Seit Jahren bemüht sich die EU, eine zeitgemäße Datenschutz-Grundverordnung zu verabschieden. Noch dieses Jahr sollen die Verhandlungen zu einem Ergebnis führen – was muss die Reform beinhalten, was bedeutet das für Europa und wo steht die USA?
Am 16. September nahmen die drei Parteien, EU-Kommission, EU-Parlament und EU-Rat ihre Trilog-Verhandlungen zur neuen Datenschutzverordnung wieder auf. Seit die Kommission Anfang 2012 ihre Entwürfe vorlegte, sind die drei Institutionen in regem Austausch und änderten die Entwürfe regelmäßig ab. Nun liegt es an Rat und Parlament, sich zu einigen. Doch die Themen, bei denen Uneinigkeit herrscht, sind nicht nebensächlich oder von minderer Wichtigkeit. Ganz im Gegenteil: Es wird sehr deutlich, mit welch unterschiedlichem Ansatz Rat und Parlament die Sache angehen. So will der Rat der Europäischen Union gewisse Punkte möglichst locker und vage formulieren, um zukünftigen Geschäftsmodellen der Datenverarbeitung keine Steine in den Weg zu legen. Das EU-Parlament hingegen spricht sich für den höchsten Schutz der EU-Bürger.innen, auch über Ländergrenzen hinweg, aus. Die endgültige Fassung soll noch Ende dieses Jahres vorliegen und die aktuell gültige Verordnung [Korrektur:] Richtlinie von 1995 ablösen.
Bei einem Sachgebiet, das sich schneller verändert und rasender wächst als Bambus, stellt sich aber die Frage: können die Gesetze von heute auch in drei oder fünf Jahren noch sinnvoll sein? Und in 10? Zudem herrscht eine gewisse Skepsis bei Beobachter.innen der Verhandlungen bezüglich der Wirtschaftslobby. Die soll starken Einfluss auf Entscheidungsträger.innen verübt haben, denn wie es oft heißt, schließen sich freie Wirtschaft und höchstmöglicher Schutz der EU-Bürger.innen gegenseitig aus. Dennoch gibt es interessante Ansätze, die vom Gegenteil überzeugen.
„Mit der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) schafft die Europäische Union (EU) weltweit erstmals eine umfassend direkt anwendbare supranationale Datenschutzregelung.“ (Thilo Weichert (2015): Europas Datenschutz)[1]
Dreh- und Angelpunkt der Europäischen Datenschutz-Grundverordnung ist die Harmonisierung. Das bedeutet, dass es einheitliche Standards in allen EU-Ländern gibt, was es sowohl Unternehmen als auch Bürgern.innen und Regierungen erleichtert, sich zurecht zu finden. Mit 3000[2] Änderungsanträgen versuchten Lobbygruppen Einfluss auszuüben. Auf dem Portal „LobbyPlag.eu“ wurden einige der Anträge analysiert. Von 517 untersuchten Anträgen zielten über 400 auf eine Absenkung der Datenschutzstandards, nur die übrigen hundert anderen versuchten die Standards zu heben. Die Verbindung zur Wirtschaftslobby liegt nahe, diese kommt dennoch nicht an einer Sache vorbei: dem Artikel 8 der Europäischen Menschenrechtskonvention. In diesem werden das Recht auf Achtung des Privat- und Familienlebens geregelt und die Bürger.innen und ihr Privatleben geschützt.
Hintergrundinfo
- europäischer Binnenmarkt erforderte übergreifenden Datenschutz
- Europäische Datenschutzrichtlinie, 1995
- Weitere Regelungen folgten oder wurden überarbeitet
- Neue Technologien machen eine Reform dennoch unbedingt notwendig
- Ziel der Reform: Datenschutzrecht harmonisieren, „Recht auf Vergessen“, Unabhängigkeit der Datenschutzbehörden verbessern, Regelungen über den Datentransfer in Drittstaaten optimieren.
Der Europäische Gerichtshof für Menschenrechte urteilte, dass das systematische Sammeln und Speichern, auch von öffentlichen Daten, gegen Artikel 8 der EMRK verstoßen kann.
Das Thema erfordert höchste Verhandlungskompetenzen aller Beteiligten, denn es soll eine direkt anwendbare Verordnung dabei entstehen, die so wie sie verhandelt wird dann für alle EU-Staaten gleichermaßen gilt.
Fünf Mindestanforderungen
politik-digital.de sprach mit Friedemann Ebelt von Digitalcourage e. V. über seine Position zu der neuen Verordnung und die roten Linien, die nicht überschritten werden dürfen. Klare Worte findet Digitalcourage zu Datensparsamkeit, Zweckbindung, Profiling, Auskunftsrecht und Datenportabilität. Das wird in dem Aufsatz „Fünf rote Linien für Datenschutz in Europa“ (von Dennis Romberg) dargelegt. Der Verein spricht sich dafür aus, dass Datensammlung auf ein Minimum beschränkt werden muss und ein Datensammeln auf Vorrat verhindert werden soll. Zudem müsse die Verarbeitung der Daten nachvollziehbar sein und an einen vorher bekannten Zweck unumgänglich gebunden werden. Auch soll kein.e Nutzer.in einen Nachteil erfahren, weil er oder sie einer Anwendung das s.g. Profiling nicht erlaubt. Dieses beinhaltet, dass Bewegungs- , Kauf-, und Kommunikationsprofile von Nutzer.innen angelegt werden. Eine Verwehrung des Dienstes, nur weil ein.e Nutzer.in die Anlegung solch eines Profils verweigert, ist inakzeptabel und diskriminierend. Digitalcourage spricht sich zudem für ein kostenfreies Auskunftsrecht aus. Jede.r Bürger.in soll erfahren dürfen, welche Daten über ihn/sie erhoben und gespeichert wurden. Als letzte rote Linie sieht die Organisation die Ermöglichung von Datenportabilität vor: Jede.r Nutzer.in soll seine Daten von einem Anbieter auf einen anderen übertragen können. Das ist wichtig für den Wettbewerb zwischen Anbietern und für die Entscheidungsfreiheit von Nutzer.innen. Solange diese fünf Prinzipien nicht mit der neuen Verordnung geltend gemacht werden, wird sie laut Digitalcourage nutzlos sein. Auf keinen Fall dürfe die neue Verordnung hinter die derzeit gültige von 1995 zurückfallen.
Viel Potenzial für den europäischen Markt
Auf die Sorge, die Datenschutzverordnung könnte bei in Kraft treten schon wieder veraltet sein, da technologischer Fortschritt die Verhandlungen einholen wird, gab Ebelt eine Antwort, die zum Nachdenken anregt: Was, wenn die neue Verordnung die Geschäftsmodelle der Zukunft nicht verbaut, sondern gar eigene Innovationen hervorrufen würde, die den Europäische Raum sogar stärken?
Damit ist gemeint, dass die neue Verordnung europäische Unternehmen und Dienstleister dazu zwingt, datenschutzfreundliche Anwendungen bereitzustellen. Also E-Mail-Dienste, die mit Verschlüsselungstechniken arbeiten, neue Software, die vor Hackangriffen sicher ist und z.B. autonomes Fahren ultimativ schützt, sowie soziale Netzwerke mit benutzerfreundlichen Voreinstellungen. Mit der neuen Verordnung erwartet die Europäische Union ein großes Potenzial: einen Markt mit Daten schützenden Diensten zu eröffnen, den es sonst auf der Welt so nicht gibt.
Das derzeitige Problem liegt laut Friedemann Ebelt zu einem großen Teil in dem Trend, kostenfreie Dienste anzubieten. Allerdings ist der Service nur augenscheinlich kostenfrei, denn bezahlt wird nicht mit Geld, sondern mit Daten. Es sei also wichtig, die Unternehmen und Anbieter zum Umdenken zu bringen – statt kostenlose Anwendungen lieber Dienste mit Datenschutzvorkehrungen, dafür zu einem erkennbaren Preis.
Die Nutzer.innen werden ein tieferes Vertrauen in europäische Dienstleistungen entwickeln, was ein deutlicher Wettbewerbsvorteil wäre.
Safe Harbour Abkommen mit USA – noch gültig?
Der aktuell meist genutzte Anbieter eines sozialen Netzwerks geriet aufgrund mangelnden Datenschutzes vor kurzem in die Schlagzeilen. Die Rede ist von Facebook und dem Kläger Max Schrems, welcher auf das Safe Harbour Abkommen zwischen EU und USA aufmerksam machte. Das Problem hierbei: Facebook darf laut Abkommen Daten von EU-Bürger.innen in den USA lagern. Dort sind sie aber vor dem Geheimdienst (NSA) nicht geschützt, wie mit der Snowden Enthüllung bekannt wurde. Dies verstößt gegen das bereits genannte Menschenrecht auf Achtung der Privatsphäre (Artikel 8 des EMRK). Der Generalanwalt Yves Bot erklärte das Abkommen für ungültig. Friedemann Ebelt erkennt darin etwas positives, denn der Fall verdeutlicht, dass das Safe Harbour Abkommen die Daten der Menschen nicht schützt. Für die neue Datenschutzverordnung sei das aber nicht weiter von Bedeutung, denn der Datenverkehr zwischen EU und Drittstaaten müsse mit eigenen Abkommen geregelt werden. In Bezug auf die USA werden TTIP und TiSA dabei eine erhebliche Rolle spielen. Für die Europäische Datenschutzverordnung ist aber eins dennoch wichtig: Möchten Anbieter von sozialen Netzwerken und Dienstleistungs-Portalen aus Drittstaaten ihre Dienste innerhalb der Länder der EU anbieten, müssen auch diese sich an die neue Verordnung halten. Ein verpflichtender Firmensitz im jeweiligen Land sichert die Auskunftsrechte der Nutzer.innen und vereinfacht die Kontrollierung rechtlicher Anforderungen.
Der Fall um Facebook bewirkte, dass die Dringlichkeit eines europäischen Datenschutzes nochmals erkennbar wurde, das Problem der Geheimdienste nochmals verdeutlicht. Eine Reform der Datenschutzverordnung ist also dringend notwendig, dennoch so Ebelt, liegt es jetzt an uns, gewisse Grundelemente des Datenschutzes einzufordern. Demokratische Prinzipien wie Entscheidungsfreiheit, Gleichberechtigung und Schutz der Privatsphäre dürfen nicht untergraben werden, das steht fest.
[1]DANA 2015, Rote Linien, S. 112 https://www.datenschutzverein.de/wp-content/uploads/2015/08/DANA_3-2015_RoteLinien_Web.pdf
[2]DANA 2015, Rote Linien, S. 115
Bild: Victoria Ristenbatt and Scott Redding (CC BY-NC-SA 2.0)
Bitte korrigieren: Das gegenwärtige europäische Datenschutzrecht basiert auf der umsetzungsbedürftigen Richtlinie 95/46/EC und gerade nicht auf einer Verordnung wie oben behaupetet!
@DiesDas: Danke für den Hinweis.
[…] “EU: Datenschutz als Chance für Innovationen” von Teresa Keil […]