EU-Parlament beschließt Datenschutzreform
Die Abgeordneten haben die umstrittenen Entwürfe für eine neue Datenschutz-Grundverordnung und eine Richtlinie für den Sicherheitssektor in 1. Lesung ohne Änderungen abgesegnet. Der EU-Rat muss seine Position noch abstecken.
Das EU-Parlament hat sich am Mittwoch in Straßburg nach über zweijährigen Diskussionen mit großer Mehrheit dafür ausgesprochen, die seit 1995 geltenden europäischen Datenschutzbestimmungen umfassend zu reformieren. Wer personenbezogene Informationen nutzen will, braucht dafür künftig eine frei abgegebene und spezifische Einwilligung des Betroffenen. Von einer pauschalen Erlaubnis zur Datenverarbeitung mit "legitimen Interessen" darf nur ausgegangen werden, wenn dadurch keine Grundrechte unterwandert werden. Als Höchststrafe für Verstöße sind 100 Millionen Euro oder fünf Prozent des Jahresumsatz eines Unternehmens vorgesehen. Die EU-Kommission hatte ursprünglich maximal zwei Prozent des Geschäftsvolumens ins Spiel gebracht.
Hohe Anforderungen
Die Abgeordneten haben sich zudem auf hohe Anforderungen für das Erstellen von Nutzerprofilen geeinigt. Ausnahmen sind für statistische Zwecke und für die Forschung vorgesehen sowie bei pseudonymisierten oder anonymen Daten. Dazu kommen Ansprüche darauf, Datenbestände zu löschen, zu korrigieren und einzusehen, die unter dem Stichwort auf ein "Recht, vergessen zu werden" lange in der Diskussion standen, sowie Möglichkeiten zur "Datenportabilität" etwa aus sozialen Netzwerken.
Die Verordnung soll auch für Sammlungen persönlicher Informationen außerhalb der Mitgliedsstaaten gelten. Im Lichte der NSA-Affäre stimmte das Parlament ferner für eine Klausel, wonach Telekommunikations- und Internetkonzerne Daten nur auf Grundlage europäischen Rechts oder vergleichbarer Abkommen an Behörden in Drittstaaten wie die USA übermitteln dürften.
Datenschutz im Betrieb
Wer Daten verarbeitet, die sensibel sind oder sich auf 5000 Betroffene pro Jahr beziehen, soll einen gesonderten Betriebsdatenschutzbeauftragten ernennen, eine Risikoanalyse und eine Folgenabschätzung durchführen und die Einhaltung der Regeln alle zwei Jahre durch einen externen Experten überprüfen lassen müssen. Datenschutzpannen sind "ohne ungerechtfertigte Verzögerung" in der Regel binnen 72 Stunden den Betroffenen mitzuteilen.
Die Plenarversammlung folgte mit dem Votum in 1. Lesung den Empfehlungen des Innenausschusses, die dieser im Oktober abgegeben hatte. Die Fachpolitiker hatten ihren Verhandlungsführern damit zunächst das Mandat erteilt, direkte Verhandlungen mit dem EU-Rat und der Kommission aufzunehmen. Ziel war es, die Gesetzesinitiative noch vor den Neuwahlen im Mai unter Dach und Fach zu bringen. Die Mitgliedsstaaten fanden aber bislang keine gemeinsame Linie und verzögerten die Reform immer weiter. Die offizielle Position des Parlaments soll daher als Fundament für einen Kompromiss dienen, den die EU-Gremien im Herbst finden wollen.
"Gold-Standard"
Der für die Verordnung zuständige Parlamentsberichterstatter Jan Philipp Albrecht freute sich über die "weite Übereinstimmung" zwischen allen Fraktionen, die auf ein hohes Schutzniveau abziele. So könne Europa einen "Gold-Standard" setzen. EU-Justizkommissarin Viviane Reding gratulierte den Abgeordneten dazu, die Reform "irreversibel" gemacht zu haben. Die Stellungnahme sei ein "starkes Mandat für die künftigen Verhandlungen". Das Paket sei wichtig, um den "Flickenteppich beim Datenschutz" abzuschaffen und ein "Grundgesetz für das Grundrecht auf Privatsphäre" zu verankern. Die Instrumente könnten dazu dienen, "verloren gegangenes Vertrauen" zurückzubringen.
Im Namen der griechischen Ratspräsidentschaft hatte Dimitrios Kourkoulas den Abgeordneten in der abschließenden Aussprache zu dem Dossier am Dienstag versichert, dass die Regierungsvertreter "sobald wie möglich" ihre Position festzurren wollten. (vbr)
