2.5 Die Reform des EU Datenschutzrechts (Andreas Krisch)

1. Allgegenwärtige Datenverarbeitung
2. Der Grundrechtsschutz hinkt hinterher
3. Wesentliche Aspekte der EU Datenschutzreform
4. Eine Verordnung ersetzt die Richtlinie
5. Betriebliche Datenschutzbeauftragte
6. Datentransfer in Drittstaaten
7. Stärkung der Datenschutzbehörden
8. Datenschutz in Strafverfolgung und Justiz
9. Die Richtung stimmt, aber es gibt noch viel zu tun

1. Allgegenwärtige Datenverarbeitung

Aktuelle Trends der Informationstechnologie weisen deutlich in die Richtung, dass das Volumen der verarbeiteten (personenbezogenen) Daten in nächster Zukunft rapide zunehmen wird. Gleichzeitig nehmen die Re-Zentralisierung der Datenverarbeitung sowie die Miniaturisierung der Computer weiter zu. Ohne effektiven Datenschutz wird diese Entwicklung ernsthafte Folgen für unsere Privatsphäre haben, denn die Zukunft der massenhaften Datenverarbeitung hat bereits begonnen.[1]

Europaweit wird unter dem Stichwort „Smart Grids“ daran gearbeitet, unsere Energieversorgung „intelligenter“ zu gestalten. Im Zuge dessen sollen sogenannte „Smart Meter“ unseren Verbrauch an Strom, Gas und Wärme minutiös aufzeichnen. Die jährliche Zählerablesung soll durch eine Verbrauchsmessung im 15-Minuten-Takt abgelöst werden. An die Stelle eines einzelnen jährlichen Messwertes sollen mehr als 35.000 Messwerte pro Jahr treten. Wie Forschungsergebnisse zeigen, lassen Messungen dieser Häufigkeit sehr genaue Rückschlüsse darauf zu, welche Verhaltensmuster und Handlungen den gemessenen Energieverbrauch verursacht haben. Das Privatleben in unseren Wohnungen wird auf diese Art und Weise aus der Ferne nachvollziehbar und beobachtbar.

Doch das ist nur eine der aktuellen Entwicklungen. Intelligente Transportsysteme sollen helfen, die Verkehrsströme besser zu steuern. An die jeweilige Verkehrs- und Wettersituation angepasste automatische Regelungen der zulässigen Höchstgeschwindigkeit, Fahrzeuge, die Gefahrenmeldungen automatisch an nachfolgende Fahrzeuge weitermelden und die automatisierte gezielte Umleitung von Verkehrsströmen sind nur einige wenige Beispiele dieses Bereichs. Die Auswertung meist personenbezogener Daten über unser Verkehrs- und Transportverhalten sind die Grundlage dafür.

Mit dem Einsatz der RFID-Technologie (Stichwort: Funkchips) im Einzelhandel hat auch die „Computerisierung“ alltäglicher Gegenstände bereits begonnen. Während diese RFID-Tags derzeit „nur“ eine eindeutige Kennung (wiederum ein personenbezogenes Datum) speichern und auf Anfrage wiedergeben, ist ein deutlicher Ausbau der Funktionalitäten bereits weit fortgeschritten und damit absehbar. Sensoren der unterschiedlichsten Art sollen dazu eingesetzt werden, diverse Umweltzustände und Gegebenheiten automatisch zu erkennen, aufzuzeichnen und weiterzuverarbeiten. Diese Sensoren können in weiterer Folge zu Sensor-Netzwerken ausgebaut werden, deren Daten zentral gesammelt, verarbeitet und analysiert werden.

Schlussendlich spricht man bereits von einem Internet der Dinge – und arbeitet an dessen Realisierung. Dabei sollen alltägliche Gegenstände und Maschinen mit dem Internet verbunden und somit untereinander vernetzt werden. Die bereits angeführten Beispiele sind erste Anwendungen davon. Mark Weiser, der am XEROX PARC im Bereich des Ubiquitous Computing forschte, fasste diese Entwicklung bereits im Jahr 1991 mit den Worten The most profound technologies are those that disappear zusammen. Genau diese Entwicklung findet derzeit statt. Informationstechnologie „verschwindet“ in Gegenständen und Maschinen des täglichen Gebrauchs und werden von uns genutzt, ohne dass uns überhaupt noch auffällt, dass wir es mit datenverarbeitenden Computern zu tun haben.

Gleichzeitig zeichnet sich im Bereich der alltäglichen Computernutzung ein Trend zur Re-Zentralisierung der Datenverarbeitung ab. Hinter dem Begriff Cloud Computing verbirgt sich schlussendlich nichts anderes als eine Verlagerung der Rechenleistung weg vom einzelnen Computer der BenutzerInnen, hin zu einem Rechnerverbund in verteilten Rechenzentren eines zentralen Anbieters. Ebenso werden Computerprogramme „in der Cloud“ angeboten. Das jeweiligen Programm ist also nicht mehr am Computer der NutzerInnen installiert, sondern diese nutzen lediglich ein Programm im Internet, das bei einem externen Anbieter installiert ist. Dieser Trend kann im Laufe der Zeit zu einer starken Abhängigkeit von externen Anbietern führen. Vertrauen in die Zuverlässigkeit dieser Anbieter ist daher besonders wichtig – sofern man sich auf derartige Angebote einlassen möchte.

2. Der Grundrechtsschutz hinkt hinterher

Technischer Fortschritt – insbesondere auch im Bereich der Datenverarbeitung und Kommunikationstechnik – ist zweifellos von großer Bedeutung für unsere Gesellschaft. Eine Welt ohne der Errungenschaften der letzten zehn bis zwanzig Jahre (Mobiltelefonie, großflächige Verfügbarkeit des Internets, …) ist heute kaum mehr vorstellbar. Genau dieser Fortschritt der letzten Jahre hatte jedoch sehr starken experimentellen Charakter und war hauptsächlich von technischen Fragestellungen getrieben. Gesellschaftliche Fragestellungen und der Schutz von Grundrechten wurden dabei weitgehend außer Acht gelassen.

Gesetze zum Schutz personenbezogener Daten waren zwar die meiste Zeit über vorhanden, jedoch ist die Rechtsdurchsetzung in diesem Bereich EU-weit bis heute mehr als mangelhaft. So zeigt beispielsweise eine Studie der Grundrechtsagentur der Europäischen Union[2] aus dem Jahr 2010, dass kaum eine der Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten über alle Befugnisse und Mittel verfügt, über die sie gemäß den Bestimmungen der EU Datenschutzrichtlinie verfügen sollte.

Diese mangelhafte nationale Umsetzung der Datenschutzrichtlinie (deren Durchsetzung im Übrigen die Aufgabe der Europäischen Kommission wäre) führt in weiterer Folge dazu, dass in den einzelnen Mitgliedstaaten eine sehr unterschiedliche Durchsetzung des Datenschutzrechts besteht. Insgesamt betrachtet ist die Rechtsdurchsetzung in diesem Bereich als sehr mangelhaft zu bezeichnen. Dieser Mangel an Rechtsdurchsetzung führt wiederum dazu, dass Datenschutz in der Gestaltung und Entwicklung von Informationstechnologien und -systemen noch nicht den Stellenwert einnimmt, den er einnehmen müsste, um einen zufriedenstellenden Schutz unserer Grundrechte auf Datenschutz und Schutz der Privatsphäre zu gewährleisten. Darüber hinaus hat dieser Mangel auch negative Auswirkungen auf die wirtschaftliche Entwicklung Europas und der digitalen Wirtschaft ganz allgemein. Der Mangel an Datenschutz führt nämlich zunehmend zu einem Vertrauensverlust gegenüber den Anbietern digitaler Produkte und Services.

Darüber hinaus entsteht durch den Mangel an Rechtsdurchsetzung gegenüber Anbietern aus Drittstaaten ein Marktungleichgewicht zum Nachteil europäischer Anbieter, die sich an geltende Datenschutzgesetze halten. Datenschutz kann in diesem Zusammenhang tatsächlich zum wirtschaftlichen Nachteil werden. Weiters behindert die mangelnde Rechtsdurchsetzung den technischen Fortschritt. Erst die tatsächliche Durchsetzung der Datenschutzbestimmungen setzt eine Nachfrage nach datenschutzfreundlichen Technologien in Gang. Erst wenn es diese Nachfrage gibt, werden sich innovative Unternehmen auf diesen Aspekt der technischen Entwicklung konzentrieren und für die Entwicklung und Verbreitung datenschutzfreundlicher Informationstechnik sorgen.

Schlussendlich nimmt durch die mangelnde Rechtsdurchsetzung auch unsere Gesellschaft Schaden. Abgesehen von den unmittelbaren Auswirkungen des mangelnden Datenschutzes, ist es für eine demokratische Gesellschaft abträglich, wenn die Einhaltung geltender Gesetze als optional erlebt wird. Ist dies der Fall, verliert das gesamte Rechtssystem an Glaubwürdigkeit.

3. Wesentliche Aspekte der EU Datenschutzreform

Die Grundrechte auf Datenschutz und den Schutz der Privatsphäre sind sowohl in der Europäischen Menschenrechtskonvention als auch der Charta der Grundrechte[3] der Europäischen Union verankert. Die Charta ist sozusagen das zentrale Versprechen der Europäischen Union an ihre EinwohnerInnen. Die beiden genannten Grundrechte sollen durch das EU Datenschutzrecht geschützt werden. Derzeit wird daran gearbeitet, dieses Datenschutzrecht zu erneuern und an die geänderten Rahmenbedingungen anzupassen.

Wie die eingangs erwähnten Beispiele zeigen, ist es im Rahmen dieser Erneuerung besonders wichtig, bereits jetzt auf absehbare Entwicklungen einzugehen und sicherzustellen, dass geeignete rechtliche Rahmenbedingungen geschaffen werden, um den technischen Fortschritt in die richtige Richtung zu lenken. Wenn wir weiterhin vom technischen Fortschritt im Bereich der Informations- und Kommunikationstechnik profitieren wollen, müssen wir sicherstellen, dass die Menschen den angebotenen Informationstechnologien, intelligenten Produkten und innovativen Services vertrauen können und diese in weiterer Folge gerne nutzen. Die grundlegenden wirtschaftlichen Zusammenhänge haben auch im Internet und im Bereich der Informations- und Kommunikationstechnik ihre Gültigkeit. KundInnenzufriedenheit und KundInnenbindung sind auch hier der Schlüssel zu langfristigem Erfolg. Vertrauen – und damit hochwertiger Datenschutz – ist eine Grundvoraussetzung für erfolgreiches Wirtschaften. Grundrechte sind die Basis für das Funktionieren unserer Gesellschaft. Hier sollten wir uns keinen Vertrauensverlust leisten.

Es ist daher an der Zeit, dass wir die experimentelle Phase der IT-Entwicklung verlassen und die Geschäftsmodelle und Technologien zur Reife führen und in Einklang mit den bestehenden Grundrechten bringen.

Ähnlich den Bemühungen um einen möglichst sparsamen und effizienten Einsatz von Energie müssen wir unsere Innovationsanstrengungen auch im Bereich der Datenverarbeitung darauf richten, mit möglichst geringem Einsatz personenbezogener Daten die jeweils angestrebten Ziele zu erreichen. An die Stelle einer massiven Ausbeutung personenbezogener Daten muss daher das Konzept der Datenminimierung treten. Der Schutz der Grundrechte muss in allen Mitgliedsstaaten der Europäischen Union (und darüber hinaus) auf einem hohen Niveau sichergestellt werden – und zwar in allen Branchen und Bereichen, einschließlich der Strafverfolgung und Justiz sowie der öffentlichen Verwaltung und ähnlichen Bereichen.

Im Jänner 2012 hat die Europäische Kommission einen Reformvorschlag für das EU Datenschutzrecht vorgestellt[4]. Eine allgemeine Datenschutzverordnung und eine Richtlinie für den Datenschutz im Bereich Strafverfolgung und Justiz sollen das bestehende Datenschutzrecht ersetzen. Grundlage für das derzeitige Datenschutzrecht der EU Mitgliedsstaaten ist die Datenschutzrichtlinie aus dem Jahr 1995[5]. Diese Richtlinie gibt den groben Rahmen für das Datenschutzrecht der Mitgliedsstaaten vor, und musste von den Mitgliedstaaten jeweils in nationales Recht umgesetzt werden. Bei dieser Umsetzung hatten die Mitgliedstaaten einigen Ermessensspielraum, was dazu geführt hat, dass in den einzelnen Ländern inzwischen sehr unterschiedliche Regeln für den Datenschutz gelten. Die ursprünglich angestrebte Vereinheitlichung des Datenschutzrechts ist bisher also nur bedingt eingetreten.

4. Eine Verordnung ersetzt die Richtlinie

Die EU-Kommission schlägt daher anstelle der bisherigen Richtlinie nun eine Datenschutzverordnung vor. Diese hätte den Vorteil, dass sie unmittelbar in allen Mitgliedstaaten der Europäischen Union gültig ist und nicht mehr in nationales Recht umgesetzt werden muss. Damit wäre erreicht, dass in allen Mitgliedstaaten dasselbe Datenschutzrecht wortgetreu zur Anwendung kommt. Das reduziert den administrativen Aufwand für Unternehmen und kann für Betroffene die Rechtsdurchsetzung erleichtern. Darüber hinaus sieht der Vorschlag der Kommission auch eine Ausweitung des Gültigkeitsbereichs der Datenschutzverordnung vor. So sollen künftig auch Unternehmen, deren Sitz sich außerhalb der EU befindet, dem europäischen Datenschutzrecht unterliegen, wenn deren Angebote sich an Menschen innerhalb der Europäischen Union richten. Unmittelbar davon betroffen wären beispielsweise Unternehmen wie Google oder Facebook, die derzeit für eine europäische Datenschutzbehörden nur schwer greifbar sind, wie der aktuelle Fall der Initiative Europe vs. Facebook[6] deutlich vor Augen führt.

Hinsichtlich einer datenschutzfreundlichen technischen Entwicklung sieht das EU Reformpaket zwei wesentliche Konzepte vor. Einerseits soll das Prinzip des eingebauten Datenschutzes (Privacy by Design) künftig Grundlage der technischen Entwicklung werden. Dies bezweckt nichts anderes, als dass künftig bereits bei der Planung neuer Angebote, der Entwicklung Software und Services der Datenschutz als technische Anforderung mitberücksichtigt werden soll. Systeme sollen so implementiert werden, dass sie von Haus aus mit möglichst wenigen personenbezogenen Daten auskommen, diese nur so lange wie unbedingt erforderlich verarbeiten und den NutzerInnen immer die datenschutzfreundlichsten Einstellungen als Grundeinstellungen präsentieren.

Um eingebauten Datenschutz in der Praxis umsetzen zu können, bedarf es eines weiteren Instruments, das ebenfalls Bestandteil des Reformpaketes ist. Datenschutz-Folgenabschätzungen (Data Protection Impact Assessments) sollen künftig dabei helfen, die Auswirkungen konkreter Datenverarbeitungen auf die Datenschutzsituation der Betroffenen zu analysieren und bewerten. In einem weiteren Schritt können auf Basis dieser Erkenntnisse Problembereiche entschärft und geeignete Maßnahmen zur Risikominimierung getroffen werden.

5. Betriebliche Datenschutzbeauftragte

Direkt in den Unternehmen und Behörden soll der Datenschutz künftig durch die Einsetzung von Datenschutzbeauftragten verankert werden. Aufgabe dieser Personen ist es dafür zu sorgen, dass die Datenverarbeitung der jeweiligen Organisation im Einklang mit den Datenschutzanforderungen erfolgt. Sie sind im Unternehmen beratend tätig, führen Schulungen von MitarbeiterInnen durch und halten Kontakt mit den Datenschutzbehörden. Für KundInnen sind sie die AnsprechpartnerInnen in Datenschutzfragen und sorgen dafür, dass diese ihr Recht auf Auskunft, Richtigstellung und Löschung tatsächlich wahrnehmen können. Gemäß den Plänen der Kommission sollen die Datenschutzbeauftragten in Zukunft die in manchen Mitgliedstaaten wie beispielsweise Österreich bestehenden Datenverarbeitungsregister ersetzen. Anstatt aus dem zentralen Register kann der/die Einzelne dann direkt von den Datenschutzbeauftragten eines Unternehmens erfahren, welche Daten das Unternehmen verarbeitet.

Eine bedeutende Schwachstelle dieses an sich sehr begrüßenswerten Vorschlags ist, dass Datenschutzbeauftragte erst ab einer Unternehmensgröße von 250 Mitarbeitern verpflichtend vorgeschrieben werden sollen. Ebenso sollen sich Unternehmen erst ab dieser Größe strukturiert mit dem Thema Datenschutz auseinandersetzen müssen. Für Behörden ist diese größenmäßige Einschränkung nicht vorgesehen. Die Grenze von 250 MitarbeiterInnen ist bei weitem zu hoch angesetzt und beinhaltet auch einen strukturellen Fehler. Es hängt heutzutage nicht mehr von der Anzahl der MitarbeiterInnen ab, ob ein Unternehmen viele und sensible Daten verarbeitet oder nicht. Je nach Branche können Großbetriebe unter Umständen mit sehr geringen Mengen an personenbezogen Daten auskommen, während kleine Unternehmen anderer Branchen mit großen Datenmengen hantieren. Um nur ein Beispiel zu nennen: das Foto-Netzwerk Instagram verfügte lediglich über zehn MitarbeiterInnen, als es um 1 Milliarde US-Dollar verkauft wurde.

Privacy by Design und Privacy Impact Assessments stellen die Softwareentwicklung vor neue – aber durchaus lösbare – Herausforderungen. Hier wird es nötig sein mit entsprechenden Schulungs- und Ausbildungsmaßnahmen bereits bestehende Datenschutzkonzepte zu vermitteln und neue innovative Gestaltungsmöglichkeiten zu entwickeln.

Ausbildung ist jedoch auch in anderen Bereichen ein wesentlicher Aspekt künftigen Datenschutzes. So wird auch in Zukunft jede/r Einzelne für sich selbst darüber entscheiden müssen, welche Informationen sie/er preisgibt und welche nicht. Der bewusste und kritische Umgang mit datenverarbeitenden Systemen muss verstärkt in allen Bereichen unseres Bildungssystems verankert werden. Auch dazu will das Reformpaket einen Beitrag leisten.

Für den – leider gar nicht unwahrscheinlichen – Fall, dass personenbezogene Daten einmal verloren gehen, sieht das Reformpaket eine Informationspflicht für Datenverarbeiter vor. Diese sollen bei einer Datenpanne innerhalb kurzer Zeit die zuständige Datenschutzaufsichtsbehörde über das Datenleck informieren und – sofern nachteilige Folgen zu erwarten sind – auch die Betroffenen.

Diese Regelung ist speziell für die Betroffenen von Bedeutung. Schließlich sind sie es, die einerseits unmittelbar von der Panne betroffen sind, andererseits kann nur jede/r für sich entscheiden, wie wichtig oder vernachlässigbar das Bekanntwerden einer bestimmten Information für eine/n selbst ist. Entsprechend wären in diesen Bereich eine noch weitergehende Informationspflicht und ein zentrales öffentliches Register der Datenpannen wünschenswert, in dem man sich über Datenschutzverletzungen und die von den DatenverarbeiterInnen eingeleiteten Schutzmaßnahmen informieren kann.

6. Datentransfer in Drittstaaten

Klar kritikwürdig sind die Bestimmungen des Reformentwurfs zum Datentransfer in Drittstaaten außerhalb der Europäischen Union. Zwar fordert der Verordnungsentwurf weiterhin, dass in dem jeweiligen Drittstaat ein angemessenes Datenschutzniveau sichergestellt sein muss. Jedoch wurden bereits in der Entwurfsphase des Textes entscheidende Passagen wieder entfernt.

So war ursprünglich vorgesehen, dass die Datenweitergabe an Behörden von Drittstaaten – wie sie etwa durch US-amerikanische Unternehmen auf Basis des PATRIOT Act und des Foreign Intelligence Surveillance Act (FISA) erfolgen – nur nach vorheriger Genehmigung der lokalen Aufsichtsbehörde erfolgen darf. Ersetzt wurde diese Genehmigungspflicht durch einen Passus, der lediglich fordert, dass der Drittstaat angemessene Datenschutzvorkehrungen rechtsverbindlich vorgesehen hat. Eine Datenübermittlung in Drittstaaten soll künftig auch auf Basis von sogenannten Binding Corporate Rules (BCR), also rechtsverbindlichen Unternehmensregeln, erfolgen. Sofern sich ein Unternehmen solche Regeln auferlegt und diese mit den Datenschutzaufsichtsbehörden vereinbart, dürfte es beispielsweise personenbezogene Daten aus der EU nach China oder Indien übermitteln, wo Datenverarbeitung zu deutlich günstigeren Preisen angeboten wird als in der EU.

Diese Datenverarbeitung im Ausland unterliegt dann – so die Theorie – immer noch dem europäischen Datenschutzrecht und das Unternehmen ist verpflichtet dieses Schutzniveau aufrecht zu erhalten. In der Praxis ist dies jedoch nicht kontrollierbar. Es ist im Gegenteil sogar vollkommen unvorstellbar, dass sich MitarbeiterInnen einer europäischen Datenschutzbehörde auf Dienstreise nach China oder Indien begeben, um sich dort persönlich von der Einhaltung der BCR zu überzeugen. Sollten sich eines Tages doch ein paar wackere DatenschützerInnen finden, die eine solche Reise unternehmen, werden sie vor Ort schnell feststellen, dass ihre diesbezüglichen Rechte und Möglichkeiten an den Grenzen der EU rasch ein Ende finden.

7. Stärkung der Datenschutzbehörden

Innerhalb der Grenzen der Europäischen Union sieht der Entwurf für die Datenschutzaufsichtsbehörden eine deutliche Stärkung vor. Die Möglichkeiten zur Zusammenarbeit der nationalen Aufsichtsbehörden sollen gestärkt werden. Ebenso sollen deutlich höhere Sanktionsmöglichkeiten dabei helfen, den Forderungen nach ordnungsgemäßem Datenschutz mehr Nachdruck zu verleihen. Die Betroffenen sollen sich – im Sinne eines One-Stop-Shops – mit allen Anliegen an eine Aufsichtsbehörde ihrer Wahl (z.B. die im eigenen Land) wenden können, auch wenn die betreffende Datenverarbeitung im Zuständigkeitsbereich einer anderen Aufsichtsbehörde erfolgt.

Ebenso soll für Unternehmen mit Niederlassungen in mehreren Mitgliedsstaaten diejenige Aufsichtsbehörde zuständig sein, in deren Land das Unternehmen seine Hauptniederlassung hat. Hierbei zeigt sich jedoch wiederum eine Schwachstelle des Entwurfs: Bei allen Bemühungen um eine Harmonisierung des Datenschutzrechts wird man auch in Zukunft davon ausgehen müssen, dass nicht jede Datenschutzbehörde gleich effektiv und konsequent bei der Durchsetzung des Datenschutzrechts vorgehen wird. Die Ursache dafür ist unter anderem auch im unterschiedlichen Verfahrensrecht der Mitgliedsstaaten zu finden. So ist das Verwaltungsverfahren in Österreich offenbar deutlich anders geregelt als in Irland. Wie sich im bereits erwähnten Fall von Europe vs Facebook zeigt, ist die irische Aufsichtsbehörde beispielsweise der Ansicht, dass die Beschwerdeführer kein Recht hätten, die von Facebook vorgebrachten Rechtfertigungen einzusehen. Ein in Österreich – zumindest formal – undenkbarer Zustand.

In diesem Sinne wäre es daher sinnvoll, den Reformvorschlag der EU-Kommission in diesem Punkt zu ergänzen. Es sollte sichergestellt werden, dass bei Fällen von grenzüberschreitender Bedeutung auch die Aufsichtsbehörden der anderen betroffenen Mitgliedsstaaten mitentscheiden. Diesen sollte also nicht nur eine beratende Funktion zukommen, sondern die Entscheidung sollte tatsächlich gemeinsam erfolgen. Derartige gemeinsame Entscheidungen der Aufsichtsbehörden funktionieren auch bisher schon sehr gut. So werden die Arbeitspapiere der Artikel 29 Datenschutzgruppe, dem EU-Gremium der nationalen Aufsichtsbehörden, gemeinsam verabschiedet. Die fachliche Qualität dieser Dokumente ist hervorragend und ein exzellentes Beispiel für eine fruchtbringende europäische Kooperation.

8. Datenschutz in Strafverfolgung und Justiz

In einem weiteren Punkt von höchster grundrechtlicher Relevanz bleibt das Reformpaket der EU-Kommission klar hinter den Erwartungen zurück. Während das Grundrecht auf Schutz des Privat- und Familienlebens sowie das Grundrecht auf Datenschutz den Menschen in der EU grundsätzlich in allen Lebensbereichen zusteht, unterscheidet der Vorschlag der Kommission zwischen einer allgemeinen Datenschutzverordnung und einer – nicht unmittelbar gültigen – Richtlinie für den Datenschutz im Bereich der Strafverfolgung und Justiz.

Diese Trennung sollte aufgehoben werden. In den Fällen, wo für die Zwecke der Strafverfolgung und Justiz begründete Ausnahmen vom allgemeinen Datenschutzrecht erforderlich sind, sollten diese klar abgegrenzt in die Verordnung aufgenommen werden. Darüber hinaus sollte aber auch in diesen besonders sensiblen Bereichen dasselbe Datenschutzniveau erreicht werden, wie es zurecht in allen übrigen Bereichen unseres Lebens erwartet wird.

9. Die Richtung stimmt, aber es gibt noch viel zu tun

Zusammenfassend kann gesagt werden, dass das von der EU-Kommission im Jänner 2012 vorgelegte Datenschutz-Reformpaket eine ganze Reihe sehr guter und wichtiger Vorschläge zur Verbesserung des Datenschutzes in Europa enthält. In manchen Bereichen sind noch wesentliche Anpassungen erforderlich, der Vorschlag geht jedoch grundlegend in die richtige Richtung. Es wird nun auf die laufenden Verhandlungen zwischen der EU-Kommission, dem Europäischen Parlament und dem EU-Ministerrat ankommen, in welche Richtung sich das Reformvorhaben bewegt. Eines steht jedoch jetzt bereits fest: Es handelt sich um eines der aktuell wichtigsten Reformvorhaben der Europäischen Union. Entsprechend hoch ist der Druck, dem die europäischen Institutionen durch allerlei inner- und außereuropäische LobbyistInnen ausgesetzt sind.

Die Zivilgesellschaft ist hier zahlen- und ressourcenmäßig klar unterlegen. Das bedeutet aber nicht, dass wir uns nicht Gehör verschaffen können. So hat European Digital Rights[7], der Dachverband von derzeit 32 Datenschutz- und Menschenrechtsorganisationen aus 20 europäischen Ländern, eine der ausführlichsten Analysen der Datenschutzverordnung vorgelegt und online gestellt[8], in der Artikel für Artikel, Absatz für Absatz konkrete Verbesserungsvorschläge angeführt und begründet werden. Damit gibt es nun eine solide Argumentationsbasis, die in den weiteren Verhandlungen ausgiebig genutzt werden wird.