Entwurf zum EU-Datenschutzgesetz: Ein bisschen geschützter
Ein Recht auf Vergessenwerden und eine Altersgrenze für soziale Netzwerke – das neue Gesetz soll endlich moderne Standards berücksichtigen.
An einen Konzern, der ein globales Onlinenetzwerk aufbaut und nationale Gesetzgebungen eher als unverbindliche Anregungen versteht, dachte damals noch keiner. An Gesichtserkennung, Fingerabdruck-Scanner, die Verfolgung von Internetnutzern über mehrere Geräte hinweg, an immer größere Nutzerprofile von immer mehr global agierenden Unternehmen ebenso wenig.
Weil es kam, wie es kommen musste, gibt es nun ein neues Werk. Am späten Dienstag haben sich die Verhandler von EU-Kommission, Rat und Europaparlament geeinigt, vier Jahre nach Beginn des Prozesses. Auf 209 Seiten in 91 Artikeln in dem – noch nicht offiziell veröffentlichten – Entwurf steht, wie der europäische Datenschutz künftig geregelt werden soll. (pdf des Entwurfs bei statewatch.org)
Darunter sind Passagen, die direkte Folgen vor allem für Unternehmen haben – etwa das Bestellen eines Datenschutzbeauftragten. Andere werden sich unmittelbar für die Verbraucher bemerkbar machen.
Rechte, Alter und Beweglichkeit
Eine deutliche Verbesserung gibt es bei der Durchsetzung von Verbraucherrechten. Bislang müssen sich Kunden an die Aufsichtsbehörde des EU-Landes wenden, in dem das Unternehmen seinen Sitz hat. Daher wandte sich der Österreicher Max Schrems an die irische Datenschutzaufsicht, als er sich über Facebook beschwerte. Künftig sollen sich Verbraucher in ihrer Sprache an eine heimische Behörde wenden können. Außerdem sollen auch Verbände klagen können.
Darüber hinaus werden Unternehmen dazu verpflichtet, standardmäßig die datenschutzfreundlichsten Einstellungen anzubieten, sodass Nutzer sich nicht erst durch komplizierte Dialoge klicken müssen, wenn sie Wert auf Privatsphäre legen. Bis zuletzt umstritten war der Jugendschutz: Wie alt müssen Kinder oder Jugendliche sein, um in die Nutzung ihrer persönlichen Daten einwilligen und damit etwa Profile auf Facebook oder YouTube erstellen zu können? Man einigte sich schließlich auf 16 Jahre – die Mitgliedsländer dürfen die Grenze aber selbst auf 13 Jahre heruntersetzen. Ein einheitliches Schutznievau gibt es also hier nicht. Der Effekt dürfte allerdings nicht groß sein: In der Praxis könnten höchstens Eltern gegenüber dem Anbieter eine Löschung der persönlichen Daten ihrer Kinder verlangen.
Zudem soll es einfacher werden, persönlichen Daten von einem Dienst zu einem anderen zu transferieren, Stichwort Portabilität. Das betrifft allerdings ausschließlich Bestandsdaten. Wer also etwa von WhatsApp zur datenschutzfreundlichen Alternative Threema wechseln will, der kann zwar etwa Name und Adresse einfach vom bisherigen Anbieter übermitteln lassen. Für verschickte und empfangene Nachrichten gilt das jedoch nicht. „Da hätte man weiter gehen können“, kritisiert daher Lina Ehrig vom Verbraucherzentrale Bundesverband.
Vergessen, sichere Staaten und Sanktionen
Einmal erhobene Daten sollen Verbraucher löschen lassen können, wenn sie nicht mehr für den einst abgegebenen Zweck gebraucht werden. Das gilt schon bisher, neu ist: Auch Links dazu in Suchmaschinen oder auf anderen Webseiten sollen Nutzer entfernen lassen können – wenn nicht das öffentliche Interesse überwiegt. In der Praxis entsteht so das Problem, dass Privatunternehmen darüber entscheiden, was im öffentlichen Interesse liegt. Derzeit ist das schon bei Suchmaschinen der Fall, die nach einem Urteil des Europäischen Gerichtshofs gegebenenfalls Links aus den Trefferlisten entfernen müssen.
Joe McNamee
Ein Punkt, der im Vorfeld von Verbraucherschützern kritisiert wurde, ist dringeblieben: Die EU-Kommission darf dritte Staaten als sicher definieren – Unternehmen dürfen persönliche Nutzerdaten dann ohne Weiteres dorthin übertragen. Dass die Einschätzung der EU-Kommission da nicht unumstritten ist, zeigt ein Urteil des Europäischen Gerichtshofs vom Oktober: Er hatte ein Abkommen mit den USA verworfen, das die Datenübermittlung dorthin erlaubte.
Verstoßen Unternehmen gegen Vorschriften, kann die Aufsichtsbehörde Bußgelder verhängen. Maximal 4 Prozent des Jahresumsatzes sind dabei vorgesehen. Das EU-Parlament hatte noch5 Prozent gefordert. „Ein fairer Deal“, findet Jan Philipp Albrecht, Grüner Europaabgeordneter und Berichterstatter für die Datenschutzgrundverordnung, dennoch. Schließlich komme man so etwa bei Google auf eine ein- bis zweistellige Milliardensumme.
Während Vertreter der EU-Kommission die neuen Regelungen bejubeln, sind Verbraucherschützer und Bürgerrechtler vorsichtiger. „Es ist ein Fortschritt, dass es ein einheitliches Schutzniveau geben wird“, sagt Verbraucherschützerin Ehrig. Und zwar ein Niveau, an das sich auch Unternehmen halten müssen, die nicht aus der EU kommen, aber ihre Dienste hierzulande anbieten.
Durchwachsene Bilanz, verhaltene Freude
„Angesichts der wahrscheinlich größten Lobbyschlacht, die es weltweit je gegeben hat, sind in der Vereinbarung zumindest die Grundlagen des Datenschutzes geblieben“, sagt Joe McNamee, Direktor der Bürgerrechtsorganisation European Digital Rights. Damit spielt er etwa auf den Entwurf der Innen- und Justizminister an, der im Frühjahr bekannt geworden war. Darin forderten die Minister die Abkehr von grundlegenden Datenschutzprinzipien.
Rundrum zufrieden ist auch Parlamentarier Albrecht nicht. „Es werden heute schon viele Daten ohne Einverständnis der Verbraucher verarbeitet, und da wird auch in Zukunft noch einiges erlaubt sein“, kritisiert er. Zum Beispiel in Sachen Werbung: So könnten etwa Unternehmen Adressen bei Händlern kaufen und den Verbrauchern Werbung per Post oder E-Mail schicken – legal.
„Die neuen Regelungen sind gut für Verbraucher und gut für die Wirtschaft“, sagt EU-Kommissarin Věra Jourová. In der Mitteilung zu der Einigung nennt die Kommission konkrete Beispiele vor allem dafür, dass sich Firmen keine Sorgen machen müssen. Etwa, weil kleine und mittlere Unternehmen keinen Datenschutzbeauftragten ernennen müssen, wenn der Umgang mit persönlichen Daten nicht ihr Kerngeschäft ist. Oder weil sie Geld sparen dadurch, dass sie sich nur noch mit einer Datenschutzaufsichtsbehörde auseinandersetzen müssen. Denn die Behörden der Mitgliedsstaaten sollen sich künftig auf ihre Positionen einigen. So könnten etwa per Mehrheitsmeinung die irischen Datenschützer gezwungen werden, doch härter gegen Facebook vorzugehen. Aber umgekehrt würde auch eine einzelne strenge Behörde ausgebremst. Für die Unternehmen soll diese Vereinheitlichung Geld sparen: 2,3 Milliarden Euro jährlich, so hofft die EU-Kommission.
Anfang 2016 sollen Parlament und Rat die Neuerungen beschließen, zwei Jahre später tritt die Verordnung dann in Kraft.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Anschlag in Magdeburg
„Eine Schockstarre, die bis jetzt anhält“
Nach dem Anschlag in Magdeburg
Rechtsextreme instrumentalisieren Gedenken
Bundestagswahl 2025
Parteien sichern sich fairen Wahlkampf zu
Erderwärmung und Donald Trump
Kipppunkt für unseren Klimaschutz
Bundestagswahl am 23. Februar
An der Wählerschaft vorbei
Exklusiv: RAF-Verdächtiger Garweg
Meldung aus dem Untergrund