Die EU-DS-GVO ist ziemlich tot….bis auf Weiteres

Während ich mich hier gerade auf Mallorca befinde, hat der EU-Ministerrat gestern am 6.6.2013 zur Europäischen Datenschutz-Grundverordnung (EU-DS-GVO) getagt.

Und wie den Presseberichten zu entnehmen ist, konnte dort alles andere als Einigkeit erzielt werden. So möchte z.B. Österreich keiner Verwässerung des Datenschutzes zustimmen. England und Deutschland haben nach Presseberichten auch Vorbehalte, so dass das Thema EU-DS-GVO und damit eine Vollharmoniserung des Datenschutzes in der Europa zunächst erst einmal auf die lange Bank geschoben wird. So zumindest wohl der Eindruck der Presse.

Es ist sonst nicht unbedingt meine Art, Vorgänge dieser Art hier auf meiner Website zu kommentieren. In diesem Fall möchte ich das aber dennoch tun.

Ich habe heute noch einmal nachgeschaut. Ich bin seit Februar 2011 für Mandanten u.a. dafür tätig, die Gesetzgebungsentwicklung der EU im Hinblick auf die anstehende Novellierung der EG-Datenschutzrichtlinie 95/46/EG zu überwachen. In dem Zusammenhang habe ich teilweise auch Papiere im Zusammenhang mit „Lobbying“ vorbereitet, begleitet oder in dem Zusammenhang beraten. Viele meiner Mandanten haben den Weg der Regulierung über eine Verordnung durch die EU schon im Vorwege begrüßt. Und ja…dies ist bereits zuvor in vielen Stellungnahmen gegenüber der EU-Kommission als wünschenswert von Mandanten geäußert worden. Denn: die meisten EU-Unternehmen – zumindest im Bereich von IT-Dienstleistungen, Webservices u.ä. stehen in einem globalen Wettbewerb, und hier wäre ein „Level-Playing-Field“, das eine Gleichbehandlung in der EU gewährleistet (und ggf. eben auch darüber hinaus – wie es denn auch mit der EU-DS-GVO geplant war) extrem hilfreich, um Planungen für Geschäftsprozesse und Applikationen in Unternehmen besser abschätzen zu können.

Seit gestern nun ist die EU-DS-GVO – seien wir ehrlich – pretty much dead. Ich kann und möchte hier nicht aus dem Nähkästchen plaudern….aber, es war absehbar, dass das so kommen wird.

Die EU-DS-GVO wird, so wie ich es einschätze, mit höchster Wahrscheinlichkeit nicht vor 2014 durchverhandelt sein, und da dann im Mai 2014 wieder Neuwahlen des Europäischen Parlaments anstehen, werden die Karten auch dann wieder neu gemischt werden. Mit anderen Worten: Die EU-DS-GVO wird – und das dürfte allen beteiligten politischen Entscheidungsträgern klar sein – mit Sicherheit nicht vor den Neuwahlen im Mai 2014 kommen, und auch nach den Neuwahlen wird auf absehbare Zeit keine „Beschlusslage“ vorliegen.

Ist das eine schlimme Entwicklung? Ähnlich wie Carlo Piltz finde ich das erst einmal nicht schlimm. Ich glaube allerdings mittlerweile auch, dass eventuell der Weg der über eine Verordnung (statt einer Richtlinie) zum Scheitern verurteilt ist. Die unterschiedlichen Auffassungen in den Mitgliedsstaaten sind einfach zu weit auseinander. Und das Hauptproblem ist, dass wir alle letztlich nicht wirklich wissen, welche Folgen die EU-DS-GVO in der Praxis wirklich zu bedeuten hätte.

Einige Ansatzpunkte der EU-DS-GVO begrüße ich, aber ich muss ehrlich gestehen, dass auch viele Nachteile zu finden sind. Große Bedenken habe ich z.B. im gesamten Bereich der „vorherigen Genehmigung und vorherigen Zurateziehung“ (Art. 34 EU-DS-GVO (Entwurf)). Die Vorgaben dort können z.B. für viele meiner Mandanten dazu führen, dass z.B. agile Entwicklungsprozesse in der Praxis nicht mehr funktionieren. Hier wäre eine Stärkung von internen Kontrollmechanismen wie betrieblichen Datenschutzbeauftragten wesentlich geeigneter. Bloß genau diese würden durch die EU-DS-GVO gravierend an Bedeutung verlieren.

Und seien wir auch hier ehrlich. Wir sehen an den deutschen Regelungen im BDSG und TMG sehr genau, dass vieles einfach nicht mehr mit der Entwicklung unserer Informationsgesellschaft zusammenpasst. Wenn z.B. die Äußerungen von Meinungen heute nahezu nur noch über das Internet stattfinden und dabei Nutzungsdaten anfallen, diese Datenverarbeitung gleichwohl aber dem Verbot mit Erlaubnisvorbehalt steht, dann passt vieles einfach nicht mehr mit anderen Grundrechten wie z.B. der Informations- und Meinungsfreiheit zusammen. Und das rächt sich. Ein schönes Beispiel dafür sind die völlig unpassenden Regelungen für Daten, die eben nicht Bestands- oder Nutzungsdaten nach dem TMG sind, und für die dann § 28 bzw. nach der Rechtsprechung des BGH (spickmich.de) gar § 29 BDSG Anwendung finden soll. § 28 BDSG und vor allem § 29 BDSG passen nun aber nicht ansatzweise mehr auf Datenverarbeitungsvorgänge im Internet, insbesondere dann nicht, wenn – wie dies im Internet üblich ist – mehrere „Player“ an der Datenverarbeitung beteiligt sind.

Ich habe nach wie vor nicht die Lösung für einen besseren Weg und bin mir auch nicht sicher, ob z.B. die Aufgabe des Verbots mit Erlaubnisvorbehalts hin zu einer Regulierung auf Basis von Risiken („risikobasierter Ansatz“) der bessere Weg ist. Ich meine aber, dass wir alle das ergebnisoffen miteinander ohne Tabus diskutieren und die jeweiligen Folgen abschätzen sollten. Und vielleicht können wir das auf einer „kleinen“ Ebene in der Bundesrepublik Deutschland besser tun statt in der gesamten Europäischen Union.

Wir könnten, wenn wir hier in einem EU-Mitgliedsstaat eine Neuregelung zu einem modernen, angemessenen Datenschutz wagen, ein Vorbild für die EU sein, um dann – wenn die Zeit reif ist – ggf. eine Vollharmonisierung über eine EU-Verordnung zu erreichen.

Ich wäre allen beteiligten Datenschutzrechtlern sehr dankbar, wenn wir jetzt – in Anbetracht einer „ziemlich toten“ EU-DS-GVO – nicht den Wind der Diskussion verlieren und uns vielleicht zunächst wieder auf eine Modernisierung des deutschen Datenschutzrechts besinnen. Vielleicht auch, um ein Vorbild für den Rest Europas (und der Welt) zu werden. Vielleicht schaffen wir es so auch, ein Beispiel für ein (hoffentlich) funktionierendes, modernes Modell einer datenschutzrechtlichen Regulierung für eine gesamteuropäische Lösung zu werden.

Update (21.10.2013): Der LIBE-Ausschuss des Europäischen Parlaments hat soeben mit recht beeindruckender Mehrheit die zwischen Rat und Parlament erörterten Änderungsanträge zur geplanten EU-DS-GVO angenommen. Zur Vorgeschichte empfehle ich den Beitrag des geschätzten Kollegen Dr. Carlo Piltz: Datenschutz-Grundverordnung: LIBE-Ausschuss verständigt sich auf Änderungen. Damit können nun die weiteren Verhandlungen zwischen EU-Ministerrat, EU-Parlament und der Europäischen Kommission beginnen. Die EU-DS-GVO hat damit eine große Hürde genommen und damit besteht wieder eine Wahrscheinlichkeit, dass sie doch noch kommt. Allerdings wird jetzt noch einmal gewaltig Lobbyarbeit auf die drei Verhandlungsparteien warten. Das Ganze noch vor den Neuwahlen im Mai 2014 über die Bühne zu bringen, dürfte noch ein hartes Stück Arbeit werden – für die, die EU-DS-GVO wollen und für die, die jetzt weiter dagegen kämpfen werden.