Anwendungsbereich der Verordnung nicht weiter einschränken
Anlässlich des gerade stattfindenden Zusammentreffens der Innen- und Justizminister in Dublin hofft der SPÖ-EU-Abgeordnete Josef Weidenholzer, Mitglied des federführenden Ausschusses für bürgerliche Freiheiten, Justiz und Inneres, dass die Mitgliedstaaten die Chance, die das Datenschutz-Paket bietet, ergreifen und es nicht boykottieren. Konkret befinden sich drei Elemente – Ausnahmen, Recht auf Vergessen und Sanktionen – auf der Tagesordnung des informellen Ratstreffens in Dublin, wo die von Viviane Reding präsentierte und derzeit intensiv im EU-Parlament diskutierte Datenschutzverordnung behandelt wird. „Jetzt liegt es an den Mitgliedstaaten und der irischen Ratspräsidentschaft, sich für einen starken einheitlichen Datenschutz in Europa einzusetzen“, so Weidenholzer am Freitag gegenüber dem Pressedienst der SPÖ.
Weidenholzer fordert, den Anwendungsbereich der Verordnung – entgegen dem Vorschlag der irischen Ratspräsidentschaft im Vorfeld des Treffens – nicht einzuschränken und die Ausnahmen nicht zu erweitern. „Einheitliche Datenschutz-Regelungen sollen umfassenden Geltungsanspruch haben, zumal der Schutz der persönlichen Daten in der Charta der Grundrechte verankert ist.“ Auch die angedachte Schwächung des ‚Rechts auf Vergessen‘ stößt bei Weidenholzer auf Widerstand: „Es geht um ein Kernstück, nämlich um den Rechtsanspruch auf Datenschutz, der nicht fallen darf.“ Auch bezüglich der Sanktionen meint der EU-Abgeordnete: „Es ist nicht einzusehen, dass große Unternehmen mit Datenschutzverletzungen Profit machen und mit Minimalstrafen oder gar Verwarnungen davonkommen.“ Weidenholzer fordert eine Anhebung der Strafen, wie sie in ursprünglichen Kommissionsüberlegungen zur Datenschutz-Verordnung schon vorhanden waren.
Die Europäische Union hat das Jahr 2013 zum Jahr der BürgerInnenrechte bestimmt und der Stärkung der Unionsrechte eine hohe Priorität beigemessen. Auch die irische Präsidentschaft gibt in ihrem offiziellen Arbeitsprogramm die Kontrolle der BürgerInnen über ihre persönlichen Daten als Ziel an. „Es geht aber nicht nur um die Stärkung der BürgerInnenrechte, sondern auch um die Stärkung der Industrie: Datenschutz ist die Grundvoraussetzung für das Funktionieren und Wachsen des Online-Binnenmarktes. Derzeit vertraut kaum jemand darauf, dass mit den Daten sicher umgegangen wird. Auf so wenig Vertrauen kann kein Markt aufbauen“, sagt der Europaparlamentarier. „Wem das Funktionieren und das Wachstum des Online-Binnenmarktes ein Anliegen ist, sollte sich für umfassende Datenschutz-Regelungen einsetzen.“

Österreich werde im heutigen EU-Ministerrat „wirksame und effektive Sanktionen“ bei Datenschutzverstößen verlangen, heißt es unisono aus Bundeskanzleramt und Justizministerium.
„Die österreichische Bundesregierung unterstützt das von der Kommission vorgeschlagene Regime, dessen Wirksamkeit nicht geschmälert werden darf“, sagte ein Sprecher von Bundeskanzler Werner Faymann auf Anfrage an ORF.at. Man trete daher für „wirksame und effektive Sanktionen“ bei Verstößen gegen die Datenschutzgesetze ein.
Neben der Novellierung der Datenschutzrichtlinie von 1995 ist eine weitere Begleitrichtlinie im Werden, die den Strafrahmen für Datenschutzdelikte vorgibt. Beide Richtlinienentwürfe wurden von der EU-Kommission gestartet.
Beim informellen Treffen der Innen- und Justizminister, das heute in Dublin begonnen hat, werden die Delegationen der EU-Mitgliedsstaaten darüber diskutieren. Den Vorsitz hat die irische Regierung inne, die seit Anfang Jänner turnusmäßig die Ratspräsidentschaft übernommen hat.

Verstöße, Sanktionen, Rügen

Ein erstes „Diskussionspapier“ dieser Ratspräsidentschaft, das am Montag – wie berichtet – an die Öffentlichkeit gelangt war, hatte für beträchtliche Aufregung gesorgt. Sein Tenor: Bei Verstößen gegen das Datenschutzgesetz sollten Geldstrafen optional sein, nach Ermessen der jeweiligen, nationalen Datenschutzbehörde sollten vielmehr „Ermahnungen“ oder „Rügen“ ausgesprochen werden.
Über Einzelheiten wie die genaue Staffelung der Strafen oder die technische Umsetzung etwa des „Rechts auf Vergessen“ könne natürlich verhandelt werden, heißt es aus dem Bundeskanzleramt dazu. Die Hauptstoßrichtung des Kommissionsvorschlags aber sei jedenfalls beizubehalten.

Die Position Österreichs

Bei aller betonten Verhandlungsbereitschaft bezieht die österreichische Bundesregierung damit eine klare Position gegen die irischen Vorschläge. Aus dem ebenfalls damit befassten Justizministerium hieß es am Mittwochnachmittag dazu unisono auf Anfrage von ORF.at: „Die Frau Bundesministerin wird sich auf der Ratssitzung in Dublin für ein effektives ?anktionssystem in dieser Angelegenheit aussprechen. Die Rechtsdurchsetzung beim Datenschutz muss gestärkt werden“.
Zusammen ist das eine direkte Absage an das in Suggestivfragen gehüllte Vorhaben der irischen Regierung, den in Irland offenbar gebräuchlichen Umgang mit dem Datenschutz möglichst unverändert zu prolongieren.

Prioritäten, tief gehängt

Die dortige Datenschutzbehörde verfügt über unzureichende Mittel, zu wenig Personal und hat in der Praxis überhaupt keine relevanten Sanktionsmöglichkeiten. Wie tief die Prioritäten in Sachen Datenschutz in Irland gehängt sind, zeigt eine ganze Reihe von einschlägigen Fällen, die seit 2010 aufgeflogen ist.
In mehreren, gerichtsnotorischen Fällen hatten Beamte der „Garda“ genannten irischen Polizei in den „Vorratsdaten“ und anderen Polizeidatenbanken Personen aus ihrem persönlichen Nahfeld ausspioniert. Die irische Datenschutzbehörde verlautbarte hierauf bei jedem Fall, dass leider den bereits 2007 ausgesprochenen Empfehlungen der Datenschützer nicht entsprochen worden war.

Ignorierte Empfehlungen

Empfohlen worden war eine Implementierung von Login-Statistiken von polizeilichen Datenbanken und deren laufende Überprüfung auf Missbrauch. Passiert war das offensichtlich deshalb nicht, weil derlei Empfehlungen angesichts fehlender Sanktionen gefahrlos ignoriert werden können.
In Österreich werden sämtliche Abfragen in den Datenbanken des Innenministeriums seit mehr als zehn Jahren protokolliert und auf möglichen Missbrauch stichprobenartig überprüft.

Verurteilung in Österreich

Davor waren nach und nach immer mehr Fälle missbräuchliche Verwendungen des Polizeisystems EKIS im Wiener Innenministerium ans Licht gekommen, bis sie in einem Skandal kumuliert waren. In Konsequenz daraus wurden Regeln für die Abfragen eingeführt, die mit internen Sanktionen gekoppelt sind.
Die Folge war, dass zumindest diese Form der illegalen Zugriffe stark zurückgegangenen sein muss, denn es werden nur noch vereinzelt einschlägige Fälle bekannt.
2010 wurde ein steirischer FPÖ-Gemeinderat und Polizist wegen Missbrauchs dieses „Erkenntnisdienstlichen Informationssystems“ verurteilt. Man hatte ihn bei einer Stichprobe erwischt.

Irgendwo bei Tullamore

Ein derartiges Regelwerk, das quer durch Europa für Polizeibehörden mittlerweile Standard ist, wurde in Irland bis heute offenbar nicht umgesetzt. Wie es um die Prioritäten beim Datenschutz in Irland steht, zeigt allein schon der Standort.
Datenschutzkommissar Billy Hawkes und seine Behörde wurden buchstäblich in der Mitte von Nirgendwo angesiedelt, nämlich am Rande des zentralirischen Städtchens Portarlington. In einem einstöckige Gebäude namens the „Canal House“, das aussieht wie das Gemeindeamt eines burgenländischen Straßendorfs, residiert jene Behörde, die überprüfen soll, ob Facebook, Google und Co die europäischen Datenschutzgesetze einhalten.

Legale Waschgänge, Strafgelder

In Irland haben so gut wie alle relevanten IT- und Internetfirmen aus den USA ihre Europazentralen etabliert. Und hier versteuern sie auch ihre Gewinne aus dem gesamten europäischen Geschäft, beziehungsweise was von den Gewinnen übrig ist, nachdem die Gelder mehrere, ganz legale „Waschgänge“ meist über Holland und Steuerparadiese in der Karibik durchlaufen haben, wenn sie nicht überhaupt dort erst endbesteuert werden.
Das eingangs zitierte „Regime“ ist der von der Kommission vorgeschlagene Strafen-Katalog, der bei schweren oder gar systematischen Verstößen Strafgelder zwischen einem halben bis zwei Prozent des gesamten Jahresumsatzes der Firma vorsieht. Für Unternehmen in den Dimensionen von Google oder Apple kämen in einem solchen Fall schnell ein paar hundert Millionen Euro zusammen, das sind Summen, die auch die Internetgiganten nicht einfach wegstecken können.

Standortpolitik, Suggestivfragen

Für alle am Ministerrat Beteiligten ist natürlich klar, dass Irland hier reine Standortpolitik betreibt. Auf dieser politischen Ebene sagt man das natürlich nicht so plump heraus, schon gar nicht beim Start von Verhandlungen zum Thema.
Zum Vorschlag der Iren, der wie alle anderen als Suggestivfrage verkleidet ist, das erwähnte „Recht auf Vergessen-Werden“ im Kommissionsentwurf doch nicht so eng zu sehen, äußerte man sich von österreichischer Seite dann auch entsprechend diplomatisch.

Vergessen werden

Die Bundesregierung unterstütze „die Weiterentwicklung des Rechts, vergessen zu werden im Vorschlag der Kommission“, hieß es dazu aus dem Bundeskanzleramt. Wie eng der Rahmen in diesem Fall gezogen werde, sei Sache der Verhandlungen.
Damit werden die Datenschutzbehörden in die Pflicht genommen, dieses Recht für davon Betroffene auch durchzusetzen. Wenn eine zum Privatperson gegen ihren Willen z.B. auf einem Foto abgebildet und vielleicht sogar „getagged“, also namentlich identifiziert ist, soll das Recht auf Löschung etwa bei Facebook auch durchgesetzt werden können.

Wie es weitergeht

Nachdem der Ministerrat den Entwurf abgehandelt hat, kommt er mit entsprechenden Modifikationen in die Ausschüsse des EU-Parlaments und wird danach im Plenum abgestimmt. Es wird also noch ein paar Monate dauern, bis die beiden Richtlinien auf EU-Ebene finalisiert sind. Sodann müssen sie in den Mitgliedsstaaten umgesetzt werden, wobei die Fristen in der Regel zwischen zwölf und 18 Monaten betragen.
Was den irischen Katalog der Suggestivfragen angeht, so ist diese Vorgangsweise im Ministerrat durchaus gängige Praxis. Auch im Fall, dass die Vorschläge rundweg abgeschmettert werden, gibt es keine Gewinner oder Verlierer. Es wurde ja gar nichts vorgeschlagen. Es wurde nur gefragt.
Hier geht’s zum Artikel auf fm4.orf.at

Bei der Umsetzung des neuen EU-Datenschutzpaketes wird Irlands Ratspräsidentschaft über die kommenden sechs Monate eine zentrale Rolle spielen. Während die Industrie heftig für eine Aufweichung lobbyiert, mahnen Datenschützer zum Ergreifen der “historischen Chance”.

„Die neue EU-Datenschutzverordnung braucht mehr öffentliche Präsenz“, sagt SP-EU-Abgeordneter Josef Weidenholzer am Donnerstag im Rahmen einer Pressekonferenz in Dublin. Die Rolle der irischen EU-Ratspräsidentschaft, die das Land mit 1. Jänner angetreten hat,  sei entscheidend. Es gebe ein massives Ungleichgewicht zwischen der Industrie auf der einen und den Bürgern auf der anderen Seite. Während die Konzerne laut Weidenholzer „stärker denn je“ Druck ausüben, würden die Bürgerinteressen kaum Gehör finden.
„Das Problem ist, dass wir jetzt ein Fenster von sechs, vielleicht sieben Monaten haben, um die neue Datenschutzverordnung umzusetzen“, so Weidenholzer. Gelinge dies nicht, sei davon auszugehen, dass es auch über die kommenden vier bis fünf Jahre keine Verbesserung in punkto Datenschutz geben werde. Daher sei eine  breite öffentliche Diskussion jetzt unbedingt notwendig.
Dem pflichtet auch Facebook-Kritiker Max Schrems von der Initiative europe vs facebook bei, der sich im Rahmen der Pressekonferenz gemeinsam mit Weidenholzer und der irischen Datenschutzexpertin Sadhbh McCarthy für die Umsetzung der neuen Datenschutzverordnung aussprach. „Wir haben derzeit unterschiedliche Länder mit sehr unterschiedlichen Datenschutzregelungen in der EU“, so Schrems. Würde man in Deutschland für Verstöße sehr streng in die Pflicht genommen, seien in anderen Ländern wiederum kaum Konsequenzen zu befürchten. Das wesentliche Problem aber sei, dass es derzeit zu niedrige Strafen für IT-Konzerne wie Facebook oder Google gebe, wenn gegen den Datenschutz verstoßen wird.

„Zurzeit sind die Strafen einfach zu niedrig“, sagt Schrems. Von den Konzernen würde der Datenschutz oft gar nicht ernst genommen, da ohnehin kaum Konsequenzen drohen. Die derzeitigen Strafzahlungen täten den großen Unternehmen kaum weh. Weiters sieht das neue Gesetz auch das so genannte „Recht auf Vergessen“ vor, was bedeutet, dass Unternehmen personenbezogene Daten löschen müssen, wenn die Rechtmäßigkeit der Verarbeitung dieser Daten auf der Zustimmung des Betroffenen beruhte und diese Zustimmung widerrufen wird. „Hinzu kommt, dass es endlich möglich wird, auch im eigenen Land zu klagen. Ich muss dann nicht mehr nach Irland, um gegen Facebook eine Klage einzubringen“, sagt Schrems.
Momentan sei selbst für die Firmen oft nicht klar, was überhaupt erlaubt ist und was nicht. Mit der neuen Datenschutzregelung werde endlich so etwas wie ein roter Faden ersichtlich. „Wir fürchten uns im Moment aber tatsächlich sehr vor dem Lobbying, das seitens der Industrie stattfindet“, betont auch der Facebook-Kritiker. Gleichzeitig gebe es seitens Bürgerorganisationen kaum ein solches Lobbying.
Besorgnis über irische Haltung
Dass die Industrie massiven Druck auf die Politik ausübt, wurde zuletzt am Montag deutlich, als die Bürgerrechtsorganisation EDRI (futurezone-Bericht hier) ein Papier veröffentlichte, wonach sich Irland nun eher für eine Aufweichung des Datenschutzes stark machen will denn für die neue geplante EU-Regelung. Anstatt höherer Strafen schlägt Irland vor, die Firmen überhaupt nur zu „verwarnen“, Strafen solle man nur „optional“ einsetzen.
Nicht nur Weidenholzer und Schrems zeigen sich besorgt über die irische Haltung. Auch Sadhbh McCarthy, Gründungsmitglied und Direktorin des CIES (Centre for Irish and European Security), sieht die große Chance zu einem neuen Datenschutzrecht seitens Irland gefährdet. „Wir brauchen eine Ausgewogenheit zwischen Industrie und den Interessen der Bürger.“ McCarthy warnt in diesem Zusammenhang auch vor staatlicher Überwachung. Während Unternehmen vor allem daran interessiert seien, mit Nutzerdaten Geld zu verdienen, und es weniger um das Individuum gehe, hättem die Behörden eben genau die einzelnen Bürger im Visier. „Dies birgt eine große Gefahr und wir müssen hier massiven Druck auf die irische Regierung ausüben.“
Historische Chance
„Wir haben ein kleines Fenster für ein historisches Datenschutzrecht, dieses kann neue Standards setzen und zeigen, dass Europa fähig ist, gemeinsam Probleme zu lösen“, mahnt Weidenholzer. Die EU müsse diese Chance jetzt nutzen, dies könne ein sehr wichtiger Beitrag der irischen Präsidentschaft sein.
Weidenholzer verweist in dem Zusammenhang auch darauf, dass sich die Mehrheit der europäischen Bürger ein besseres Datenschutzrecht wünschen würde. „Es gibt wenig Vetrauen in Unternehmen, nur 22 Prozent der Europäer trauen Suchmaschinen und Social-Media-Seiten, 70 Prozent fürchten, dass ihre Daten zu unrechtmäßigen Zwecken missbraucht werden könnten“, erläutert der Politiker. Das sei ein ernstes Problem. „Die Bürger müssen mehr Kontrolle über eigene Daten erhalten, die neue Verordnung würde das möglich machen, was sehr positiv wäre.“ Daher sei die Reform unbedingt umzusetzen, sagt Weidenholzer. „Wir hoffen, dass Irland sich seiner Rolle bewusst ist, denn diese kann nur von der Präsidentschaft eingenommen werden.“
Hier geht’s zum Artikel auf futurzone.at