Am 21. Februar wurde im federführenden Binnenmarktausschuss des Europäischen Weiterlesen

Unter dem Motto „Datenschutz ist Zukunft“ veranstalteten gestern, Dienstag 19. Februar 2013, Josef Weidenholzer und Birgit Sippel einen Roundtable zum Datenschutzpaket. Der Raum im Europaparlament platzte fast aus allen Nähten, das Interesse am Thema ist in den letzten Wochen zu Recht gewachsen. Hier ein kurzer Nachbericht.
Nach der Begrüßung durch die deutsche Sozialdemokratin Birgit Sippel legte der Präsident der S&D-Gruppe im Europaparlament, Hannes Swoboda, ein starkes Wort für die Rechte der Bürgerinnen und Bürger ein:

An erster Stelle steht der Schutz der Rechte der Bürgerinnen und Bürger. Und erst dann geht es darum, welchen Spielraum man der Wirtschaft einräumen kann.

In der von Josef Weidenholzer moderierten Panel-Diskussion legten die ExpertInnen dar, warum die Datenschutzreform wichtig ist und auf welche Punkte man besonderes Augenmerk legen muss. Neben den Abgeordneten Birgit Sippel, Dimitrios Droutsas und Josef Weidenholzer sprachen Eva Souhrada-Kirchmayer, Österreichs oberste Datenschützerin, sowie Paul Nemitz (Europäische Kommission), Ralf-Peter Hayen (Deutscher Gewerkschaftsbund) und Joe McNamee, Leiter von EDRi, dem europäischen Verbund der Organisationen, die sich für BürgerInnenrechte in der digitalen Welt einsetzen.
Dimitrios Droutsas, parlamentarischer Berichterstatter der Datenschutzrichtlinie für Polizei und Justiz, erinnerte an die Dringlichkeit des Vorhabens. Mit Blick auf die Mitgliedstaaten warnte er vor einer Verzögerungstaktik, die letztlich zu Lasten der Bürgerinnen und Bürger gehen würde. Paul Nemitz machte darauf aufmerksam, dass der oft postulierte Gegensatz zwischen den Interessen von Wirtschaft und Bürgern nicht existiere: Im Gegenteil habe wirksamer Datenschutz Synergieeffekte. Verständliche und starke Regeln schafften Vertrauen und dies sei die Grundlage für eine florierende Internetwirtschaft.

Eva Souhrada-Kirchmayer begrüßte die Vereinheitlichung und Stärkung der Datenschutzbehörden, kritisierte allerdings den Entwurf für die Richtlinie für Polizei und Justiz, bei dem im Vergleich zur Datenschutzgrundverordnung starker Verbesserungsbedarf bestehe. Joe McNamee machte auf die Fehlentwicklungen im Entscheidungsprozess aufmerksam. Einige Änderungsanträge und „Kompromissvorschläge“ höhlten wichtige Regelungen komplett aus. Ralf-Peter Hayen schließlich zählte eine Vielzahl von krassen Verstößen gegen den Arbeitnehmerdatenschutz auf, die große Unternehmen offenbar vollkommen ohne Unrechtsbewusstsein oder Angst vor Sanktionen begangen haben.
Aus dem Publikum kam eine große Zahl interessanter Wortmeldungen. Der Datenschutzexperte Andreas Krisch (edri, vibeat!) machte sich für den Schutz von Daten, die indirekt einer Person zugeordnet werden können, stark, und wies nochmals auf das Problem einer breiten Definition von „berechtigtem Interesse“ als Grundlage von Datenverarbeitung hin. Max Schrems, der durch seinen ausdauernden Versuch, von Facebook Einblick in seine Daten zu erhalten, sowie mit der Initiative LobbyPlag einiges an Aufmerksamkeit für das Thema Datenschutz generiert hat, brachte die Stimmungsmache der Industrie-Lobbyisten auf den Punkt, als er die Frage in den Raum stellte, ob denn jemand wirklich glaube dass das Internet untergehe, wenn die Verordnung verabschiedet werde.
Das Schlusswort gehörte Birgit Sippel, die zu Recht darauf hinwies, dass das Problem oft nicht die fehlenden Regeln, sondern die fehlende Umsetzung und Durchsetzung der Regeln sei.
Mehr Fotos zur Veranstaltung hier

Im Kommissionsvorschlag zur Datenschutzgrundverordnung finden sich in Artikel 6 die Kriterien für eine rechtmäßige Datenverarbeitung. Diese Kriterien beinhalten Bestimmungen für die Erfüllung rechtlicher Verpflichtungen, die im öffentlichen Interesse liegen, und Interessenabwägungen. Eine solche Interessenabwägung ist der Artikel 6.1f: Dort heißt es, dass eine Verarbeitung „zur Wahrung der berechtigten Interessen“ des Datenverarbeitenden rechtmäßig ist. Eingeschränkt wird diese Erlaubnis zur Verarbeitung durch eine Abwägung, die die Interessen, Grundrechte und Grundfreiheiten der von der Datenverarbeitung betroffenen Person miteinbezieht.
Wo liegt das Problem?
Der Begriff „berechtigtes Interesse“ lässt sich sehr weit auslegen, solange er nicht genauer erläutert wird. Da er Auslegungssache ist, müsste er im Streitfall vor Gericht genauer bestimmt werden. Der Datenschutz bleibt in diesem Fall aber erstmal auf der Strecke, weil die Verarbeitung ja bereits stattgefunden hat. Und der von der Datenschutzreform erwünschte Effekt der größeren Rechtssicherheit sowohl für Bürgerinnen und Bürger wie auch für Unternehmen und Behörden wäre offensichtlich nicht eingetreten.
Außerdem ist schwer vorherzusehen, wann ein „berechtigtes Interesse“ den Vorzug vor dem Grundrecht des Einzelnen erhalten wird. Immerhin basieren ganze Geschäftsmodelle aus dem Ausnutzen von Lücken im Datenschutzrecht. Wenn es dann zur Abwägung zwischen der Existenzgrundlage eines bewusst gegen die Interessen der Allgemeinheit arbeitenden Unternehmens und dem Datenschutz kommt, könnte eine Entscheidung auch zu Ungunsten der Rechte der Bürgerinnen und Bürger ausfallen. Ziel muss allerdings sein, von vornherein deutlich zu machen, dass der Datenschutz ernst genommen werden muss.
Das BSD 2000 ist bei der Vorgabe der Richtlinien klarer formuliert. Unter anderem wird dort in §6 festgelegt, dass eine Verwendung nach „Treu und Glauben“ erfolgen, also redlich und anständig, sein muss.
Was schlagen wir vor?
Der Entwurf der Kommission sieht sechs Bedingungen für eine Datenverarbeitung vor, von denen nur jeweils eine erfüllt sein muss. Da „legitimes Interesse“ als sechste dieser Bedingungen andere, sehr gute Regelungen des Verordnungsentwurfs komplett aushebelt, muss klar werden, was exakt mit dem Begriff gemeint ist. Denn in der Regel sollte eine Datenverarbeitung auf der Zustimmung der Person beruhen. Ausnahmen können einzig dort bestehen, wo wesentliche andere Rechte, wie etwa das Recht auf freie Meinungsäußerung oder die Freiheit der Medien, betroffen wären. Beispielsweise ist das Anlegen eines Wikipedia-Artikels zu einer Person eine Datenverarbeitung von persönlichen Daten im Sinne der Datenschutzverordnung. An dieser Stelle ist es im allgemeinen Interesse, dass frei zugängliche, seriöse Informationen zu prominenten Personen zu einer Biografie zusammengefasst werden können. Damit „berechtigtes Interesse“ keine carte blanche wird, müssen diese Ausnahmen allerdings ausdrücklich genannt werden.

The European Data Protection Package is one of the most important pieces of legislative as it presents a complete renewal of data protection in Europe. Can Europe make data protection count for global players? Which topics should get more attention?

S&D Roundtable: Data Protection is the future!
Date&Time: Tuesday, 19. February 2013, 15h30 – 17h30
Location: Room A3H1, European Parliament, Brussels

Programme:

15h00   Accreditation at the entrance of Place Luxembourg
15h30   Start of the event & introduction by MEP Birgit Sippel, LIBE
15h40    Welcome note by MEP Hannes Swoboda (President of the S&D group)
15h50    Roundtable „Data protection is the future“
(the debate will be moderated by MEP Josef Weidenholzer, LIBE)

Dimitrios Droutsas (MEP), Paul Nemitz (EC), Eva Souhrada-Kirchmayer (DPA), Joe McNamee (edri), Ralf Peter Hayen (DGB)
16h45   Statements, questions and answers by the audience
(with statement by Max Schrems, europe-v-facebook, Andreas Krisch and others)
17h30   Conclusion by MEP Birgit Sippel

Registration

Please register and email your full name, ID no. and date of birth to [email protected] or [email protected] – before the 15th of February 2013.The reception area for the event is located at the Alterio-Spinelli (Place du Luxembourg, Espace Simone Veil) entrance of the Parliament. The distribution of the badges will take place there. If you have any other questions feel free to contact us.

How to get it right: Europe’s data protection reform for the 21st century

In January 2012, the European Commission has proposed a reform of the outdated data protection rules. The package is one of the most important pieces of legislation in the remaining legislative period as it presents a complete renewal of the existing legislation of 1995 and conceived a legislative opportunity to develop a fully coherent and high standard legal instrument. The proposal has caused heated debate on issues such as the right to be forgotten, privacy by design and data portability. Now that the European Parliament is in the final stage of forming it’s opinion on the new rules, there is still much to talk about. What will be the consequences? Can Europe make data protection count for global players? Which topics should get more attention? And what are the threats?

1. The data protection reform package

The reform package put forward by the European Commission consists of two documents: The General Data Protection Regulation will be binding for both corporations and public authorities with the exception of police and justice. For that field, the Commission proposed a Directive. While the Directive will have to be implemented by member states, the Regulation will have immediate effect.

2. Crucial points

Many points of the Regulation have been heavily debated. Civil rights organisations on the one side and private sector interest groups on the other have different opinions on some of these. Among those are
•    the right to be forgotten. Should consumers be able to delete their profiles and data, or do they belong to the companies that stored them?
•    data portability. Again a question of „Who’s data is it?“ In what way should consumers get hold of their data?
•    sanctions. What should happen when data is used in ways that are not in line with the Regulation? Can data protection count without tough penalisation?
However, a lot of companies acknowledge that harmonisation and a high standard of data protection will strengthen the trust of consumers and therefore be the basis of growth. With regard to the directive for police and justice, some points of interest are
•    the transfer of personal data to third countries, i.e. the U.S.
•    the scope of the regulation: Will it concern European authorities like Europol and Frontex?
•    the binding character. What is more important, minimum standards or harmonisation?

3. Procedure

After the European Commission proposed the reform in January 2012, the European Parliament began to make up it’s mind. In January of 2013, the draft reports of the rapporteurs were presented. After the IMCO committee voted it’s opinion on the Regulation on January 23rd, JURI, EMPL and ITRE committees will follow in Febuary. Afterwards, leading committee LIBE will vote on amendments on Febuary 27th and on the passage in April. The Parliament will enter negotiations with the Commission and the Council.
EUdatap: Roundtable_February, 19.2013, 15.30h-17h00, Flyer Download

Einige Modeketten setzen Schaufensterpuppen Weiterlesen

Die EU-Datenschutzreform enthält eine Reihe von wichtigen Datenschutzregeln für Unternehmen. Nach Inkrafttreten der Verordnung müssen Unternehmen, die Daten sammeln, verarbeiten und verwalten strengere Datenschutzregeln einhalten. Neben der Frage wie diese neuen Regeln genau aussehen, ist die Frage nach den Sanktionen bei Nichteinhaltung – also was passiert wenn Unternehmen fahrlässig mit den gesammelten Daten von BürgerInnen umgehen und sie nicht ausreichend schützen – ein umkämpfter Verhandlungsgegenstand im Datenschutzpakets.

Selbstregulierung reicht nicht aus, es braucht Gesetze!

Die Sammlung, Speicherung und Verknüpfung von Daten nimmt immer mehr zu und ist zu einem lukrativen Geschäftszweig für Unternehmen geworden. Mit dem Wachsen der Datenberge wächst auch die unternehmerische Verantwortung zu einem verantwortungsvollen Umgang und Schutz der Daten. Hier reicht Selbstregulierung und Freiwilligkeit bei weitem nicht aus: Damit die persönlichen Daten geschützt werden, braucht es strenge gesetzliche Regeln und Vorgaben sowie Sanktionen bei Nichteinhaltung. BetreiberInnen müssen anhand von strengen gesetzlichen Regelungen die Sicherheit und den Schutz der von ihnen gesammelten und gehaltenen Daten garantieren.

Strafen, die den finanziellen Vorteil des Verstoßes übersteigen!

Verletzt ein Unternehmen wesentliche Pflichten des Datenschutzes und verstoßt gegen die Bedingungen zur Verarbeitung (Benachrichtigungspflichten bei Zugriff durch Dritte nicht nachgekommen wurde, Datenschutzsiegel missbräuchlich genutzt, unzulässig Daten außerhalb der EU übertragen oder gegen ein durch die Datenschutzbehörden ausgesprochenes Verarbeitungs- oder Übertragungsverbot verstoßen wurde, … ) sollen die Datenschutzaufsichtsbehörden dies mit abschreckenden Strafen ahnden können. Die in der Verordnung niedergeschriebenen Strafen sollen auf jeden Fall den finanziellen Vorteil des Verstoßes übersteigen und von derzeit zwei Prozent Höchststrafe bei schweren Vergehen auf die fünf Prozent des ursprünglichen Kommissionsentwurf (Artikel 79) angepasst werden.

Datendiebstahlsanzeige verschärfen nicht abschwächen!

Im EU-Recht war das bisher nicht vorgesehen, die neue Datenschutzverordnung sieht sie in Artikel 31 und 32 des Verordnungsvorschlages vor: Die sogenannte „data breach notification“. Ernsthafte Datendiebstähle müssen an die nationale Datenschutzbehörde und an die Betroffenen gemeldet werden. Die Benachrichtigung sollte ohne Verzögerung und wenn machbar innerhalb von 24 Stunden erfolgen, Unternehmen haben die dementsprechenden Vorkehrungen zu treffen, damit das möglich wird, schneller und umfangreicher über Datenverluste und Diebstähle informieren. Auch die Benachrichtigung der Öffentlichkeit durch eine gesammelte Veröffentlichung durch die Datenschutzbehörde und auch über die Medien ist in diesem Zusammenhang wichtig.

Datensicherheit beweisen statt vorzutäuschen!

Gerade im Zusammenhang mit Datenunsicherheit sind es Datenlecks von Firmen, welche Kettenreaktionen an Datenmissbrauch lostreten. Für den, die EinzelneN ist es kaum noch nachvollziehbar geschweige den nachweisbar, dass Betrugsfälle beispielsweise mit gestohlenen Bankdaten aus einer Datensammlung von Firma XY stammen. In solchen Fällen sollen Firmen zum Beispiel nachweisen, dass sie allen Datensicherheitspflichten nachgekommen sind. So wird ein Riegel vorgeschoben, dass NutzerInnen das Risiko aufgrund fehlender Sicherheitsvorkehrungen der Unternehmen zu tragen haben. Die Beweislast sollte bei der datenverarbeitenden Stelle liegen, da nur so gewährleistet ist, dass die Verantwortlichen zur Verantwortung gezogen werden. Die Verordnung geht zwar auf die Beweislast bei der datenverarbeitenden Stelle (zum Beispiel bei der Zustimmung in Artikel 7 oder auch in Artikel 12 bzw. 14 bei Informationen der betroffen Personen) ein, lässt sich aber noch verstärken.

Links zur EU-Datenschutzreform:

Mehr Informationen von MEP Josef Weidenholzer: „Household-Exemption limitieren?“ auf www.weidenholzer.eu/rl15
Stellungnahme der Digitalen Gesellschaft zu Datenschutz auf EU-Ebene
Verlauf & Players VO: http://www.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2012/0011(COD)&l=en
Verlauf & Players RL: http://www.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2012/0010(COD)&l=en
Alle Berichte/Amendments/WorkingDocs, etc.. hier – in den Sitzungsunterlagen zum Ausschuss: http://www.europarl.europa.eu/meetdocs/2009_2014/organes/libe/libe_20130121_1500.htm
Kommissionsseite zur Reform: http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm
EU-Datenschutzpaket auf Twitter:#EUdateP

Nachdem die Verhandlungen über den Mehrjährigen Finanzrahmen 2014-2020 im November gescheitert sind, kam es beim Ratsgipfel am 7./8. Februar zwischen den Staat- und Regierungschefs schließlich zu einer Einigung. Der Finanzrahmen muss auch vom Europäischen Parlament abgesegnet werden. Eine Zustimmung knüpft das Parlament aufgrund der massiven Kürzungen allerdings an Bedingungen.

Massive Kürzungen im Haushalt

Ein Mehrjähriger Finanzrahmen (MFR) soll langfristige politische Positionen festsetzen und eine verantwortungsvolle Finanzplanung gewährleisten. Es geht nicht um irgendwelche Zahlen, sondern um den Handlungsspielraum der Europäischen Union für die nächsten sieben Jahre. Es geht darum, wie viel Mittel für Jugendbeschäftigung, Austauschprogramme wie ERASMUS, Entwicklungszusammenarbeit und Kohäsionspolitik zur Verfügung stehen. Diese Mittel sollen, geht es nach den Staats- und Regierungschefs, massiv gekürzt werden.
Kommission und Parlament forderten für die Jahre 2014-2020 mindestens rund 1.045 Milliarden Euro an Verpflichtungsermächtigungen, im Durchschnitt würde dies einem Betrag von rund 149 Mrd. Euro jährlich entsprechen. Beim Gipfeltreffen einigten sich die Nationalstaaten nun auf Verpflichtungsermächtigungen von rund 960 Milliarden Euro. Das entspricht im Vergleich zu den geforderten Mitteln der Kommission einer Kürzung von 85 Milliarden Euro. Im Vergleich zum Zeitraum 2007-2013 wird der EU-Haushalt für die kommenden sieben Jahre um über 30 Milliarden Euro gekürzt – trotz einer Finanz- und Wirtschaftskrise und trotz 5,5 Millionen europäischen Jugendlichen ohne Arbeit.

Zustimmung des Parlaments erforderlich

Der Mehrjährige Finanzrahmen muss nach der Einigung im Rat nun auch vom Europäischen Parlament abgesegnet werden. Parlamentspräsident Martin Schulz warnte im Vorfeld der Verhandlungen bereits vor einer Ablehnung von Seiten des Parlaments, sollte der Rat den Rotstift zu stark ansetzen und sich vom Kommissionsvorschlag allzu weit entfernen. Viele andere Stimmen warnten ebenfalls vor zu großen Einschnitten. Der Rat würde die EU in eine Schuldenpolitik treiben und Wachstumspolitik verhindern. Aufgrund der Unterschiede zwischen den Zahlungs- und Verpflichtungsermächtigungen im EU-Haushalt gibt es jetzt teilweise schon unbezahlte Rechnungen. Die jetzige Einigung würde diese Situation noch verschärfen und könnte die EU in eine rechtlich unsichere Situation bringen, da der Lissabonvertrag eindeutig ein ausgeglichenes Budget auf EU-Ebene vorsieht. Zudem könne die Union ihre selbst festgesteckten Ziele (EU 2020, Jugend- und Beschäftigungspakt) nicht mehr erreichen.
Von den größten Fraktionen im Europäischen Parlament wurde nun auch eine gemeinsame Erklärung zum Gipfeltreffen veröffentlicht:
 

Die wahren Verhandlungen beginnen jetzt mit dem Europäischen Parlament

Gemeinsame Erklärung von Joseph Daul (EVP-Fraktion), Hannes Swoboda (S&D-Fraktion), Guy Verhofstadt (ALDE-Fraktion) sowie  Rebecca Harms und Daniel Cohn-Bendit (Fraktion der Grünen)

Die Vorsitzenden der vier grössten Fraktionen im Europäischen Parlament geben folgende gemeinsame Erklärung zum Europäischen Gipfel ab:

„Die Priorität des Europäischen Parlaments ist der Ehrgeiz, Wachstum und Investitionen in der EU zu fördern, und dadurch dazu beizutragen, dass die EU die Krise dauerhaft hinter sich lassen kann.

Diese Einigung wird die Wettbewerbsfähigkeit der europäischen Wirtschaft nicht stärken. Sie liegt damit nicht im ersten Interesse unserer europäischen Bürger.

Das Europäische Parlament kann die heutige Einigung auf diesem Stand nicht akzeptieren. Wir bedauern, dass Herr van Rompuy in den vergangenen Monaten nicht mit uns gesprochen und verhandelt hat.

Die wahren Verhandlungen beginnen jetzt mit dem Europäischen Parlament. Wir halten unsere vier Prioritäten, die wir oft genug genannt haben, aufrecht.

Wir sehen mit Verwunderung, dass die EU-Regierungschefs einem Haushalt zustimmen, der zu einem strukturellen Defizit führen kann. Eine grosse Lücke zwischen Verpflichtungsermächtigungen und Zahlungen wird in der Zukunft Probleme aufwerfen anstatt heute Probleme zu lösen. Wir halten an Artikel 310 des Vertrages fest, der einen ausgeglichenen Haushalt vorsieht.

Zudem gibt es vier wichtige Punkte, auf denen wir weiter bestehen:

Erstens fordern wir mehr Flexibilität unter Nutzung von Abstimmungen mit qualifizierter Mehrheit: zwischen Jahren und zwischen Ausgabenkategorien. Dieser Ansatz erlaubt uns, den besten Nutzen aus den finanziellen Ressourcen zu ziehen.

Zweitens bestehen wir auf einer verpflichtenden Überprüfungsklausel mit qualifizierter Mehrheitsabstimmung im Rat, die uns erlauben würde, den Finanzrahmen in zwei oder drei Jahren zu überarbeiten. Wir akzeptieren keinen Sparhaushalt für sieben Jahre.

Drittens fordern wir neue, echte Eigenmittel für den europäischen Haushalt, die das bestehende System der BNE-Beitragszahlungen schrittweise ablösen.

Viertens können wir keinen Haushalt akzeptieren, der sich nur an den Prioritäten der Vergangenheit misst. Wir müssen zukunftsorientierte Schritte unternehmen und Europas Wettbewerbsfähigkeit und Forschung stärken. Das Ergebnis des endgültigen Haushalts wird entscheiden, ob das zweite Jahrzehnt des 21. Jahrhunderts als Zeit weiterer Integrationsschritte zum Wohle aller Europäer erinnert wird, oder als Zeit des Stillstands für Europa, oder gar eines Zurückfallens in einer globalisierten Welt“.

 

Weitere Informationen

Detaillierte Informationen rund um den EU-Haushalt gibt es auch im EUpdate Budget.
Dokumente zum MFR 2014-2020 auf der Seite der Europäischen Kommission.
Dokumente zum MFR 2014-2020 auf der Seite des Rats.
Presseaussendung „Leichtfried/Weidenholzer: Dürfen sieben verlorene Jahre nicht zulassen„