Die EU-Kommission drängt auf Nachbesserungen an dem umstrittenen Gesetzentwurf, mit dem die Bundesregierung das hiesige Recht an die in 400 Tagen greifende europäische Datenschutzreform anpassen will. Das Bundeskabinett sei mit der Initiative zwar allen anderen Mitgliedsstaaten voraus, räumte die Kabinettschefin von Justizkommissarin Věra Jourová, Renate Nikolay, am Donnerstag bei einer Veranstaltung der Stiftung Datenschutz in Berlin ein. "Wir sind damit aber immer noch nicht ganz zufrieden." Dies habe die Brüsseler Regierungseinrichtung auch in einem Schreiben an das Bundesinnenministerium vorigen Monat zum Ausdruck gebracht.

Als grundsätzlichen Grund zur Sorge angesichts des Entwurfs machte Nikolay vermeintliche Öffnungsklauseln in der Datenschutzverordnung aus, von denen die Bundesregierung im neuen Bundesdatenschutzgesetz Gebrauch machen will. Diese seien im EU-Recht nämlich gar nicht angelegt, die Verordnung allenfalls für nationale "Spezifizierungen" offen.

Deutschland "will Harmonisierung unterlaufen"

Renate Nikolay mit Frederick Richter von der Stiftung Datenschutz (Bild: heise online/Stefan Krempl)

Konkret geht laut der leitenden Brüsseler Beamtin Paragraf 23 des deutschen Entwurfs zu weit. Darin hat die Bundesregierung breite Möglichkeiten skizziert, nach denen öffentliche Stellen erhobene persönliche Daten auch für andere Zwecke weiterverarbeiten dürften. Wenn dies in anderen EU-Ländern Schule mache, "haben wir wieder die alte Spaghetti-Schüssel", monierte Nikolay. Berlin sei dabei, die angestrebte Harmonisierung zu unterlaufen. Dabei müsse aber klar sein: "Wir haben es mit einer Verordnung zu tun, die im Fall eines Falles direkt gilt."

Die Kommission reibt sich der Insiderin zufolge auch daran, dass die Bundesregierung die in der Verordnung verankerten Rechte der Betroffenen einschränken will, über sie gespeicherte Daten einzusehen und gegebenenfalls korrigieren oder löschen zu lassen. Sie habe zwar Verständnis für den Ansatz, der Industrie 4.0 möglichst viel erlauben zu wollen auch mit personenbezogenen Informationen. Das "Recht auf Vergessen" sei in der Verordnung aber klar gefasst. Nikolay machte daher deutlich, dass sich die Kommission "weiter im Dialog" mit den deutschen Gremien befinde, aber auch die "Gefahr des Vertragsverletzungsverfahren" bestehe.

Die Mitarbeiterin Jourovás unterstrich allgemein, dass die Kommission den "Countdown" bis zum Mai 2018 "sehr ernst" nehme und in allen Mitgliedsstaaten darauf achten werde, dass das Ziel der einheitlichen Datenschutzregeln nicht aus dem Blick gerate. "Wir müssen das richtig hinkriegen", betonte sie, da es sonst mit dem geplanten digitalen Binnenmarkt nichts werde.

Nachbesserungen reichen nicht aus

Die große Koalition hat mittlerweile einen Änderungsantrag für die hiesige Datenschutzreform vorgelegt, wonach sie vor allem bei den Betroffenenrechten etwas nachjustieren und Ausnahmen davon nur noch für hauptsächlich analog arbeitende Betriebe wie Bäckereien vorsehen will. Die skizzierten Korrekturen gingen aber nicht weit genug und blieben hinter den Forderungen der Kommission und der nationalen Aufsichtsbehörden zurück, erklärte die niedersächsische Datenschutzbeauftragte, Barbara Thiel, am Rand der Veranstaltung gegenüber heise online. Auch ihrer Meinung nach müsse die Leitschnur letztlich immer die Verordnung sein.

Den nationalen Kontrollgremien kommt laut Nikolay eine "extrem wichtige Rolle" zu, damit die neuen EU-Regeln kohärent angewendet werden. Sie müssten dafür letztlich über den geplanten übergreifenden Datenschutzausschuss Sorge tragen. Sollte es dort zu unauflösbaren Widersprüchlichkeiten kommen, könnte die Kommission auch solche Streitfragen vor den Europäischen Gerichtshof (EuGH) bringen. Mit einer ersten Richtlinie zur Interpretation des neuen Rechts auf Datenportabilität sei die noch amtierende Artikel-29-Gruppe der EU-Datenschutzbeaufragten aber "übers Ziel hinausgeschossen". Die Klausel sei auf soziale Netzwerke ausgerichtet und müsse praktikabel sein etwa auch für Finanzdienstleister.

Die Juristin riet den europäischen Datenschützern, mit ihrer neuen wichtigen Rolle "anders aufzutreten" und vor allem den Dialog mit der Wirtschaft deutlich zu intensivieren. Orientierungshilfen für die Betroffenen seien wichtig, aber auch diese letztlich "nicht in Zement gegossen". Die Kommission selbst plane mehrere Kampagnen, um insbesondere kleine und mittlere Unternehmen sowie die Bürger über die mit der Verordnung einhergehenden rechtlichen Änderungen aufzuklären.

Keine Sorge um Privacy Shield

Beim Privacy Shield für den Datenaustausch zwischen Firmen auf dem alten Kontinent und den USA sieht Nikolay soweit alles im grünen Bereich, obwohl der neue US-Präsident Donald Trump mit einer Verordnung zunächst für Verunsicherung sorgte. Sie sei Ende März mit der Kommissarin in Washington gewesen, wo sich US-Handelsminister Wilbur Ross klar hinter den Schild gestellt habe: "Er hat alles gesagt, was wir hören wollten." Es gebe bislang auch keine Hinweise darauf, dass Trump entscheidende Verordnungen seines Vorgängers Barack Obama aufheben wolle, mit denen die NSA-Massenüberwachung eingeschränkt worden sei. Einen Akkord in B-moll bilde die Tatsache, dass nach dem Regierungswechsel "noch rund 4000 Leute in der zweiten und dritten Reihe" der Ressorts fehlten, darunter die für den Datenschutzvertrag entscheidende Ombudsperson.

Die aktuelle kritische Resolution des EU-Parlaments zum Privacy Shield wertete Nikolay als "nicht superdramatisch". Entgegen einer Vorlage der Linken hätten die Abgeordneten letztlich nicht verlangt, das Abkommen zu suspendieren. Letztlich sei die Entschließung "für uns gute Munition gegenüber den Amerikanern, dass wir das ernsthaft überprüfen und in medias res gehen müssen". Mit Japan hält die Kommissionsvertreterin eine vergleichbare Übereinkunft für möglich, da sich die dortige jüngste Datenschutzreform sehr weit am EU-Rahmen orientiert habe. Mit Großbritannien gebe es in diesem Bereich auch nach dem Brexit Potenzial für eine "sehr, sehr enge Zusammenarbeit". (mho)