EU-Parlament: Globaler Geltungsanspruch für den Datenschutz

Die EU-Innenpolitiker haben sich nach langem Tauziehen auf einen Kompromiss zur neuen Datenschutzverordnung geeinigt. Die Beteiligten feiern das Papier als großen Erfolg.

In Pocket speichern vorlesen Druckansicht 28 Kommentare lesen
Lesezeit: 5 Min.

Die EU-Innenpolitiker haben sich nach langem Tauziehen auf einen Kompromiss zur neuen Datenschutzgrundverordnung geeinigt. Die Beteiligten feiern das Papier als großen Erfolg, den der Berichterstatter im EU-Parlament Jan Philipp Albrecht (Grüne) auf dem Oktoberfest der Bayerischen Vertretung in Brüssel am Donnerstag gemeinsam mit Justizkommissarin Viviane Reding mit einer Maß begoss.

Doch auch die Kritik an den gut 100 Änderungsanträgen, die heise online vorliegen, will nicht verstummen. "Neben wenigen Verbesserungen im Detail werden neue und erhebliche rechtliche Probleme geschaffen", heißt es etwa aus dem Umfeld der SPD-Bundestagsfraktion. Ohne weitere gründliche Überarbeitung dürfe das Papier daher nicht von den Abgeordneten beschlossen werden, da das Vorhaben sonst im EU-Rat zu scheitern drohe.

Albrecht selbst rückt die Vorteile für die Bürger in den Vordergrund. Statt dem von der Kommission geplanten "Recht, vergessen zu werden", sehe der überarbeitete Entwurf nun Klarstellungen zum bereits bestehenden "Recht auf Löschung" eigener Daten vor. Dieser Anspruch könne künftig einfacher gegenüber Unternehmen wie Google oder Facebook sowie Dritten durchgesetzt werden.
Wiedereingeführt werde eine Klausel, wonach Telekommunikations- und Internetkonzerne Daten nur auf Grundlage europäischen Rechts oder vergleichbarer Abkommen an Behörden in Drittstaaten wie die USA übermitteln dürften.

Nachgebessert haben die Innenpolitiker dem Berichterstatter zufolge etwa auch an der Erfordernis der expliziten Einwilligung von Nutzern. Anbieter dürften auch nur dann Nutzungsprofile erstellen, wenn die Betroffenen etwa durch die Privatsphäre-Einstellungen ihres Internetbrowsers signalisierten, dass sie dagegen keine Einwände hätten. Technische Standards dafür sollen auf EU-Ebene zertifiziert werden. Parallel seien die Auskunfts- und Informationsansprüche deutlich erweitert worden. So müssten Anbieter etwa angeben, ob sie Daten an Sicherheitsbehörden weitergegeben haben. Dazu kämen strikte Vorgaben zu "Privacy by Design" und "by Default".

Die Rechtsdurchsetzung werde mit spürbaren Sanktionen erleichtert und insgesamt vereinheitlicht, erklärt Albrecht weiter. Mit dem "One Stop"-Ansatz gebe es zudem einen festen Ansprechpartner für die Bürger für ganz Europa: Sie könnten Beschwerden an die Datenschutzbehörde in ihrem Mitgliedstaat richten. Unternehmen müssten ebenfalls nur noch mit der Kontrollinstanz in dem Land zusammenarbeiten, in dem sich ihr Hauptsitz befindet. Bei strittigen Fragen solle der neu gegründete Europäische Datenschutzausschuss das letzte Wort haben und nicht die Kommission.

Zugleich verspricht der Vermittler "weniger Bürokratie", da etwa die Ernennung eines eigenen Datenschutzbeauftragten in einem Betrieb nicht mehr an der Grenze von 250 Mitarbeitern festgemacht werden solle. Die Messlatte, auf die sich die Volksvertreter stattdessen geeinigt haben, dürfte Unternehmern aber kaum als Bürokratieabbau erscheinen: Sie liegt nun bei einer Verarbeitung, die sich auf 5000 Betroffene binnen eines Jahres erstreckt. Schon wer einen Online-Newsletter an einen entsprechend großen Verteiler verschickt oder einen Webshop mit entsprechender Kundenzahl hat, müsste künftig einen zusätzlichen internen Datenkontrolleur vorweisen können.

Die 5000er-Kontakthürde soll auch darüber entscheiden, ob ein außereuropäischer Unternehmen einen festen Vertreter in der EU etablieren muss oder ob ein Betrieb eine gesonderte Risikoanalyse durchführen und staatlichen Datenschutzbeauftragten vorlegen muss. Wer zu einer solchen Vorabprüfung verpflichtet ist, müsste überdies eine Folgenabschätzung durchführen und sich nach zwei Jahren von einem ausgewiesenen Experten bestätigen lassen, dass er die Auflagen einhält.

Auch die Bestimmungen zur Veranschaulichung von Datenschutzerklärungen sind nicht gerade bürokratiearm. Laut Artikel 13 müssten Sammler persönlicher Informationen diese nicht nur in Piktogrammen darstellen, sondern zusätzlich auch in Textform und mit Link zu den ausführlichen juristischen Bestimmungen. Vor allem bei einem Geltungsanspruch dieser Vorgaben auch außerhalb des Internets dürften sich praktische Umsetzungsschwierigkeiten ergeben.

Kaum durchsetzbar sein dürfte auch die Ausweitung des Gültigkeitkeitsanspruchs. So soll das Gesetz auch für Datensammlungen gelten, die außerhalb der Mitgliedsstaaten erfolgt. Kritiker spotten hier über den Anspruch auf "Weltgeltung". Die Verordnung dürfte kleinere Diensteanbieter aus dem Ausland überfordern und in die Arme großer Plattformen treiben, die mehr Kapazitäten zum Wahren der Rechtskonformität hätten. Zudem seien Definitionen und Abgrenzungen so schwammig, dass sie als "Muster ohne Wert" für die Praxis untauglich seien.

Trotzdem dürfte der Kompromiss am Montagabend im federführenden Innenausschuss eine Mehrheit finden, sodass dann die voraussichtlich nicht leichter gewordenen Verhandlungen mit den Mitgliedsstaaten beginnen können. Eine echte 1. Lesung im Parlament wird nicht angestrebt, um Zeit zu sparen und schnellstmöglich eine Einigung mit den Spitzen aller EU-Gremien zu erreichen. Den fertigen Text könnte das Parlament dann nur noch abnicken. (vbr)