EU-Datenschutzreform: Zweckbindung und Datensparsamkeit ausgehebelt

Nach über dreijährigen Beratungen haben die EU-Staaten eine Position zur geplanten Datenschutzverordnung abgesteckt. Sie stellen "berechtigte Interessen" von Drittparteien wie Direktmarketing über die Privatsphäre der Bürger.

In Pocket speichern vorlesen Druckansicht 88 Kommentare lesen
EU-Datenschutzreform: Zweckbindung und Datensparsamkeit ausgehebelt

Innenminister Thomas de Maizière und Justizminister Heiko Maas am runden Tisch in Luxemburg

(Bild: consilium.europa.eu)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Es war eine schwere Geburt: Erst nach rund 40-monatigen Verhandlungen haben sich die Innen- und Justizminister der EU-Mitgliedsländer auf eine Linie zur vorgesehenen Datenschutz-Grundverordnung verständigt. Damit sollen das bislang weitgehend zersplitterte Datenschutzrecht in der EU vereinheitlicht und Schlupflöcher etwa für Internetkonzerne und andere Firmen abgedichtet werden, die viele personenbezogene Informationen verarbeiten. Die Position des EU-Rates bleibt aber an vielen Punkten hinter den Vorschlägen der EU-Kommission und des Parlaments sowie der bisherigen Datenschutzrichtlinie zurück.

Prinzipiell sollen Unternehmen oder Behörden personenbezogene Daten künftig verarbeiten dürfen, wenn die Betroffenen "unzweideutig" eingewilligt haben. Bisher war ein "ausdrückliches" Opt-in erforderlich gewesen. Zudem weiten die Formulierungen, um die der Rat bis zum Ende heftig gerungen hat, die Ausnahmen aus, auf deren Basis persönliche Informationen auch ohne Plazet der Betroffenen verwendet werden dürfen. Artikel 6.4 stellt nun klar: Die Daten dürfen schon dann für andere Zwecke verarbeitet werden, wenn es daran "berechtigte Interessen" selbst von "Drittparteien" gibt, die schwerer wiegen als die der Betroffenen.

Personenbezogene Daten dürfen generell für Direktmarketing genutzt werden, heißt es etwa erläuternd in den Erwägungsgründen. Gegen Werbung per Mail oder auf anderen Wegen, die eigene Interessen auswertet, sollen Betroffene widersprechen können. Datenschützer fordern dagegen seit Langem ein "Opt-in" für derlei Kundenansprachen.

Das einstige Gebot der Datensparsamkeit haben die Minister im entscheidenden Artikel 5 für grundlegende Prinzipien gestrichen. Es taucht nur noch auf in den Artikeln 23 und 83, wo es um den standardmäßigen "Datenschutz durch Technik" etwa auch durch den Einsatz von Pseudonymen geht. Sonst sollen persönliche Informationen "nicht exzessiv" genutzt werden.

Das umstrittene Recht, vergessen zu werden, bleibt Teil der Verordnung. Der Rat will hier einen Anspruch etablieren, mit dem etwa nicht mehr aktuelle oder unrechtmäßig verarbeitete Daten "ohne ungebührliche Verzögerung" entfernt werden müssten. Die "legitimen Gründe" für eine weitere Datennutzung durch eine Firma oder Behörden sollen aber erweitert werden. Als Gründe werden hier etwa das Recht auf Meinungs- und Informationsfreiheit, das "öffentliche Interesse" oder "historische, statistische und wissenschaftliche Zwecke" genannt.

Ausgebaut haben die Minister das Transparenzprinzip. Ihrem Willen nach müssen Öffentlichkeit und Betroffene in einfach zugänglicher Form und leicht verständlicher Sprache über eine geplante Datenverarbeitung aufgeklärt werden. Bürger sollen das Recht bekommen, in "angemessenen Abständen und kostenfrei" spätestens binnen eines Monats Auskunft zu erhalten, ob und gegebenenfalls wo welche persönliche Informationen über sie aufbewahrt werden. Geschäftsgeheimnisse sowie schützenswerte Daten Dritter stehen dem aber entgegen.

Entscheidungen etwa über die Online-Vergabe eines Kredits per Scoring sollen nicht auf rein automatischen Systementscheidungen beruhen dürfen. Auch gegen automatische Profile anhand von Merkmalen wie Arbeitsleistung, wirtschaftliche Situation, Gesundheit, persönlichen Vorlieben oder Interessen stemmen sich die Minister prinzipiell. Nationale gesetzliche Regelungen sollen "Profiling" aber doch vorsehen können, um damit beispielsweise Steuerbetrug aufzudecken.

Der Rat will zentrale Anlaufstellen für Unternehmen und Bürger für Beschwerden einrichten. Firmen müssen sich nur noch an eine einzige Aufsichtsbehörde statt an 28 richten. Privatpersonen können sich an die nationale Datenschutzbehörde ihres Landes in ihrer eigenen Sprache wenden, selbst wenn ihre personenbezogenen Daten in anderen Mitgliedsstaaten verarbeitet werden.

Als Höchststrafe für Verstöße sieht der Entwurf 250.000 Euro oder 0,5 Prozent des Jahresumsatz eines Unternehmens vor. Dies bleibt deutlich zurück hinter den 100 Millionen Euro oder 5 Prozent des Geschäftsvolumens, die dem Parlament vorschweben. Die verbliebenen Differenzen sollen die EU-Gremien in den sogenannten Trilogverhandlungen ausmerzen, die kommende Woche aufgenommen werden und bis Ende des Jahres laufen könnten.

"Vor allem bei Verbraucherrechten und Unternehmenspflichten gehen die Vorschläge noch auseinander", erklärte der Parlamentsberichterstatter Jan Philipp Albrecht. Für den Grünen kommt es nun darauf an, die Positionen zusammenzufügen, um einen "rechtssicheren, hohen und einheitlichen Datenschutzstandard" für das digitale Zeitalter zu erreichen. Die Bürgerrechtsorganisation European Digital Rights (EDRi) moniert, dass der Rat Schlüsselelemente des Vorhabens "bis zur Bedeutungslosigkeit abgeschwächt hat". Die Vereinbarung sei ein Versuch, "Europas weltweit führenden Datenschutzansatz zu zerstören". (anw)