Enttäuschend: Der Berichtsentwurf des Berichterstatters des Europäischen Parlaments (Jan Philipp Albrecht; Grüne) zum Entwurf der EU-Datenschutzverordnung. Zu viele impraktikable Lösungen sind beibehalten, stellenweise gar verschärft worden. Auf die wichtigen Kritikpunkte wurde kaum eingegangen. Von dem angeblich massiven Lobbying der Industrie ist bei diesem Berichtsentwurf wenig zu spüren, hier scheint etwas Panikmache betrieben zu werden).

Hier liste ich einige Punkte an Änderungsvorschlägen des Berichtentwurfs auf, die mir bei einer kursorischen Übersicht aufgefallen sind. Meine Meinung zum Entwurf der EU-Datenschutzverordnung hatte ich bereits hier dargelegt.

Das Positive zum Berichtsentwurf vorab:

Der Berichtsentwurf enthält auch klare Verbesserungen. Diese sind zum Beispiel:

• Das sinnlose und technisch nicht durchführbare „Recht auf Vergessenwerden“ wird eingeschränkt, hier wurde die bestehende Kritik also tatsächlich berücksichtigt;
• Internationale Abkommen, die die Datenübermittlung in Drittstaaten regeln (Das bekannteste: „Safe Harbor“ mit den USA) sollen nun alle 2 Jahre überprüft werden. Das ist zu begrüßen, da gegen Safe Harbor regelmäßig Kritik vorgebracht wird, dass es nutzlos sei und keine Erhöhung des Datenschutzniveaus darstelle (dem ist wohl zuzustimmen) (Ergänzung des Erwägungsgrundes 134);
• Verbessert wurde die Regelung zur Auftragsdatenverarbeitung, Artikel 34 Abs. 2. Die Vorabschätzung der Risiken bei der Datenverarbeitung wird jetzt nicht mehr den Datenschutzbehörden aufgebürdet, sondern den Datenschutzbeauftragten der Firmen überlassen – wie dies nach dem BDSG der Fall ist. Die Einschaltung der Behörden hätte zu deren Überforderung und damit einer längeren Prüfdauer geführt. (Mehr dazu im Bereich „Negatives“.)
• Die Strafen wurden nicht verschärft. Bislang sind im Höchstfall 2 % des weltweiten Jahresumsatzes bei Datenschutzverstößen vorgesehen. Dies ist bereits eine immens hohe Strafe, die völlig ausreichend ist. Ein Erhöhung war unnötig, bereits jetzt ist der Abschreckungseffekt hoch genug.
• Die bislang viel zu mächtige Rolle der EU-Kommission wurde deutlich abgeschwächt (Amandment 289 zu Art. 58). Stattdessen werden diese Rechte nun dem Gremium aller nationalen Aufsichtsbehörden zugewiesen. Immerhin.
• Der Zweckbindungsgrundsatz wird wieder stärker betont (Amendment 103 zu Art. 6).

Die Verschlimmbesserungen:

Es gibt in dem Berichtsentwurf nicht nur schwarz und weiß, sondern auch Verschlimmbesserungen:

• Nach dem Entwurf der Kommission wurden IP-Adressen (und andere teils zuordenbare Pseudonyme) in Art. 4 Abs. 1 und 2 als der absoluten Definition unterworfen. Folge wäre gewesen, dass alle Pseudonyme als personenbezogenes Datum gelten würden. In Erwägungsgrund 24 wurde das Gegenteil vertreten: IPs seien relativ zu sehen. Positiv: Die offensichtliche Unrichtigkeit würde durch den Berichtsentwurf beseitigt. Negativ: Man entscheidet sich für die absolute Definiton, obwohl die relative Definition viel sinnvoller ist. (Ausführlich habe ich die Diskussion zum Datenschutz bei IP-Adressen im Blog IP-Notiz beschrieben; eine Kurzfassung gibt es hier).
• Positiv ist, dass der bisherige Art. 6 Abs. 1 f, der die Datenverarbeitung „zur Wahrung berechtigter Interessen“ gestattete nun genauer definiert werden soll. Bislang konnte dies sehr weit ausgelegt werden, nun gibt es klare Regelungen. Ob diese die Verarbeitungsrechte der Unternehmen zu weit einschränken, bedarf einer detaillierten Untersuchung. Übrigens: Die Regelung ist keine „Hintertüre“, sondern eine völlig übliche Regelung – im BDSG ist diese bislang in § 28 Abs. 1, S. 1 Nr. 2 enthalten und leistet gute Dienste.
• Kurios ist die Ergänzung des Erwägungsgrund 29: Es wird klargestellt, dass der besondere Schutz von Kindern den Schutz von Erwachsenen nicht abwerten soll. Keiner hätte das gedacht! Die Klausel schadet nicht, aber sorgt völlig unnötig für mehr Papier.

Überraschend: Mehrere Änderungen zum schlechten

Leider enthält der Berichtsentwurf auch deutliche Verschlechterungen:

• Der Datenschutzbeauftragte in Unternehmen ist nun nicht mehr von der Anzahl der Mitarbeiter im Unternehmen abhängig. Stattdessen soll der Datenschutzbeauftragte dann einzusetzen sein, wenn ein Unternehmen die Daten von mehr als 500 Personen verarbeitet (Amendment 223 zu Art. 35). Es ist fraglich, ob den Beteiligten bewusst ist, dass nach dieser Formulierung neuerdings praktisch jedes Unternehmen einen Beauftragten bestellen müsste. Denn 500 E-Mail Adressen sind für einen E-Mail-Newsletter schnell gesammelt. Damit dürfte die Grenze erreicht sein. Bislang hätte der Datenschutzbeauftragte in kaum einem Unternehmen mehr bestellt werden müssen, nun plötzlich in jedem. Auch das Abstellen auf die „legal person“, womit wohl eine juristische Person (GmbH, Ltd. usw.) gemeint ist, ist wenig sinnvoll: So war z.B. Schlecker in der Form eines Einzelkaufmanns ausgestaltet, demnach wäre hier trotz der Größe kein Datenschutzbeauftragter nötig gewesen. Stattdessen sollte die relativ hohe Grenze als Verpflichtung beibehalten werden und Erleichterungen für Unternehmen geschaffen werden, die freiwillig einen solchen bestellen.
• Die Rechte auf Information und Datenlöschung durch den Betroffenen wurden noch weiter gestärkt (Amendment zu Artikeln 11 – 21) und sorgen für mehr Verwaltungsaufwand.
• Die Verbesserungen bei der Auftragsdatenverarbeitung gehen nicht weit genug. Noch immer fehlt der Regelung die klare Privilegierung, wie sie bislang besteht.
• Das m.E. gravierendste Problem im Europäischen Datenschutzrecht ist, dass zwar ein hoher Schutzstandard besteht – dieser jedoch immer dann unterlaufen wird, wenn die USA politische Anforderungen stellen, Stichwort Fluggastdaten und SWIFT-Abkommen. Hier wird mit Zustimmung der EU gravierend in die Grundrechte aller Bürger eingegriffen. Der Entwurf der Verordnung äußert sich dazu mit keinem Wort, die Daten werden also wie bisher fließen.
• Auch die Vorratsdatenspeicherung wird ausgeklammert. Die VDS läuft den Zielen der Datenschutzverordnung völlig zuwider, dennoch scheint sich hier nichts zu ändern.

Ergebnis der groben Beurteilung des Berichtsentwurfs:

Angesichts der harschen Kritik, der die Richtlinie ausgesetzt ist, enttäuscht der Berichtsentwurf. Auf die gravierenden Mängel wird kaum eingegangen, nur verhältnismäßig wenige Verbesserungen vorgenommen. Viele offensichtliche Lücken und Nicht-umsetzbare Regelungen bestehen weiterhin (siehe dazu mein ausführlicher Blogbeitrag). Es ist zu hoffen, dass die Verordnung nicht im Hau-ruck-Verfahren durchgesetzt wird, sondern die Kritik seitens der Wissenschaft tatsächlich gewürdigt und umgesetzt wird.

Leseempfehlung:

• Stellungnahme des Deutschen Anwaltsvereins;
• Stellungnahme der DGRI;
• Schneider/Härting, Impulse für eine Modernisierung des „Datenschutzes“, DGRI-Jahrbuch 2011, S. 15 ff.
• Netzpolitik.org: Der Berichtsentwurf in der Bewertung durch Bejamin Bergemann; Der Autor kommt zu größtenteils zu völlig anderen Bewertungen als ich;
• Der Datenschutz – Berichtsentwurf des euroäpischen Parlaments im Volltext.

Autor: RA Matthias Lachenmann