Das EU-Datenschutzpaket: Mehr Beachtung der Richtlinie für den Polizei und Justizbereich!
Inputreferat für die gemeinsame Sitzung von Mitgliedern des EU-Ausschusses und der Assemblée nationale am 17. Juni in Paris
Seit zwei Jahren wird auf EU-Ebene das sogenannte „Datenschutzpaket“ verhandelt. Es besteht aus der Datenschutz-Grundverordnung [1] und der Datenschutz-Richtlinie für den Polizei und Justizbereich [2]. Das derzeit geltende EU-Datenschutzrecht stammt aus dem Jahr 1995.
Die Verordnung schreibt nach ihrer Verabschiedung in der gesamten EU ein europäisches Datenschutzrecht für den privaten und öffentlichen Bereich vor (eine Verordnung gilt unmittelbar für alle Mitgliedstaaten). Ausgenommen ist der Polizei- und Justizbereich, der lediglich als Richtlinie gefasst ist und damit Vorgaben für die einzelnen Parlamente enthält (eine Richtlinie muss erst in nationales Recht umgesetzt werden).
Im Januar 2012 hatte die Europäische Kommission ihre beiden Entwürfe präsentiert. Das Europäische Parlament (EP) hatte rund 3.000 Änderungsvorschläge gemacht und sich nach intensiver Beratung im federführenden Ausschuss für bürgerliche Freiheiten, Justiz und Inneres auf einen Text geeinigt.
Am 12. März 2014 stimmte das EP der EU-Datenschutzreform in erster Lesung mit großer Mehrheit zu: Von den 653 Abgeordneten stimmten 621 für den ausgehandelten Text. Bei der Richtlinie für den Polizei und Justizbereich stimmten 371 Abgeordnete für den Vorschlag, 276 dagegen und 30 enthielten sich. Das Verhältnis spiegelt in etwa die vorherige Abstimmung der Verordnung und der Richtlinie im Innenausschuss wider. Justizkommissarin Viviane Reding warb anlässlich der Abstimmung für Datenschutz als Wirtschaftsfaktor. Europaskeptiker/innen erklärten hingegen die Daten selbst zu Wirtschaftfaktoren, deren Fluss nicht gehindert werden dürfe.
Nun müssen eigentlich weitere Schritte in einem Trilog aus dem EP, dem Rat und der Europäischen Kommission ausgehandelt werden. Während sich das EP verhandlungsbereit zeigt, scheint es keine Einigkeit unter dem Mitgliedstaaten zu geben. Kritiker/innen monieren, vor allem die deutsche und britische Regierung blockierten das Datenschutzpaket. Im Sommer versprach die Bundeskanzlerin angesichts des NSA-Skandals eine schnelle Regelung für den EU-Datenschutz, im Koalitionsvertrag ist allerdings nur von „zügig“ die Rede. Auf dem EU-Gipfel im Oktober wollte sich Merkel aber nicht hinter die Forderung Frankreichs, Italiens und Polens stellen, das Datenschutzpaket bis 2014 abzuschließen.
Der deutsche Bundesrat hat dies am 23. Mai in einer Stellungnahme kritisiert: Demnach sei es unerlässlich, dass zeitnah ein einheitlicher Rechtsrahmen für den Datenschutz auf EU-Ebene gefunden werde (eine frühere Stellungnahme findet sich hier).
Jan Philipp Albrecht (Grüne), der Berichterstatter für die Datenschutz-Grundverordnung, sowie der sozialdemokratische Schattenberichterstatter Dimitrios Droutsas und viele weitere Abgeordnete kritisierten den Ministerrat bereits bei der EP-Abstimmung im März für die unverantwortliche Verzögerungstaktik. Der Rat solle stattdessen die Position des Parlaments übernehmen, wo sich Vertreter aller Parteien aus allen Ländern auf ein gemeinsames Dokument geeinigt hätten.
Im Januar hieß es, beim Juni-Treffen der Innen- und Justizminister solle ein Verhandlungsmandat für den Trilog verabschiedet werden. Es verzögert sich aber weiterhin (hier und hier sind zwei recht frische Sachstände zum Thema).
Beim JI-Rat haben sich die Minister vergangene Woche auf eine sogenannte „partielle politische Einigung“ („partial general approach“) geeinigt. Darin sollen die territoriale Geltung der Datenschutzgrundverordnung, die Weitergabe von Daten an Drittstaaten und internationale Organisationen diskutiert werden. Außerdem ist weiter strittig, inwiefern multinationale Konzerne und internationale Organisationen personenbezogene Daten innerhalb ihrer Netze über Landesgrenzen sowie die EU-Grenze prozessieren dürfen.
Die „partielle politische Einigung“ ist aber nur ein winziger Fortschritt, denn trotzdem muss das Paket später als Ganzes abgestimmt werden. Die Präsidentschaft erhält dadurch kein Mandat zur Einberufung eines Trilogs mit dem EP und der Kommission.
Deutschland wird weiter bremsen: Der parlamentarische Staatssekretär Günter Krings (CDU) im Bundesinnenministerium erklärte im Mai, im Entwurf des EU-Parlaments befänden sich zwar „viele gute Elemente”. Auf Herausforderungen wie Big Data oder das Internet der Dinge gebe es aber „noch keine ausreichenden Antworten”. Diese Position vertritt die Bundesregierung aber seit zwei Jahren.
Laut der Justizkommissarin Viviane Reding ist Deutschland das „Zünglein an der Waage”:
„Wenn Deutschland aufhört mit dem Blockieren, dann haben wir eine neue Datenschutz-Grundverordnung. Dass Länder wie England nie mit dem Blockieren aufhören werden, das scheint mir eine Evidenz zu sein. Einige arbeiten in Europa in dem Sinne mehr mit den Amerikanern als mit den europäischen Partnern.“
Allerdings muss diskutiert werden, ob die EU mit dem Richtlinienentwurf nicht ihre in den EU-Verträgen klar geregelte Kompetenz überschreitet. Dies argwöhnt ja auch der Bundesrat, wonach als Rechtsgrundlage der Richtlinie nicht der Vertrag über die Arbeitsweise der Europäischen Union herangezogen werden kann. Die Richtlinie könnte auch das derzeit existierende Grundrechtsniveau verwässern. Ich will deshalb hier einige wichtige Punkte skizzieren, hinter die wir nicht zurückfallen dürfen:
- Geht es um Datenschutz oder freien Datenverkehr für Sicherheitsbehörden? Der Titel der Richtlinie lässt berechtigtes Misstrauen aufkommen und suggeriert, dass dem freien Datenverkehr von Sicherheitsbehörden Vorfahrt vor dem Datenschutz eingeräumt wird.
- Das Prinzip der Datensparsamkeit, als Hauptsäule des Datenschutzes, ist nicht einmal als Aufgabe formuliert worden.
- Das im Richtlinien-Entwurf vorgesehene Datenschutzniveau bleibt teilweise hinter dem nach dem Vorschlag für die Datenschutz-Grundverordnung für den privaten und sonstigen öffentlichen Bereich zurück.
- Die Zielformulierung der Richtlinie müsste mindestens klarstellen, dass es sich um eine Mindestharmonisierung handelt, von der die Mitgliedstaaten zugunsten eines höheren Schutzniveaus abweichen können.
- Es fehlt die Festlegung auf einen hohen Schutzstandard. Entsprechende Kriterien für ein hohes Datenschutzniveau müssten präzisiert werden (z.B. gering/ mittel/ gut/ sehr gut).
- Nicht hinnehmbar wäre, dass eine Übermittlung polizeilicher Informationen sogar ohne Feststellung eines angemessenen Datenschutzniveaus beim Empfänger möglich sein soll.
- Auch aus Gründen der Subsidiarität darf die Richtlinie keine Vorschriften für die innerstaatliche Datenverarbeitung machen.
- Ausnahmeregelungen zur Weitergabe an Dritte und Drittstaaten oder internationale Organisationen sind viel zu weit gefasst.
- Die Zweckbindungsgrundsätze sind viel zu weit und unklar beschrieben: Die Erfahrung zeigt, dass immer wieder Datenbanken zu allen möglichen Zwecken eingerichtet werden und die Zweckbestimmung später korrigiert wird.
- Eine Kennzeichnung der Daten nach Herkunft und Zweck ist auch deshalb erforderlich, damit dieser Zweck auch nach einer Übermittlung an Dritte erhalten bleibt.
- Die Richtlinie dürfte nicht nur für Behörden gelten, sondern müsste auf Private ausgedehnt werden: Beispielsweise werden immer mehr Bereiche der Flughafensicherheit oder auch Gefängnisse privatisiert.
- Die engste Zweckbindung und Herkunftskennung fehlen, denn Polizeien und Geheimdienste sind in vielen EU-Staaten institutionell nicht klar getrennt. Es droht also die Vereinfachung der Zusammenarbeit von Geheimdiensten.
- Ein Auskunftsrecht von betroffenen Personen müsste niedrigschwellig, also auch kostenfrei sein.
- Die öffentliche Aufmerksamkeit war stark auf die Datenschutz-Grundverordnung fokussiert. Der Richtlinienentwurf für Polizei und Justiz geriet außer Acht und droht nun im Windschatten durchgewunken zu werden. Zugeständnisse zu mehr Datenschutz bei der Verordnung könnten zu weniger Datenschutz bei der Richtlinie führen.
Zur Erinnerung: Die EU-Richtlinie zur Vorratsdatenspeicherung war von Deutschland zunächst nicht umgesetzt worden. Die Position der Bundesregierung war aber nicht einheitlich; es gab eine Blockade durch den Streit zwischen Innen- und Justizministerium. Die kritische Einstellung des Justizministeriums wäre aber ohne die in Deutschland sehr starke netzpolitische und bürgerrechtsbetonte Bewegung nicht denkbar gewesen! Hiervon müssen wir profitieren: Denn glücklicherweise gibt es auch zum Datenschutzpaket eine große Aufmerksamkeit in der europäischen Bürgerrechtsbewegung.
Auch bei der Datenschutz-Richtlinie muss unsere Position also so restriktiv wie möglich sein. Nur so kann jeglichem zukünftigen Missbrauch jetzt schon vorgebeugt werden.
[1] Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr; Datenschutz-Grundverordnung)
[2] Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr.