EU-Datenschutzreform: EU-Ratspräsident will Direktmarketing zulassen
Die italienische Ratspräsidentschaft hat erstmals in einem Geheimpapier den bisherigen Stand der Beratungen zur geplanten Datenschutz-Verordnung in dem Ministergremium zusammengefasst. Die eine oder andere Überraschung ist dabei.
232 Seiten umfasst das vorläufige Gesamtwerk, mit dem die italienische Ratspräsidentschaft kurz vor Weihnachten erstmals eine gemeinsame Position des Regierungsgremiums der Mitgliedsstaaten zur seit Langem umkämpften Datenschutz-Grundverordnung skizziert. Das Papier ist noch als "vertraulich" eingestuft, die britische Bürgerrechtsorganisation Statewatch hat es aber bereits ins Netz gestellt.
Auf den ersten 67 Seiten finden sich Erläuterungen in den sogenannten Erwägungsgründen, der Rest enthält die eigentlichen 91 Artikel in elf Kapiteln. Der Text ist noch mit 496 Fußnoten versehen, in denen Bedenken und Prüfvorbehalte einzelner EU-Länder und der EU-Kommission ausgeführt werden. Auch einige Lücken verweisen darauf, dass der EU-Rat vor einer Einigung noch zahlreiche Klippen zu umschiffen hat. Ein gutes Dreivierteljahr, nachdem das EU-Parlament seine Linie abgesteckt hatte, zeichnet sich mit dem Entwurf im Rat aber zumindest eine Linie ab.
Ein paar Ăśberraschungen
Inhaltlich greifen die Italiener nicht nur die vom Ministergremium in Kleinarbeit bereits vorläufig verabschiedeten Kapitel und Passagen auf, sondern haben noch die ein oder andere Neuerung aus den einschlägigen Ratsarbeitsgruppen eingefügt. Verblüffend ist etwa, dass die Verarbeitung persönlicher Daten für Zwecke des Direktmarketings jetzt ausdrücklich im Einklang mit der geplanten Verordnung stehen soll. Es sei davon auszugehen, heißt es in einem überarbeiteten Erwägungsgrund, dass eine solche Informationsnutzung im "legitimen Interesse" einer datenverarbeitenden Stelle erfolge.
Direktvermarkter und Rechtsexperten etwa von Internetkonzernen wie Google hatten sich zuvor daran gestört, dass sie personenbezogene Daten laut dem ursprünglichen Kommissionsentwurf nur nutzen können sollten, wenn es eine gesetzliche Grundlage gibt oder die Betroffenen informiert einwilligen. Sie monierten, dass zunächst offen bleibe, wann ein Opt-in erforderlich sei oder wann der Nachweis "legitimer Interessen" ausreiche.
Der Rat möchte nun also Rechtsklarheit zugunsten der Werbewirtschaft schaffen. Laut dem einschlägigen Verordnungsartikel müssten sich Nutzer, die von Direktmarketing und personalisierter Werbung verschont werden wollen, gezielt und ausdrücklich dagegen aussprechen. Für ein solches Opt-out soll ihnen ein eigenes Recht zugestanden werden, wonach der Widerspruch kostenlos, einfach und effektiv erfolgen können müsse. Verbraucher- und Datenschützer plädieren dagegen immer wieder für eine Opt-in-Regel für Direktmarketing, also den genau umgekehrten Weg.
HintertĂĽr fĂĽr "freiwillige" Vorratsdatenspeicherung
Auch den Schutz vor Betrug sieht die neuen Ratsinitiative gesondert als ein legitimes Interesse, um personenbezogene Informationen zu verarbeiten. Bürgerrechtler fürchten, dass solche allgemeinen Klauseln Diensteanbietern Hintertüren für eine "freiwillige Vorratsdatenspeicherung" öffnen. Dazu kommt, dass die sonst erforderliche Nutzereinwilligung in eine Verarbeitung eigener Daten nicht mehr "ausdrücklich", sondern "unzweideutig" abgegeben werden soll.
Vergleichsweise schwach fällt nach wie vor die Klausel aus, die das Erstellen von Profilen verhindern soll. Ausgeschlossen sein müssten dabei Entscheidungen, "die allein auf einer automatisierten Datenverarbeitung" beruhen und rechtliche Auswirkungen haben, die zu einer "signifikanten" Betroffenheit führen, lautet der Standpunkt des Rates. Die Kommission wendet dagegen ein, dass die Formulierung selbst hinter den "Profiling"-Grenzen aus der bisherigen Datenschutzrichtlinie von 1995 zurückbleibe, als Big Data und Nutzer-Tracking noch weitgehend Zukunftsmusik waren.
Zudem sollen nach Ansicht des Rats "Identifizierungsnummern, Standortdaten, Online-Identitätsangaben oder andere spezifische Faktoren" nicht als persönliche Daten angesehen werden, "solange sie ein Individuum nicht identifizieren" oder zu einem solchen Prozess beitragen. Hier bliebe nach wie vor viel Interpretationsraum, wie etwa IP-Adressen zu behandeln wären.
Daten fĂĽr Dritte
Eingefügt hat die Ratsspitze ferner Passagen zu legalen Datentransfers in Drittstaaten. Beim Prüfen einer Angemessenheit des dortigen Rechts sollte die Kommission demnach unter anderem den Zugang zu gerichtlichen Klagemöglichkeiten oder das Umsetzen allgemeiner Abkommen wie der Europarats-Konvention zum Datenschutz in Rechnung stellen. Im Auge zu behalten seien auch spezifische Vorgaben für die öffentliche oder nationale Sicherheit sowie den Verteidigungssektor. Beibehalten haben die Italiener den umstrittenen "risikobasierten Ansatz" beim Auferlegen besonderer Schutzanforderungen an Firmen oder Ämter. Noch offen gelassen haben sie, wie hoch Strafen für Datenschutzverletzungen sein sollen. Kommission und Parlament plädierten hier für spürbare Sanktionsmittel. (mho)