Die lettische Ratspräsidentschaft hat einen Kompromissentwurf für die geplante Datenschutzverordnung fertig. Ausufernde Möglichkeiten zur Informationsnutzung stehen auf der Kippe, Geldbußen sind deutlich herabgesetzt.
267 Seiten mit 646 Fußnoten umfasst der jüngste Entwurf für eine europäische Datenschutz-Grundverordnung, den die lettische EU-Ratspräsidentschaft am Mittwoch fertig gestellt hat. Das vertrauliche Papier hat die britische Bürgerrechtsorganisation Statewatch jetzt veröffentlicht. Licht und Schatten
Die Organisation European Digital Rights (EDRi) sieht Licht und Schatten in dem Entwurf. So seien entscheidende Klauseln zur möglichen Datennutzung für neue Zwecke etwas eingegrenzt worden. EDRi hegt dennoch "weitreichende Bedenken" und kritisiert, die Version der Mitgliedsstaaten bleibe deutlich hinter der Vorlage des EU-Parlaments zurück.
Erhalten bleibt der heftig umstrittenen Artikel 6.4, demzufolge personenbezogene Informationen schon dann für andere Zwecke als ursprünglich angegeben verarbeitet werden dürfen, wenn es daran "berechtigte Interessen" gibt, die schwerer wiegen als die der Betroffenen. Gegen diese Universalklausel haben sich inzwischen elf Länder ausgesprochen. Der Satz könnte daher bei den weiteren Verhandlungen gestrichen werden. Deutschland will die Zweckbindung nur für Firmen aufheben, nicht aber für die öffentliche Hand. Offen für Erweiterungen
Die Liste in Artikel 6.3a, die definiert, unter welchen Umständen Daten für andere Zwecke verarbeitet werden dürften, als für den, unter dem sie erhoben wurden, ist nun nicht mehr abschließend. EU-Länder könnten sie also aufbohren oder einschränken.
Vorgaben zum sparsamen Umgang mit personenbezogenen Informationen im Sinne des Ansatzes der "Datenvermeidung", der im Bundesdatenschutzgesetz noch festgeschriebenen ist, haben die Letten nicht mehr in das Papier aufgenommen. Es soll auch dabei bleiben, dass Informationssammler persönliche Daten zum Direktmarketing nutzen dürften, da dies von ihren legitimen Interessen gedeckt wäre. One Stop – oder auch zwei
Der "One Stop Shop" als zentrale Anlaufstelle für Bürger oder Unternehmen, die sich über Datenschutzverstöße beschweren wollen, ist im jüngsten Papier komplizierter geworden. Bei grenzüberschneidenden Beschwerden sollen zumindest zwei Datenschutzbehörden an der Suche nach einer Lösung beteiligt werden. Die Rolle des eigentlich geplanten Europäischen Datenschutzrats als Vermittlerinstanz würde so deutlich eingeschränkt.
Als Höchststrafe für Verstöße sieht die Ratsspitze 250.000 Euro oder 0,5 Prozent des Jahresumsatz eines Unternehmens vor. Dies bleibt weiter unter den 100 Millionen Euro oder fünf Prozent des Geschäftsvolumens, die das Parlament ins Spiel gebracht hat. Zudem wollen es die Regierungen Firmen leichter machen als die Abgeordneten, Profile zu erstellen. Die vorgesehenen Klagerechte für Bürger sind laut EDRi zudem noch genauso unbefriedigend wie überbordende Möglichkeiten für Unternehmen, Daten in Drittländer zu transferieren.
Laut dem weiteren Zeitplan sollen die Verhandlungen mit dem Parlament und der Kommission über die Datenschutzreform beginnen, die sich bis Ende des Jahres hinziehen könnten.