EU-Parlament gibt grünes Licht für Datenschutzreform

Der Innenausschuss des EU-Parlaments hat am Montagabend mit großer Mehrheit den lange umkämpften Entwurf für eine neue Datenschutz-Grundverordnung in der zuvor bekannt gewordenen Kompromissfassung angenommen. Damit haben die Abgeordneten den Weg frei gemacht für die erste umfassende Änderung der europäischen Datenschutzbestimmungen seit 1995.

Die Abstimmung über die gut 100 Kompromissanträge zu dem Verordnungsentwurf, die die Bürgerrechtsinitiative European Digital Rights (EDRi) im Vorfeld veröffentlicht hatte, ging deutlich schneller als erwartet. Während die Sitzung für vier Stunden mit möglicher Verlängerung am Donnerstag angesetzt war, winkten die Volksvertreter das Rahmenwerk binnen zehn Minuten mit 51 zu einer Stimme ab bei drei Enthaltungen.

"Das ist ein großartiges Ergebnis", freute sich der parlamentarische Berichterstatter Jan Philipp Albrecht (Grüne) über das Votum. Der Konsens über den Kompromiss habe sich letztlich als doch viel deutlicher herausgestellt, als zunächst erwartet. Der Grüne zeigte sich gegenüber heise online zuversichtlich, dass die Verordnung unter anderem mit der Unterstützung der neuen Bundesregierung "zügig auf hohem Niveau" verabschiedet werden könne.

Die Innenpolitiker haben Albrecht zugleich ein Mandat erteilt, ohne 1. Lesung im Plenum in direkte Verhandlungen mit dem EU-Rat und der EU-Kommission einzusteigen. Albrecht betonte, dass man sich auf dieses Schnellverfahren verständigt habe, um die Gesetzesinitiative noch vor den Neuwahlen Mitte 2014 unter Dach und Fach zu bringen. Die Gespräche insbesondere mit dem Gremium der Mitgliedsstaaten könnten sich aber zäh und langwierig gestalten, da es von dieser Seite noch viele Einwände gegen die Pläne gibt.

Der abgestimmte Entwurf hat es an vielen Stellen in sich und dürfte viele Wirtschaftsvertreter auf die Barrikaden treiben: Als Höchststrafe für Verstöße sind 100 Millionen Euro oder fünf Prozent des Jahresumsatz eines Unternehmens vorgesehen, was immer im Endeffekt höher liegt. Die ursprüngliche Initiative der EU-Kommission hatte noch maximal zwei Prozent des Geschäftsvolumens vorgesehen.

Wer Daten verarbeitet, die sensibel sind oder sich auf 5000 Betroffene pro Jahr beziehen, müsste beim Durchkommen des Vorstoßes einen gesonderten Betriebsdatenschutzbeauftragten ernennen, eine Risikoanalyse und eine Folgenabschätzung durchführen und die Einhaltung der Regeln alle zwei Jahre durch einen externen Experten überprüfen lassen. Datenschutzpannen sind "ohne ungerechtfertigte Verzögerung" und so in der Regel binnen 72 Stunden den Betroffenen mitzuteilen. Die Kommission hatte hier auf eine "unverzügliche" Information und eine 24-Stunden-Frist abgestellt.

Eine Nutzung persönlicher Daten soll prinzipiell eine frei abgegebene, spezifische und informierte Einwilligung des Betroffenen benötigen. Schweigen oder Inaktivität dürfe nicht als Hinweis darauf verstanden werden. Eine von Bürgerrechtlern kritisierte Klausel in Artikel 6, wonach eine Datenverarbeitung auch beim Nachweis der Notwendigkeit für das Verfolgen "legitimer Interessen" erfolgen darf, gilt nur unter der Einschränkung, dass dadurch etwa nicht die Grundrechte des "Datensubjekts" unterwandert werden.

Für das Erstellen von Nutzerprofilen gelten vergleichbare Anforderungen, Ausnahmen sind für statistische und Forschungszwecke vorgesehen sowie beim Verwenden pseudonymisierter oder anonymer Daten. Einen gesonderten Artikel zur "Portabilität" persönlicher Informationen, den das Kommissionspapier noch vorgesehen hatte, gibt es nicht mehr. Entsprechende Bestimmungen finden sich nun eingebaut in Artikel 15. Dazu kommen die bereits oft kolportierten Rechte auf Löschung sowie zur Korrektur und Einsichtnahme in Datenbestände.

Prinzipiell soll das Gesetz auch für Sammlungen persönlicher Informationen gelten, die außerhalb der Mitgliedsstaaten erfolgen. Es schlägt zudem die Vergabe eines "Europäischen Datenschutz-Gütesiegels" vor, um das Vertrauen von Nutzern in entsprechend zertifizierte Dienste sowie die Rechtssicherheit für Anbieter zu erhöhen. Im Lichte der NSA-Affäre votierten die Innenpolitiker für eine Klausel, wonach Telekommunikations- und Internetkonzerne Daten nur auf Grundlage europäischen Rechts oder vergleichbarer Abkommen an Behörden in Drittstaaten wie die USA übermitteln dürften.

Update: Die Jahreszahl im ersten sowie das Abstimmungsergebnis im zweiten Absatz wurden korrigiert. (vbr)