Europas neue Regeln für den Umgang mit Daten

Die neue europäische Datenschutz-Grundverordnung soll den EU-Ländern einheitliche Datenschutzregeln bringen. Die Abstimmung im EU-Parlament gilt als Formsache. Danach stehen dem bundesdeutschen Datenschutzrecht zahlreiche Änderungen bevor.

By
Uwe
Sievers

Nach vier Jahren zäher Verhandlungen einigte sich die EU Mitte Dezember auf neue Datenschutzgrundsätze. Die Dauer des konfliktreichen Prozesses darf als Indiz dafür gewertet werden, welche Bedeutung Daten für die heutige Gesellschaft und in der modernen Ökonomie haben. Schließlich setzt die europäische Datenschutz-Grundverordnung, EU-DSGV, Standards für einen Wirtschaftsraum mit über 500 Millionen Verbrauchern, denn überall in Europa soll das gleiche Datenschutzrecht gelten.

Das neue Recht gilt nicht nur für Unternehmen aus EU-Ländern, sondern für alle Unternehmen, die innerhalb der EU aktiv sind und damit auch für Internet-Größen wie Facebook, Google oder Amazon. Es bringe nichts mehr, wenn ein Unternehmen seinen Firmensitz nach Dublin verlege, betont Bundesjustizminister Heiko Maas. So waren in der Vergangenheit neben Facebook auch andere US-amerikanische Unternehmen verfahren, galt doch Irland aus Sicht dieser Unternehmen als Datenschutzoase.

2,3 Milliarden Euro pro Jahr meint die EU-Kommission durch EU-DSGV einsparen zu können.

Demgegenüber beklagen europäische Unternehmen den kostenintensiven Aufwand, um ihre Geschäftstätigkeiten an die unterschiedlichen Datenschutzgesetze der 28 Mitgliedsstaaten anzupassen. Die Europäische Kommission erwartet durch die EU-DSGV Einsparungen von bis zu 2,3 Milliarden Euro pro Jahr.

Bundesregierung als Bremser

Die Kommission begann bereits Anfang 2012 einen Reformprozess, um das als veraltet geltende Gesetz von 1995 zu aktualisieren. Damit gingen sofort Konflikte und kontroverse Debatten einher, die 2013 in über 4.000 Änderungsanträgen mündeten. Viele davon waren von Lobbyisten geschrieben und wurden von Parlamentariern 1:1 übernommen, wie die Internet-Plattform LobbyPlag zeigte. Der zuständige EU-Parlamentarier Jan Philipp Albrecht (Grüne) schaffte es im Oktober 2013 schließlich, mit seinem Team daraus einen abstimmungsfähigen Entwurf zu destillieren.

Bei der anschließenden Beratung der Mitgliedsstaaten im Ministerrat fiel die Bundesregierung als Bremser auf, entgegen deren Beteuerungen in allen Medien, sich für ein Datenschutzrecht nach deutschem Vorbild einzusetzen. Namentlich war es Innenminister Thomas de Maizière, der die meisten Anträge einreichte, um den Datenschutz EU-weit auszuhöhlen, wie LobbyPlag ermittelte (lobbyplag.eu/governments).

Trotzdem ging die Verordnung mit den im Sommer 2015 begonnenen Trilog-Verhandlungen zwischen den drei EU-Gremien, Kommission, Parlament und Ministerrat, schließlich in die Zielgerade. Zwar wurde der Entwurf in einigen Punkten abgeschwächt, dafür gelang jedoch bis zum Jahresende eine Einigung. Nun haben die EU-Nationen zwei Jahre Zeit, die Verordnung in nationales Recht umzusetzen. Anfang 2018 soll sie überall in Kraft treten.

Schärfere Sanktionen

Zu den wesentlichen Neuerungen gehört, dass Verbraucher sich auch bei Problemen mit Anbietern aus anderen Ländern an die heimische Beschwerdestelle wenden können. Bislang war dies nicht möglich, deshalb musste etwa der Österreicher Max Schrems in Irland, Europasitz des Konzerns, gegen Facebook klagen. Nun gilt das Recht jenes Landes, in dem eine Leistung online angeboten wird: „Selbst wenn man seinen Server auf die Fidschi-Insel stellt, nützt das niemandem mehr etwas“, so Heiko Maas.

Bei Verstößen drohen neue Sanktionen: Anders als bisher werden Strafzahlungen zukünftig an den weltweiten Jahresumsatz gekoppelt und können mit vier Prozent wesentlich höher ausfallen. Bei einem Unternehmen wie Google wären das immerhin weit über zwei Milliarden, denn laut Nachrichtenagentur dpa lag der Umsatz des Konzerns im vergangenen Jahr bei 66 Milliarden US-Dollar.

Kritiker bezweifeln die Durchsetzbarkeit dieser Sanktionen, insbesondere bei weltweit operierenden Unternehmen. Weder seien die Datenschutzbehörden personell entsprechend ausgestattet, um mit dem erwarteten Beschwerdeaufkommen umzugehen, noch sei klar, wie verhängte Strafzahlungen eingetrieben werden können. Das dürfte die Gerichte noch beschäftigen.

Neue Handlungsoptionen

Weitere Änderungen betreffen die Einwilligungserklärung zur Verarbeitung personenbezogener Daten und die sogenannte Zweckbindung. Anbieter müssen zukünftig vor der Verarbeitung eine allgemein verständliche Zustimmungserklärung anbieten, die Nutzer explizit bestätigen müssen. Daneben wird der seit Langem im deutschen Datenschutzgesetz festgeschriebene Grundsatz der Datenminimierung nun auch auf EU-Ebene übernommen. Die Unternehmen müssen danach ihre Angebote derart gestalten, dass sie dafür möglichst wenige Daten erheben müssen. Die Weitergabe von Daten an Dritte wird eingeschränkt, denn die Zweckbindung erlaubt deren Verwendung nur für den angegebenen Zweck. Also können Daten einer Online-Bestellung bei einem Versandhändler nicht mehr so einfach an Dritte veräußert werden. Ausnahmen gelten jedoch bei Daten für öffentliche Archive, wissenschaftliche Forschung oder amtliche Statistiken.

Laut Minister Maas sei es ein zentrales Ziel der Verordnung, Europas Internet-Nutzern mehr Kontrolle über ihre persönlichen Daten zu geben. Konsumenten dürfen sich daher über neue Handlungsoptionen freuen: Sie erhalten zukünftig die als Recht auf Vergessen bezeichnete Möglichkeit, Informationen oder Fotos löschen zu lassen. Außerdem muss es leichter werden, Daten wie Mails oder Adressbücher von einem Anbieter zum nächsten mitzunehmen.

Zusätzlicher Schutz wird für Kinder und Jugendliche eingeführt. Sie könnten in einigen europäischen Ländern künftig Online-Dienste wie Facebook oder WhatsApp erst ab 16 Jahren nutzen dürfen. Denn grundsätzlich ist dieses Mindestalter für die Einwilligung zur Datenverarbeitung vorgesehen, außer wenn nationales Recht davon abweicht. In dem Fall müssten die Kinder mindestens 13 Jahre alt sein. Die Altersfrage zählte neben der Zweckbindung zu den umstrittensten Streitpunkten der EU-DSGV. Daran wird zugleich das Hauptdilemma der neuen Verordnung deutlich: Mitgliedsstaaten haben die Möglichkeit, an vielen Stellen Sonderregeln einzusetzen. Dadurch könnte es in den 28 Staaten so viele Ausnahmen und Sonderregeln geben, dass von einem gemeinsamen Datenschutzrecht keine Rede mehr sein kann.

Datenschutz ist Wirtschaftsfaktor

Das bliebe nicht ohne wirtschaftliche Folgen, denn Datenschutz ist ein Wirtschaftsfaktor und europäische Unternehmen sollen davon profitieren, dass in der gesamten EU dasselbe Datenschutzniveau gilt. Der bisherige Flickenteppich an Vorschriften hatte die Kosten für in mehreren EU-Staaten tätige Unternehmen in die Höhe getrieben, während außereuropäische Konzerne wie Google oder Facebook von der bisherigen Rechtslage durchaus profitiert haben, indem sie sich das Land mit dem niedrigsten Datenschutz als Unternehmenssitz aussuchten. Nicht zuletzt durch die Snowden-Enthüllungen profitieren europäische Unternehmen inzwischen jedoch immer öfter von einer neuen Tendenz: Datenschutz wird zum Exportschlager, vor allem fernöstliche Unternehmen setzen auf deutsche IT-Produkte, weil diese hohen Datenschutz- und Sicherheitsanforderungen entsprechen.

Uwe Sievers

Auch ein D-A-CH-Thema

Ergebnisse einer neuen Cybersecurity Studie liegen nun vor

Betrieblicher Datenschutz vor dem Aus

Interview mit Nikolaus Forgó, Rechtswissenschaftler

Politik der kleinen Schritte

Mobile Visite am Unfallkrankenhaus Berlin (ukb)