EU-Datenschutz: Reding stellt Entwurf für Verordnung vor
„Vor 17 Jahren nutzten weniger als 1 % der Bevölkerung das Internet. Heute werden große Mengen an personenbezogenen Daten übermittelt und ausgetauscht, über den gesamten Globus – innerhalb von Bruchteilen von Sekunden“.
So begann Viviane Reding, erste EU-Kommissarin für Justiz, Grundrechte und Bürgerschaft, ihre heutige Vorstellung der Datenschutz-Verordnung – dem neuen Entwurf, der das europäische Datenschutzrecht vereinheitlichen und verbessern soll. Denn 17 Jahre ist die Verabschiedung der Datenschutz-Richtlinie 95/46/EG her, die das europäische Datenschutzrecht bis jetzt regelt.
Ein stolzes Alter für ein Werk, das im Zeitalter von Google, Facebook und Cloud Computing sich eigentlich an die technologischen Gegebenheiten anpassen müsste. Für Europa bedeutet die neue Verordnung: kein Wust von unterschiedlichen Regelungen mehr, kein Europa der unterschiedlichen Datenschutzgesetze, sondern ein einheitliches Recht für alle.
Zwar ist es nur ein Entwurf – der noch im EU-Ministerrat und Parlament verhandelt und abgestimmt werden muss und wahrscheinlich frühestens 2014 in Kraft treten wird. Trotzdem hat der Entwurf, der bereits Ende 2011 an die Öffentlichkeit gelangte, schon für erhebliche Aufregung gesorgt. Nicht nur in der EU.
Die Regelungen
Wie bereits bei Telemedicus berichtet, wird die Datenschutzverordnung erhebliche Neuerungen für jedes einzelne europäische Land bedeuten; denn eine Umsetzung in den europäischen Mitgliedsstaaten ist dann nicht mehr notwendig. Die Verordnung gilt für alle europäischen Länder verbindlich und direkt.
Der Entwurf, über den Telemedicus bereits berichtet hat, ist nun – mit einigen wenigen Änderungen – vorgestellt worden.
Im Wesentlichen umfasst der Entwurf folgende wichtige Punkte:
Art. 17: Right to be forgotten
Der Betroffene kann von der verantwortlichen Stelle Löschung seiner personenbezogenen Daten verlangen, wenn diese für den Zweck nicht mehr benötigt werden (dies gilt im besonderen, wenn diese Daten während der Kindheit des Betroffenen erhoben wurden). Wenn die Daten der Öffentlichkeit zugänglich gemacht wurden, muss die verantwortliche Stelle alles unternehmen, um die Veröffentlichung rückgängig zu machen.
Art. 18: Right to data portability
Betroffene können Daten von einem Service Provider zu einem anderen „verschieben“ und sie können eine Kopie aller von ihnen gespeicherten Daten verlangen.
Art. 25: Representatives
Unternehmen, die ihren Sitz nicht in der EU haben, müssen einen „Representative“, einen Stellvertreter, für die EU benennen, der die Aufgaben in datenschutzrechtlicher Hinsicht wahrnimmt.
Art. 26: Auftragsdatenverarbeitung
Auftragsdatenverarbeitung soll durch Vertrag geregelt werden.
Art. 28: Dokumentation
Der Auftraggeber muss die Auftragsdatenverarbeitungsverhältnisse dokumentieren.
Art. 31: Meldepflicht
Bei Datenschutzverstößen muss die verantwortliche Stelle den Verstoß unverzüglich der Aufsichtsbehörde melden – wenn möglich, innerhalb von 24 Stunden.
Art. 32: Informationspflicht
Auch der Betroffene muss bei Datenschutzverstößen unverzüglich informiert werden.
Art. 34: Meldung und Genehmigungspflicht
Anstatt der jetzigen Verpflichtung von Unternehmen, alle datenschutzrelevanten Aktivitäten zu melden, sieht die Verordnung nun vor, dass die Unternehmen mehr Verantwortung bekommen. Trotzdem sieht Art. 34 vor, dass bestimmte Prozesse den Aufsichtsbehörden gemeldet werden müssen bzw. die Genehmigung eingeholt werden muss.
Art. 35: Betrieblicher Datenschutzbeauftragter
Ein Datenschutzbeauftragter muss bestellt werden, wenn die Datenverarbeitung durch eine öffentliche Stelle oder durch ein Unternehmen, welches 250 oder mehr Personen beschäftigt ausgeführt wird oder die Aktivitäten der verantwortlichen Stelle oder des Datenverarbeiters solche sind, die eine besondere datenschutzrechtliche Beaufsichtigung benötigen.
Art. 46: Datenschutzbehörden
Jeder EU-Staat soll bestimmen, dass eine oder mehrere Behörden für die Beaufsichtigung der Durchsetzung der Verordnung zuständig sind. Nach Art. 73 kann sich jeder Betroffene mit einer Beschwerde an die zuständige Aufsichtsbehörde wenden, wenn nach seiner Meinung ein Datenschutzverstoß vorliegt
Die Pressemitteilung der EU nennt weitere Punkte, die die Verordnung nun regeln soll:
- Organisationen müssen sich nur mit einer Datenschutzaufsichtsbehörde auseinandersetzen.
- Einwilligungen müssen explizit gegeben werden und nicht konkludent.
- EU-Regelungen müssen anwendbar sein, wenn Daten außerhalb der EU verarbeitet werden, das verarbeitende Unternehmen aber auch in der EU aktiv ist und seine Dienste EU-Bürgern anbietet.
- Sanktionen: Art. 79 (5), (6): bei Datenschutzverstößen können Bußgeldern bis zu 1 Millionen EUR verhängt werden oder bei Unternehmen bis zu 2 % des Jahresumsatzes.
Gerade der letzte Punkt könnte für erheblichen Diskussionsstoff sorgen. Denn eine prozentuale Strafe könnte auch deutsche Unternehmen weit empfindlicher treffen als die bisherigen Bußgelder des BDSG. Über die dort festgelegten Bußgelder von bis zu 300.000 EUR können Groß-Unternehmen nur müde lächeln.
Weiter problematisch: Auch Unternehmen, die sich an Nutzer in der EU richten, müssten sich künftig an die EU-Regeln halten. Reding: „Diese Regeln gelten für den gesamten Binnenmarkt. Sie gelten für alle Menschen in der EU, für alle Unternehmen, wo auch immer sie angesiedelt sind.”
Das Prinzip „One Stop Shop“ gelte künftig für Unternehmen wie Konsumenten – nun werde jeder einen einzigen, konkreten Ansprechpartner bekommen. Das bedeutet, dass man sich an die eigene Datenschutzbehörde wenden kann, wenn man beispielsweise einen Datenschutzverstoß von Facebook geltend machen möchte. Die Aufsichtsbehörde leitet diese Beschwerde dann an den eigentlichen „Übeltäter“ weiter.
Kritik aus den USA und Europa
Wie die Financial Times am Freitag berichtete, schrien die USA schon laut auf, bevor der Entwurf von Frau Reding überhaupt vorgestellt wurde. Hauptkritikpunkt: Der Entwurf könne, „Untersuchungen öffentlicher Behörden in einer Reihe von Gebieten wie Wettbewerb und Verbraucherschutz und (ironischerweise) Datenschutz blockieren und den Informationsaustausch zwischen US- und EU-Regulierungsbehörden behindern”, so die Washingtoner Federal Trade Commission in einem Schreiben an Brüsseler Spitzenpolitiker und Topbeamte wie etwa EU-Handelskommissar Karel De Gucht.
Verständlich, dass die großen amerikanischen Firmen wenig Lust darauf haben, auf einmal die strengen Datenschutzstandards der EU einzuhalten – denn das bedeutet für Google und Co. hohe finanzielle Verluste. Schließlich lässt sich mit Daten nicht schlecht Geld verdienen. Noch schlimmer als um das umstrittene Bankdatenabkommen SWIFT sei die Aufregung um die neue Verordnung, hiess es aus Brüsseler Kreisen schon in den letzten Tagen.
Kritik üben aber auch deutsche „Betroffene”: Bitkom-Präsident Prof. Dieter Kempf zum Beispiel sagt, die Ausweitung des Einwilligungsprinzips sei ein Problem, denn dadurch müssen Internetnutzer künftig in zahlreichen Einzelfällen eine jeweils gesonderte Zustimmung zur Datenverarbeitung geben.
„Es ist nur auf den ersten Blick verbraucherfreundlich, für alles und jedes eine gesonderte Einwilligung zu verlangen, und sei es noch so nachrangig. Mit einem solchen Ansatz würde das Web zu einem Hindernisparcours umgebaut.”
Thilo Weichert, Landesdatenschutzbeauftragter von Schleswig-Holstein, sieht sich weiter zuständig für Facebook:
Wenn die Datenverarbeitung nicht nur in Irland stattfindet, sondern wie im Fall von Fanpages auch in Schleswig-Holstein, sind wir auch weiterhin zuständig.“
Ob die Verordnung in solchen Fällen wirklich für Klärung und nicht für Verwirrung sorgt, bleibt abzuwarten.
Und die Kritik ist durchaus berechtigt: Denn neben der Frage der Sinnhaftigkeit einzelner Regelungen, würden die Regeln der EU künftig das deutsche Datenschutzrecht außer Kraft setzen. Dies würde bedeuten, dass bestimmte Punkte des BDSG unterlaufen werden würden, z.B. dass ein Datenschutzbeauftragter erst bei 250 Mitarbeitern bestellt werden muss und nicht bei mehr als 9 (die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, vgl. § 4f Abs. 1 BDSG). Frau Reding weist diese Bedenken zwar weit von sich:
„Die deutschen Datenschutzgesetze gehören zu den besten. In gewisser Weise haben wir die deutschen Regeln auf die übrigen 26 Staaten ausgedehnt. Die Deutschen sollten sich keine Sorgen machen, sondern sich freuen.”
Aber ob wir uns über diese Regelungen wirklich freuen dürfen, ist im moment sehr fraglich. Auf jeden Fall bleibt abzuwarten, was in den nächsten Monaten noch an Änderungen passieren wird – denn auch die Lobbyarbeit ist sicher noch nicht am Ende.
Webseite der Kommission zur Datenschutz-Reform.
