Arbeitskreis Digitale Gesellschaft

SPD Schleswig-Holstein

24. Oktober 2013

Europa
S&D-Fraktion: Datenschutzpaket garantiert hohes Schutzniveau

Sylvie Guillaume
Sylvie Guillaume | Foto: Cécile Michaux, CC-BY-SA

Der Innenausschuss des Europäischen Parlaments hat am Montag Abend in Straßburg dem Entwurf für ein neues Gesetzespaket zugestimmt, das die Daten der Bürgerinnen und Bürger besser schützen soll. Dazu haben sich in der Folge verschiedene Mitglieder der S&D-Fraktion ausgesprochen positiv geäußert.

Mit dieser Unterstützung durch die EU-Abgeordneten werden die neuen Bestimmungen jetzt mit den Regierungen verhandelt. Die große Zustimmung in der Abstimmung zeigt in jedem Fall, dass die in dem Verhandlungsergebnis enthalten sein muss, dass die Bürgerinnen und Bürger ein Recht darauf haben, dass ihre Daten gelöscht werden („Das Recht auf Vergessen“). Ferner müssen die Bürgerinnen und Bürger ihre Einwilligung zur Datenverarbeitung geben. Diese muss dann transparent erfolgen. Aus den Daten dürfen keine Profile erstellt werden und sie dürfen nicht in Drittstaaten übermittelt werden, wenn nicht bestimmte Garantien und internationale Abkommen vorhanden sind.

Der S&D-Abgeordnete Dimitris Droutas, Berichterstatter für die Datenschutzrichtlinie, wird für die Verhandlungen mit dem EU-Ministerrat zuständig sein. Er sagte: „Der Schutz der Daten der EU-Bürgerinnen und -Bürger ist in allen Bereichen, ob staatlich oder privat, definitiv eine der wichtigsten Themen für das Europaparlament. EU-Regierungen und Ministerrat müssen schnell handeln. Sie sind jetzt am Zug. Die EU-Regierungschefs haben beim Treffen des Europäischen Rates noch in dieser Woche die hervorragende Gelegenheit ihre Entschlossenheit zum Ausdruck zu bringen. Darauf warten wir nun. Das Europäische Parlament hat geliefert, was die Bürgerinnen und Bürger erwartet haben. Und ich bin stolz, sagen zu können, dass der Beitrag, den die europäischen Sozialisten und Demokraten (S&D) einbringen konnten, stark und deutlich erkennbar ist.“

Die stellvertretende Fraktionsvorsitzende der S&D-Fraktion Sylvie Guillaume fügte hinzu: „Persönliche Daten sind der Rohstoff des 21. Jahrhunderts. Sozialisten und Demokraten haben das mit ihrer Zustimmung gezeigt, dass sie wollen, dass die Bürgerinnen und Bürger die Kontrolle über ihre Daten behalten. Nur so werden sie den Firmen vertrauen können. Ein wichtiger Schritt in diese Richtung ist die Tatsache, dass ausländische Unternehmen sich im Europäischen Markt an den EU-Datenschutz halten müssen. Wir müssen nun den Rat von unserer Position überzeugen.“

Claude Moraes, Berichterstatter für den Untersuchungsausschuss zur Massenüberwachung von EU-Bürgerinnen und-Bürgern sagte: „Die jüngsten Enthüllungen von Edward Snowden haben Gesetzeslücken im Zusammenhang mit der Übertragung von Daten in Drittländer wie die USA offenbart. Die historische Abstimmung am Montag über das Datenschutzpaket ist ein wichtiger Schritt, wenn wir ein hohes Datenschutzniveau für den transatlantischen Datenverkehr garantieren wollen. Diese Gesetze werden es US-Firmen wie Google und Facebook erschweren, Daten an US-Behörden zu übergeben. Jede dieser Übergaben muss den neuen Regeln entsprechen, oder auf einem internationalen Abkommen basieren.“

Zu den wichtigsten Punkten, die die S&D-Gruppe in die Arbeit des Innenausschusses einbringen konnte, zählen:

    1. Grundlegende Prinzipien: Die Datenverarbeitung muss rechtmäßig geschwehen, fair und transparent den Betroffenen gegenüber. Die konkreten Anwendungszwecke der Daten müssen eindeutig und legitim sein und festgelegt zur Zeit der Datenerhebung. Außerdem dürfen nur die Daten erhoben werden, die unmittelbar nötig sind. Es muss Fristen für die Löschung und die regelmäßige Überprüfung geben.
    2. Defintion der Daten: Jede personenbeziehbare Information ist als Personendaten definiert und damit streng geschützt. Persönliche Informationen umfassen Standortdaten, Identifikationsnummern, und – merkmale und Metadaten.
    3. Gendaten: Ein neuer Abschnitt zum Thema genetischer Informationen wurde eingefügt. Die Verarbeitung von Gendaten darf nur im Zusammenhang mit Strafverfolgung geschehen. Gendaten dürfen nur so lange wie unbedingt nötig für einen konkreten Fall gespeichert werden. Die Mitgliedsstaaten können diese Fristen allerdings verlängern.
    4. Pseudonyme: Die Benutzung von Pseudonymen wird gefördert. Wenn jedoch pseudonyme Daten aus einer oder mehreren Quellen zusammengeführt und gemeinsam in einer Form verarbeitet werden, die eine Person identifizierbar machen, werden sie nicht länger als pseudonym anerkannt.
    5. Strafverfolgung: Zur Zeit müssen sich die nationalen Strafverfolgungsbehörden an unterschiedliche rechtliche Regeln und Abläufe halten, je nachdem, welche Art Aufgaben sie erfüllen (interne Datenverarbeitung in einem Mitgliedsstaat, grenzübergreifende Zusammenarbeit, internationale Zusammenarbeit, Europol, Eurojust, Prüm). Die geplante Richtlinie versucht diese Situation zu vereinfachen, indem sie einen kohärenten rechtlichen Rahmen für alle personenbezogenen Datenverarbeitung und ihren Austausch bei der Polizei innerhalb der EU aber auch mit Drittstaaten bietet.
    6. Drittstaaten: Absicherungsmaßnahmen gegen unerlaubten Verkehr von personenbezogenen Daten müssen eingeführt werden. Firmen wie Google, Facebook und Skype ist nicht erlaubt, Daten in Drittstaaten zu übertragen. Das darf nur unter EU-Recht oder einem auf EU-Recht basierten Abkommen geschehen. Ohne konkretes Abkommen, ist es nicht erlaubt.
      Statt massenweisem Datenaustausch, wird nur der nötige Datenaustausch erlaubt. Außerdem muss so ein Datentransfer von einer befugten Person durchgeführt und die Übertragung protokolliert werden. Das Protokoll muss Kontrollbehörden zur Verfügung stehen, die die Rechtmäßigkeit überwachen sollen.
    7. Profile: Die Erstellung von Profilen wirken diskriminierend auf Basis von rassischer oder ethnischer Herkunft, politischer Meinung, Mitgliedschaft in Gewerkschaften, sexueller Orientierung und Identität. Das ist verboten. Jede Art schwarzer Listen sind illegal.
    8. Deutliche Information: Jeder muss eindeutig darüber informiert werden, was mit seinen Daten passiert, wie sie verwendet werden und zu welchen Zwecken. Und grundsätzlich muss jeder in der Lage sein, die Datenverarbeitung aktiv anzunehmen oder anzulehnen. Klare, standardisierte Symbole müssen angeboten werden, um einen Überblick über die Datenverarbeitung zu geben. Zusätzlich muss es Detailinformationen dazu geben. Webseitenbetreiber dürfen Besucher nur tracken, wenn sie das laut Browser-Einstellungen erlauben.
    9. Freie Einwilligung: Wenn eine Einwilligung für die Datenverarbeitung nötig ist, muss diese freiwillig gegeben werden, basierend auf einer informierten und eindeutigen Entscheidung der bestroffenen Person. Das hat in Form einer Aussage oder einer zustimmenden Aktion zu geschehen. Wenn die Einwilligung nicht freiwillig geschehen ist, oder wenn sie auf falscher oder fehlerhafter Information basierte, ist die Einwilligung ungültig.
      Datenverarbeiter, sowie Hersteller von IT-Systemen müssen ihre Produkte so entwickeln, dass sie diesen Prinzipien entspricht und mit den Datenschutz-freundlichsten Voreinstellungen ausgeliefert wird. Es muss sichergestellt werden, dass Dienste auch pseudonym oder anonym genutzt werden können.
    10. Recht auf Vergessen: Alle haben das Recht, dass ihre Daten gelöscht oder korrigiert werden können. Die Firmen müssen Löschung oder Korrektur durchführen und den Benutzerwunsch auf an diejenigen Stellen weitergeben, an die die Daten weitergegeben wurden, damit auch dort die Daten gelöscht oder korrigiert werden. Wer private Daten illegal veröffentlicht, muss dafür sorgen, dass jede Kopie gelöscht wird.
    11. Kleine und Mittlere Unternehmen: Bürokratische Hürden für kleine und mittlere Unternehmen sollen beschränkt werden, gleichzeitig aber ein Maximum an Datenschutz aufrecht erhalten.
    12. Datenschutzbehörden: Die nationalen Datenschutzbehörden müssen gestärkt werden und mit ausreichend Ressourcen ausgestattet werden, damit sie ihre Aufgaben erfüllen können. Sie sollen die Einhaltung der Regeln überwachen, Beschwerden aufnehmen, bestroffene Personen unterstützen, Untersuchungen durchführen und technische und andere Standards zertifizieren. Die nationalen Behörden sich in grenzübergreifenden Fällen gegenseitig unterstützen und zusammenarbeiten.
      Es muss eine europäische Datenschutzbehörde eingerichtet werden, die Positionen, Richtlinien und Empfehlungen sowohl für die nationalen Datenschutzbehörden als auch die nationalen Gesetzgeber erarbeitet. Die Behörde soll die Zusammenarbeit der nationalen Datenschutzbehörden unterstützen und als letzte Instanz für Einzelfälle dienen.
    13. One-Stop-Shop Ansatz – Alles aus einer Hand: Die Bürgerinnen und Bürger sollten immer nur mit einer Datenschutzbehörde innerhalb der EU zu tun haben. Sie können zu ihrer eigenen, nationalen Datenschutzbehörde gehen und sich dort über Datenmissbrauch in der gesamten EU beschweren. Ebenso sollen Firmen nur mit der Datenschutzbehörde im Land ihres Hauptsitzes zu tun haben.
    14. Folgenabschätzung: Wo die Folgenabschätzung für den Datenschutz darauf hinweist, dass Datenverarbeitung ein hohes Risiko beinhaltet, soll es der Datenschutzbehörde möglich sein, die Datenverarbeitung vor ihrem Beginn zu verhindern und stattdessen Lösungen vorzuschlagen.
    15. Whistleblower: Die Europäische Datenschutzbehörde soll allgemeine Regeln erarbeiten, die es internen und externen Hinweisgebern ermöglicht, ihre Informationen vorzubringen und ihnen angemessenen Schutz bietet.
    16. Strafen: Abhängig von Art und Umfang des Verstoßes, Vorsatz oder Fahrlässigkeit und ob es sich um einen wiederholten Verstpß handelt, können die Strafen variieren. Beginnend mit einer Verwarnung reichen die Strafen bis hin zu im schlimmsten Fall 5% des weltweiten Unternehmensumsatzes, was in die hunderte Millionen Euro geht.
    17. Unterschiede zum Entwurf der Kommission: Der Entwurf der Kommission hat nur einen schwachen Schutz für die Datenübermittlung un Drittstaaten vorgesehen und nicht all die nötigen Vorkehrungen vorgesehen, die den individuellen Datenschutz der betroffenen Personen sicherstellen. Das System sah weniger Schutz vor als der Parlamentsentwurf. Zum Beispiel sah der Kommissionsentwurf vor, dass Daten an Behörden in Drittstaaten übermittelt werden können, die nicht der Strafverfolgung dienen. Die Folgenabschätzung lag in der Hand der Datenerheber – der Entwurf hätte die massenhafte Übermittlung von privaten Daten  ermöglicht. Das haben wir geändert und alle Datenübermittlungen müssen sich an Entscheidungen der Kommission („Feststellung der Angemessenheit“), an Gesetze oder verbindliche Übereinkünfte, die Sicherheitsvorkehrungen zum Schutz personenbezogener Daten vorsehen, halten.
      Die Richtlinie, wie sie von der Europäischen Kommission vorgeschlagen wurde ist in vierlei Hinsicht nicht auf Augenhöhe mit unserem Vorschlag. Es war uns am wichtigsten, dass die beiden rechtlichen Instrumente (Datenschutzverordnung und -Richtlinie) die gleichen Regelungen umfasste. Ausgenommen ist nur die Strafverfolgung, wenn sie spezifische Regelungen erforderte. Es wurden die gleichen Formulierungen gewählt, um mit Unterschieden umzugehen und die Übereinstimmung zwischen den beiden Rechtsdokumenten sicherzustellen. Das wird auch die Arbeit der nationalen Behörden vereinfachen, weil jeweils nur ein Standard etabliert werden muss.

Bei diesem Text handelt es sich um eine eigene Übersetzung einer Pressemitteilung der S&D-Fraktion.

Steffen Voß

Mitglied des Arbeitskreises Digitale Gesellschaft der SPD Schleswig-Holstein.

More Posts - Website

Follow Me:
TwitterFacebookGoogle PlusFlickr

Schlagwörter: , , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert