Datenschutz

EU-Datenschutzreform nimmt Fahrt auf

Am 25. Januar 2012 stellte die EU-Kommission ihre Pläne zur EU-Datenschutzreform vor. Die derzeitig noch gültige Datenschutzrichtlinie 95/46/EG aus dem Jahr 1995 soll der digitalen Lebenswirklichkeit mit Hilfe einer Verordnung und einer neuen Richtlinie angepasst werden.

Die Verordnung soll dabei den allgemeinen Rahmen des EU-Datenschutzes regeln. Der Berichterstatter von Seiten des EU-Parlaments ist dafür Jan Philipp Albrecht (Greens/EFA). Die Richtlinie soll den Bereich der Datenverarbeitung zum Zweck der Verhütung und Aufklärung von Straftaten klären. Der EU-Abgeordnete Dimitrios Droutsas (S&D) ist hierbei federführend.

Beide stellten heute ihre Berichtsentwürfe im Innenausschuss (LIBE) vor. Bis zum 27. Februar können dazu Änderungsanträge eingebracht werden. Ende April findet die Abstimmung im Ausschuss statt, danach geht der Bericht ins Plenum. Das Ergebnis ist die Basis für die Verhandlungen mit dem Rat. Nach jetziger Planung soll das Verfahren Anfang 2014 abgeschlossen werden, sodass 2016 die neuen Regeln in Kraft treten würden. Eine Zeitverzögerung ist jedoch nicht ausgeschlossen. Bereits heute wurde versucht Termine zu verschieben.

Mehr Selbstbestimmung als Ziel

Im Zentrum des Reformvorhabens muss die Stärkung der Selbstbestimmung des Einzelnen über seine digitale Identität stehen. Der Ausbau des eigenen Einflusses auf die persönlichen Daten in allen ihren Lebensphasen. Von der Produktion der Daten, über Kommunikation, Speicherung, Änderungen bis hin zum Löschvorgang. Darüber hinaus muss die Kontrolle des Datenschutzes gestärkt werden, sowie die Informationspflicht der Behörden und Unternehmen in Bezug auf den Umgang mit personenbezogenen Daten.

Verordnung: Viele Verbesserungen, vereinzelte Schwächen

Albrecht verbessert (.pdf) den Verordnungsvorschlag der Kommission (.pdf) an vielen Stellen. Er stärkt das Selbstbestimmungsrecht des Einzelnen. Er grenzt den Zugriff auf europäische Daten durch Drittstaaten ein und ergänzt weitreichende Reglungen für Datenverarbeiter, die auch für Unternehmen aus Drittstaaten gelten würden.

Vorgesehen ist, dass etwa ein Versandhandel Kundendaten nicht an andere Unternehmen weiterverkaufen darf, damit diese Firmen gezielt werben können. Das wäre nach der EU-Verordnung nur mit explizitem Einverständnis des Kunden möglich.

Er erachtet IP-Adressen als schützenswert, die nun als personenbezogenen Daten behandelt werden sollen, sofern sie nicht zur Profilbildung herangezogen werden. Gleiches gilt für Cookies.

Besonders innovativ sind die Vorschläge, die Datenschutzbestimmungen um Symbole zu ergänzen, um es Verbrauchern leichter zu machen, die oft langen und komplizierten Regelungen schnell bewerten zu können.

Bereits im Kommissionsvorschlag war vorgesehen, dass bei Verstoß gegen den EU-Datenschutz durch Unternehmen, von der EU Strafzahlungen bis zu zwei Prozent des Weltumsatzes verhängt werden können. Albrecht stärkt hierbei die Aufsichtsbehörden in Hinblick auf deren Untersuchungsbefugnisse.

Eine Schwachstelle gibt es beim Thema Profiling. Fakt ist, wir dürfen Algorithmen nicht Entscheidungen überlassen, die rechtliche Auswirkungen auf Bürger haben. Nach derzeitigem Stand reicht ein einfacher und unüberlegter Klick durch eine ungeeignete Person um Entscheidungen eines automatisierten Prozesses durchzuwinken. Die Scheinkontrolle bei der Verwendung von Bankdaten (SWIFT-Abkommen) sollte uns eine Lehre sein.

Richtlinie: Falsches Rechtsinstrument und ambitionslos

Ein Kernproblem ist die Wahl des Rechtsinstruments: Das Thema Datenverarbeitung zur Verbrechensbekämpfung ist hoch sensibel. Eine Richtlinie in diesem Bereich ermöglicht den Mitgliedstaaten zu viel Spielraum bei der Umsetzung in nationales Recht. Ein europaweites, stringentes Vorgehen wird somit erschwert. In einer Zeit, in der die zunehmende Digitalisierung und Globalisierung die territorialen Grenzen immer weiter in die Bedeutungslosigkeit verdrängt, ist diese Entscheidung kurzsichtig und mutlos. Eine Verordnung wäre auch in diesem Bereich konsequenter.

Hinzu kommt, dass bereits der ambitionslose Entwurf der EU-Kommission (.pdf) im Bezug auf das Datenschutzniveau weit hinter dem Verordnungsvorschlag zurück bleibt. Inwieweit das Niveau erhöht werden kann ist unklar. Der Berichterstatter hatte in einem Arbeitspapier vom Oktober 2012 erklärt, dass mindestens das Niveau der derzeitigen Richtlinie 95/46/EG sowie des Rahmenbeschlusses 2008/977/JHA erreicht werden soll. Auch wenn Droutsas versucht Ausnahmeregelungen zu beschränken und klarere Definitionen zu finden, scheint es, als sei er lediglich damit beschäftigt, bestehendes Schutzniveau zu erhalten (.pdf).

Kritisch bei der Richtlinie ist auch der Bereich den sie ausklammert: Die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union. Für alle EU-Institutionen wird die Richtlinie somit keine Wirkung entfalten. Die Kommission hätte die EU-Einrichtungen mit einbeziehen müssen, um so mit gutem Vorbild voranzugehen.

Endergebnis offen

Wie am Ende die Reglungen aussehen werden ist vorerst schwer abzuschätzen. Von nun an werden Änderungsanträge eingebracht. Tausende werden erwartet. Mehrere beratende Ausschüsse haben bereits Anträge eingereicht (ITRE 917, IMCO 459, JURI 451 und EMPL 128 Anträge). Hinzu kommen noch Anträge von einzelnen Abgeordneten und von den Mitgliedern im LIBE-Ausschuss selbst.

Nach dem parlamentarischen Entscheidungsprozess folgen die Verhandlungen mit dem Rat. Vor allem bei der Richtlinie gibt es dort noch Unstimmigkeiten und die Diskussionen verlaufen schleppend. Es wird in jedem Fall ein intensives Ringen um Kompromisse, das sich, je näher der Wahltermin rückt, verschärfen wird. Einen Vorgeschmack darauf lieferte das Tweet-Gefecht zwischen Albrecht und Alexander Alvaro, dem innenpolitischen Sprecher der Liberalen. Trotzdem: Derzeit geben die beiden Berichte Hoffnung für eine notwendige und angemessene Verbesserung.