EU-Datenschützer haben schwere Bedenken gegen geplanten Data Act
Die EU-Kommission will das in Daten schlummernde Potenzial heben, doch die Datenschutzbeauftragten fordern höhere Schranken etwa bei Werbung und Scoring.
(Bild: AB Visual Arts/Shutterstock.com)
Mit ihrem Entwurf für ein Datengesetz ist die EU-Kommission übers Ziel hinausgeschossen. Dies monieren der Europäische Datenschutzausschuss (EDSA) und der EU-Datenschutzbeauftragte Wojciech Wiewiórowski in einer gemeinsamen Stellungnahme. Sie fordern die EU-Gesetzgeber nachdrücklich auf, dafür zu sorgen, dass die verbrieften Rechte der Bürger beachtet werden. Dies sei entscheidend, da der vorgesehene Data Act auch für hochsensible personenbezogene Daten gelten würde.
Mehr Zugriffsrechte für User
Kernanliegen der Initiative der Kommission ist es, den Datenaustausch zwischen Unternehmen untereinander und mit der öffentlichen Hand voranzubringen, neue Datenzugangsrechte bei vernetzten Produkten einzuführen sowie den internationalen Datentransfer sicherer zu machen. Jeder Nutzer soll Zugriff auf alle Informationen erhalten, zu deren Erzeugung er beigetragen hat. Anbieter vernetzter Produkte und verbundener Dienste wie virtuelle Sprachassistenten müssten entsprechende Daten dem User standardmäßig in leicht zugänglicher Form in Echtzeit kostenlos zur Verfügung zu stellen.
Der EDSA und Wiewiórowski raten dem EU-Parlament und dem Ministerrat, die Möglichkeiten zur Verwendung einschlägiger Daten klar zu beschränken. Dies müssen insbesondere gelten, wenn die Informationen potenziell "genaue Rückschlüsse auf das Privatleben der betroffenen Personen zulassen oder anderweitig hohe Risiken für die Rechte und Freiheiten der betroffenen Personen mit sich brächten".
Die Gesetzgeber sehen beide Einrichtungen vor allem gefragt, wenn es bei Produkten und Diensten um eine Datenverarbeitung für Zwecke des Direktmarketings oder der Werbung, der Mitarbeiterüberwachung sowie der Kreditwürdigkeitsprüfung per Scoring geht. Heikel seien auch Informationen, die etwa für eine Anspruchsberechtigung auf eine Krankenversicherung sowie zur Berechnung oder Änderung anderer Versicherungsprämien erzeugt werden.
Bedenken wegen Notfallklausel
Starke Bedenken haben die EU-Datenschützer hinsichtlich der von der Kommission ins Spiel gebrachten Notfallklausel. Öffentliche Stellen dürften demnach etwa bei Naturkatastrophen, Pandemien und Terroranschlägen in verhältnismäßigem Umfang auf private Daten zugreifen. Die Kontrolleure stellen die "Rechtmäßigkeit, Notwendigkeit und Verhältnismäßigkeit" dieser Passage infrage. Sie betonen, dass jede Einschränkung der Privatsphäre eine Rechtsgrundlage erfordere, die angemessen und vorhersehbar sei.
Der Gesetzgeber müsse "auch den Umfang und die Art und Weise der Ausübung von Befugnissen durch die zuständigen Behörden festlegen und mit Garantien zum Schutz der betroffenen Personen vor willkürlichen Eingriffen versehen sein", heißt es in der Eingabe. Die Voraussetzungen für einen Notfall oder einen "außergewöhnlichen Bedarf" seien viel deutlicher zu definieren. Es sollte klar sein, welche öffentlichen Stellen und EU-Institutionen Daten anfordern dürften. Die Klausel müsse zudem eingeschränkt werden, um die Rechte besonders schutzbedürftiger Personen wie Minderjähriger zu gewährleisten.
Es sei zudem "von wesentlicher Bedeutung", schreiben die Aufsichtsbehörden, dass die Abgeordneten und die EU-Staaten im Gesetzestext "Unstimmigkeiten und mögliche Konflikte" etwa mit der Datenschutz-Grundverordnung (DSGVO) und der E-Privacy-Richtlinie beseitigten. Der Zugang zu und die Nutzung von personenbezogenen Daten durch andere Stellen sollte in voller Übereinstimmung mit allen bestehenden einschlägigen Vorschriften erfolgen. Ferner müssten Produkte so konzipiert werden, dass es den Betroffenen möglich ist, die Geräte "anonym oder mit möglichst geringem Eingriff in die Privatsphäre zu nutzen".
Vermeidung von Rechtsunsicherheiten
"Daten müssen im Einklang mit europäischen Werten verarbeitet werden, wenn wir eine sicherere digitale Zukunft gestalten wollen", betonte Wiewiórowski. "Während wir neue Möglichkeiten für die Datennutzung schaffen, müssen wir sicherstellen, dass der bestehende Datenschutzrahmen vollständig intakt bleibt."
Die DSGVO müsse "fest in die gesamte Regulierungsarchitektur eingebettet werden, die für den digitalen Markt entwickelt wird", verlangte die EDSA-Vorsitzende Andrea Jelinek. Dies gelte auch für andere Legislativvorschläge wie den Data Governance Act und den Digital Markets Act (DMA). Zuständigkeiten zwischen den einschlägigen Regulierungsbehörden müssten klar verteilt werden und eine effiziente Zusammenarbeit sei zu gewährleisten, um Rechtsunsicherheiten und Durchsetzungsprobleme zu vermeiden.
(mho)
