D’Lëtzebuerger Land: Frau Reding, eines scheinen die Enthüllungen des Whistleblowers Edward Snowden bewirkt zu haben: Mit der Prism-Tempora-Affäre ist Schwung in die Verhandlungen über die Reform des europäischen Datenschutzes gekommen.
Viviane Reding: Prism und Tempora sind ein Weckruf. Und die Datenschutzreform ist Europas Antwort darauf. Sie ist ein „Anti-Prism“-Mechanismus und enthält mehrere Artikel, mit denen sich Europa wehren kann. Wenn wir diese strengen Regeln haben, werden uns US-Behörden und -Unternehmen ernstnehmen. Zu diesen Artikeln gehört erstens die territoriale Anwendung. Wir stellen sicher, dass es keine Schlupflöcher mehr gibt. Unternehmen, die europäischen Verbrauchern Produkte und Dienstleistungen anbieten, müssen die EU-Datenschutzregeln komplett einhalten – auch wenn sie selbst nicht in Europa ansässig sind. Zweitens werden wir diese Regeln strikt durchsetzen. Unsere Reform hat Biss: Künftig können nationale Datenschutzbehörden Bußgelder von bis zu zwei Prozent des weltweiten Jahresumsatzes verhängen, wenn ein Unternehmen sich nicht an die Regeln hält. Das wird Unternehmen dazu bringen, die Vorgaben zu respektieren. Drittens schaffen wir Rechtssicherheit, was Datentransfers angeht. Drittstaaten werden nur Zugriff auf die Daten von EU-Bürgern bekommen, wenn sie das auf einer klar festgelegten rechtlichen Basis tun, die einer gerichtlichen Kontrolle unterliegt. Der direkte Zugriff auf Daten über Unternehmen soll nur in klar definierten Ausnahmefällen möglich sein.
Die Prism-Affäre hat in Europa für Aufregung gesorgt, weniger allerdings in Luxemburg. Der hiesige Datenschutzbeauftragte meinte im Gespräch mit dem Land, Luxemburg wäre für die USA nicht so interessant. Ist Luxemburg nicht gerade wegen seines Finanzplatzes attraktiv für nachrichtendienstliche Aktivitäten?
Das Grundrecht auf Datenschutz gilt in der gesamten EU. Der Prism-Skandal hat einen Sturm in Europa verursacht, weil er einen wunden Punkt getroffen hat. Denn den Europäern liegt ihre Privatsphäre am Herzen. Und da sind die Luxemburger sicher keine Ausnahme. Im Gegenteil: Wenn ich mir den Jahresbericht der Luxemburger Datenschutzkommission CNPD anschaue, der Anfang Juli vorgestellt wurde, so stelle ich fest, dass sie 2012 133 Beschwerden von Bürgern bearbeitet hat – Tendenz steigend. Die Klagen kommen nicht nur aus dem Inland. Da einige Internetkonzerne ihre europäische Zentrale in Luxemburg haben, erhält die Datenschutzkommission auch Klagen gegen diese Firmen aus dem Ausland. Die steigende Zahl an Beschwerden zeigt doch gerade eine zunehmende Sensibilität der Bürger in Bezug auf den Datenschutz. Und übrigens hatte ich denselben Eindruck, als ich am 30. Juni beim Bürgerdialog in Esch mit den Bürgern über viele europapolitische Fragen diskutiert habe.
Die Verordnung des Datenschutzes war vor zwei Wochen Thema beim informellen Treffen der Justizminister in Vilnius. Es gibt offenbar noch viel Diskussionsbedarf. Ist das Stichdatum Mai 2014 für das Inkrafttreten der Reform realistisch?
Vom informellen Justizrat vor zwei Wochen ging ein starkes Signal aus: Alle EU-Institutionen sind sich nun einig, dass wir zusammenarbeiten müssen, um ein starkes Datenschutzrecht für unseren Kontinent durchzusetzen. Und es ist gut zu sehen, dass der deutsch-französische Motor auf Hochtouren läuft, und sich beide Länder zu einem hohen Datenschutzstandard und einer schnellen Verabschiedung der Reform bekannt haben. Ich bin zuversichtlich, dass dies vor den Europawahlen im Mai 2014 geschehen kann. Um das Tempo der Verhandlungen hoch zu halten, würde ich es begrüßen, wenn die EU-Staats- und Regierungschefs das Thema auch bei ihrem Treffen im Oktober behandeln, wenn sie über den digitalen Binnenmarkt debattieren.
Die Grundverordnung bezieht sich auf die persönlichen Daten von Personen. Experten diskutieren, inwiefern auch IP-Adressen auf dem Computer dazu zählen.
Um einen guten Schutz der Bürger zu gewährleisten, brauchen wir eine umfassende Definition von „personenbezogenen Daten“. Die Kommission ist in der Tat der Auffassung, dass auch IP-Adressen darunter fallen sollten, wenn sie dazu genutzt werden können, um eine Person zu identifizieren.
Sie betonen den Schutz persönlicher Daten von EU-Bürgerinnen und Bürgern durch in- und ausländische Organisationen. Warum nimmt dann der Vorschlag der Kommission ausgerechnet die EU-Institutionen, die ebenfalls Daten sammeln und verarbeiten, von der Verordnung aus?
Die EU-Institutionen sind heute schon oft Gegenstand strengerer Datenschutzauflagen als viele Firmen oder öffentliche Ämter in den EU-Mitgliedstaaten. Dies ist in der Verordnung 45/2001 präzise geregelt. Sie besagt zum Beispiel, dass jede EU-Institution einen Datenschutzbeauftragten haben muss. Mit ihm, ebenso wie mit dem Europäischen Datenschutzbeauftragten, müssen wir uns bereits im Vorfeld jeder administrativen Maßnahme oder jedes Gesetzentwurfs, der den Datenschutz berührt, abstimmen. Ja, es gibt Stimmen, die den EU-Institutionen vorwerfen, sich selbst nicht an die Datenschutzauflagen zu halten, die wir den Mitgliedstaaten vorschlagen. Aber das ist ein Ablenkungsmanöver derjenigen, die Verhandlungen über die Datenschutzreform bremsen wollen. Die Kommission hat immer den Standpunkt vertreten, dass die Verordnung von 2001 angepasst werden muss, um sicherzustellen, dass der Datenschutz mit den neuen Regeln abgestimmt ist. Was zählt ist, dass dieselben Regeln für alle gelten: für die EU, für die Mitgliedstaaten und für die Privatwirtschaft.
Ihr Entwurf sieht vor, viele Details mit delegierten Rechtsakten zu klären. Bedeutet das am Ende, dass die Kommission zentral entscheidet, wie bestimmte Regelungen ausgelegt werden?
Die Datenschutzverordnung legt grundsätzliche Regeln und Prinzipien fest. Ausführende Bestimmungen oder Rechtsakte sind nur für bestimmte Fälle vorgesehen: Wenn detaillierte Bestimmungen notwendig sind, wollen wir auf diesem Weg sicherstellen, dass diese zügig angenommen werden können, ohne ein weiteres langwieriges Gesetzesverfahren durchlaufen zu müssen. Wir sprechen hier wohlgemerkt von Details, die keine individuellen Rechte betreffen und auch keine Verpflichtungen von Unternehmen. Nehmen wir als Beispiel das Standardformular, das Unternehmen ausfüllen müssen, wenn sie Hackerangriffe melden wollen. Wir müssen nicht ins Gesetz schreiben, wie derlei Formulare aussehen müssen, ob gelb, grün oder blau. Dies kann später durch einen delegierten Rechtsakt bestimmt werden.
Ist es nicht wichtig, die Rechtsakte dennoch genau zu kennen, ehe Mitgliedstaaten ihre Zustimmung zur neuen Datenschutzverordnung geben?
Der Gedanke hinter den Rechtsakten ist der: Die Kommission hat die neuen Regeln so geschrieben, dass sie auch in Zukunft Bestand haben – wir haben in der Verordnung nicht jedes einzelne Detail geregelt, weil wir Raum lassen wollen, um technische Neuerungen berücksichtigen zu können, ohne jedes Mal die Verordnung in einer zwei bis dreijährigen Prozedur wieder ändern zu müssen. Rechtsakte sind nicht, wie einige Lobbyisten fälschlich behaupten, undemokratisch, weil sie es der Kommission erlauben würden, Kontrolle zu übernehmen. Im Gegenteil: Rechtsakte wurden dafür geschaffen, um unwesentliche Elemente im EU-Recht an neue Entwicklungen anpassen zu können, dies unter der vollen Kontrolle durch das Europäische Parlament und den Europäischen Rat. Beide, sowohl das Parlament als auch der Rat, haben jederzeit die Möglichkeit, einmal erlassene Rechtsakte zu widerrufen.
Fakt ist, dass viele Details in diversen Rechtsakten geregelt werden sollen – die den Datenschutz vielleicht unnötig schwerfällig machen.
Ich habe in den Verhandlungen bereits sehr deutlich gemacht, dass ich bereit bin durch jeden einzelnen Rechtsakt zu gehen, um nur das Notwendigste im Text zu behalten. Ich kann sie um bis zu 40 Prozent kürzen, falls dies nötig sein sollte. Das ist eine kraftvolle Botschaft an all jene, die das falsche Argument der Rechtsakte benutzen, um die Verhandlungen zu verzögern. Es geht hier nicht um Zahlen, es geht darum, dass unsere Regeln zeitgemäß sind und an neueste technologische Entwicklungen angepasst.
Sie fordern mehr Datenschutz, vor allem hinsichtlich ausländischer Firmen, die ihren Sitz in Europa haben. Müssen Bürger nicht vielmehr die von Experten als zu lasch und vage kritisierte Safe-Harbor-Übereinkunft zwischen den EU und den USA fürchten? Sie erlaubt, dass Firmen persönliche Daten in die USA übermitteln.
In der Tat: Im Lichte der jüngsten Entwicklungen muss ich sagen, dass der Safe Harbor (also der 'Sichere Hafen') vielleicht gar nicht so sicher ist. Diese Vereinbarung könnte vielmehr ein Schlupfloch für problematische Datentransfers sein, denn sie erlaubt die Weitergabe von Daten von europäischen an US-Unternehmen – obwohl die Datenschutzstandards der Vereinigten Staaten niedriger sind als jene in der EU. Deshalb habe ich den Justizministern vor zwei Wochen mitgeteilt, dass die Europäische Kommission dieses Safe-Harbor-Abkommen nun überprüfen wird. Das Ergebnis werden wir vor Jahresende veröffentlichen.
Sie haben in Vilnius angekündigt, die Kommission könnte das Safe-Harbor-Abkommen überdenken und vielleicht sogar aufkündigen. Gibt es konkrete Bestrebungen, das Abkommen neu zu verhandeln?
Ich glaube, dass das Safe-Harbor-Abkommen in seiner derzeitigen Form nur fortbestehen kann, wenn ein vollständiger und effektiver Schutz der Daten von EU-Bürgern gewährleistet ist. Um das zu prüfen, hat die Kommission auf meine Initiative hin die Überprüfung des Abkommens eingeleitet, die bis Jahresende abgeschlossen sein wird. Es ist übrigens bereits heute erkennbar, dass die Kommission nicht damit zufrieden ist, wie die Safe-Harbor-Prinzipien derzeit funktionieren: Aus dem Vorschlag für die Datenschutzverordnung, den die Kommission am 25. Januar 2012 vorgelegt hat, geht das klar hervor. Dieser Vorschlag sieht nämlich vor, dass der Transfer von Daten in Drittstaaten wie die USA für kommerzielle Zwecke künftig deutlich strikteren Regeln unterliegt als bisher. Solche Transfers sollen nur noch möglich sein, wenn in diesen Staaten ein Datenschutzniveau gesichert ist, das dem der EU entspricht.
Welche Aspekte des Abkommens wollen Sie prüfen?
Die Kommission wird analysieren, wie gut Safe Harbor funktioniert – oder eben nicht funktioniert. Wir werden Stärken und Schwächen untersuchen, um dann darüber zu befinden, ob das Abkommen, das einen Datenaustausch zwischen EU und US Unternehmen ermöglicht, bestehen soll, oder ob es überarbeitet oder gar aufgekündigt werden soll. Der Kommissionsvorschlag müsste dann von einer qualifizierten Mehrheit der Mitgliedsstaaten unterstützt werden. Die USA hat in diesem Prozess keine formale Rolle, denn die Entscheidung wird allein auf der Grundlage von EU-Recht getroffen.
Für die Kontrolle des Safe-Harbor-Abkommens ist die Federal Trade Commission zuständig. Wie oft haben US-Firmen gegen das Abkommen verstoßen und wurden Sanktionen gegen US-Firmen verhängt? Sind Ihnen Fälle in Luxemburg bekannt, bei denen Daten unrechtmäßig weitergereicht wurden?
Safe Harbor ist eine freiwillige Verpflichtung der US-Wirtschaft, Datenschutzauflagen zu respektieren, die mit EU-Standards vergleichbar sind. Weil es eine Selbstverpflichtung ist, unterliegt die Kontrolle vollständig der US-Behörde Federal Trade Commission (FTC), das heißt, auch Sanktionen werden gegebenenfalls von ihr verhängt, etwa gegen Google und Facebook, als diese sich nicht an die Bestimmungen von Safe Harbor hielten. Die EU-Kommission hat keine Kenntnisse darüber, dass Luxemburger Daten illegal in die Vereinigten Staaten übermittelt wurden. Die Kommission hat, gemeinsam mit dem Europäischen Parlament und den Mitgliedstaaten, die Wirkungsweise von Safe Harbor regelmäßig überwacht und die Federal Trade Commission wiederholt aufgefordert, die Durchsetzung der Safe-Harbor-Regeln zu verstärken.
Zurück zu Prism: Gegenüber der Bild-Zeitung drückten Sie Ihren Respekt vor dem Whistleblower Edward Snowden aus. Was halten Sie von der Forderung von der Lëtzebuerger Piratepartei und dem Chaos Computer Club, Snowden in Luxemburg oder einem anderen EU-Land Asyl zu gewähren?
Über Asylfragen entscheiden in Europa nach wie vor die nationalen Regierungen und nicht Brüssel.