Erste Hürde genommen: Datenschutzgrundverordnung im Europäischen Parlament verabschiedet

Die Kommission hatte die umfassende Datenschutzreform im Januar 2012 vorgeschlagen, um das europäische Datenschutzsystem an die technologischen Entwicklungen seit der Verabschiedung der geltenden Datenschutzrichtlinie im Jahr 1995 anzupassen. Das Paket setzt sich aus der Datenschutzgrundverordnung, die den Großteil der Datenverarbeitung sowohl im privaten als auch im öffentlichen Sektor regelt und aus der Datenschutzrichtlinie zusammen, die sich speziell mit der Verarbeitung von Daten für Strafverfolgungszwecke befasst. Das Europäische Parlament hat nun den Kommissionsvorschlag im Wesentlichen bestätigt und bestimmte Schutzvorschriften für die Bürger noch verstärkt.

Die Datenschutzreform soll die Rechte der Bürger im digitalen Zeitalter besser schützen und ihnen mehr Kontrolle über ihre Daten verschaffen. Jeder Anbieter von Internetdienstleistungen müsste gemäß den Vorstellungen des Parlaments künftig vor jeglicher Datenverarbeitung die ausdrückliche und informierte Zustimmung des Nutzers einholen. Die Verordnung sieht darüber hinaus ein „Recht auf Vergessenwerden", also einen Löschungsanspruch beispielsweise gegen soziale Netzwerke wie Facebook vor. Der Löschungsanspruch wurde vom Europäischen Parlament gegenüber dem Kommissionsvorschlag verstärkt und soll nicht nur gegenüber dem primären Datenverarbeiter, sondern auch gegenüber Dritten, etwa in Bezug auf Verlinkungen, gelten. Die Bürger sollen zudem einen Anspruch auf Mitnahme von Daten von einem Anbieter zum anderen erhalten. Auch sollen die Möglichkeiten zum sogenannten „Profiling", also der systematischen Analyse und Vorhersage von bestimmten Eigenschaften und Verhaltensweisen der Internetnutzer, begrenzt werden. Die Verordnung will Privatpersonen auch vor der Übermittlung von personenbezogenen Daten in Nicht-EU-Länder besser schützen. Demnach müsste bei Inkrafttreten der Verordnung ein Internetanbieter vor einer Datenübermittlung in Drittstaaten eine Genehmigung bei einer nationalen Datenschutzbehörde einholen, worüber auch der betroffene Bürger zu informieren wäre.

Ein weiteres Ziel der Verordnung ist es, Unternehmen die Beachtung der Datenschutzregelungen erleichtern. Statt 28 unterschiedlichen Datenschutzgesetzen in den Mitgliedstaaten soll es künftig nur noch ein europaweit geltendes System geben. Für jedes Unternehmen wäre nur noch eine Aufsichtsbehörde zuständig, auch bei grenzüberschreitender Tätigkeit. Die strengen europäischen Datenschutzregelungen würden für alle Unternehmen gelten, die sich in der EU wirtschaftlich betätigen, unabhängig von ihrem Sitz. Dadurch sollen Wettbewerbsnachteile für europäische Unternehmen vermieden werden. Auch US-Unternehmen, die bisher unter die Ausnahmeregelungen des „Safe-Harbour"-Abkommens fallen, müssten sich an die europäischen Datenschutzstandards halten. Für kleine und mittlere Unternehmen sind Erleichterungen vorgesehen. Bei Verstößen gegen die Datenschutzanforderungen sah der Kommissionsvorschlag die Verhängung von Bußgeldern in Höhe von bis zu 1 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes von Unternehmen vor. Das Europäische Parlament hat diese Bestimmung verschärft. Der im Plenum verabschiedete Text ermöglicht Bußgelder in Höhe von bis zu 100 Mio. Euro oder 5 Prozent des weltweiten Jahresumsatzes, je nachdem welcher der Beträge höher ist.

Die vom Parlament beschlossene Fassung enthält weiterhin die im Innenausschuss vereinbarte Abänderung von Art. 85 des Kommissionsvorschlags. Danach könnte zwar das kircheneigene Datenschutzrecht beibehalten werden, die diesbezügliche Aufsicht müsste jedoch gegebenenfalls von staatlichen Stellen geführt werden.

Die EU-Justizkommissarin Viviane Reding wertete das Abstimmungsergebnis im Europäischen Parlament als starkes Signal für die Notwendigkeit eines schnellen Abschlusses der Reform. Der für die Datenschutzgrundverordnung zuständige Berichterstatter des Europäischen Parlaments, Jan Philipp Albrecht (Grüne, Deutschland) wandte sich deutlich an den Rat der EU: Jede weitere Verschiebung der Reform sei unverantwortlich. Neben dem Parlament muss auch der Rat, in dem die Mitgliedstaaten vertreten sind, der Datenschutzgrundverordnung zustimmen. Mit der Verabschiedung im Plenum ist die Position des Parlaments festgelegt. Es ist somit bereit, mit dem Rat in Trilogverhandlungen einzutreten, sobald dieser eine gemeinsame Position gefunden hat. Zuletzt haben die Justiz- und Innenminister am 4. März 2014 über die Datenschutzreform diskutiert. Die Verhandlungen wurden jedoch in die zuständigen Ratsarbeitsgruppen zurück verwiesen. Die nächste Tagung der Justiz- und Innenminister findet im Juni 2014 statt. Dort wird jedoch allenfalls eine Teileinigung über einzelne Kapitel erwartet. Eine Verabschiedung noch in diesem Jahr erscheint damit immer unwahrscheinlicher.