Alle in Deckung! Innenminister Friedrich macht wieder Datenschutz. Nach dem grandiosen Vorschlag der Virenscanner zum Selbstdatenschutz, nimmt sich die heutige Forderung beinahe seriös aus. Beim Treffen der EU-Innen- und Justizminister in Vilnius forderte Friedrich eine Meldepflicht für Drittsstaatentransfers in der EU-Datenschutzverordnung.
Eine Meldung an die Europäische Kommission oder ähnliche Stellen oder sogar eine Genehmigung, wenn man Daten ausliefert an fremde Staaten, das ist die Idee, die meiner Ansicht nach umgesetzt werden muss.
Zunächst ist das natürlich ein weiterer Teil seiner Bankrotterklärung, nach dem Motto: Sagt wenigstens Bescheid, dass ihr mit den Geheimdiensten zusammenarbeitet, dann können wir schon mal Virenscanner installieren. Denn Friedrich erachtet NSA-Überwachung schließlich für notwendig. Ignoriert man diesen Grundwiderspruch und beschäftigt sich mit Friedrichs Vorschlag, schmilzt dieser zusammen wie Butter in der litauischen Sonne.
„Eine Meldung an die Europäische Kommission oder ähnliche Stellen“
Amerikanische Firmen verarbeiten meine Daten auch in den USA. Hier gilt (mal wieder): Bürokratie abbauen und lieber Zeitung lesen, dort steht das nämlich auch. Nicht ganz unnützlich dagegen, weil vielleicht abschreckend, wäre allerdings eine deutliche Meldung an die User, bevor sie der Datenverarbeitung zustimmen. Vielleicht will Friedrich das auch, ist schließlich die Position seiner Chefin. Allzu hoffnungsvoll dürfen wir allerdings nicht sein, Deutschland fürchtet ja eh schon hohe Kosten für die Industrie bei den Informationspflichten.
„oder sogar eine Genehmigung, wenn man Daten ausliefert an fremde Staaten“
Das klingt schon fast nach Law & Order und meint wohl im Kern den ursprünglich aus der Datenschutzreform herauslobbyierten Artikel 42, der sagt, dass Daten von EU-Bürger*innen nur noch dann an ausländische Behörden übermittelt werden dürfen, wenn dies durch ein entsprechendes Rechtshilfeabkommen gedeckt ist. Über den Sinn und Unsinn einer solchen Meldepflicht, diskutieren wir schon länger, seit den NSA-Enthüllungen verstärkt. 1. Problem: Wenn das zur Anwendung kommt, steht EU-Recht gegen US-Recht. US-Firmen werden also im Zweifelsfall eher mit ihren eigenen Geheimdiensten kooperieren, zumal Nicht-Kooperation mit Geheimdiensten wohl massiv Ärger in den Staaten einbringt. 2. Problem: Es existiert zwar ein Rechtshilfeabkommen, aber das erlaubt keinen Pull-Zugriff auf Daten à la PRISM und setzt gewisse Prozeduren voraus. Aber PRISM ist doch nötig für unsere Sicherheit?
Friedrich könnte mit Genehmigungen auch Angemessenheitsbestimmungen für Datenverarbeitung durch Drittstaaten wie das unsinnige Safe Harbour-Abkommen meinen. Diese müssten also, wenn Friedrich es ernst meint, auch neu ausgehandelt werden. So viel Mut ist nicht zu erwarten. Aber keine Angst, Angemessenheitsbestimmungen findet Deutschland eh nicht gut, wie aus der entsprechenden Fußnote des zuletzt von Statewatch geleakten Dokument zum Verhandlungsstand im EU-Ministerrat (PDF) hervorgeht:
DE in particular thought that the manifold exceptions emptied the adequacy rule of its meaning. Whilst they did not disagree with the goal of providing protection against transfer of personal data to third countries, it doubted whether the adequacy principle was the right procedure therefore, in view of the many practical and political difficulties (the latter especially regarding the risk of a negative adequacy decision, cf. DE, FR, UK). The feasibility of maintaining an adequacy-test was also questioned with reference to the massive flows of personal data in in the context of cloud computing: BG, DE, FR, IT, NL, SK and UK.
Besser findet Deutschland sogenannte Binding Corporate Rules, d.h. lediglich unternehmensweit geltende Richtlinien. Hier sollen aber lieber nicht so viele Datenschutzbehörden mitreden, wie es in der dazugehörigen Fußnote heißt.
DE and UK expressed concerns on the lengthiness and cost of such approval procedures. The question was raised which DPAs should be involved in the approval of such BCRs in the consistency mechanism.
Zwei Debatten, zwei Fails
Friedrich zündet mal wieder Nebelkerzen. Die Realitäten, sowohl in der NSA-Debatte als auch in den Verhandlungen zur Datenschutzreform, sehen anders aus. In der NSA-Debatte verhindert das totale Bekenntnis zur „Sicherheit“ (aka Supergrundrecht) ein grundlegendes Infragestellen des größten Überwachungsprojekts aller Zeiten. Die Verhandlungen zur Datenschutzreform sind schlicht industriedominiert. Was beide Debatten vereint: Friedrich und Co. ignorieren die Gefahren, die von großen Datensammlungen ausgehen.
Kann mal bitte jemand den Doktor-Titel von Herrn Friedrich prüfen? Ich kann mich des Eindrucks nicht erwehren, dass der entweder auf irgend einem russischen Flohmarkt gekauft sein muss oder ausschließlich was mit „Wie durchquere ich ein rhetorisches Minenfeld“ zu tun hat. – Kompetenz wurde da aber scheinbar nicht vermittelt.
Oder sind das schon die ersten Auswirkungen unseres genialen Bildungssystems und dessen inflationärer Verteilung von Doktor-Titeln?
PS: Geht EDIT nicht?
@Autor:
Bitte tue mir den Gefallen, englische Zitate, insbesondere Juristenenglisch, wieder sinngemäß in Deutsch zu erläutern – konsequent. Ich bin des Englischen und der Fachbegriffe nicht so mächtig wie du.
Gefühlt macht sich bei euch niemand mehr die Mühe.
@Benjamin: Bitte im zweiten Teil nochmal drübergucken. Sonst hier mei Vorschlag.
Zu 1)
Insbesondere DE war der Auffassung, dass die vielfältigen Ausnahmeregelungen das Prinzip der Verhältnismäßigkeit aushöhlten. Zwar lehnten sie nicht das Ziel an sich ab; sie wollen ebenfalls verhindern, dass persönliche Daten in Drittländer übertragen werden. Sie bezweifeln lediglich, dass das Prinzip der Verhältnismäßigkeit dazu das richtige Mittel ist, gerade im Hinblick auf die vielen praktischen und politischen Schwierigkeiten (bei letzteren insbesondere die einer negativen Verhältnismäßigkeitsentscheidung, vgl DE, FR, UK). Die praktische Durchführbarkeit von Verhältnismäßigkeitsprüfungen wurde auch angesichts der riesigen Mengen persönlicher Daten, die beim Cloud Computing anfallen in Frage gestellt: BG, DE, FR, IT, NL, SK und UK.
Zu 2)
DE und UK drückten ihre Bedenken hinsichtlich solch langwieriger und kostenintensiver Genehmigungsverfahren aus. Es wurde die Frage aufgeworfen, welche DPAs (?) bei der Genehmigung solcher Unternehmensrichtlinien innerhalb des Konsestenzsystems (Anm.: offenbar geht es hier um ein konkretes) involviert sein sollten.
Die sollten das mal von der Genehmigung des Bürgers, dessen Daten übermittelt werden sollen, abhängig machen. Ohne dessen Zustimmung gibt es keine Daten, basta. Für niemanden. :D
MfG Andy