Unterschiedliche nationale Regelungen

Zudem entscheiden die einzelnen Mitgliedsstaaten individuell, wie sie diese Richtlinie umsetzen, woraus ein Flickenteppich aus unterschiedlichen nationalen Regelungen resultiert. Da für Unternehmen die Datenschutzvorschriften am jeweiligen Firmensitz in der EU maßgeblich sind, können globale Konzerne die länderspezifischen Gegebenheiten ausnutzen: So ist das vergleichsweise wenig Datenschutz kritische Irland für den Umgang mit den Daten von mehreren hundert Millionen Nutzern von Computer-Programmen und Online-Diensten zuständig, da Firmen wie Microsoft oder Twitter dort ihren europäischen Hauptsitz haben.
Um die “Online-Rechte des Einzelnen auf Wahrung der Privatsphäre zu stärken und die digitale Wirtschaft Europas anzukurbeln” (so die Pressemitteilung vom 25.1.2012), legte die für Justiz, Grundrechte und Bürgerschaft zuständige EU-Kommissarin Viviane Reding Anfang 2012 einen Vorschlag für eine europaweit einheitliche “Datenschutz-Grundverordnung” vor. Doch während die Verordnung den “Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten” sowie einen “freien Datenverkehr” bereits im Titel verbindet (siehe das PDF-Dokument in deutscher Sprache), steht der Schutz der Privatsphäre häufig im Widerspruch zu kommerziellen Erwägungen.
Der ökonomische Ertrag von sozialen Netzwerken und Suchmaschinen beruht gerade auf der weitgehenden Erfassung von Nutzerdaten. Aus unserem Verhalten bei der Nutzung solcher Online-Dienste wird auf persönliche Dispositionen geschlossen: Wer den Status-Updates einer Band folgt, könnte auch ihre CDs kaufen wollen und wird also mit entsprechender Werbung konfrontiert. Dabei handelt es sich um einen Preis, den viele bereit sind für die Nutzung meist kostenloser Online-Dienste zu bezahlen. Dass Kunden sämtliche Angaben zu ihrer Person aus den Datenbanken eines Konzerns löschen lassen oder gar zu einem anderen Dienst mitnehmen können (Stichwort “Datenportabilität”), ist erst seit Mai 2014 möglich. Dann entschied der EuGH nämlich über das “Recht auf Vergessenwerden”. Es soll sicherstellen, dass digitale Informationen mit Personenbezug nicht dauerhaft zur Verfügung stehen .

Bürgerrechtliche versus wirtschaftsfreundliche Argumente

Die grundlegende Kontroverse zwischen eher bürgerrechtlichen und eher wirtschaftsfreundlichen Positionen manifestiert sich in der Debatte um die europäische Reforminitiative. Während es der Datenwirtschaft primär um Entbürokratisierung durch Vereinheitlichung rechtlicher Standards geht, stellt aus der Perspektive vieler zivilgesellschaftlicher Organisationen der Umgang mit “personenbezogenen Daten” durch Unternehmen den zentralen Aspekt dar.
Doch bereits die Definition dessen, was unter diesen Begriff fällt, ist umstritten. Selbstverständlich handelt es sich dabei um Angaben wie Name und Adresse, aber gerade im Netz können Personen auch durch andere Merkmale wie IP-Adressen identifiziert werden. Und welche Unternehmen dürfen diese Daten überhaupt erheben und verarbeiten? Sicher braucht ein Online-Versand Name, Adresse und Konto-Nummer seiner Kunden. Er hat also ein “berechtigtes Interesse”, wie es im Verordnungsentwurf heißt. Doch gilt dies auch für Firmen, die Adressen ausschließlich zum Zwecke des Direktmarketings erheben?

Große Mehrheit im Europaparlament

Und was geschieht überhaupt mit den Daten, wenn sie den Geltungsbereich der EU verlassen? Die geltende Datenschutzrichtlinie verbietet es grundsätzlich, personenbezogene Daten aus EU-Mitgliedsstaaten dorthin zu übertragen, wo kein vergleichbares Datenschutzniveau herrscht. Trotzdem gelten nach einer Entscheidung der EU-Kommission vom Juli 2000 die Vereinigten Staaten als “sicherer Hafen”. Diese Einschätzung scheint spätestens nach dem NSA-Skandal obsolet. Zwar kann die EU Praktiken des US-Geheimdienstes, die Daten von europäischen Bürgern betreffen, nicht verhindern. Allerdings sieht der Verordnungsentwurf zumindest schärfere Sanktionen gegenüber US-Konzernen vor, die nicht entsprechend europäischer Datenschutzstandards handeln.
Die Konflikte über diese Aspekte werden weniger zwischen den Fraktionen des Europäischen Parlaments ausgetragen, das im Oktober 2013 seine Verhandlungsposition mit großer Mehrheit formuliert hat. Die unterschiedlichen Interessen der jeweiligen nationalen Regierungen haben schließlich dazu geführt, dass die Entscheidung über die europäische Datenschutzreform inzwischen bislang vertagt ist.
Dies ist ein Crosspost von bpb.de. Der Artikel ist zuerst dort erschienen.
Foto: Martin Abegglen

 

Unterschiedliche nationale Regelungen

Zudem entscheiden die einzelnen Mitgliedsstaaten individuell, wie sie diese Richtlinie umsetzen, woraus ein Flickenteppich aus unterschiedlichen nationalen Regelungen resultiert. Da für Unternehmen die Datenschutzvorschriften am jeweiligen Firmensitz in der EU maßgeblich sind, können globale Konzerne die länderspezifischen Gegebenheiten ausnutzen: So ist das vergleichsweise wenig Datenschutz kritische Irland für den Umgang mit den Daten von mehreren hundert Millionen Nutzern von Computer-Programmen und Online-Diensten zuständig, da Firmen wie Microsoft oder Twitter dort ihren europäischen Hauptsitz haben.
Um die “Online-Rechte des Einzelnen auf Wahrung der Privatsphäre zu stärken und die digitale Wirtschaft Europas anzukurbeln” (so die Pressemitteilung vom 25.1.2012), legte die für Justiz, Grundrechte und Bürgerschaft zuständige EU-Kommissarin Viviane Reding Anfang 2012 einen Vorschlag für eine europaweit einheitliche “Datenschutz-Grundverordnung” vor. Doch während die Verordnung den “Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten” sowie einen “freien Datenverkehr” bereits im Titel verbindet (siehe das PDF-Dokument in deutscher Sprache), steht der Schutz der Privatsphäre häufig im Widerspruch zu kommerziellen Erwägungen.
Der ökonomische Ertrag von sozialen Netzwerken und Suchmaschinen beruht gerade auf der weitgehenden Erfassung von Nutzerdaten. Aus unserem Verhalten bei der Nutzung solcher Online-Dienste wird auf persönliche Dispositionen geschlossen: Wer den Status-Updates einer Band folgt, könnte auch ihre CDs kaufen wollen und wird also mit entsprechender Werbung konfrontiert. Dabei handelt es sich um einen Preis, den viele bereit sind für die Nutzung meist kostenloser Online-Dienste zu bezahlen. Dass Kunden sämtliche Angaben zu ihrer Person aus den Datenbanken eines Konzerns löschen lassen oder gar zu einem anderen Dienst mitnehmen können (Stichwort “Datenportabilität”), ist erst seit Mai 2014 möglich. Dann entschied der EuGH nämlich über das “Recht auf Vergessenwerden”. Es soll sicherstellen, dass digitale Informationen mit Personenbezug nicht dauerhaft zur Verfügung stehen .

Bürgerrechtliche versus wirtschaftsfreundliche Argumente

Die grundlegende Kontroverse zwischen eher bürgerrechtlichen und eher wirtschaftsfreundlichen Positionen manifestiert sich in der Debatte um die europäische Reforminitiative. Während es der Datenwirtschaft primär um Entbürokratisierung durch Vereinheitlichung rechtlicher Standards geht, stellt aus der Perspektive vieler zivilgesellschaftlicher Organisationen der Umgang mit “personenbezogenen Daten” durch Unternehmen den zentralen Aspekt dar.
Doch bereits die Definition dessen, was unter diesen Begriff fällt, ist umstritten. Selbstverständlich handelt es sich dabei um Angaben wie Name und Adresse, aber gerade im Netz können Personen auch durch andere Merkmale wie IP-Adressen identifiziert werden. Und welche Unternehmen dürfen diese Daten überhaupt erheben und verarbeiten? Sicher braucht ein Online-Versand Name, Adresse und Konto-Nummer seiner Kunden. Er hat also ein “berechtigtes Interesse”, wie es im Verordnungsentwurf heißt. Doch gilt dies auch für Firmen, die Adressen ausschließlich zum Zwecke des Direktmarketings erheben?

Große Mehrheit im Europaparlament

Und was geschieht überhaupt mit den Daten, wenn sie den Geltungsbereich der EU verlassen? Die geltende Datenschutzrichtlinie verbietet es grundsätzlich, personenbezogene Daten aus EU-Mitgliedsstaaten dorthin zu übertragen, wo kein vergleichbares Datenschutzniveau herrscht. Trotzdem gelten nach einer Entscheidung der EU-Kommission vom Juli 2000 die Vereinigten Staaten als “sicherer Hafen”. Diese Einschätzung scheint spätestens nach dem NSA-Skandal obsolet. Zwar kann die EU Praktiken des US-Geheimdienstes, die Daten von europäischen Bürgern betreffen, nicht verhindern. Allerdings sieht der Verordnungsentwurf zumindest schärfere Sanktionen gegenüber US-Konzernen vor, die nicht entsprechend europäischer Datenschutzstandards handeln.
Die Konflikte über diese Aspekte werden weniger zwischen den Fraktionen des Europäischen Parlaments ausgetragen, das im Oktober 2013 seine Verhandlungsposition mit großer Mehrheit formuliert hat. Die unterschiedlichen Interessen der jeweiligen nationalen Regierungen haben schließlich dazu geführt, dass die Entscheidung über die europäische Datenschutzreform inzwischen bislang vertagt ist.
Dies ist ein Crosspost von bpb.de. Der Artikel ist zuerst dort erschienen.
Foto: Martin Abegglen

 

Transparenz und der Schutz sogenannter personenbezogener Daten stehen im Fokus der neuen EU-Verordnung. Bislang waren Mindeststandards für den Datenschutz  durch eine europäische Richtlinie festgelegt, der aktuelle Entwurf soll heute nun in Form einer Verordnung in Kraft treten und die  längst überholte Datenschutzrichtlinie von 1995 ersetzen. Konkret bedeutet das, dass die Inhalte europaweite Gültigkeit erhalten und unverzüglich wirksam werden, nachdem sie zuvor von den Mitgliedstaaten in nationales Recht überführt worden sind. Zwei Jahre nach der Verabschiedung des Gesetzes soll die Umsetzungsphase beginnen. In Deutschland würde die vorgesehene Verordnung das bisherige Datenschutzrecht ersetzen und auch für die Datenverarbeitung durch staatliche Stellen, zum Beispiel Polizei- und Strafverfolgungsbehörden, gelten. Die zuständige EU-Justizkommissarin Viviane Reding, die die Verordnung heute in Brüssel vorgestellt hat, sieht den Datenschutz als „ein grenzübergreifendes Thema von zentraler Bedeutung“ für Verbraucher und Unternehmen. Diese Ansicht teilt Bundesverbraucherministerin Ilse Aigner, die sich auf eine Eurobarometer-Studie beruft. Laut dieser Umfrage würden 90 Prozent der europäischen Bevölkerung europaweit geltende Datenschutzrechte begrüßen.

Datenschutz auf der Höhe der Zeit

Besonders wichtig sei es nun, das europäische Datenschutzrecht dem aktuellen Stand der Technik, insbesondere dem des Internet, anzupassen. Auch in Brüssel hat man also inzwischen erkannt, dass die  gesetzlichen Regelungen von 1995 „einfach nicht mehr auf der Höhe der Zeit” seien, wie Reding auf der DLD Conference am Wochenende in München einräumte. Auch sehe man vor, pro Unternehmen nur noch einen EU-Staat für die Kontrolle des Datenschutzes verantwortlich zu machen. Die Richtlinie von 1995 besagt bislang, dass EU-Bestimmungen zum Datenschutz nur dann angewandt  werden, wenn ein Unternehmen einen Sitz in Europa habe, wie beispielsweise Facebook in Irland. Mit dem überarbeiteten Entwurf müssen sich Unternehmen nun ausnahmslos an die europaweit geltenden Datenschutzgesetze halten, sobald sie sich an EU-Bürger richten, unabhängig von deren Standort. Dieses Prinzip wird als „Targeting“ bezeichnet. Des Weiteren sieht die neue Verordnung ein „Recht auf Datenportabilität“ vor. Betroffene können damit jederzeit eine Kopie ihrer persönlichen Daten, die von Unternehmen gespeichert wurden, anfordern. Dabei muss die Datenkopie ein gängiges, elektronisches Format besitzen. Auch hat der User in Zukunft das Recht, selbst auf alle von ihm gespeicherten Daten zuzugreifen, beispielsweise um diese aus einem Unternehmen abzuziehen und einem anderen zu übergeben

Recht auf Vergessen

Für Diskussionen sorgte im Vorfeld vor allem das „Recht auf Vergessen“. Dieses gibt den Usern die Möglichkeit, ihre Erlaubnis zur Speicherung und Verarbeitung persönlicher Daten jederzeit zurückzuziehen, wobei dieses Prinzip nicht auf das Internet beschränkt ist. Eine Ausnahme bildet dabei beispielsweise der Umgang mit Zeitungsarchiven. Damit wird die Pressefreiheit dem neuen Recht ausdrücklich übergeordnet, denn, so Reding, das Recht, vergessen zu werden dürfe „keinen Vorrang gegenüber Meinungs- und Informationsfreiheit bekommen“. Weiterer Schwerpunkt der neuen Richtlinie ist der transparentere Umgang mit gespeicherten User-Daten. Für den Fall eines unberechtigten Zugriffs auf die gespeicherten Daten, beispielsweise durch einen Hackerangriff, müssen künftig innerhalb von 24 Stunden die zuständige Aufsichtsbehörde und in schweren Fällen auch die Betroffenen selbst informiert werden. Bei Verstößen drohen dem Unternehmen Bußgeldverfahren von bis zu fünf Prozent des Jahresumsatzes. Weiterhin will man insbesondere soziale Netzwerke wie Facebook durch das „Privacy by Default”-Prinzip verpflichten, ihre Grundeinstellungen datenschutzgerecht zu halten. Was der einzelne User anschließend an Veränderungen vornimmt, ist seine persönliche Entscheidung und wird nicht mehr durch das geltende Datenschutzgesetz gedeckt werden.

Stärkung des Datenschutzes

Bei der Vorstellung der überarbeiteten Datenschutzrichtlinie in der vergangenen Woche bewertete der Bundesbeauftragte für Datenschutz und Informationsfreiheit Peter Schaar diese überwiegend positiv, besonders erfreulich seien die Stärkung der Grundprinzipien des Datenschutzes und der Betroffenenrechte sowie die Verbesserung der Ausführbarkeit und Regelungen zur Profilbildung. Durch die europaweite Harmonisierung des Datenschutzes würden zudem Kosten von insgesamt 1,3 Milliarden Euro gespart werden, welche durch die derzeit bestehenden 27 unterschiedlichen Datenschutzgesetze pro Jahr für Unternehmen anfallen. Als positiv schätzt der Datenschutz-Beauftragte auch den Entfall der Meldepflicht, die Durchsetzung von Vorabkontrollen und -konsultationen, sowie die EU-weite Einführung betrieblicher Datenschutzbeauftragter.

Kritik von Innenminister Friedrich

Neben den Verbesserungen machte Schaar jedoch auf einige Aspekte aufmerksam, die weiterer Änderungen bedürften. So hält er wesentliche Regelungen für zu unbestimmt und vage formuliert und vermisst klare Normen. Dabei erscheint ihm insbesondere die Regelung der behördlichen und gerichtlichen Zuständigkeit als konfus. Auch vermutet Schaar neue bürokratische Hürden aufgrund der Tatsache, dass nur ein Mitgliedsland mögliche Beschwerde ahnden dürfte. Kritik am Inhalt der neuen Datenschutzverordnung äußerten auch der Freiburger Verfassungsrichter Johannes Masing und Innenminister Hans-Peter Friedrich (CSU). Aus juristischer Sicht bestehe künftig sogar die Gefahr einer „Nichtanwendbarkeit deutscher Grundrechte“, befürchtet Masing. Dies bemängelt auch Friedrich, der den Standpunkt vertritt, dass „die Vorstellungen der Kommission, auf vielen Gebieten eigenes Recht an die Stelle von nationalen Vorschriften zu setzen“ kritisch zu sehen sei. Ein aktuelles Beispiel, insbesondere auf Deutschland bezogen, ist die Diskussion zur Wiedereinführung der Vorratsdatenspeicherung. Der Mechanismus wäre mit den neuen Ansätzen „nicht kompatibel“, ist Peter Schaar überzeugt. Trotzdem würde es vermutlich zunächst zu keiner Veränderung kommen. Schaar selbst setze daher auf die laufende Überarbeitung der einschlägigen Richtlinie. Darüber hinaus befürchte er, dass die Rolle der Artikel-29-Datenschutzgruppe, ein unabhängiges Beratungsgremium der Europäischen Kommission,  geschwächt werden würde.

Alles in allem erkennt Schaar jedoch „das Bemühen, den Datenschutz in Europa auf ein höheres Niveau zu bringen”. Bis zur offiziellen Veröffentlichung am heutigen Mittwoch konnten noch Änderungen am Entwurf der EU-Verordnung vorgenommen werden. Noch nicht entschieden ist, welche der Neuerungen im Gesetzgebungsverfahren eintreten werden. Spätestens in 24 Monaten sollen die Datenschutzmaßnahmen europaweit umgesetzt werden.