Zentrale Speicherung als Rückschlag gegenüber Datenschutz-Grundverordnung und Debatte um Privacy Shield.
Wien. Vorige Woche fanden eine Zwischenrunde und zwei Finale im Match um den Datenschutz in Europa statt.
Zunächst ging es um die Frage, ob Daten künftig wieder vereinfacht aus Europa an Unternehmen in den USA übermittelt werden dürfen. Nachdem der Europäische Gerichtshof am 6. Oktober im Verfahren Schrems das sogenannte Safe-Harbor-Abkommen, das einen solchen vereinfachten Datentransfer zuließ, mit sofortiger Wirkung aufhob, war die Spannung groß, wie es weitergehen würde. Anfang Februar präsentierte EU-Justizkommissarin Věra Jourová auf einer Pressekonferenz ein Logo und einen Namen für den künftigen Privacy Shield – aber noch keinen Text, außer dreier Absätze in einer Presseerklärung. Ende Februar kam dann der Text nachgeliefert – mehr als 150 Seiten Papier, hauptsächlich bestehend aus brieflichen Zusagen von Behörden und Ministerien in den USA an die EU-Kommission.
Nicht genügend für EU/US-Plan
Die nationalen Datenschutzbehörden prüften diesen Papierstapel im Rahmen der sogenannten Artikel-29-Datenschutzgruppe und verkündeten ihr Ergebnis vorigen Mittwoch. Diplomatisch, aber dennoch sehr bestimmt wurde der EU-Kommission mitgeteilt, was die Gruppe von dem Textkonvolut hält: Es mangle nicht nur insgesamt an Klarheit, sondern es würden darin auch einige der elementaren Datenschutzprinzipien wie das der Zweckbindung nicht angesprochen. Die Unabhängigkeit und Durchschlagskraft des von der US-Regierung in Aussicht gestellten Ombudsmanns zur Kontrolle des Zugriffs staatlicher Behörden auf jene Daten von EU-Bürgern, die in die USA transferiert werden, wurde angezweifelt. Die Artikel-29-Gruppe forderte die EU-Kommission daher auf, diese Probleme zu lösen und den Entwurf entsprechend zu verbessern – was dessen derzeitiger Ablehnung gleichkommt. 1:0 für den Datenschutz.
Am Tag darauf um Punkt zwölf Uhr fand die finale Abstimmung über die Datenschutz-Grundverordnung im Europäischen Parlament statt. Nach mehr als vier Jahren Verhandlung dauerte diese keine zwei Minuten. Der Entwurf wurde angenommen, obwohl darin noch immer viele Unklarheiten enthalten sind. Eines von vielen Beispielen im Text: „Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.“ Es ist völlig unklar, was dieser Satzteil „leicht erreicht werden“ bedeuten soll. Mit dem Auto? Flugzeug? Am Telefon? Per E-Mail?
Oder ein anderes Beispiel: Unternehmen müssen auf Wunsch ihrer Kunden deren Daten in elektronischer Form direkt an ein anderes Unternehmen (also z. B. einen Konkurrenten) übertragen, wenn die Verarbeitung auf der Zustimmung des Kunden oder einem Vertrag mit diesem beruht und die Datenverarbeitung automatisiert erfolgt, „soweit dies technisch machbar ist“. Wann die Übertragung technisch machbar ist oder nicht, wird aber mit keinem Wort weiter erklärt. Die Möglichkeit für die EU-Kommission, diese Regelung künftig noch weiter zu spezifizieren, hat man in den Verhandlungen aus politischen Gründen einfach gestrichen.
Es sind also auch weiterhin viele Regeln nur schwer durchschaubar, weil die entscheidenden Begriffe in diesen oft nicht näher erläutert werden. Im Ergebnis wird der genaue Inhalt vieler Regeln daher erst in Jahren vom Gerichtshof der Europäischen Union geklärt werden. Bis dahin herrscht Rechtsunsicherheit.
Millionenstrafen drohen
Mit der Abstimmung im Europäischen Parlament wurde das Gesetzgebungsverfahren aber nun beendet, und die Datenschutz-Grundverordnung tritt am 20. Tag nach ihrer Veröffentlichung in Kraft und zwei Jahre danach in Geltung. Das wird also voraussichtlich im Mai oder Juni 2018 sein. Aufgrund des immensen neuen Strafrahmens von bis zu vier Prozent des Umsatzes oder 20 Millionen Euro, die dann gelten werden, sind Unternehmen aber gezwungen, sich nun intensiv mit Datenschutzrecht auseinanderzusetzen und umsichtiger mit den Daten ihrer Mitarbeiter und Kunden umzugehen. Daher 2:0 für den Datenschutz.
Doch das Match ging weiter: Nur eine Minute nach der Datenschutz-Grundverordnung wurde im Europäischen Parlament über die Frage der Passagierdatenübermittlung abgestimmt. Die Abstimmung war ein Krimi über mehrere Minuten, denn es mussten noch zahlreiche Änderungsanträge angenommen werden. Nach fünf Jahren Diskussion darüber war es dann aber schließlich so weit: Auch dieser Entwurf wurde angenommen. Er bedeutet, dass künftig von Flugpassagieren bis zu 60 verschiedene Daten fünf Jahre lang in einer zentralisierten Datenbank gespeichert werden, darunter das an Bord bestellte Essen und Beobachtungen von Mitarbeitern der Fluglinie, die in einem Freitextfeld vermerkt werden können.
Auch hier wurden, wie bei der Datenschutz-Grundverordnung, die Weichen für das nächste Jahrzehnt gestellt. Allerdings in die gegenteilige Richtung: Mit der Richtlinie zur Fluggastdatenspeicherung habe das EU-Parlament den Weg in ein komplett überwachtes Europa geebnet, meinte dazu Alexander Sander, Hauptgeschäftsführer des Vereins Digitale Gesellschaft. In letzter Minute somit nur ein 2:1 für den Datenschutz.
Dr. Rainer Knyrim ist Partner bei Preslmayr Rechtsanwälte, Wien.
("Die Presse", Print-Ausgabe, 18.04.2016)