Schmilzt wie Butter in der Sonne: Friedrich will Meldepflicht in Datenschutzreform

Alle in Deckung! Innenminister Friedrich macht wieder Datenschutz. Nach dem grandiosen Vorschlag der Virenscanner zum Selbstdatenschutz, nimmt sich die heutige Forderung beinahe seriös aus. Beim Treffen der EU-Innen- und Justizminister in Vilnius forderte Friedrich eine Meldepflicht für Drittsstaatentransfers in der EU-Datenschutzverordnung.

Eine Meldung an die Europäische Kommission oder ähnliche Stellen oder sogar eine Genehmigung, wenn man Daten ausliefert an fremde Staaten, das ist die Idee, die meiner Ansicht nach umgesetzt werden muss.

Zunächst ist das natürlich ein weiterer Teil seiner Bankrotterklärung, nach dem Motto: Sagt wenigstens Bescheid, dass ihr mit den Geheimdiensten zusammenarbeitet, dann können wir schon mal Virenscanner installieren. Denn Friedrich erachtet NSA-Überwachung schließlich für notwendig. Ignoriert man diesen Grundwiderspruch und beschäftigt sich mit Friedrichs Vorschlag, schmilzt dieser zusammen wie Butter in der litauischen Sonne.

„Eine Meldung an die Europäische Kommission oder ähnliche Stellen“

Amerikanische Firmen verarbeiten meine Daten auch in den USA. Hier gilt (mal wieder): Bürokratie abbauen und lieber Zeitung lesen, dort steht das nämlich auch. Nicht ganz unnützlich dagegen, weil vielleicht abschreckend, wäre allerdings eine deutliche Meldung an die User, bevor sie der Datenverarbeitung zustimmen. Vielleicht will Friedrich das auch, ist schließlich die Position seiner Chefin. Allzu hoffnungsvoll dürfen wir allerdings nicht sein, Deutschland fürchtet ja eh schon hohe Kosten für die Industrie bei den Informationspflichten.

„oder sogar eine Genehmigung, wenn man Daten ausliefert an fremde Staaten“

Das klingt schon fast nach Law & Order und meint wohl im Kern den ursprünglich aus der Datenschutzreform herauslobbyierten Artikel 42, der sagt, dass Daten von EU-Bürger*innen nur noch dann an ausländische Behörden übermittelt werden dürfen, wenn dies durch ein entsprechendes Rechtshilfeabkommen gedeckt ist. Über den Sinn und Unsinn einer solchen Meldepflicht, diskutieren wir schon länger, seit den NSA-Enthüllungen verstärkt. 1. Problem: Wenn das zur Anwendung kommt, steht EU-Recht gegen US-Recht. US-Firmen werden also im Zweifelsfall eher mit ihren eigenen Geheimdiensten kooperieren, zumal Nicht-Kooperation mit Geheimdiensten wohl massiv Ärger in den Staaten einbringt. 2. Problem: Es existiert zwar ein Rechtshilfeabkommen, aber das erlaubt keinen Pull-Zugriff auf Daten à la PRISM und setzt gewisse Prozeduren voraus. Aber PRISM ist doch nötig für unsere Sicherheit?

Friedrich könnte mit Genehmigungen auch Angemessenheitsbestimmungen für Datenverarbeitung durch Drittstaaten wie das unsinnige Safe Harbour-Abkommen meinen. Diese müssten also, wenn Friedrich es ernst meint, auch neu ausgehandelt werden. So viel Mut ist nicht zu erwarten. Aber keine Angst, Angemessenheitsbestimmungen findet Deutschland eh nicht gut, wie aus der entsprechenden Fußnote des zuletzt von Statewatch geleakten Dokument zum Verhandlungsstand im EU-Ministerrat (PDF) hervorgeht:

DE in particular thought that the manifold exceptions emptied the adequacy rule of its meaning. Whilst they did not disagree with the goal of providing protection against transfer of personal data to third countries, it doubted whether the adequacy principle was the right procedure therefore, in view of the many practical and political difficulties (the latter especially regarding the risk of a negative adequacy decision, cf. DE, FR, UK). The feasibility of maintaining an adequacy-test was also questioned with reference to the massive flows of personal data in in the context of cloud computing: BG, DE, FR, IT, NL, SK and UK.

Besser findet Deutschland sogenannte Binding Corporate Rules, d.h. lediglich unternehmensweit geltende Richtlinien. Hier sollen aber lieber nicht so viele Datenschutzbehörden mitreden, wie es in der dazugehörigen Fußnote heißt.

DE and UK expressed concerns on the lengthiness and cost of such approval procedures. The question was raised which DPAs should be involved in the approval of such BCRs in the consistency mechanism.

Zwei Debatten, zwei Fails

Friedrich zündet mal wieder Nebelkerzen. Die Realitäten, sowohl in der NSA-Debatte als auch in den Verhandlungen zur Datenschutzreform, sehen anders aus. In der NSA-Debatte verhindert das totale Bekenntnis zur „Sicherheit“ (aka Supergrundrecht) ein grundlegendes Infragestellen des größten Überwachungsprojekts aller Zeiten. Die Verhandlungen zur Datenschutzreform sind schlicht industriedominiert. Was beide Debatten vereint: Friedrich und Co. ignorieren die Gefahren, die von großen Datensammlungen ausgehen.

5 Kommentare
Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden