Business first: Update zum Stand der EU-Datenschutzreform

Die Arbeiten am Großprojekt EU-Datenschutzreform gehen weiter. Nachdem das EU-Parlament sich im Oktober auf seine Position geeinigt hat, wartet Europa auf eine Einigung der Mitgliedstaaten im EU-Ministerrat (np.org berichtete). In dieser Woche gab es mal wieder ein paar Neuigkeiten zu dem Thema, um das es verhältnismäßig still geworden ist. Substantiell scheint sich die Tendenz des Ministerrates zur Wirtschaftsfreundlichkeit zu bestätigen. Den Verhandlungsverlauf betreffend, gab es von deutscher Seite gleich mehrere – mehr oder minder glaubwürdige – Prioritätsbekundungen.

Aktuelle Arbeitsdokumente der Ratspräsidentschaft: Reducing Burden for Business

Heise hat einen Blick auf Arbeitsdokumente der griechischen Ratspräsidentschaft geworfen, die Statewatch veröffentlicht hat. In solchen Arbeitsdokumenten fasst die jeweilige Ratspräsidentschaft die Diskussionen der Arbeitsgruppen im Rat zusammen und macht eigene Vorschläge in diesem Sinne, um die Verhandlungen weiter voranzubringen. Auch wenn diese Papiere vor allem die Position der Präsidentschaft wiedergeben, sind sie zumindest ein Indikator für die Stimmung Ministerrat. Eine seltene Möglichkeit, ist doch der Rat – noch stärker als das Parlament – eine intransparente Blackbox.

Aus den Dokumenten lässt sich eine – im Vergleich zur Parlamentsposition – eher wirtschaftsfreundliche Tendenz erkennen. So schlägt die Präsidentschaft vor, das von der EU-Kommission vorgeschlagene „Recht auf Datenportabilität“ abzuschwächen (Arbeitsdokument 5879/14; PDF). Für Dienste, die ohne Einwilligung der Nutzer/innen, etwa auf Basis des sogenannten „berechtigten Interesses“ benutzt werden, würde das Recht nicht mehr gelten. Damit wäre wohl der ganze Bereich der Onlinewerbung von diesen „Bürden“ befreit. Wo das Recht greift, sollen die Vorschriften zum Datenformat „flexibel“ gestaltet werden. Das Europäische Parlament hatte sich in diesem Punkt noch für ein „interoperables Format“ (vgl. LIBE-Bericht Artikel 15) ausgesprochen und zugleich Datenportabilität (Daten mitnehmen zum anderen Anbieter, ähnlich einer Rufnummernmitnahme) mit einem Auskunftsanspruch gleichgesetzt (Daten werden dem Datensubjekt herausgegeben). Das hätte den Vorteil, dass neben der Datenmitnahme auch Werkzeuge zur Datenvisualisierung und -auswertung gefördert würden, die Nutzer/innen helfen, ihre digitalen Spuren zu verstehen.

Funfact: Während sich die Formulierung, dass Unternehmen von finanziellen und bürokratischen Bürden entlastet werden sollen, durch alle Arbeitspapiere zieht, schlägt die Ratspräsidentschaft vor, dass Auskunftsansprüche der Nutzer/innen gebührenpflichtig sein dürfen. Kostenfrei soll man von seinem Recht nur in „reasonable intervals“ Gebrauch machen dürfen. Das klingt nach Zwei-Klassen-Datenschutz.

In den weiteren Papieren (5880/14; 5881/14; 5882/14) geht es um die Streitfrage der Zuständigkeitsverteilung von Datenschutzbehörden sowie Berichts- und Prüfpflichten von datenverarbeitenden Unternehmen. Kontrolle gegenüber datenverarbeitenden und – willkommen im Big Data-Zeitalter – im Auftrag datenverarbeitenden Unternehmen ist essentiell für eine Informationsgesellschaft. Die Präsidentschaft setzt auf einen „risikobasiert Ansatz“, der Berichts- und Prüfpflichten mit dem Risiko der Datenverarbeitung variiert. Profilbildung stellt eine „risikoreiche Datenverarbeitung“ dar. Dem würden sowohl Aluhütte als auch Datenliberale zustimmen. Danach scheiden sich allerdings die Geister. Sind nur Profilbildungen, die „rechtliche Konsequenzen“ für die Nutzer/innen haben, risikoreiche Profilbildungen? Das Papier der Ratspräsidentschaft erweckt diesen Anschein (5880/14, S.2). Sind die umfangreichen Datensammlungen der digitalen Werbedienstleister dann nicht „risikoreich“, solange nicht daraus eine Ungleichbehandlung (z.B. durch das Anzeigen individueller Preise auf Webseiten entsteht)? Wohl nicht umsonst mahnt der Europäische Datenschutzbeauftragte in seinem jüngsten Brief (PDF, S. 5) an die Präsidentschaft an, dass bei der Implementierung des „risikobasierten Ansatzes“ auf Rechtssicherheit zu achten ist.

Absichtsbekundungen der Bundesregierung: Nichts Neues

Beim Deutsch-Französischen Ministerrat am 19. Februar 2014 haben sich Deutschland und Frankreich darauf verständigt, die EU-Datenschutzverordnung bis 2015 zu verabschieden. Dieser Zeitplan ist keine neue Nachricht. Interessanter dagegen war das Statement von Bundesinnenminister Thomas de Maizière beim europäischen Polizeikongress. Wie Heise berichtet, wurde er nach seiner sicherheitspolitischen Law-and-Order-Rede auch auf die EU-Datenschutzreform angesprochen. Hier wiederholte er das bekannte Narrativ, dass die Datenschutzreform nicht schneller vorangehe, da es noch so viel Arbeit gäbe.

„Deutschland sitzt nicht im Bremserhäuschen“, erklärte er [de Maizière; B.B.]. Vielmehr hätten Bundesrat und Bundestag in der vergangenen Legislaturperiode der Verhandlern so viele Aufgaben mit auf den Weg gegeben, dass diese unter der Masse der Forderungen ächzten.

Das Gefährliche an diesem Narrativ: Es funktioniert scheinbar kontextunabhängig immer wieder und hat das Potenzial den Zeitplan immer weiter aufzuschieben. Im Kontrast dazu stellt de Maizière die Vorratsdatenspeicherung als unkompliziertes und de facto konsensuales Projekt dar (Skript zur Rede):

Wir haben aber im Koalitionsvertrag vereinbart, die Richtlinie nunmehr zügig umzusetzen. Die Vorarbeiten hierzu haben begonnen.

In dieser Woche voller Datenschutzschlagzeilen (widerstreitende Rechtssprechung zum Geltungsbereich des deutschen Datenschutzrechts; Facebook-WhatsApp-Deal) ist die Notwendigkeit von Rechtsklarheit, Transparenz und mehr Kontrolle beim Datenschutz deutlich geworden. Die EU-Datenschutzverordnung kann dabei helfen. Gegen das Verzögerungs-Narrativ der Bundesregierung zur Datenschutzreform hilft nur ständiges Erinnern an die vereinbarten Zeitpläne. Die nächste Gelegenheit dazu bietet sich Anfang März beim Treffen der Innen- und Justizminister (PDF, S. 32).

0 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.