EU-Datenschutz: Innenminister setzt weiter auf mehr Selbstregulierung der Wirtschaft

Hans-Peter Friedrich sieht nach einem Rückschlag im EU-Rat wieder gute Chancen, den Vorschlag für eine stärkere Selbstkontrolle von Firmen in der Datenschutzverordnung zu verankern. Ein neues Ratspapier zeigt den Stand der Debatte auf.

In Pocket speichern vorlesen Druckansicht 32 Kommentare lesen
Lesezeit: 3 Min.

Bundesinnenminister Hans-Peter Friedrich sieht nach einem zeitweiligen Rückschlag im EU-Rat doch wieder gute Chancen, den deutschen Vorschlag für eine stärkere Selbstkontrolle der Wirtschaft in der geplanten Datenschutzverordnung zu verankern. Er werde mittlerweile im EU-Rat breit unterstützt, erklärte ein Sprecher des CSU-Politikers gegenüber heise online. Das Stimmungsbild habe sich "zwischen den letzten Ratsarbeitsgruppensitzungen Ende April und Mitte Mai deutlich zugunsten der deutschen Vorschläge verdichtet".

Das in den Ministerrat eingebrachte deutsche Papier sieht vor, Vorschriften zu Verhaltensregeln für die Selbstregulierung zu überarbeiten, die im Entwurf der EU-Kommission für die laufende Datenschutzreform bereits enthalten sind. Einbezogen werden sollen demnach grundlegende Aspekte wie eine "faire und transparente Datenverarbeitung", Ausführungen zur Zweckbestimmung und zum Prinzip, in die Nutzung persönlicher Informationen einzuwilligen. Eine staatliche Aufsichtsbehörde soll darüber wachen, dass die Prinzipien eingehalten werden.

Auch die anderen EU-Länder hätten mittlerweile "die Vorzüge der Selbstregulierung" erkannt, heißt es in Berlin. Dazu zählten "Rechtssicherheit sowohl für Bürger als auch für Unternehmen und eine konkrete Umsetzung der gesetzlichen Maßstäbe in Bezug auf verschiedene Branchen". Dieser Ansatz sei mit dem Bundesdatenschutzbeauftragten Peter Schaar und anderen Ministerien entwickelt worden.

Die deutschen Vorschläge finden sich in weiten Teilen auch im jüngsten Entwurf aus dem Rat für Änderungswünsche am Kommissionsaufschlag für die Grundverordnung wieder. Das Papier von Anfang Mai, das Netzpolitik.org veröffentlicht hat, bleibt vielfach bei bekannten Verhandlungslinien des Gremiums. Darin wird etwa betont, dass der Datenschutz kein "absolutes Recht" darstelle und mit zahlreichen anderen Grundrechten ausbalanciert sowie verhältnismäßig sein müsse.

Umstritten ist nach wie vor bereits die Definition personenbezogener Daten. Nach dem aktuellen Formulierungsvorschlag sollen Identifikationsnummern wie IP-Adressen, Standortdaten oder Online-Kennungen "als solche" nicht als persönliche Informationen gelten sollen, "solange sie nicht ein Individuum identifizieren oder es identifizierbar machen". Gegen diese Bestimmung, die viel Interpretationsraum lässt, hat Deutschland einen Prüfvorbehalt eingelegt, Österreich und Frankreich unterstützen sie dagegen.

Neu eingefügt hat die irische Ratspräsidentschaft einen Erwägungsgrund, wonach für einen funktionierenden Binnenmarkt persönliche Daten zwischen Mitgliedsstaaten frei ausgetauscht werden dürften. Schwierig tun sich die Regierungen mit einer Klarstellung, für welche Zwecke personenbezogene Informationen von Firmen überhaupt gesammelt und weiterverarbeitet werden dürfen. Dabei sei etwa auf Verbindungen zwischen früheren und aktuellen Zielen der Nutzung abzustellen, heißt es in dem Dokument. Auch der Kontext der Informationssammlung sowie die "angemessenen Erwartungen" der Betroffenen müssten erwogen werden.

Zu den weiteren Knackpunkten zählen personenbezogene Profile und damit einhergehende Informationspflichten sowie Auflagen, die Öffentlichkeit oder Betroffene nach Datenpannen zu informieren. Auch an Formulierungen, wann eine Datenverarbeitung besonders risikoreich und so vorab eine Folgenabschätzung nötig ist, hat der Rat gefeilt. Das umkämpfte Recht, vergessen zu werden, ist in dem Entwurf leicht eingeschränkt weiter enthalten, allerdings haben hier neben Deutschland sechs andere Länder allgemeine und sechs weitere Staaten spezifische Prüfvorbehalte eingelegt. Die Bestimmung zur Datenportabilität wollen einige Mitglieder besser im Verbraucher- oder Wettbewerbsrecht verankert wissen. Vorgaben für betriebliche Datenschutzbeauftragte sollen Sache der EU-Länder bleiben. (anw)