Die Reform des Datenschutzes in Europa rollt langsam, aber sicher auf ihren Abschluss zu. Fast drei Jahre ist es nun her, seit die Europäische Kommission den Gesetzentwurf veröffentlichte. Das Parlament verabschiedete 2014 seine Änderungsvorschläge und am 24. Juni 2015 starteten offiziell die Trilog-Verhandlungen zwischen Kommission, Rat und Parlament, die bis Ende des Jahres andauern sollen.
Dank den Enthüllungen von Edward Snowden gibt es im Rahmen der Datenschutzreform auch heiße Diskussionen über einen effektiveren Schutz der Privatsphäre von europäischen Bürgerinnen und Bürgern bei internationalen Datentransfers.
Diese Woche meldete sich die sogenannte „Industriekoalition ‚für‘ Datenschutz“ (Industry Coalition for Data Protection, ICDP) zu Wort und forderte die Streichung eines bestimmten Artikels aus der Datenschutzverordnung, der den Spitznamen „Anti-FISA“-Artikel erhalten hatte. Die Koalition schickte am letzten Mittwoch einen Brief an EU-Justizkommissarin Věra Jourová, Berichterstatter des Parlaments Jan-Philipp Albrecht und die EU-Ratspräsidentschaft. Mitglieder der Koalition sind diverse europäische Dachverbände, in denen wiederum Unternehmen wie Google, Apple, Amazon, Facebook, Microsoft und Co. (oft sogar mehrfach) vertreten sind.
Bereits vor den Enthüllungen von Edward Snowden war es einigen Bürgerrechtlern klar, dass sich die USA durch den Foreign Intelligence Surveillance Act (FISA) und dessen Abänderung von 2008 (FISA § 1881a im Jahr 2008) die Grundlage verschafften, alle Daten der großen amerikanischen Internetunternehmen auch im Ausland abzuschnorcheln.
Vor drei Jahren schlug die EU-Kommission daher eine Anti-FISA Klausel vor, entfernte sie jedoch schnell wieder nach gezielten Lobbyoperationen der US-Regierung aus ihrem ursprünglichen Text (damals Art. 42). Das EU-Parlament brachte die Idee dann wieder als neuen Artikel 43a ein. Dieser sieht vor, dass Unternehmen personenbezogene Daten von EU-Bürgern nur noch dann an ausländische Sicherheitsbehörden übermitteln dürfen, wenn dies durch ein entsprechendes Abkommen vorhergesehen ist. Dieser Artikel ist also hauptsächlich ein politisches Druckmittel für die EU – denn er bedeutet, dass – solange sich die EU nicht auf Regeln für den Datenaustausch mit dem entsprechenden Drittstaat einigt – Unternehmen die Herausgabe der Daten verweigern müssen.
Das gefällt den Unternehmen natürlich gar nicht, da sie sich nun entweder in den USA oder in der EU strafbar machen. In dem Brief beklagt die Industriekoalition daher, dass…
[…] dieser Artikel in der Praxis bedeutet, dass Unternehmen, die innerhalb und außerhalb der EU operieren, in die Zwickmühle geraten und potentiell ihre gesetzlichen Pflichten in entweder der einen oder der anderen Rechtsprechung verletzen.
Weiterhin kritisieren die Internetriesen in ihrem Schreiben, dass dieser Ansatz „nicht nur den Grundsatz der Gegenseitigkeit in diplomatischen Beziehungen, sondern auch die Glaubwürdigkeit der Datenschutzreform gefährden würde“.
Jan-Philipp Albrecht erklärte gegenüber netzpolitik.org:
Wenn zum Beispiel ein chinesisches Gericht entscheidet, dass ein Finanzakteur in London alle finanziellen Details und personenbezogenen Daten eines europäischen Kunden an die chinesischen Behörden übergeben soll, dann kann die EU nicht einfach sagen: ‚Ja klar, lasst uns das machen und europäisches Recht einfach ignorieren.‘ Das ist unmöglich. Es bedeutet lediglich etwas, wenn es auch ein entsprechendes Abkommen oder eine Klausel im EU-Recht gibt.
Es ist unklar, ob dieser Artikel die Verhandlungen überleben wird. Der Rat der EU könnte geneigt sein, der Bitte der Industrie in den Verhandlungen nachzugeben. Er berücksichtigte in seinem Vorschlag vom 15. Juni 2015 eine eventuelle Anti-FISA-Klausel nicht. Obwohl sich die Institutionen bereits im Trilog darauf einigten, Absatz 1 von 43a zu erhalten, ist nun die Frage, ob Kommission und Parlament weiterhin hart bleiben.