Europa soll ein neues Datenschutzrecht bekommen, sagt die EU-Kommission. Den passenden Entwurf, der sie selbst ziemlich mächtig macht, hat sie auch schon parat. Kritiker behaupten, Europa lasse seine Bürger im Regen stehen, doch die Politiker wehren sich gegen Lobby-Vorwürfe.
Seit mehreren Jahren bereitet die EU eine Änderung am Datenschutzrecht vor. Angesichts der Fülle und der Wirkung der Änderungen halten Skeptiker jedoch “auf den Kopf stellen” für den treffenderen Begriff dafür, was die Politiker vorhaben. Nicht nur an Datenschutz Interessierte treiben Bedenken über die Einflussnahme der Wirtschaft auf den Entscheidungsfindungsprozess um. In Brüssel scheint ein Lobby-Krieg um die Datenschutzverordnung zu toben.
Recht haben in der EU
Der jüngst von der Europäischen Kommission vorgelegte Verordnungsentwurf [1] wird – nachdem der Rat der Europäischen Union, also die Stimmen der jeweiligen Regierungen der Mitgliedsstaaten, darüber plaudern und sich einbringen darf – zur Abstimmung an das Europäische Parlament übergeben, wo fast tausend von den EU-Bürgern gewählte Abgeordnete sitzen.

Abbildung 1: In Räumen wie diesen vollzieht sich ein wichtiger Teil der Arbeit der EU-Parlamentarier, hier stimmen sie in Ausschüssen über Verordnungen und Gesetze ab.
Die Rechtsetzung in der Europäischen Union funktioniert so: Im Regelfall bestimmen keine unmittelbar gewählten Volksvertreter die Ziele und Grundsätze innerhalb der Europäischen Union, sondern die Abgesandten der einzelnen Mitgliedsstaaten. Diese werden von den jeweiligen Regierungsparteien bestimmt und sitzen im Rat der Europäischen Union. Sind Rechtsnormen zu setzen, die allgemeingültige Wirkung haben, muss das Europäische Parlament (mit-)entscheiden. Dabei handelt es sich nur um eine Mitentscheidung, ohne die Zustimmung des Rates und damit der jeweiligen Staatsregierungen geht nichts.
Mit-Entscheiden gestattet
Im Europäischen Parlament sitzen Abgeordnete, die die EU-Bürger alle fünf Jahre unmittelbar wählen. Die Rechtsakte, die allgemeingültige Wirkung haben, sind EU-Richtlinien und EU-Verordnungen. Die Organe der Mitgliedsstaaten haben die EU-Richtlinien innerhalb einer gesetzten Frist in nationales Recht umzusetzen – erfolgt das nicht fristgerecht, gelten sie unmittelbar. EU-Verordnungen entfalten dagegen sofort nach Inkrafttreten umittelbare Wirkung. Sie als echte EU-Gesetze zu bezeichnen, entbehrt also nicht einer gewissen Grundlage.
Unmittelbarer Datenschutz per Dekret
Die Regelungen über den neuen EU-Datenschutz sollen also als Verordnung kommen, unmittelbar gelten und den einzelnen Mitgliedsstaaten keine Gelegenheit einräumen, Anpassungen vorzunehmen. Nationale Gerichte haben keine Möglichkeit, an den Regeln zu rütteln oder sie entsprechend der national geltenden Rechtslage auszulegen. Die EU bestimmt, welche Regeln gelten, und wie diese auszulegen sind.
Dieses Prinzip erweist sich als außerordentlich zweckmäßig, um EU-weit einheitliche Normen zu schaffen, durchzusetzen und zu kontrollieren. Das ist prima, wenn es den optimalen und gerechten Ausgleich der Interessen aller Beteiligten schafft. Das ist aber fatal, wenn dieser Ausgleich nicht gelingt.
Brüssel scheint einig, dass der freie, ungehinderte Waren- und Dienstleistungsverkehr unser aller Segen sein wird. Nur wenn’s der Wirtschaft gut geht, kann’s uns allen gut gehen. Nicht selten klingt das so, als wäre alles andere zweitrangig. Das mag sich für den einen oder anderen hart und engstirnig anhören, aber der Blick auf die wahren Interessen der Bürger spricht eine andere Sprache: Konsum und Konsumfähigkeit bestimmen das Leben und damit auch das Wohlbefinden der Bürger. Das beweist, dass eine gewisse Wirtschaftsorientierung durchaus ein legitimes Interesse der EU-Institutionen darstellt.

Abbildung 2: Europaweit freier Waren-, Dienstleistungs- und Informationshandel? Für die einen erstrebenswert, für Datenschützer eine Horror-Vision.
Andererseits ist klar, dass die Preisgabe sämtlicher Sekundärwerte zugunsten eines noch so achtenswerten Ziels kein Gutes tut. Ob und wie der geplanten Verordnung der weise und gerechte Interessensausgleich gelingen wird, zeigt der prüfenden Blick auf die im Entwurf getroffenen Regelungen.
Verarbeitung, Schutz und Beauftragte
Nach derzeit geltender Rechtslage muss sämtliche Datenverarbeitung – auch die international tätiger Konzerne – allen beteiligten nationalen Gesetzen entsprechen. Das bedeutet mitunter erheblichen Aufwand für die Unternehmen, weil sie die Anforderungen der jeweiligen staatlichen Kontrollorgane berücksichtigen müssen. Um hier Geld zu sparen, kann ein One-Stop-Shop-System den Aufwand aufs Minimum verringern.
Der Verordnungsentwurf will das so umsetzen, dass für sämtliche Datenverarbeitungen auch international operierender Konzerne nur die Aufsichtsbehörde des EU-Mitgliedsstaats zuständig ist, in der der Konzern seinen Sitz hat, also seine Hauptniederlassung betreibt. Bei EU-weit gleicher Rechtslage und unter der Voraussetzung gleicher Effizienz der Überwachungsbehörden liegt hier hohes Einsparpotenzial, ohne Benachteiligung der Datenschutzinteressen der Bürger.
Das gilt zumindest theoretisch und nur dann, wenn und soweit sich deren Rechtspositionen nicht durch andere Regelungen der Verordnung verschlechtern würden. Beispielsweise muss nach derzeitiger Rechtslage in Deutschland jede atenverarbeitende Stelle einen Datenschutzbeauftragten beschäftigen, der für die Einhaltung der gesetzlichen Anforderungen sorgt.

Abbildung 3: Aktenstapel im öffentlichen Bereich (hier im Europaparlament)sollten mit der neuen Datenschutzverordnung Seltenheitswert haben.
Dieser Datenschutzbeauftragte ist für alle öffentlichen Stellen (Behörden) und für diejenigen nicht-öffentlichen Stellen (Firmen), in denen mehr als neun Personen Zugriff auf die personenbezogenen Daten haben, Pflicht. Die persönliche Verantwortung und die Höhe der im Bundesdatenschutzgesetz [2] vorgesehenen Bußgelder sollen gewährleisten, dass die Regelungen eingehalten werden.
Laxer als deutsches Recht
Wer die bestehenden gesetzlichen Regelungen als (gerade) ausreichend erachtet – oder wer gar der Meinung ist, die Realität zeigt, dass auch diese noch nicht genügen –, wird sich wundern, wie lax der Verordnungsentwurf des Rates der Europäischen Union gegenüber deutschem Recht aussieht: Da sollen dann lediglich Unternehmen einen Datenschutzbeauftragten bestallen, wenn sie mehr als 250 Mitarbeiter beschäftigen.
Übrigens: In anderen EU-Mitgliedsstaaten müssen datenverarbeitende Stellen dies bisweilen stets und ausnahmslos an staatliche Kontrollbehörden melden, die die Einhaltung der Vorschriften jederzeit kontrollieren kann und darf. Dort würde sich der Unterschied zur geplanten Regelung noch stärker abzeichnen. Schon einer einfachen Rechnung nach würde sich der Datenschutz in Deutschland künftig also um ein paar tausend Prozent verschlechtern. Auch, wenn das nach einer Milchmädchenrechnung aussieht: Verbessert wird der Datenschutz mit der neuen Verordnung sicher nicht.
Kontrolle durch Parteiische
Die bewährten Grundsätze der Gewaltenteilung sorgen – zumindest in Deutschland – dafür, dass die eine Institution Gesetze macht, und eine andere diese kontrolliert. Also auf der einen Seite das Parlament, auf der anderen die unabhängigen Gerichte. Dieses simple und doch geniale Prinzip findet sich auch bei “einer teilt, der andere sucht aus”, oder in der Verwaltung und Kontrolle der Datenschutzbestimmungen: Der Gesetzgeber macht die Regeln, die Aufsichtsbehörden kontrollieren deren Einhaltung.

Abbildung 4: Als völlig autarke Stadt in der Stadt mit Bahnstation, Geschäfte, Frisörsalons und Banken präsentiert sich das EP dem Besucher.
Nach dem Entwurf jedoch soll die Kommission selbst als übergeordnete, supranationale Aufsichts- und Kontrollbehörde statuiert werden. Sie hat letzte Wort bei Streitigkeiten wie einem Kohärenzverfahren, wo es um einheitliche Rechtsanwendung geht, aber auch bezüglich Delegation und detaillierten Anwendungsvorschriften, Entscheidungskompetenzen, die bislang letztlich den unabhängigen Gerichten vorbehalten sind. Die Gesellschaft tut im Strafrecht gut daran, Richter und Henker nicht in einem Amt zu vereinen, die EU-Kommission hat gerade das im Bereich des Datenschutzrechts vor. Und sie beansprucht dieses Amt für sich selbst.
Die zuständige EU-Kommissarin tingelt sozusagen mit Aussagen über das “Recht auf Vergessenwerden” aus Artikel 17 des Entwurfs durch die Bühnen der Presse. Nach dem Verordnungsentwurf soll ein Bürger das Recht erhalten, das sein Verlangen nach Löschung seiner personenbezogenen Daten, insbesondere im Internet, erleichtert. Dieses Recht auf Vergessen ist es, mit dem Beteiligte vor allem für den Verordnungsentwurf werben.
Was dabei nicht zur Sprache kommt, ist, dass bereits das derzeit geltende Recht den gleichen Löschungsanspruch vorsieht. Die Verordnung wird nichts daran ändern, dass sich dieser Löschungsanspruch innerhalb der EU heute schon (wenn auch mit einigem Aufwand) durchsetzen ließe. Außerhalb der EU gilt das jedoch nicht: US-Unternehmen wie Facebook dazu zu bringen, Daten zu löschen, erweist sich in der Regel als aussichtslos. Ein Beispiel: Kurz vor Redaktionschluss entschied das schleswig-holsteinische Verwaltungsgericht, Facebook brauche sich mit seiner irischen Niederlassung nicht an deutsches Datenschutzrecht halten [3].
Problemfall Ausland
Die bisher geltende Datenschutzrichtlinie besaß einen schwerwiegenden Nachteil: In einer ganzen Reihe von Staaten ist der Datenschutz nicht vergleichbar streng geregelt, dazu gehören Irland und die USA. Dort, wo Datenschutz praktisch nicht existent ist, residieren aber jede Menge Unternehmen, mit denen die deutsche Wirtschaft Geschäfte macht und die daher auch bestimmte personenbezogene Daten benötigen, von Unternehmen, aber auch von Behörden, die ja mittlerweile allesamt fast unbegrenzt Informationen sammeln.
Weil nach den ursprünglichen Bestimmungen der Datenschutzrichtline kein Datenverkehr mit in den USA ansässigen Firmen zulässig war – der weitergehende Schutz war einfach nicht gewährleistet – musste eine schnelle Lösung her. Dazu hat die EU das Safe-Harbor-Abkommen anerkannt. Es legitimiert Unternehmen dazu, Daten mit ausländischen Partnern auszutauschen, wenn diese nur eine Erklärung unterzeichnet haben, dass sie einen bestimmten Grad des Datenschutzes einhalten. Ob und inwieweit die Einhaltung dieser Regeln tatsächlich kontrolliert wird, bleibt Vertrauenssache.
Weil in den letzten Jahren in den USA durch Gesetze wie dem USA Patriot Act [4] der Datenhunger bestimmter US-Behörden unstillbar und unkontrollierbar gewachsen ist, weiß inzwischen keiner mehr, was mit den Daten in den USA tatsächlich passiert. Der Patriot Act beinhaltet schließlich auch nach deutschem Verständnis untragbare Details wie die Verschwiegenheitspflicht: Ein überwachtes Unternehmen darf seine Kunden nicht über die Anfragen von Behörden informieren. Weil auch der Verordnungsvorschlag das Problem des Datenaustauschs mit dem Ausland weder thematisiert noch löst, bleibt natürlich auch das beworbene “Recht auf Vergessen” vollkommen inhaltsleer: Sind die Daten erst einmal außerhalb der EU, war’s das wohl. Das Safe-Harbor-Konzept gilt unter Experten als gescheitert.
Zu den neuen Regelungen soll nach Artikel 18 des Entwurfs auch eine Bestimmung gehören, die Unternehmen dazu verpflichtet, Datensätze eines Kunden auf dessen Wunsch auszuhändigen beziehungsweise an Dritte zu übertragen. Weil das technisch aufwändig und auch im digitalen Zeitalter recht kostenintensiv sein kann, die Verordnung aber weder zu den technischen Hintergründen und Voraussetzungen, noch zur Kostentragungspflicht eine Aussage macht, könnte diese Bestimmung in der Praxis für Überaschung sorgen. Es hat den Anschein, als solle die datenverarbeitende Stelle die Kosten tragen, doch auch für diese Detailregelungen behält sich die Kommission die alleinige Zuständigkeit vor.
Übertrieben?
Nach Ansicht der Mitglieder des Rats der Europäischen Union machen die Mitgliedsstaaten allzu viel Gedöns um den Datenschutz. Der möge die Wirtschaft nicht übermäßig behindern und gehöre eigentlich eingedampft. Außerdem meinen die Ratsmitglieder, dass die weitere Kontrolle doch bei ihnen verbleiben solle und die Mitglieder gefälligst machen sollen, was man ihnen sagt. Was deren Parlamente und Gerichte – und damit der eigentliche Souverän, also Wähler und Bürger – sagen, sei nicht wesentlich.
Erstaunlich, dass dabei nur Interessen von Unternehmen einer Größenordnung berücksichtigt scheinen, die man in Europa kaum findet. Und wenn diese dann doch einmal eine EU-Niederlassung betreiben, dann mit so wenig Mitarbeitern, dass sie durchs viel zu lose geknüpfte Netz fallen.
Wenn die EU-Männer und -Frauen einen gerechten Ausgleich zwischen den Interessen der Bürger und der Wirtschaft bewirken wollen, dann sollte es wohl schon um die EU-Wirtschaft gehen, und nicht um fremde. Praktisch wäre ein Verfahren, mit dem man aus Politikern heraus bekommt, was sie wirklich vorhaben.
Wählen gehen!
Schwierig? Ein Tipp: Die Wahlbeteiligung bei den Wahlen zum EU-Parlament – und dabei handelt es sich um die einzigen direkt wählbaren Personen – hat in der Vergangenheit ständig nachgelassen. 1979, bei den ersten Europawahlen, waren es noch fast zwei Drittel Beteiligung, was sich zuletzt beim Tiefstand von um die 43 Prozent eingependelt hat. Wenn das Wahlvolk kein Interesse zeigt und sich nicht darum kümmert, wer EU-weit entscheidet, darf sich nicht wundern, wenn Lobbyismus und schlimmere Einflussnahme genau dort ansetzen. Nächstes Jahr sind wieder Wahlen zum Europaparlament. Vielleicht plaudern die Wähler mal mit ihren Abgeordneten über den Datenschutz. Das Linux-Magazin hat genau das getan, siehe Kasten “Interview mit Jan Philipp Albrecht”.
Interview mit Jan Philipp Albrecht (Die Grünen)
Am Rande der FOSDEM (siehe Artikel auf Seite 24) hat das Linux-Magazin in Brüssel Jan Philipp Albrecht [5], Mitglied des Europäischen Parlaments und Berichterstatter für die zu erstellende Datenschutzverordnung, mit den Vorwürfen zu der neuen Datenschutzverordnung konfrontiert.
Linux-Magazin: Herr Albrecht, wie schlimm ist es wirklich bestellt um den Datenschutz in der Europäischen Union?
Jan Philipp Albrecht: Die Vorwürfe aus dem Artikel stimmen so nicht in allen Punkten. Die Europäische Kommission (nicht etwa der Ministerrat) hat einen Vorschlag für eine EU-Datenschutzgrundverordnung vorgelegt. Sie hat dies auf jahrelanges Drängen des Europäischen Parlaments sowie der Datenschutzbeauftragen aller EU-Staaten sowie nach einem umfangreichen Konsultationsprozess im Januar 2012 getan. Seither hat es über ein Jahr inhaltliche Arbeit im Europäischem Parlament und Ministerrat gegeben, die hier leider komplett außen vor scheint.
So habe ich als zuständiger Berichterstatter im Parlament einen Vorschlag vorgelegt, der die angebrachten (durchaus zutreffenden) Kritikpunkte am Kommissionsvorschlag allesamt aufgreift. In meinem Vorschlag, dem so genannten “Berichtsentwurf”, wird die Europäische Kommission aus ihrer Stellung als letzte Instanz herausgenommen und den Datenschutzbeauftragten der EU-Staaten auferlegt, in einem gemeinsamen Verfahren die konsistente Anwendung des Datenschutzes in der EU zu garantieren.
Zudem stelle ich klar, dass das sogenannte “Recht auf Vergessenwerden” lediglich eine Klarstellung des “Rechts auf Löschens” ist: Nämlich der Anspruch, dass ein Löschungsersuchen an bekannte Dritte weiterkommuniziert wird und bei rechtswidriger Weitergabe oder Veröffentlichung ein Folgenbeseitungsanspruch besteht. Auch die Klarstellung des Rechts auf Datenportabilität ist in meinen Vorschlägen erfolgt. Hier wird eindeutig vorgeschrieben, dass es eines offenen Formats bedarf, das für jeden nutzbar ist.
Linux-Magazin: Und was ist mit den Datenschutzbeauftragten? Da würde sich aber die Situation schon deutlich verschlechtern, oder etwa nicht?
Jan Philipp Albrecht: Auch die Kritik an der Hürde für die Einführung eines betrieblichen Datenschutzbeauftragten teile ich. So habe ich dem Parlament vorgeschlagen, die Hürde von der Zahl der Arbeitnehmer in die Anzahl der von der Datenverarbeitung betroffenen Personen zu ändern. Damit wäre nicht nur den Herausforderungen der digitalen Welt Rechnung getragen, sondern auch deutlich mehr Unternehmen von der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten betroffen.
“Das deutsche Datenschutzrecht ist nicht überall das schärfste!”
Nun ist es allerdings immer so, dass beim Findungsprozess europäischer Regeln nicht alles eins zu eins aus einem Land übernommen werden kann. Es wird mit Sicherheit auch hier Kompromisse geben. Das deutsche Datenschutzrecht ist allerdings entgegen der landläufigen Meinung mitnichten überall das schärfste. Derzeit orientieren sich die Vorschläge der Kommission und meinerseits aber stark an einem hohen Standard. Von einer Absenkung kann daher derzeit nicht die Rede sein. Vielmehr wäre es eine massive Stärkung der Datenschutzrechte, wenn auch in den anderen EU-Staaten ein verbindlicher hoher Standard für die Verarbeitung personenbezogener Daten gilt, der dann im Übrigen auch gegenüber Nicht-EU-Unternehmen durchgesetzt würde.
Die EU-Verordnung würde also sehr wohl eine massive und positive Änderung in Bezug auf Drittstaaten bedeuten. Sie reguliert, wie etwa auch das Kartellrecht, den gesamten Europäischen Markt und alle dort handelnden Unternehmen und Behörden. Ganz unabhängig vom Sitz eines Unternehmens können Staaten hohe Sanktionen bei Missachtung verhängen.
Linux-Magazin: Das gefiele sicher vielen Unternehmen und Lobbygruppen ganz und gar nicht, oder?
Jan Philipp Albrecht: Eines ist klar: Die EU-Datenschutzgrundverordnung wäre ein großer Schritt für die Verbraucher und Bürger, wenn sie so kommt, wie es mein Entwurf vorschlägt. Auch in Deutschland. Leider gibt es derzeit einen massiven Lobby-Versuch, diese Vorschläge nun im Europäischen Parlament und im Ministerrat abzuschwächen. Es wäre daher dringend geboten, wenn sich all diejenigen, denen der Datenschutz ein Anliegen ist, sich für eine starke EU-Verordnung zum Datenschutz einsetzten.
Mailen Sie uns Ihre Fragen!
Im monatlichen Wechsel mit aktuellen Fachbeiträgen lässt das Linux-Magazin in der Serie “Rechts-Rat” Leserfragen durch einen Rechtsanwalt kompetent beantworten. Was immer Sie beschäftigt oder ärgert, oder was Sie einfach nur wissen möchten: Schreiben Sie eine entsprechende E-Mail an die Adresse mailto:rechtsrat@linux-magazin.de.
Die Themen dürfen von Softwarelizenzen bis zum Hardwarekauf reichen. Die Redaktion behält es sich vor, abgedruckte Zuschriften zu kürzen und eventuell enthaltene persönliche Daten zu ändern.
Infos
- Entwurf der Datenschutz-Grundverordnung: http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_de.pdf
- Bundesdatenschutzgesetz (BDSG):http://www.gesetze-im-internet.de/bdsg_1990/
- AZ 8 B 60/12 und 61/12: https://www.datenschutzzentrum.de/facebook/Facebook-Ireland-vs-ULD-Beschluss.pdf]und https://www.datenschutzzentrum.de/facebook/Facebook-Inc-vs-ULD-Beschluss.pdf
- Patriot Act: http://en.wikipedia.org/wiki/Patriot_Act
- J. P. Albrecht: http://www.janalbrecht.eu








