Nach jahrelangen Verhandlungen kommt nun die "Nacht der langen Messer": Die EU-Mitgliedstaaten wollen sich endlich auf ihre Position zum EU-weiten Datenschutz einigen. Noch sind viele Fragen offen.
An diesem Montag ist es so weit: Nach mehrjährigen Verhandlungen wollen sich die 28 EU-Mitgliedstaaten endlich in Luxemburg auf eine gemeinsame Position zur EU-Datenschutzreform verständigen. Auch die Bundesregierung, die jahrelang als Bremser und Blockierer galt, wird sich dann in strittigen Fragen bewegen müssen. "Am Ende wird gehauen und gestochen. Da gibt's die Nacht der langen Messer", prophezeite ein Vertreter des Bundesinnenministeriums bereits vor einem Jahr. Am Dienstag wird sich dann zeigen, mit welchen Forderungen die 28 EU-Länder in die sogenannten Trilog-Verhandlungen mit Europäischem Parlament und EU-Kommission gehen werden.
Noch sind viele Fragen offen. In fünf von elf Kapiteln (I, III, VIII, X und XI) der geplanten Verordnung steht eine Teileinigung im Ministerrat noch aus. Dazu zählen die nicht unwichtigen Kapitel Allgemeine Bestimmungen, Rechte der Betroffenen und Rechtsbehelfe. Zudem gilt es, noch bestehende Vorbehalte zu den übrigen Kapiteln auszuräumen. Auch Deutschland hat sogenannte Protokollerklärungen abgegeben, die möglicherweise noch berücksichtigt oder endgültig von den übrigen Staaten abgelehnt werden. Zudem standen die bisherigen Einigungen unter dem generellen Vorbehalt: Nichts ist beschlossen, wenn nicht alles beschlossen ist.
Termin für Trilog-Verhandlungen schon vereinbart
Dennoch rechnet nicht nur die Bundesregierung damit, dass es am Montag mit einer Einigung klappen wird. "Nach 40-monatigen Beratungen im Rat besteht nunmehr die nötige Einigungsbereitschaft auf allen Seiten. Alle haben verstanden, dass eine Weiterführung der Verhandlungen nicht zwingend die bessere Umsetzung ihrer jeweiligen Forderungen zur Folge hätte", sagte der zuständige Referatsleiter im Innenministerium, Ulrich Weinbrenner, auf Anfrage von Golem.de.
Das Parlament hatte bereits im März 2014 mit großer Mehrheit seine Position festgelegt. Schon für den 24. Juni 2015 ist daher die erste Sitzung für die Trilog-Verhandlungen angesetzt, wie der Verhandlungsführer des EU-Parlaments, Jan Philipp Albrecht (Grüne), auf Anfrage von Golem.de bestätigte. In diesen Verhandlungen könnten dann auch Punkte durchgesetzt werden, die beispielsweise bei den Mitgliedstaaten keine Mehrheit gefunden haben, aber auf Druck der Parlamentarier dennoch den Weg in das Abschlussdokument finden sollen. Es ist daher immer noch schwer vorherzusagen, was die Verordnung letztlich für die Nutzer bringen wird.
Wirtschaft übt Druck auf Staaten aus
Gerade über den Ministerrat haben die Unternehmen versucht, ihre Wünsche nach Big Data durchzusetzen. "Die Lobby der Wirtschaft hat sich in Position gestellt und findet ärgerlich viel Unterstützung im Rat", sagte der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert auf Anfrage von Golem.de. Welche Regelungen sich letztlich durchsetzen würden, sei völlig unklar und werde stark von der öffentlichen Debatte in den kommenden Monaten abhängen.
Was aber unverrückbar und für Nutzer und Unternehmen von entscheidender Bedeutung ist: Künftig gilt der EU-Datenschutz gleichermaßen in allen Mitgliedsländern und für alle Firmen, die ihre Dienste innerhalb der EU anbieten. "Länder wie Irland, Großbritannien oder Estland können sich dann keine Standortvorteile auf Kosten der Verbraucher- und Grundrechte mehr verschaffen", sagte Albrecht. Es werde dadurch auch leichter, gegen einzelne Firmen wie Facebook zu klagen. Betroffene wiederum sollen künftig nur einen Ansprechpartner benötigen (One-Stop-Shop), um sich über Probleme mit dem Datenschutz zu beschweren.
Nicht zur Debatte stehen das geplante Recht auf Löschung von Nutzerdaten sowie das Recht auf Datenportabilität. Letzteres soll es den Verbrauchern ermöglichen, ihre Daten beispielsweise von einem sozialen Netzwerk in ein anderes mitzunehmen. Dazu müssen die Firmen die gespeicherten Daten "in einem interoperablen gängigen elektronischen Format" zur Verfügung stellen. Sollte der Datenschutz beispielsweise durch Hackerangriffe verletzt werden, sollen Nutzer künftig "ohne unangemessene Verzögerung benachrichtigt werden".
Deutschland scheitert mit Regelung zu Google-Links
Es gibt aber noch große Streitpunkte: So will das Parlament verhindern, dass Firmen die Daten auch für andere Zwecke als die ursprünglich vereinbarten nutzen dürfen. Die Bundesregierung lehnt diese strenge Zweckbindung jedoch ab und verweist auf das Bundesdatenschutzgesetz, das die Weiternutzung ebenfalls erlaube. Strittig ist zudem das Verbot des sogenannten Profilings. Während das Parlament dem Zusammenführen persönlicher Daten enge Grenzen setzt, wollen die EU-Staaten lediglich automatisierte Einzelentscheidungen verbieten und Diskriminierungen, beispielsweise bei einer Kreditvergabe, verhindern.
Unklar ist zudem, ob sich das umstrittene EuGH-Urteil zur Löschung von Google-Links noch in der Verordnung niederschlägt. Innenminister Thomas de Maizière (CDU) hat im vergangenen August noch gefordert, dass die Entscheidung zur Löschung von Links nicht "ein Sachbearbeiter von Google" treffen dürfe und dieser Abwägungsprozess in der Datenschutzverordnung öffentlich geregelt werden müsse. Doch mit dieser Forderung konnte sich Deutschland im Ministerrat nicht durchsetzen. Ob das Parlament dieses Thema noch aufgreifen wird, ist nach Angaben Albrechts noch nicht sicher. Nach Ansicht von Datenschützern könnte die gegenwärtige Position des EU-Parlaments dazu führen, dass die Löschung von Google-Links noch wesentlich einfacher wird.
Einigung in diesem Jahr "sehr optimistisch"
Erfolglos blieb die Bundesregierung auch mit ihrer Forderung, die betrieblichen Datenschutzbeauftragten nicht nur fakultativ, sondern zwingend vorzuschreiben. Für den Arbeitnehmerdatenschutz auf nationaler Ebene waren zudem keine höheren Standards, sondern nur spezifischere Regelungen durchsetzbar.
Bislang wird davon ausgegangen, dass die Trilog-Verhandlungen noch in diesem Jahr abgeschlossen werden. Diesen Zeitplan hält Weichert für "sehr optimistisch". Ob er eingehalten werde, hänge auch vom öffentlichen Druck ab. Da eine übergangszeit von zwei Jahren vorgesehen ist, dürfte die Verordnung frühestens 2018 in Kraft treten. Dann sind nach Ansicht Weicherts noch längst nicht alle Fragen geklärt: "Da die Verordnung in vieler Hinsicht vage bleiben muss, wird es auch nach Inkrafttreten viele weitere Diskussionen geben bezüglich der nationalen oder europäischen Konkretisierung in Spezialregelungen oder in Form von regulierter Selbstregulierung."
Praktisch wird sich für viele Nutzer vermutlich ohnehin wenig ändern. Die Verordnung werde nicht die Notwendigkeit für die Nutzer ersetzen, verantwortlich mit ihren Daten umzugehen, sagte Weinbrenner. Betroffene könnten sich aber besser schützen, die Datenaufsicht in den Mitgliedstaaten werde zudem gestärkt. Nach Ansicht von Jan Philipp Albrecht wird es nicht dazu kommen, "dass wir nun die ganze Zeit zustimmen müssen". Es werde technische Möglichkeiten geben, die Zustimmung einfacher zu machen. Für die meisten Nutzer wird wohl weiterhin entscheidend sein, dass sie bestimmte Dienste nutzen können. Egal, was mit ihren Daten passiert.
Quelle: Golem