Die Computers, Privacy and Data Protection-Konferenz in Brüssel findet jährlich rund um den Europäischen Datenschutztag statt. In diesem Jahr ist die Datenschutzreform das Thema schlechthin. Leider immer noch, denn ihre Verabschiedung wird vor allem in Deutschland verzögert.

Gleich zwei hochrangig besetzte Podien widmeten sich der Reform. „Fixing the last Bugs“, also etwa die letzten Schwächen zu beheben, darum ging es am Mittwochmorgen, moderiert vom ehemaligen Bundesdatenschutzbeauftragten Peter Schaar. Für ihn war der größte Bug die Ausnahme der EU-Institutionen aus der Reform selbst. Ganz konkret soll die geplante Datenschutzverordnung nämlich nicht für EU-Institutionen, etwa das Parlament und die Kommission, gelten. Dem schloss sich auch Hielke Hijmans vom Europäischen Datenschutzbeauftragten (EDPS) an. Sein Chef, der europäische Datenschutzbeauftragte Peter Hustinx, habe schon in einem Brief an Kommissionsvizepräsidentin Reding deutlich gemacht, dass es keine gute Idee sei, EU-Institutionen von ihren eigenen Regeln auszunehmen.

EU nimmt sich von eigenen Regeln aus

Dass dadurch die Ideale einer solchen Reform leiden, wenn die EU sich selbst nicht an die Regeln halten will, die sie den Staaten und Unternehmen auferlegt, liegt auf der Hand. Gerade im Hinblick auf die verzögernde Haltung bei der Nachfolge von Peter Hustinx ein berechtigter Vorwurf. Immerhin ist eine stärkere Rolle für die Datenschutzbeauftragten ein wichtiges Ziel der Reform. Mit dem neuen Gesetzespaket sollen härtere Strafen bei Verstößen möglich werden und die Behörden insgesamt unabhängiger agieren. Ein wichtiger Punkt, den Mario Oetheimer von der Fundamental Rights Agency der EU sehr hervorhob.

Weitere letzte Bugs, die vor der Verabschiedung behoben werden müssen, sahen die Teilnehmenden auf dem Podium im so genannten „risk based approach“ (Artikel 32a) und im ungeklärten Ablauf für das so genannte „one-stop shop“-Verfahren. Dieses soll sicherstellen, dass Unternehmen genau einen Ansprechpartner für Datenschutzfragen haben, Bürgerinnen und Bürger aber ebenfalls genau einen Ansprechpartner haben, nämlich die Datenschutzbehörde ihres Heimatlandes. Hier ist dann die Zusammenarbeit der Datenschutzbehörden untereinander gefragt. Sonst bliebe es dabei, dass Facebook Ireland weiterhin nur der irischen Datenschutzbehörde Rechenschaft ablegen muss, die nicht gerade bekannt ist für wirksame Maßnahmen.

Deutschland verzögert und verzögert

Auf dem zweiten Podium rund um die EU-Datenschutzreform fielen dann drastische Worte. Der polnische Datenschutzbeauftragte gab zu, jede Hoffnung verloren zu haben, die Datenschutzreform noch in dieser EU-Legislaturperiode zu verabschieden, die im Mai diesen Jahres endet. Das bestmögliche Ergebnis sei, so Wojciech Wiewiórowski, eine Verabschiedung Ende des Sommers, wenn das neugewähltes EU-Parlament die bisher erreichte Arbeit einfach übernimmt, aber es bestehe die Gefahr, dass einige wichtige Befürworter von der Reform abließen.

Paul Nemitz, Vertreter der Europäischen Kommission stimmte positivere Töne an. Die Reform könne durchaus bald verabschiedet werden, dazu müssten lediglich einige Staaten ihre Blockadehaltung aufgeben. Dabei dürfte Nemitz auch das deutsche Innenministerium im Kopf haben, das immer wieder neue Zweifel an der Reform sät. Nicht nur Nemitz schien über diese Blockadehaltung der Bundesregierung verärgert, auch die Zivilgesellschaft, die Anna Fielder von Privacy International vertrat, mahnte an, dass der Rat endlich Fortschritte erzielen müsse.

Aus dem Publikum erinnerte Marc Rotenberg von der amerikanischen Bürgerrechtsorganisation EPIC daran, dass die EU die Gelegenheit habe, einen weltweiten Standard im Datenschutz zu setzen. Dies würde die Rechte der Bürger und Verbraucher weltweit stärken. Dass es bei diesem Projekt immer noch Verzögerungen gibt, seien ganz und gar keine guten Nachrichten.

In weiteren Rollen: Vorratsdatenspeicherung und NSA

In den weiteren Diskussionen des abwechslungsreichen Programms ging es um den Stand der Dinge bei der Vorratsdatenspeicherung, die ja nicht nur in Deutschland, sondern auch auf EU-Ebene gerade wieder diskutiert wird. Andreas Krisch vom Österreichischen AK-Vorrat erinnerte an die hohe Zahl von Missbrauchsfällen und die schwammigen Formulierung in der Richtlinie, die die Vorratsdatenspeicherung bei „schweren Verbrechen“ vorsieht – ein schlichtweg nicht definierter Begriff, den jeder Mitgliedstaat anders auslegt.

Am Rand der CPDP wurde in einem Workshop gestern der Entwurf für den Bericht des NSA-Untersuchungsausschusses vorgestellt, der etwa die Forderungen enthält, die Verhandlungen über TTIP und das SWIFT-Abkommen auf Eis zu legen. Über diesen Bericht wird das EU-Parlament im März abstimmen. Ein Beispiel, das sich auch der Bundestag nehmen könnte und endlich auch einen NSA-Ausschuss einsetzen könnte.

(Bild: Xavier Häpe cc-by-nc 2.0)