Kritik an EU-Datenschutz-Novelle reißt nicht ab Parlamentarier wollen Weg für besseren Datenschutz in Europa ebnen

Redakteur: Elke Witmer-Goßner

Der federführende LIBE-Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres der Europäischen Union hat in seinem Votum die Generalüberholung der aktuellen EU-Datenschutzvorschriften auf den Weg gebracht. Somit sollen die Bürger künftig mehr Kontrolle darüber haben, was mit ihren persönlichen Daten geschieht.

Firma zum Thema

Lob und Kritik: Der EU-Innenausschuss LIBE hat mit seinem Votum für den Entwurf des neuen EU- Datenschutzgesetzes positive Signale ausgesendet, aber dennoch wichtige Chancen verpasst.
Lob und Kritik: Der EU-Innenausschuss LIBE hat mit seinem Votum für den Entwurf des neuen EU- Datenschutzgesetzes positive Signale ausgesendet, aber dennoch wichtige Chancen verpasst.
(Bild: momius, Fotolia)

Als Reaktion auf die bekannt gewordenen Massenüberwachungen forderten die Abgeordneten mehr Schutz bei Datenübertragungen in Nicht-EU-Länder. Damit wird der diskutierte Entwurf einer neuen EU-Datenschutz-Grundverordnung in einigen Punkten verschärft: die explizite Zustimmung bei der Verarbeitung persönlicher Daten, das Recht auf Löschung und größere Geldbußen als bisher vorgesehen für Unternehmen, die gegen die Regeln verstoßen.

Der zuständige Berichterstatter und Verhandlungsführer Jan Philipp Albrecht (Bündnis90/Die Grünen) sieht in der positiven Abstimmung einen „Durchbruch für die Datenschutzvorschriften in Europa, um künftig auf einer Höhe mit den Herausforderungen des digitalen Zeitalters zu sein.“ Das neue Gesetz stehe über dem derzeitigen Flickenteppich nationaler Gesetze. „Das Parlament hat jetzt ein klares Mandat, um die Verhandlungen mit den EU-Regierungen zu beginnen“, und gebe nun den Ball weiter an die Regierungen der Mitgliedstaaten, um das dringend benötigte Update der EU-Datenschutzvorschriften unverzüglich zu liefern, kommentiert Albrecht.

„Der Schutz personenbezogener Daten der europäischen Bürger bleibt ein zentrales Thema für uns. Mitgliedstaaten und der Rat müssen sich jetzt schnell bewegen. Es ist Zeit, zu handeln“, fordert auch Dimitrios Droutsas, Berichterstatter für die neue Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Polizei- und Justizbehörden als auch Schattenberichterstatter für die geplante „Datenschutz-Grundverordnung“. Die EU-Staats- und Regierungschefs hätten in Kürze beim nächsten Treffen des Europäischen Rates die Möglichkeit, ihre Entschlossenheit zu zeigen, auf die wir alle warten, so Droutsas.

Die wichtigsten Eckdaten

  • Datenübermittlungen in Nicht-EU-Länder: Die LIBE-Abgeordneten fordern angesichts der durch die Medien enthüllten massiven Überwachungstätigkeit fremder Geheimdienste und Sicherheitsbehörden eine Verschärfung des Absatzes zur Datenübermittlung in Nicht-EU-Länder. Der nun beschlossene Text sieht vor, dass ein Unternehmen aus einem Drittland (z.B. eine Suchmaschine, ein soziales Netzwerk oder ein Cloud-Provider) die Zustimmung der nationalen Datenschutzbehörde einholen muss, wenn sie persönliche Informationen außerhalb der EU verarbeiten und transferieren will. Zusätzlich muss dieses Unternehmen auch die betroffene Person selbst darüber in Kenntnis setzen, dass ein solcher Datenaustausch geplant ist.
  • Sanktionen: Firmen, die die Regeln brechen, drohen Geldstrafen von bis zu 100 Mio. Euro oder bis zu 5 Prozent des jährlichen weltweiten Umsatzes, je nachdem, was größer ist. Die LIBE-Abgeordneten verschärfen damit die von der EU-Kommission vorgeschlagenen Sanktionen von bis zu 1 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes.
  • Recht auf Löschung: Der Ausschuss für bürgerliche Freiheiten will jeder Person das Recht geben, dass ihre persönlichen Daten gelöscht werden, sobald er oder sie das fordert. Um dieses Recht zu stärken, müssen „Daten-Kontrolleure“ beispielsweise eines Internet-Unternehmens, an die der Wunsch nach Löschung herangetragen wird, auch andere Unternehmen, wo diese persönlichen Daten repliziert wurden, über die Löschungsforderung informieren. Das „Recht auf Löschung“ soll sich dabei mit dem von der EU-Kommission vorgeschlagenen „Recht auf Vergessen“ decken.
  • Explizite Zustimmung: Wo die Verarbeitung persönlicher Daten auf Zustimmung beruht, soll eine Organisation oder ein Unternehmen diese auch nur nach eindeutiger Zustimmung der betroffenen Person verarbeiten. Dabei kann die Einwilligung jederzeit widerrufen werden. Die Zustimmung einer Person muss freiwillig erfolgt sein und spezifisch sein und einen expliziten Hinweis auf die Wünsche der Person enthalten – entweder durch eine Erklärung oder eine eindeutig bejahende Aktion. Die LIBE-Abgeordneten stellen außerdem klar, dass ein Vertragsabschluss oder die Erbringung einer Dienstleistung nicht abhängig gemacht werden darf von der Einwilligung zur Verarbeitung personenbezogener Daten, die nicht unbedingt für den Abschluss dieses Vertrags oder der Dienstleistung benötigt werden. Die Einwilligung genauso leicht zurückziehbar sein, wie zu geben, fügen die Abgeordneten hinzu.
  • Profiling: Grenzen gesetzt werden soll künftig auch dem Profiling, einer Praxis, um die Arbeitsleistung einer Person, ihre wirtschaftliche Lage, ihre Gesundheit oder ihr Verhalten zu analysieren und prognostizieren. Profiling soll ebenfalls nur dann erlaubt sein – unter Vorbehalt der Zustimmung der Person – wenn dies gesetzlich vorgesehen ist oder, wenn überhaupt nötig, einen Vertrag zu verfolgen. Die Profiling-Praxis soll darüber hinaus nicht zur Diskrimierung der betroffenen Person führen oder nur aufgrund einer automatisierten Verarbeitung erfolgen. Jede Person, so die Abgeordneten, sollen das Recht haben, Maßnahmen gegen Profiling zu ergreifen.

Mehrheitlich gehen Politikern wie Verbänden und Organisationen die Bemühungen der EU um eine einheitliche Reform des Datenschutzes nicht weit genug. Das hat sich auch nach der aktuellen Abstimmung der LIBE-Kommission nicht geändert.

Die non-profit Organisation „European Digital Rights“ (EDRi) kritisiert, dass man bei der Datenschutz-Abstimmung zwar einen Schritt vorwärts, aber gleichzeitig zwei große Schritte rückwärts gemacht habe. EDRi applaudiert den Parlamentariern dafür, dass sie wichtige und wertvolle Elemente des ursprünglichen Vorschlags der EU-Kommission unterstützen. Man sei insbesondere darüber glücklich, dass das Komitee die Regeln für das Profiling, von denen sich viele Mitgliedstaaten befreien wollten, bewusst aufrechterhalten wolle.

Die Bürgerrechtler sind dennoch schockiert und enttäuscht darüber, dass die Parlamentarier im LIBE-Ausschuss die massiven Lücken, die den gesamten Vorschlag untergraben können, weiter bestehen lassen. „Indem diese Schlupflöcher weiter offen bleiben, hat die LIBE-Abstimmung die Jagdzeit für Unternehmen eröffnet, damit diese weiter ruhig Daten sammeln, Daten-Profile erstellen und unsere Persönlichkeiten an den Meistbietenden verkaufen zu können“, ärgert sich Joe McNamee, Executive Director bei EDRi.

Obwohl täglich Geschichten über Verluste, Verlegungen, Verletzungen oder Verkäufe von Daten ans Licht kämen, schimpft McNamee weiter, einigten sich die Volksvertreter auf einen Text, der die bürgerlichen Rechte und Freiheiten durch Corporate-Tracking und Profiling von Einzelpersonen nicht signifikant beinflusst sieht. Da die Abgeordneten viele positive Maßnahmen für mehr Datenschutz durchaus unterstützen, sind die verbliebenen riesigen Schlupflöcher für die Bürgerrechtsorganisation umso enttäuschender.

Bitkom begrüßt Fortschritte

Der Hightech-Verband Bitkom bewertet die Einigung im Innenausschuss des Europaparlaments zwar als wichtigen Schritt auf dem Weg zu einem einheitlichen Datenschutzrecht innerhalb der EU, sieht aber auch deutlichen Nachbesserungsbedarf. Positiv bewertet man die Pläne der EU-Parlamentarier, Anreize für die Verwendung von Technologien zur Anonymisierung und Pseudonymisierung persönlicher Daten zu schaffen; ebenso das Recht auf Löschung.

Der Bitkom kritisiert aber, dass die Wahlfreiheit, ob Nutzer für Internetdienste zahlen oder kostenlose werbefinanzierte Angebote in Anspruch nehmen wollen, durch das vorgesehen strenge „Kopplungsverbot“ gefährdet werde. Unklar bleibe auch weiter, welche Daten überhaupt in den Anwendungsbereich der Verordnung fallen, weil die Definition des personenbezogenen Datums sehr weit gefasst sei. Bitkom-Präsident Prof. Dieter Kempf unterstützt aber grundsätzlich das Ziel, die hohen deutschen Datenschutzstandards europaweit zu verankern. Trotzdem sollten alle Beteiligten weiterhin intensiv an dem Entwurf der neuen EU-Verordnung arbeiten, um ein modernes Datenschutzrecht zu schaffen.

Kritik aus Berlin

Bundesinnenminister Hans-Peter Friedrich (CSU) hat erneut Korrekturen bei den geplanten Datenschutzregeln der EU gefordert: „Deutschland war von Anfang an treibende Kraft, um die Verordnung voranzubringen“, sagte der CSU-Politiker der Zeitung Die Welt. Es sei aber noch viel handwerkliche Arbeit nötig, um die Verordnung so auszugestalten, dass sie die hohen deutschen Datenschutzstandards widerspiegele, praxistauglich sei und zugleich auf die Herausforderungen des Internetzeitalters vernünftige Antworten gebe.

Der Bundesverband Digitale Wirtschaft (BVDW) e.V. kritisiert das LIBE-Votum zur neuen EU Datenschutz-Grundverordnung für Europa als nicht ausreichend. Der verabschiedete Kompromiss stelle zwar stellenweise eine deutliche Verbesserung gegenüber dem Entwurf der Europäischen Kommission dar. Insbesondere mit den erstmals verankerten Anreizelementen für pseudonyme Datenverarbeitung werde europaweit ein Modell eingeführt, das in Deutschland bereits seit langem erfolgreich eingesetzt werde. Diese Regelungen seien vor allem für kleine Diensteanbieter im Wettbewerb überlebenswichtig. Jedoch fehle dem Parlament der Mut, diesen „privacy by design“-Ansatz im Gesetzestext in aller Deutlichkeit zu regeln. Stattdessen werde er in so genannten Erwägungsgründen versteckt und damit Rechtsunsicherheit provoziert.

Als kontraproduktiv bewertet der BVDW die Regelung zum Profiling. Der Kompromiss führe in der jetzigen Fassung dazu, dass sich das geplante Verbot auch auf Daten erstrecke, die keinen Personenbezug haben. Das sei weder eine angemessene, abgestufte Lösung, die das tatsächliche Risiko und die Sensibilität der betroffenen Daten berücksichtige, noch dafür geeignet, in der Praxis für mehr Datenschutz zu sorgen.

Matthias Ehrlich, Präsident des BVDW, sieht das Ziel einer wirklich zukunftsfähigen Datenpolitik verfehlt: „Der Kompromiss belegt, dass der europäische Gesetzgeber das Thema Datenpolitik nach wie vor nur am Rande als wirtschaftspolitischen Faktor begreift. Von einer echten, zukunftsfähigen Datenpolitik für Europa, die Datenschutz und Datennutzung für alle Akteure wirksam harmonisiert, sind wir weit entfernt.“ Ehrlich kritisiert die „Mutlosigkeit im Hinblick auf neue, in Deutschland bereits bewährte Instrumente des Datenschutzes wie Pseudonymisierung, aber auch Kryptografie“. Europa brauche einen praktikablen, für alle europäischen wie außereuropäische Unternehmen gleichermaßen geltenden Rechtsrahmen ohne Schlupflöcher. „Um dies sicherzustellen, müssen im Rahmen der anstehenden Verhandlungen zum Freihandelsabkommen auch bestehende internationale Abkommen wie ‚Safe Harbor‘ auf den Prüfstand“, fordert Ehrlich.

Appell an die Regierung

Mit dem LIBE-Votum hätten die EU-Parlamentarier fraktionsübergreifend ein Signal für selbstbestimmten Datenschutz gesetzt, begrüßt der Verbraucherzentrale Bundesverband (vzbv) das Ergebnis. Die Datenausspähskandale der letzten Wochen blieben nicht ohne Konsequenzen. Allerdings scheint es, als wolle Deutschland nicht die Initative für einen starken Datenschutz in Europa ergreifen. Der vzbv fordert daher Bundskanzlerin Angela Merkel, Innen- und Verbraucherschutzminister Hans-Peter Friedrich und die SPD als künftigen Koalitionspartner auf, sich mit Nachdruck dafür einzusetzen, dass der Verordnungsentwurf nicht verwässert und noch vor der Europawahl 2014 verabschiedet wird.

Vor allem die „explizite Willensbekundung“, bevor Daten erhoben und verarbeitet werden, bewertet der vzbv positiv; ebenso die Verpflichtung der Unternehmen, Verbraucherinformationen mit Hilfe einheitlicher Kennzeichen transparent zu gestalten. „Das ist die zentrale Grundlage für ein selbstbestimmtes Handeln der Verbraucherinnen und Verbraucher, und damit ein großer Schritt“, unterstreicht Gerd Billen, Vorstand des vzbv.

Der vzbv vermisst besonders, dass der Entwurf der EU-Datenschutz-Grundverordnung nicht der besonderen Schutzbedürftigkeit von Kindern Rechnung trägt, indem die Altersgrenze für die Einwilligung in die Datenverarbeitung heraufgesetzt wird. Das 13. Lebensjahr, wie vom LIBE-Ausschuss vorgeschlagen, sei zu niedrig angesetzt. Medienpädagogen und Datenschutzaufsichtsbehörden sollten gemeinsam erforschen, ab welchem Alter es sinnvoll ist, dass Kinder in die Datenverarbeitung einwilligen.

Nächste Schritte

Nach der Abstimmung im LIBE-Ausschuss muss jetzt das EU-Parlament die Verhandlungen mit den nationalen Regierungen im Rat aufnehmen. Sobald der Rat seine Zustimmung für beide Vorschläge (Richtlinie und Verordnung) erteilt, sollen die interinstitutionellen Gespräche beginnen. Bis zu den Neuwahlen des Europäischen Parlaments im März 2014 sollte sich das EU-Parlament sich über die wichtige legislative Reform geeinigt haben, empfiehlt der LIBE-Ausschuss.

(ID:42377422)