Bei der EU-Datenschutzreform geht es in den Endspurt. Dabei sind wichtige Grundsatzfragen offen. Datenschützer kritisieren verwässerte Prinzipien und viele Öffnungsklauseln. Es sieht auch nicht so aus, als seien die Behörden ihren künftigen Aufgaben gewachsen.

Stuttgart - Die europäische Datenschutzreform entscheidet künftig darüber, wie selbstbestimmt Bürger und Verbraucher in einer zunehmend digitalisierten Welt leben können. Sie entscheidet damit letztlich, was Menschenwürde in der digitalen Welt bedeutet. Noch in diesem Jahr wird die europäische Datenschutzreform in trockene Tücher gebracht. Am Mittwoch starteten die abschließenden Verhandlungen zwischen Rat, Parlament und Kommission. Erstmals soll damit ein Gesetz verabschiedet werden und nicht wie bisher eine Richtlinie, die von den Mitgliedstaaten interpretiert werden darf. Dabei wird um jedes Wort in dem 200-Seiten-Werk gerungen.

 

Offiziell wird gutes Wetter gemacht. So freut sich Bundesinnenminister Thomas de Maizière (CDU) darüber, dass Europa bald eine „einheitliche Regelung“ haben werde. Und der Chefverhandler des Parlaments, der Grüne Jan Philipp Albrecht, betont, dass man in den Positionen doch gar nicht so weit auseinanderliege. Aber die Realität sieht anders aus. Spiros Simitis, der als Vater das deutschen Datenschutzrechts gilt und heute noch europaweit Datenschutzaufsichtsbehörden berät, sagt: „In den Vorschlag, der jetzt verhandelt wird, kamen in letzter Minute noch einmal Hunderte von Änderungen. Wenn man das sieht, wird einem ganz anders.“ Bauchschmerzen macht Simitis zum einen, dass viele Regelungen so verkompliziert wurden, dass sie kaum noch Klarheit verschaffen. Zum anderen sorgen ihn die zahlreichen inhaltlichen Verwässerungen, die von einem ernsthaften Datenschutz nicht mehr viel übrig lassen.

Das Prinzip der Datensparsamkeit kommt nicht mehr vor

Am augenfälligsten ist, dass die jetzige Verhandlungsvorlage des Gesetzes das Prinzip der „Datensparsamkeit“, für das Datenschützer seit Jahrzehnten kämpfen, nicht mehr kennt. Die Industrie hat sich mit ihren Befürchtungen Gehör verschafft, wonach die so begehrten Big-Data-Anwendungen damit nicht mehr möglich wären. Die nächste Großbaustelle ist die Zweckbindung, das große Mantra des Datenschutzes. Sie besagt, dass nur die Daten erhoben und verwendet werden dürfen, die dem Zweck dienen, dem der Betroffene zugestimmt hat. So darf etwa eine Telekommunikationsfirma nicht die für Abrechnungszwecke erhobenen Verbindungsdaten verwenden, um die Nutzer in anderen Fragen auszuspionieren.

Dem aktuellen Stand des Gesetzentwurfes nach dürfen Unternehmen aber, wenn sie „legitime“ Zwecke verfolgen, die das Interesse der Nutzer überwiegen, genau das tun. Die Abwägung, welches Interesse nun überwiegt, bleibt dabei vor allem ihnen überlassen. Auch dahinter stehen wieder Big-Data-Auswertungsprozesse, die erst während der Analyse einen möglichen Zweck erkennen und festlegen. Für Datenschützer ist das ein Unding. Ein weiteres großes Problem ist die Einwilligung: Ursprünglich war sie für jede Art   der personenbezogenen Datenverarbeitung vorgesehen. In der aktuellen Fassung des Entwurfs wird nicht einmal mehr unmissverständlich erklärt, dass sie generell notwendig sei.

Datenschützer als Gestalter statt Verhinderer

Außerdem verlangt die Reform „Privacy by Design“ und „Privacy by Default“, doch die Umsetzung steht derzeit völlig in Frage. Die Vorgabe bedeutet, dass Technik und Prozesse von Beginn an datenschutzfreundlich gestaltet werden müssen. Die Datenschützer sollen also nicht als Verhinderer invasiver Technik agieren, sondern als Gestalter. Notwendig dafür ist es, dass sie schon in den Entwicklungsprozess eingebunden werden.

Ein Paradebeispiel hierfür ist die Deutsche Telekom: Der Datenschutzbeauftragte verfügt über 63 Mitarbeiter, ohne deren Mitwirkung kein Entwicklungsprozess finanziert werden darf. Bei der Entwicklung von Internetroutern sorgte er beispielsweise dafür, dass etwa die IP-Adresse jeden Tag rotiert und somit eine personenbezogene Identifizierung von Internetnutzern deutlich erschwert wird.

Sieht man sich die traditionell magere Ausstattung der Aufsichtsbehörden an – Baden-Württemberg etwa hat 32,5 Vollzeit-Stellen –, wird klar, dass diese einen Entwicklungsprozess in den Unternehmen kaum begleiten, sondern höchstens punktuell kontrollieren können. Wichtig ist es daher, dass es einen Datenschützer im jeweiligen Unternehmen oder in der Behörde gibt, der in den Entwicklungsprozess kontinuierlich eingebunden wird. Genau hier schlägt die aktuelle Fassung der Reform eine Öffnungsklausel zu: Weil nur Deutschland das System der behördlichen und betrieblichen Datenschutzbeauftragten kennt, weigerten sich die anderen Mitgliedstaaten, sich zu dieser Maßnahme zu verpflichten. Wie so die Vorgabe „Privacy by Design“ europaweit in der Praxis ankommen soll, bleibt ungelöst. Von einer einheitlichen Regelung für Europa, von der jetzt viele Politiker schwärmen, kann überdies keine Rede mehr sein, da der Entwurf 30 Öffnungsklauseln beinhaltet. Das sind Klauseln, die es den Mitgliedstaaten erlauben, zu einzelnen Punkten eigene Regelungen zu finden.

Von einer einheitlichen Regelung kann keine Rede sein

Damit das Recht in der Praxis ankommt, braucht es auch Sanktionen. Während das Parlament hier immerhin fünf Prozent des Gesamtumsatzes eines Unternehmens als Maximum erlaubte, drückte der Rat den Anteil auf zwei Prozent. Vielleicht auch im Hinblick darauf, dass erstmals auch Behörden bei Verstößen Bußgelder zahlen müssen. In Deutschland können bisher fahrlässige Verstöße mit Bußgeldern bis zu 50 000 Euro belegt werden, schwere Fälle mit 300 000 Euro. In der Realität verhängt eine Aufsichtsbehörde jährlich nur eine Handvoll Bußgelder, die in Summe meist nur einen vierstelligen Betrag ergeben.

Die Verordnung überlässt die konkrete Ausgestaltung den Aufsichtsbehörden. Der Sprecher der nordrhein-westfälischen Aufsichtsbehörde, Nils Schröder, fürchtet: „Wir werden eine lang anhaltende Phase der Rechtsunsicherheit erleben, da wir mit einer sparsam regelnden Grundverordnung auskommen müssen.“ Damit es zu keinem Flickenteppich an unterschiedlichen Rechtsinterpretationen kommt, müssen sich die Behörden eigentlich koordinieren. Doch Strukturen dafür sind noch nicht einmal im Aufbau.

Nicht zuletzt ist das auch eine Frage der Ausstattung: Die Behörden, die jetzt schon mit Bürgeranfragen überschwemmt werden und kaum Zeit für grundsätzliche Fragen haben, könnten von der Reform rasch überfordert sein. Ein Ausbau der Datenschutzkontrolle ist in Brüssel aber kein Thema, weil dies den Mitgliedstaaten überlassen bleibt. In Irland wurde just das Budget der Aufsichtsbehörde verdoppelt, da sie ja mit den US-Schwergewichten Apple, Facebook und Twitter umgehen muss.