Telemedicus Logo
Weiterempfehlen Drucken

Die Europäische Kommission scheint das Datenschutzrecht auf EU-Ebene ändern zu wollen. Geplant ist, die europäische Datenschutzrichtlinie durch eine Verordnung zu ersetzen – ein Vorhaben mit weitreichenden Folgen. Möglicherweise bedeutet das sogar das Ende des deutschen Bundesdatenschutzgesetzes, wie wir es kennen.

Update: Die Datenschutzverordnung, die erst im Januar gezeigt werden sollte, ist geleakt. Mehr unten.

Problemfeld europäischer Datenschutz

Das europäische Datenschutzrecht krankt an mehreren Stellen: Die aktuelle Datenschutzrichtlinie (95/46/EG) stammt in ihrer ursprünglichen Form aus dem Jahre 1995. Neue technische Entwicklungen sind kaum noch unter das alte Regelwerk zu fassen. Gleichzeitig sind Neuerungen ein langwieriger Prozess: Änderungen an der Richtlinie müssen den europäischen Gesetzgebungsprozess passieren, anschließend müssen sie von den Nationalstaaten noch umgesetzt werden – mit Umsetzungsfristen von mehreren Jahren. Vom konkreten Entwurf bis zur Umsetzung einer Richtlinie können gerne mal fünf Jahre ins Land gehen.

Hinzu kommt, dass Richtlinien genau das sind, was der Name schon andeutet: Grobe Vorgaben, Rahmenbedingungen für die nationale Politik. An vielen Stellen haben die Mitgliedsstaaten weite Spielräume, welche Vorgaben sie wie genau umzusetzen gedenken. Gerade im kulturell sehr unterschiedlich gesehen Datenschutzrecht führt dies zu einer „Fragmentierung” der Rechtsordnungen, wie es EU-Kommissarin Vivian Reading kürzlich in einer Rede nannte.

Europäische Verordnung

Hier hätte eine europäische Verordnung Vorteile: Im Unterschied zu einer Richtlinie muss sie nicht durch die Nationalstaaten umgesetzt werden – sie gilt unmittelbar. Während sich also ein deutsches Gericht bei Gesetzen auf Basis einer EU-Richtlinie mit einer deutschen Norm befasst, wendet es eine EU-Verordnung unmittelbar an. Eine Umsetzung in Form eines deutschen Gesetzes ist nicht notwendig. Die deutschen Gesetze würde die Verordnung dabei verdrängen, soweit sie andere Regeln vorsieht. Denn gegenüber dem innerstaatlichen Recht ist sie vorrangig.

Das hat auch zur Folge, dass der Umsetzungsspielraum der Mitgliedsstaaten bei null liegt: Die Verordnung gibt die Regelungen vor, der nationale Gesetzgeber hat keinen Einfluss darauf. Lediglich wenn die Verordnung ausdrücklich einen Spielraum einräumt, können national eigene, abweichende Regelungen erlassen werden.

Verordneter Datenschutz und das Ende des BDSG?

Genau diese Vorteile will sich die EU-Kommission offenbar nun zu Nutze machen. Eine Verordnung soll verbindliche Datenschutzregeln für die gesamte EU festlegen. Die Folge könnte nicht weniger als das Ende des deutschen Bundesdatenschutzgesetzes sein.

Bislang ist die Informationslage allerdings etwas unübersichtlich: Mitte November verkündete Paul Nemitz, Direktor der Direktion Grundrecht bei der Europäischen Kommission, dass eine Verordnung für den Bereich Datenschutz geplant sei. Die Gesellschaft für Datenschutz und Datensicherheit (GDD) berichtete:
„Nach Darstellung von Nemitz besteht ein Bedürfnis, den Datenschutz durch eine Verordnung zu regeln, da hierdurch die Komplexität des Datenschutzrechts vermieden und eine EU-weite Vereinheitlichung verwirklicht werden. Man komme damit auch einem Wunsch der Wirtschaft nach, die sich einheitliche und verständliche Regelungen wünscht. Insbesondere kleine und mittelständische Unternehmen benötigen verständliche europaweit geltende Normen. ”

Das bestätigte uns auch das Büro von Axel Voss, Mitglied des Europäischen Parlaments und Berichterstatter zur Novellierung der EU-Datenschutzrichtlinie. Demnach soll es eine Verordnung zum Bereich Binnenmarkt geben, die speziell die Rechte der Verbraucher, die Zuständigkeit der Datenschutzbehörden, das anwendbares Recht, kurz: alles, was bislang in der EU-Datenschutzrichtlinie geregelt war, umfassen soll. Außerdem sei eine Richtlinie zum Bereich Polizei und Justiz, genauer zum Austausch von Daten zur Kriminalitätsbekämpfung geplant.

Was genau diese Verordnung enthalten soll und welche Regelungen ersetzt werden sollen, ist bislang allerdings noch nicht klar. Wie man hört, gibt es dazu bisher auch nur informelle Gespräche. Seit Wochen soll jedoch klar sein, dass alles auf eine Datenschutzverordnung hinaus laufe. Vivian Reading hat als zuständige Kommissarin angekündigt, am 25. Januar 2012 zwei Rechtsakte vorzustellen, mit denen die Datenschutzrichtlinie überarbeitet bzw. ersetzt werden soll.

Vollharmonisierung Datenschutzrecht

Es sieht also alles danach aus, als wäre ein großer Schritt in Richtung Vollharmonisierung des Datenschutzrechtes in der EU bereits auf dem Weg. Was genau das für das Datenschutzniveau in Europa bedeutet ist zwar noch offen, eine Tendenz könnte Vivian Reading aber bereits in einer Rede vor der American Chamber of Commerce Ende November angedeutet haben. Vor allem bei der Zuständigkeit der Datenschutzbehörden könnte es demnach Änderungen geben:
„They need – the same as consumers – to have a 'one-stop-shop' when it comes to data protection matters – one law and one single data protection authority for each business; that of the Member State in which they have their main establishment.”
(Hervorhebung auch in der Original-Transkribierung)

Zwar betont Reading, dass das Datenschutzrecht insgesamt wirtschaftsfreundlicher werden soll. Sehr aussagekräftig dürfte diese Ankündigung jedoch nicht sein – schließlich sprach sie vor einer amerikanischen Wirtschaftsvereinigung. Daneben stellte Reading außerdem klar, dass auch das „right do be forgotten” nach wie vor auf der Agenda steht.

Fazit

Auch wenn einzelne Vorstellungen der Kommission bereits bekannt sind, sind die Details noch völlig offen. Dass die Zukunft des europäischen Datenschutzrechtes aber in einer wesentlich strikteren Vorgabe aus Brüssel besteht, scheint sicher zu sein. Eine der größten Herausforderungen wird dabei ein Kompromiss aus den verschiedenen, unterschiedlichen Vorstellungen von Datenschutz innerhalb der EU sein. Es gilt nicht nur die Interessen von Industrie und Verbrauchern unter einen Hut zu bringen, sondern auch die verschiedenen nationalen Besonderheiten: Es wäre kaum vorstellbar, in Großbritannien ein nach deutschen Maßstäben geprägtes Datenschutzrecht zu etablieren – und umgekehrt.

Update: Die Datenschutzverordnung ist durchgesickert. Das original geleakte Dokument liegt auf Statewatch.org, wir haben hier einen Mirror eingerichtet.

Die Datenschutz-Verordnung ist in dieser Entwurfsversion bezeichnet als „General Data Protection Regulation”. Heise Online hat sich den Entwurf genau angeschaut. Telemedicus wird weiter berichten.

Die Gesellschaft für Datenschutz und Datensicherheit (GDD) zur Ankündigung von Paul Nemitz.

Die Rede von Vivian Reading im Wortlaut (englisch).
Anzeige:

Kommentare

* Jens Best 07.12.2011 21:08
Das unsägliche "right to be forgotten" hat es in den Entwurf geschafft.
Das wird noch witzig (obwohl bereits der Entwurf anmerkt, dass persönliche Daten im Falle von historischem, statistischem oder wissenschaftlichem Interesse NICHT gelöscht werden dürfen.
Trotzdem sehe ich sie schon brüllen, die deutschen Datenschutz-Michel: "Ich will aus dem Internet gelöscht werden!!"

Besonders spassig wird dieser Teil des Gesetzentwurfes:
"To strengthen the 'right to be forgotten' in the online environment, the right to erasure should also be extended in such a way that any publicly available copies or replications in websites and search engines should also be deleted by the controller who has made the information public. "
* Johannes Marosi 07.12.2011 22:14
Bei dem right to be forgotten wird es wohl im Endeffekt soviel Meinungen und Auslegungen wie bei Netzneutralität und Kulturflatrate geben. Keiner redet über dasselbe am Ende. An sich finde ich die Idee gut, vielleicht liegt das aber auch daran das ich mir das Ganze nicht von Frau Reding sondern Prof. Mayer-Schönberger anhören dürfte. Das perfide an der ganzen Sache ist das bei der Privacy Platform im März diesen Jahres am EP Reding just einen Tag nach dem Vortrag von Mayer-Schönerberger sprach...vielleicht hätte sie sich das selbst mal antuen sollen. Das right to be forgotten halte ich als Alternative zum Datenbrief sogar notwendig um den Datenwildwuchs in den Griff zu bekommen. Das diese Ausformung jenseits von brauchbar ist unterschreibe ich gerne. Das mit dem Google Cache u.ä. ist fast utopisch. Hatte leider selber noch keine Zeit das geleakte Dokument anzusehen. Andererseits muss man jenseits von technischer Machbarkeit und juristischer Brauchbarkeit doch anerkennen das die Kommission entschieden auftritt. Was davon am Ende übrigbleibt ist eine andere Geschichte...
* Jens Best 07.12.2011 22:42
@Marosi Mayer-Schönberger ist der grösste Scharlatan in dieser Richtung.

Ohne jetzt zu sehr ins Detail gehen zu wollen:

- Er arbeitet lediglich viel mit Beispielen. Das ist gut für eine emotionalisierende Performance bei seinen Vorträgen. Weder empirisch noch normativ aber hat seine "wissenschaftliche Arbeit" Bestand. Etliche Wissenschaftler z.B. am MIT, die gezwungen waren, sich mit diesen pseudo-wissenschaftlichen Thesen auseinanderzusetzen, haben sie freundlich aber deutlich abgelehnt.

- Als Beispiel kann sein Umgang mit den Lösungsansätzen "Information Ecology" und "Cognitive Adjustment" dienen. Seine Beweisführung: Er leugnet schlicht, dass der Mensch sich gesellschaftlich hierhin weiterentwickeln kann. DAS ist kein wissenschaftliches Arbeiten, dass ist ideologische Stimmungsmache.

- Auf der rein ethischen Ebene ist sein "Kein Vergeben ohne Vergessen" gerade zu himmelsschreiend anti-aufklärerisch und negiert wichtige menschliche Eigenschaften. Vergebung beruht darauf, dass man ohne zu Vergessen, was geschah, aufeinander zugeht.

Mayer-Schönberger ist wahrlich das beste Beispiel, warum die "Ideologie des Vergessens" keine humanistische Antwort auf unser digital erweitertes Zeitalter ist.


Generell gesprochen, weil du auch noch Netzneutralität und Kulturflatrate ins Spiel gebracht hast, bewegen wir uns hier auf der Ebene des Wandels im Orientierungswissen.

Da wir aber aktuell gesamtgesellschaftlich kaum die Grundlagen einer Ethik für das Informationszeitalter kulturell realisiert haben, sollten mögliche Eingriffe in den freien Informationsfluss mit höchster Vorsicht geschehen.
Aktuell kommen wir aus einer durch und durch kommerzialisierten und von Misstrauen geprägten Epoche. Ich bezweifle, dass Regeln, die aus diesem Geist entstehen, eine gute Grundlage für das digitale aufgeklärte Zeitalter darstellen können.
* Johannes Marosi 07.12.2011 22:59
Ich habe mich damit noch nicht eingehender beschäftigt ehrlich gesagt. Ich war nur bei diesem Vortrag und fand den eigentlich recht interessant (war etwas skurril das der gerade bei Google-Vertretung war...). Etwas seltsam kam mir allerdings wirklich vor das er weniger juristisch und technisch argumentierte. In diesem Sinne bin ich ihm vielleicht wirklich auf den Leim gegangen, aber wie gesagt ich bin da nicht zu sehr im Thema drin. Ich finde es nur persönlich unsinnig das irgendwelche obskuren Seiten meine Login-Daten, Adressen oder sonstige Daten ewig speichern wenn ich da vielleicht nur einmal vor fünf Jahren war und bereits das Passwort vergessen habe (vielleicht hätte ich das vorab einschränken sollen). Mir geht es insbesondere nicht um irgendwelche Posts, Forenbeiträge oder sonstige Meinungsäußerung.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.