Über die Vorteile einer einheitlichen EU-weiten Rechtsverordnung und die Details des Reformvorschlags erfahren Sie mehr im zweiten Teil des Berichts von Jan Philipp Albrecht, dem zuständigen Berichterstatter des Europäischen Parlaments und Europaabgeordneten der Grünen.
Facebook hat seinen europäischen Firmensitz nicht zufällig in Irland
An erster Stelle ist die Änderung der Rechtsform im Kommissions-Vorschlag hervorzuheben: Von der Richtlinie zur Verordnung. Das bedeutet praktisch, dass nach der Reform in jedem EU-Mitgliedstaat die gleichen Datenschutzstandards gelten müssen. Derzeit erlassen die 27 Mitgliedstaaten ihre eigenen Gesetze anhand der Datenschutz-Richtlinie von 1995. Die unterschiedliche Umsetzung dessen hat zu einem ungleichmäßigen Datenschutzniveau in der EU geführt. Vorteil der geplanten Verordnung: Unternehmen können sich nicht mehr das Land mit den niedrigsten Datenschutzstandards als Firmensitz aussuchen. Nicht umsonst hat Facebook seinen europäischen Firmensitz in Irland, wo ein vergleichsweise schwaches Datenschutzniveau vorherrscht. Doch auch der Rückzug aus Europa hilft den Firmen nicht: Der Reformvorschlag sieht vor, dass europäische Datenschutzstandards gelten, sobald Daten von EuropäerInnen verarbeitet werden – unabhängig vom Sitz des Unternehmens. Umso wichtiger ist es daher für uns, möglichst hohe und klar definierte Datenschutzstandards im Reformvorschlag festzuschreiben.
Einfachere Nutzungsbedingungen
Datenschutz beginnt vor der Nutzung eines Dienstes. NutzerInnen müssen laut Reformvorschlag eindeutig darüber informiert werden, was mit ihren Daten geschieht, um dann bewusst einzuwilligen. Aber Hand aufs Herz: Wer hat die seitenlangen allgemeinen Geschäftsbedingungen der von ihm oder ihr genutzten Internetdienste wirklich gelesen? Es braucht daher einfach und schnell verständliche Nutzungsbedingungen in Form von standardisierten Symbolen, wie wir sie etwa bei Lebensmitteln kennen. Das Prinzip der expliziten Einwilligung sollte zudem technisch gestärkt werden: Wenn ich durch die Privatsphäre-Einstellungen meines Internetbrowsers signalisiere, dass ich dem Erstellen von Nutzungsprofilen anhand meines Surfverhaltens nicht zustimme, sollen Diensteanbieter das respektieren. Eine Möglichkeit hierfür böte die sogenannte Do Not Track-Funktion, die in gängigen Browsern bereits installiert ist. Der Gesetzesvorschlag sollte ein Anreiz für Internetdienstleister sein, bei solchen Maßnahmen mitzuwirken.
Auch auf Unternehmensseite beginnt Datenschutz vor dem Anbieten eines Dienstes. Der Reform-Vorschlag verpflichtet Unternehmen, ihre Angebote möglichst datensparsam zu konzipieren und mit den datensschutzfreundlichsten Voreinstellungen anzubieten. Facebook verfährt beispielsweise derzeit genau anders herum: Wenn ich einen Account eröffne, sind die Privatsphäre-Einstellungen am niedrigsten. Beim datenschutzfreundlichen Design wollen wir das Prinzip der Zweckbindung stärken. Das heißt: Welche Daten sind für die Nutzung des Dienstes wirklich nötig? Und: Braucht es immer meine eindeutige Identifizierung? Diese Fragen sollen sich Diensteanbieter im Vorfeld stellen. Viele Angebote funktionieren auch mit anonymer oder pseudonymer Nutzung. Ob meine Freundin unter vollem Namen oder als „spacecommander86“ mit mir chattet, beeinträchtigt unsere Kommunikation in keinster Weise.
Zu verständlicher Auskunft verpflichtet
Sind unsere Daten einmal in der Welt, gilt es, die Kontrolle über sie zu behalten. Daher müssen Speicherfristen klar definiert werden und Daten, wenn der Zweck der Verarbeitung erfüllt wurde, auch wieder gelöscht werden. Das im Reformvorschlag gestärkte Recht auf Löschung und Korrektur meiner Daten muss einfach wahrnehmbar sein. Dazu sollten mit der Verordnung Auskunftsrechte gegenüber den Anbietern gestärkt werden. In verständlicher Sprache, kostenfrei und möglichst schnell soll mir mitgeteilt werden, wer was mit welchen Daten von mir macht. Neu ist dabei das Recht auf Datenportabilität: Auf Anfrage sollen mir Diensteanbieter meine bei ihnen gespeicherten Daten in einem maschinenlesenbaren Format, das heißt digital und nicht auf hunderten Seiten Papier, aushändigen. Damit könnte ich dann zum datenschutzfreundlicheren Konkurrenzanbieter wechseln oder meine Daten visualisieren lassen, wie es der Grüne Malte Spitz jüngst vorgemacht und damit die Ausmaße der über ihn gespeicherten Daten veranschaulicht hat. Was Malte Spitz nur als Mammutprojekt mit professioneller Hilfe realisieren konnte, sollte für uns alle möglich werden. So können wir in Zukunft besser vergleichen, wo unsere Daten wirklich gut aufgehoben sind.
Alte Informationen sollen nicht den künftigen Job bestimmen
Eine weitere Neuerung im Reformvorschlag ist das „Recht auf Vergessenwerden“. Dieses Recht kann ein weiterer Schutzmechanismus gegen den Missbrauch persönlicher Informationen sein, wenn es richtig ausgestaltet ist. Es geht nicht um technische Verfallsdaten, sondern um einen rechtlichen Anspruch auf Durchsetzung des Löschungsersuchens. Der Anbieter, der ohne meine Einwilligung Daten von mir erhoben, weitergegeben oder veröffentlicht hat, soll sich auch bemühen, dass Dritte einem Korrektur- oder Löschungsanspruch meinerseits nachkommen. Wessen persönliche Informationen im Jugendalter unrechtmäßig durch ein soziales Netzwerk an Dritte gegeben wurden, ist zehn Jahre später mit Recht daran interessiert, dass davon nicht mehr ihre oder seine Chancen auf einen Hauskredit oder Job abhängen. Dies gilt natürlich nicht im Kontext öffentlichen Interesses oder der Informations- und Meinungsfreiheit. PolitikerInnen etwa soll damit keine Hintertür zur Verhinderung unliebsamer Berichterstattung geöffnet werden. Das sollte im Reformvorschlag noch einmal klargestellt werden. Es geht darum, die Folgen unrechtmäßiger Daten(weiter)verarbeitung abzumildern und nicht darum, die Meinungsfreiheit einzuschränken.
Datenschutzwer? Unbekannte Behörden
Damit die Datenschutz-Grundverordnung kein zahnloser Tiger bleibt, zielt der Verordnungsvorschlag vor allem auf eine verbesserte Durchsetzung des Datenschutzrechts. Dazu sollen zunächst die Datenschutzbehörden gestärkt werden. Datenschutzwer? Nur ein Drittel der EuropäerInnen kennt die eigenen nationalen Datenschutzbehörden. Sie sind normalerweise zur Kontrolle und Durchführung der Datenschutzstandards zuständig. Bislang endet ihr Tätigkeitsbereich an den Ländergrenzen der Mitgliedstaaten. Der Jurastudent Max Schrems, der Facebook wegen seiner unzulässigen Datenschutzpraktiken verklagt hat, musste dies über den Umweg der irischen Datenschutzbehörde tun. Der Reformvorschlag soll deshalb die Zusammenarbeit zwischen den nationalen Datenschutzbehörden verbessern, so dass immer meine nationale Datenschutzbehörde, die meine Landessprache spricht, auch meine Ansprechpartnerin ist. Dazu müssen die Datenschutzbehörden vor allem besser ausgestattet werden. Zudem fordert der Reformvorschlag finanzielle Sanktionen in Höhe von 2% des Jahresumsatzes der Unternehmen. Sanktionen in dieser Größenordnung können wehtun. Zum Vergleich: Der Lebensmittelkonzern musste wegen Datenschutzvergehen zuletzt 1,5 Millionen Euro Strafe zahlen. Lidl hat einen Jahresumsatz von 30,85 Milliarden Euro. Bei Anwendung des Verordnungsvorschlags müssten sie nun 617 Millionen Euro zahlen. Das wäre der 411fache Strafbetrag.
Die neue EU-Datenschutz-Grundverordnung bringt vor allem ein Mehr an Transparenz und Kontrolle. Das Ungleichgewicht zwischen multinationalen Konzernen und uns als NutzerInnen kann damit wieder in die Waage gebracht werden.
Im letzten Teil seines Berichts kommt Jan-Philipp Albrecht auf den Stand der Verhandlungen innerhalb der verschiedenen EU-Gremien zu sprechen. Welcher Akteur will was warum? Lesen Sie hier weiter: