EU-Datenschutzverordnung: Gegen den unkontrollierten Datenstrom

In der Debatte um die Zukunft des Datenschutzes ist ein aktueller Entwurf der EU-Datenschutzverordnung im Internet aufgetaucht. Dieser Entwurf, den die zuständige EU-Kommissarin Viviane Reding eigentlich erst am 25. Januar 2012 unmittelbar vor dem Weltwirtschaftsforum in Davos der Öffentlichkeit präsentieren wollte, könnte die nationalen Akteure in den Datenschutzdebatten (in Deutschland etwa Innenminister, Verbraucherschutzministerin, Justizministerin) ihrer Zuständigkeiten berauben. Denn die EU will Klarheit schaffen – und teilt dabei auch kräftig in Richtung der USA aus.

Bislang ist der Datenschutz in Europa durch die sogenannte Datenschutz-Rahmenrichtlinie ("Data Protection Framework Directive", EC/95/46) und weitere, spezielle Regelungen wie die "E-Privacy-Directive" – oft "Cookie-Richtlinie" genannt und in Deutschland nicht umgesetzt – geregelt. Die Richtlinie, die die grundsätzlichen Prinzipien vorschreibt, enthält teils recht genaue Ausführungen, die in jeweiliges nationales Recht umgesetzt wurden – in Deutschland hauptsächlich im Bundesdatenschutzgesetz (BDSG), den Datenschutzgesetzen der Länder, im Telekommunikationsgesetz (TKG) für alle Belange von Datenübertragung (Internet-Provider und Telekommunikationsunternehmen) und im Telemediengesetz (TMG) für die Erhebung, Verarbeitung und Weitergabe in Diensten, die über das Internet und vergleichbare Dienste angeboten werden. Enthalten sind die Definition von Daten mit direktem Personenbezug und von personenbeziehbaren Daten, Regelungen zur Zulässigkeit ihrer Erhebung, Verarbeitung und Weitergabe innerhalb Europas sowie die Anforderungen für die Zulässigkeit einer Verarbeitung außerhalb des direkten Geltungsbereichs der Richtlinie.

Wie das Bundesdatenschutzgesetz dies schon früh tat, unterscheidet die Richtlinie in Datenverarbeitung durch öffentliche und nichtöffentliche Stellen. Personenbezogene Daten zu erheben, zu verarbeiten oder weiterzugeben ist prinzipiell nicht zulässig, es sei denn, eines von zwei Hauptkriterien ist erfüllt: zum einen im Fall einer gesetzlichen Grundlage, zum anderen im Fall einer Einwilligung durch den Betroffenen. Die Richtlinie regelt die Aufsicht über den Datenschutz (unabhängig agierende staatliche Aufsichtsstellen, die Datenschutzaufsichtsbehörden sowie zusätzlich gegebenenfalls betriebliche/externe Datenschutzbeauftragte bei datenverarbeitenden Stellen) und Pflichten von datenverarbeitenden Stellen. Zudem gibt es Kategorien besonders geschützter Daten wie Religionszugehörigkeit, sexuelle Vorlieben oder Ethnie.

All diese Regelungen fanden mehr oder minder genau Niederschlag im nationalen Recht der Mitgliedsländer. Diverse von ihnen wurden mehrfach erfolgreich vor dem Europäischen Gerichtshof verklagt, der über die Einhaltung des europäischen Rechts wacht. Darunter befinden sich auch Bundesländer, die sich nicht an das Unabhängigkeitsgebot für die Datenschutzaufsichtsbehörden gehalten hatten. Die Richtlinie findet Anwendung auf Daten aller Menschen in der Europäischen Union und ist in ihrer Wirkung nicht auf das EU-Territorium beschränkt: Eine Verarbeitung von Daten ist auch außerhalb der EU nur dann zulässig, wenn ein vergleichbares Schutzniveau garantiert werden kann. Dies hat historisch einen Export der europäischen Datenschutzstandards auch in viele Länder anderer Erdteile verursacht, sofern dort europäische Daten verarbeitet werden sollten. Eine Spezialsituation stellt die Datenerhebung, -verarbeitung und -weitergabe in den Vereinigten Staaten dar: in einem EU-US Abkommen ("Safe Harbor Agreement on Privacy Principles") wurden Bedingungen festgelegt, unter denen datenverarbeitende Stellen in den USA legal EU-Personendaten verarbeiten dürfen.

Mit dem vorliegenden Entwurf einer "Allgemeinen Datenschutzverordnung" hat die Kommissionsgeneraldirektion Justiz unter Viviane Reding einige Änderungen gegenüber dem bisher geltenden Rechtsrahmen vorgeschlagen. Die derzeit noch in Kraft befindliche Datenschutzrahmenrichtlinie galt bereits bei ihrer Entstehung als teilweise veraltet, da sie die Veränderungen der Digitalisierung nicht berücksichtigte. Und auch innerhalb der EU sorgte die grundsätzlich als Vereinheitlichung gedachte Datenschutzrahmenrichtlinie keineswegs für Harmonie, sondern eher für eine Kakophonie der Gesetzeslage in den Mitgliedstaaten.

So kritisieren dann auch die Erwägungsgründe der neuen Verordnung in deutlicher Sprache das paneuropäische Wirrwarr beim Grundrechtsschutz und insbesondere beim Datenschutz: "Dieser Unterschied kann daher ein Hindernis beim Zweck wirtschaftlicher Aktivität innerhalb des Unionsgebiets gesehen werden, Wettbewerb verzerren und Behörden in der Ausübung ihrer unionsrechtlichen Verpflichtungen behindern. Der Unterschied im Schutzniveau liegt an der Existenz von Unterschieden in der Umsetzung und Anwendung der Richtlinie 95/46/EG."

Was sind Europäische Daten?

Gestützt auf Artikel 16 Abs. 2 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV, engl. TFEU) wird mit der neuen Direktive ein einheitliches Niveau des Datenschutzes in der Europäischen Union angestrebt. Noch deutlicher als bisher schon stellt der Entwurf fest, dass dieses Prinzip Anwendung findet: "Jede Verarbeitung persönlicher Daten im Tätigkeitskontext des Betriebs eines Halters oder Verarbeiters in der Union muss in Übereinstimmung mit dieser Verordnung durchgeführt werden, unabhängig davon, ob die Verarbeitung selbst innerhalb der Union stattfindet oder nicht." (Erwägungsgrund 13)

Der Verordnungsentwurf definiert verschiedene Kriterien, wann davon auszugehen ist, dass Europäisches Datenschutzrecht Anwendung findet. Nicht ausreichend ist demnach die reine Möglichkeit des Zugriffs auf eine Website durch einen in der Union befindlichen Betroffenen. Gelten sollen stattdessen folgende Kriterien: wenn – unter Berücksichtigung der internationalen Natur – aufgrund der insgesamten Aktivität anzunehmen ist, dass der Datenverarbeiter die Verarbeitung von Daten europäischen Betroffener in Betracht ziehen würde, die Sprache oder eine Währung abweichend vom Herkunftsland des Verarbeiters oder die Nutzung einer Top-Level-Domain (wie .eu, .de …) die nicht auf das Herkunftsland des Verarbeiters schließen lässt (Erwägungsgrund 15).

Tatsächlich liegen einige der größten Veränderungen im Bereich der außereuropäischen Verarbeitung von Daten. Die Artikel 37 bis 42 regeln erstaunlich detailliert die Umstände, unter denen eine Verarbeitung möglich sein soll. Neben die Adäquanzprüfung , bei der die Kommission entscheidet, ob ein anderes Land vergleichbare Standards wie die EU bietet, soll das Instrument der Standardvertragsklauseln mit ihren entsprechenden Verpflichtungen Sicherheit auch bei einer Verarbeitung außerhalb der EU bieten. Besonderen Wert legt die Justizgeneraldirektion dabei auch auf die sogenannten "Binding Corporate Rules" (BCR, Verbindliche Unternehmensregeln) und auf sogenannte Standardvertragsklauseln. Die verbindlichen Unternehmensregeln waren bereits in der Vergangenheit Teil des Datenschutzkonzepts, waren jedoch mit hohen Prüfhürden verbunden. Nur wenige Unternehmen unterwarfen sich dieser teuren und komplizierten Prozedur – zum Beispiel das weltweit tätige US-Unternehmen General Electric. Diese Regelungen sollen gegenüber dem bisherigen Verfahren etwas vereinfacht werden.

Die EU-Antwort auf den Patriot Act

Hoch sind die Hürden, die die Kommission in Artikel 42 für Datenzugriff durch Justiz und Strafverfolgungsbehörden in Drittstaaten aufstellt, die auf europäische Daten zugreifen möchten. Ohne Wissen und Zustimmung der zuständigen Datenschutzbehörde wäre ein solcher Zugriff dem Verordnungsentwurf nach unzulässig.

Diese Bestimmung dürfte insbesondere im Streit mit den USA, der sich um die Nutzung von Daten europäischer Bürger zu Terrorismusabwehr und anderen Zwecken nach US-Recht dreht, neues Öl ins Feuer gießen. Justizkommissarin Reding hatte sich in der Vergangenheit bereits mehrfach kritisch gegenüber dem Datenhunger von US-Behörden positioniert. Der Fall personenbezogener Daten von EU-Bürgern, die im Zuge der Ermittlungen gegen Wikileaks von Plattformen wie Twitter und Facebook an die dortigen Behörden herausgegeben werden mussten, dürfte einer der Anlässe für die weitgehende Beschränkung dieser Möglichkeit gewesen sein. Auf die Reaktionen, insbesondere die der USA, darf man gespannt sein.

Technologieneutralität

In der deutschen Debatte war lange Zeit Thema, ob die Technologieneutralität des Datenschutzrechts überhaupt sinnvoll ist, da sich doch die Entwicklung im Internet so rasant unterscheide vom Rest der Datenverarbeitungswelt. Die Kommission sieht hier keine Unterschiede: Die Verordnung bleibt grundsätzlich technologieneutral gehalten, das heißt, sie unterscheidet nicht in manuelle oder elektronische Datenverarbeitung. (Erwägungsgrund 17).

Deutlich schwächer als im deutschen Standard soll dem Entwurf nach die Notwendigkeit eines internen oder externen Datenschutzbeauftragten bei nichtöffentlichen Stellen werden: Erst ab 250 Mitarbeitern soll dieser Pflicht sein, wenn die Haupttätigkeit nicht mit personenbezogenen Daten direkt in Verbindung steht. Datenschutzbeauftragte sollen für zwei Jahre ernannt werden und einen hohen Kündigungsschutz genießen.

Ausgenommen von der Regelung ist die Verarbeitung zu persönlichen Zwecken, solange sie ausschließlich persönlich bleiben wie zum Beispiel in Korrespondenzen, solange diese nichtkommerziell und nichtberuflich sind. Aber: "Diese Ausnahme soll keine Anwendung auf solche persönlichen oder häuslichen Aktivitäten finden, bei denen eine natürliche Person persönliche Daten anderer natürlicher Personen für eine unbestimmte Zahl von Individuen verfügbar macht, beispielsweise via Internet." (Erwägungsgrund 19) Das bedeutet, dass sobald der Rahmen der Privatheit unklar wird, jedermann als datenverarbeitende Stelle im Sinne der Verordnung gelten könnte. Zudem gilt diese Ausnahme nicht für die Dienstleister, die Datenverarbeitung für persönliche Zwecke anbieten, wie das zum Beispiel bei manchen sozialen Netzwerken der Fall ist.

Auch von der Verordnung ausgenommensind weite Teile der öffentlichen Datenverarbeitung: "Innerhalb eines starken und konsistenten Rechtsrahmens der Unionspolitik ist der Schutz von Individuen bezüglich der Verarbeitung persönlicher Daten durch ermächtigte Behörden zum Zwecke der Vorbeugung, Untersuchung, Aufdeckung und Verfolgung von kriminellen Handlungen oder der Durchsetzung von Strafen – sowie der freie Fluss solcher Daten – Gegenstand eines spezifischen Rechtsinstrumentes auf Unionsebene. Daher soll diese Verordnung keine Anwendung auf die Verarbeitung für diese Zwecke finden." (Erwägungsgrund 20) Der Datenschutz im Bereich von Polizei und Justiz soll in einer Richtlinie separat geregelt werden.

Wo eine Einwilligung ist, ist auch ein Weg?

Als eine problematische Frage beim Datenschutz hat sich die Einwilligung in die Erhebung, Verarbeitung oder Weitergabe vin Daten herausgestellt: Hat der Nutzer wirklich eine Wahl gehabt, verstanden, in was er oder sie einwilligt; wie ist diese Einwilligung überhaupt zustande gekommen?

In den Erwägungsgründen zur Richtlinie finden sich bereits einige Hinweise darauf, dass die Generaldirektion Justiz hier die gängige Einwilligungspraxis kritisch sieht. Der Artikel 7 des Verordnungsentwurfs widmet sich ausschließlich dem Begriff der Einwilligung. Nummer 4 des Absatzes dürfte, sollte dieser unverändert in Kraft treten, Juristen künftig herausfordern. Dort heißt es: "Die Einwilligung darf nicht als rechtliche Grundlage für die Verarbeitung angenommen werden, sofern ein signifikantes Ungleichgewicht in Form einer Abhängigkeit zwischen Betroffenem und Verarbeiter besteht." Dies ist offenkundig auf das Verhältnis zwischen Arbeitgebern und Arbeitnehmern gemünzt, doch auch darüber hinaus vielfältig interpretierbar.

Um überhaupt zu einer anforderungsgemäßen Einwilligung zu gelangen, müssen datenverarbeitende Stellen Aufklärungspflichten gegenüber den Betroffenen nachkommen. Artikel 9 Nummer 2 des Verordnungsentwurfs benennt die Anforderungen als "verständlich, in klarer und einfacher Sprache verfasst", insbesondere im Falle einer Ansprache von Kindern.

Auch sonst findet die spezielle Rolle von Kindern Niederschlag in dem Entwurf: die Verarbeitung personenbezogener Daten von Kindern wird unter Einwilligungsvorbehalt der Eltern oder Erziehungsberechtigten gestellt und die Kindheit insgesamt als besonders geschützter Zeitraum definiert.

Dies schlägt sich insbesondere in Artikel 15 des Entwurfs nieder: dem "Recht auf Vergessenwerden und des Ausradierens". In der Debatte der vergangenen Jahre um den Datenschutz wurden verschiedene und meist unrealisitsche technische Lösungen vorgeschlagen – am Ende ist es im Entwurf als ein relativ schwaches Rechtsinstrument gelandet. Tatsächlich handelt es sich weitgehend um eine Umverpackung wie im Fall der Zweckbindung – das Recht auf Löschung von Daten nach Wegfall des Zweckes war schon bislang gängiges Datenschutzrecht.

Spannend allerdings könnte der explizit aufgeführte Anspruch Betroffener bei Daten aus Kinderzeiten sein – wie dieser in der Praxis aussehen mag, ist unklar. Zudem ist bereits im Verordnungsentwurf festgestellt, dass das "Recht auf Vergessenwerden" mit der Informationsfreiheit kollidieren kann. Allerdings geht der Entwurf darauf in seinem Artikel 80 nicht im Detail ein, sondern überträgt die genaue Ausgestaltung den Mitgliedstaaten.

Für Streit und vorläufige Unklarheit dürfte der vorgeschlagene Artikel 18 sorgen, der für die Nutzung von gebildeten Profilen Hürden aufstellt. Demnach habe jede natürliche Person das Recht, nicht Gegenstand einer Profiling-Maßnahme zu sein, die rechtliche Folgen für sie habe oder die sie signifikant beeinträchtigen würde. Dies gelte, wenn die Profilbildung auf automatisierter Verarbeitung basiere, die bestimmte persönliche Aspekte zum Verhalten dieser Person in Bezug auf "Arbeit, Kreditwürdigkeit, ökonomische Situation, Orte, Gesundheit, persönliche Vorlieben, Zuverlässigkeit oder Verhalten" zum Gegenstand habe.

Datenportabilität

Eines der spannendsten neuen Rechte, die der Entwurf enthält, ist im Artikel 16 festgehalten: das "Recht auf Datenportabilität". Dahinter verbirgt sich das Recht des Betroffenen, vom Datenhalter eine elektronische und strukturierte Kopie seiner Daten anzufordern, die zudem in einem gängigen und weiterverarbeitbaren Format vorliegen muss. Die genauen Kriterien für Formate soll die EU-Kommission in einem weiteren Schritt erarbeiten.

Neu ist die Einführung einer Benachrichtigungspflicht für datenverarbeitende Stellen: Im Fall eines vermuteten unberechtigten Zugriffs auf Daten muss nicht nur ohne Verzögerung und binnen 24 Stunden die zuständige Datenschutzaufsichtsbehörde informiert werden. Handelt es sich dabei um Daten, bei denen ein unberechtigter Zugriff für die Betroffenen Folgen haben könnte, sollen Unternehmen binnen 24 Stunden auch diese Betroffenen benachrichtigen müssen. Wie genau diese Benachrichtigungen aussehen sollen, will die Kommission nach Erlass der Verordnung erarbeiten.

Weiter geklärt werden soll auch die Rolle der Datenschutzaufsichtsbehörden. Zum einen soll die Rolle des Europäischen Rats der Datenschutzaufsichtsbehörden gestärkt werden, zum anderen ihre jeweilige Unabhängigkeit und Ausstattung. Die mangelnde Ausstattung der Behörden war von diesen in der Vergangenheit oft beklagt und als großes Hindernis für einen wirksamen Datenschutz benannt worden. Zudem sind die Rechte und Pflichten der Datenschutzaufsichtsbehörden noch einmal genauer gefasst worden, die von einem kompletten Untersagen einer Datenverarbeitungstätigkeit und der Übertragung in einen Drittstaat bis hin zur Information von Parlamenten, Regierung, öffentlichen Institutionen und der Öffentlichkeit über den Gegenstand.

Bereits vor wenigen Tagen wurde bekannt, dass die Kommission im Zuge der Verordnung den Bereich von Strafen und Bußgeldern bei Verstößen gegen das Datenschutzrecht neu regeln will. Die Beträge richten sich nach der Schwere des Verstoßes und sind nach oben hin offen: von 100 bis 300.000 Euro, aber bis zu 1 Prozent des weltweiten Umsatzes bei kleineren Verstößen. Verletzt eine datenverarbeitende Stelle wesentliche Pflichten wie das neue Recht auf Datenportabilität, sollen die Datenschutzaufsichtsbehörden dies mit Strafen zwischen 500 bis 600.000 Euro oder bis zu 3 Prozent des weltweiten Umsatzes bei Unternehmen ahnden können. Zwischen 100.000 und 1.000.000 Euro oder bis zu 5 Prozent des Jahresumsatzes einer Firma sollen die Strafen liegen, wenn zum gegen das Profilnutzungsverbot oder gegen die Bedingungen zur Verarbeitung besonders sensibler Daten verstoßen wird, wenn den Benachrichtigungspflichten bei Zugriff durch Dritte nicht nachgekommen wurde, Datenschutzsiegel missbräuchlich genutzt, unzulässigerweise Daten außerhalb der EU übertragen oder gegen ein durch die Datenschutzbehörden ausgesprochenes Verarbeitungs- oder Übertragungsverbot verstoßen wurde. Die in Artikel 79 niedergeschriebenen Strafen sollen angemessen sein, aber auf jeden Fall den finanziellen Vorteil des Verstoßes übersteigen – so die Vorgabe.

Der große Wurf für einen modernen Datenschutz?

Ist dies nun der große Wurf um das Datenschutzrecht fit für die Zukunft zu machen? Tatsächlich scheint es so, als ob die Justizkommissarin ein erstaunlich durchdachtes Werk vorgelegt hat, das viele Facetten der Internationalisierung und Veralltaglichung von Datenverarbeitung durchdacht hat. Doch die Frage, ob das zweifelsohne an manchen Stellen innovative Gesetzeswerk sich in der Praxis als tauglich erweisen kann, kann es selbst nicht beantworten. Genau so wenig wie die Frage, wie am Ende des legislativen Verfahrens von diesem Vorschlag übrig bleiben wird. Denn viele der vorgeschlagenen Regelungen werden unter Beschuss aus verschiedenen Richtungen kommen.

Wie die getrennt von der Verordnung entstehende Datenschutzrichtlinie für den Bereich polizeilicher und justizieller Arbeit aussehen soll, ist zudem derzeit noch unklar. Während auch viele Innenpolitiker Datenhaltung, -verarbeitung und -weitergabe durch nichtöffentliche Stellen höchst kritisch sehen, kehrt sich diese Einstellung bei der Rolle des Staates schnell um. International wird dieser Entwurf auf jeden Fall für einen Aufschrei sorgen – sowohl bei Unternehmen als auch bei Sicherheitspolitikern jenseits des großen Teiches. Zugleich stellt sich die Frage, ob Viviane Reding mit dieser Verordnung nicht tatsächlich eine notwendige Voraussetzung geschaffen hat, um den Druck auf den US-Kongress zu erhöhen, Datenschutz von einem einzelstaatlichen US-Bürger-Recht zu einem Recht der Betroffenen zu machen. Ihr Plan, mit der Verordnung erst kurz vor dem Weltwirtschaftsforum in Davos an die Öffentlichkeit zu gehen und damit die Wirtschaftsvertreter zu beeindrucken, ist durch die Vorveröffentlichung des Dokuments jedoch durchkreuzt. (jk)