USA macht weiter Druck auf EU-Kommission und gegen die geplante Datenschutzverordnung

Dieser Artikel ist auch verfügbar auf:
Englisch: US continue pushing on EU Commission against Data Protection proposals

Das US-Handelsministerium (Department of Commerce – DoC) hat ein weiteres informelles Papier in Umlauf gesetzt und darin den Vorschlag über eine neue EU-Datenschutzverordnung sowie eine Richtlinie, die Fragen des Datenschutzes im Bereich Zusammenarbeit bei der Strafverfolgung regelt, kommentiert.

Dieses Mal konzentriert sich die Kritik auf folgende Punkte: Die Richtlinie könnte die kommerzielle Interoperabilität behindern und in Bezug auf den Datenschutz für Konsumenten sogar kontraproduktiv sein; sie könnte nachteilige Auswirkungen auf die Redefreiheit und andere Menschenrechte, auf die Zusammenarbeit im Bereich der Strafverfolgung, auf die Zusammenarbeit von Regulierungsbehörden und auf die Zivilgerichtsbarkeit haben.

Dieses hohe Maß an Einflussnahme in die internen Prozesse der Europäischen Kommission ist ausgesprochen ungewöhnlich. Unbestritten ist es bis zu einem gewissen Grad legitim, Bedenken zu äußern, wenn die endgültige Entscheidung über einen Rechtsakt auch international von hoher Bedeutung ist. Das Ausmaß der Einmischung – noch bevor das Europäische Parlament oder der Rat (die Mitgliedsstaaten) auch nur ein Wort darüber verlieren konnten – weist auf einen hohen Grad an Missachtung der EU-Institutionen und deren Fähigkeit, irgendeine offene Fragen zu lösen, hin. Dies, obwohl es sich erst um einen ersten Entwurf in einem Gesetzgebungsprozess handelt, der zwei bis drei Jahre dauern wird.

Laut dem Papier des Handelsministeriums ermöglicht das Safe-Harbour-Abkommen den Austausch von personenbezogenen Daten und ist somit ein "zentrales Element des transatlantischen Handels". Das Ministerium vernachlässigt dabei aber die Ergebnisse verschiedener externer Evaluierungen des EU-US Safe-Harbour-Datenschutzgrundsatzes. Demnach wurde die Einhaltung und Durchsetzung des Abkommens ernsthaft kritisiert, so dass dieses heute als vollkommen unglaubwürdig angesehen wird.

Die US-Note rühmt Artikel 40 und seine Bestimmungen hinsichtlich verbindlicher Unternehmensrichtlinien (Binding Corporate Rules – BCR) als rechtliche Grundlage für die Weitergabe von personenbezogenen Daten an Drittstaaten, verlangt aber nähere Angaben darüber, welche Art von Nachweis die Datenschutzbehörden als ausreichend ansehen werden.

Das Ministerium weist auch darauf hin, dass Verhaltensregeln (von der Art, wie sie in den USA angestrebt werden, obwohl deswegen die Entwicklung der bestehenden Richtlinie misslungen ist) zu einer gesteigerten Interoperabilität und einem besseren Verbraucherschutz führen können. Die EU solle daher nach Möglichkeiten suchen, um diese Verhaltensregeln in verbindliche Unternehmensrichtlinien (BRCs) umzuwandeln.

Die Bestimmung über einen einheitlichen Standard für die informierte Zustimmung wird hingegen heftig kritisiert, weil – so lautet das Argument – sich die Betroffenen leicht überfordert fühlen könnten, wenn diese Bestimmung nicht einfach und aussagekräftig formuliert werden. Ein einziger Standard könne nicht für alle Institutionen und alle Arten von Unternehmen, die Finanzprodukte und -dienstleistungen anbieten, passen, so das DoC.

Das Ministerium kritisiert weiters die konkreten Ausführungen zum Grundsatz des eingebauten Datenschutzes ("privacy by design") sowie die weitreichenden Befugnisse der EU Kommission zur Festlegung technischer Standards – ohne selbst stichhaltige Argumente gegen den vorgeschlagenen Grundsatz des eingebauten Datenschutzes vorzubringen. Einige Bestimmungen – wie die Informationspflicht bei Datenmissbrauch oder das Recht auf Vergessen – werden sogar als undurchführbar abqualifiziert, weil sie den Handel belasten würden ohne dabei den Verbraucherschutz zu verbessern.

Im Gegensatz zur ersten Note vom Dezember 2011 gesteht das US-Handelsministerium ein, dass die USA auf Bundesebene selbst einige Bestimmungen über die Informationspflicht in Kraft sind, wiederholt aber dennoch seine Kritik an der Verpflichtung, die betroffenen "Datensubjekte" innerhalb von 24 Stunden über Datenpannen zu informieren. Dieser Zeitraum sei "einfach zu kurz" und könnte daher zu "massiven Strafzahlungen" für Unternehmen führen. Außerdem könnte es zu für die Konsumenten verwirrenden "falschen Alarmmeldungen" kommen.

Der Verordnungsentwurf wird zudem als unvereinbar mit dem globalen Charakter des Internets angesehen, weil damit auch Webseiten ohne rechtliche Verbindung zu Europa in den Zuständigkeitsbereich der EU fallen würden (also genau das, was die USA mit ihrem aktuellen Vorstößen im Bereich des Urheberrechts vorhaben). Laut der DoC-Note sei der Begriff "gerichtet an" ("directed to") in Paragraph 15 weder ausreichend definiert noch gehe das Mäßigungsprinzip weit genug. Interessanterweise bestehen aber keine derartigen Einwände gegen die "an die Einwohner der USA gerichtet"-Bestimmung, die im geplanten Protect IP Act (PIPA – US-Gesetz zum Schutz des geistigen Eigentums) vorgesehen ist.

Wie erwähnt, stuft das DoC das "Recht auf Vergessen" als Bedrohung der Redefreiheit ein und befindet die Bestimmung für technisch nicht umsetzbar; zudem werde der offene und dezentrale Charakter des Internets außer Acht gelassen. Das Ministerium drückt seine Besorgnis darüber aus, dass die in Artikel 80 vorgesehenen Ausnahmen viel enger seien als es dem Recht auf freie Meinungsäußerung entspricht, dass das "Recht" auf Vergessen kein international anerkanntes Reich sei und der Schutz der Redefreiheit damit aufgehoben werde.

Das Ministerium scheint dabei aber zu vergessen, dass dieser Artikel auf bereits bestehendem Unionsrecht beruht (1995/46/EG, Artikel 12 b) und dass seine Bedenken sehr leicht ausgeräumt werden können, indem die Formulierungen im aktuellen Verordnungsentwurf präzisiert werden.

Natürlich ist das DoC auch sehr besorgt wegen der geplanten Datenschutzbestimmungen im Bereich der polizeilichen und justiziellen Zusammenarbeit. Der Entwurf sieht eine Beschränkung des Austauschs von Informationen und Beweismitteln auf "das notwendige Mindestmaß" vor – das ist ein nützlicher, wenn auch nicht beabsichtigter Hinweis darauf, dass der Entwurf den Anforderungen der Grundrechte-Charta genügt.

Die US-Vertreter sind auch über die Tatsache unglücklich, dass andere Instrumente zum Austausch von Informationen mit den EU-Mitgliedsstaaten der geplanten Verordnung wahrscheinlich nicht mehr entsprechen werden – denn bestehende Instrumente müssten künftig bestimmte und "problematische" Datenschutzanforderungen erfüllen. Darüber hinaus fürchtet das Handelsministerium, dass das derzeit in den USA bestehende "strenge Datenschutzsystem" (das übrigens nicht für EU-Bürger gilt) verloren ginge, weil man gezwungen wäre, die europäischen Datenschutzprinzipien zu übernehmen.

Weiters kritisiert das DoC die Bestimmungen über den Datentransfer (Art. 37-41) mit dem Argument, diese würden die auf Kooperationsvereinbarungen beruhende Zusammenarbeit und den Datenaustausch zwischen den Aufsichtsbehörden in den USA, der EU und den EU-Mitgliedsstaaten untergraben.

Sodann wird Artikel 42 bemängelt, weil die vorgesehenen Einschränkungen den Zugang zu Informationen von US-Unternehmen verhindern oder verzögern und Auswirkungen auf Nachforschungen von EU-Unternehmen und Bürgern haben könnten. Absurderweise hat das DoC Bedenken, weil ein derzeit nicht normierter Bereich, der den Austausch von Daten ohne rechtliche Grundlage und ohne Kontrollmechanismen erlaubt, geregelt werden soll.

Laut US-Ministerium könnte sich Artikel 42 auch auf US-Unternehmen mit Standorten innerhalb der Union sowie deren Geschäftstätigkeit in den USA auswirken. Dazu muss festgehalten werden, dass die USA derzeit Maßnahmen wie den Foreign Intelligence Surveillance Act dazu benutzen, um über Unternehmen mit US-Büros Informationen über die politische Aktivitäten fremder Personen zu sammeln, die keineswegs in Kontakt mit den USA stehen müssen. Dieses rechtliche Vakuum würde Artikel 42 künftig regeln.

Eine ungewöhnlich große Zahl von Kommissionsdiensten hat negative interne Stellungnahmen zum Verordnungsentwurf abgegeben und damit den internen Diskussionsprozess verzögert (siehe die beiden u.a. Stellungnahmen). Dieser Umstand ist teilweise auf das massive Lobbying (einschließlich Anrufe von höchster Ebene bei hochrangigen Kommissionsbeamten) durch das US-Handelsministeriums und die Federal Trade Commission (US Wettbewerbs- und Verbraucherschutzbehörde) zurückzuführen. Der offizielle Verordnungsentwurf, der ja bisher nur in seiner durchgesickerten Fassung bekannt ist, soll nun im Februar oder März veröffentlicht werden.

(Ein Beitrag von Kirsten Fiedler - EDRi)

* First informal note circulated by the US (21.12.2011)
* Second informal note by the US (16.01.2012)
* Opinion DG Trade (21.12.2011)
* Opinion DG Infos (21.12.2011)
* Chris Connolly (Galexia), US Safe Harbor - Fact or Fiction?, Privacy Laws and Business International, issue 96, December 2008
* The implementation of Commission Decision 520/2000/EC on the adequate protection of personal data provided by the Safe Harbour privacy Principles and related Frequently Asked Questions issued by the US Department of Commerce SEC(2004)1323