Tag Archives: Jan Phillipp Albrecht

die Europäische Grundverordnung zum Datenschutz

parlament2was bisher geschah – eine Zusammenfassung 

Dass die Europäische Datenschutz-Richtlinie aus dem Jahre 1995 stammt, ist ein eindeutiges Zeichen dafür, dass sie reformiert werden muss. Damals steckten die Systeme zur Datenverarbeitung noch in den Kinderschuhen, apples und blackberries wurden mit Früchten assoziiert und „goggles“ schrieb man mit Doppel-g und nutzte sie zum Schwimmen. 2010 begann also die Europäische Kommission, an einem Konzept für die Neu-Gestaltung der Datenschutz-Richtlinie zu arbeiten.

Ein Konzept wurde ausgearbeitet, in dem die wichtigsten zu reformierenden Punkte beschrieben wurden. Unter anderem fand sich darin ein eigener Punkt zum Beschäftigtendatenschutz. Eine europaweite öffentliche Befragung der BürgerInnen und Bürger, Unternehmen und Lobbyisten startete im Jänner. Die Stellungnahmen, die auf diese Befragung hin abgegeben wurden, stammten großteils von Konzernen und arbeitgebernahen Vereinigungen. ÖGB und Arbeiterkammer gehörten zu den wenigen ArbeitnehmerInnenvertretungen in Europa, die ihre Stellungnahmen dazu abgegeben haben.

Im Jänner 2012 war Paul Nemitz, Direktor der Abteilung Grundrechte und Unionsbürgerschaft im Department Justiz der Europäischen Kommission, mit dem Kommissionsentwurf fertig. Um ein europaweit einheitliches Datenschutzniveau zu gewährleisten, sollte aus der Richtlinie eine Verordnung werden. Ein eigener Artikel zum Datenschutz im Arbeitsverhältnis sowie ein betrieblicher Datenschutzbeauftragter (ab einer Unternehmensgröße von 250 MitarbeiterInnen) waren Teil des Kommissions-Entwurfes. Für besonderen Aufruhr sorgte das Vorhaben, auch Konzerne, die nicht in der EU niedergelassen sind, an die Inhalte der Datenschutz-Verordnung zu binden, sobald sie eine Geschäftsbeziehung mit EU-BürgerInnen anbieten oder eingehen. Die Sanktionen sollten proportional zum weltweiten Unternehmensumsatz verhängt und insgesamt angehoben werden. Diese beiden letzten Bestimmungen freuten insbesondere us-amerikanische Unternehmen wenig.

das Europäische Parlament beschäftigt sich mit der Verordnung – und zahlreiche Wirtschafts-Lobbyisten auch

Im Europäischen Parlament wurde die Bearbeitung des Dossiers innerhalb des Ausschusses für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) dem deutschen Parlamentarier Jan-Phillip Albrecht als Berichterstatter zugeteilt. In einigen anderen Ausschüssen wurde die neue Verordnung ebenfalls bearbeitet. Unter anderem engagierte sich der Ausschuss für Beschäftigung und Soziale Angelegenheiten (EMPL) für eine Ergänzung der Kommissions-Vorschläge zum Datenschutz am Arbeitsplatz.

  • So konnte durchgesetzt werden, dass „Schwarze Listen“ von ArbeitnehmerInnen – insbesondere über deren gewerkschaftliche Tätigkeit – verboten wurden.

Auch in den Ausschüssen für Industrie, Forschung und Energie (ITRE) und für Binnenmarkt und Verbraucherschutz (IMCO) sowie im Rechtsausschuss wurde an dem Verordnungsentwurf der Kommission gedreht und geschraubt, was schlussendlich zu mehr als 3.000 Änderungsanträgen führte – eine enorme Anzahl, die für eine Verordnung höchst untypisch ist. Einige Anträge waren nichts weiter als copy – paste – Aktionen von Stellungnahmen großer Konzerne, wie sich später herausstellen sollte.

Im LIBE bemühte man sich, diese vielfältigen und widersprüchlichen Anträge auf einen Nenner zu bringen. Die Deadline für die Abstimmung wurde immer wieder verschoben. Entgegen allen Unkenrufen ist es schließlich im Oktober 2013 gelungen, einen Entschluss innerhalb des Parlamentsausschusses LIBE zu fassen. Der enthält Aspekte, die aus ArbeitnehmerInnen-Sicht kritisch zu beurteilen sind, wie beispielsweise

  • keine dezidierte Mitbestimmung für die betriebliche Interessenvertretung,
  • die Interessen der Auftraggeber als legitime Grundlage für Datenverwendungen und
  • wesentlich mehr Datenschutz-Verantwortung auf Unternehmensebene, also eher auf freiwilliger und privatrechtlicher Basis anstatt von Seiten staatlicher Behörden oder sozialpartnerschaftlicher Organisationen.

Es können dem Entwurf aber auch positive Aspekte abgewonnen werden:

  • Die Anträge des EMPL zum betrieblichen Datenschutz wurden beibehalten.
  • Der betriebliche Datenschutzbeauftragte ist nicht mehr auf die Unternehmensgröße abgestimmt, sondern darauf, von wie vielen Betroffenen die Daten verarbeitet werden. (Verpflichtend wären Datenschutzbeauftragte demnach ab 5.000 Datensubjekten.)
  • IP-Adressen gelten als personenbezogen Daten und sind somit von der Verordnung mit erfasst.
  • Entgegen den Lobbyversuchen von Konzernen, blieben die Sanktionen erhöht.

Jetzt, im Herbst 2013, sollten die Trilog-Gespräche zwischen Kommission, Parlament und Europäischem Rat losgehen. Doch der EU-Rat sorgt für „Entschleunigung“. Während dem gesamten Verhandlungsprozess war im EU-Rat eine Arbeitsgruppe zum Thema Datenschutzverordnung (DAPIX) am Werken – hinter verschlossenen Türen. Das, was an die Öffentlichkeit gedrungen ist, zeugte von sehr unterschiedlichen Interessenlagen der Mitgliedsstaaten. Nach wie vor gibt es keine offizielle einheitliche Position des Rates und einigen Ländern wird unterstellt, absichtlich zu „mauern“ (zB Deutschland und Großbritannien). Der ursprüngliche Plan bis Ende der Legislaturperiode eine neue Datenschutzverordnung vorlegen zu können, rückt damit in die Ferne. Kein Wunder, dass der Berichterstatter Jan-Phillip Albrecht sauer ist.

wie soll das noch enden?

Wer sich näher informieren möchte, wie es mit dem Datenschutz in der EU weitergeht, hat am 9. Jänner im Bildungszentrum der AK Wien dazu Gelegenheit – wie in diesem Blog bereits erwähnt. EU-ParlamentarierInnen, ein Mitglied der EU-Ratsarbeitsgruppe sowie weitere ExpertInnen aus Politik, Technik und Wissenschaft werden sich und dem Publikum einen Tag lang die Frage stellen, ob die Grundrechte im Netz noch gewahrt sind oder bereits Opfer von ökonomischer Verwertbarkeit und politischen Interessenvertretungen geworden sind. Anmeldung unter: veranstaltungen.ks@akwien.at

Auf Wiedersehen

Reform des europäischen Datenschutzes

Parl3der Ausschuss hat abgestimmt

wenns nach dem EU-Parlament geht, gibts bald einen Datenschutzbeauftragten

Seit Jänner 2012, als die EU-Kommission ihren Entwurf für eine neue Datenschutzverordnung auf den Tisch legte, ist Datenschutz innerhalb der EU wieder ein heftig diskutiertes Thema. Mit der Aufdeckung diverser Überwachungspraktiken dies- und jenseits des Atlantik ist das Thema weiter angeheizt worden. Nun hat am Montag, den 21.10. der Ausschuss für Bürgerliche Freiheiten, Justiz und interne Angelegenheiten (LIBE) seine Version des neuen Datenschutzes beschlossen.

Über 105 Kompromisse, die seit Monnaten unter der Federführung vom Grünen Abgeordneten Jan-Phillip Albrecht zwischen den Fraktionen ausverhandelt worden waren, wurden in der Plenarsitzung in Straßburg abgestimmt – die meisten davon einstimmig angenommen. Der Vorsitzende  des LIBE, Juan Fernando Lopez Aguilar, kommentiert die Abstimmung mit Dankesworten an den Berichterstatter Albrecht: „it was a whole lot of work.“

Inhalte

Nachdem sie beschlossenen Kompromisse noch nicht offiziell veröffentlicht sind (geleakt gibt es sie), ist eine umfassende Einschätzung der Ergebnisse noch etwas schwierig. Fest stehen dürfte, dass es folgende Neuerungen geben wird:

  • einen verpflichtenden Datesnschutzbeauftragten ab 5.000 verarbeiteten Datensubjekten innerhalb eines Jahres, allerdings ohne weitere Mitsprache des Betriebsrates bei der Ernennung,
  • ein sogenanntes one-stop-shop-Prinzip demnach ein Konzern nur in seiner europäischen Hauptniederlassung einen Datenschutzbeauftragten ernennen muss,
  • Verbot der „schwarzen Listen“ von ArbeitnehmerInnen aufgrund deren gewerkschaftlicher Tätigkeit,
  • die Verpflichtung zu einer Information an die Betroffenen, wenn deren Daten in die falschen Hände gelangt sind,
  • wesentlich erhöhte Sanktionen bis zu maximal 5% des Jahresumsatzes eines Konzerns.

Reaktionen

Der österreichische Sozialdemokratische Abgeordnete Joe Weidenholzer zeigt sich mit diesem Ausgang sehr zufrieden. Auch die Abgeordnete Evelyn Regner, zu deren Hauptanliegen die Rechte der ArbeitnehmerInnen zählen, sieht in dem LIBE-Kompromissen einen Schritt in die richtige Richtung – vor allem hinsichtlich der verbotenen ArbeitnehmerInnen-Überwachung.

der weitere Fahrplan

Der LIBE hat beschlossen, nun in die sogenannten Trilog-Gespräche mit der EU-Kommission und dem EU-Rat einzutreten – allerdings müssen sich vorher noch die Ratsmitglieder (sprich: die zuständigen MinisterInnen der EU-Mitgliedsstaaten) auf einen einheitlichen Text einigen. Das, was dieses Gremium Anfang des Sommers als ersten Entwurf in die Öffentlichkeit gespielt hat, war jedenfalls eher Besorgnis erregend. Sollte der Rat sich intern geeinigt habe, wünscht man sich seitens des Parlaments noch diese Legislaturperiode (sprich von den Neuwahlen Ende Mai 2014) zu einem Ergebnis zu kommen.

EU-Ministerrat tagt zur Datenschutzgrundverordnung

kommissionder Datenschutzgrundverordnung steht das Wasser bis zum Hals

Wenn der Vorschlag des Ministerrates wahr gemacht wird, bleibt vom Entwurf zu einer neuen Datenschutzverordnung nicht mehr viel über. Denn dann…

  • wären Datenschutzbeauftragte nur mehr freiwillig.
  • gäbe es nur mehr dort Protokollierungs- und Aufzeichnungspflichten, wo die Risikoprüfung ergeben hätte, dass es erforderlich sei.
  • wäre das Auskunftsrecht für jedeN EinzelneN quasi abgeschafft, weil die Unternehmen dafür Bezahlung einfordern können.
  • wären „pseudonymisierte Daten“ (also zB IP-Adressen) nicht mehr den Datenschutz-Regelungen unterworfen und damit „Freiwild“ für Unternehmen, die sich dem Profiling verschrieben haben, um für andere Firmen Werbewirksamkeit, persönliche Vorlieben aller Art, Bonität etc. zu analysieren.

… um nur ein paar wichtige Vorschläge zu erwähnen.

Der Vorbehalt, den die Österreichischen Beamten im EU-Ministerrat zu diesem Entwurf angemeldet haben, ist daher mehr als angebracht. Justizministerin Beatrix Karl äußerte laut APA-Berichten beim heutigen Ministerrat ihre Befürchtung, dass hier eine Schieflage zugunsten des freien Binnenmarktes entstehe. Auch Deutschland und Frankreich haben einen Vorbehalt zu diesem Entwurf angemeldet. Mit dem Vorbehalt befindet man sich zugleich in Gesellschaft von Staaten wie Großbritannien, die zwar auch dagagen sind, aber aus anderen Gründen, nämlich weil die Unternehmen durch diese Verordnung zu sehr eingeschränkt würden.

Jetzt wird es höchste Zeit, Dämme gegen die Konzern-Lobbys aufzubauen, damit nicht sämtliche datenschutzrechtlichen Errungenschaften davongeschwemmt werden. Das geht beispielsweise bei der Kampagne:

Protect your Data!

Stand der Dinge im EU-Parlament

Auch im EU-Parlament sieht es derzeit nicht gerade vielversprechend aus, was eine Stärkung des personenbezogenen Datenschutzes betrifft. Ursprünglich waren sich zwar alle EU-Abgeordneten einige, dass die alte Datenschutzrichtlinie von 1995 keinesfalls unterschritten werden sollte. „Diesen Konsens scheinen einige bei den Änderungsaträgen vergessen zu haben.“ meinte Jan Philipp Albrecht, der zuständige Berichterstatter im europäischen Parlement, der sich zur Zeit durch die mehr als 3.000 Änderungsanträge durcharbeiten muss, bei  einer Veranstaltung von „quintessenz“ am 23.Mai  2013. Und auch in ORF.at befürchtet Albrecht, dass man hinter die Standards von 1995 zurückgfallen könnte.

„Jetzt wird erst deutlich, was der digitale Binnenmarkt für Herausforderungen schafft.“ diagnostizierte Albrecht „Besonders beim unterschiedlichen Verfahrensrecht wird deutlich, wie schwer es ist, die nationalen Vorgaben alle einzubinden. Man vergleiche nur das englische case-law mit der deutschen oder österreichischen Rechtsprechung.“

„Die große Frage, die sich bei dieser Verordnung stellt, ist: inwieweit müssen Betroffene bei der Verwendung ihrer Daten mit einbezogen werden.“

Um eine möglichst große Mitbestimmung der Betroffenen zu erreichen, möchte der Ausschussvorsitzende Albrecht ein „Nicht-Verkettbarkeits-Prinzip“ einführen, sodass nicht bei jedem digitalen Dienstleister Daten zum Einsatz kommen, die mit der Dienstleistung nichts zu tun haben. Sprich: keine Geburtsdaten für die Bestellung von CDs, keine Wohnortspeicherung bei der Buchung von Flügen, etc.

Damit es so weit kommen kann, muss eindeutiger formuliert werden, wie der europäische Datenschutz zukünftig aussehen kann. Das geht beispielsweise bei der Kampagne:

Protect your Data!  keys1