EU-Justizminister debattieren über Datenschutz-Verordnung
Anfang des Jahres hat EU-Kommissarin Viviane Reding den Entwurf zur EU-Datenschutzverordnung vorgestellt. Seitdem gab es fast wöchentlich neue Meinungen und Kommentare dazu von den unterschiedlichsten Seiten. Selten wurde so viel über eine Reform des Datenschutzes diskutiert.
Am Dienstag trafen sich nun die Justiz- und Innenminister der EU auf Zypern, um die zentralen Themen der geplanten Verordnung zu besprechen. Reding gab sich nach dem Termin relativ zufrieden – obwohl es an der einen oder anderen Stelle noch Klärungsbedarf gibt.
Deutschland möchte an Spielräumen im nationalen Bereich festhalten
Die deutschen Vertreter gelten seit Beginn der Diskussion um die einheitliche europäische Regelung des Datenschutzes in vielen Punkten als Kritiker der Verordnung – und scheinen diese Haltung auch nach dem Treffen in Nikosia nicht gänzlich aufgegeben zu haben. Denn man will nicht sämtliche Regelungen in die Hand der EU geben – insbesondere, wenn es um die Speicherung personenbezogener Daten wie Kranken- und Rentenversicherungsnummern durch öffentliche Stellen geht.
Dass der Widerstand aus Deutschland auch mit Regelungen wie dem Meldegesetz zusammenhängen könnte, vermutete man wohl in Brüsseler Kreisen. Die Debatte um das Meldegesetz schlug in den letzten Wochen hohe Wellen. Das Meldegesetz regelt, dass Ämter und Behörden personenbezogene Daten von Bürgern zum Einsatz zu Werbezwecken herausgeben dürfen – es sei denn, der Betroffene hat widersprochen.
Eine kommerzielle Nutzung von Daten durch den Staat sei sowieso in jedem Fall „tabu“, so hieß es aus Brüsseler Kreisen und man mache „keine Meldegesetz-Ermächtigungsklauseln”. Aber Deutschland will sich beim Thema Datenschutz im öffentlichen Sektor nicht reinreden lassen, denn gerade im Sozial- und Steuerrecht gibt es datenschutzrechtliche Regelungen, die einer nationalen Regelung vorbehalten bleiben müssen.
Höhere Strafen bei Datenschutzverstößen
Ein weiterer wichtiger Punkt: Die neuen Strafen für Unternehmen. Dass hier Handlungsbedarf besteht, daran besteht kein Zweifel. Die 17 Jahre alte EU-Richtlinie 95/46/EG stammt aus einer Zeit, in der das Internet noch nicht so eine entscheidende Rolle im alltäglichen Leben spielte und Daten nicht zum größten Teil hierüber flossen.
Das BDSG sieht bei Datenschutzverstößen Sanktionen vor, die viele größere Unternehmen kaum wirklich beeindrucken dürften: bis zu 300.00 EUR Bußgelder kann die Aufsichtsbehörde verhängen.
In dem Entwurf der EU-Verordnung sind nun empfindlichere Strafen bis zu einer Million Euro oder zwei Prozent des Umsatzes vorgesehen. Gerade eine prozentuale Strafe kann ein Unternehmen besonders treffen.
Datenschutzbeauftragter nur für größere Unternehmen
Auch die Verpflichtung zur Bestellung eines Datenschutzbeauftragten soll sich durch die EU-Verordnung verändern: laut Entwurf sollen Unternehmen erst ab einer Mitarbeiteranzahl von 250 verpflichtet sein, einen Datenschutzbeauftragten zu bestellen. Dieser Punkt betrifft die meisten europäischen Staaten, die zwar zum Teil die Figur des Datenschutzbeauftragten kennen, aber keine Verpflichtung hierfür in den nationalen Gesetzen vorsehen.
Aber auch in Deutschland würde eine solche Änderung für Wirbel sorgen; zur Zeit bestimmt § 4f Abs.1 BDSG, dass Unternehmen schon bei 9 Mitarbeitern, die „mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind, einen Datenschutzbeauftragten zu bestellen haben. Gerade kleine Unternehmen würden also von der Neuregelung profitieren.
Was hier aber nicht beachtet wurde: Zwar geht es in größeren Unternehmen und Konzernstrukturen häufig um große Datenmengen und -flüsse, vor allem bei Personaldaten. Das sollte aber nicht darüber hinwegtäuschen, dass auch kleinere und mittelständische Unternehmen unter Umständen mit besonders sensiblen Daten wie medizinischen Daten oder mit großen Mengen von Kundendaten umgehen. Ein Datenschutzbeauftragter wäre auch in diesen Fällen durchaus nötig, um zum Beispiel technische und organisatorische Maßnahmen sicherzustellen und Datenübermittlungen sowie Auftragsdatenverarbeitungsverhältnisse zu überprüfen.
Genau dieser Punkt wurde nun auch auf Zypern kritisiert. Großbritannien schlug vor, einen Unterschied zwischen Industrie und solchen Firmen zu machen, die verstärkt Kundendaten verarbeiten; weniger Vorgaben für die einen, mehr für die anderen. Dies würde durchaus Sinn machen – denn allein die Größe eines Unternehmens sagt nicht viel über die Sensibilität der Daten und den datenschutzgerechten Umgang aus.
Fazit: EU-Datenschutz ja, aber nicht um jeden Preis
Es gibt viele Stimmen, die den nationalen Datenschutz durch die Verordnung in Gefahr sehen. EU-Gemeinschaftsrecht könne und solle nicht nationale Gesetze in allen Punkten ersetzen.
Gerade in Deutschland ist der Datenschutz inzwischen umfassend geregelt und findet sich nicht nur im BDSG und den Landesdatenschutzgesetzen, sondern auch in anderen spezifischeren Gesetzen wie zum Beispiel den Sozialgesetzbüchern wieder. Diese Regelungen können und dürfen durch Gemeinschaftsrecht nicht außer Kraft gesetzt werden. Ein EU-Datenschutzrecht bis ins letzte Detail kann nicht den gewünschten Effekt erzielen, sondern wird eher für Unklarheit sorgen.
Trotzdem wird die Verordnung in einigen Punkten auch positive Auswirkungen haben, zum Beispiel im Kampf gegen diejenigen, die das europäische Datenschutzrecht nicht so beachten, wie sie sollten. Facebook und Google werden mit einem einheitlichen europäischen Ansatz eher zu beeindrucken sein als mit Einzelkämpfern wie den Aufsichtsbehörden der deutschen Bundesländer. Dass der Datenschutz und die geplante Verordnung aber zu einem Machtkampf zwischen den Mitgliedstaaten und der EU wird und somit nicht mehr die Sache im Vordergrund steht, wäre für den Bürger die denkbar schlechteste Alternative.
Ausführlicher Bericht über das Treffen der Minister bei der FAZ.
Der Entwurf zur Datenschutz-Verordnung im Überblick bei Telemedicus.
