Netzpolitik
05.08.2013

Die NSA-Debatte und EU-Datenschutz-Initiativen

In der NSA-Debatte wird parteiübergreifend nach stärkeren EU-Datenschutzregeln gerufen. Die EU-Datenschutzrichtlinie stammt aus dem Jahr 1995. Anfang 2012 hat die EU-Kommission vorgeschlagen, die Regelungen zu erneuern und die Richtlinie in eine Verordnung umzuwandeln - umgesetzt wurde bisher aber noch nichts.

In der NSA-Debatte wird parteiübergreifend nach stärkeren EU-Datenschutzregeln gerufen, damit deutsche Staatsbürger vor Spionage etwa aus den USA geschützt werden. Erst am Montag verlangte die deutsche Justizministerin Sabine Leutheusser-Schnarrenberger (FDP) ein „Maßnahmenpaket" gegen die vermutete massenhafte Ausspähung durch die NSA und verwies auf die EU.

Doch obwohl die EU-Kommission bereits am 25. Jänner 2012 Vorschläge zur Reform des EU-Datenschutzes vorgelegt hat, ist noch nichts umgesetzt. Der Grund sind vor allem Einsprüche der EU-Regierungen. Es folgt ein Überblick über die verschiedenen juristischen Initiativen auf EU-Ebene. Direkte Regelungen für die Arbeit der Geheimdienste kann die EU-Kommission aber nicht aufstellen, weil diese weiter rein nationale Angelegenheit sind.

Die EU-Datenschutzrichtlinie stammt aus dem Jahr 1995. Anfang 2012 hat die EU-Kommission vorgeschlagen, die Regelungen zu erneuern und die Richtlinie in eine Verordnung umzuwandeln. Das hat mehrere gewichtige Gründe: Zum einen konnten in der Richtlinie wichtige Bereiche des Datenschutzes etwa im Internet noch nicht behandelt werden, weil sie sich erst später entwickelt haben. Zum anderen ist die Richtlinie national sehr unterschiedlich umgesetzt worden - bei einer Verordnung haben die Mitgliedstaaten kein Spielraum mehr. Dies würde auch Rechtskonflikte wie den zwischen Spanien und dem US-Konzern Google vor dem Europäischen Gerichtshof verhindern, der um die Frage kreist, welchen Regeln das Unternehmen eigentlich unterworfen ist.

Umgang mit Daten von Kunden
Geregelt werden soll in der Datenschutzverordnung vor allem der Umgang von Unternehmen mit den Daten ihrer Kunden. Ein Kernelement ist dabei die Einführung des Marktortprinzips: Danach müssten sich etwa US-Konzerne wie Google oder Facebook, die in Europa tätig sind, im Umgang mit Daten von Europäern an EU-Recht halten, auch wenn amerikanisches Recht ein anderes Verhalten von ihnen fordert. Im Extremfall könnte US-Unternehmen bei Missachtung der Zugang zu dem immer noch größten Binnenmarkt der Welt untersagt werden. Auch die Bundesregierung befürwortet nach Angaben des Innen- und Justizministeriums mittlerweile diese Regelung.

Im EU-Innen- und Justizrat hat sich nach Aussagen von EU- Diplomaten die Debatte seit den Berichten der NSA-Ausspähaktionen verändert. „Zuvor ließen sich selten deutsche Minister blicken", sagt ein Diplomat in Brüssel. Aber am informellen Treffen im Juli nahmen angesichts der großen medialen Aufmerksamkeit sowohl Leutheusser-Schnarrenberger als auch der federführende Innenminister Hans-Peter Friedrich (CSU) teil.

Ausnahmen für kleine Firmen
Kritik kam in den vergangenen Monaten aus zwei verschiedenen Richtungen. Die einen fanden die neue Verordnung zu unternehmensfreundlich, weil sie etwa für kleine Firmen unter 250 Angestellten eine Reihe von Ausnahmen vorsieht. Andere Regierungen wie die britische lehnten dagegen schärfere Datenschutz-Standards als wirtschaftsschädlich ab. Länder wie Irland warben bei internationalen Konzernen damit, dass sie niedrigere Datenschutz-Anforderungen haben. Seit den NSA-Enthüllungen schlägt das Pendel aber in Richtung eines strafferen Datenschutzes für alle EU-Staaten aus. EU-Kommissarin Viviane Reding zeigte sich vergangene Woche zuversichtlich, dass die Verordnung 2014 beschlossen wird.

Die EU-Kommission plant aber auch weitere Reformen. So stellte Reding im Justiz- und Innenministerrat Mitte Juli das sogenannte Safe-Harbour-Abkommen (Sicherer Hafen) mit den USA infrage, das Grundlage des Datenaustausches von Unternehmen in den EU mit den USA ist. Sie argumentiert, dass in den USA rechtsverbindliche Datenschutzstandards fehlten und EU-Bürger in den USA auch nicht juristisch gegen den Missbrauch ihrer übermittelten Daten vorgehen könnten. Die USA seien deshalb kein Land, das einen „adäquaten", mit der EU vergleichbaren Standard liefere. Vor einem Monat regte ihre Kollegin Cecilia Malmström an, auch die Datenschutzregeln für den transatlantischen Austausch von Bank- und Fluggastdaten zu prüfen.

Rechtsvereinbarung fehlt
EU-Kommissarin Reding verhandelt seit mehr als drei Jahren zudem ein Rahmenabkommen mit den USA für den Bereich der Strafverfolgung. Denn auch hier fehlt eine Rechtsvereinbarung, wie Betroffene im Falle eines Strafverfahrens aufgrund übermittelter Daten vorgehen können. Betroffenen Amerikanern steht der Rechtsweg in der EU offen, während Europäer in den USA nicht klagen können. Wollen US-Behörden Zugriff auf Daten von EU-Bürgern haben, müssten die USA zudem den Weg über das 2010 geschlossene Rechtshilfeabkommen mit der EU gehen statt sich direkt an Unternehmen zu wenden.

Mehr zum Thema

  • Zusammenarbeit BND & NSA "nicht schlimm"
  • BND bestätigt Datenweitergabe an NSA
  • BND übermittelte NSA Metadaten in großem Stil
  • Neuseeland: Staat will Bürger bespitzeln