Mit Rock and Roll hat sie nichts am Hut. Hinter der gläsernen Fassade eines anonymen Bürogebäudes in der Avenue de Rock’n’Roll in Esch-Belval sitzt die Datenschutzkommission (CNPD). Aller architektonischen Eintönigkeit zum Trotz findet hier seit einigen Monaten einer der spannendsten Umbauten einer Luxemburger Verwaltung statt.
Anlass ist die, Achtung, sperriger Name, Europäische Datenschutz-Grundverordnung, die die Datenschutzbestimmungen EU-weit auf ein einheitliches Niveau heben und die am 25. Mai 2018 in Kraft treten soll. Soeben hat der blau-rot-grüne Regierungsrat den entsprechenden Entwurf zur Ratifizierung auf den Instanzenweg geschickt, der das noch gültige nationale Datenschutzgesetz von 2002 ablöst (vom Parlament aber noch nicht veröffentlicht, die Redaktion). Eigentlich sollte dann auch mit bestehenden Wettbewerbsverzerrungen infolge unterschiedlicher nationaler Datenschutzbestimmungen Schluss sein, allerdings sieht das Mammutwerk zahlreiche Öffnungsklauseln für die Mitgliedstaaten vor.
Ein Datenschutz für alle
Mit der Grundverordnung werden Datenschutz-Grundsätze wie das Verbot mit Erlaubnisvorbehalt europaweit gültig: Daten dürfen nur dann erhoben und verarbeitet werden, wenn die betroffene Person zuvor eingewilligt hat. Oder die Datensparsamkeit, wonach ein Unternehmen oder eine Behörde nur so viele Daten wie nötig erheben soll. Auch das Gebot der Zweckbindung ist in der Verordnung verankert, das sicherstellen soll, dass Daten nur für den Zweck verwendet werden, für den sie erhoben wurden. Um die beiden letztgenannten Grundsätze war besonders gerungen worden, weil für die Wirtschaft das Verknüpfen von Datenbanken und die Analyse von Big Data somit nicht ohne weiteres möglich sind.
Dies ist nicht die einzige Regelung, die insbesondere Internetdienstleistern ein Dorn im Auge ist. Nach der alten EU-Datenschutzrichtlinie von 1995 galt bisher das so genannte Sitzlandprinzip: Bei Rechtsstreitigkeiten griffen die Datenschutzgesetze jenes Landes, in dem ein Unternehmen seinen Hauptsitz hatte. Das war günstig für multi-national operierende Konzerne wie beispielsweise Facebook, das seine Europazentrale in Irland hat. Konzerne suchten den für sie günstigsten Standort in Europa, das wird mit der Harmonisierung nicht mehr so einfach. Irland ist bei vielen Internetfirmen beliebt: Weil die dortige Datenschutzbehörde mit 30 Mitarbeitern vergleichsweise klein ist und weil die angelsächsische Kultur den Datenschutz, anders als die deutsche nicht aus den Grundrechten, sondern aus dem Privateigentum herleitet.
Ab Sommer 2018 kommt das Marktortprinzip zur Anwendung: Dann muss, wer seine Dienste in einem EU-Land anbieten will, zwingend die jeweiligen Ausführungsbestimmungen des Ziellandes beachten. Gleichwohl werden Firmen Datenschutzfragen künftig nur mit einer, der Datenschutzbehörde ihres Hauptsitzes abklären können, statt wie bisher mit 27 nationalen Behörden zu tun haben zu müssen. EU-Bürger können sich künftig in der eigenen Sprache an die Datenschutzbehörde im eigenen Land wenden, selbst wenn es um eine Beschwerde wegen eines Verstoßes in einem anderen EU-Land geht. Allein durch die Beschränkung auf nur eine Kontrollbehörde und der damit verbundenen Verringerung des Verwaltungsaufwands für Firmen rechnet die EU-Kommission mit Einsparungen von etwa 2,3 Milliarden Euro im Jahr.
Mehr Kontrollen, mehr Personal
Angesichts der vielen Firmenniederlassungen wird auf die Luxemburger Datenschützer einiges an Mehrarbeit zukommen. 2016 gab es 430 schriftliche Anfragen zum Datenschutz, die CNPD organisierte 198 Versammlungen mit Firmen, Verwaltungen, Ministerien und anderen Interessenvertretungen, in Zukunft dürften es noch mehr werden. Zumal weitere Aufgaben hinzukommen: Die Kooperation mit den Datenschutzbehörden anderer Länder wird noch enger werden, wenn etwa Amtshilfeersuchen zu Untersuchungen führen, die die CNPD nicht aus eigener Initiative unternommen hätte. Auch klare Fristen, bis wann Anfragen beantwortet sein müssen, erhöhen zusätzlich den Druck auf die Datenschützer.
Dazu braucht es allerdings Expertise – und mehr Ressourcen. Deshalb hatte die Datenschutzkommission in weiser Voraussicht in ihrem zukünftigen Organigramm 49 Mitarbeiter veranschlagt; insbesondere werden Informatiker und Juristen gesucht. Allerdings dauern die Einstellungsverfahren beim Staat. Für die derzeit 23 Datenschützer bedeutet das: Arbeiten am Anschlag, denn parallel zum noch gültigen Gesetz von 2002 müssen die Weichen für die neue Gesetzgebung gestellt werden. So fährt die Kommission hinsichtlich des – umstrittenen – Wechsels von Ex-ante- zu Ex-post-Kontrollen momentan zweigleisig: Wer eine Kamera am Arbeitsplatz installieren will, muss sich diese zuvor genehmigen lassen, darüberhinaus finden Vor-Ort-Kontrollen statt. Das bedeutet Mehrbelastung. In Zukunft werden Unternehmen ihre Spähaktionen dann weiterhin der CNPD melden, für eine vorläufige Inbetriebnahme würde jedoch die Empfangsbestätigung ausreichen. Vor allem der OGBL wehrt sich dagegen, weil er mehr Unsicherheit und Überwachung der Arbeitnehmer fürchtet. Christophe Buschmann von der CNPD sieht die Gefahr nicht: „Auch Genehmigungen lassen sich umgehen. Wir bekommen so mehr Zeit für die eigentlichen Vor-Ort-Kontrollen“, sagte er dem Land.
Mit dem Inkrafttreten der EU-Grundverordnung erfolgt nicht nur der Switch zum neuen Kontrollverfahren, die Bedeutung der CNPD wird sich ändern: Sie wird wichtiger und mächtiger, denn sie wird nicht nur kontrollieren, beraten und Empfehlungen aussprechen, sondern sie wird als Brüsseler Exekutivbehörde handeln. Bei Zuwiderhandlung kann sie künftig saftige Strafen verhängen. Bislang galt für Unternehmen bei Verstößen gegen Meldepflichten etwa von Überwachungsanlagen eine Haftungshöchstgrenze von maximal 125 000 Euro. Künftig kann die CNPD Strafgelder bis zu 20 Millionen Euro beziehungsweise bei Konzernen bis zu vier Prozent des weltweiten Umsatzes des Vorjahres verhängen. Diese hohen Bußgelder sollen abschrecken und laut Grundverordnung vor allem für Unternehmen anfallen, Mitgliedsstaaten könnten „andere Sanktionen“ bei Verstößen festlegen.
Saftige Strafen
Das sorgt in der Wirtschaft teils für erhebliche Nervosität. So äußerte sich Romain Schmit, Generalsekretär der Handwerkerföderation, am Mittwoch per Twitter, der Gesetzgeber habe ein „legislatives Monster“ erschaffen. Niemand würde die „legalo-administrative Komplikation“ durchschauen. In der Tat gibt es zahlreiche Unklarheiten: Weil das Einwilligungsalter national festgelegt wird, ist beispielsweise unklar, ob soziale Netzwerke künftig Altersverifikationssysteme vorschalten müssen. Zudem unterliegen Firmen strengeren Informationspflichten zur Erhebung, zum Widerruf und zur Löschung von Daten. Mit dem so genannten Recht auf Vergessen können Betroffene personenbezogene Informationen über das Privat- und Berufsleben im Internet löschen lassen. Was die Rechte des Verbrauchers stärkt, führt auf Seiten der Unternehmen zu nicht unerheblicher Rechtsunsicherheit. In der Datenschutzkommission laufen die Telefone heiß von Unternehmern, die wissen wollen, wie sie sich beim Datenschutz am besten anlegen. Besonders für kleine und mittlere Firmen bedeutet die Umsetzung der neuen Spielregeln eine Kraftanstrengung, nicht zuletzt finanziell.
Kleine Betriebe im Nachteil
„Kleinere Unternehmen haben nicht dieselben Ressourcen und dasselbe Knowhow wie die Großen“, räumt Tom Theves, Erster Regierungsberater im Wirtschaftsministerium, ein. In größeren Unternehmen sind nicht selten ein oder mehrere Mitarbeiter speziell für Datensicherheit und Datenschutz zuständig, oft gibt es einen eigenständigen Datenschutzbeauftragten, der auch rechtliche Fallstricke kennt. Den Aufwand können sich kleinere Firmen in der Regel nicht leisten. Im vom Wirtschaftsministerium koordinierten Hohen Komitee für Klein- und mittlere Unternehmen sollen deshalb die neuen Vorgaben aus Brüssel Ende September, Anfang Oktober auf die Tagesordnung, ein genauer Termin steht noch nicht fest. Auch wenn sein Ministerium selbst nicht federführend ist (das ist das Medienministerium), macht sich Theves keine Illusionen: „Wir werden nicht alle Unternehmen erreichen.“
Um die neuen Auflagen bekannt zu machen, organisiert die CNPD Seminare zum Datenschutz, in denen sich Interessierte informieren können, und hat einen Leitfaden veröffentlicht. Gemeinsam mit dem Luxembourg Institute of Science and Technology hat sie ein Online-Instrument entwickelt, mit dem Unternehmen per Selbsttest ermitteln können, wo sie in Sachen Datenschutz stehen. Eine Beta-Version wurde soeben getestet, mit positiver Resonanz: 25 Firmen haben sich beteiligt.
Außerdem haben die Datenschützer in den vergangenen Monaten ihre Kontakte zu den Verbänden intensiviert: Ziel ist es, gemeinsam zu überlegen, wie die Informationen an die Unternehmen gelangen können. Am 10. Oktober organisiert die Handelskammer, mit Unterstützung der CNPD, eine Konferenz zum Thema. Im Gespräch sind überdies Verhaltensregeln. Die Datenschutz-Grundverordnung sieht vor, dass Wirtschafts- oder Branchenverbände, die einen Datenschutz-Verhaltenskodex für ihre Mitglieder erstellen, diese verifiziert bekommen können: Das heißt, die CNPD prüft, ob die Verhaltensregeln mit dem Datenschutz vereinbar sind und genehmigt diese gegebenenfalls. Sie kann auch Datenschutz-Gütesiegel vergeben. So könnte ein solider Datenschutz zum Wettbewerbsvorteil werden. Der Bankenverband ABBL denkt darüber nach, mit seinen Mitgliedern und in Zusammenarbeit mit der CNPD Verhaltensregeln für die Finanzbranche aufzustellen. „Wir sind in den Vorbereitungen“, bestätigt Catherine Bourin, Juristin und im ABBL-Vorstand, dem Land.
Hüterin von Grundrechten
Aber auch die Verbraucherin und der Schutz ihrer persönlichen Daten sollen stärker in den Blick genommen werden. Denn Auftrag der Datenschutzbehörde ist es, neben der Kontrolle und Umsetzung der Grundverordnung, digitale Trends mit datenschutzrechtlicher Relevanz zu erkennen und, falls nötig, vor Risiken für Rechte wie das auf informationelle Selbstbestimmung oder den Schutz der Privatsphäre zu warnen. Durch die Digitalisierung von immer mehr Lebensbereichen steigen die damit verbundenen Risiken für Grundrechte und Freiheiten der Bürger und mögliche Verstöße gegen Datenschutzvorschriften.
Derzeit sei eine Sensibilisierungskampagne in Vorbereitung, um die Bürger ab Frühjahr über die Folgen der Datenschutz-Grundverordnung aufzuklären, erläutert Tine Larsen, Leiterin der CNPD, auf Nachfrage. Parallel werde am Webauftritt und an Radiospots gefeilt: Eine neue Webseite soll künftig zwischen Verarbeitern von Daten und Datensubjekte unterscheiden und maßgeschneiderte Auskünfte liefern. Die Sensibilisierung der Verbraucher für Datenschutzrisiken, die Öffentlichkeitsarbeit angesichts wachsender Datenberge nicht nur bei Unternehmen, sondern auch beim Staat und seinen Behörden, zählten in der Vergangenheit eher zu den Schwachstellen der Datenschutzkommission: Stellungnahmen zu politisch bedenklichen Trends waren selten, meistens beschränkte sich die CNPD auf Gutachten im Rahmen von Gesetzesverfahren und versuchte eher, hinter den Kulissen Einfluss zu nehmen. Erfolgten Stellungnahmen zu datenschutzrechtlich bedenklichen Entwicklungen, waren sie oft so vorsichtig formuliert und in einem Fachjargon, dass sie für Laien schwierig zu verstehen waren.
Diese Rolle der CNPD könnte – und sollte – sich in Zukunft ändern: Um ernst genommen zu werden, um Datenschutz konsequent auch gegen globale Player durchzusetzen, muss sie unabhängig agieren. Und darf sich nicht scheuen, falls notwendig, von ihrer neuen Macht Gebrauch zu machen: Ein aktuelles Gutachten der Universität Kassel zum Arbeitsaufwand der Umsetzung der Datenschutzverordnung empfiehlt dem Studien-Auftraggeber, den deutschen Datenschutzbehörden, ausdrücklich: Um auf Augenhöhe „mit wirtschaftlich starken und international agierenden Akteuren abschreckend“ zu wirken, müssten Bußgelder eine „für diese spürbare Höhe erreichen“. Und weiter: „Im Interesse ihrer Selbstachtung werden die Aufsichtsbehörden künftig deutlich höhere Bußgelder verhängen müssen“. Das wäre dann wirklich eine neue Dimension auch für den Luxemburger Datenschutz. Der alte Papiertiger ist nicht mehr, der Tiger bekommt Krallen.