Update: Die Datenschutzverordnung, die erst im Januar gezeigt werden sollte, ist geleakt. Mehr unten.
Problemfeld europäischer Datenschutz
Das europäische Datenschutzrecht krankt an mehreren Stellen: Die aktuelle Datenschutzrichtlinie (95/46/EG) stammt in ihrer ursprünglichen Form aus dem Jahre 1995. Neue technische Entwicklungen sind kaum noch unter das alte Regelwerk zu fassen. Gleichzeitig sind Neuerungen ein langwieriger Prozess: Änderungen an der Richtlinie müssen den europäischen Gesetzgebungsprozess passieren, anschließend müssen sie von den Nationalstaaten noch umgesetzt werden – mit Umsetzungsfristen von mehreren Jahren. Vom konkreten Entwurf bis zur Umsetzung einer Richtlinie können gerne mal fünf Jahre ins Land gehen.
Hinzu kommt, dass Richtlinien genau das sind, was der Name schon andeutet: Grobe Vorgaben, Rahmenbedingungen für die nationale Politik. An vielen Stellen haben die Mitgliedsstaaten weite Spielräume, welche Vorgaben sie wie genau umzusetzen gedenken. Gerade im kulturell sehr unterschiedlich gesehen Datenschutzrecht führt dies zu einer „Fragmentierung” der Rechtsordnungen, wie es EU-Kommissarin Vivian Reading kürzlich in einer Rede nannte.
Europäische Verordnung
Hier hätte eine europäische Verordnung Vorteile: Im Unterschied zu einer Richtlinie muss sie nicht durch die Nationalstaaten umgesetzt werden – sie gilt unmittelbar. Während sich also ein deutsches Gericht bei Gesetzen auf Basis einer EU-Richtlinie mit einer deutschen Norm befasst, wendet es eine EU-Verordnung unmittelbar an. Eine Umsetzung in Form eines deutschen Gesetzes ist nicht notwendig. Die deutschen Gesetze würde die Verordnung dabei verdrängen, soweit sie andere Regeln vorsieht. Denn gegenüber dem innerstaatlichen Recht ist sie vorrangig.
Das hat auch zur Folge, dass der Umsetzungsspielraum der Mitgliedsstaaten bei null liegt: Die Verordnung gibt die Regelungen vor, der nationale Gesetzgeber hat keinen Einfluss darauf. Lediglich wenn die Verordnung ausdrücklich einen Spielraum einräumt, können national eigene, abweichende Regelungen erlassen werden.
Verordneter Datenschutz und das Ende des BDSG?
Genau diese Vorteile will sich die EU-Kommission offenbar nun zu Nutze machen. Eine Verordnung soll verbindliche Datenschutzregeln für die gesamte EU festlegen. Die Folge könnte nicht weniger als das Ende des deutschen Bundesdatenschutzgesetzes sein.
Bislang ist die Informationslage allerdings etwas unübersichtlich: Mitte November verkündete Paul Nemitz, Direktor der Direktion Grundrecht bei der Europäischen Kommission, dass eine Verordnung für den Bereich Datenschutz geplant sei. Die Gesellschaft für Datenschutz und Datensicherheit (GDD) berichtete:
„Nach Darstellung von Nemitz besteht ein Bedürfnis, den Datenschutz durch eine Verordnung zu regeln, da hierdurch die Komplexität des Datenschutzrechts vermieden und eine EU-weite Vereinheitlichung verwirklicht werden. Man komme damit auch einem Wunsch der Wirtschaft nach, die sich einheitliche und verständliche Regelungen wünscht. Insbesondere kleine und mittelständische Unternehmen benötigen verständliche europaweit geltende Normen. ”
Das bestätigte uns auch das Büro von Axel Voss, Mitglied des Europäischen Parlaments und Berichterstatter zur Novellierung der EU-Datenschutzrichtlinie. Demnach soll es eine Verordnung zum Bereich Binnenmarkt geben, die speziell die Rechte der Verbraucher, die Zuständigkeit der Datenschutzbehörden, das anwendbares Recht, kurz: alles, was bislang in der EU-Datenschutzrichtlinie geregelt war, umfassen soll. Außerdem sei eine Richtlinie zum Bereich Polizei und Justiz, genauer zum Austausch von Daten zur Kriminalitätsbekämpfung geplant.
Was genau diese Verordnung enthalten soll und welche Regelungen ersetzt werden sollen, ist bislang allerdings noch nicht klar. Wie man hört, gibt es dazu bisher auch nur informelle Gespräche. Seit Wochen soll jedoch klar sein, dass alles auf eine Datenschutzverordnung hinaus laufe. Vivian Reading hat als zuständige Kommissarin angekündigt, am 25. Januar 2012 zwei Rechtsakte vorzustellen, mit denen die Datenschutzrichtlinie überarbeitet bzw. ersetzt werden soll.
Vollharmonisierung Datenschutzrecht
Es sieht also alles danach aus, als wäre ein großer Schritt in Richtung Vollharmonisierung des Datenschutzrechtes in der EU bereits auf dem Weg. Was genau das für das Datenschutzniveau in Europa bedeutet ist zwar noch offen, eine Tendenz könnte Vivian Reading aber bereits in einer Rede vor der American Chamber of Commerce Ende November angedeutet haben. Vor allem bei der Zuständigkeit der Datenschutzbehörden könnte es demnach Änderungen geben:
„They need – the same as consumers – to have a 'one-stop-shop' when it comes to data protection matters – one law and one single data protection authority for each business; that of the Member State in which they have their main establishment.”
(Hervorhebung auch in der Original-Transkribierung)
Zwar betont Reading, dass das Datenschutzrecht insgesamt wirtschaftsfreundlicher werden soll. Sehr aussagekräftig dürfte diese Ankündigung jedoch nicht sein – schließlich sprach sie vor einer amerikanischen Wirtschaftsvereinigung. Daneben stellte Reading außerdem klar, dass auch das „right do be forgotten” nach wie vor auf der Agenda steht.
Fazit
Auch wenn einzelne Vorstellungen der Kommission bereits bekannt sind, sind die Details noch völlig offen. Dass die Zukunft des europäischen Datenschutzrechtes aber in einer wesentlich strikteren Vorgabe aus Brüssel besteht, scheint sicher zu sein. Eine der größten Herausforderungen wird dabei ein Kompromiss aus den verschiedenen, unterschiedlichen Vorstellungen von Datenschutz innerhalb der EU sein. Es gilt nicht nur die Interessen von Industrie und Verbrauchern unter einen Hut zu bringen, sondern auch die verschiedenen nationalen Besonderheiten: Es wäre kaum vorstellbar, in Großbritannien ein nach deutschen Maßstäben geprägtes Datenschutzrecht zu etablieren – und umgekehrt.
Update: Die Datenschutzverordnung ist durchgesickert. Das original geleakte Dokument liegt auf Statewatch.org, wir haben hier einen Mirror eingerichtet.
Die Datenschutz-Verordnung ist in dieser Entwurfsversion bezeichnet als „General Data Protection Regulation”. Heise Online hat sich den Entwurf genau angeschaut. Telemedicus wird weiter berichten.
Die Gesellschaft für Datenschutz und Datensicherheit (GDD) zur Ankündigung von Paul Nemitz.Die Rede von Vivian Reading im Wortlaut (englisch).
Das wird noch witzig (obwohl bereits der Entwurf anmerkt, dass persönliche Daten im Falle von historischem, statistischem oder wissenschaftlichem Interesse NICHT gelöscht werden dürfen.
Trotzdem sehe ich sie schon brüllen, die deutschen Datenschutz-Michel: "Ich will aus dem Internet gelöscht werden!!"
Besonders spassig wird dieser Teil des Gesetzentwurfes:
"To strengthen the 'right to be forgotten' in the online environment, the right to erasure should also be extended in such a way that any publicly available copies or replications in websites and search engines should also be deleted by the controller who has made the information public. "
Ohne jetzt zu sehr ins Detail gehen zu wollen:
- Er arbeitet lediglich viel mit Beispielen. Das ist gut für eine emotionalisierende Performance bei seinen Vorträgen. Weder empirisch noch normativ aber hat seine "wissenschaftliche Arbeit" Bestand. Etliche Wissenschaftler z.B. am MIT, die gezwungen waren, sich mit diesen pseudo-wissenschaftlichen Thesen auseinanderzusetzen, haben sie freundlich aber deutlich abgelehnt.
- Als Beispiel kann sein Umgang mit den Lösungsansätzen "Information Ecology" und "Cognitive Adjustment" dienen. Seine Beweisführung: Er leugnet schlicht, dass der Mensch sich gesellschaftlich hierhin weiterentwickeln kann. DAS ist kein wissenschaftliches Arbeiten, dass ist ideologische Stimmungsmache.
- Auf der rein ethischen Ebene ist sein "Kein Vergeben ohne Vergessen" gerade zu himmelsschreiend anti-aufklärerisch und negiert wichtige menschliche Eigenschaften. Vergebung beruht darauf, dass man ohne zu Vergessen, was geschah, aufeinander zugeht.
Mayer-Schönberger ist wahrlich das beste Beispiel, warum die "Ideologie des Vergessens" keine humanistische Antwort auf unser digital erweitertes Zeitalter ist.
Generell gesprochen, weil du auch noch Netzneutralität und Kulturflatrate ins Spiel gebracht hast, bewegen wir uns hier auf der Ebene des Wandels im Orientierungswissen.
Da wir aber aktuell gesamtgesellschaftlich kaum die Grundlagen einer Ethik für das Informationszeitalter kulturell realisiert haben, sollten mögliche Eingriffe in den freien Informationsfluss mit höchster Vorsicht geschehen.
Aktuell kommen wir aus einer durch und durch kommerzialisierten und von Misstrauen geprägten Epoche. Ich bezweifle, dass Regeln, die aus diesem Geist entstehen, eine gute Grundlage für das digitale aufgeklärte Zeitalter darstellen können.