FAQ zur EU-Datenschutzverordnung: Ein paar Fortschritte
Pseudonyme auf Facebook, dicke Bußgelder für Unternehmen: Was die Regelung des EU-Parlamentes bringt und was nicht.
Die Datenschutzrichtlinie betrifft alle, die im Internet unterwegs sind Foto: Joernemann / photocase.de
1 Warum braucht die EU überhaupt eine neue Datenschutzverordnung?
Weil die aktuellen EU-Regeln zum Schutz von persönlichen Daten vor gut 20 Jahren beschlossen wurden. Damals gab es weder Facebook noch Google noch Fitnessarmbänder oder eine brauchbare Gesichtserkennung. Genauso wenig wie Smartphones, deren meistverbreitetes Betriebssystem zufällig von demselben Konzern kommt, der auch ein weltweites Werbenetzwerk betreibt und Nutzerdaten unter anderem mit denen aus E-Mail-, Suchmaschinen- und Kartendiensten kombiniert. Die späteren Google-Gründer Larry Page und Sergey Brin lernten sich gerade erst in Stanford kennen, als die EU 1995 ihre seither geltende Datenschutzrichtlinie beschloss.
2 Wen betrifft das?
Jeden. Nur wer nicht das Internet nutzt, keinerlei Geschäftsbeziehungen zu Unternehmen unterhält, sich nicht auf die Straße oder in öffentliche Verkehrsmittel begibt (Videoüberwachung) und auch nirgendwo angestellt ist (Beschäftigtendatenschutz), wäre nicht betroffen.
3 Ist die Regelung nun zukunftsfähig?
Es gibt tatsächlich ein paar Fortschritte: Zum Beispiel schreibt die Verordnung das sogenannte Privacy per Default vor. Das heißt: Dienste müssen als Standardeinstellung die datenschutzfreundlichsten Optionen anbieten. Damit soll beispielsweise auch der Facebook-Nutzer, der sich nach der Anmeldung nicht erst mal durch seitenlange Menüs klickt, von den besten der angebotenen Privatsphäre-Einstellungen profitieren. Außerdem sollen sich Nutzer auch unter Pseudonymen anmelden können – für Facebook mit seiner Klarnamenpflicht könnte das zum Problem werden.
4 Müssen sich dann auch Google und Co an europäisches Recht halten?
Ja. Das mussten sie zwar auch vorher schon, da gab es aber keine Anreize dafür, das tatsächlich umzusetzen.
5 Wieso sollten sich die Unternehmen in Zukunft daran halten?
Weil ihnen sonst merkbare Bußgelder drohen. Bis zu 4 Prozent sieht die neue Verordnung vor – und zwar gemessen am weltweiten Jahresumsatz eines Unternehmens. Der Umsatz ist dabei ein wichtiger Punkt, denn so hilft das Kleinrechnen von Gewinnen nicht. Außerdem wichtig: Es ist eine Muss-Regelung. Stellt also eine Aufsichtsbehörde einen Verstoß fest, muss sie ein Bußgeld verhängen.
6 Wo ist die neue Regelung schlechter?
Die Autoren haben viele Formulierungen verwendet, bei denen nicht ganz klar wird, was damit gemeint ist. Zum Beispiel die „berechtigten Interessen“. Die braucht jemand, der persönliche Daten verarbeiten will. Eine Geschäftsbeziehung soll darunter fallen, aber was ist zum Beispiel mit einem Unternehmen wie WhatsApp, das das Adressbuch seiner Kunden ausliest? Und damit auch Namen und Nummern von Menschen erfasst, die nicht Kunde des Unternehmens sind? Solche Fragen müssen am Ende wohl Gerichte entscheiden.
7 Welche Haken gibt es noch?
Die Bürgerrechtsorganisation European Digital Rights kritisiert etwa, dass das Profiling unterschätzt wurde. Also das Zusammenführen von persönlichen Daten, die aus unterschiedlichen Quellen stammen. Gerade bei sensiblen Gesundheitsdaten kann das zum Problem werden. Auch eine Einwilligung, so die Kritik, nütze hier nicht viel. Schließlich können Nutzer immer nur in das einwilligen, was Unternehmen aktuell mit Daten vorhaben. Für Auswertungsmöglichkeiten, die es erst in einem Jahr gibt oder in drei, ist das nicht so gut möglich.
8 Gilt dann in jedem EU-Land das gleiche Recht?
Nicht immer. Denn die neuen Regeln sehen diverse Ausnahmen vor, in denen die Mitgliedstaaten selbst entscheiden können. Das ist zum Beispiel beim Arbeitnehmerdatenschutz der Fall, bei den unternehmenseigenen Datenschutzbeauftragten oder beim Mindestalter, das erforderlich ist, um sich bei Diensten wie Facebook anzumelden.
9 Warum jubeln jetzt trotzdem so viele über das Ergebnis?
Weil die Verhandlungen so schwierig waren. Sie haben vier Jahre gedauert und standen zwischendurch kurz vor dem Scheitern. Erst durch die Snowden-Enthüllungen kam wieder Bewegung rein.
10 Warum waren die Verhandlungen so schwierig?
Wegen des massiven Lobbydrucks. Wie groß der war, zeigt die Seite lobbyplag.eu. Deren Mitarbeiter haben mehr als 11.000 Seiten Dokumente zu der Verordnung ausgewertet und stellen dar, welche Abgeordneten welche Änderungsanträge von Lobbyisten, etwa von Amazon oder Ebay, übernommen haben – häufig in ganzen Absätzen. 4.000 Änderungsanträge gab es insgesamt – Rekord.
11 Welche Rolle hat die Bundesregierung dabei gespielt?
Innenminister Thomas de Maizière (CDU) steht im Ranking von Lobbyplag an der Spitze der Politiker, die sich gegen privatsphärefreundliche Regelungen starkgemacht haben. Neben elf Eingaben für den Datenschutz habe er 62 dagegen eingebracht.
12 Ist damit der Datenschutz für die nächsten Jahre festgeklopft?
Nein. Allein auf EU-Ebene wird es noch weitere Gesetzgebungsverfahren und Verträge geben, die die Privatsphäre der EuropäerInnen betreffen. Zum Beispiel die e-Privacy-Richtlinie, wo es um Privatsphäre und elektronische Kommunikation geht. Oder das EU-US-Privacy-Shield, das Unternehmen die Übermittlung von persönlichen Kundendaten in die USA erlauben soll. Oder Abkommen zur Weitergabe von Fluggastdaten. Es gibt also noch genügend Ansatzpunkte zur Verbesserung – oder Verschlechterung – des Schutzniveaus.
13 Wann tritt das alles in Kraft?
Ab Verabschiedung gibt es eine Übergangsfrist von zwei Jahren, damit die Unternehmen genug Zeit haben, sich umzustellen. Das betrifft zum Beispiel Systeme und Strukturen, nach denen persönliche Daten gesammelt und verarbeitet werden oder Nutzungsbedingungen, die die Firmen ändern müssen.
