Die Datenschutzgrundverordnung ist der wichtigste Baustein der geplanten EU-Datenschutzreform. Sie soll ein zeitgemäßes Datenschutzrecht schaffen. Wie dürfen persönliche Daten der Bürger genutzt und wie müssen sie geschützt werden? Nun sind die Justiz- und Innenminister einen bedeutenden Schritt voran gekommen und haben sich auf einen weiteren Abschnitt geeinigt.
Seit Jahren wird in der EU über einen einheitlichen Datenschutz verhandelt. Die aktuell geltende Regel, die Datenschutzrichtlinie, stammt aus dem Jahr 1995. Seitdem hat sich das Netz rasant entwickelt. Das Sammeln und Auswerten von (Nutzer-)Daten wird immer wichtiger für die IT-Wirtschaft. Gleichzeitig stellt sich die Frage nach dem Schutz der persönlichen Daten der Bürger. Die Datenschutzrichtlinie kann damit nicht mehr mithalten. Deshalb hat die Kommission Anfang 2012 ihren Entwurf einer Datenschutzgrundverordnung vorgestellt. Diese Verordnung soll direkt in allen 28 EU-Staaten gelten.
Im Moment liegt das Papier beim Rat der Europäischen Union. Hier verhandeln die Innen- und Justizminister der 28 EU-Staaten über einen Kompromiss. Bisher hatte sich die Bundesregierung mit der Verordnung eher schwer getan. Nun zeigt sich Innenminister de Maizière aber überzeugt:
„Für die deutschen Bürgerinnen und Bürger wird sich nicht viel ändern, weil wir ein hohes – vielleicht das höchste – Datenschutzniveau in der europäischen Union haben. Und hier war das Verhandlungsziel, dieses Niveau zu halten. Und das war natürlich nicht so ganz leicht durchzusetzen, weil andere Länder nicht so ohne Weiteres bereit waren, sich auf ein höheres Datenschutzniveau zu einigen. Aber das wird gelingen.“
Von „gelingen werden“ spricht de Maizière nicht ohne Grund. Denn zwar verhandeln die Justiz- und Innenminister schon länger über die Verordnung. Abgestimmt wird aber erst ganz zum Schluss über das gesamte Paket (oder wie es im EU-Jargon heißt: „nothing is agreed until everything is agreed“). Vorher geht es bei jedem Treffen um einzelne Blöcke. Anders ist das komplexe Gesetzespaket kaum zu bewältigen.
Hoher deutscher Standard nicht gefährdet
Die sehr unterschiedlichen Datenschutzniveaus in den einzelnen Mitgliedsländer machen es schwer, sich auf einen Konsens zu einigen. Denn was für die Einen höhere Standards heißt, kann für andere Länder – allen voran Deutschland – eine Absenkung des Datenschutzes bedeuten. Genau das hatten Kritiker befürchtet. Heute ging es in einem ersten Paket um den öffentlichen Bereich, also den Umgang von Behörden mit Daten. Hier sollen – beispielsweise bei Arbeitnehmerdaten – laut Justizminister Heiko Maas die hohen deutschen Anforderungen bestehen bleiben:
„Dort ist es gelungen, eine Öffnungsklausel mit in den Text zu verhandeln, der uns ermöglicht, an bestimmten Stellen das höhere Datenschutzniveau, das wir haben, aufrecht zu erhalten. Und deshalb wird es bei uns zu keinen abgesenkten Standards kommen. Und das ist für uns sehr wichtig gewesen.“
Unumstritten war dieser erste Bereich keineswegs: In manchem nordeuropäischen Land geht beispielsweise Transparenz vor Datenschutz. Die Bundesregierung hat immer betont, dass sie Schwierigkeiten hat, wenn der Umgang mit Daten in privaten Unternehmen der gleiche sein soll, wie beim öffentlichen Dienst, und wollte den öffentliche Bereich phasenweise ganz ausklammern.
Weitere Punkte dieses ersten Teils sind die Einwilligung zur Datenweitergabe und Regeln zur Profilbildung, also zur Sammlung und Zusammenführung verschiedener Daten über eine Person. Auf diesen Block haben sich die Minister heute mit der notwendigen Mehrheit geeinigt.
Ausnahmen für Religionsgemeinschaften bleiben erhalten
Damit nickten die Minister auch deutsche Ausnahmen für Religionsgemeinschaften ab. Im Text heißt es, dass Religionsgemeinschaften eigene Datenschutzgesetze haben dürfen, wenn diese mit der Datenschutzgrundverordnung in Einklang sind/gebracht werden. Das ist für Deutschland wichtig, denn hier garantiert die Verfassung Religionsgemeinschaften die Selbstverwaltung. Das schließt einen Eingriff über die Datenschutzgesetze aus. So gelten für öffentlich-rechtliche Religionsgemeinschaften weiterhin deren eigene Datenschutzbestimmungen.
Streit um die Oberaufsicht
Ein weiterer Streitpunkt ist die Frage nach der Oberaufsicht über den Datenschutz in der EU. Eine europäische Behörde lehnen viele Staaten, unter anderem auch Deutschland, als zu bürokratisch ab. Alternativ könnten die Zuständigkeiten wie bisher verteilt bleiben – aber besser organisiert werden. „One-Stop-Shop“ nennt sich das Konzept. Anstelle wie jetzt zum Beispiel in Irland klagen zu müssen, wenn Bürger gegen Datenschutzverstöße bei Facebook vorgehen wollen, können sie das nach dem neuen Verfahren in ihrem Heimatland tun. Eine zentrale Anlaufstelle in jedem Land soll sich darum kümmern und mit ihrem Pendant beim Hauptsitz des betroffenen Unternehmens zusammenarbeiten. Wer nicht mit der Entscheidung der Datenschützer einverstanden ist, kann auch von seinem Heimatland aus dagegen klagen.
Gleichzeitig soll es auch für Unternehmen einfacher werden: Für alle Datenschutzbelange gibt es einen Ansprechpartner im EU-Land mit dem Hauptsitz der Firma. Das gilt dann auch für Google, Facebook oder Amazon – also Unternehmen aus den USA.
Heute scheiterte allerdings eine Einigung auf das One-Stop-Shop-Verfahren am Widerstand von Dänen, Iren und Briten. Nun soll auf Expertenebene weiter darüber verhandelt werden.
Daten in den USA bisher kaum geschützt
Bisher fallen US-Unternehmen unter das „Safe-Harbor-Abkommen“. Da die USA keinen mit der EU vergleichbaren Datenschutz haben, dürfen Unternehmen personenbezogene Daten aus der EU auch nicht in die USA übermitteln. Treten sie dem Safe-Harbor-Abkommen bei, und akzeptieren damit die Datenschutz-Auflagen der Kommission, dürfen sie die Daten in die USA weiterleiten. Da allerdings US-Behörden nach dem Patriot Act Zugriff haben auf die Daten, die in den USA gespeichert sind, wird der europäische Datenschutz damit ad absurdum geführt.
EU-Abgeordnete pessimistisch
Jan Philipp Albrecht © European Union, 2014
Bisher hat sich das Parlament mit der Datenschutzgrundverordnung befasst und am 12. März dieses Jahres seine Position zum Papier verabschiedet. Christian Feld, Korrespondent der ARD in Brüssel, hat dazu eine Dokumentation gedreht, wo er am Beispiel der Datenschutzgrundverordnung zeigt, wie in der EU ein Gesetz verhandelt wird.
Die Abgeordneten schauen deshalb besonders kritisch darauf, wie sich der Rat auf einen Kompromiss einigt. Birgit Sippel, die innenpolitische Sprecherin der SPD im EU-Parlament, ist mit dem bisherigen Stand unzufrieden:
„Mit ihrer nur halbherzigen Positionsfindung zur Datenschutz-Verordnung täuschen die EU-Innenminister lediglich Handlungsbereitschaft vor. Tatsächlich bleiben die Mitgliedstaaten aber weiter hinter der Forderung des EU-Parlaments zurück, die Datenschutz-Reform als Paket zu verhandeln.“
Und der Grüne Jan-Philipp Albrecht, der die Verordnung im Parlament federführend begleitet hat, ergänzt:
„Jeden Tag, an dem sich das weiter verzögert, feiern Unternehmen wie Facebook und Google, die sich beim Datenschutz verstecken, große Feste, weil sie damit auch viel Geld verdienen.“
Ergebnis Ende 2015?
Wenn sich die EU-Staaten auf einen Kompromiss geeinigt haben, können Kommission, Parlament und Rat über eine endgültige Datenschutzgrundverordnung abstimmen.
„Wir nähern uns mit großen Schritten einer Gesamteinigung. Ich rechne mit dieser Einigung im nächsten Jahr“,
betonte Bundesinnenminister Thomas de Maizière am Morgen. Zunächst aber müssen sich erst einmal die Fachminister der 28 EU-Länder einigen. Bei ihrem nächsten Treffen im Januar soll es laut Justizminister Maas dann um den Datenschutz im Internet gehen.
