EU-Datenschutzreform: Blockade made in Germany

Die Reform des Datenschutzrechts in Europa zieht sich – obwohl sie dringend notwendig wäre. Wie konnte es dazu kommen?

von Jan Philipp Albrecht

Die Reform des Europäischen Datenschutzrechts wurde als wichtigster Schritt zu einem gemeinsamen digitalen Binnenmarkt und einer vertrauenswürdigen digitalen Wirtschaft und Gesellschaft gefeiert. Bundeskanzlerin Angela Merkel nannte die Verabschiedung des Reformpakets im Sommer 2013 als „höchste Priorität“ und ließ sich dennoch auf Druck des britischen Regierungschefs David Cameron davon abbringen, dieses vor der Europawahl 2014 zu verabschieden. Man einigte sich darauf, die Reform stattdessen bis 2015 unter Dach und Fach zu bringen.

Doch im Ministerrat verzögerte die Bundesregierung die Einigungsprozesse so lang, dass eine endgültige Verabschiedung selbst bis 2015 unwahrscheinlich wird. Eine Verzögerung, die allen in Europa – den Verbraucherinnen und Verbrauchern, den Unternehmen und dem deutschen und europäischen Datenschutz – erheblich schaden wird. Eine Verzögerung, die nur einen Gewinner kennt: Die großen Wettbewerber und Datensammler aus dem Silicon Valley, die damit Zeit gewonnen haben, um nach deutschem Recht rechtswidrige Geschäftsmodelle auf dem europäischen Markt fest zu verankern und die seit 1995 in der EU geltenden Datenschutzstandards durch globale Marktfreiheiten zu untergraben.

Der Dank dafür geht an Angela Merkel, die Regierungschefin des größten Mitgliedslandes der EU, die es trotz großer Ankündigungen zugelassen hat, dass es auch über drei Jahre nach Vorlage der Gesetzesvorschläge für ein schlagfertiges EU-Datenschutzrecht keine Verhandlungsposition des Rates gibt. Das geschieht, obwohl das durch die Bürgerinnen und Bürger der EU direkt gewählte Europäische Parlament bereits vor über einem Jahr einen umfangreich ausgehandelten und von allen Fraktionen getragenen Gesetzestext verabschiedet hat.

Wenn es um die Interessen von Unternehmen und Behörden geht, kann die Verabschiedung europäischer Regeln gar nicht schnell genug gehen, wenn es aber um die Rechte von Bürgerinnen und Bürgern geht, wird plötzlich alles ganz kompliziert. Dabei liegen die Lösungen längst auf dem Tisch.

Die Vorgeschichte: Gesetzesvorschlag

Im Jahr 2007 schickten die europäischen Datenschutzbehörden eine deutliche Aufforderung an die EU-Kommission: Sie solle das EU-Datenschutzrecht grundlegend reformieren und stärker vereinheitlichen. Zwölf Jahre nach dem Inkrafttreten der damaligen Datenschutzrichtlinie war offensichtlich, dass der noch recht generelle gemeinsame Rechtsrahmen zu viele unterschiedliche Interpretationen zuließ und dem anstehenden Ansturm neuer Datenverarbeitungsmöglichkeiten nicht standhalten würde.

Es dauerte über zwei Jahre, bis die EU-Kommission auf diese Aufforderung mit einem umfassenden Konsultationsverfahren reagierte. Anlass war das Ende 2009 in Kraft getretene neue Vertragsrecht der Europäischen Union, das den Datenschutz ausdrücklich als Menschenrecht benennt und dem EU-Gesetzgeber eine umfassende Regelungskompetenz zum Datenschutz einräumt. Die damals frisch ernannte EU-Kommissarin für Justiz und Grundrechte, Viviane Reding, legte auf Grundlage der Konsultationsergebnisse eine ausführliche Kommunikation über die Reform des EU-Datenschutzrechts vor.

Das Europäische Parlament reagierte im Sommer 2011 mit einer eindeutigen und von einer breiten Mehrheit getragenen Position: Es bedürfe eines einheitlichen Datenschutzrechts für die Europäische Union, das allen Unternehmen und Behörden im EU-Binnenmarkt einen hohen Datenschutzstandard auferlegt und allen Verbraucherinnen und Verbrauchern durchsetzungsfähige Selbstbestimmungs- und Informationsrechte bei der Verarbeitung ihrer personenbezogenen Daten einräumt. Die Datenschutzbehörden sollten zudem mit einem scharfen Sanktionsmechanismus ausgestattet werden, der das Ausweichen hin zu schwächeren Datenschutzregeln effektiv verhindern kann.

Die Position des Europäischen Parlaments war von diesem Zeitpunkt an maßgeblich für die Ausarbeitung eines Gesetzesvorschlags durch die EU-Kommission. Bereits im Januar 2012 wurde dieser der Öffentlichkeit präsentiert und den beiden gesetzgebenden Kammern der EU, Parlament und Rat, zugeleitet.

Die Parlamentsposition

Von diesem Moment an startete im Europäischen Parlament eine der umfangreichsten Gesetzgebungsarbeiten seiner Geschichte. Innerhalb eines Jahres wurde eine ganze Reihe von großen parlamentarischen Anhörungen der zuständigen Ausschüsse sowie interparlamentarische Runden zwischen Europäischem Parlament und Abgeordneten aus den nationalen Parlamenten durchgeführt.

Als Berichterstatter für den federführenden Innen- und Justizausschuss habe ich in dieser Zeit fast 200 unterschiedliche Interessensgruppen getroffen, die ihre Anmerkungen zu den Vorschlägen der EU-Kommission für ein neues Datenschutzrecht einbringen konnten. Die zuständigen Abgeordneten mussten einen regelrechten Lobby-Ansturm zum Thema Datenschutz bewältigen.

Zu dem im Januar 2013 vorgestellten Berichtsentwurf wurden am Ende sage und schreibe 3.999 einzelne Änderungsanträge zu nahezu jedem Absatz der etwa 100 Artikel umfassenden geplanten EU-Datenschutzverordnung eingereicht. In über 50 stundenlangen Sitzungen der Fraktions-Obleute für die Datenschutzreform wurde aus diesem Berg an Änderungswünschen ein umfassendes und immer wieder diskutiertes Paket aus Kompromissen zwischen allen Fraktionen geschnürt.

Getragen wurde es von dem Willen aller Abgeordneten, den 500 Millionen Bürgerinnen und Bürgern der Europäischen Union zu zeigen, dass die Europäische Union einen sinnvollen Rahmen für das Zusammenleben in einer grenzenlos gewordenen digitalisierten Welt schaffen kann. In der Überzeugung, dass eine Konstellation zu erreichen ist, von der alle profitieren können, wurde bis zum Ende darum gerungen, auch die letzten legitimen Bedenken einfließen zu lassen.

Das Ergebnis, das im Oktober 2013 im federführenden Ausschuss und im April 2014 im Plenum des Europäischen Parlaments beschlossen wurde, zeigt den großen Erfolg dieser Arbeit: Fast alle Abgeordneten stimmten am Ende dem gefundenen Kompromiss und damit dem neuen EU-Datenschutzrecht zu. Und alle mussten bedauern, dass es trotz des großen Einsatzes bis zur Europawahl 2014 nicht gelungen war, ein einziges Kapitel der Reform zum Abschluss zu führen.

2013: Der Überwachungsskandal

Im Juni 2013 wurde öffentlich, dass der ehemalige Geheimdienstmitarbeiter Edward Snowden ganze Berge hoch vertraulicher Dokumente über die äußerst problematischen Überwachungsmaßnahmen des US-Nachrichtendienstes NSA an investigative Journalisten weitergegeben hat. Die Debatte über die Notwendigkeit schärferer Regeln für den Schutz und die Kontrolle personenbezogener Daten bekam dadurch eine neue Dimension.

Schon seit dem Aufkommen sozialer Netzwerke um das Jahr 2007 diskutierten Experten und Öffentlichkeit verstärkt über die richtige Antwort auf die zu erwartende Flut von personenbezogenen Daten. Eine wirkliche Massenaufmerksamkeit bekam das Thema allerdings erst, als die anlasslose Überwachung aller Internetkommunikation durch die Geheimdienste demokratischer Rechtsstaaten wie den USA oder Großbritannien bekannt wurde. Es wurde offensichtlich, dass staatliche Behörden allein mit Metadaten (Verbindungs- und Verkehrsdaten, zum Beispiel wer mit wem per E-Mail kommuniziert) weitgehende Persönlichkeitsprofile erstellen können und diese Möglichkeit auch nutzen. Selbst Konservative und Wirtschaftsliberale riefen plötzlich nach einer Begrenzung der Datenerhebung und -verarbeitung.

Dies hatte Einfluss auf die Verhandlungen zur Datenschutzreform. Obwohl zu diesem Zeitpunkt bereits zahlreiche Kompromisse im Europäischen Parlament ausgehandelt und auch Bestimmungen zum Schutz vor drittstaatlichen Behörden einbezogen waren, sorgte der Geheimdienstskandal für ein Zusammenrücken der politischen Entscheidungsträger. Wenn schon keine schärferen Regeln für die Arbeit der Geheimdienste zu erreichen waren, sollte der Betroffene zumindest eine bessere Kontrolle darüber erhalten, welche Daten überhaupt von ihm erhoben würden.

2014: EuGH-Urteile

Am 8. April 2014 urteilte der Europäische Gerichtshof (EuGH) über die Vereinbarkeit einer anlasslosen Datensammlung mit den Grundrechten auf Datenschutz und Privatsphäre aus der Grundrechtecharta. In seinem lang erwarteten Richterspruch erklärte er recht überraschend die gesamte EU-Richtlinie zur Vorratsdatenspeicherung aus 2006 als von Anfang an nichtig und unvereinbar mit den Grundrechten. In ihrer Begründung monierten die Luxemburger Richter vor allem die komplette Anlasslosigkeit der Speicherung von personenbezogenen Daten (in diesem Fall Telefonverkehrsdaten).

Mit Blick auf die zahlreichen Datensammlungen in der EU bietet das Urteil zahlreiche Anlässe zu Gesetzesänderungen und schränkt die Möglichkeiten für die EU und ihre Mitgliedstaaten ein, im Rahmen des alten wie neuen Datenschutzrechts umfangreiche Datenerhebungen zuzulassen. Zahlreiche Regelungen zur Speicherung von Telekommunikationsdaten sind in den Mitgliedstaaten entgegen der Vorgaben dieses Urteils noch immer in Kraft. Auch müssen die bereits beschlossenen und geplanten Maßnahmen zur Speicherung und Auswertung von Bank- und Passagierdaten auf den Prüfstand gebracht werden, wogegen sich Konservative in Parlament und Rat trotz eindeutiger Rechtslage widersetzen.

Im Mai 2014 folgte gleich ein weiteres aufsehenerregendes Urteil des EuGH, dieses Mal zur Anwendbarkeit der Datenschutzregeln aus 1995 auf Internetsuchmaschinen (wie Google im vorliegenden Fall) und dem Verhältnis des Grundrechts auf Datenschutz zur Gewerbefreiheit sowie zur Informations- und Meinungsfreiheit. Der Gerichtshof urteilte, dass auch Suchdienste an das Datenschutzrecht gebunden sind, so sie für die Suchergebnisse personenbezogene Daten selbst verarbeiten. Ein Anspruch auf Löschung dieser Daten kann unter Umständen das öffentliche Interesse an einer Information überwiegen (sogenanntes Recht auf Vergessenwerden).

Dabei wog der Gerichtshof zwischen Persönlichkeitsrechten und Datenschutz auf der einen und Informations- und Meinungsfreiheit auf der anderen Seite ab. Damit ist bei diesem Urteil die Auswirkung auf den Fortgang der EU-Datenschutzreform gering, da die Rechtslage in dieser Form unter den neuen Bestimmungen weitestgehend bestehen bleiben wird. Die Gerichte werden weiterhin gehalten sein, zwischen dem neuen EU-Datenschutzrecht sowie anderen Bestimmungen zum Grundrechtsschutz abzuwägen.

Nächster Schritt: Die Trilog-Verhandlungen

Die Position des Europäischen Parlaments liegt nun bereits über ein Jahr auf dem Tisch und enthält für die im Verlaufe des Jahres aufgetretenen Debatten eine Reihe von Antworten, deren Umsetzung dringend geboten wäre. Nach zähen Auseinandersetzungen im Ministerrat über grundsätzliche Fragen von Form und Verfahren im neuen EU-Datenschutzrecht widmen sich die Mitgliedstaaten der Kompromissfindung in den konkreten Datenschutzbestimmungen.

Dass dies nicht über Nacht zu erreichen ist, wissen auch die Abgeordneten im Europäischen Parlament. Deshalb erwartet mittlerweile niemand mehr, dass es zum Jahresende 2014 eine ausgehandelte Position des Ministerrats zur EU-Datenschutzreform geben wird. Stattdessen bereiten sich alle darauf vor, dass es im März oder spätestens im Juni 2015 ein solches Verhandlungsmandat für die Ratspräsidentschaft geben wird, die daraufhin die Verhandlungen im sogenannten Trilog eröffnen kann. Dabei sitzen drei Parteien an einem Tisch: Vertreterinnen und Vertretern von Parlament, EU-Kommission und Ratspräsidentschaft. Sie müssen sich auf eine gemeinsame Version der Gesetzestexte einigen.

Das Parlament geht angesichts der Breite der Unterstützung, die für seine Position in erster Lesung auch nach der Europawahl vorhanden ist, mit breiter Brust in diese Verhandlungen. Um eine Einigung noch im Jahr 2015 zu erreichen, müsste der Ministerrat die Forderungen des Parlaments weitgehend in seiner Verhandlungsposition übernehmen. Je mehr unterschiedliche Positionen die Ministerinnen und Minister im Bezug zur Parlamentsposition durchsetzen wollen, desto mühsamer wird der Einigungsprozess. Dazu kommt, dass die EU-Kommission von Beginn an klare rote Linien aufgezeigt hat, die nicht überschritten werden dürfen, ohne dass sie im Rat intervenieren und damit eine einstimmige Einigung erzwingen würde.

Die Zeit für eine Verabschiedung der EU-Datenschutzreform drängt mehr denn je: Während die Europäische Union an ihrem Datenschutzrecht feilt, bereitet die US-Regierung bereits den Versuch vor, im Rahmen der Verhandlungen zum transatlantischen Handels- und Investitionsabkommen TTIP eine Anerkennung ihrer (zum Teil nicht gesetzlich normierten) Regeln zur Datenverarbeitung durchzusetzen. Erste Ankündigungen der US-Verhandlungsführung deuten darauf hin.

Wenn es den EU-Verantwortlichen wirklich um den Schutz der Interessen ihrer Bürgerinnen und Bürger geht, dann sollten sie dafür sorgen, dass es vor der Jahresmitte 2015 zu einer endgültigen Einigung im Ministerrat kommt und die Position nicht wesentlich vom Beschluss des Europäischen Parlaments abweicht. Ansonsten werden sie – und gerade die deutsche Bundesregierung – für den angerichteten Schaden eines praktisch bedeutungslosen Datenschutzrechts verantwortlich gemacht.

Und nicht nur das: Sie werden damit auch das Ziel verfehlen, mit der Schaffung einheitlicher EU-Datenschutzregeln einen wichtigen Schritt hin zu einem digitalen europäischen Binnenmarkt zu gehen. Einen Schritt, der im Grunde erst einmal den Schaden beseitigt, den die fatale Untätigkeit für Wirtschaft und Verbraucher angerichtet hat. Erst dann kann die EU daran arbeiten, im globalen Wettbewerb einen Vorsprung zu erringen. Aber dafür muss zuerst die EU-Datenschutzreform verabschiedet werden – besser heute als morgen.

Jan Philipp ALBRECHT

Foto: Alexis Haulot

Jan Philipp Albrecht (31) ist grüner Europaabgeordneter und Berichterstatter des Europäischen Parlaments für die geplante EU-Datenschutzverordnung.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>