Am gestrigen Montag (21. Oktober 2013) war es soweit. Der Innenausschuss des Europäischen Parlaments (Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres – LIBE) erteilte das Mandat für Verhandlungen des Europäischen Parlaments über die Datenschutzgrundverordnung mit dem Ministerrat. Mit der neuen Verordnung sollen alte Richtlinien von 1995 ersetzt werden. Das Ringen um ein einheitliches Datenschutzniveau in der EU hat damit eine wichtige Hürde genommen.
Entsprechend euphorisch liest sich das Pressestatement von MdEP Jan Philipp Albrecht (@JanAlbrecht), dem als Verhandlungsführer die undankbare Aufgabe zukam, einen Entwurf zu erarbeiten, während Lobbyisten von allen Seiten an den Parlamentariern zerrten. Die Parlamentarier mussten sich mit insgesamt 3.133 Änderungsanträgen auseinandersetzen, bis dato ein Spitzenwert. Albrecht wertet das Votum des Libe-Ausschusses als „großen Schritt für einen starken EU-Datenschutz“.
Der gebilligten Entwurfs sieht die folgenden Änderungen vor:
- Als Antwort zu der bekanntgewordenen umfassenden Überwachung sollen Unternehmen dazu verpflichtet werden, vor einer Datenübermittlung von personenbezogenen Daten an Drittstaaten auf Anfrage zunächst die Genehmigung von der im Mitgliedsstaat zuständigen Aufsichtsbehörde einzuholen. Daneben wären die Unternehmen verpflichtet, ihre Nutzer über die Datenweitergabe zu informieren.
- Bei Verstößen sollen Unternehmen Strafen von bis zu fünf Prozent des weltweiten Jahresumsatzes oder bis zu 100 Millionen Euro drohen, abhängig davon, welcher Wert höher ist.
- Ein Recht auf „Vergessenwerden“ findet sich in dem gebilligten Entwurf nicht. Stattdessen ist ein „Recht auf Löschung“ vorgesehen. Hiernach hätten Betroffene das Recht an datenverarbeitende Unternehmen (z.B. Betreiber sozialer Netzwerke) heranzutreten und die Löschung der sie betreffenden Daten zu verlangen. Angefragte Unternehmen wären auch dazu verpflichtet, die Anfrage an Dritte weiterzuleiten, die den Datensatz vorhalten.
- Die Kontrolle der Betroffenen über die eigenen personenbezogenen Daten soll dadurch gestärkt werden, dass eine Datenverarbeitung nur auf der Grundlage einer freiwilligen und informierten Einwilligung erfolgen darf, die eindeutig erklärt worden sein muss. Die Abwicklung von Vertragsverhältnissen oder angebotenen Diensten darf nach dem Entwurf nicht von einer Einwilligung zur Datenverarbeitung abhängig gemacht werden, soweit diese in diesem Zusammenhang nicht erforderlich ist.
- Nutzerprofile sollen nur unter engen Voraussetzungen erstellt werden können. Nach dem Entwurf darf die Profilgenerierung nicht dazu führen, dass auf der Grundlage automatischer Datenverarbeitung Betroffene diskriminiert werden. Betroffene sind in die Lage zu versetzen, Einwände gegen Profilgenerierungen zu ergeben.
Im nächsten Schritt muss der Entwurf die Zustimmung der 28 EU-Staaten und der Kommission erhalten. Ziel der Initiative ist eine Einigung vor den Eurpoawahlen im Mai 2014.
Reaktionen auf den Entwurf
- Daniel Schätze formuliert auf dem PinG-Blog erste Eindrücke
- BITKOM begrüßt die Fortschritte, sieht jedoch noch deutlichen Änderungsbedarf
- Der Bundesbeauftragte für den Datenschutz Peter Schaar fordert zügigen Abschluss der europäischen Datenschutzreform
- Der Europäische Datenschutzbeauftragte Peter Hustinx drängt darauf das Reform-Paket so schnell wie möglich zu verabschieden
- Die Artikel-29-Datenschutz-Gruppe begrüßt den Umstand, dass der LIBE-Ausschuss das Reform in seiner Gesamtheit gebilligt hat