EU-Parlament beschließt Datenschutzreform

Am Donnerstag war es soweit: Das Europaparlament hat über das EU-Datenschutzpaket abgestimmt und die Reform beschlossen, die die alten Regeln von 1995 ersetzen sollen. „Wir setzen eine Art Goldstandard für den Datenschutz“, sagte der Berichterstatter für den Datenschutz, der Grünen-Abgeordnete Jan Philipp Albrecht bei der letzten Debatte vor der Abstimmung am Mittwochabend.

Einheitlicher Rechtsrahmen

„Der Kompromiss, den wir in einer intensiven Debatte gefunden haben, ist ein Riesenschritt in die richtige Richtung, nämlich für einen einheitlichen Rechtsrahmen für einen digitalen Binnenmarkt der Zukunft“, sagte Albrecht. Das Datenschutzpaket soll ab Frühjahr 2018 in Kraft treten.

Internet-Konzerne wie Google, Facebook & Co müssen sich demnach die Zustimmung der Nutzer zur Datennutzung ausdrücklich einholen. Nutzer erhalten das Recht, Informationen leichter wieder löschen zu lassen („Recht auf Vergessenwerden light“) und Daten von einem Anbieter zum nächsten mitzunehmen („Portabilität“). Unternehmen müssen ihre Produkte datenschutzfreundlich voreinstellen (Privacy by Design). Schon bei der Entwicklung von Hard- und Software muss Datenschutz mit eingebaut werden.

Regeln gelten auch für US-Firmen

An die neuen Regeln müssen sich nicht nur europäische Unternehmen, sondern auch etwa US-Firmen halten. Wenn Anbieter gegen die Regeln verstoßen, drohen ihnen hohe Strafen von bis zu vier Prozent ihres Umsatzes. In Österreich waren bisher Strafen in der Höhe von bis zu 25.000 Euro vorgesehen. Das ist eine drastische Erhöhung des Strafmaßes bei Datenschutzverletzungen.

Hat ein Verbraucher ein Problem mit einem Anbieter in einem anderen EU-Land, soll er sich künftig in seiner Sprache an die heimische Beschwerdestelle wenden können. Bisher war dies nicht möglich, so musste etwa der österreichische Datenschutzaktivist Max Schrems zuerst in Irland gegen Facebook klagen.

Notwendig wurde eine Reform deshalb, weil die bisherigen Datenschutzregeln aus einer Zeit stammen, in der weniger als ein Prozent der Europäer das Internet nutzte. Durch die Digitalisierung braucht es aber neue Spielregeln, um damit den Schutz der Privatsphäre – ein Menschenrecht – auch im Internet zu verankern. Denn eine Welt ohne Smartphones, soziale Medien oder Online-Lexika gibt es heutzutage nicht mehr.

Starkes Lobbying

Die Einflüsse der Industrie auf die Datenschutzreform waren allerdings massiv. Im EU-Parlament wurden alleine etwa 4000 Änderungsanträge eingebracht. Viele Stellen darin wurden aus Lobbypapieren von Amazon, eBay, der amerikanischen Handelskammer in Europa oder der European Banking Federation kopiert, wie eine Untersuchung der Plattform Lobbyplag.eu, die von Schrems und Datenjournalisten von OpenDataCity gestartet wurde, aufgezeigt hatte.

„Die ambitionierten Ziele, die zu Beginn des Prozesses ausgerufen wurden, werden damit leider nicht erreicht und teils sogar in ihr Gegenteil verkehrt. In Anbetracht der jahrelangen Versuche der Bundesregierung, die Reform zu verzögern und Schutzmechanismen für Verbraucherinnen und Verbraucher zu torpedieren, muss allerdings das bloße Zustandekommen der Novelle bereits als Erfolg gewertet werden.“, erklärt Alexander Sander, Hauptgeschäftsführer des Vereins Digitale Gesellschaft zum Beschluss.

Kritik an Formulierungen

Kritik äußert die Digitale Gesellschaft unter anderem daran, dass die Problematik der Profilbildung eines der zentralen Elemente der Datenschutzmodernisierung nicht gründlich genug bearbeitet worden sind. Des Weiteren wird die in der Verordnung angelegte Unterscheidung zwischen der „expliziten“ Zustimmung zur Verarbeitung sensibler Daten und der „Zustimmung“ für anderweitige Verarbeitungen voraussichtlich zu erheblichen Komplikationen bei der Anwendung der Verordnung führen.

In allen 28 EU-Ländern sollten künftig gleich hohe Datenschutzstandards gelten – bisher war dies sehr unterschiedlich geregelt. Datenschutz-Oasen soll es somit in Europa nicht mehr geben. Es wird aber weiterhin zahlreiche Ausnahmebestimmungen geben. Die Digitale Gesellschaft kritisiert etwa, dass die Anzahl der Ausnahmetatbestände in der jetzigen Verordnung ist größer als die der eigentlichen Artikel in der bisher gültigen Richtlinie. Es bleibt daher abzuwarten, was die EU-Datenschutzreform in der Praxis für Auswirkungen haben wird.

Was bringt die EU-Datenschutzreform für Bürger?

Bürger erhalten mehr Rechte. Sie müssen der Weiterverarbeitung ihrer Daten ausdrücklich zustimmen, können persönliche Daten zu anderen Diensten mitnehmen und die Löschung ihrer Daten verlangen.

Was bedeutet die Portabilität von Daten?

Postings, Fotos und Freundeslisten können künftig etwa von Facebook zu anderen Diensten mitgenommen und im Idealfall auf Knopfdruck übertragen werden. Details dazu wurden allerdings nicht festgeschrieben. Die Mitnahme von persönlichen Daten zu anderen Diensten soll den Wettbewerb ankurbeln. "Ob und wie das in der Praxis funktioniert, wird sich zeigen", sagt der Wiener Anwalt und Datenschutzexperte Rainer Knyrim.

Was ist das "Recht auf Vergessenwerden"?

Unternehmen müssen persönliche Daten auf Wunsch der Bürger löschen. Ein Urteil des Europäischen Gerichtshof (EuGH) verpflichtet etwa Google schon heute, personenbezogene Daten aus den Suchergebnissen zu entfernen. Nun wird dieses Recht ausdrücklich festgeschrieben.

Was müssen Online-Netzwerke wie Facebook ändern?

Sie müssen die neuen Regeln in ihren Geschäftsbedingungen berücksichtigen und zur Zustimmung vorlegen. "Wenn das richtig formuliert wird, sind in ein paar Tagen alle Nutzer auf die neuen Regeln umgestellt", sagt Knyrim. "Facebook hat es nicht schwer."

Was ändert sich für Unternehmen?

Die neuen EU-Datenschutzregeln gelten nicht nur für Facebook & Co., sondern für alle Unternehmen, die Kundendaten verarbeiten und sie etwa zu Werbezwecken verwenden wollen. Das Einholen der Zustimmung zur Datenverarbeitung werde vor allem für Firmen schwer, auf deren Websites sich Kunden nicht allzu oft einloggen. "Für Unternehmen gibt es viele neue Pflichten", sagt Knyrim. Viele Unternehmen hätten sich in der Vergangenheit kaum mit Datenschutz beschäftigt. Er rät vor allem kleinen und mittleren Unternehmen sich schon heute auf die neuen Datenschutzregeln vorzubereiten.

Mit welchen Strafen müssen Unternehmen rechnen, falls sie die Regeln nicht einhalten?

Ursprünglich waren bis zu fünf Prozent des Jahresumsatzes vorgesehen. Schließlich hat man sich auf vier Prozent geeinigt. Im Falle von Google wäre das immerhin eine Summe von mehr als 2,5 Milliarden Euro. Anwalt Knyrim geht davon aus, dass diese Strafen auch tatsächlich zur Anwendung kommen. "Sehr hohe Strafen werden üblich werden."

Ab wann dürfen Jugendliche Facebook & Co. nutzen?

Die Frage des Mindestalters war bis zuletzt umstritten. Schließlich hat man sich darauf geeinigt, jeweils die Mitgliedsstaaten entscheiden zu lassen. In einigen EU-Staaten wird die Nutzung von Facebook & Co. ab 13 Jahren ohne Zustimmung der Eltern möglich sein, in anderen ab 16 Jahren. "Das ist eine Absurdität", sagt Knyrim, "wenn sich 14-Jährige in einem Ferienlager kennenlernen, darf der eine Fotos auf Facebook oder WhatsApp hochladen, der andere nicht. Das Ziel einen einheitlichen Binnenmarkt zu schaffen, wurde zumindest bei Jugendlichen klar verfehlt."

Wie können Bürger ihre Rechte durchsetzen?

EU-Bürger können sich künftig an die Datenschutzbehörde ihres Heimatlandes wenden und ihre Beschwerde vorbringen. Die Behörde leitet die Beschwerde dann an die Datenschutzbehörde des Landes weiter, in dem das betroffene Unternehmen seinen Sitz in der EU hat. Nutzer können sich auch an ein Zivilgericht wenden. Das ist auch derzeit schon möglich, wird aber wegen dem hohen Kostenaufwand kaum genutzt. Wie das Verfahren konkret aussehen wird, ist noch unklar. Details wurden auch in den abschließenden Verhandlungen nicht geregelt. "Wie das funktionieren wird, bleibt spannend", sagt Knyrim.