© Fotolia_Montage Steinschaden

EU

Recht auf Vergessen im Netz ist "Mogelpackung"

Ende Jänner 2012 hat die EU unter Federführung von EU-Kommissarin Viviane Reding den Datenkraken dieser Welt den Kampf angesagt (

). Eine Aufwertung der nationalen Datenschutzbehörden, das Recht auf Datenportabilität, höhere Bußgelder für sündige Firmen und - last but not least - das “Recht auf Vergessen”. Aus Sicht vieler Bürger ist es auch höchste Zeit, dass ihnen eine Art digitaler Radiergummi im Netz zur Verfügung steht.

Vor allem beim Reizthema Facebook gehen oft die Wogen hoch, weil für viele immer noch nicht transparent genug ist, welche Daten (vom Foto bis zum Like auf einer externen Webseite) wie lange nach dem Löschbefehl des Nutzer trotzdem noch auf den Servern des Online-Netzwerks bzw. seiner Partner (z.B.

) verbleiben und was dort mit ihnen gemacht wird. Der deutsche Landesdatenschützer Thilo Weichert in Schleswig-Holstein bezeichnete das Geschäftsmodell von Facebook nach geltendem europäischen Recht sogar als “
”.

Außerdem hat die EU Grenzen für das Löschen mit in die Verordnung aufgenommen. Das "Recht auf Vergessen" ist kein absolutes Recht, das über andere Rechte wie etwa der Meinungs- oder Pressefreiheit steht”, so Andreeva. “Ebenso kann es dort kein "Recht auf Vergessen" geben, wo das öffentliche Interesse oder historische oder statistische Zwecke eine weitere Speicherung der Daten erforderlich machen.”

Für Österreich keine Neuerung
“Das "Recht auf Vergessenwerden" besteht im Wesentlichen darin, dass Unternehmen personenbezogene Daten löschen müssen, wenn die Rechtmäßigkeit der Verarbeitung dieser Daten auf der Zustimmung des Betroffenen beruhte und diese Zustimmung widerrufen wird. Entscheidend ist daher, dass die Zustimmung eines Betroffenen nach der neuen Datenschutz-Grundverordnung jederzeit widerrufen werden kann”,  sagt Lukas Feiler, IT-Rechtsexperte bei der Kanzlei Wolf Theiss in Wien. Dies sei in Österreich jedoch nach geltendem Recht bereits der Fall (§ 8 Abs 1 Z 2 und § 9 Z 6 DSG), insofern bringe die Datenschutz-Grundverordnung hier nichts grundlegend Neues.

Die praktische Durchsetzung des "Rechts auf Vergessenwerden" dürfte sich schließlich schwierig darstellen. “Voraussetzung ist, dass der Betroffene überhaupt weiß, wer aller seine personenbezogenen Daten verarbeitet. Genau dies ist für Betroffene oft aber gerade nicht feststellbar”, sagt Feiler. “Dies gilt insbesondere für jene Fälle, in denen das Unternehmen, dem der Betroffene seine Zustimmung zur Datenverarbeitung erteilt hat, die Daten (mit Zustimmung des Betroffenen) veröffentlicht. In dieser Konstellation wird der Betroffene nicht ermitteln können, welche Unternehmen auf die veröffentlichten Daten zugegriffen haben.” Denn seien Daten einmal öffentlich im Web zugänglich (z.B. via Google, Twitter, Facebook, usw.), könne weder der Anbieter des Web-Dienstes noch der Nutzer selbst nachvollziehen, wer diese Daten kopiert und weiterverarbeitet hat.

“Zusammenfassend ist das "Recht auf Vergessenwerden" eine Mogelpackung”, schließt Feiler. “Wer seine personenbezogenen Daten im Internet veröffentlicht, sollte daher nach folgendem Grundsatz handeln: Das Internet vergisst nicht.”

Verordnung muss Lobbying überstehen
Dass gerade das Recht auf Vergessen - nur ein Teil des neuen EU-Datenschutzpakets - so viel Aufmerksamkeit bekommt, dürfte auch andere Gründe haben. “Der Begriff Datenschutz ist nicht sehr griffig und man will neue Gesetze natürlich auch politisch an den Mann bringen. Deswegen nimmt man halt eine "punchline" raus, weil der Rest schwer zu transportieren ist”, sagt Schrems. “Mogelpackung würde ich es derzeit nicht nennen, aber schau ma mal, was nach ein, zwei Jahren Lobbying noch übrigbleibt.”

Dieses Misstrauen schlägt sich auch in Umfragen nieder. “82 Prozent der Österreicher sind besorgt, was mit ihren Daten online passiert, und 70 Prozent der Österreicher wünschen sich, gespeicherte Daten jederzeit selbstbestimmt löschen zu können”, sagt Mina Andreeva, Sprecherin von Kommissarin Reding, zur futurezone.

Vage Lösch-Praxis und klare Grenzen
Wie aber löscht man als Betroffener in der Praxis seine Daten? “Nutzer können beispielsweise Informationen aus dem Index nehmen, sodass sie von Suchmaschinen im Internet nicht gefunden werden können”, so Andreeva. Eine zweite, einfache Möglichkeit nennt sich “Rekonfiguration einer Webseite”, bei der etwa der eigene Name von der Webseite des alten Fußballvereines gestrichen wird und die Webseite auf Google ohne diese Information gelistet wird.

Zwar gibt es bereits Überlegungen zu einer Art Verfallsdatum für persönliche Daten (z.B. “Lösche meine Partyfotos, wenn ich 18 werde”), doch die EU will die genaue Umsetzung solcher und anderer Löschtechnologien der Internet-Wirtschaft überlassen. “Das wird zu einem Wettbewerb um die besten Datenschutzlösungen führen, davon bin ich überzeugt”, meint Andreeva. “Genau deshalb ist die neue Richtlinie zum Datenschutz auch technologieneutral – um künftigen technischen Neuerungen nicht den Weg zu versperren.” Wenn etwas nicht gelöscht wird, liegt die Beweislast übrigens beim Datenverabreiter - er muss nachweisen, warum die Daten weiter gespeichert bleiben müssen.

Höhere Strafen
Schrems kann der Verordnung auch Positives abgewinnen. “Es gibt deutlich mehr Möglichkeiten zur Durchsetzung, vor allem hohe Strafen, die es bisher nicht gab. Das ist extrem wichtig”, sagt Max Schrems, der sich im Rahmen der bekannten Studenteninitiative europe-v-facebook intensiv mit EU-Datenschutz auseinandersetzt. Der neue EU-Datenschutz sieht vor, dass Bußgelder bis zu einer Million Euro oder zwei Prozent des weltweiten Umsatzes der betroffenen Firma verhängt werden können.

Das dürfte aber nicht reichen: “Was noch fehlt, sind Mittel und Wege, um Behörden Beine zu machen, die entsprechende Maßnahmen nicht umsetzen wollen - wie etwa in Irland. Derzeit hängt alles vom guten Willen der Behörden ab.” Wie Schrems bereits vor einigen Wochen sagte, sei

möglich. Er habe am eigenen Leib erfahren, was es in der Praxis bedeute, als einfacher Bürger gegen einen großen Konzern zu prozessieren.

EU-Parlament und die 27 Mitgliedsstaaten müssen der Verordnung noch zustimmen. Die Irische EU Ratspräsidentschaft hat sich die Zielmarke gesetzt, eine politische Einigung im Sommer 2013 zu erzielen.

Mehr zum Thema

  • Datenschützer kritisiert AGBs von CouchSurfing
  • Staatstrojaner: Kein Zugriff für Datenschützer
  • FreedomBox soll Privatsphäre schützen
  • "Keine Autobahnspur für Privilegierte im Netz"

Hat dir der Artikel gefallen? Jetzt teilen!

Jakob Steinschaden

mehr lesen
Jakob Steinschaden

Kommentare