EDPS_new_logo-EDPS2011- CC BY-SA 4.0-google images      Die EU Datenschutzrichtlinie wird ersetzt durch die Datenschutzgrundverordnung. Nun  stellen sich die Fragen: Was bleibt? Was ist neu? Wird die Verabschiedung der Datenschutzgrundverordnung wirklich „ein guter Tag für Europa und ein guter Tag für den Datenschutz“ sein, wie es die Datenschutzbeauftragte des Bundes Andrea Voßhoff verspricht?

Darüber diskutierten im Ausschuss für digitale Agenda des Bundestages unter anderem die Datenschutzbeauftragten Andrea Voßhoff und Dagmar Hartge, Jan Oetjen, Vorstandsmitglied des Internet-Dienstleisters United Internet AG und die österreichische Expertin für Datenschutz Waltraut Kotschy.

Als die EU 1995 die EG- Datenschutzrichtlinie 95 beschloss, war das Internet vielleicht nicht mehr „Neuland“ aber wohin die Entwicklungen der Digitalisierung führen würden, war noch nicht absehbar. Nach fünf Jahren Verhandlungen und Trilogen hat die EU- Kommission nun einen Vorschlag  für eine EU-weite Datenschutzgrundverordnung mit dem Ziel eines einheitlichen Datenschutzes ausgearbeitet. Die intensiv diskutierte Verordnung wird Mitte des Jahres im Amtsblatt der Europäischen Union verkündet werden und 2018 in Kraft treten. Viele Teile der bisherigen Datenschutzrichtlinie werden nur weiterentwickelt, doch es gibt auch neue Passagen.

Neuheiten:

Der wesentliche Unterschied zur EU-Datenrichtlinie und ihrer Ergänzung von 2008 besteht darin, dass es sich um eine Verordnung handelt. Im Gegensatz zu einer Richtlinie, die nur allgemeine Ziele vorgibt und die Umsetzung den Mitgliedstaaten überlässt, regelt eine Verordnung auch Details der Umsetzung.

Eine entscheidende Neuerung ist die Einführung des Marktortprinzips. Wer seine Dienste in der Europäischen Union anbietet, unterliegt fortan den Richtlinien der europäischen Datenschutzgrundverordnung, unabhängig davon, wo der Unternehmenshauptsitz sich befindet. Bei Nichteinhaltung der Datenschutzgrundverordnung drohen den Unternehmen künftig auch empfindliche Strafen. Das Bußgeld kann bis zu 4% des Jahresumsatzes weltweit betragen.

Außerdem soll das One-Stop-Shop-Prinzip gelten: Jeder Bürger und jedes Unternehmen soll sich nur noch an die Datenschutzbehörde seines Landes wenden müssen. Dies bedeutet eine gleichzeitig zentrale und dezentrale Struktur: Jeder Mitgliedsstaat wird eine eigene Aufsichtsbehörde haben und kann weitere auf föderaler Ebene (wie in Deutschland mit den Landesdatenschutzbeauftragten) einführen. Bei übergeordneten Fragen treffen diese dezentralen Behörden dann eine gemeinsame Entscheidung auf EU-Ebene: dem European Data Protection Board. Dieser Rat wird für die gesamte europäische Union verbindliche Entscheidungen treffen.

Wer Deutschland in diesem Gremium vertreten darf, darüber wird schon heute diskutiert. Aufgrund der föderalen Struktur Deutschlands erheben sowohl die Datenschutzbeauftragte des Bundes Andrea Voßhoff, als auch die Datenschutzbeauftragten der Länder Anspruch auf die Vergabe des Platzes.

Erstmals werden Kinder in der Datenschutzgrundverordnung genannt, ihr Schutz wird besonders betont. Unternehmen sollen verpflichtet werden, Informationen und Hinweise in kindgerechter Sprache bereitzustellen, die Zustimmung des Trägers der elterlichen Verantwortung wird  dabei zwingend notwendig sein. Wer noch Kind ist, bleibt aber den Mitgliedstaaten selbst überlassen. Die Altersobergrenze von 16 Jahren, die die EU in der Datenschutzgrundverordnung vorschlägt, kann bis auf 13 Jahre heruntergesetzt werden.

Alles neu?

Nein. Große Teile der schon bestehenden Datenschutzrichtlinie werden nur modernisiert oder ergänzt. Unter anderem das Prinzip der Einwilligung zur Verwendung der Daten. Die Einwilligung muss in Zukunft unzweifelhaft erfolgen, das würde zum Beispiel bedeuten, dass ähnlich wie bei der Zustimmung zu den Allgemeinen Geschäftsbedingungen ein Häkchen gesetzt werden muss. Auch die Information zu welchem Zweck und wie die Daten verarbeitet werden, soll zukünftig ähnlich wie bei den AGB ablaufen: erkennbar, klar, verständlich und ohne unangemessene Klauseln soll die Einwilligungserklärung sein. Das Problem, das Jan Oetjen, Vorstandsmitglied Consumer Applications, United Internet AG, hier beschreibt, sehen wahrscheinlich viele: Ein „Zuviel“ an Transparenz, führt schnell dazu, dass angeklickt wird ohne zu lesen. Wer zu sechs verschiedenen Verwendungszwecken zustimmen muss und jeweils mehrseitige Dokumente lesen soll, wird spätestens ab dem dritten Kreuz einfach nur zustimmen.

Die EU schreibt auch fest, dass es keine „Globalzustimmung“ für weitere Verarbeitungen der Daten geben darf. Für jede neue Verarbeitung, die nicht in direktem Zusammenhang mit dem ursprünglichen Grund steht, muss eine neue Einwilligung erfragt werden.

Modernisiert wurde auch das “Betroffenenrecht”: Die Verarbeiter haben nun eine „Informations- und Transparenzpflicht“ gegenüber dem Betroffenen. Es muss klar erkennbar sein wer, wo, zu welchem Zweck, wann, welche Daten verarbeitet. Zudem wurde das sogenannte „Recht auf Vergessenwerden“ in der Datenschutzgrundverordnung noch einmal aufgegriffen. Personenbezogene Daten sollen nicht dauerhaft zur Verfügung stehen und auf Verlangen des Betroffenen gelöscht werden.

Zukünftig kann ein Nutzer auch der Verarbeitung seiner Daten für Werbung, Statistiken und zu Zwecken der historischen und wissenschaftlichen Forschung widersprechen. Während in Deutschland die Möglichkeit zur Abmeldung von Werbe-Newslettern schon rechtlich verbindlich ist, stellt das eine Neuerung in manchen EU-Staaten dar.
Um künftig den Wechsel von einem Anbieter zu einem anderen zu erleichtern, soll die Datenportabilität vereinfacht werden, d.h., wer von einem E-Mailanbieter zu einem anderen wechseln möchte, soll zukünftig zum Beispiel einfacher sein Adressbuch übertragen können.

Künftig wird es auch eine neue Art der Selbstregulierung geben: Statt Vorgaben durch die Politik sollen die Unternehmen einen Code of Conduct, also Verhaltensregeln für sich selbst entwickeln und eine Art Zertifizierung für die Datenverarbeitungsvorgänge erarbeiten. Genau diesen Code of Conduct kritisierte allerdings die österreichische Datenschutzexpertin Waltraut Kotschy im öffentlichen Fachgespräch des Ausschusses für die Digitale Agenda im Bundestag. In Österreich hätte man die Erfahrung gemacht, dass  Code of Conducts von der Wirtschaft eher als „Fremdkörper“ empfunden würden und kein Enthusiasmus der Unternehmen zu erwarten wäre, solche Verhaltensregeln zu entwickeln.

Des Weiteren wird der Artikel zur Übermittlung von Daten an Drittstaaten geändert. Besonders Artikel 43a stellt eine Neuerung dar. Dieser legt fest, dass personenbezogene Daten künftig nur dann an Drittstaaten weitergegeben werden dürfen, wenn dies im Zuge einer internationalen Übereinkunft, wie etwa einem Rechtshilfeabkommen zwischen dem Drittstaat und einem Staat der Europäischen Union geschieht. Von eben jener Klausel fordert Großbritannien nun für sich eine Ausnahme. Demnach sein die Folgen eines solchen Bail Opt-Outs [korr., 07.03.2016]  laut der Experten nicht abschätzbar.

Woran die EU nicht rührt

Die Datenschutz-Grundverordnung bezieht sich auf die Verarbeitung von personenbezogenen Daten durch Unternehmen und öffentliche Stellen, nicht aber auf die Verarbeitung durch Ermittlungsbehörden. Für die Polizei und Strafverfolgung gilt weiterhin der Rahmenbeschluss von 2008, der jedoch novelliert werden soll. Auch die ePrivacy Richtlinie, die telekommunikationsspezifische Regelungen zum Datenschutz zwischen Privatpersonen betrifft, wird vorerst bleiben, soll aber ebenfalls erneuert werden.
Ebenso bleiben die Prinzipien Rechtmäßigkeit, Transparenz, Fairness, Zweckbindung, Datensparsamkeit, Richtigkeit und Begrenzung der Speicherdauer bestehen. Sie wären in Brüssel „zu keiner Zeit umstritten“ gewesen, wie Peter Schantz beteuert, der die Verhandlungen für das Bundesministerium des Inneren begleitet hat. Ergänzt werden diese Prinzipien zukünftig durch die Punkte Integrität, Vertraulichkeit und Verantwortlichkeit.

Glänzende Datenschutzzukunft?

Das steht noch nicht fest. Vor allem die vielen Öffnungsklauseln, die den Mitgliedstaaten eigene Regelungen erlauben, werden kritisch gesehen. Was einerseits eine Möglichkeit für Deutschland ist, seine hohen Standards im Datenschutz beizubehalten, steht möglicherweise einer Umsetzung des ursprünglichen Zieles im Wege: ein einheitliches europäisches Datenschutzrecht.

Wichtige andere Punkte, wie die Pseudonymisierung von Daten, werden in der Datenschutzgrundverordnung nur punktuell aufgegriffen, auch Waltraut Kotschy bemängelt dies. Pseudonymisierungsverfahren seien nicht einfach und für Anbieter teuer und aufwendig. Ohne klare Anreize sei eine Ausbreitung der Verfahren eher unwahrscheinlich.

Ähnlich sieht es mit Profiling aus. Bei Profiling werden verschiedenste Informationen zusammengetragen um daraus ein detailliertes Profil zu Nutzerpräferenzen, aber auch finanziellen Verhältnissen oder ähnlichem zu erstellen. Außer einer eher symbolischen Erwähnung im Text findet sich wenig zu Profiling. Auf eine Definition wird gänzlich verzichtet und es wird letztlich wohl bei der Fortführung der Einzelfallentscheidung, wann Profiling angemessen ist und wann nicht, bleiben. Gleichzeitig hat Deutschland, wie auch beim Arbeitnehmerschutz und vielen anderen Themen, die Möglichkeit eigene nationale Gesetze zu erlassen bzw. zu bestätigen.

Wohin die Reise der Datenschutzgrundverordnung also noch führen wird, bleibt offen. Der Grundton der Aussagen scheint bisher verhalten positiv, abzuwarten ist, wie die Öffnungsklauseln von den einzelnen Staaten genutzt werden. Das Ziel eines einheitlichen europäischen Datenschutzes wird wohl nur bedingt erreichbar sein. Die schier unendliche Zahl der unbestimmten Rechtsbegriffe, die von den Mitgliedstaaten zu definieren sind, erschweren dieses Ziel noch weiter. Vieles, wie das erwähnte Profiling, muss individuell von den Mitgliedstaaten in Balance gebracht werden. Und angesichts des schnellen technologischen Wandels, den die Datenschutzgrundverordnung reglementieren soll, bleiben die Worte der Landesbeauftragten für Datenschutz in Brandenburg Dagmar Hartge präsent: „Was heute eine schöne Lösung ist, kann morgen schon keine mehr sein“.

Bild: EDPS 2011 unter Lizenz: CC BY-SA 4.0

 CC-Lizenz-630x110

Privacy Preference Center