Der Countdown läuft. Am 25. Mai soll die EU-Datenschutz-Grundverordnung europaweit in Kraft treten, die den EU-Bürgerinnen und Bürgern eine bessere Kontrolle über ihre Daten verspricht – und den Unternehmen neue Pflichten auferlegt. Der Anwendungsbereich der Verordnung wird auf alle Daten-Verarbeitungen ausgeweitet, die sich an EU-Bürger richten und deren Daten verwerten. Das bedeutet, dass auch Unternehmen, die außerhalb der EU angesiedelt sind, aber Daten von EU-Bürgern verarbeiten, dem Recht unterworfen sind.
Auf den ersten Blick ist vom Endspurt nicht viel zu sehen. Luxemburg gehört zu den 26 Mitgliedstaaten, die von der zuständigen EU-Kommissarin Vera Jorouvá vor kurzem gerügt wurden, weil sie mit der Umsetzung der Verordnung hinterherhinken. Der mehr als 100 Seiten starke Gesetzentwurf Nummer 7184 aus dem Medienministerium liegt seit Oktober vor, die ersten Gutachten sind eingetroffen. Die zuständige Medienkommission in der Abgeordnetenkammer hat den DP-Abgeordneten Eugène Berger zum Berichterstatter ernannt und begonnen, den Text zu analysieren.
Gestärkte Datenschützer
Der Internetauftritt der nationalen Datenschutzkommission CNPD wurde im Hinblick auf die neuen Rechte und Pflichten, die das Kontrollorgan künftig haben wird, generalüberholt. Eine Broschüre, die Tina Larssen, Leiterin der CNPD, kürzlich vorgestellt hat, und ein kleiner englischsprachiger Film fassen die wichtigsten Neuerungen zusammen. Es geht um strengere Auflagen für Unternehmen, für die statt 28 nationalen Regelungen nur noch ein gesamteuropäisches Gesamtregelwerk gelten wird.
Auf den Webseiten der Unternehmerverbände und Berufskammern hierzulande ist über die Neuerungen erstaunlich wenig zu erfahren. Auf der Fedil-Webseite ergibt das Stichwort Datenschutz gerade einmal einen Treffer. Während der Zentralverband des Deutschen Handwerks einen eigenen Ratgeber erstellt hat, sucht man ähnliches bei Handwerkerföderation und Handwerkskammer vergeblich. Wer Informationen zum Datenschutz will, muss sich unter www.cdm.lu durch die Aktualitäten klicken, um dann auf eine Seite der EU-Kommission umgeleitet zu werden.
Dabei sorgt die Umsetzung der Verordnung hinter den Kulissen für unruhiges Füßescharren. Vor allem die neue Kompetenz der CNPD, Betrieben und Haltern von Datenbanken bei Datenschutzverletzungen Geldstrafen auferlegen zu können, sorgt für Nervosität. Geradezu erleichtert hält die Handelskammer in ihrem im Februar hinterlegten Gutachten fest, dass die DP/LSAP/Grüne-Regierung es unterlassen habe, den gesamten möglichen Sanktionsspielraum der EU-Verordnung auszuschöpfen und die 18 datenschutzrechtlichen Straftatbestände, die unter dem aktuellen Datenschutzgesetz von 2002 aufgeführt sind, in der Form im neuen Entwurf nicht mehr zu finden sind.
Sorgen, wegen strengerer Auflagen nicht mehr dieselben Dienste anbieten zu können und mehr Geld für Datensicherheit in die Hand nehmen zu müssen, sind in der Wirtschaft groß. Unternehmen und Politik preisen seit geraumer Zeit Big Data als schier unerschöpfliches Zukunftsreservoir, um mit Daten neue Dienstleistungen zu entwickeln und diese Ideen zu Geld zu machen. Der exzessiven Nutzung persönlicher Daten wird indes ein Riegel vorgeschoben. Nicht nur einer.
Nervöse Unternehmen
Denn Bürgerinnen und Bürger müssen einer Verarbeitung ihrer Daten grundsätzlich zustimmen und besser darüber informiert werden, wozu ihre Daten verwendet werden. Firmen müssen für zusätzliche Datenanwendungen die Einwilligung ihrer Kundschaft erfragen. Daten, die für eine Dienstleistung erfasst wurden, können also nicht einfach für andere Zwecke verwendet werden. Wer einen neu entwickelten Newsletter verschicken will, braucht die Einwilligung der Kunden. Wer nicht möchte, dass private Daten verarbeitet werden, kann sie löschen lassen (sofern kein gravierender Speicherungsgrund vorliegt). Und wer zu einem anderen Anbieter wechselt, kann seine Daten (auch Fotos) mitnehmen. Voreinstellungen bei sozialen Netzwerken sollen ebenfalls stärker als bisher auf den Schutz von persönlichen Daten ausgerichtet werden. Bei Zuwiderhandlung und bei Missbrauch persönlicher Daten drohen Rekordstrafen in Höhe von 20 Millionen Euro oder vier Prozent des weltweiten Firmenvermögens.
Die hohen Geldstrafen sind als Signal an Internet-riesen wie Facebook und Google gedacht, die es EU-Bürgern in der Vergangenheit schwer gemacht haben, ihre Rechte zu erkennen und durchzusetzen. Unvergessen ist der Kampf Maximilian Schrems’. Der österreichische Datenschutzaktivist hatte 2011 in Irland Beschwerde gegen Facebook eingelegt, wo das Unternehmen seinen europäischen Sitz hat. Er warf dem Netzwerk Datenschutzverstöße vor, forderte Unterlassung und Schadensersatz. Da die irische Datenschutzbehörde nicht binnen drei Jahren entschied, zog Schrems 2014 in Österreich vor Gericht. Seitdem wurde über Zuständigkeiten gestritten, der Europäische Gerichtshof in Luxemburg entschied, dass Schrems als Privatperson gegen Facebook klagen darf. Da mutet es merkwürdig an, dass eine der Schlussfolgerungen des EuGH-Urteils, nämlich dass Datenschutzbehörden klagen können, im vorliegenden Entwurf fehlt. Schrems hatte auch bei der CNPD in Luxemburg angeklopft, aber die Kommission kann bei Verdacht auf Datenschutzverletzungen nicht vor Gericht ziehen. In Frankreich und Deutschland können Datenschutzbehörden Streitfälle gerichtlich prüfen lasse. Ein wichtiges Recht, das auch in Zukunft fehlen würde, womit Luxemburg nicht EU-rechtskonform wäre. Das erstaunt auch deshalb, weil unter Luxemburger Präsidentschaft die letzte Etappe der EU-Datenschutz-Grundverordnung verhandelt und abgeschlossen worden war.
Auch bei den strafrechtlichen Konsequenzen steht Luxemburg, sollte der Entwurf so verabschiedet werden, geschwächt da. Denn die CNPD kann zwar gegen Betreiber von Datenbanken empfindliche Strafen verhängen. Sollte jedoch jemand Drittes sich unerlaubt Zugang zu Daten verschaffen, gibt es kein Mittel, ihn dafür strafrechtlich zu belangen. Ein Beschäftigter, der Daten missbraucht, muss arbeitsrechtliche Folgen fürchten, aber die Tat wird nicht strafrechtlich verfolgt. „Die Gesellschaft muss sich fragen, welches Signal sie hinsichtlich der Schwere von Datenschutzverletzungen senden will“, meint Thierry Lallemang von der CNPD.
Schutzlücken und kein Rechtsweg
Die Handelskammer sieht diese Schutzlücke in ihrem Gutachten selbst nicht weiter kritisch, sie schaut aus der Perspektive der Betriebe, die Daten möglichst weitreichend nutzen und verarbeiten wollen. Aber ein Arbeitnehmer, der Daten klaut und missbraucht, kann für den Ruf eines Unternehmen gefährlich werden, wie einige Fälle belegen, die derzeit vor Luxemburger Gerichten anhängig sind. Bei einem Fall geht es um die unzulässige Weitergabe sensibler personenbezogener Daten der Sozialversicherung.
Es gibt weitere Schutzlücken und Ungereimtheiten, die stutzen lassen. So sieht Artikel 59 die Nutzung „sensibler“ personenbezogener Daten durch so genannte Gesundheitsdienste (Kliniken, Ärzte) vor, darunter Angaben zur Hautfarbe und Ethnie, zu politischen Einstellungen, zur Gewerkschaftszugehörigkeit. Weshalb diese für Gesundheitsdienste relevant seien, fragt die CNPD in ihrem Gutachten. Laut Gesundheitsministerium macht das Sammeln sensibler persönlicher Daten, wie der Herkunft, im Kontext der personalisierten Medizin Sinn, schließlich gehe es darum, „genau auf die Bedürfnisse und Hintergründe des jeweiligen Patienten einzugehen“. Anders bei Angaben zur politischen Einstellung und Mitgliedschaft in Gewerkschaften. Diese Angaben seien „tatsächlich nicht so relevant“, räumt die zuständige Juristin Linda Schumacher auf Nachfrage ein.
Die Handelskammer hingegen bemängelt, dass die Apotheker nicht zu der privilegierten Gruppe der Gesundheitsdienste zählen. Ihr Gutachten ignoriert grundrechtliche Aspekte weitgehend; sie sorgt sich insbesondere um die „erheblichen organisatorischen informatischen und juristischen Anstrengungen“, die die Umsetzung der Datenschutzbestimmungen für Firmen bedeuteten: Jeder gestandene Betrieb, der Daten professionell verarbeitet und nutzt, muss künftig einen Datenbeauftragten ernennen, der sich fortwährend weiterbilden soll. Das kostet. Die Handelskammer verlangt eine gewisse „Flexibilität“ von der CNPD insbesondere für kleine und mittelgroße Betriebe, die mehr Zeit für die Umstellung benötigen. Die CNPD versucht, Firmen mit Seminaren und Konferenzen zur neuen Rechtslage zu unterstützen.
Deshalb stellt die Handelskammer mit Zufriedenheit fest, dass in den Teilen der Datenschutz-Grundverordnung, die den Ländern einen gewissen Spielraum bei der Umsetzung lassen, etwa zur Problematik zusätzlicher Auflagen bei der Verarbeitung genetischer Daten, der Einführung eines Schutzalters ab mindestens 13 Jahren, oder die Verpflichtung zu einer weiteren neuen Impaktstudie, die Regierung offensichtlich Präzisierungen und Verschärfungen weitgehend vermeidet. Und somit den Unternehmen entgegenkommt. Ein Zugeständnis im internationalen Standortwettbewerb insbesondere im Bereich IT und digitale Datenverarbeitung; Luxemburg will hier zu den Führenden der Welt aufschließen.
Politisch interessant wird, inwiefern der Balanceakt – Schutz von Verbraucherrechten auf der einen und von Unternehmerinteressen auf der anderen Seite – in den Beratungen offen thematisiert werden wird: In Brüssel war Datenschutz ein Thema, das höchste Lobbyaufmerksamkeit bekam. Bisher sind hierzulande kaum Abgeordnete durch große Datenschutzkompetenz aufgefallen; das Dossier ist recht technisch, aber eben nicht nur: Es geht um das Recht der Verbraucher, über ihre Daten selbst bestimmen zu können.