Die EU-Justiz- und Innenminister einigen sich morgen über ein weiteres Kapitel der EU-Datenschutzverordnung. Die bereits öffentlich verfügbaren Formulierungen zeigen, dass die Minister datenverarbeitende Unternehmen von ihren Schutzpflichten befreien wollen – auf Kosten des Datenschutzes.
Verhandlungen im Rat verzögern sich
Nachdem das Europäische Parlament vor inzwischen fast einem Jahr seine Position zur Datenschutzverordnung festgezurrt hat, liegt der Ball bei den Mitgliedsstaaten. Erst wenn sie sich auf eine gemeinsame Position zur Datenschutzverordnung geeinigt haben, können die sogenannten Trilog-Verhandlungen zwischen Kommission, Parlament und Rat beginnen, in denen man sich auf ein fertiges Gesetz einigt.
Allerdings ziehen sich die Verhandlungen im Rat in die Länge. Die 28 Mitgliedsstaaten ringen seit gut zwei Jahren um eine gemeinsame Position. Bislang hat man sich offiziell auf eins von elf Kapiteln des Gesetzesvorhabens geeinigt. Am Freitag kommt laut Agenda (PDF) des EU-Justiz- und Innenministertreffens ein weiteres Kapitel hinzu. Das Dokument, dem die Minister zustimmen werden, hat die italienische Ratspräsidentschaft bereits veröffentlicht (PDF).
Abzustimmendes Kapitel IV legt Pflichten für Unternehmen fest
Hierbei handelt es sich um das vierte Kapitel der Datenschutzverordnung, das vorschreibt, welche technisch-organisatorischen Maßnahmen Datenverarbeiter ergreifen müssen, um legal Daten verarbeiten zu dürfen – und das auch nachweisen zu können.
Unter diesen Pflichtenkatalog fallen u.a. die Pflicht zur datenschutzfreundlichen Technikgestaltung („data protection by design“); Dokumentationspflichten; die Zusammenarbeit mit den Datenschutzbehörden oder die Pflichten von Auftragsdatenverarbeitern, an die Datenverarbeitungen ausgelagert werden (z.B. Clouddiensteanbieter). Auch die Fragen, ab wann die Bestellung eines Datenschutzbeauftragten für Unternehmen obligatorisch wird und wie mit Datenpannen umgegangen werden soll, werden hier geregelt.
Viele betrachten solche technisch-organisatorischen Vorschriften als Herzstück eines wirksamen Datenschutzgesetzes. Wer sich allerdings besonders unternehmensfreundlich zeigen will, wird genau diese Vorschriften eher lax gestalten.
Unternehmerische Risikoabwägung statt verpflichtender Regeln
Eine entscheidende Änderung, die der Ministerrat gegenüber den Entwürfen zur Datenschutzverordnung von Kommission und Parlament vornehmen will, ist der explizite Verweis darauf, dass Unternehmen technische und organisatorische Datenschutzmaßnahmen nur in einem Umfang ergreifen sollen, der der „Wahrscheinlichkeit und Schwere von Risiken“ bei der Datenverarbeitung Rechnung trägt.
Eine Risikoabwägung, die eine Abstufung voraussetzt, ist bei der Sicherstellung eines Grundrechts kritisch zu sehen – sollen doch Grundrechte unabgestuft gelten. Zudem haben Unternehmen bzw. ihre Rechtsabteilungen ein wirtschaftliches Interesse daran, die Risiken ihrer Datenverarbeitung als gering einzuschätzen (zu lassen). Risikoabwägungen fügen der ohnehin komplexen Datenschutzverordnung weitere Verklausulierungen und damit eine weitere Komplexitätsebene hinzu. Solche Rechtsunsicherheit schaffenden Formulierungen finden sich im Entwurf des Ministerrats u.a. bei den „Pflichten des für die Verarbeitung Verantwortlichen“ (Art. 22); dem „Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen“ (Art. 23) sowie in den Ausnahmen von den Dokumentationspflichten in Art. 28.
Auch wenn sich die Formulierungen der deutschen Delegation nicht eins zu eins in der hier betrachteten Version von Kap. 4 wiederfinden, so geht aus einer früheren Arbeitsversion des Kapitels hervor, dass auch die deutsche Delegation sich für einen solchen „risikobasierten Ansatz“ im Ministerrat stark gemacht hat. Wohl aus gutem Grund hatten die Europäischen Datenschutzbeauftragten der Artikel-29-Datenschutzgruppe bereits im Mai diesen Jahres vor einer zu starken Ausweitung des risikobasierten Ansatzes gewarnt (PDF). So sind breite Ausnahmen von den Dokumentationspflichten, wie sie der Rat am Freitag beschließen will, in den Augen der Datenschützer ein No-Go.
Schlupflöcher bei der Meldepflicht für Datenschutzverstöße
Die Pflicht, Datenpannen an Aufsichtsbehörden und Betroffene zu melden, wird derzeit nicht nur in der Datenschutzverordnung, sondern sowohl auf nationaler als auch auf europäischer Ebene in mehreren Gesetzesvorhaben diskutiert. Transparenz über Datenpannen sind ein Grundpfeiler der IT-Sicherheit, was durch die vielen öffentlich gewordenen Datenpannen in den vergangenen Jahren einer breiteren Öffentlichkeit bewusst geworden ist.
Im Dokument des Ministerrats finden sich zahlreiche Schlupflöcher bei den Meldepflichten. So sollen diese – wieder – nur in Fällen erfolgen, in denen die Datenpanne mit einem „hohen Risiko“ für Betroffene einhergeht (Art. 31, 32). Weiterhin hat der Ministerrat die Zeitspannen, innerhalb derer eine Meldung erfolgen muss, gegenüber den Entwürfen von Kommission und Parlament erhöht. Die Vorgaben dazu, welche Informationen über das betreffende Datenleck das jeweilige Unternehmen den Datenschutzbehörden mitteilen muss, wurden ebenfalls aufgeweicht. Der Ministerrat hat an dieser Stelle Formulierungen in die Datenschutzverordnung eingefügt, wie „wo möglich“, „ungefähr“ und „voraussichtlich“ (Art. 31(3)). Die Informationen für Betroffene sollen noch magerer ausfallen (Art. 32(2)).
Wenn die Datenpanne obendrein „verschlüsselte“ Daten betrifft, dürfen Meldungen an Behörden und Betroffene gänzlich entfallen, denn, so die Argumentation, können Externe mit den geleckten Daten sowieso nichts anfangen. Der Ministerrat vergisst dabei, dass kryptografische Sicherheit ein Verfallsdatum hat und selbst im Umlauf befindliche Verfahren zum Teil kompromittiert sind. Zudem hieße eine solche Regelung im Umkehrschluss, dass der eigentliche Grund für das Datenleck kein Problem ist und keiner Meldung bedarf, solange Daten „verschlüsselt“ werden, was ein breite Formulierung darstellt. Welche Daten sind nicht in irgendeiner Form verschlüsselt?
Unternehmen können sich mithilfe solcher Schlupflöcher in den Meldepflichten aus der Verantwortung stehlen. Eine Kultur der Transparenz und Verantwortlichkeit bei der Datensicherheit sieht anders aus.
Datenschutzbeauftragte nicht obligatorisch
Die europaweit verpflichtende Einführung des „Modells betrieblicher Datenschutzbeauftragte/r“ ist ein Kernpunkt und Aushängeschild der europäischen Datenschutzreform. Die Justiz- und Innenminister gehen allerdings wieder hinter den Vorschlag der Kommission und des Parlaments zurück. Geht es nach ihnen, müssen Datenschutzbeauftragte nur verpflichtend bestellt werden, wenn nationale Gesetze das vorschreiben (Art. 35). Dieser Vorstoß konterkariert die Harmonisierungsbemühungen im europäischen Datenschutz; ist doch gerade die uneinheitliche Rechtslage, das heißt, das Fehlen dieses Modells in anderen Ländern, der Grund für die Europäisierung des betrieblichen Datenschutzbeauftragten.
2015 bleibt ein ehrgeiziges Ziel
Die designierte Justizkommissarin Věra Jourová verspricht (Video der entsprechenden Passage ihrer Anhörung) eine fertig verhandelte Datenschutzreform in 2015. Auch wenn die Mitgliedsstaaten dieses Ziel wohl teilen, bleibt der Plan ehrgeizig. Die bisher beschlossenen Kapitel stehen unter dem Vorbehalt „nothing is agreed until everything is agreed“. Viele dicke Bretter sind zudem noch zu bohren und mit der Diskussion über ein sogenanntes „Recht auf Vergessenwerden“ und dem deutschen Wunsch nach Flexibilisierung für den öffentlichen Sektor kamen jüngst neue Stolpersteine auf dem Weg zu einer Einigung im Rat hinzu.
Zudem zeigt die obige Analyse des vierten Kapitels, dass erhebliche Differenzen zwischen den Positionen im Rat und denen des Parlaments und der Kommission bestehen. Konflikte in den interinstitutionellen Verhandlungen sind absehbar. ‚Glücklicherweise‘, mag man mit Blick auf die Formulierungen des Ministerrates sagen.
Update: Auch Anna Sauerbrey hat eine Zusammenfassung zum derzeitigen Stand der Datenschutzverordnung geschrieben. Lesenswert.
Update 2: Die Minister haben das 4. Kapitel wie erwartet beschlossen (PDF, S. 12). Eine (englische) Zusammenfassung inklusive der Positionen der Mitgliedsstaaten gibt es hier. Zudem gab es auch eine (orientierungslose) „Orientierungsdebatte“ zum sogenannten „Recht auf Vergessenwerden“, die der EUObserver zusammenfasst. Wer es kontroverser mag, kann die Kommentare zur gestrigen Ratssitzung unter dem Hashtag #EUDataP nachlesen.
…glaubt noch irgend jemand(tm), dass sich vom Souverän (=Volk, zur Erinnerung) gewählte (Elite-)Volksver(t)räter(tm) für Bürgerinnen und Bürger statt für die Wirtschaft/Konzerne/Banken stark machen?
Meine These: Ab einer gewissen oberen Politiker-Kaste-Schicht ist man entweder selbst schon so auf Wirtschafts- und Lobbyinteressen konditioniert – oder eben es gibt „Zuckerle“ oder den „Kompromatenkoffer“ (z.B. via der ganzen Ausspäherei, nen sexy Lockvogelverführer/in, Rosenholz-Akte etc.).
Wer da nicht pariert, wird gefügig gemacht oder kommt gar nicht in den Genuß der vergoldeten „Drehtür“ WirtschaftPolitik.
Fast 20 Jahre schaue ich mir Politik jetzt intensiv an und hab auch schon mitgemacht. Aber wer nicht stromlinienförmig ist und sich anpasst, wird aussortiert (mir selber passiert).
(Bitte nicht den Rasen betreten bei der Revolution)
Nein, das glaubt wirklich keiner mehr…….
Diese EU-Minister sind kein bisschen besser als die Nationalen. Wer heute immer noch nicht geschnallt hat, dass Deutschland und auch Europa unternehmen freundlich sind, dem ist eh nicht mehr zu helfen. Und oben drein gießen diese macht hungrigen Lobbyisten immer noch schön Öl in der Feuer.