JUVE: Im Juni haben sich die Justizminister der 28 EU-Staaten auf einen Reformentwurf für die europäische Datenschutzgrundverordnung für 2016 geeinigt. Was sind die Kernpunkte der Reform?
Isabell Conrad: Während das Europäische Parlament den Kommissionsvorschlag eines Rechts auf Vergessenwerden zurückgedreht hat, hat der Rat die Idee wieder aufgegriffen. Das überrascht, weil speziell zu diesem Punkt im Kommissionsentwurf über 3.000 Änderungsanträge aus den Mitgliedstaaten kamen. Das Recht auf Datenportabilität erfordert unter Umständen großen technischen Umstellungsaufwand, beispielsweise für Cloud-Provider. Durch offene Standards soll das ‚Switching‘ zwischen Anbietern, somit also der Wettbewerb, gefördert werden. Auch der Rat unterstützt das Prinzip des ,One Stop Shop‘, also die zentrale behördliche Anlaufstelle für Unternehmen und Betroffene. Gerade für international tätige Unternehmen ist es eine Erleichterung, dass sie sich nicht mehr an 28 oder noch mehr Behörden wenden müssen. Außerdem hat sich der Rat intensiv mit dem Thema Profiling beschäftigt. Gemäß Artikel 20 soll der Betroffene das Recht haben, nicht Gegenstand einer automatisierten Einzelentscheidung zu werden – etwa im Wege Profiling –, wenn das rechtliche Auswirkungen für ihn hat. Das spielt etwa im Bereich Scoring, Fraud Detection und bei Zahlungsdienste-Angeboten im Internet eine große Rolle.
Die aktuelle Version dieser Datenschutzreform gilt in einigen Punkten als strenger als die bisherige Regelung, in anderen als lockerer. Welche Punkte sind das?
In Nuancen gibt es sehr viele Unterschiede zum geltenden Recht. Vieles ist noch unklar. Bei der Einwilligung hatte das Europäische Parlament am Wortlaut der Datenschutzrichtlinie 95/46/EG festgehalten und einen „explicit consent“ gefordert. Der Rat bevorzugt einen „unambiguous consent“. Stimmen in Deutschland halten das für eine Lockerung, Stimmen in Italien eher für eine Verschärfung. Ich glaube, der Rat beabsichtigt mit Blick auf das Arbeitspapier 203 der Artikel 29-Datenschutzgruppe eher eine Klarstellung. Die neue Datenschutzfolgenabschätzung in der Grundverordnung bedeutet für die Unternehmen eventuell mehr Aufwand als die geltende Vorabkontrollpflicht. Für die viel kritisierte, sehr umfassende Pflicht zur Selbstanzeige bei der Behörde im Falle von Datenschutzverstößen hat der Rat den sehr weiten Anwendungsbereich, den das Europäische Parlament vorgeschlagen hat, reduziert. Allerdings wird die Meldepflicht wesentlich häufiger zum Einsatz kommen, als dies bislang nach deutschem Recht der Fall ist.
Die Justizminister haben drei Jahre für den Entwurf gebraucht. Die nächste Station, die die Verordnung passieren muss, ist das EU-Parlament. Dort bringen sich schon die Kritiker in Stellung. Was bemängeln sie?
Leider gibt es bei der – sehr praxisrelevanten – Definition von Personenbeziehbarkeit keine Verbesserung. Beim Rat heißt es: „an identifiable person is one who can be identified directly or indirectly […], in particular by reference to an identifier […]“. Hier wird der zu definierende Begriff zweimal mit dem zu definierenden Begriff umschrieben. Das kann nicht funktionieren. Der EuGH wird wohl mit seiner Vorlageentscheidung zum Personenbezug von IP-Adressen Hilfestellung leisten müssen. Bei der Regelung zum Datenschutzbeauftragten bevorzugt der Rat das System, das bereits jetzt gilt, nämlich dass im Wesentlichen die Mitgliedstaaten entscheiden dürfen, ob die Bestellung verpflichtend ist oder nicht. Manche sehen das als Einfallstor für unterschiedliche Datenschutzniveaus bei den Mitgliedsstaaten, was ja bislang ein Hauptkritikpunkt an der Richtlinie 95/46/EG ist. Ich zweifle aber, ob speziell die Regelungen zum Datenschutzbeauftragten das Datenschutzniveau heben oder senken wird. Denn auch dort, wo die Bestellung nicht gesetzlich vorgeschrieben ist, muss es einen Datenschutz-Kontrolleur und -Hauptansprechpartner im Unternehmen geben.
Wie sieht der weitere Zeitplan aus?
Die Trilog-Verhandlungen sind am 24. Juni gestartet. Die Inhalte und der weitere Zeitplan bedürfen aber noch der Zustimmung von Kommission und Rat. Das Parlament plant, bis einschließlich Dezember alle Kapitel der Datenschutzgrundverordnung zu verhandeln. Danach könnte sie 2016 – wenn alles planmäßig verläuft – in Kraft treten.
Unternehmen drohen hohe Strafen bei Nichtbeachtung. Welche Höhen sind angedacht?
Das Europäische Parlament hatte Geldbußen bis zu 100 Millionen Euro oder fünf Prozent der jährlichen weltweiten Umsätze des Unternehmens – je nachdem welches höher ist – gefordert. Der Rat staffelt die Maximalbeträge nach verschiedenen Verstößen und schraubt die Beträge herunter auf 250.000, 500.000 und 1 Millionen Euro beziehungsweise 0,5, 1 Prozent und 2 Prozent der jährlichen weltweiten Umsätze. Damit wären die Geldbußen zwar nicht in der Größenordnung von Strafzahlungen bei Kartellverstößen, aber deutlich höher als derzeit in Deutschland üblich. Eines der höchsten Bußgelder in Deutschland wurde gegen 35 Lidl-Gesellschaften verhängt, in der Summe knapp 1,5 Millionen Euro.
Das Gespräch führte Eva Flick.
