereit ggf. das bestehende Schutzniveau für Deutschland abzusenken, und glaubt, dass er seine Interessen im Parlament durchsetzen kann.
http://www.merkur-online.de/aktuelles/politik/friedrich-kaempft-deutsches-datenschutzrecht-2245506.html
Der Friedrich-Kommentar, den du verlinkt hast, wird bald ein Jahr alt und wird dem Stand der Debatte nicht mehr ganz gerecht. Ich denke, trotz aller deutlich formulierter Skepsis, sind das schon neue Töne, die dieser Tage aus dem BMI kommen. Dass es sich dabei mit hoher Wahrscheinlichkeit um Nebelkerzen handelt, steht auf einem anderen Blatt.
Zur Selbstregulierung: Das wäre geltendes deutsches Recht + X.
Die Vorschläge wie sie MdEP Alexander Alvaro zur GDPR eingebracht hat, also beispielsweise Privacy-Ikons für das Netz u.ä. könnte die EU-Kommission über Artikel 10 der Normenverordnung Nr. 1025/2012 standardisieren lassen, ganz unabhängig von der laufenden EU-Gesetzgebungsinitiative.
Ein Lackmustest ist auf jeden Fall, welche Aktivitäten Friedrichs Unionskollege MdEP Axel Voss (CDU) und die EVP-Fraktion entfaltet. Auf seiner Website finden wir seine >300 LIBE Änderungsanträge zum Albrechtbericht zur Grundverordnung: Da finden wir solche schönen Sätze wie „The interest or fundamental rights and freedoms of the data subject shall not override processing carried out by public authorities in the performance of their tasks.“(Am 64)