Die neue Datenschutz-Regulierung der EU ist im Amtsblatt veröffentlicht worden. Damit tritt sie im Mai 2018 endgültig in Kraft.
Die neue Verordnung wird sowohl gelobt als auch scharf kritisiert. Sie wird den Umgang mit persönlichen Daten auf dem gesamten Kontinent völlig neu regeln. Obwohl viele der Paragrafen an deutsches Recht angelehnt sind, forcieren einige Elemente auch hierzulande Änderungen.
Den kompletten Verordnungstext hat die EU auch online veröffentlicht.
Doch was verbirgt sich hinter dieser ominösen Datenschutzrichtlinie?
Inhaltlich werden zwei Bereiche umfassend neu geregelt:
- die Datenschutzgrundverordnung
- und die Richtlinie für den Datenschutz bei Polizei und Justiz.
Im Prinzip geht es darum, dass in Zukunft besser über die Art und Weise der Datenverarbeitung und -verwertung aufgeklärt werden soll und den Verbrauchern mehr Rechte eingeräumt werden.
Dazu im Einzelnen:
Datenschutz als Grundrecht der Bürger
Ein Augenmerk der Verordnung liegt auf der Stärkung der Bürgerrechte hinsichtlich des Datenschutzes. Die Kommission betonte, dass Informationen über die Art und Weise der Datenverarbeitung für den Verbraucher grundsätzlich klar und verständlich sein müssen. Auch das sog. „Recht auf Vergessenwerden“ spielt eine große Rolle im Rahmen der Verordnung. In Anknüpfung an ein EuGH-Urteil regelt die Verordnung, dass personenbezogene Daten in Suchmaschinen gelöscht werden müssen, sofern ein dahingehender Wunsch der Betroffenen vorliegt. Eine Verarbeitung personenbezogener Daten durch Unternehmen erlaubt die Verordnung ohnehin in Zukunft nur noch mit ausdrücklicher – widerrufbarer – Zustimmung der Kunden selbst. Zusätzlich soll es ein Recht geben, zu erfahren, inwiefern Daten gehackt worden sind. Dies soll gewährleistet werden, indem Unternehmen zukünftig der nationalen Aufsichtsbehörde umgehend schwere Verstöße gegen den Datenschutz melden müssen, um den Nutzern so die Gelegenheit zu geben, selbst die geeigneten und erforderlichen Maßnahmen zur Abwehr treffen zu können.
Marktortprinzip – Vereinheitlichtes Regelwerk für Unternehmen
Künftig gilt das Datenschutzrecht nicht nur für Unternehmen auf dem europäischen Markt, sondern für alle Unternehmen weltweit, egal wo sie ihren Sitz haben. Auch kommt es nicht mehr darauf an, wo die Datenverarbeitung stattfindet. Vielmehr kommt es für den Schutz der Grundverordnung darauf an, ob ein EU-Bürger betroffen ist oder nicht. Das heißt der Anwendungsbereich der Regelungen ist personen- nicht ortsgebunden.
Datenübertragbarkeit
Die Verordnung sieht auch völlig neue Aspekte hinsichtlich der Datenübertragbarkeit vor. So regelt sie die Mitnahme personenbezogener Daten von einem Dienstleister zum anderen. Nutzer sollen ihre Daten (Fotos, Posts, Freundeslisten) zukünftig dann beispielsweise von Facebook zu einem anderen Sozialen Netzwerk übertragen können.
Mindestalter
Eine einheitliche Regelung trifft die Verordnung zu diesem Punkt nicht. Sie lässt den Mitgliedsstaaten hier Spielraum, ab welchem Mindestalter Kinder und Jugendliche sich ohne Zustimmung der Eltern bei Internetseiten anmelden dürfen. So kann es dazu kommen, dass sich die Grenze in einigen Mitgliedsstaaten auf 16 Jahre beläuft, sich hingegen in anderen Mitgliedsstaaten Kinder schon mit 13 Jahren zustimmungsfrei auf Webseiten anmelden dürfen.
Reformierung des Beschwerdesystems
Auch das Beschwerdesystem soll einfacher werden. So muss sich der deutsche Facebook-Nutzer zukünftig nicht mehr an die irische Datenschutzbehörde wenden, weil Facebook dort seinen europäischen Hauptsitz hat, sondern kann bei der Datenschutzbehörde in Deutschland selbst seine Beschwerde einreichen.
Eine weitere Erneuerung im Beschwerdesystem sieht die Verordnung zudem darin vor, dass künftig auch Verbände für Verbraucher klagen dürfen.
Harte Strafen
Zu guter Letzt fragt man sich doch stets, inwiefern diese neuen Regelungen auch durchsetzbar sind? Mithilfe hoher Strafen für Verstöße sieht die Verordnung ein härteres Sanktionssystem für Unternehmen vor als zuvor. So werden Verstöße mit bis zu 4 Prozent des Jahresumsatzes eines Unternehmens geahndet. Ein ursprünglicher Gesetzentwurf sah sogar 5 Prozent vor.
Grenzüberschreitende Strafverfolgung
Auch hinsichtlich der grenzüberschreitenden Strafverfolgung statuiert die Verordnung einige Neuerungen. Ein effizienterer Informationsaustausch zwischen den Strafverfolgungsbehörden der einzelnen Mitgliedsstaaten soll eine effektivere Bekämpfung von Kriminalität und Terrorismus bringen. Zweifelnden Datenschützern hatte die EU-Kommission entgegnet, dass die Persönlichkeitsrechte der EU-Bürger ausreichend durch das Prinzip der Notwendigkeit, Verhältnismäßigkeit und Rechtmäßigkeit bei der Verwendung der Daten geschützt seien und der Informationsaustausch zudem der Aufsicht nationaler Datenschutzbehörden unterliege.
Ergebnis der Reform: war das wirklich alles?
Auf die Verordnung hat es die unterschiedlichsten Reaktionen gegeben. Während die einen darüber zufrieden sind, dass die Verordnung nach so langer Zeit und so zähen Verhandlungen überhaupt zustande gekommen ist, schimpfen die anderen auf den ewigen Kompromiss, auf den man sich damit eingelassen habe. Insbesondere sei bei vielen Regelungen nicht klar, wie diese wirklich in die Praxis umzusetzen seien. Es sei ja schön, ein Regelungssystem zu haben. Wenn man dieses jedoch nicht praxisnah gestalte, wäre zweifelhaft, wie effektiv es letztlich doch sei.
Das Ergebnis werden wir wohl frühestens im Jahr 2018 erleben, wenn die Umsetzungsfrist abläuft. Es bleibt also abzuwarten, welche Regelungen die einzelnen Mitgliedsstaaten treffen und wie sie diese Regelungen in die Praxis umzusetzen gedenken.