Viviane_Reding_© European Union, 2012Heute hat die EU-Kommission eine neue Verordnung zum Datenschutz vorgestellt. Diese sieht nicht nur die europaweite Vereinheitlichung gesetzlicher Regelungen vor, sondern auch ein verschärftes Vorgehen gegen Verletzungen der Privatsphäre.

Transparenz und der Schutz sogenannter personenbezogener Daten stehen im Fokus der neuen EU-Verordnung. Bislang waren Mindeststandards für den Datenschutz  durch eine europäische Richtlinie festgelegt, der aktuelle Entwurf soll heute nun in Form einer Verordnung in Kraft treten und die  längst überholte Datenschutzrichtlinie von 1995 ersetzen. Konkret bedeutet das, dass die Inhalte europaweite Gültigkeit erhalten und unverzüglich wirksam werden, nachdem sie zuvor von den Mitgliedstaaten in nationales Recht überführt worden sind. Zwei Jahre nach der Verabschiedung des Gesetzes soll die Umsetzungsphase beginnen. In Deutschland würde die vorgesehene Verordnung das bisherige Datenschutzrecht ersetzen und auch für die Datenverarbeitung durch staatliche Stellen, zum Beispiel Polizei- und Strafverfolgungsbehörden, gelten. Die zuständige EU-Justizkommissarin Viviane Reding, die die Verordnung heute in Brüssel vorgestellt hat, sieht den Datenschutz als „ein grenzübergreifendes Thema von zentraler Bedeutung“ für Verbraucher und Unternehmen. Diese Ansicht teilt Bundesverbraucherministerin Ilse Aigner, die sich auf eine Eurobarometer-Studie beruft. Laut dieser Umfrage würden 90 Prozent der europäischen Bevölkerung europaweit geltende Datenschutzrechte begrüßen.

Datenschutz auf der Höhe der Zeit

Besonders wichtig sei es nun, das europäische Datenschutzrecht dem aktuellen Stand der Technik, insbesondere dem des Internet, anzupassen. Auch in Brüssel hat man also inzwischen erkannt, dass die  gesetzlichen Regelungen von 1995 „einfach nicht mehr auf der Höhe der Zeit” seien, wie Reding auf der DLD Conference am Wochenende in München einräumte. Auch sehe man vor, pro Unternehmen nur noch einen EU-Staat für die Kontrolle des Datenschutzes verantwortlich zu machen. Die Richtlinie von 1995 besagt bislang, dass EU-Bestimmungen zum Datenschutz nur dann angewandt  werden, wenn ein Unternehmen einen Sitz in Europa habe, wie beispielsweise Facebook in Irland. Mit dem überarbeiteten Entwurf müssen sich Unternehmen nun ausnahmslos an die europaweit geltenden Datenschutzgesetze halten, sobald sie sich an EU-Bürger richten, unabhängig von deren Standort. Dieses Prinzip wird als „Targeting“ bezeichnet. Des Weiteren sieht die neue Verordnung ein „Recht auf Datenportabilität“ vor. Betroffene können damit jederzeit eine Kopie ihrer persönlichen Daten, die von Unternehmen gespeichert wurden, anfordern. Dabei muss die Datenkopie ein gängiges, elektronisches Format besitzen. Auch hat der User in Zukunft das Recht, selbst auf alle von ihm gespeicherten Daten zuzugreifen, beispielsweise um diese aus einem Unternehmen abzuziehen und einem anderen zu übergeben

Recht auf Vergessen

Für Diskussionen sorgte im Vorfeld vor allem das „Recht auf Vergessen“. Dieses gibt den Usern die Möglichkeit, ihre Erlaubnis zur Speicherung und Verarbeitung persönlicher Daten jederzeit zurückzuziehen, wobei dieses Prinzip nicht auf das Internet beschränkt ist. Eine Ausnahme bildet dabei beispielsweise der Umgang mit Zeitungsarchiven. Damit wird die Pressefreiheit dem neuen Recht ausdrücklich übergeordnet, denn, so Reding, das Recht, vergessen zu werden dürfe „keinen Vorrang gegenüber Meinungs- und Informationsfreiheit bekommen“. Weiterer Schwerpunkt der neuen Richtlinie ist der transparentere Umgang mit gespeicherten User-Daten. Für den Fall eines unberechtigten Zugriffs auf die gespeicherten Daten, beispielsweise durch einen Hackerangriff, müssen künftig innerhalb von 24 Stunden die zuständige Aufsichtsbehörde und in schweren Fällen auch die Betroffenen selbst informiert werden. Bei Verstößen drohen dem Unternehmen Bußgeldverfahren von bis zu fünf Prozent des Jahresumsatzes. Weiterhin will man insbesondere soziale Netzwerke wie Facebook durch das „Privacy by Default”-Prinzip verpflichten, ihre Grundeinstellungen datenschutzgerecht zu halten. Was der einzelne User anschließend an Veränderungen vornimmt, ist seine persönliche Entscheidung und wird nicht mehr durch das geltende Datenschutzgesetz gedeckt werden.

Stärkung des Datenschutzes

Bei der Vorstellung der überarbeiteten Datenschutzrichtlinie in der vergangenen Woche bewertete der Bundesbeauftragte für Datenschutz und Informationsfreiheit Peter Schaar diese überwiegend positiv, besonders erfreulich seien die Stärkung der Grundprinzipien des Datenschutzes und der Betroffenenrechte sowie die Verbesserung der Ausführbarkeit und Regelungen zur Profilbildung. Durch die europaweite Harmonisierung des Datenschutzes würden zudem Kosten von insgesamt 1,3 Milliarden Euro gespart werden, welche durch die derzeit bestehenden 27 unterschiedlichen Datenschutzgesetze pro Jahr für Unternehmen anfallen. Als positiv schätzt der Datenschutz-Beauftragte auch den Entfall der Meldepflicht, die Durchsetzung von Vorabkontrollen und -konsultationen, sowie die EU-weite Einführung betrieblicher Datenschutzbeauftragter.

Kritik von Innenminister Friedrich

Neben den Verbesserungen machte Schaar jedoch auf einige Aspekte aufmerksam, die weiterer Änderungen bedürften. So hält er wesentliche Regelungen für zu unbestimmt und vage formuliert und vermisst klare Normen. Dabei erscheint ihm insbesondere die Regelung der behördlichen und gerichtlichen Zuständigkeit als konfus. Auch vermutet Schaar neue bürokratische Hürden aufgrund der Tatsache, dass nur ein Mitgliedsland mögliche Beschwerde ahnden dürfte. Kritik am Inhalt der neuen Datenschutzverordnung äußerten auch der Freiburger Verfassungsrichter Johannes Masing und Innenminister Hans-Peter Friedrich (CSU). Aus juristischer Sicht bestehe künftig sogar die Gefahr einer „Nichtanwendbarkeit deutscher Grundrechte“, befürchtet Masing. Dies bemängelt auch Friedrich, der den Standpunkt vertritt, dass „die Vorstellungen der Kommission, auf vielen Gebieten eigenes Recht an die Stelle von nationalen Vorschriften zu setzen“ kritisch zu sehen sei. Ein aktuelles Beispiel, insbesondere auf Deutschland bezogen, ist die Diskussion zur Wiedereinführung der Vorratsdatenspeicherung. Der Mechanismus wäre mit den neuen Ansätzen „nicht kompatibel“, ist Peter Schaar überzeugt. Trotzdem würde es vermutlich zunächst zu keiner Veränderung kommen. Schaar selbst setze daher auf die laufende Überarbeitung der einschlägigen Richtlinie. Darüber hinaus befürchte er, dass die Rolle der Artikel-29-Datenschutzgruppe, ein unabhängiges Beratungsgremium der Europäischen Kommission,  geschwächt werden würde.

Alles in allem erkennt Schaar jedoch „das Bemühen, den Datenschutz in Europa auf ein höheres Niveau zu bringen”. Bis zur offiziellen Veröffentlichung am heutigen Mittwoch konnten noch Änderungen am Entwurf der EU-Verordnung vorgenommen werden. Noch nicht entschieden ist, welche der Neuerungen im Gesetzgebungsverfahren eintreten werden. Spätestens in 24 Monaten sollen die Datenschutzmaßnahmen europaweit umgesetzt werden.

Privacy Preference Center