Trilog zur EU-Datenschutz-Grundverordnung beginnt
Über drei Jahre hat der Rat der EU über seine Position zur Datenschutz-Grundverordnung beraten, nach der Einigung vor zwei Wochen sollte nun alles ganz schnell gehen. Am Mittwoch, 24.06.2015, um 12.30 Uhr kam die Vertretung der EU-Regierungen zur ersten Sitzung des Trilogs mit Vertretern der EU-Kommission und des EU-Parlaments zusammen, um sich über den genauen Verhandlungsfahrplan zu verständigen. „Es sind alle wild entschlossen, dass Ende dieses Jahres ein Ergebnis vorliegt“, wie der Parlamentarische Staatssekretär im Bundesministerium der Justiz und für Verbraucherschutz, Ulrich Kelber (SPD), einen Tag zuvor beim DsiN-Jahreskongress 2015 bekräftigte. Zwei Ziele verfolgt die EU-Kommission, die am 27.01.2012 ihren Vorschlag vorgelegt hatte, mit der Datenschutz-Grundverordnung: Sie soll sowohl die Datenschutzrechte natürlicher Personen als auch die Geschäftsmöglichkeiten durch die Erleichterung des freien Verkehrs personenbezogener Daten im digitalen Binnenmarkt stärken. Dabei gilt es, die Interessen der Verbraucher und der Unternehmen in Einklang zu bringen.
Marktortprinzip und One-Stop-Shop
Das ist in ein paar Punkten sehr leicht, weil sowohl die Verbraucher als auch die Unternehmen von den Regelungen profitieren. Zum Beispiel beim Marktortprinzip, das Kommission, Parlament und Rat gleichermaßen befürworten. Es besagt, dass die Datenschutz-Regelungen der EU nicht nur für Firmen gelten, die in Europa ihren Sitz haben, sondern auch für alle Firmen aus Drittstaaten, die europäischen Bürgern Waren oder Dienstleistungen anbieten. Viele Wirtschaftsvertreter hatten in den vergangenen Monaten wiederholt auf eine solche Klausel gedrungen, weil sie den derzeitigen, datenschutzbedingten Standort-Nachteil, etwa gegenüber Firmen aus dem Silicon Valley, mindern könnte. Für die Verbraucher ließen sich Datenschutz-Regeln bei diesen Firmen ebenfalls besser durchsetzen, wenn sie für ganz Europa gelten. Auch vom One-Stop-Shop-Ansatz profitieren beide Seiten: Der Rat hat sich darauf verständigt, zentrale Anlaufstellen für Beschwerden von Unternehmen und Bürgern einzurichten. Firmen müssten sich statt bisher mit 28 nur noch mit einer Aufsichtsbehörde ins Benehmen setzen. Privatpersonen könnten sich mit Beschwerden unkompliziert an die nationale Datenschutzbehörde ihres Landes wenden.
Von weiteren Regelungen wird allerdings in erster Linie nur eine der beiden Interessengruppen profitieren. So wollen die drei EU-Institutionen das sogenannte Recht auf Vergessenwerden in der Datenschutz-Grundverordnung verankern, das sich aus dem sogenannten Google-Spain-Urteil des Europäischen-Gerichtshofs vom 13.05.2014 ableitet. Der Suchmaschinenbetreiber ist seitdem verpflichtet, die Verknüpfung zu bestimmten URL bei Namenssuchen zu löschen, wenn der betroffene EU-Bürger den Schutz seiner Persönlichkeit durch die personenbezogenen Daten auf der betreffenden Website gefährdet sieht. Was bislang noch fehlte, war die konkrete gesetzliche Ausgestaltung dieser Verpflichtung. Geplant sind zudem weitere verbraucherfreundliche Regelungen wie die Etablierung von Privacy-by-Default-Einstellungen und Privacy by Design sowie der Ausbau der Informationsrechte für Kunden, so dass die Unternehmen die Art und Weise ihrer Datenverarbeitung transparent machen müssen.
Das Ende der Datensparsamkeit
Bei einigen Regelungen, auf die sich der Rat verständigt hat, liegt das Prä auch bei den Interessen der Unternehmen. So ist das bisherige Prinzip der Datensparsamkeit weggefallen. Die Datenschutz-Grundverordnung sieht derzeit lediglich vor, dass persönliche Daten „nicht extensiv“ genutzt werden sollen. Viele Unternehmen setzen sich seit langem für weniger Datensparsamkeit ein, weil dadurch mehr und andere Geschäftsmodelle möglich werden. Auch Dr. Daniel Göhring von der FU Berlin hatte im Februar auf einer Konferenz des Bundesministeriums der Justiz und für Verbraucherschutz zum vernetzten Auto erläutert, dass die Qualität vieler Dienste steige, je mehr Daten zur Verfügung stehen. Das BMJV und der Verbraucherzentrale Bundesverband (vzbv) hatten sich bei der Veranstaltung für eine sparsame Datennutzung ausgesprochen.
Der Rat sieht außerdem vor, dass Unternehmen künftig persönliche Daten von Verbrauchern zu Profilen zusammenführen dürfen. Für die Nutzung dieser Profile sind zwar Einschränkungen vorgesehen – die Regelungen stoßen allerdings insbesondere bei Daten- und Verbraucherschützern auf Kritik. Kritisiert wird auch der Wegfall der Zweckbindung von Daten. Das EU-Parlament hatte für die Verwendung von Kundendaten zu einem anderen Zweck als dem, für den sie von einem Unternehmen erhoben worden waren, enge Grenzen vorgesehen. Der Rat sieht nun vor, dass die Datenverarbeitung zu anderen Zwecken auf Basis des „berechtigten Interesses“ des Verarbeiters erlaubt sein soll. Unumstritten ist diese Vereinbarung nicht, elf EU-Mitgliedsländer haben dazu eine Protokoll-Notiz eingereicht. Nach den Vorstellungen des Rates dürfen Firmen personenbezogene Daten auch für Direktmarketing nutzen. Kunden spricht er aber das Recht zu, gegen unerwünschte Werbung zu widersprechen. Datenschützer hatten eine „Opt-in“-Regelung für diese Art der Werbung gefordert.
Höhe der Sanktionen ist umstritten
Auch das Thema Sanktionen ist umstritten. Der Rat sieht bei Datenmissbrauch derzeit Bußgelder in Höhe von 250.000 Euro oder 0,5 Prozent des Jahresumsatzes vor. Dieser Vorschlag bleibt weit hinter denen der EU-Kommission und des EU-Parlaments zurück. Die EU-Kommission hatte ursprünglich eine Höchststrafe von bis zu einer Million Euro oder bis zu zwei Prozent des Jahresumsatzes vorgeschlagen. Die Abgeordneten hatten sich vor drei Jahren für eine Höchststrafe von 100 Millionen Euro oder fünf Prozent des Jahresumsatzes eines Unternehmens ausgesprochen. Eine Position, die u.a. beim Verbraucherzentrale Bundesverband auf positive Resonanz gestoßen war.
Nicht nur der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD), sondern auch die Bundesregierung werden im Trilog ein Auge darauf haben, welche Regelungen zu der Bestellung betrieblicher Datenschutzbeauftragter gefunden wird. Der Rat hat sich darauf verständigt, diese Frage dem nationalen Recht der Mitgliedstaaten zu überlassen. Kommission und Parlament hingegen schlagen eine europaweit verbindliche Bestellpflicht vor, haben aber unterschiedliche Vorstellungen hinsichtlich der konkreten Ausgestaltung. Deutschland hat bezüglich der Datenschutzbeauftragten eine Notiz zu Protokoll gegeben, damit dieser Punkt beim Trilog zwischen Kommission, Parlament und Rat noch einmal auf die Tagesordnung kommt, wie die IT-Beauftragte der Bundesregierung, BMI-Staatssekretärin Cornelia Rogall-Grothe, im Mai beim Verbandstag des Berufsverbands der Datenschutzbeauftragten erklärte.
Schutz von Arbeitnehmerdaten
Der Rat sieht bei den Regelungen zur Verwendung von Arbeitnehmerdaten vor, dass die Mitgliedstaaten durch Rechtsvorschriften Bedingungen festlegen können, „unter denen personenbezogene Daten im Beschäftigungskontext auf der Grundlage der Einwilligung des Arbeitnehmers verarbeitet werden dürfen“. Die SPD-Bundestagsfraktion hatte in ihrem Positionspapier zu Industrie 4.0 bereits angekündigt, sich ausgehend von den festgelegten EU-Mindeststandards dafür einzusetzen, dass es Spielräume für einen höheren Beschäftigtendatenschutz gibt.
Die nächste Verhandlungsrunde des Trilogs soll am 14.07.2015 zu den Schwerpunkten räumlicher Anwendungsbereich und internationale Transfers stattfinden. Das Verhandlungsdokument liegt bereits vor.
Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Nadine Brockmann ist als Analystin für das Themenfeld Netzpolitik verantwortlich.