5297740

„Mir muss jetzt mehr darüber mitgeteilt werden, was mit meinen Daten passiert“

Datenschutz Die EU will die Daten der BürgerInnen per Verordnung besser schützen. Der Grünen-Europa-Abgeordnete Jan Philipp Albrecht hat an dem Papier mitgearbeitet

Jan Philipp Albrecht

Foto: Bodo Marks/dpa

43, sitzt seit 2009 für die Grünen im Europäischen Parlament und ist dort stellvertretender Vorsitzender des Innen- und Justizausschusses. Er kämpfte unter anderem gegen die Vorratsdatenspeicherung.

INTERVIEW Jördis Früchtenicht

taz: Die neue Datenschutzgrundverordnung der EU wird eine Richtlinie von 1995 ersetzen. Was wird sich denn nun ändern?

Jan Philipp Albrecht: Die wichtigste Veränderung durch die Verordnung ist, dass wir in Zukunft in der Europäischen Union in allen 28 Ländern das gleiche Gesetz zum Datenschutz haben. Anders als Richtlinien muss eine Verordnung nicht mehr in nationales Recht umgewandelt werden, sondern gilt direkt. Jeder der 500 Millionen EU-Bürger und auch alle anderen Verbraucher auf dem europäischen Markt werden sich auf diese Rechte direkt berufen können. Die neue Verordnung wird einen einheitlichen Datenschutz schaffen und zwar auf dem Niveau des bisher geltenden deutschen Datenschutzes.

Ist der deutsche Datenschutz denn der höchste, den es bisher in der EU gibt oder gibt es Länder, die durch die neue Verordnung einen Rückschritt machen?

Der deutsche Datenschutz ist ohne Zweifel hoch, aber er ist nicht in jeder Hinsicht der höchste. Es gibt in Deutschland viele Ausnahmen und Unklarheiten. Das wird mit der Datenschutzverordnung ausgebessert. Es gibt andere Länder, wie etwa Spanien, in denen schon heute höhere Strafen möglich sind als in Deutschland. Wir haben versucht, uns aus den guten Elementen der nationalen Gesetze zu bedienen und ein hohes Datenschutzniveau auf europäischer Ebene zu schaffen, aber natürlich bedeutet aus 28 Gesetzen eines zu machen immer, dass es kein Land geben wird, in dem alles so bleibt, wie es war, das ist einfach so.

Was sind denn die wichtigsten Punkte in der neuen Verordnung?

Das Wichtigste ist die bessere Durchsetzung des Datenschutzes. Wir haben jetzt nicht nur ein einheitliches Gesetz, sondern auch einen Mechanismus, in dem alle Datenschutzbeauftragten in Europa gemeinsam gegen Datenschutzverletzungen vorgehen können und müssen. Keine Datenschutzbehörde kann sich verstecken, weil die Behörden sich gegenseitig überstimmen können. Außerdem können sie hohe Sanktionen gegen Unternehmen verhängen.

Was wird für die BürgerInnen anders?

Die wichtigste inhaltliche Veränderung für den Verbraucher ist, dass es deutlich mehr Informations- und Transparenzrechte als bisher gibt. Insbesondere, wenn es um das sogenannte Profiling geht, also die Verarbeitung von Personenprofilen. Da muss mir als Verbraucher jetzt mehr darüber mitgeteilt werden, was genau mit meinen Daten passiert. Auch insgesamt müssen mir mehr Informationen mitgeteilt werden. In Zukunft sollen die Informationen zur Datenverarbeitung zudem durch einfache, standardisierte Symbole mitgeteilt werden können, sodass Verbraucher nicht mehr auf lange Textteile in Datenschutzerklärungen angewiesen sind. Das sind wichtige Fortschritte bei den individuellen Rechten. Außerdem gibt es Verbesserungen bei den Rechten auf Datenportabilität. Ich muss in der Lage sein, meine personenbezogenen Daten direkt von einem Anbieter zum nächsten mitzunehmen, damit ich beispielsweise auch zu einem datenschutzfreundlicheren Dienst wechseln kann. Und es gibt zudem neue Prinzipien für die Datenverarbeiter, wie Datenschutz durch Technik und Grundeinstellung. Wenn ein neues Produkt oder eine neue Technik entwickelt wird, muss darauf geachtet werden, dass der Datenschutz von Anfang an mitgedacht wird.

Worauf müssen sich die Unternehmen einstellen?

Es ist zum Beispiel so, dass es das Konzept des betrieblichen Datenschutzbeauftragten bisher nur in Deutschland verpflichtend gibt. Das wird für die ganze europäische Union übernommen. Betriebe, die besonders viele Daten, vor allem sensible Daten, verarbeiten, müssen dann betriebliche Datenschutzbeauftragte einstellen. Andere neue Verpflichtungen für die Datenverarbeiter sind, dass Datenschutzfolgeeinschätzungen gemacht werden müssen und dass auch die Meldepflichten für Datenschutzverletzungen stringenter sind. Ein Unternehmen muss in Zukunft eigentlich jede Datenschutzverletzung oder auch jeden Verlust sofort an die Datenschutzbeauftragten melden.

Seit Januar 2012 wird an der neuen Verordnung gearbeitet. Wann tritt sie denn in Kraft?

Die Verordnung wurde vom Ministerrat auf Ministerebene angenommen und am 14. April final durch das Europäische Parlament bestätigt. In ein paar Wochen wird die Verordnung im Gesetzblatt der Europäischen Union veröffentlicht. 20 Tage später tritt sie in Kraft. Wir haben aber als Gesetzgeber eine Übergangsfrist von zwei Jahren angeordnet, bis die Datenschutz-Verordnung der EU auch überall angewendet werden muss. Bis zum Frühjahr 2018 können sich also nun alle auf diese neuen direkt anwendbaren EU-Regeln einstellen und wenn notwendig Anpassungen vornehmen.

Was passiert denn, wenn die Nutzer von etwa Google oder Facebook der Datennutzung durch das Unternehmen nicht mehr zustimmen?

Es obliegt den Unternehmen zu sagen, ob sie das Angebot ihres Dienstes machen, wenn Verbraucher ihre Daten nicht freigeben. Und es obliegt den Verbrauchern selbst, zu sagen, ob sie die Dienste dann nutzen oder nicht. Es gibt auch in diesem Bereich eine Neuerung. Nutzer können nicht gezwungen werden, ihre Daten freizugeben, wenn die nichts mit dem Dienst zu tun haben. Vielleicht werden Verbraucher dann vor die Wahl gestellt: Entweder Daten oder eine Nutzungsgebühr. Damit wird auch ein bisschen sichtbarer, dass Daten wertvoll sind und der Verbraucher kann ein Stück weit selbst entscheiden, ob er sie hergeben will oder nicht.