Das Ringen um eines der wichtigsten EU-Dossiers geht auch nach der Wahl weiter. Trotz öffentlichem Druck können sich die Mitgliedsstaaten nur unter Vorbehalt auf einzelne Abschnitte der geplanten Verordnung einigen. Noch im Januar war davon die Rede, beim kommenden Treffen der Innen- und Justizminister im Juni, ein Verhandlungsmandat für den Trilog mit Kommission und Parlament zu verabschieden. Ein weiteres Kapitel der vielen Verzögerungen und Versprechen, die dieser Gesetzesentwurf bislang erlebt hat.
Weiterer Druck auf die Bundesregierung aus Bundesrat und Justizministerium
Erst kürzlich berichtete netzpolitik.org über die Erklärungen der Bundesdatenschutzbeauftragten Andrea Voßhoff und des Justizministers Heiko Maas: „Datenschutzreform“, „endlich“, „bald“. Jetzt folgte ein Statement des Bundesrates. Und Heiko Maas wurde deutlicher.
Der Bundesrat beschloss am 23. Mai in einer Stellungnahme (PDF):
Für den Bundesrat ist es unerlässlich, dass zeitnah ein einheitlicher Rechtsrahmen für den Datenschutz auf EU-Ebene gefunden wird.
Zugleich äußert der Bundesrat auch Vorbehalte, vor allem bezüglich „unterschiedlichen Regelungsbedarfen des öffentlichen und des privaten Sektors“ (mehr dazu auf delegedata.de). Diese Bedenken sind auch eine Begründung der deutschen Bundesregierung für die Nicht-Fortschritte bei den Verhandlungen zur Datenschutzverordnung in Brüssel (netzpolitik.org berichtete). Jedoch ist im Papier des Bundesrates nicht von einer Ausklammerung des öffentlichen Sektors aus der Verordnung die Rede, wie sie die deutsche Bundesregierung zur Diskussion stellt.
Aus politischer und juristischer Sicht wäre eine Ausklammerung falsch: Man würde sich damit gegen die Positionen von EU-Kommission und Parlament stellen sowie nachgewiesenen Reformbedarf ignorieren.
In dieses Thema grätschte auch Heiko Maas (SPD), Bundesminister der Justiz und für Verbraucherschutz, in seiner Rede auf den Datenschutztagen des Berufsverbandes der Datenschutzbeauftragten:
Allerdings gibt es bei der Suche nach einem Kompromiss auch einige Irrwege, die wir auf keinen Fall beschreiten sollten. Da gibt es einige, die sagen: Nehmen wir doch einfach den gesamten öffentlichen Sektor aus dem Anwendungsbereich der Verordnung heraus; lassen wir sie nur für den privaten Bereich gelten. Ich will sehr deutlich sagen: Das wäre der völlig falsche Weg! Wer den Entwurf auf diese Weise verstümmelt, der zerstört ihn! Persönliche Daten müssen vor dem Zugriff des Staates genauso geschützt werden wie vor Unternehmen. Der Datenhunger mancher Behörden ist nicht kleiner als der mancher Unternehmen.
Zu wenig Fortschritt im Rat – und keine „Anti-FISA-Klausel“
Unterdessen wurden Dokumente veröffentlicht, die kleine Einblicke in die Arbeit im Rat geben. Keine Einigkeit (PDF) besteht weiterhin im Zuschnitt der Zuständigkeiten der Datenschutzbehörden, einem Knackpunkt der Reform. Einen Vorschlag zur vorläufigen Einigung erreichte man unterdessen bei den Drittstaatentransfers (PDF), also der Frage unter welchen Regeln Firmen bzw. Tochterfirmen, die nicht in der EU ansässig sind, Daten verarbeiten dürfen. Post Snowden erlangte dieser Teil der Datenschutzreform einige Aufmerksamkeit – Stichwort: Datenverarbeitung in der Cloud [1].
Die eher politisch als formal-juristisch sinnvolle „Anti-FISA-Klausel“ [2], nach der Behörden in Drittstaaten Daten von in Europa operierenden Unternehmen nur nach Genehmigung durch europäische Aufsichtsbehörden bekommen sollen, hat es nicht in den Entwurf des Rates geschafft. Die deutsche Regierung ist daran allerdings nicht Schuld. Nach Informationen von netzpolitik.org hat sich Deutschland in Brüssel für eine solche Klausel eingesetzt und die fehlende Berücksichtigung im aktuellen Ratsdokument beklagt. Dieser Paragraf erscheint jedoch als vergleichsweise kleines Problem, da hier in den (irgendwann) kommenden Verhandlungen zwischen Parlament, Rat und Kommission, eine Übernahme der Parlamentsposition nicht unwahrscheinlich ist.
Eine weitere Deadline verstreicht – fast alle verlieren
Bedauerlich ist viel mehr, dass der auf dem Rat der Innen- und Justizminister im Januar vereinbarte Zeitplan ein weiteres Mal aufgeschoben wird. Noch im März hieß es, man wolle sich beim kommenden EU-Ratstreffen für Inneres und Justiz im Juni einigen. Das wird nicht passieren. Vermutlich werden sich die Minister auf einen sogenannten „partial general approach“ zu den Drittstaatentransfers auf Basis des angesprochenen Dokuments einigen. Wer jetzt erwartet, dass die Verhandlungen zwischen Rat, Parlament und Kommission dann wenigstens „partiell“ beginnen könnten, irrt (PDF, S. 5):
i. such partial general approach is to be reached on the understanding that nothing is agreed until everything is agreed […]
iii. such partial general approach does not mandate the Presidency to engage in informal trilogues with the European Parliament on the text.
Im Lichte dessen, dass die deutsche Bundesregierung noch viel grundsätzlichere Bedenken hegt und verlautbaren lässt, dass die Datenschutzverordnung „beim derzeitigen Stand der Verhandlungen ‚keinen Mehrwert’ biete“, wird das nicht die letzte Verzögerung gewesen sein. Zur Erinnerung: Der Entwurf zur Datenschutzverordnung umfasst in der englischen Version über 100 Seiten bei 11 Kapiteln.
Beim Reformstau verlieren eigentlich alle – außer den großen Datenverarbeitern. Sie haben erstens mehr Zeit zum Lobbyieren und können zweitens solange Tatsachen schaffen, solange Europa kein zeitgemäßes und durchsetzungsfähiges Datenschutzrecht besitzt. Die Verhandlungen um das EU-US-Handelsabkommen TTIP geben dabei Schützenhilfe.
—
[1] Vgl. dazu den lesenswerten Bericht [PDF] von Caspar Bowden für den Überwachungs-Untersuchungsausschuss des Europäischen Parlaments, S. 25.
[2] Vgl. Bowden-Bericht [PDF], S. 31.