De Maizières Datenschutzinitiative: Alter Wein in neuen Schläuchen? Wir veröffentlichen die Original-Vorschläge

In der vergangenen Woche hat Bundesinnenminister Thomas de Maizière seine „In­itia­ti­ve zur Datenschutz-Grund­ver­ord­nung“ ge­star­tet. Diese besteht aus einem Schreiben an die aktuelle griechische und kommende italienische Ratspräsidentschaft sowie EU-Justizkommissarin Viviane Reding und der Ankündigung mit Wirtschaft, Wissenschaft und Zivilgesellschaft in einen Dialog treten zu wollen. Das Schreiben enthält sechs Punkte, die das Innenministerium als „Kernfragen“ bezeichnet, „die bislang eine Einigung im Rat verhindert hatten“. Anders gesagt: Es handelt sich dabei vor allem um jene Punkte, mit denen die Bundesregierung bislang ihre Verzögerung der Verhandlungen in Brüssel legitimiert.

Da das Innenministerium die Vorschläge lediglich in einer Pressemitteilung umreißt, veröffentlichen wir an dieser Stelle die Original-Vorschläge, die das Innenministerium verschickt hat:

• Anlage zum Schreiben des Herrn Ministers an GRC- und ITA-Vorsitz: Vorschlag für eine Roadmap zur Beschleunigung der Verhandlungen über die EU-Datenschutzreform (DE)
• Annex to Federal Minister de Maizière’s letter to the Greek and Italian Presidencies Proposed roadmap to speed up the negotiations on EU data protection reform (ENG)

Einordnung der Initiative

Was ist nun von den Vorschlägen de Maizières zu halten? Zunächst einmal kann die EU-Datenschutzverordnung als eine der wichtigsten (netz)politischen Großbaustellen Aufmerksamkeit und Initiative vertragen. Die geltende Datenschutzrichtlinie stammt aus dem Jahr 1995 und ist kaum durchsetzungsfähig, während der informationstechnische „Fortschritt“ weiter Tatsachen schafft. In diesem Sinne ist das Schreiben des Innenministers zu begrüßen.

Dabei darf man jedoch nicht vergessen, dass de Maizière nicht der erste deutsche Innenminister ist, der die EU-Datenschutzreform zur Priorität erklärt. Auch de Maizières Vorgänger Friedrich beherrschte rhetorische Spielchen zur Datenschutzreform – wenn auch vielleicht nicht auf dem gleichen Level wie sein Nachfolger, der sich in seiner Rolle als Internetversteher sichtlich gefällt. Auch ein zivilgesellschaftlicher Dialog wurde im vergangenen Jahr noch unter Friedrichs Ägide ins Leben gerufen, verlief dann allerdings nach wenigen Treffen im Sande.

Die Vorschläge im Einzelnen

Schauen wir also auf die 6 Punkte, die de Maizière prioritär behandeln will, um im Rat zu einer Einigung zu gelangen. Im Überblick: 1. Rechtsform und höhere Datenschutzstandards im öffentlichen Bereich; 2. Konkretisierung der Voraussetzungen der Einwilligung; 3. „One Stop Shop“; 4. Drittstaatenübermittlungen; 5. Big Data und Profiling; 6. Meinungs- und Informationsfreiheit.

1. Rechtsform und höhere Datenschutzstandards im öffentlichen Bereich: Kernpunkt dieses Absatzes ist der Vorschlag, eine Öffnungsklausel für die Datenverarbeitung im öffentlichen Bereich einzuführen, die es Mitgliedsstaaten erlaubt, „über die Bestimmungen der Datenschutz-Grundverordnung hinauszugehen und strengere nationale Datenschutzbestimmungen zu erlassen […]“.

Eine Öffnungsklausel scheint zunächst die bessere Option als auf eine Ausklammerung des öffentlichen Bereichs in der Verordnung zu pochen, wie es Deutschland länger getan und somit die ganze Verordnung gefährdet hat. Zudem stand diese Position der des Europäischen Parlaments, verschiedener Mitgliedsstaaten und der Kommission diametral gegenüber.

Auf der anderen Seite lassen sich hier vier Nachteile skizzieren: 1. Die Öffnungsklauseln sind wahrscheinlich nicht Konsens – weder im Ministerrat, noch im Parlament – und könnten somit für weitere Verzögerung sorgen. Mit den Öffnungsklauseln könnte eine neue, zeit- und kraftraubende Debatte im Rat eröffnet werden. 2. Mitgliedsstaaten mit einem niedrigen Datenschutzniveau im öffentlichen Sektor (Ja, die gibt es und das ist ein Problem!) bleiben weiterhin im Regen stehen, wenn das garantierte Mindestniveau nichts wert ist und die Öffnungsklausel zu locker ausfällt. 3. Das deutsche Datenschutzrecht im öffentlichen Bereich ist fragmentiert und weist durchaus Reformbedarf auf, um den sich Deutschland nicht drücken sollte. Ein richtungsweisendes Gutachten dazu datiert auf das Jahr 2001.

Was man diesem Punkt zugutehalten muss: Es handelt sich hier bei um einen konkreten, neuen Vorschlag.

Das kann man vom Punkt 2, Konkretisierung der Voraussetzungen der Einwilligung, nicht vollends behaupteten. Alles, was de Maizière hier anspricht, wird seit über zwei Jahren diskutiert und dürfte weitestgehend Konsens sein – zumindest in Kommission und Parlament. Einzig beim Punkt der „Konkretisierung dieser Voraussetzungen der Einwilligung für bestimmte Situationen“ horcht man auf, und hofft, dass hier keine Schlupflöcher ihren Weg in die Datenschutzverordnung finden.

Die Ausführungen zu Punkt 3, „One Stop Shop“, dem Wie und Was der Zusammenarbeit der Datenschutzbehörden in Europa, kann ich juristisch nicht bewerten. Hinweise dazu gerne in den Kommentaren. Fakt ist: Es braucht starke nationale Datenschutzbehörden und einen starken Europäischen Datenschutzausschuss, der für eine europaweit einheitliche Auslegung der Verordnung sorgt. Das darf weder ein Widerspruch, noch zu teuer, noch zu bürokratisch sein. Spezifisch neu ist an de Maizières Punkt, so scheint es, erstmal nichts. Deutschland beharrt auf einen Vorschlag, den es bereits eingebracht hat.

Die Drittstaatenübermittlungen (Punkt 4), genauer gesagt die „Anti-Fisa-Klausel“, hat Kirsten hier schon kommentiert. Weder der Vorschlag, noch dass Deutschland eine solche Klausel unterstützt, ist eine Neuigkeit. Zu der vorläufigen Einigung über die Drittstaatenübermittlungen im Rat, auf die sich das Schreiben bezieht, fehlt bislang eine vollständige Analyse aus bürgerrechtlicher Sicht. Auch Hinweise dazu nehmen wir gerne in den Kommentaren entgegen.

5. Big Data und Profiling: Die angeblich fehlende „Internettauglichkeit“ der Datenschutzverordnung ist, neben dem öffentlichen Bereich, bislang das zweite deutsche Hauptargument gegen eine Einigung im Rat (vgl. exemplarisch).

Auch in diesem Absatz ist nichts zu entdecken, was nicht jeder in Europa formal so unterschreiben würde und nicht schon Teil des Verordnungsvorschlags wäre. Das Argument, dieser wäre nicht „internettauglich“ entkräftet das Innenministerium somit unfreiwillig selbst:

Ich trete daher dafür ein bewährte Instrumente wie die Einwilligung zu stärken und erforderlichenfalls zusätzliche Schutzmechanismen vorzusehen. Darüber hinaus müssen den Betroffenen effektive Auskunftsansprüche zur Verfügung stehen, um Entscheidungen, die – wie etwa eine Bewertung der Kreditwürdigkeit – auf Profilen beruhen, nachvollziehen zu können.

„Zusätzliche Schutzmechanismen“ nennt der Innenminister nicht. Ein solcher könnte z.B. eine Registrierungspflicht für bestimmte Verfahren der Datenverarbeitung sein, wie es ein Kurzgutachten von iRights.law zum Verbraucher-Tracking vorschlägt.

Aufhorchen lässt allerdings der Satz:

Sie (Informationspflichten und Einwilligungserfordernisse; B.B.) stoßen jedoch an Grenzen, wenn die Information der Betroffenen erst deren Identifizierung verlangt, wodurch ein zusätzliches Datenschutzproblem entsteht.

Das könnte in sensiblen Ohren wie Rhetorik zur Legitimation von Schlupflöchern bei Informationspflichten und Einwilligungserfordernissen klingen.

6. Meinungs- und Informationsfreiheit: Hier spricht de Maizière das „Google-Urteil“ des EuGH an, über dessen Auswirkungen und Anwendung heftig diskutiert wird – auch auf netzpolitik.org. Die Idee, dass Unternehmen wie Google über die Ausgestaltung nicht allein entscheiden sollten, sondern „unabhängige Schiedsstellen“, ist eine Überlegung wert. Konkreter wird de Maizière allerdings nicht. Generell ist darauf zu achten, dass diese Stellen wirklich unabhängig agieren. Ein Modell wie der industrienahe Selbstregulierung Informationswirtschaft e.V. (SRIW), der bislang vor allem beim Häuserverpixeln hilft, ist keine Option.

Fazit: Konsequenzen abwarten

Eine Initiative ist laut Duden ein „erster tätiger Anstoß zu einer Handlung; erster Schritt bei einem bestimmten Handeln“. Betrachten wir das Vorschlagen einer Agenda im Rat in diesem Sinne, ist de Maizières Initiative ihren Namen wert. Auf der anderen Seite finden sich wenig konkrete neue Vorschläge in de Maizières Diskussionspunkten. Im schlimmsten Fall ist diese „Initiative“ ein neuer Anstrich der deutschen Verzögerungstaktik im Rat, was ich dem Innenministerium nicht pauschal unterstellen will. Schließlich ist Initiative das, was viele seit langem von der Bundesregierung fordern. Was davon konkret zu halten ist, müssen die nächsten Leaks aus der Blackbox Ministerrat zeigen.