Ab Mai nächsten Jahres gilt die neue EU-Datenschutzgrundverordnung und ePrivacy-Richtlinie. Ihre Durchsetzung wird zeigen, ob sie einen Meilenstein im europäischen Datenschutz oder ein verpasstes Gelegenheitsfenster darstellt.
Dass Datenschutz in Zeiten der umfassenden Telekommunikation immer wichtiger wird, zeigt sich an den aktuellen politischen Debatten. Während es anhand von Diskussionen, wie über den erweiterten Einsatz von Staatstrojanern in der Kriminalitätsbekämpfung, so aussieht, als ob der nationale Sicherheitssektor Datenschutzmaßnahmen eher als Hindernis versteht, scheint sich auf europäischer Ebene zumindest in der Privatwirtschaft ein Paradigmenwandel abzuzeichnen.
Die im Mai 2018 offiziell geltende neue EU-Datenschutzgrundverordnung (EU-DSGVO) trägt den Selbstanspruch, die individuelle Privatsphäre vor unternehmerischen Interessen zu stellen. Im Klartext sollen so Verbraucher mehr Informationen über die Nutzung ihrer Daten erhalten. Wie relevant die Frage nach der Datenhoheit ist, geht auch aus einer Eurobarometer-Umfrage hervor, nach der 7 von 10 Europäern gerne wüssten, was die Unternehmen überhaupt mit ihren gesammelten Daten anfangen.
Die Grundsätze der Datenverarbeitung in der neuen EU-DSGVO orientieren sich an der Rechtmäßigkeit und Transparenz, sowie an der Integrität und Vertraulichkeit. Unter anderem wird nun ein „Recht auf Vergessenwerden“ implementiert – Nutzer können also bei Unternehmen die Löschung ihrer Daten erwirken, solange es keine legitimen Gründe für eine fortwährende Speicherung gibt. Produkte sollen zudem fortan unter dem Motto „Privacy by Design“ schon bestmöglich gegen Sicherheitslücken gefeilt sein, bevor sie auf den Markt kommen.
In einer Welt, in der fast wöchentlich über neue Datenschutzverstöße und Schadsoftware berichtet wird, stellt dies sicherlich eine enorme Herausforderung für die Unternehmen dar. Von Experten wird die EU-DSGVO als „Hybrid zwischen Verordnung und Richtlinie“ gesehen, da sich alle Mitgliedsstaaten an die Datenschutzrichtlinien zu halten haben, aber durch bestimmte Öffnungsklauseln auch nationale Souveränität und damit nationale Regelungen ermöglicht werden. Wie zu erwarten gehören dazu auch die gesamte Strafverfolgung und geheimdienstliche Aktivitäten.
Hohes Strafmaß bei Datenschutzvergehen
Um die Verordnung durchzusetzen, können Unternehmen bei einem Verstoß mit drakonischen Strafen belegt werden. Bei Pflichtverletzungen gegenüber den Kontrollinstanzen drohen Geldstrafen von bis zu 10.000.000 € oder 2 Prozent des Jahresumsatzes. Bei gravierenden Verstößen drohen Strafen von bis zu 20.000.000 € oder 4 Prozent des Jahresumsatzes. Unter Letztere fällt auch die Übermittlung von personenbezogenen Daten an Empfänger in einem Drittland. Die EU-DSGVO will hier nicht nur für europäische Unternehmen in Europa oder dem Ausland gelten, sondern auch internationale Firmen mit einbeziehen, die einen Firmensitz in Europa haben. Aber gerade hier wird es interessant: Wie kann ein international agierendes Unternehmen wie Google, Facebook und Co. durch europäisches Recht sanktioniert werden? Datenaustausche über das Internet bevorzugen nicht die Verbindungen mit den geringsten physischen Distanzen, sondern orientieren sich nach der optimalsten und schnellsten Leitung. Und diese kann mitunter auch den Umweg über einen anderen Kontinent nehmen – zumal die sogenannten „backbones“ des Internets immer noch in den USA liegen. Wenn die Verordnung nur für die Datenverarbeitung in den europäischen Niederlassungen gilt, wie kann dann effektiv der Austausch mit anderen Ländern auf die Durchsetzung der Gesetze kontrolliert werden? Kann europäisches Recht auch dann durchgesetzt werden, wenn personenbezogene Daten über Umwege auf ausländischen Servern landen?
Für ein „Recht auf Vergessen werden“ wurde bereits 2014 durch den EUGH der Stein ins Rollen gebracht. Auslöser waren die Klagen von Betroffenen, deren Insolvenzverfahren auch noch nach ihrem Abschluss über Suchmaschinen unter dem Personennamen auffindbar waren. Ein weiterer Meilenstein war die Einstellung von „Safe Harbor“ im Jahr 2015. Das Abkommen zwischen den USA und der EU sah vor, dass der Austausch von personenbezogenen Daten aus Europa nur mit Ländern, die über ein angemessenes Datenschutzniveau verfügen, passiert. Durch den österreichischen Studenten Max Schrems und seinen Mitstreitern wurde im Lichte der Snowden-Enthüllungen Klage gegen Facebook in Irland eingereicht und das „Safe Harbor“ Abkommen letztendlich aufgrund von geringen Schutzmechanismen gegen Datenschutzverstöße eingestellt. Allerdings wird das 2016 eingesetzte „Privacy Shield“ Abkommen, demnach Europäer eigentlich in den USA Klagemöglichkeiten bei Datenmissbrauch hätten, von der Zivilgesellschaft und Teilen des EU-Parlaments ebenfalls als durchsetzungsschwach kritisiert. Unter der Trump-Administration ist es zudem höchst zweifelhaft, ob sich europäische Klagen in Amerika zu bindenden Urteilen übertragen lassen.
Dark Data und Identity Theft
Ein Risiko besteht für Unternehmen auch in den sogenannten „Dark Data“. Dabei handelt es sich um Datensätze, die firmenintern mittels Netzwerkoperationen über Sensoren und Telematik generiert werden, aber unstrukturiert sind. Die Unternehmen wissen meist selbst nicht, was zu welchem Zweck gespeichert wurde. Oder der Zweck hat sich, wie beispielsweise bei der GPS-Lokalisierung eines Kunden, schon längst erfüllt. Im schlimmsten Fall geraten vermeintlich triviale Daten durch Sicherheitslücken in die Hände von Cyber-Kriminellen, die damit Identitätsraub begehen können. Wie damit nach EU-DSGVO umzugehen ist, steht noch in den Sternen, denn der Risikobereich für personenbezogene Daten, der festlegen soll, wann eine Verletzung gemeldet wird, ist Auslegungssache der europäischen Aufsichtsbehörden.
Parallel zur EU-DSGVO setzt auch die neue ePrivacy Verordnung ein, die die alte ePrivacy Richtlinie von 2002 ablöst. Während diese noch Messenger wie WhatsApp nicht berücksichtigte und unter Sanktionsdefiziten litt, schließt die neue Verordnung Messenger, Chats, Internettelefonie und Webmail mit ein. Die Sanktionen für Datenschutzverletzungen orientieren sich dabei ebenfalls an den veranschlagten Bußgeldern der EU-DSGVO. Prinzipiell ist der Wandel von einer Richtlinie zu der erweiterten Verordnung zu begrüßen. Allerdings merkt Ingo Dachwitz von netzpolitik.org kritisch an, dass noch Optimierungsbedarf bei den Fragen nach Tracking in sensiblen Bereichen wie dem Gesundheitswesen oder der Auswertung von Metadaten besteht. Auch die Vorratsdatenspeicherung ist als nationale sicherheitspolitische Maßnahme von den neuen europäischen Verordnungen unberührt.
Hier zeigt sich ab, dass noch viele Fragen zu klären sind. Während die europäischen Unternehmen in der Umsetzung der EU-DSGVO weiter unter Zugzwang stehen, bleibt ungewiss, wie international agierende Firmen sich verhalten werden. Datenminimierung, Zweckbindung und Transparenz sind wichtige Eckpfeiler der neuen Verordnung – stehen aber auch im Widerspruch zu den Geschäftsmodellen der großen Datenverarbeitungsmaschinerie. Auch das Gelegenheitsfenster zur Kontrolle und Eindämmung von ausufernden Überwachungspraktiken der Sicherheitsbehörden bleibt ungenutzt. Eine genaue Beurteilung der EU-Datenschutzgrundverordnung und ePrivacy-Verordnung ist erst nach der europaweiten Durchsetzung möglich. Dennoch lässt sich schon jetzt festhalten, dass beide Verordnungen richtige Tendenzen zu einem konsequenteren Datenschutz sind. Ob ihre Ausgestaltung aber beim Verbraucher für mehr Nachvollziehbarkeit über die Nutzung seiner Daten sorgt, wird sich daran messen, ob die Regelungen auch außerhalb von Europa akzeptiert werden.
Titelbild: Jana Donat/politik-digital, CC-BY-SA 3.0