Dass die Wahl eines neuen Datenschutzbeauftragten für die EU gerade in einer Krise steckt, hatten wir hier schon berichtet. Die Amtszeit von Peter Hustinx und Giovanni Buttarelli, seinem Stellvertreter, ist offiziell seit über einer Woche vorbei und am 14. Januar hat die Kommission ganz offiziell verkündet, dass keiner der fünf Kandidaten, die in die Endrunde für die Wahl eines Nachfolgers gekommen sind, geeignet sei.
Wie kam es zu der Situation?
Bereits am 31. Juli des letzten Jahres hat die EU-Kommission eine Ausschreibung für die freiwerdenden Stellen veröffentlicht. Als Voraussetzungen wurden in der Ausschreibung unter anderem genannt: „Erfahrung im Bereich des Datenschutzes, als Mitglied einer Datenschutzbehörde oder in einer großen privaten oder öffentlichen Organisation“, „Erfahrung in der Bewertung der Auswirkungen von EU-Datenschutzstrategien auf die Bürger, Unternehmen und öffentlichen Verwaltungen in Europa“ und „Gewährleistung der erforderlichen Unabhängigkeit“. Vor allem aber nichts, was nicht zu erwarten (und zu erfüllen) gewesen wäre.
Auf die Ausschreibung bewarben sich über 40 Kandidaten, viele davon langjährig erfahrene (Ex-)Datenschutzbeauftragte aus EU-Mitgliedsstaaten. Daraufhin wurde, wie es das offizielle Ernennungsverfahren vorsieht, ein Vorauswahlausschuss eingesetzt, der die Zulassungsvoraussetzungen und Qualifikationen der Bewerber geprüft und auf dieser Basis zehn Kandidaten als engere Wahl ernannt hat.
Nach einem von externen Stellen durchgeführten Assessment-Center blieben von diesen zehn noch fünf übrig – die Datenschutzbeauftragten von Polen und Finnland, ehemalige Datenschutzbeauftragte aus Ungarn und Österreich und der jetzige stellvertretende EDSB selbst. Diese wurden zu weiteren Gesprächen mit dem Vorauswahlausschuss und dem Beratenden Ausschuss für Ernennungen der Kommission eingeladen. Das Ergebnis kennen wir: Keiner der Kandidaten wurde für geeignet erklärt, eine weitere Begründung von Seiten der Kommission blieb bisher aus.
Was passiert jetzt?
Die Situation, dass es keinen EDSB gibt, wird nicht eintreten, denn Peter Hustinx und sein Stellvertreter müssen im Amt bleiben, bis ein Ersatz gefunden wurde. Also ist eine Neuausschreibung unvermeidlich? In der Praxis wird es höchstwahrscheinlich so kommen, aber was oftmals vergessen wird: Die Kommission, die beschlossen hat, dass keiner der Bewerber geeignet sei, hat gar nicht das letzte Wort in dieser Angelegenheit. Ihre Aufgabe besteht eigentlich „nur“ darin, Parlament und Rat eine Vorauswahlliste vorzulegen. Die tatsächliche Entscheidung liegt dann bei diesen beiden Gremien. Und Parlament und Rat sind es auch, die nun der Neuausschreibung zustimmen müssen – das ist zwar anzunehmen, wirft aber ein etwas anderes Licht auf die Wirkungskompetenzen der Kommission und deren augenscheinlich eingetretenen Überschreitung dieser.
Geht man jetzt von einer Neuausschreibung der Stelle aus, kann man sich in etwa ausrechnen, wie lange Peter Hustinx noch auf seinen geplanten Ruhestand warten werden muss: Nicht nur wird die ganze Prozedur von Neuem aufgerollt, dazu kommen noch die EU-Wahlen Ende Mai. Die führen dazu, dass ein ganz anderes Parlament als das jetzige über den EDSB abstimmen wird – und das vermutlich nicht vor Ende der Sommerpause im September.
Was bedeutet das?
Abgesehen von der eintretenden Verzögerung sendet die Ablehnung der Kandidaten noch ganz andere Signale. Die Bewerber, hochrangige und erfahrene Datenschutzbeauftragte, wurden als ungeeignet gebrandmarkt. Wären sie nur nicht berufen und ein anderer als Topkandidat erkoren worden, hätte das lediglich impliziert, der andere Bewerber sei geeigneter gewesen. So aber ist ihre gesamte Kompetenz in Frage gestellt – was besonders im Falle der noch amtierenden Bewerber ein herber Schlag gegen ihre Autorität ist. Am direktesten fällt das im Falle des jetzigen Stellvertreters Hustinx auf: Diesen als ungeeignet darzustellen, diskreditiert seine gesamte Arbeit während der letzten fünf Jahre.
Eine ganz andere Frage ist, ob die EU-Kommission überhaupt die Kompetenz besitzt, zu entscheiden, wer als Kandidat geeignet ist. Die EU-Datenschutzbeauftragten sind unabhängig und der Einfluss, den die Kommission hier nimmt, schränkt diese Unabhängigkeit massiv ein, mehr noch als die endgültige Wahl durch Parlament und Rat – denn eigentlich geht es um die Vorauswahl der geeignetesten Kandidaten. Eine Blockierung des gesamten Prozesses widerspricht vollkommen dem Ziel dieses Bewerbungsschrittes.
Auf Peter Hustinx Kritik waren wir bereits eingegangen. Nun hat auch die ARTICLE 29 Data Protection Working Party ein heute erscheinendes Schreiben an López Aguilar, Vorsitzender des LIBE-Komitees, Maroš Šefčovič und Théodoros N. Sotiropoulos gerichtet, das die Handlungsweise der Kommission in Frage stellt und betont, welche Fähigkeiten für einen EDSB wirklich maßgeblich sind:
Für die Stelle eines EDSB oder seines Stellvertreters ist die Fähigkeit essentiell, sich sorgfältig, unabhängig und unparteiisch jeglicher Angelegenheit des Datenschutzes anzunehmen, sie zu bewerten und in der Folge Stellung dazu zu nehmen. Die Erwägungen in der Auswahl sollten sich daher nicht primär auf Managementfähigkeiten in einer EU-Verwaltung konzentrieren, sondern die speziellen Eigenschaften dieser Stellen berücksichtigen. Diese lassen sich eher mit der Position von Richtern vergleichen als mit der von hochrangigen Vertretern der Kommission.
Kann man so weiterarbeiten?
Die Situation erscheint desaströs und frustrierend, dennoch sieht der stellvertretende EDSB Giovanni Buttarelli nicht schwarz für die Zukunft des Datenschutzes in Europa. In einem Interview, dass ich im Rahmen der CPDP in Brüssel mit ihm führen durfte, sagte er: „Die EU-Datenschutzbehörde ist die kleinste und jüngste EU-Institution, aber dennoch sehr einflussreich durch ihre beratende Rolle“. Er verwendete das Bild von David und Goliath, um die Stellung des EDSB zu illustrieren. Die circa 50 Menschen, die in der Behörde beschäftigt sind, arbeiteten unermüdlich daran, den Datenschutz zu stärken und sähen dafür auch Erfolge. „Es interessieren sich immer mehr Menschen für den Datenschutz“, meint Buttarelli, „Im letzten Jahr haben sich die Besucherzahlen – sowohl direkt als auch auf den Webseiten des EDSB – um 63% erhöht“. Außerdem habe es eine signifikante Erhöhung des Budgets gegeben – die Relevanz von Datenschutz in der heutigen Zeit wird also durchaus verstanden und anerkannt.
Als Kernaufgaben es EDSB sieht Buttarelli nicht nur, Inspektionen zur Einhaltung von Datenschutzrichtlinien bei EU-Institutionen zu machen, sondern vielmehr auch, ein „verlässlicher und kenntnisreicher Ratgeber“ zu sein. Ziel sei nicht, Verstöße aufzudecken, sondern dafür zu sorgen, dass sich die einzelnen Stellen selbst verantwortlich fühlten und proaktiv am eigenen Datenschutz und Transparenz in den Datenverarbeitungsprozessen arbeiteten anstatt „passiv auf die nächste Inspektion zu warten“.
Vor einem Jahr, am 22. Januar 2013, hat der EDSB eine 2-Jahres-Strategie „Für Exzellenz im Datenschutz“ veröffentlicht. Dieses Dokument sollte auf der einen Seite die Ziele für die verbleibende Amtsperiode formulieren, sei aber auch als „Manifest für den Nachfolger“ gedacht gewesen. Der Bericht ist das Ergebnis einer Überprüfung der eigenen Behörde, um neue Arbeitsprioritäten zu finden. Teil dieser Prüfung war neben internen Diskussionen auch die Einbeziehung von 500 Personen aus verschiedenen Interessensgruppen via einer Onlineumfrage und individuellen Konsultationen mit Politikern und anderen Datenschutzbeauftragten. Aus der Auswertung hat sich ergeben, dass der EDSB von vielen bereits als wichtiger Partner angesehen wird. Dennoch besteht immer noch Handlungsbedarf. Als wichtige Aufgabe für die Zukunft sieht Buttarelli die intensivere Vernetzung der Datenschutzbeauftragten aller europäischen Länder, um Kohärenz im europäischen Datenschutz voranzutreiben. Das Gebäude in der Rue Montoyer 30, das derzeit die EDSB beherbergt, „soll zum Europäischen Datenschutzhaus werden“.
Doch neben Vernetzung und Beratung gibt es natürlich auch die „klassischen“ Aufsichtsaufgaben. Der EDSB kontrolliert die Durchsetzung von Datenschutzbestimmungen in EU-Institutionen. Das geht jedoch über die einzelnen Ämter und Büros hinaus. Auch wenn man nicht direkt daran denkt – dazu gehören auch eine Menge sensibler und zum Teil umstrittener Datenbanken und -sammelsysteme, zum Beispiel:
- Eurodac: Fingerabdruckdatenbank, die verhindern soll, dass Asylbewerber in mehreren Ländern parallel oder nacheinander Asylanträge stellen
- VIS: System zum Abgleich von Kurzzeit-Visa innerhalb der Schengen-Mitgliedsstaaten
- SIS II: „Schengener Informationssystemm der zweiten Generation“, verbindet mehrere nichtöffentliche Datenbanken zur Personen- und Sachfahndung innerhalb der EU, enthält unter anderem auch biometrische Informationen über Fahndungsziele
- IMI: Binnenmarkt-Informationssystem, das die Verwaltungszusammenarbeit im Europäischen Wirtschaftsraum vereinfachen soll, unter anderem durch bessere Auffindbarkeit von Ansprechpartnern
- ZIS: Zollinformationssystem, das den Austausch von Informationen über Zollkriminalität, wie Drogenschmuggel, ermöglicht
Diese Reihe zeigt ganz deutlich, wie wichtig es ist, dass der EDSB sich seiner Verantwortung bewusst ist und die Reichweite und das Missbrauchsrisiko dieser massiven Datenmengen versteht. Auf die Frage hin, welche Eigenschaften man seiner Meinung nach als EDSB mitbringen solle, zählte Buttarelli viele auf, nicht nur reine Sachkundigkeit. Man müsse verlässlich sein, nicht-autoritär, inspiriert und motiviert, sich seine Unabhängigkeit und Integrität zu bewahren und bereit, seine Meinung sagen, auch wenn sie unpopulär ist. Außerdem sei es wichtig, Datenschutzprinzipien ganz konkret in funktionierende Lösungen umzusetzen und diese auch überzeugend zu kommunizieren. Dazu gehöre auch, eine Sprache zu finden, die präzise und für alle verständlich ist.
Trotz der aktuell schwierigen Umstände, beruhigt eines: Buttarelli versichert, dass der EDSB weiterhin motiviert ist, so lange wie nötig weiterzuarbeiten. Denn:
Daten sind das Erdöl der Zukunft. Und sie werden vielleicht mehr Einfluss haben als Atomwaffen.
Danke!