zum Hauptinhalt
Geschützter Surfen. Die neue Datenschutzverordnung verbessert die Auskunftsrechte von Verbrauchern sowie die Durchsetzbarkeit der eigenen Rechte.

© dpa

EU-Datenschutzreform: Europa erreicht das Facebook-Zeitalter

Die neue Datenschutzverordnung der EU verbessert die Rechte der Internetnutzer. Ein Überblick über die Neuerungen.

Von

Gegen 22 Uhr am Dienstagabend ist es geschafft. Etwas ermattet stellen sich die Verhandlungsführer der europäischen Regierungen, der Kommission und des Parlaments zum Gruppenfoto auf. Der deutsche Grüne Jan Philipp Albrecht twittert: „Es ist geschafft.“ Nach einem zähen, vierjährigen Ringen und einem kraftraubenden Verhandlungsendspurt steht sie nun, die europäische Datenschutzverordnung. Das bedeutet: Es gibt erstmals einen verbindlichen gemeinsamen EU-Datenschutz, der in vielen Punkten modernisiert und an das „Facebook-Zeitalter“ angepasst wurde.

Neuer rechtlicher Rahmen

Das jetzt schon hohe Datenschutzniveau Deutschlands wird gehalten und in einigen Punkten verbessert. Wichtiger vielleicht noch ist, dass die Durchsetzbarkeit bestehender Rechte verbessert wird. Die Reform des Datenschutzes kommt in Form einer Verordnung, dass heißt, sie gilt unmittelbar für alle Mitgliedstaaten. Bislang galt eine Datenschutzrichtlinie, die den Nationalstaaten viel Spielraum bei der Umsetzung gab. Zum ersten Mal wird es also ein einheitliches Schutzniveau in der gesamten EU geben.

Das ist wichtig, da internationale Konzerne ihren Sitz bislang dorthin verlegen konnten, wo das Schutzniveau besonders niedrig oder die Datenschutzbehörden schlecht ausgestattet waren. Facebook etwa berief sich wiederholt darauf, sich nicht an deutsches Datenschutzrecht halten zu müssen, da seine Europa-Zentrale in Irland liegt.

Änderungen für die Konzerne

Internationale Konzerne müssen sich künftig an europäisches Datenschutzrecht halten. Der Standort ihres Servers (häufig in den USA) ist nicht mehr relevant für die Frage, welches Recht angewandt wird. Bestimmend ist, an wen sich ein Unternehmen richtet. Bietet es – wie Facebook oder Google – Dienste an, die sich an Europäer richten, gilt europäisches Recht. „Europäisches Recht auf europäischem Boden“, schmetterte die Kommission in ihrer Presseerklärung.

Verbesserungen für die Verbraucher

Verbessert werden die Auskunftsrechte von Verbrauchern sowie die Durchsetzbarkeit der eigenen Rechte, auch durch empfindliche Geldstrafen. Bis zu vier Prozent ihres Jahresumsatzes müssen Unternehmen bei schwerwiegenden Verstößen zahlen – im Fall von Google wären das gemessen am Umsatz 2014 2,64 Milliarden Dollar. Die Verbraucher erhalten außerdem das Recht, ihre Daten von einem Anbieter zum nächsten mitzunehmen (Datenportabilität), und einen verbesserten Anspruch, ihre Daten löschen zu lassen.

Bereits die Richtlinie von 1995 enthält einen Schutz vor automatisierten Entscheidungen zum Nachteil des Verbrauchers. Im Zeitalter von Big Data ist das umso wichtiger geworden. Es soll verhindert werden, dass Computer anhand von schablonenhaften statistischen Datenprofilen (Profiling) Entscheidungen treffen, etwa über einen Bewerber oder jemanden, der einen Kredit oder die Mitgliedschaft in einer Krankenkasse beantragt. Diese Klausel wurde nach Informationen aus Verhandlungskreisen präzisiert.

Zudem wurde ein Mindestalter von 16 Jahren für die Einwilligung zur Datenverarbeitung festgelegt, außer wenn nationales Recht die Marke tiefer setzt. Kinder und Jugendliche in einigen europäischen Ländern werden also Dienste wie Facebook oder WhatsApp künftig nur noch mit Zustimmung ihrer Eltern nutzen können.

Gültigkeit der Verordnung

Die neue Verordnung soll voraussichtlich Anfang 2018 in Kraft treten. Rat und Parlament müssen den Kompromiss allerdings noch formal annehmen. Die neue Verordnung ist auch deshalb bedeutsam, um einen EU-Binnenmarkt für digitale Produkte möglich zu machen.

Strittige Fragen

Einige zentrale strittige Punkte wurden erst am Dienstagabend geklärt, etwa die Frage, ob und wie Daten für Forschungszwecke auch ohne explizite Einwilligung verwendet werden dürfen. Im Zeitalter von Big Data kommt der Analyse großer Datenmengen in der Medizin große Bedeutung zu. Das Parlament forderte, Daten nur für Forschungszwecke freizugeben, wenn es sich um klar gemeinnützige Forschung handelt – aus Sicht der Kommission wäre dadurch etwa medizinische Forschung in Privatunternehmen behindert worden.

Der Kompromiss sieht vor, dass pseudonymisierte Daten auch zu kommerziellen Forschungszwecken verwendet werden dürfen. Umstritten war auch, ob und vor allem wie ein Nutzer in die Verarbeitung seiner Daten einwilligen muss. Während Parlamentschefverhandler Albrecht zunächst auf eine „explizite“ Einwilligung in jede Datenverarbeitung drängte, stand am Ende ein Kompromiss. Nun muss es eine „eindeutige Indikation“ der Einwilligung geben. Diese Formulierung wurde bisher so ausgelegt, dass die Nutzung eines Dienstes schon als „eindeutige Indikation“ gewertet wurde. Das wird nun nach Tagesspiegel-Informationen im finalen Text explizit ausgeschlossen.

Reaktionen von Politik und Verbänden

Aus Kreisen deutscher Datenschützer hieß es: „Es gibt mehr Licht als Schatten.“ Bundesjustizminister Heiko Maas sagte im ARD-Morgenmagazin: „Die Unternehmen können dann nicht mehr einfach nach Dublin gehen, um dort vom schwachen Datenschutzrecht zu profitieren.“ Auch die Verhandlungsteilnehmer waren guter Dinge, Jan Philipp Albrecht sagte: „Ich bin sehr zufrieden, dass wir es geschafft haben, eine Einigung zu erzielen. Und ich bin der Meinung, dass alle Seiten sehr zufrieden mit dem Ergebnis sein können.“

EU-Justizkommissarin Vera Jurowa sagte, die Regelungen seien „gut für die Verbraucher und gut für die Unternehmen.“ Letzteres sahen Unternehmensverbände anders. Der IT-Branchenverband Bitkom lobte zwar, dass es nun mehr Rechtssicherheit gebe, wertete die Altersbegrenzung allerdings als „unsinnig“ und warnte vor Bürokratiezuwachs. Der Bundesverband Digitale Wirtschaft beklagte eine mangelnde Differenzierung nach Risikoklassen von Daten, die ein Wachstum am europäischen Markt erschwere.

Zur Startseite