EU-Kommissarin Viviane Reding hat Anfang 2012 die Reform des EU-Datenschutzes vorgestellt, nach der das bisher auf der EU-Datenschutzrichtlinie (DSRL) basierende Regime durch eine in allen EU-Mitgliedsstaaten verbindliche Datenschutz-Grundverordnung (DSGVO) ersetzt werden soll. Als Grund für die Novellierung wurde vor allem die fortschreitende Globalisierung und Digitalisierung angegeben. Im Gegensatz zur DSRL ermöglicht es die DSGVO den EU-Mitgliedsstaaten nicht mehr, strengere nationale Regelungen entsprechend ihrer Rechtstraditionen vorzusehen.

In den letzten Jahren entwickelte sich der Entwurf zu einem der umfassendsten Rechtssetzungsprojekte in der EU-Geschichte. Nie zuvor waren der Widerstand und der Lobbyismus vor allem vonseiten amerikanischer IT-Unternehmen sowie in- und ausländischer Regierungen so groß. Dies zeigt sich sowohl an der Zahl der eingebrachten Änderungsanträge als auch an der Art und Weise der versuchten Einflussnahme, die teilweise über das gerechtfertigte und sachliche Maß hinausging.

Dies verwundert nicht, denn nie war es technisch leichter, umfassend personenbezogene Daten zu sammeln und zu verwerten. Sie sind heute nicht nur Erkenntnisquelle für Sicherheitsbehörden und Geheimdienste, sondern auch begehrter ökonomischer Rohstoff für Unternehmen wie Facebook und Google, die durch das Sammeln personenbezogener Daten Milliardengewinne schreiben. Dies machte Google zu einem der wertvollsten Unternehmen der Welt. Eine dem ökonomischen Wert der preisgegebenen Daten entsprechende Gegenleistung erhält die einzelne Person aufgrund des meist noch mangelnden Verständnisses für den Wert von Daten jedoch nicht.

Nachdem im Oktober 2013 der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) seinen Entwurf der Reform nach Einarbeitung tausender Änderungsvorschläge absegnete (LIBE-Entwurf), verzögert sich die Verabschiedung der DSGVO nunmehr durch den anhaltenden Streit im EU-Ministerrat. So wurde etwa von deutscher Seite die Ausnahme des öffentlichen Sektors gefordert. Die Briten kritisierten wiederum die für Unternehmen erwachsenden Mehrkosten durch die Installierung von Datenschutzbeauftragten gegenüber dem bisherigen System der DSRL. Dabei wurde von der EU-Kommission proklamiert, die DSGVO würde Unternehmen Einsparungen von ca. 2,3 Milliarden Euro jährlich, mehr Wachstum, Arbeitsplätze und Innovationen bringen.

Zu wenig Bürgernähe

Weitere Streitpunkte waren unter anderem das Ausmaß der Sanktionen, die Mitnahme der Daten zwischen Anbietern (Datenoperabilität) sowie verfahrensbezogene Fragen der aufsichtsbehördlichen Zuständigkeit (one-stop-shop mechanism). Dieser hätte zur Folge, dass z. B. eine französische Behörde über Datenschutzverstöße in Österreich entscheidet, wenn die Hauptniederlassung eines Konzerns in Frankreich ist. Die angepriesene Verwaltungsvereinfachung sowie Bürgernähe wird damit schwerlich erreicht.

Schließlich wurden zahlreiche mediale Paukenschläge wie die Einführung des "Rechts auf Vergessenwerden" als kaum nennenswerte Veränderungen gegenüber der DSRL entlarvt. In Wahrheit ergeben sie sich vielfach schon aus der Datenschutzkonvention des Europarates aus dem Jahre 1981 bzw. der DSRL. Sie sind somit eher als EU-PR-Aktionen zu werten.

Da Österreich traditionell ein Staat mit stark ausgeprägtem Datenschutz ist, haben die österreichischen Bürger und Unternehmen besonders viel zu verlieren. So schützt die DSGVO im Gegensatz zum österreichischen Datenschutzgesetz keine Unternehmensdaten. Dies ist bedauerlich, denn nach dem Bundesverband der Deutschen Industrie beläuft sich der durch Ausspionieren von Unternehmensdaten verursachte Schaden allein in Deutschland auf zweistellige Milliardenbeträge jährlich. Die Einbeziehung solcher Daten in den Anwendungsbereich der DSGVO könnte den betroffenen Unternehmen und der EU (staatlichen Behörden) das rechtliche Instrumentarium in die Hand geben, zusätzlich auch auf Basis des Datenschutzrechts gegen Verstöße vorzugehen. Dies erscheint allein schon wegen der vorgesehenen Sanktionen als sinnvoll.

Unabhängig davon sorgt die teils fragwürdige Werbetrommel und Diskussion für Verunsicherung der Bürger und Unternehmen. Oftmals werden vereinzelte, niemals ausschließbare Missbrauchsfälle zum Gegenstand der Diskussion gemacht. Dabei wird vergessen, dass die DSRL aufgrund ihrer technikneutralen Formulierung bereits alle adäquaten Regularien zum Schutz personenbezogener Daten enthält, die sich im Wesentlichen kaum von der DSGVO unterscheiden.

Nicht vor der Europawahl

Im Jänner musste Reding zugestehen, dass die DSGVO nicht mehr vor der Europawahl im Mai beschlossen wird. Eine andere Zusammensetzung des EU-Parlaments könnte den LIBE-Entwurf kippen und die Verabschiedung der DSGVO auf unabsehbare Zeit vertagen. Auch der jüngste EU-Gipfel, bei dem es vorwiegend um Fragen des internationalen Datentransfers ging, brachte keine konkreten Fortschritte.

Schließlich ist hervorzuheben, dass der Schutz personenbezogener Daten primär von der Aufklärung der Bürger sowie der Ernsthaftigkeit der Durchsetzung durch EU und EU-Mitgliedsstaaten abhängt. Daran wird auch ein neues Datenschutzregime nichts ändern. (Ekkehard Diregger, DER STANDARD, 12.3.2014)