„Das ist ein großer Schritt für die Grundrechte, für den Verbraucherschutz und für einen fairen Wettbewerb.“ (Jan-Philipp Albrecht, MdEP Grüne/EFA)

Bereits 2012 legte die Europäische Kommission ihren ersten Entwurf für eine Neuordnung und Vereinheitlichung des Datenschutzes vor. Vier Jahre später wurde nun in der Nacht zum 16. April die Datenschutzgrundverordnung (DSGVO) durch das europäische Parlament beschlossen. Damit wird nach jahrelangen Debatten zwischen Datenschützern und der Privatwirtschaft die seit 1995 bestehende und technisch völlig veraltete Datenschutzrichtlinie abgelöst.

Was sind die wichtigsten Neuerungen?

Dank des nun geltenden Marktortprinzips müssen sich künftig nicht nur europäische Unternehmen an die neuen Regelungen halten. Fortan gelten die EU-weiten Vorgaben vielmehr für sämtliche Unternehmen, die auf dem europäischen Markt tätig sind. Keine Rolle spielt es dabei, ob der Unternehmenssitz innerhalb der EU liegt oder wo die Datenverarbeitung stattfindet. Der Anwendungsbereich der DSGVO ist eröffnet, sobald personenbezogene Daten von EU-Bürgern verarbeitet werden.

Daneben ist ein Recht auf Vergessenwerden aufgenommen worden. Seit dem „Google-Urteil“ des EuGH vom 13. Mai 2014 können Nutzer von einem  Suchmaschinenbetreiber verlangen, Links zu Webseiten mit personenbezogenen Informationen, die  aufgrund einer Suche anhand des Namens des Nutzers angezeigt werden, künftig nicht mehr anzuzeigen, sofern nicht das Informationsinteresse der Allgemeinheit überwiegt. Dies wurde nun auf alle Unternehmen ausgeweitet. Darüber hinaus ist das für die Veröffentlichung der Daten verantwortliche Unternehmen künftig nicht nur verpflichtet die Daten selbst zu löschen, es muss auch Dritte über einen Löschauftrag des Betroffenen informieren. Damit soll es für den Einzelnen leichter möglich sein, einmal über ihn veröffentlichte Informationen und Daten wie z.B. Fotos wieder aus dem Netz zu bekommen.

Die Rechte der Nutzer sollen durch einen erleichterten Zugang zu ihren Daten gestärkt werden. So hat jeder einen Anspruch auf klare und verständliche Informationen darüber, wer personenbezogene Informationen zu welchem Zweck sammelt und verarbeitet. Über die zu einem selbst gespeicherten Daten kann man jederzeit Auskunft verlangen. Bevor personenbezogene Daten jedoch überhaupt gesammelt und verarbeitet werden dürfen, muss das Unternehmen eine ausdrückliche Zustimmung eingeholt haben. Neu ist hier vor allem das strenge Koppelungsverbot. Demnach dürfen vertragliche Zusatzleistungen nicht mehr davon abhängig gemacht werden, ob in Verarbeitungen personenbezogener Daten eingewilligt wurde. Wer einmal zugestimmt hat, ist daran jedoch keinesfalls gebunden – ein Widerruf ist jederzeit möglich. Darüber hinaus gehören sämtliche gesammelten Daten fortan dem jeweiligen Nutzer – nicht dem datensammelnden Unternehmen. Daher kann er seine persönlichen Daten wie bspw. Fotos, Freundeslisten, etc. nun von einem kommerziellen Internetdienst zum anderen mitnehmen. Wie das in der Praxis aber ablaufen soll, ist noch unklar.

Sollten Unternehmen gegen die neuen Regelungen verstoßen, drohen ihnen nun härtere Strafen. So sind Bußgelder von bis zu vier Prozent des globalen Jahresumsatzes des Unternehmens vorgesehen. Das entspricht einem Vielfachen der bisherigen Strafe. Darüber hinaus ergeben sich für Unternehmen neue Rechenschaftspflichten. Ab sofort müssen sie vor Gericht selbst den Nachweis dafür erbringen, dass personenbezogene Daten im Einklang mit den neuen EU-Regelungen verarbeitet werden.

Bisher konnte in den meisten Mitgliedstaaten ab einem Alter von 13 Jahren in die Verarbeitung personenbezogener Daten bei einer Anmeldung auf Plattformen und Social Networks wie Facebook eingewilligt werden. Diese Altersgrenze hatten die Unternehmen freiwillig gesetzt. Mit der DSGVO wird das Mindestalter auf 16 Jahre angehoben. Es bleibt den Mitgliedstaaten jedoch belassen, die Altersgrenze auf minimal 13 Jahre abzusenken. Tun sie dies nicht, könnte Teenagern die Anmeldung bei z.B. Instagram oder Facebook deutlich erschwert werden. In Deutschland war bisher immer die im Einzelfall zu prüfende Einsichtsfähigkeit ausschlaggebend, eine starre Altersgrenze gab es nicht. Wo diese nun in Zukunft konkret liegen wird, bleibt abzuwarten.

Darüber hinaus bedeutet die Verordnung auch für Unternehmen, bei denen die Verarbeitung personenbezogener Daten nur eine untergeordnete Rolle spielt, einige Veränderungen. Die Regelungen betreffen jeden Bereich, der personenbezogene Daten verarbeitet. Darunter fallen nicht nur Kunden-, sondern auch Mitarbeiterinformationen.

Schließlich sind Datenschutzbeauftragte neben Vorständen und Geschäftsführern zukünftig persönlich dafür verantwortlich, dass die Datenschutzvorgaben eingehalten werden, was sie aktiv überwachen müssen. Die Datenschutzbeauftragten haben damit weitaus mehr Verantwortung, mussten sie doch bisher nur auf die Einhaltung hinwirken.

Wie sehen die ersten Reaktionen aus?

Die Beschlussfassung der Datenschutzgrundverordnung sorgte nur teilweise für Begeisterung. Ziel der Verordnung war es einerseits, dem Individuum die Entscheidung über seine persönlichen Daten zurückzugeben. Andererseits sollte vor allem der bislang bestehende Flickenteppich in der EU beseitigt und ein einheitliches datenschutzrechtliches Niveau hergestellt werden. Trotz vorangeschrittener Harmonisierung beklagen jedoch Datenschützer die vielen Öffnungsklauseln. Diese ermöglichen es den Mitgliedstaaten, bspw. beim Datenschutz am Arbeitsplatz oder der Pflicht eines betrieblichen Datenschutzbeauftragten, abweichend von der sonst bindenden Verordnung zu normieren.

„Die ambitionierten Ziele, die zu Beginn des Prozesses ausgerufen wurden, werden damit leider nicht erreicht und teils sogar ins Gegenteil verkehrt“, bemängelt die Digitale Gesellschaft e.V. Beklagt wird vor allem, dass durch die Verordnung einige Rechtsunsicherheiten aufgrund schwammiger Begriffe und unklarer Abgrenzungen entstehen werden.

Jan-Philipp Albrecht hingegen findet, „die neuen Datenschutzregeln machen die EU fit für das digitale Zeitalter.“ Vor allem im IT-Bereich herrscht dahingehend jedoch eine gewisse Skepsis. „Mit dieser Auflage werden Big Data und andere digitale Geschäftsmodelle made in Europe gehemmt“, befürchtet Dr. Oliver Grün, Präsident des Bundesverband IT-Mittelstand e.V.  bezüglich der zweckbezogenen Einwilligungspflicht. Selbst Bundeskanzlerin Angela Merkel hält es für „existenziell notwendig“, einen angemessenen Kompromiss zu finden, damit sich Europa „die Verwendung von Big Data“ nicht selbst zerstöre.

Auch neue bürokratische Belastungen werden befürchtet: „Auf Unternehmen kommen unzählige neue Dokumentations-, Melde- und Genehmigungspflichten zu“, betont Susanne Dehmel, Bitkom-Geschäftsleiterin für Datenschutz und Sicherheit. Es müssten Datenschutzfolgenabschätzungen durchgeführt werden. Der Datenschutz beginne nämlich bereits bei Produktentwicklungen („Privacy by Design“) sowie datenschutzfreundlichen Voreinstellungen („Privacy by Default“). Ferner müsse das neue Recht auf Datenübertragbarkeit praktisch umgesetzt werden.

Der Verbraucherzentrale Bundesverband (vzbv) bewertet die neuen Regelungen größtenteils als sehr gut. Lediglich die Vorschriften zur Profilbildung sehe man als Schwachpunkt und fürchte diesbezüglich eine Herabsenkung des bisherigen Datenschutzniveaus in Deutschland. So unterliegt die Bildung von Profilen als solche in der DSGVO keinem gesonderten Schutz. Sie wird vielmehr als normale Verarbeitung personenbezogener Daten angesehen. Klaus Müller, Vorstand des vzbz, meint deshalb: „Die Bundesregierung muss die Öffnungsklauseln sowie alle weiteren rechtlichen Spielräume nutzen, um beim Thema Profilbildung nachzubessern und ein Weniger an Datenschutz zu verhindern.“

Prof. Dr. Thomas Hoeren, Leiter des Instituts für Informations-, Telekommunikations- und Medienrecht an der Universität Münster, bezeichnete die DSGVO auf dem Euroforum-Datenschutzkongress als „größte Katastrophe des 21. Jahrhunderts“. Für das „Sinnloseste des Sinnlosesten“ hält er dabei die Bestimmungen zur Datenportabilität. Diese würden völlig missachten, dass manch einer diese Information überhaupt nicht haben wolle. Bundesinnenminister Thomas de Maizière warnte daraufhin davor, die Verordnung als Katastrophe, aber auch als Jahrhundertwerk zu überhöhen. Letztlich sehe er sie aber als großen Fortschritt. So beurteilt auch der Bundesminister der Justiz und für Verbraucherschutz Heiko Maas die neuen Regelungen. Die DSGVO werde „die Souveränität jedes Einzelnen stärken, über seine persönlichen Informationen selbst zu entscheiden.“

Wie geht es jetzt weiter?

Die Verordnung wurde am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlich und ist damit in Kraft treten. Die Mitgliedstaaten sind ab Frühling 2018 verpflichtet, sie unmittelbar anzuwenden. Bis dahin bleiben der Bundesregierung also zwei Jahre Zeit, um die nationalen Vorschriften an die Datenschutzgrundverordnung anzupassen. (J. R.)