Weltenveränderungen

Andauernde Allianzen und Konflikte in der Arena

Konflikt zwischen der Welt der Datenschützer*innen und der Welt der Digitalwirtschaft

Im Konflikt zwischen Datenschützer*innen und der Digitalökonomie spiegelt sich einer der zentralen Streitlinien der gesamten Verhandlungen wider. Für die Digitalökonomie stellen Daten vor allem eine Ware (z. B. Handel mit Daten für Werbezwecke) oder Nebenprodukte des alltäglichen Geschäftsablaufs dar (z. B. Kundendaten). Datenschutz spielt insofern eine Rolle, als er dazu dient, das Kundenvertrauen zu stärken oder die Daten des Unternehmens selbst vor fremden Zugriffen zu schützen. Jenseits dieser beiden Aspekte wird er oft als hinderlich wahrgenommen. Datenschützer*innen sehen im Datenschutz keinen Selbstzweck, sondern verfolgen das Ziel, mit der Hilfe des Datenschutzes die Rechte und Freiheiten des Einzelnen zu schützen. Auch wenn sowohl die Datenschützer*innen als auch Teile der Digitalwirtschaft ein Interesse an Datenschutz haben, können die dahinter liegenden Ziele somit teilweise konträr zueinander stehen.

Insbesondere amerikanische Technologiekonzerne haben durch Lobbyist*innen versucht, intensiv gegen unterschiedliche Bestimmungen der Datenschutz-Grundverordnung vorzugehen und Einfluss auf ihre Ausgestaltung zu nehmen. So fürchten sie erhebliche Nachteile, wenn das Datenschutzniveau ihrer bisherigen Unternehmenspraxen angehoben werden muss, da deren Geschäftsmodelle und Angebote zum Teil mit den Grundprinzipien des Datenschutzes kollidieren. Durch das Wesen der Verordnung bergen bestimmte EU-Länder, wie beispielsweise Irland, keine datenschutzrechtlichen Vorteile mehr in Form eines vergleichsweise schwachen Datenschutzniveaus, das sich US-Unternehmen bisher zu Nutze machen konnten. So z. B. Facebook Inc. mit seiner Niederlassung in Irland. Datenschutz wurde von vielen Wirtschaftsvertreter*innen als Bedrohung für den wirtschaftlichen und gesellschaftlichen Wohlstand dargestellt.

Die Datenschutzgrundverordnung sollte innovative Big Data Anwendungen fördern, anstatt diese zu bremsen. Big Data Analysen ermöglichen die Auswertung großer Datenmengen in hoher Geschwindigkeit und gelten als eine der wichtigsten Technologien der Zukunft. Sie kommen in unterschiedlichsten Bereichen wie der Medizin, der wissenschaftlichen Forschung oder der Wirtschaft zum Einsatz. „Der weiteren Entwicklung von Big Data in Europa stehen sowohl das Gebot der Datensparsamkeit als auch die sogenannte Zweckbindung bei der Datenerhebung entgegen.

Susanne Dehmel, Mitglied der Geschäftsleitung Vertrauen und Sicherheit Bitkom e. V., 15.06.20151

Allianz zwischen der Subwelt der Aktivist*innen und der Welt der Massenmedien

Im Verlauf der Verhandlungen zur Datenschutz-Grundverordnung kam es immer wieder vereinzelt zu Leaks von Dokumenten, die der Öffentlichkeit eigentlich nicht zugänglich gemacht werden sollten. Ins Zentrum der Aufmerksamkeit kamen diese Leaks vor allem durch die Thematisierung durch Nachrichtenportale. Datenschutzaktivist*innen konnten so mit Hilfe der Medien Aufmerksamkeit für ihre Anliegen bekommen und Aufklärung betreiben. Gleichzeitig bot dies für die Medienwelt die Gelegenheit, mit Hilfe eines Skandals Klickzahlen und Auflagen zu produzieren. Eine besonders tragende Rolle in den Verhandlungen nahm die Plattform Lobbyplag ein. Sie verfolgte den Gesetzgebungsprozess von Anfang an und veröffentlichte immer wieder interne Dokumente, die die Einflussnahme von Interessengruppen und insbesondere Wirtschaftsunternehmen auf die Verhandlungen transparent machen sollten. Diese Leaks bekamen insbesondere durch die mediale Berichterstattung Aufmerksamkeit durch eine breite Öffentlichkeit.

Wie stark der konkrete Einfluss der Lobbyisten zuweilen ist, zeigt nun eine Internetplattform namens Lobbyplag: Sie dokumentiert in übersichtlicher Form, welche Abschnitte aus Papieren von Unternehmen und Lobby-Organisationen teils wörtlich in eine Stellungnahme des EU-Ausschusses für Binnenmarkt und Verbraucherschutz eingeflossen sind – von Amazon bis zur Amerikanischen Kammer für den Handel mit der EU, vom europäischen Bankenverband EBF bis hin zum Verband der Kreditauskunfteien.

Spiegel online, 12.02.20132

Allianz zwischen Datenschutzbehörden und Verbraucherschützer*innen

Der Datenschutz wird immer mehr ein Bestandteil des Verbraucherschutzes. Dies wird z. B. durch das Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts3 deutlich, wonach das Unterlassungsklagengesetz auf bestimmte Datenschutzrechtsverstöße durch Unternehmen erweitert wurde. Unternehmen verarbeiten zunehmend mehr Daten der Verbraucher*innen, ohne dass diese hierfür eine Einwilligung erteilt haben. Dies umfasst insbesondere die Datenverarbeitung für Werbung, Profiling oder den Adresshandel. Sofern ein Unternehmen gegen datenschutzrelevante Vorschriften verstößt, die dem Verbraucherschutz dienen, kann dieses auf Unterlassung in Anspruch genommen werden und das Unterlassungsklagengesetz kommt zum Tragen. Den Anspruch können jedoch nicht die betroffenen Verbraucher*innen selbst geltend machen, sondern sie werden dabei durch Verbände oder Institutionen vertreten (§ 3 Abs. 1 S. 1 Unterlassungsklagengesetz). Auf diese Weise können die Verbraucherschutzzentralen wie bei anderen verbraucherschützenden Gesetzen im Namen der Verbraucher*innen tätig werden und das entsprechende Unternehmen verklagen oder abmahnen. Im Ergebnis werden alle datenschutzrechtlichen Vorschriften, die zu solchen Zwecken von Unternehmen verwendet werden, zu Verbraucherschutzgesetzen.4 Hintergrund dieses Entschlusses ist der Wunsch, die Arbeit von Datenschutzbehörden durch den Rechtsschutz durch Verbraucherverbände zu ergänzen. Der Bundesminister der Justiz und für Verbraucherschutz, Heiko Maas, sieht in der Ausweitung der Unterlassungsklage einen Erfolg:

Das ist ein wichtiger Schritt zum besseren Schutz unserer Daten. Endlich bekommen Verbände bei Datenschutzverstößen ein Klagerecht. Personenbezogene Daten sind für den Wirtschaftsverkehr von unermesslicher Bedeutung. […] Wir müssen uns darauf verlassen können, dass unsere Daten rechtlich geschützt sind und dieser Schutz auch durchgesetzt werden kann. Ein Missbrauch kann weitreichende und schwerwiegende Folgen haben. Alle darauf zu verweisen, ihre Recht einzeln einzuklagen, ist oft ein stumpfes Schwert. Viele trauen sich nicht, gegen große Unternehmen rechtlich vorzugehen. […]

Europäische Union vs. US-Unternehmen

Mit der Datenschutz-Grundverordnung möchte die Europäische Union ihren Bürger*innen einen besseren Schutz ihrer Daten garantieren, wenn diese von US-Konzernen verwendet werden. Mit Hilfe der Verordnung wird ein einheitliches Datenschutzniveau innerhalb der Europäischen Union angestrebt, an welches sich im Sinne des Marktortprinzips auch amerikanische Konzerne halten müssen, die auf dem europäischen Markt aktiv sind. Gleichzeitig verfolgt die Europäische Union auch wirtschaftsprotektionistische Interessen. Die Verbesserung der Wettbewerbsbedingungen für europäische Unternehmen sowie die Förderung von Innovationen dient vor allem auch der Aufholjagd gegenüber amerikanischen Unternehmen, die in vielen Bereichen der Digitalökonomie Europa weit voraus sind.

Phase I

Konflikt EU-Kommission vs. Nationalstaaten/Datenschutzbehörden

Viele Elemente des Kommissionsentwurfs sehen eine Stärkung der EU-Kommission in ihrer Funktion vor. Die Kommission übernimmt in der Europäischen Union Exekutivaufgaben und ähnelt daher der nationalstaatlichen Regierung. Sie ist entsprechend daran interessiert, ihre eigenen Kompetenzen zu erweitern. Die Ausweitung der Souveränität der Europäischen Union führt jedoch zwangsläufig zu einem Souveränitätsverlust der Nationalstaaten und stößt auf entsprechenden Widerstand eben jener. Während sich für die Nationalstaaten wirtschaftliche Vorteile durch die transnationale Zusammenarbeit ergeben, ist dies aber auch immer mit einem Machtverlust auf nationaler, politischer Ebene verbunden. Der Aufbruch nationalstaatlicher Rechtsräume zugunsten überstaatlicher Regularien wird deshalb insbesondere im Bereich öffentlicher Stellen von den Nationalstaaten kritisch beäugt, gleichzeitig aber auch bewusst vorangetrieben. Einige Mitgliedstaaten forderten, dass die Regulierung staatlicher Datenverarbeitung im Vergleich zur privaten Datenverarbeitung unterschiedlich behandelt wird.

Work on finding flexibility for the public sector related to Article 6(3) as well as to other parts of the draft regulation should be continued, on the understanding that it is only after this work that the assessment as to whether the regulation is capable of accommodating the required level of flexibility for member states’ public sector can be made.

AUTOR: Pressemitteilung des 3228. Ratstreffens Justice and Home Affairs, 07./08.03.20135

Darüber hinaus wird die starke Rolle der EU-Kommission problematisiert. Der Entwurf sieht einen Zuwachs an Kompetenzen der Kommission vor insbesondere in Bereichen, die bisher den Datenschutzbehörden zugetragen wurden. Entsprechend kritisch äußert sich die Article 29 Working Party gegenüber diesem Vorhaben und betont die sich daraus ergebende Rechtsunsicherheit.6 Indes bezeichnet Viviane Reding (ehemalige Vizepräsidentin der Europäischen Kommission) gerade die Datenschutzbehörden als Einfallstor für Lobbyismus und plädiert für mehr Transparenz. Laut Reding sind gerade eben solche Expertenkomitees, die im Geheimen tagen und letztendlich nicht-legitimierte Entscheidungen treffen, problematisch. Durch die Übertragung der Befugnisse (delegierte Rechtsakte) auf die Kommission würde dieses Dilemma aufgelöst werden.

Europäische Union vs. USA/Digitalwirtschaft

Der Konflikt zwischen den Souveränitätsansprüchen einzelner Länder und den Kompetenzerweiterungen der Europäischen Union entzündet sich auch an anderer Stelle. Der US-Botschafter der Europäischen Union, William Kennard, forderte die Europäische Union dazu auf, der USA einen “adequate status“ zuzuerkennen7 und spricht sich für eine Rücknahme der ausdrücklichen Zustimmung bei einer Datenerhebung sowie dem Recht auf Vergessen aus.

Another concern we have is the regulation’s requirement for explicit consent in all circumstances. We are concerned that a one-size-fits-all consent requirement would frustrate individual users because of the sheer number of consent requests they would be faced with, leading eventually to users just clicking through instead of making informed choices. At the same time, explicit consent can make it difficult for companies to use personal data in innovative ways to offer better services to consumers.(…) Furthermore, in the financial sector context, the “right to be forgotten” could also lead to moral hazard, where defaulting parties demand their credit histories be deleted, putting the European financial system at risk. We also have concerns about the very limited protection to the freedom of expression that the regulation offers.

US-Botschafter der Europäischen Union, William E. Kennard, Forum Europe’s 3rd Annual European Data Protection and Privacy Conference, 04.12.20128

In einem von der internationalen Bürgerrechtsvereinigung “European Digital Rights” (EDRi) veröffentlichten Schreiben der US-Regierung warnt diese darüber hinaus die Europäische Union vor Handelshemmnissen und den terroristischen Gefahren, sollte der Datenaustausch zwischen den beiden Kontinenten durch das Gesetz zu sehr beeinträchtigt werden. Die USA verfolgen dabei einerseits staatliche Interessen der Kontrollausübung. So sah eine Version im Vorfeld der Veröffentlichung des offiziellen Entwurfs der EU-Kommission noch einen zusätzlichen Artikel vor, der es den USA erschwert hätte, Daten über Nutzer*innen von Unternehmen zu verlangen. Geleakte Dokumente konnten zeigen, dass aufgrund intensiver Lobbyarbeit von Seiten der US-Regierung dieser Artikel schließlich wieder gestrichen wurde.9 Gleichzeitig verfolgt die US-Regierung auch wirtschaftliche Interessen. Gerade die Big Player der Digitalökonomie (z. B. Facebook Inc., Google Inc., etc.) haben ihren Sitz in den USA. Ihre Monopolstellung aufzubrechen und europäische Konkurrenz zu befruchten ist eines der Ziele der Datenschutz-Grundverordnung. Entsprechend erzeugt diese auf Seiten der US-Regierung und Teilen der Digitalökonomie Widerstand. Beide teilen das Interesse, die USA in ihrer wirtschaftlichen und politischen Stellung abzusichern. Gerade Unternehmen, deren Geschäftsmodelle datengetrieben sind, die aber nicht vom Vertrauen ihrer Kunden essentiell abhängig sind, da schlicht keine alternativen Konkurrenzunternehmen existieren, setzen sich für ein schwaches Datenschutzniveau ein und pochen auf Selbstregulierung.10 Eine der Strategien US-amerikanischer Unternehmen lag darin, der Verordnung zuvor zu kommen und mit der Auferlegung von Selbstverpflichtungen Selbstregulierungsmaßnahmen zu forcieren.11

Allerdings sind es nicht nur US-Unternehmen, die Datenschutz als Gefahr für Geschäftsmodelle betrachten. Auch europäische Unternehmen befürchten, dass ein zu enges Datenschutzgesetz Innovation und Wachstum in Europa schwächen könnte. Wenngleich Unternehmen, die Daten verarbeiten, aber deren Kerntätigkeit nicht datenbasiert ist (z. B. Unternehmen der Finanzbranche und des Gesundheitssektors), durchaus ein gewisses Interesse an Datenschutz haben, um das Vertrauen der Kunden nicht zu verlieren, so sind auch für sie zu strenge Regularien mit mehr Bürokratie und höheren Kosten verbunden. Europäische und amerikanische Unternehmen haben somit beide ein Interesse daran, dass Datenschutzniveau in der Europäischen Union zu schwächen. Dies konnten zahlreiche geleakte Dokumente dokumentieren, die eine massive Lobbyarbeit von Seiten der Ökonomie sichtbar machten.

Wissenschaft vs. Lobbyindustrie

Im Zuge des Bekanntwerdens der großflächigen Industrielobbyarbeit versammelten sich einige Wissenschaftler*innen um eine Gegenposition im Diskurs zu etablieren. Wissenschaftler*innen aus ganz Europa starteten eine Onlinepetition und machten sich für eine stärkere Regulierung des Datenschutzes stark, um zu verhindern, dass die Datenschutz-Grundverordnung aufgrund des enormen Lobbyeinflusses der Industrie verwässert wird. Zahlreiche Disziplinen, von den Rechtswissenschaften bis hin zu den Wirtschaftswissenschaften, unterzeichneten die Petition.

The European Parliament and the European Council are now preparing their views on this new regulation. At the same time, huge lobby groups are trying to massively influence the regulatory bodies. To contribute a more objective perspective to this heated debate, we would like to bring forward some professional arguments. We want to reply to some arguments that aim to weaken data protection in Europe.

Online-Petition Data Protection in Europe12

Allianz zwischen EU-Parlament und EU-Kommission

Nach der Veröffentlichung des Kommissionentwurfs nahm das Europäische Parlament seine Arbeit auf. Der Europaabgeordnete Jan Philipp Albrecht (Bündnis 90/Die Grünen) wurde vom Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) als zuständiger Berichterstatter ernannt. Seine Aufgabe bestand darin, sich federführend mit dem Kommissionvorschlag auseinanderzusetzen und die Stellungnahme des Ausschusses vorzubereiten. Albrecht setzte sich öffentlich immer wieder für einen starken Datenschutz und einen offenen und transparenten Verhandlungsprozess ein.

Der Grundsatz muss heißen: im Zweifel für den Schutz der Person. Anders ist ein konsequenter Schutz auch nicht denkbar.

Interview mit Jan Philipp Albrecht, BvD-News 02/201313

Am 9. und 10. Januar 2013 stellte Albrecht schließlich einen Berichtsentwurf mit Änderungen zur Datenschutz-Grundverordnung vor. Bevor dieser weiter an das Plenum zur Abstimmung gegeben werden konnte, war Albrecht zudem damit vertraut die über 3.000 Änderungsanträge einzuarbeiten. Albrecht bekam in seiner Position, die Grundrechte der europäischen Bürger zu stärken und einen starken Datenschutz zu durchzusetzen, öffentliche Unterstützung von der damaligen Kommissionsvorsitzenden Viviane Reding.

I am glad to see that the European Parliament rapporteurs are supporting the Commission’s aim to strengthen Europe’s data protection rules which currently date back to 1995 – pre-Internet age.

Viviane Reding, Pressemitteilung der EU-Kommission, 10.01.201314

Allianz zwischen Rat und europäischer Digitalökonomie

Gleichzeitig verhandelte auch der Rat unter Ausschluss der Öffentlichkeit über die Datenschutz-Grundverordnung. Wenngleich wenige Einblicke in die Verhandlungen des Rats möglich waren, da er im Gegensatz zum Parlament im Verborgenen tagte, drangen einige interne Informationen an die Öffentlichkeit. Die Innen- und Justizminister*innen setzten vor allem auf den von der Ökonomie geforderten Ansatz der Selbstregulierung und des risikobasierten Ansatzes. Generell schien der Rat eine unternehmensfreundliche Haltung einzunehmen.15

The application of approved codes of conduct and the use of approved data protection certification mechanisms should be incentivised by establishing linkages with the risk assessment process; work on the risk-based approach should be continued by further developing criteria for enabling the controller and processor to distinguish risk levels and by further exploring the use of pseudonymous.

Pressemitteilung des 3228. Ratstreffens Justice and Home Affairs, 07./08.03.201316

Dem vorangegangen waren vielfache Warnungen europäischer Unternehmen vor den Folgen eines zu strengen Datenschutzes für den Digital Single Market.

However, the benefits of greater harmonisation are at risk of being outweighed by the costs of failing to strike the right balance between the protection of Europeans’ fundamental right to privacy and data protection, and the promotion of innovation, competitiveness and growth in the Digital Single Market. If enacted in the present draft form, the Regulation would delay the launch of innovative services in Europe, cause substantial loss in revenues for businesses of all sizes and in a wide range of industries, limit opportunities for new market entrants, strongly increase administrative costs and create legal uncertainty.

Industry Coalition for Data Protection, 03.09.201217

Sowohl im Rat als auch in der europäischen Digitalindustrie setzte sich die Ansicht durch, dass ein zu strenger Datenschutz schädlich für Europa sein könnte. Die Angst, abgehängt zu werden, langfristig nicht mit den Big Playern in den USA mithalten zu können und so in der Wirtschaft und dadurch letztendlich auch in der Politik zu einer marginalen Größe zu schrumpfen, bekräftigte diese Allianz .

Konflikt im Parlament

Der Konflikt zwischen Datenschutz und Wirtschaftsinteressen spiegelte sich auch innerhalb des EU-Parlaments wider. Hier zeichnete sich eine Spaltung zwischen einer wirtschaftsfreundlichen (allen voran EPP, ALDE und ECR) und einer datenschutzaffinen (Grüne-EFA, GUE-NGL) Fraktion ab.18 Diverse Leaks machten den teils sehr intimen Austausch und die Einflussnahme zwischen Teilen der Digitalökonomie und den Parlamentsmitglieder*innen öffentlich. So übernahmen einige Parlamentarier*innen teilweise wortgleich Forderungen von großen US-IT-Unternehmen, die eine Schwächung einiger Datenschutzregeln forderten.19 Lobbying wird aber auch von verschiedenen Bürgerrechtsorganisationen betrieben, die versuchen, ihre Forderungen nach einer datenschutzfreundlichen Reform in die Verhandlungen mit einzubringen. So finden sich hier ebenfalls wortgleiche Übernahmen durch Parlamentarier*innen.20 Die Anhörung verschiedener Interessengruppen zur Meinungsbildung ist kein ungewöhnlicher Prozess im europäischen Politikbetrieb, jedoch kritisieren viele Medien die Intransparenz des Verfahrens. Zudem zeichnet sich ein Machtungleichgewicht zwischen den unterschiedliche Interessengruppen ab. Insbesondere große IT-Unternehmen sind mit enormen finanziellen Ressourcen ausgestattet, die es ihnen im Vergleich zu zahlreichen Bürger- oder Verbraucherrechtsorganisationen erlauben, ein Vielfaches an Lobbygeldern auszugeben.

Lobbying is so intense and uneven on this law - Facebook alone has hired five lobbyists for this in Brussels, while on the other side, NGOs have maybe one person who also has to cover other topics too. And MEPs rarely go the extra mile of asking some independent experts or academics about it.

Max Schrems,EUobserver, 18.07.201321

Folglich schienen sich zu diesem Zeitpunkt die Stimmen, die eine wirtschaftsfreundlichere Strategie verfolgten, im Parlament langsam durchzusetzen.22

Allianz zwischen der Welt der Datenschützer*innen und Teilen der Welt des Parlaments

Datenschutzaktivist*innen und Teile des Parlaments (Grüne und European United Left/ Nordic Green Left) teilen das Interesse am Datenschutz mit dem Ziel, die Rechte des Individuums zu stärken. Allen voran Jan Philipp Albrecht (Abgeordneter des Europäischen Parlaments für “Bündnis 90/ Die Grünen” und Berichterstatter des Europäischen Parlaments für die Reform der Datenschutz-Grundverordnung) fordert in öffentlichen Debatten immer wieder die Stärkung der individuellen Rechte.

Im Parlamentsvorschlag wird das (Anm.: die Regeln der Datenverarbeitung) unter Artikel 6 geregelt. Dort heißt es: Daten dürfen nur verarbeitet werden, wenn es dafür eine Rechtsgrundlage gibt. Rechtmäßig ist eine Datenverarbeitung nur, wenn, erstens, eine Zustimmung vorliegt, wenn, zweitens, ein Vertrag geschlossen wurde, der Datenverarbeitung abdeckt, drittens, wenn ein Gesetz die Datenverarbeitung erlaubt, wie bei der umstrittenen Vorratsdatenspeicherung oder bei der Datenverarbeitung durch Behörden. Viertens, wenn es überwiegend berechtigte oder lebenswichtige Interessen gibt, wie zum Beispiel bei einer Behandlung in der Notaufnahme, fünftens aus Sicherheitsgründen, sechstens, wenn ein legitimes Interesse besteht. Hier und bei viertens haben wir das Schlupfloch des „Opt-Out“. Es werden heute so viele Daten verarbeitet, die wir gar nicht sehen. Das versuchen wir jetzt deutlich zu begrenzen – eine Verschärfung zum bisherigen Recht. Es kann nicht sein, dass irgendein Unternehmen, von dem ich nichts weiß, plötzlich meine Daten verarbeitet für irgendwelche Zwecke, die für mich nicht vorhersehbar sind.

Interview mit Jan Philipp Albrecht, FAZ, 12.03.201423

Phase II

Allianz zwischen der Welt der Datenschützer*innen und der Bundesregierung

Angela Merkel fordert den Schutz der Daten der Bürger*innen als Reaktion auf den Snowden Skandal. Ausländische Unternehmen und Regierungen werden so kurzzeitig zu einem gemeinsamen Feind, vor dem es die “heimischen” Daten zu schützen gilt.

Wir arbeiten zusammen im Kampf gegen den Terror, aber auf der anderen Seite muss natürlich auch der Schutz der Daten der Bürgerinnen und Bürger gewährleistet sein. Nicht alles was technisch machbar ist, das wird ja in Zukunft immer mehr sein, darf auch gemacht werden.

Angela Merkel,ARD-Sommerinterview, 14.07.201324

Allianz zwischen der Welt der Datenschützer*innen und der gesamten Welt des Parlaments

Die Streitigkeiten im EU-Parlament lösen sich kurzfristig auf und das Parlament tritt geschlossen für ein schnelles Ende der Verhandlungen ein. Nach der Veröffentlichung des NSA-Skandals wurde Datenschutz zu einem brisanten Thema und stärkte die Verhandlungsposition der datenschutzfreundlichen Kräfte innerhalb des Parlaments.25 Die Zwiespältigkeit innerhalb des Parlaments löste sich auf und im Oktober 2013 konnte das Parlament eine gemeinsame Position verabschieden.26 Das Parlament verfolgte das Ziel, die Verhandlungen mit den Mitgliedstaaten so schnell wie möglich zu beginnen, um das Gesetz auf den Weg zu bringen.

Die Innenpolitiker haben Albrecht zugleich ein Mandat erteilt, ohne 1. Lesung im Plenum in direkte Verhandlungen mit dem EU-Rat und der EU-Kommission einzusteigen. Albrecht betonte, dass man sich auf dieses Schnellverfahren verständigt habe, um die Gesetzesinitiative noch vor den Neuwahlen Mitte 2014 unter Dach und Fach zu bringen.

Die Position des Parlaments macht gegenüber datenschutzfreundlichen Lösungen viele Zugeständnisse und nähert sich dem Anliegen vieler Datenschützer*innen an, ein starkes Datenschutzniveau zum Wohle der Bürger*innen zu verankern.

Phase III

Konflikt im Rat

Gegen Ende des Jahres 2013 gerieten die Verhandlungen um die Verordnung wieder ins Stocken. Im Rat, der sich als letztes Organ (nach Kommission und Parlament) auf eine gemeinsame Stellungnahme zur Datenschutz-Grundverordnung einigen musste, bevor diese aufgrund der wechselseitigen Ablehnung der jeweiligen Vorschläge zwischen Rat und Parlament notwendigen Trilogverhandlungen beginnen konnten, kam es immer wieder zu Verzögerungen. Insbesondere das One-Stop-Shop-Prinzip führte wiederholt zu Konflikten zwischen den Mitgliedstaaten.28 Das Prinzip ist eine wesentliche Neuerung gegenüber dem bisherigen europäischen Datenschutzrecht, indem es künftig grundsätzlich eine zentrale Behördenzuständigkeit geben wird. Bei grenzüberschreitenden Datenverarbeitungen ist für das datenverarbeitende Unternehmen nur noch eine Aufsichtsbehörde, am Sitz der Hauptniederlassung, zuständig (Art. 56 DSGVO). Einzelne Länder, darunter das Vereinigte Königreich, Dänemark, Slowenien und Ungarn, lehnten eine Verordnung generell ab und plädierten für die Umwandlung in eine Richtlinie. Im Gegensatz zu einer Verordnung würde die Umsetzung im Falle einer Richtlinie den einzelnen Staaten überlassen und mehr Raum für nationale Sonderregeln schaffen. Deutschland wiederum versuchte zu verhindern, dass der öffentliche Sektor ebenfalls von der Verordnung geregelt wird.29 Der Ursprung der zähen Verhandlungen lag in der Angst der einzelnen Staaten, in relevanten Bereichen Souveränität abgeben zu müssen. Dies führte dazu, dass trotz des massiven Drucks von Kommission und Parlament die Verhandlungen nicht vor den Neuwahlen im Frühling 2014 abgeschlossen werden konnten. Erst im Dezember 2014 konnte sich der Rat schließlich auf einen Kompromiss im sogenannten One-stop-Shop-Prinzip einigen.30 Im Juni 2015 einigte sich der Rat schließlich und veröffentlichte seine Version eines Vorschlags für eine Datenschutz-Grundverordnung.

Allianz zwischen der Bundesregierung und europäischen Unternehmen

Merkel zweifelt öffentlich, ob Datenschutz als Oberziel zukunftsfähig ist. Vielmehr betont sie die Wichtigkeit wirtschaftlicher Aspekte und tritt für eine Stärkung der heimischen Industrie und im Zuge dessen für europäische Unternehmen ein.

Wir müssen hohe Datensicherheit haben, aber wenn wir uns das Big Data Management, wenn wir uns die Möglichkeit der Verarbeitung großer Datenmengen durch einen falschen rechtlichen Rahmen zu sehr einengen, dann wird nicht mehr viel Wertschöpfung in Europa stattfinden. Das wäre für uns von großem Nachteil.

Angela Merkel im Rahmen ihrer Rede auf dem 9. IT-Gipfel am 19. November 2015 in Berlin.31

Die deutschen Bundesregierung teilt somit die Interessen vieler europäischer Unternehmen, die in Datenschutz eine Gefahr für die Konkurrenzfähigkeit der europäischen Wirtschaft sehen. Merkel verfolgt insbesondere nationale Interessen und möchte vermeiden, dass Deutschland zur “verlängerten Werkbank” wird. Als eine Vertreterin der Welt des Nationalstaats handelt sie im Interesse Deutschlands. Gesellschaftlicher Wohlstand wird hier eng an den ökonomischen Wohlstand gekoppelt. Die Subwelt der europäischen Unternehmen wiederum verfolgt wirtschaftliche Interessen der Profitgenerierung und möchte ihre Wettbewerbsfähigkeit verbessern. Die Forderung datengetriebene Geschäftsmodelle zu ermöglichen und verstärkt auf Selbstregulierung zu setzen, kann somit die Interessen der beiden Welten vereinen.

Konflikt zwischen Europäischem Gerichtshof und US-Unternehmen/US-Regierung

Bisher konnten amerikanische Unternehmen auf der Grundlage des Safe-Harbor-Abkommens innerhalb der USA Daten von EU-Bürgern verarbeiten. Da der Europäische Gerichtshof (EuGH, Urteil vom 06.10.2015, Az. C-362/14) jedoch entschieden hat, dass in den USA kein angemessenes Datenschutzniveau herrscht, wurde das Abkommen für ungültig erklärt. Aus diesem Grund wurde zwischen den USA und der Europäischen Union eine neue Regelung verhandelt und das sog. Privacy Shield-Abkommen erlassen.

Allianz zwischen Rat und europäischen Unternehmen

Die großen Unterschiede zwischen den USA und der Europäischen Union im Bereich des Datenschutzrechts, führen auf europäischer Seite zu Bedenken. Beim direkten Vergleich der beiden Digitalwirtschaften wird häufig die Meinung vertreten, dass Europa durch den Datenschutz die internationale Wettbewerbsfähigkeit seiner Unternehmen und die europäischen IT-Innovationen hemme, es zugleich aber auch nicht-europäischen Unternehmen erschwert werde innerhalb der Europäischen Union zu bestehen. Im März 2015 werden erneut Dokumente veröffentlicht, die eine enge Kooperation des Rats und der Digitalökonomie belegen sollen. Insbesondere Deutschland, welches eine maßgebliche Rolle in den Verhandlungen einnahm, näherte sich in seiner Position der Industrie an.32 Zahlreiche Datenschutz- und Verbraucherschutzorganisationen kritisieren die endgültige Version des Rats als zu wirtschaftsfreundlich. Einer der Hauptvorwürfe sind die vielen Schlupflöcher für Unternehmen, die es ihnen ermöglichen, die Daten ihrer Kunden auszuspähen.33

Verhältnis zwischen europäischem Recht und deutschem Recht

Das deutsche Recht und das Unionsrecht sind grundsätzlich zwei eigenständige und voneinander getrennte Rechtsordnungen. Beide haben eine eigenständige Daseinsberechtigung. In der Praxis existieren aber ganz erhebliche Verflechtungen der beiden Rechtsordnungen. Das Unionsrecht bedarf zum einen des nationalen Vollzugs und zum anderen müssen etwa Richtlinien durch nationales Recht umgesetzt werden. Auch die nach Art. 114 AEUV vorgesehene Rechtsangleichung hat nicht immer eine Vollharmonisierung zur Folge. Liegt keine Sperrwirkung vor und erlässt auch die nationale Legislative Gesetze, so ist es durchaus möglich, dass für einen Regelungsbereich zwei Gesetze und gleichzeitig zwei verschiedene Rechtsordnungen anwendbar sind. Daher stellt sich die Frage nach dem Rangverhältnis zwischen Unionsrecht und nationalem Recht. Das Unionsrecht gilt unmittelbar in allen Mitgliedstaaten und ist auch unmittelbar anwendbar. Das gilt jedenfalls für das primäre Unionsrecht und für Verordnungen sowie Beschlüsse. Richtlinien können nur unter bestimmten Voraussetzungen direkt angewendet werden.

Auch die Datenschutz-Grundverordnung genießt damit grundsätzlich Anwendungsvorrang vor dem nationalen Datenschutzrecht. Die nationalen Datenschutzgesetze verlieren damit aber nicht ihre Wirksamkeit, sie dürfen nur dann nicht angewendet werden, wenn es zu einer direkten oder indirekten Kollision mit dem Unionsrecht kommt, die nationalen Regelungen denen der Verordnung also widersprechen, und wenn Gleiches oder Weitergehendes in der Verordnung geregelt wird. Demgegenüber finden die nationalen Datenschutzvorschriften dann weiter Anwendung, wenn eine nationale Vorschrift die Vorgaben der europäischen Verordnung lediglich ergänzt, ferner dann, wenn die europäische Regelung nicht hinreichend bestimmt und nicht unbedingt formuliert ist sowie im Fall impliziter oder expliziter Öffnungsklauseln.34 So wird etwa das Bundesdatenschutzgesetz für den öffentlichen Bereich weiterhin anwendbar bleiben, da insbesondere der Rat darauf gedrängt hatte diesen Bereich mit Hilfe von Öffnungsklauseln aus der Verordnung auszunehmen. Die Umstellung von der Richtlinie auf die Verordnung und die damit einhergehende unmittelbare Geltung und Anwendbarkeit führt aber bei gleichzeitigem Bestehen nationaler Gesetze zu einer erheblichen Rechtsunsicherheit, da nicht in jedem Fall direkt ersichtlich ist, welche nationalen Vorschriften weiter anwendbar sind und welche nicht. Um dieser Unsicherheit entgegenzuwirken und um die Spielräume, die die Grundverordnung dem nationalen Gesetzgeber lässt, zu nutzen, arbeitet das Bundesministerium des Innern derzeit an einem Referentenentwurf für ein Allgemeines Bundesdatenschutzgesetz. Dieses soll das deutsche Datenschutzrecht an die Vorgaben der Datenschutz-Grundverordnung anpassen.

Verhältnis zwischen Europäischem Gerichtshof und Bundesverfassungsgericht

Der Wechsel von der Richtlinie zur Verordnung wird Folgen für die Geltung nationaler Grundrechte haben. Deutsche Grundrechte etwa werden nur noch dort relevant sein, wo die Datenschutz-Grundverordnung den Mitgliedstaaten Umsetzungsspielräume lässt. Diese fallen bei einer Verordnung deutlich enger aus als bei einer Richtlinie. Das grundlegende Verhältnis zwischen nationalen und europäischen Grundrechten hat das Bundesverfassungsgericht (BVerfG) in seinen Solange-Entscheidungen geklärt. Im Solange II-Urteil heißt es:

Solange die Europäischen Gemeinschaften, insbesondere die Rechtsprechung des Gerichtshofs der Gemeinschaften einen wirksamen Schutz der Grundrechte gegenüber der Hoheitsgewalt der Gemeinschaften generell gewährleisten, der dem vom Grundgesetz als unabdingbar gebotenen Grundrechtsschutz im wesentlichen gleichzuachten ist, zumal den Wesensgehalt der Grundrechte generell verbürgt, wird das Bundesverfassungsgericht seine Gerichtsbarkeit über die Anwendbarkeit von abgeleitetem Gemeinschaftsrecht, das als Rechtsgrundlage für ein Verhalten deutscher Gerichte oder Behörden im Hoheitsbereich der Bundesrepublik Deutschland in Anspruch genommen wird, nicht mehr ausüben und dieses Recht mithin nicht mehr am Maßstab der Grundrechte des Grundgesetzes überprüfen.

Das BVerfG beschränkt sich damit auf eine Art von „Mindestkontrolle“ dahingehend, ob durch die Europäische Union der „Wesensgehalt der Grundrechte generell verbürgt“ wird.

Auf europäischer Seite hat sich der Europäische Gerichtshof in der Åkerberg Fransson-Entscheidung aus dem Jahr 2013 zum Verhältnis nationaler und europäischer Grundrechte geäußert. Die Unionsgrundrechte sollen „in allen unionsrechtlich geregelten Fallgestaltungen” gelten. Nationale Grundrechte können damit nur noch dann gelten, wenn keine Fallgestaltung denkbar ist, die vom Unionsrecht erfasst würde. Flankiert wurde diese Aussage durch die Melloni-Entscheidung des EuGH. Danach gestattet der Vorrang des Unionsrechts den Mitgliedstaaten nicht, die Ausführung von Unionsrecht zu verweigern, wenn dies das höhere Schutzniveau nationaler Grundrechte verletzt. Diesem weiten Verständnis des EuGH setzte das BVerfG sein eigenes, enges Verständnis entgegen. Danach sind Vorschriften nur dann nicht am deutschen Grundgesetz zu messen, wenn sie durch Unionsrecht determiniert sind.

Das Verhältnis zwischen EuGH und BVerfG war und ist durchaus problembehaftet. Man kann von einer komplizierten und schwierigen „Kooperation“ oder „Kohabitation“ zwischen den beiden Gerichten sprechen. Praktische Auswirkungen hatten die Differenzen indes bisher nicht. Dies könnte sich durch die Datenschutz-Grundverordnung jedoch ändern.

Die überragende Bedeutung von Datenverarbeitung in der modernen Gesellschaft brachte Verfassungsrichter Masing dazu, vor einem „Abschied von den Grundrechten“ zu warnen.35 Hintergrund sind Ängste, dass mit dem Wechsel von der Richtlinie zur Verordnung deutsche Grundrechte marginalisiert werden. Dabei handelt es sich um ein emotionales Thema in Deutschland, bei dem oft auf die lange und erfolgreiche Rechtstradition in Deutschland verwiesen wird. Die Datenschutz-Grundverordnung führe zu einem Monopol des EuGH in Fragen des Grundrechtsschutzes, jedoch handele es sich, so Masing, beim EuGH um ein „Gericht ohne Unterbau“ und um „kein Bürgergericht“, das wie das BVerfG vom einzelnen Bürger angerufen werden kann. Ein Äquivalent zur deutschen Verfassungsbeschwerde existiert nicht; einzelne Bürger*innen können nur indirekt Fälle vor den EuGH bringen. Zudem sei der EuGH angesichts der Zahl der zu erwartenden Verfahren unterbesetzt.


  1. https://www.bitkom.org/Presse/Presseinformation/Nachbesserungen-bei-EU-Datenschutzverordnung-notwendig.html. ↩︎

  2. http://www.spiegel.de/netzwelt/netzpolitik/lobbyplag-zeigt-lobby-einflussname-bei-eu-datenschutz-richtlinie-a-882567.html. ↩︎

  3. Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts vom 17.02.2016, Bundesgesetzblatt Jahrgang 2016 Teil I Nr. 8, ausgegeben zu Bonn am 23.02.2016. ↩︎

  4. https://www.datenschutzbeauftragter-info.de/geaendertes-gesetz-datenschutz-nun-auch-verbraucherschutz/. ↩︎

  5. “Es sollte sowohl weiter daran gearbeitet werden Flexibilität für den öffentlichen Bereich, ähnlich wie in Art. 6 Abs. 3 als auch in anderen Vorschriften des Entwurfs der Verordnung zu finden, da erst dann bewertet werden kann, ob die Verordnung die nötige Flexibilität für den öffentlichen Bereich der Mitgliedstaaten mit sich bringt.” (eigene Übersetzung), https://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/jha/135901.pdf. ↩︎

  6. "The Working Party has serious reservations with regard to the extent the commission is empowered to adopt delegated and implementing acts, which is especially relevant because a fundamental right is at stake (…) The adoption of delegated or implementing acts for a large numbers of articles may take several years and could represent legal uncertainty.” (EUobserver 03.05.2012); eigene Übersetzung: “Die Artikel 29-Datenschutzgruppe hat ernsthafte Bedenken im Hinblick darauf, in welchem Umfang die Kommission ermächtigt ist delegierte Rechtsakte und Durchführungsbestimmungen zu erlassen, was deshalb von besonderer Relevanz ist, da ein Grundrecht auf dem Spiel steht (…) Der Erlass von delegierten Rechtsakten oder Durchführungsbestimmungen für eine Vielzahl von Vorschriften kann mehrere Jahre dauern und könnte Rechtsunsicherheit verursachen.” ↩︎

  7. The U.S. Ambassador to Europe, William Kennard, called for the U.S. to be given “adequate” status in a speech at the Annual European Data Protection and Privacy Conference in Brussels on Tuesday. (CSOonline, 05.12.2012); eigene Übersetzung: “Der Botschafter der Vereinigten Staaten bei der Europäischen Union, William Kennard, hat in einer Rede bei der Annual European Data Protection and Privacy Conference in Brüssel dazu aufgerufen, den Vereinigten Staaten einen “Angemessenheits”-Status zu verleihen.,http://www.csoonline.com/article/2132628/privacy/eu-privacy-watchdog-expects-no-immediate-change-in-data-protection-standoff-with-us.html). ↩︎

  8. “Außerdem besorgt uns die Vorgabe der Verordnung, dass stets eine ausdrückliche Einwilligung erforderlich ist. Die “One-size-fits-all-Einwilligung” könnte Nutzer in Anbetracht der großen Anzahl an Einwilligungen, die eingefordert werden, frustrieren, was schließlich dazu führen könnte, dass Nutzer sich lediglich durchklicken, ohne eine fundierte Entscheidung zu treffen. Gleichzeitig kann die explizite Einwilligung es Unternehmen erschweren, personenbezogene Daten für innovative Zwecke zu nutzen, um so einen besseren Service für die Verbraucher anbieten zu können. (…) Ferner könnte das “Recht auf Vergessenwerden” in der Finanzbranche zu einer subjektiven Risikoanhebung führen, wenn säumige Parteien die Löschung ihrer Bonitätshistorien verlangen und so das europäische Finanzsystem gefährden. Außerdem gibt uns der sehr eingeschränkte Schutz der freien Meinungsäußerung durch die Verordnung zu denken.” (eigene Übersetzung), https://useu.usmission.gov/kennard_120412.html. ↩︎

  9. A draft of the data protection regulation, sent by Reding to the other EU commissioners in November 2011, contained provisions in Article 42 that would make it a condition for the disclosure of user data to authorities in third countries to have a legal foundation, such as a mutual legal assistance agreement and an authorisation by the competent data protection authority. However, the Article disappeared from the final proposal, after strong lobbying from the US administration. (EUobserver, 13.06.2013); eigene Übersetzung: Ein Entwurf der Datenschutzverordnung, den Reding im November 2011 an die anderen EU-Kommissare schickte, enthielt in Art. 42 Bestimmungen, nach denen es einer Rechtsgrundlage, wie etwa einem gegenseitigen Rechtshilfeabkommen und einer Erlaubnis durch die zuständige Aufsichtsbehörde, bedurfte, um gegenüber Behörden Auskunft über Nutzerdaten zu geben. Diese Vorschrift war jedoch, nachdem die US-Regierung starke Lobbyarbeit geleistet hat, in dem endgültigen Vorschlag nicht mehr zu finden.”. ↩︎

  10. “I studied in Silicon Valley and there were companies coming to the classroom not knowing there is a European among them. They were saying it very bluntly: yes, Europe has strong data protection rules, but if you just pretend to respect them, you’re fine. No way can they find out what we are doing on our servers and even if they do, it will take them at least 10 years to enforce anything." (EUobserver, 18.07.2013); eigene Übersetzung: “Ich habe im Silicon Valley studiert und dort kamen Unternehmen zu uns in die Klasse, die nicht wussten, dass ein Europäer unter den Studenten ist. Sie sagten in aller Klarheit: Ja, in Europa gibt es strenge Datenschutzvorschriften, aber wenn man einfach so tut, als würde man sie beachten, ist alles in Ordnung. Unter keinen Umständen können sie herausfinden, was wir auf unseren Servern machen, und selbst wenn sie es könnten, würde es mindestens 10 Jahre dauern bis sie irgendetwas geltend machen können.” ↩︎

  11. In February, the Barack Obama administration in the US published its own white paper on data privacy in the US. IT businesses have also responded with plans to improve industry self-regulation. (EUobserver, 29.03.2012); eigene Übersetzung:Im Februar hat die Regierung von Barack Obama in den Vereinigten Staaten ein eigenes White-Paper zum Datenschutz in den USA veröffentlicht. IT-Unternehmen haben darauf mit Plänen zur Verbesserung der Selbstregulierung der Industrie geantwortet. ↩︎

  12. Das Europäische Parlament und die Europäische Kommission bereiten nun ihre Stellungnahmen zu dieser neuen Verordnung vor. Gleichzeitig versuchen viele Lobbygruppen massiven Einfluss auf die gesetzgebenden Körperschaften zu nehmen. Mit dem Ziel, eine objektive Position in die erhitzte Debatte einzubringen, würden wir gerne einige sachliche Argumente vorstellen. Wir möchten auf einige Behauptungen antworten, die darauf abzielen, den Datenschutz in Europa zu schwächen.” (eigene Übersetzung), http://web.archive.org/web/ 20160305041142/http://dataprotectioneu.eu/. ↩︎

  13. BvD-News 2/2013, S. 19, https://www.bvdnet.de/fileadmin/BvD_eV/pdf_und_bilder/Mitgliederbereich/
    Publikationen/BvD_News/z2013-02.pdf. ↩︎

  14. “Ich bin froh, dass die Berichterstatter des Europäischen Parlaments das Ziel der Kommission unterstützen, das europäische Datenschutzrecht zu stärken, das derzeit auf das Jahr 1995 zurückgeht und damit auf ein Zeitalter vor dem Internet.” (eigene Übersetzung), http://europa.eu/rapid/press-release_MEMO-13-4_de.htm. ↩︎

  15. https://netzpolitik.org/2013/innen-und-justizminister-reiten-auf-trojanischen-pferden-richtung-datenschutzreform/. ↩︎

  16. Für den Einsatz genehmigter Verhaltensregeln und die Nutzung von genehmigten datenschutzsspezifischen Zertifizierungsverfahren sollten dadurch Anreize geschaffen werden, dass sie mit der Datenschutz-Folgenabschätzung verknüpft werden; die Arbeit an dem risikobasierten Ansatz sollte fortgeführt werden, indem weitere Kriterien entwickelt werden, die es dem Verantwortlichen und dem Auftragsverarbeiter ermöglichen, das Risiko-Level zu erkennen, und indem die Nutzung von Pseudonymen weiter erforscht wird.” (eigene Übersetzung), https://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/jha/135901.pdf. ↩︎

  17. “Die Vorteile der Harmonisierung könnten jedoch dadurch aufgehoben werden, dass versäumt wurde, einen Ausgleich zwischen dem Schutz der europäischen Grundrechte auf Privatleben und Datenschutz und der Förderung von Innovation, Wettbewerbsfähigkeit und Wachstum im digitalen Binnenmarkt zu finden. Sollte die Verordnung in der aktuellen Entwurfsfassung in Kraft treten, würde sie die Einführung innovativer Dienste in Europa verzögern, erhebliche Einnahmeverluste für Unternehmen aller Größen und vieler Branchen verursachen, die Möglichkeiten neuer Marktzugänge erschweren, die Bürokratiekosten erhöhen und Rechtsunsicherheit schaffen.” (eigene Übersetzung), http://www.digitaleurope.org/DocumentDownload.aspx?Command=Core_Download&EntryId=545. ↩︎

  18. Both the centre-right EPP and the liberal Aide groups are opposing the Greens and the European United Left/Nordic Green Left camp. (EUobserver, 06.06.2013); Sowohl die Mitte-rechts Partei EPP als auch die liberale Aide Gruppe widersetzen sich den Grünen und den European United Left/Nordic Green Left camp (eigene Übersetzung). ↩︎

  19. “Auf der Plag-Website finden sich detaillierte Angaben darüber, wie EU-Parlamentarier Lobbytexte etwa von Amazon, Ebay und der US-amerikanischen Handelskammer in Anträge über gesetzliche Regelungen einfließen lassen.“ (ntv.de, 12.02.2013, http://www.n-tv.de/politik/Blog-deckt-Lobbyeinfluss-auf-article10103291.html). ↩︎

  20. “Während zum Beispiel die über tausend Hinweise aus der Wirtschaft, wonach Meldungen von Datenschutzverletzungen binnen 24 Stunden praktisch unmöglich umsetzbar sind, pauschal ignoriert wurden, kopiert der Berichterstatter seitenweise Wort für Wort Änderungsvorschläge der Internet NGO Bits of Freedom. Diese gehen inhaltlich oft in die richtige Richtung. Man sollte als junger Berichterstatter jedoch mehr Objektivität an den Tag legen." (Damaliger Vizepräsident des Europäischen Parlaments Alexander Alvaro, 08.01.2013, https://www.liberale.de/content/alvaro-gruene-datenschutzvorschlaege-fail). ↩︎

  21. “Die Lobbyarbeit an diesem Gesetz ist so stark und unausgeglichen – Facebook hat allein fünf Lobbyisten dafür in Brüssel eingestellt, während NGOs auf der anderen Seite vielleicht eine Person haben, die sich auch noch um andere Themen kümmern muss. Und die Abgeordneten nehmen es selten auf sich, einen unabhängigen Experten oder einen Wissenschaftler zu befragen.” (eigene Übersetzung), https://euobserver.com/justice/120894. ↩︎

  22. “I can see a shift towards more of the protection, under quotation marks, of business interests and not the protection of citizen’s fundamental rights," (Dimitrios Droutsas, Mitglied der sozialdemokratischen Fraktion der Progressiven Allianz der Sozialdemokraten im Europäischen Parlament, 15.05.2013); eigene Übersetzung: “Ich kann eine Veränderung dahingehend beobachten, als es mehr um den Schutz, in Anführungsstrichen, von geschäftlichen Interessen als um den Schutz der Grundrechte der Bürger geht.”. “Much of what we have said unanimously is now contested by lobbyist groups and by some members in here in the house who seem not to feel obliged by the resolution they voted on in the first place," (Jan Albrecht, 29.05.2013, http://www.information-age.com/diplomats-slept-in-tents-during-eu-data-protection-talks-123457109/ ); eigene Übersetzung: “Vieles von dem, was wir einhellig gesagt haben, wird nun von Lobbygruppen und von einigen Abgeordneten hier aus diesem Haus, die sich nicht durch den Beschluss verpflichtet fühlen, für den sie zunächst gestimmt haben, in Frage gestellt.”. ↩︎

  23. http://www.faz.net/aktuell/feuilleton/debatten/die-digital-debatte/europas-it-projekt/interview-mit-jan-philipp-albrecht-das-wichtigste-ueber-die-datenschutzreform-der-eu-12841473.html?printPagedArticle=true#pageIndex_2. ↩︎

  24. http://www.ardmediathek.de/tv/Bericht-aus-Berlin/Bericht-aus-Berlin-Sommerinterview-mit/Das-Erste/Video?bcastId=340982&documentId=15861418https://www.welt.de/newsticker/dpa_nt/infoline_nt/brennpunkte_nt/article118035131/Merkel-will-internationales-Datenschutzabkommen.html. ↩︎

  25. „Dank der Aufregung um Snowden konnten Datenschützer in den Entwurf sogar ein paar Punkte wieder hineinschreiben, die die Industrie bereits hatte streichen lassen.“ (Zeit.de, 18.10.2013, http://www.zeit.de/digital/datenschutz/2013-10/eu-datenschutzreform-abstimmung-libe/komplettansicht). ↩︎

  26. „Dank der Aufregung um Snowden konnten Datenschützer in den Entwurf sogar ein paar Punkte wieder hineinschreiben, die die Industrie bereits hatte streichen lassen.“ (Zeit.de, 18.10.2013, http://www.zeit.de/digital/datenschutz/2013-10/eu-datenschutzreform-abstimmung-libe/komplettansicht). ↩︎

  27. http://www.heise.de/newsticker/meldung/EU-Parlament-gibt-gruenes-Licht-fuer-Datenschutzreform-1983124.html. ↩︎

  28. “An EU diplomat said Germany, with the support of Sweden and Belgium, is partly responsible for the delay. The issue revolves around a so-called one-stop shop principle, considered a central pillar of the proposal because it harmonizes decision-making across the bloc. (…) The German argument, said the contact,is that Berlin does not want the EU law to be any weaker than its domestic one. (…) But the UK has issue with the legal basis and wants to downgrade the “regulation” into a “directive.” (EUobserver, 06.12.2013); eigene Übersetzung: “Ein Diplomat der EU hat gesagt, dass Deutschland, mit Unterstützung von Schweden und Belgien, für die Verzögerung mit verantwortlich ist. Die Angelegenheit dreht sich um das sogenannte One-Stop-Shop-Prinzip, welches als zentrale Säule des Entwurfs bezeichnet wird, da es die Entscheidungsfindung blockübergreifend harmonisiert. (…)Die Kontaktperson hat gesagt, dass Argument der Deutschen sei, dass Berlin nicht möchte, dass die EU-Verordnung schwächer ist als das nationale Recht. (…) Großbritannien wiederum hat ein Problem mit der Rechtsgrundlage und möchte die Verordnung zu einer Richtlinie degradieren.”. ↩︎

  29. „The delays are caused, in part, by a handful of member states that want to weaken the regulation, which aims at harmonising data protection rules across the bloc. Among the core group is the UK, along with Denmark, Hungary, and Slovenia. All four are pushing to turn the regulation into a directive. Unlike a regulation, a directive gives member states room to manoeuvre and interpret the EU law to their advantage. Germany is also among the delaying camp of member states but for different reasons. The Germans support the regulation but do not want it applied to the public sector. “Obviously the German government is against European-wide common rules. This behaviour is irresponsible against the EU citizens,” said Albrecht.” (EUobserver, 24.01.2014); eigene Übersetzung: “Die Verzögerungen sind zum Teil durch eine handvoll Mitgliedstaaten verursacht worden, die die Verordnung schwächen wollen, welche zum Ziel hat, die Datenschutzvorschriften über die Blöcke hinweg zu harmonisieren. Zur Kerngruppe gehört Großbritannien, zusammen mit Dänemark, Ungarn und Slowenien. Alle vier versuchen, aus der Verordnung eine Richtlinie zu machen. Anders als bei einer Verordnung haben die Mitgliedstaaten bei einer Richtlinie Handlungsspielraum und die Möglichkeit, das europäische Recht zu ihrem Vorteil auszulegen. Deutschland gehört auch zu den Mitgliedstaaten, die für die Verzögerung gesorgt haben, aber aus anderen Gründen. Die Deutschen unterstützen grundsätzlich die Verordnung, wollen aber nicht, dass sie auch für den öffentlichen Bereich Anwendung findet. ‘Offensichtlich ist die deutsche Regierung gegen europaweite einheitliche Regelungen. Dieses Verhalten ist den EU-Bürgern gegenüber unverantwortlich,’ sagte Albrecht.”. ↩︎

  30. “Member states on Thursday (4 December) reached a broad consensus on a key area of the EU’s reformed data protection bill but some problems remain for the next EU presidency to resolve. Months of wrangling on technical details have led to an Italian EU presidency compromise text on the so-called one stop shop mechanism aimed at harmonizing data protection decisions across the EU.” (EUobserver, 04.12.2014); eigene Übersetzung: “Die Mitgliedstaaten haben am Donnerstag (4. Dezember) einen weitgehenden Konsens zu einem Schlüsselbereich des reformierten europäischen Datenschutzrechts erreicht, gleichwohl müssen einige Probleme von der nächsten EU-Ratspräsidentschaft gelöst werden. Monate des Streits über technische Details haben zu einem Kompromisstext unter der italienischen Ratspräsidentschaft zu dem sogenannten One-Stop-Shop-Mechanismus geführt, der die Harmonisierung datenschutzrechtlicher Entscheidungen in der ganzen EU zum Ziel hat.”. ↩︎

  31. https://www.bundesregierung.de/Content/DE/Rede/2015/11/2015-11-19-merkel-it-gipfel.html. ↩︎

  32. Member states have since held protracted internal debates with signs suggesting that Germany is now leading the pack in rolling back key points in the original draft.” (EUobserver, 03.03.2015); eigene Übersetzung: Seitdem haben die Mitgliedstaaten langwierige interne Diskussionen geführt und es gibt Hinweise, die vermuten lassen, dass Deutschland das Rudel nun anführt, um von Schlüsselpunkten des Entwurfs wieder zum ursprünglichen Entwurf zurückzukehren.”. ↩︎

  33. „AccessNow, a Brussels-based digital rights NGO, in a statement said companies would be allowed to “collect and repeatedly use citizens’ personal information without their knowledge” under article 6.4. The NGO accused ministers of eviscerating the bill by “introducing so many loopholes it’s not even consistent with the EU Charter of Fundamental Rights.” The European Consumer Organisation, Beuc, expressed similar concerns” (EUobeserver, 15.06.2015); eigene Übersetzung: “AccessNow, eine Nichtregierungsorganinsation, die sich für digitale Rechte einsetzt, sagte in einer Stellungnahme, dass es Unternehmen nach Art. 6 Abs. 4 gestattet sei,’personenbezogene Daten der Bürger zu sammeln und wiederholt zu nutzen, ohne dass diese davon wüssten’. Die Organisation warf den Ministern vor, die Verordnung bedeutungslos gemacht zu haben, da sie durch die ‘Einführung so vieler Lücken nicht einmal mit der EU-Grundrechtecharta vereinbar’ sei. Die Europäische Verbraucherorganisation Beuc äußerte ähnliche Bedenken.”. ↩︎

  34. Vgl. hierzu ausführlich Roßnagel (Hrsg.), Europäische Datenschutz-Grundverordnung 2016. ↩︎

  35. Masing, Ein Abschied von den Grundrechen, SZ v. 9.1.2012. ↩︎