[Crew-Hauptmann-von-Koepenick] EU-Datenschutznovelle und Auswirkungen in Berlin

[Jan Hemme <jan.hemme.berlin AT googlemail.com>]

Liebe Mitstreiter,

leider kann ich morgen nicht am Crewtreffen teilnehmen.

Das verhindert leider auch, dass ich Euch morgen eine LQFB-Initiative persönlich vorstelle, die mir schon seit Anfang Dezember unter den Nägeln brennt und von der ich schon dem einen oder anderen erzählt hatte, dass ich etwas machen wollte...

Es handelt sich um eine Initiative zur anstehenden EU-Datenschutznovelle und ihr findet sie hier: https://lqpp.de/be/initiative/show/1416.html

Die Novelle erscheint auf den ersten Blick sehr vorteilhaft für uns Endnutzer und Bürger, allerdings merkt das geschulte Auge ziemlich schnell, dass die Neuregelung, sollte sie so umgesetzt werden, wie es aktuell geplant ist, massive negative Auswirkungen haben könnte und vermutlich auch würde.

Bitte beachtet, dass es, obwohl es sich um eine EU-Novelle handelt, direkte Auswirkungen auf Berlin haben wird, da das berliner Datenschutzrecht, die Verfassung des Landes Berlin und der Berliner Datenschutzbeauftragte direkt betroffen sind.

Das möchte ich in einem etwas längeren Text erläutern, da es eine sehr komplexe Materie ist, die bis vor einigen Tagen kaum in der Öffentlichkeit diskutiert wurde und die direkt zum Kernkompetenzbereich der Piraten gehört:

Hintergrund:

- Die für den Bereich Datenschutz zuständige EU-Kommissarin hat von ihrer Generaldirektion einen Entwurf für die geplante EU-Datenschutznovelle erarbeiten lassen - also gewissermaßen den Referentenentwurf für die Überarbeitung der Datenschutzvorgaben von Seiten der EU. Dieser sollte eigentlich Ende Januar vorgestellt werden, ist aber bereits Anfang Dezember als PDF durchgesickert.

- Es existiert schon eine Richtlinie aus den 90ern (bisher mehrmals angepasst), die den Bereich Datenschutz auf EU-Ebene regelt. Zum Verständnis: EU-Richtlinien gelten nicht direkt in den Mitgliedsstaaten, sondern müssen von diesen in nationalem Recht umgesetzt werden. In Dtl. wird die Datenschutzrichtlinie (und flankierende Richtlinien wie die e-Privacy Richtlinie) z.B. im Bundesdatenschutzgesetz, in den Landesdatenschutzgesetzen, im TKG und im TMG umgesetzt.

- Eine Richtlinie wirkt also indirekt und dies hat im Bereich Datenschutz Vor- aber auch Nachteile, da die Mitgliedsstaaten die Vorgabe bei der Umsetzung zu einem gewissen Grad flexibel interpretieren können. Deutschland setzt die Vorgaben z.B. im europäischen Vergleich relativ streng um und sichert damit ein relativ hohes Schutzniveau, teilweise über dem von der EU angedachten Mindeststandard. Andere Länder wie Irland, UK oder Luxemburg haben die Vorgaben teilweise massiv verwässert. Durch das niedrige Schutzniveau sind diese Länder für Konzerne, die mit personalisierten Daten hantieren natürlich besonder attraktiv und diese siedeln sich dort auch bevorzugt an, denn die EU-Richtlinie legt fest, dass für ein Unternehmen das nationale Datenschutzrecht angewendet wird, in dem es seinen Sitz hat (oder die Niederlassung, die die Daten verarbeitet).

- Das Ergebnis ist ein Datenschutzrecht innerhalb der EU, das nicht einheitlich, sondern von Land zu Land unterschiedlich ist. Dieser Misstand wird schon seit längerem von Datenschützern und Verbraucherrechtlern kritisiert und die Kommission, die für die Initiierung des EU-Gesetzgebungsprozesses zuständig ist, will dies nun vereinheitlichen.

Die Novelle:

- Die von Kommissarin Reding erarbeitete Vorlage enthält eine Reihe von Verbessrungen, die in der Presse auch durchaus positiv aufgenommen wurden und die auch die deutschen Verbraucher (die im europäischen Vergleich relativ gut dastehen) besser stellen würden. Das ist natürlich zu begrüßen und die erste Reaktion war auch durch die Bank positiv.

- Allerdings hat die Sache einen ganz gewaltigen Haken, der zwar mir relativ schnell aufgefallen ist, da ich mich mit dem deutschen Datenschutzrecht schon eine ganze Weile auseinandergesetzt habe, der in der Presse aber bis vor einigen Tagen überhaupt keine Rolle gespielt hat: da die Novelle nicht als "Richtlinie" (bzw. als Überarbeitung der bestehenden Richtlinien) durchgeführt, sondern stattdessen als "Verordnung" gefasst werden soll, hätte die Reform möglicherweise fatale Auswirkungen auf Länder mit hohem Datenschutzstandards, wie z.B. Deutschland.

- Zum Verständnis ein kleiner Exkurs: man muss wissen, dass ein Gesetzentwurf den legislativen Prozess in der Regel nicht so verlässt, wie er vom zuständigen Referat ausgearbeitet wurde. Vor allem nicht bei so sensiblen Themen wie z.B. dem Datenschutz, bei dem auf europäischer Ebene teilweise total gegensätzliche Auffassungen aufeinanderprallen. Das gilt einerseits für die Mitgliedsstaaten im Rat, als auch für die Auffassungen von Rat und Europaparlament (EP). Beide müssen nämlich einer Vorlage zustimmen, damit diese in Kraft treten kann. Dieser Prozess dauert oft Jahre und im Rat und in den Ausschüssen des EP wird in der Regel so viel an der ursprünglichen Vorlage gerändert, dass am Ende nicht mehr viel davon übrig ist. Dies liegt nicht zuletzt daran, dass die Industrielobbyisten in Brüssel massiv Einfluss auf jedes Gesetz nehmen (in einem Ausmaß, dass selbst Berlin klein aussehen lässt.)

Die drohenden Folgen:

- Die Novellierung per Verordnung hätte den Vorteil, dass IN DER THEORIE ein ein europaweit einheitliches höheres Schutzniveau gelten würde, da eine EU-Verordnung, anders als eine Richtlinie, in den Mitgliedsstaaten direkt gilt. Die Mitgliedsstaaten hätten also gar keinen nationalen Gestaltungsspielraum mehr. Dies ist natürlich gut, wenn man sich Länder wie Irland oder UK ansieht, da das Schutzniveau dort theoretisch ansteigen würde (bitteerinnern: diese hätten keine Möglichkeit mehr, die Richtlinienvorgaben aus Brüssel zu verwässern...). Allerdings beraubt eine Verordnung auch die Länder ihres Spielraumes, die diesen dazu nutzen, das angestrebte Schutzniveau sogar zu übertreffen, wie z.B. in Deutschland. Wir haben hier aus gutem Grund einen relativ strengen Datenschutz und sowohl Politik als auch Bevölkerung reagieren auf dieses Thema ziemlich sensibel, wie die Auseinandersetzung um die Vorratsdatenspeicherung, den Staatstrojaner oder die Datensammelwut von Facebook zeigt.

- Wie bereits erwähnt, überlebt eine Vorlage den Gesetzgebungsprozess selten in der Urform, da die Mitgliedsstaaten und Lobbyisten über einen längeren Zeitraum auf den Entwurf losgelassen werden. Während die Vorschläge der Kommissarin zum besseren Datenschutz unbestritten einen Fortschritt darstellen, braucht man nicht davon ausgehen, dass diese in ein bis zwei Jahren, wenn der Entwurf schätzungsweise zu einer vom EP und den Mitgliedsstaaten (Rat) zustimmungsfähigen Version verändert wurde, noch enthalten sind. Aus meiner Erfahrung mit den Vorgängen in Brüssel, bleibt von den schönen Vorsätzen meist nicht mehr viel übrig.

- Würde die Umsetzung per Richtlinie erfolgen, wäre eine Verwässerung aus deutscher Sicht noch halbwegs zu verkraften, denn da diese nicht direkt gelten würde, hätten der Bund und die Länder die Möglichkeit, durch die Umsetzung im deutschen Datenschutzrecht ein höheres Schutzniveau zu gewährleisten. Wird das ganze aber per Verordnung geregelt, gilt diese DIREKT und das gesamte deutsche Datenschutzrecht würde ausgehebelt und spielte keine Rolle mehr. In der Folge läge das Schutzniveau plötzlich UNTER dem bisher durch deutsches Recht gewährleisteten Datenschutzstandards, und das, obwohl der ursprüngliche Entwurf dies gar nicht vorgesehen und beabsichtigt hatte und daher ursprünglich in der Presse positiv beurteilt wurde.

- Die bis hierhin dargelegten Probleme sind mir schon bei der ersten Beschäftigung mit dem geleakten Entwurf aufgefallen, doch vor einigen Tagen kam noch etwas dazu, was mich dazu getrieben hat, das ganze endlich auch in eine LQFB-Initiative zu gießen: Johannes Masing, Bundesverfassungsrichter am ersten Senat (das ist der Senat des BVerfG der sich mit den Grundrechten beschäftigt), hat in der SZ vor den Folgen einer Umsetzung für den Datenschutz in Deutschland gewarnt. Masing (der im übrigen über die Auswirkungen des Europarecht auf das deutsche Recht promoviert hat und Ende der 90er habilitiert wurde und als ausgesprochener Fachmann gilt!) warnt in dem Interviev davor, dass durch die Novelle per Verordnung sogar das Grundrecht auf informationelle Selbstbestimmung ausgehebelt würde und dem Bürger damit in diesen Fragen nicht mehr der Weg vor das BVerfG offen stehen würde, mit den entsprechenden Folgen...

- Man muss in diesem Fall verstehen, dass das BVerfG das Grundrecht auf informationelle Selbstbestimmung überhaupt erst seit den frühen 70ern aus den ersten beiden Artikeln des Grundgesetzes hergeleitet hat und, dass dieses Grundrecht uns schon vor allerlei Unbill bewahrt hat, zuletzt vor der Vorratsdatenspeicherung.  Auch die Berliner Landesverfassung wäre betroffen, denn auch dort wird das Recht auf informationelle Selbstbestimmung kodifiziert.

- Auch der gesamte Bereich der Bundesländer (zuständig für den nicht-öffentlichen Bereich des Datenschutzes, also Unternehmen mit Sitz/Niederlassung in Berlin) wäre betroffen und die für ihre kritische Haltung bekannten Datenschutzbeauftragten der Länder, z.B. die von Berlin, Hamburg und Schleswig-Holstein, hätten auf einen Schlag keine Kontrollrechte mehr, sondern würden zu reinen Berichterstattern an die europäische Datenschutzbehörde degradiert. Wichtig ist in diesem Zusammenhang, dass es gerade die Datenschutzbeautragten sind, die seit der letzten EU-Datenschutznovelle (per Anpassung der Richtlinie!) in ihrer Unabhängigkeit gestärkt wurden und seither das Thema immer wieder auf die öffentliche Tagesordnung setzten (und zwar so weit, dass der Präsident des BVerfG, Andreas Voßkuhle, vor einigen Monaten angekündigt hat, dass sich das Gericht die Datensammelwut von Facebook und Co. in nächster Zeit einmal näher ansehen und dazu eine Anpassung des deutschen Datenschutzrechtes anmahnen könnte...).

- Welche überragende Bedeutung der deutsche Datenschutz in Europa hat, zeigt nicht zuletzt die Debatte um die Vorratsdatenspeicherung, gegen deren Einführung (übrigens vorgeschrieben in einer EU-Richtlinie!) sich das BMJ unter der Bundesjustizministern Gott sein Dank mit Händen und Füßen wehrt und die nicht zuletzt durch die kritische deutsche Haltung auch in anderen europ. Ländern und auch auf EU-Ebene weiter in der Kritik steht. Ist das deutsche Datenschutzrecht und seine wichtigsten Wächter ersteinmal ausgeschaltet, ist dieser sensible Grundrechtebereich nicht nur der direkten demokratischen Kontrolle durch den Bundestag und die Länderparlamente entzogen (bitte erinnern: eine EU-Verordnung gilt direkt!), sondern auch genau die Kontrollorgane, die bisher dafür gesorgt haben, dass Staat und Wirtschaft mit unseren Daten nicht tuen und lassen können, was sie wollen, werden kaltgestellt.

- Was das bedeutet führt uns zum letzten Punkt: ist die Büchse der Pandora erst Mal geöffnet und der Datenschutz für den nicht-öffentlichen Bereich der Kontrolle unserer Verfassungsorgane (hier: Bundestag und BVerfG) entzogen, besteht auch die Gefahr, dass binnen kurz oder lang auch der staatliche Bereich folgt. Auch wenn dieser im Entwurf der Verordnung noch ausgeklammert wird, perspektivisch ist auch hier angedacht, den staatlichen Bereich (genauer: "ermächtigte Behörden und Justiz") neu zu regeln und zu vereinheitlichen, dies wird im Entwurf ganz klar so angekündigt. Was das bedeutet, kann sich mit Hinblick auf die VDS jeder selbst ausmalen...

Fazit:

- Es drängt sich - zumindest aus meiner Sicht - der Verdacht auf, dass mit der Verbraucherfreundlichen Ausgestaltung des Verordnungsentwurfes vor allem dafür gesorgt werden soll, dass in Ländern die für Datenschutzthemen sehr sensibel sind, eine Diskussion über das Gefahrenpotential einer Regelung über den Verordnungsweg zu unterdrücken, zumindest so lange, bis die entscheidenden Weichen gestellt sind... Dazu passt auch, dass der Entwurf bereits Ende November/Anfang Dezember durchgesickert ist.

- Die Novelle darf aus meiner Sicht und im Lichte der obigen Darstellung des Kontextes, auf gar keinen Fall als Verordnung den legislativen Prozess in Brüssel durchlaufen. Das Ergebnis wird aus meiner Sicht sein (und da spreche ich aus Erfahrung was EU-Gesetzgebung angeht), dass wir ein niedrigeres Schutzniveau als heute bekommen werden, da Lobbyisten und Mitgliedsstaaten, die ein Interesse an einer Schwachen Ausgestaltung des Datenschutzes haben, den Gesetzentwurf soweit verwässern werden, bis das europaweit geltende Schutzniveau unter dem jetzt in Deutschland geltenden liegen wird. Bund und Länder werden allerdings keine Möglichkeit mehr haben, im demokratischen Prozess ein höheres Schutzniveau sicherzustellen, da die Verordnung die Richtlinie ersetzt und direkt gelten wird. Gleichzeitig werden 30-40 Jahre durch Rechtsprechung entwickeltes deutsches Datenschutzrecht, inkl. des Grundrechtes auf informationelle Selbstbestimmung ausgehebelt und das Einfallstor zur Aushebelung des Datenschutzrechtes gegenüber dem Staat weit geöffnet. Es ist im übrigen bereits durchgesickert, dass sich US Internetkonzerne bereits für die Lobbyschlacht rüsten und wenn ich mir so anschaue, wie sich z.B. Facebook in den letzten Monaten in Brüssel neu aufgestellt hat (z.B. mit Erika Mann, Ex-MEP und top vernetzt), erscheint mir meine Einschätzung ziemlich realistisch...

- Die Kommission könnte das im übrigen ganz einfach vermeiden, wenn die Novelle nicht als Verordnung, sondern als Richtlinie umgesetzt würde. Da ist im übrigen von den EU-Verträgen nach dem Subidaritätsprinzip auch so vorgesehen und das Beispiel Deutschland zeigt, dass ein hohes Schutzniveau möglich ist. Die Kommission müsste die Vorgaben (und die Verbesserungen der Novelle sind, wie eingangs erwähnt ja gut) nur entsprechend streng fassen und den Mitgliedsstaaten (und in Deutschland den Bundesländern) wenig Spielraum nach unten bei der Umsetzung lassen (nach oben, also besser, geht natürlich immer...)

Falls ihr bis hierhin gelesen haben solltet... Ich würde mich freuen, wenn ihr die Initiative im LQFB unterstützen würdet. Es handelt sich hier übrigens um ein Thema, das die anderen Parteien nicht auf der Pfanne haben und mit dem wir diese inhaltlich vor uns hertreiben können, wenn wir es richtig anstellen... Daher bin ich auf für Anregungen, Kommentare und Verbesserungsvorschläge dankbar.

Danke, gute Nacht und Gruss,

JH

Jan Hemme

Web: http://wiki.piratenpartei.de/Benutzer:Janhemme

Mail: jan.hemme.berlin AT googlemail.com

Twitter: http://twitter.com/JanHemme