Jetzt werden die Büroräume über dem Supermarkt im irischen Portarlington doch zu klein. Irlands Datenschutzbeauftragte Helen Dixon will ihr Personal in dem 8000-Seelen-Ort 80 Kilometer westlich von Dublin noch in diesem Jahr von 60 auf 100 Mitarbeiterinnen und Mitarbeiter aufstocken – und sucht dafür neue Räumlichkeiten. Mehr Datenschützer in Irland – das hat auch Auswirkungen für Bürgerinnen und Bürger in Deutschland: Immerhin werden von Irland aus wichtige Teile der Datenschutzbelange aller europäischen Kunden von Apple, Facebook, Google, Twitter oder WhatsApp kontrolliert.
Das Interner Link: irische Datenschutzniveau ist im Vergleich zu anderen EU-Ländern vergleichsweise gering. Die Software-Konzerne aus den USA nahmen dies als Einladung, dort ihre Europa-Zentrale zu eröffnen. Neben der vorteilhaften irischen Gesetzeslage waren auch die Sprache und günstige Steuersätze triftige Gründe für Google und Co., ihre EU-Hauptquartiere in Irland aufzuschlagen. Zum Ärger vieler deutscher Datenschützerinnen und Datenschützer, denn für alle 500 Millionen europäischen User gelten bei der Nutzung dieser Anbieter seither irische Schutzregeln.
Doch damit ist im Mai 2018 Schluss. Neun Jahre nach den ersten Anstrengungen der EU-Kommission in diese Richtung muss dann in allen Staaten der Union die Externer Link: Europäische Datenschutz-Grundverordnung (DSGVO) in nationales Recht umgesetzt sein. In Deutschland hat der Bundestag Ende April 2017 dafür das Externer Link: Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG-EU) beschlossen. DSGVO und DSAnpUG-EU ersetzen und ergänzen teils Jahrzehnte alte nationale Regelungen - in Deutschland wird das 40 Jahre alte Externer Link: Bundesdatenschutzgesetz abgelöst. Der Datenschutz soll so europaweit vereinheitlicht werden. Es sind allerdings noch zahlreiche nationale Öffnungsklauseln möglich, unter anderem bei den Datenschutzbeauftragten oder beim Beschäftigungsdatenschutz. Für die großen US-Interner Link: Internetkonzerne soll mit der DSGVO das "Forum-Shopping" (engl. "Gerichts-Einkaufsbummel") vorbei sein: Das heißt, dass die Unternehmen sich dann nicht mehr den vermeintlich schwächsten Kontrolleur in der EU aussuchen können, datenschutzrechtliche "Rückzugsräume" innerhalb Europas soll es nicht mehr geben.
Sperriger Name, jede Menge Auswirkungen
Datenschutz-Grundverordnung - ein sperriger Name, aber jede Menge Auswirkungen für alle, die in Europa im Netz unterwegs sind. Bei der Regelung geht es vorrangig um den Umgang mit den von Firmen im EU-Binnenmarkt immer umfassender gesammelten digitalen Daten - also etwa um die Regeln zur Weitergabe, Speicherung und Löschung von Daten oder um Dokumentationspflichten von Firmen. Die Aufzeichnung von Daten ist mittlerweile ein Riesengeschäft für Konzerne. Interner Link: Big Data geht jedoch häufig zu Lasten der Privatsphäre.
Die DSGVO versucht den Spagat zwischen diesem neuen globalen Geschäftsfeld und dem Recht auf informationelle Selbstbestimmung. Dafür zurrt die Verordnung die Datenschutzstandards für die nächsten Jahrzehnte in Europa fest und entscheidet damit maßgeblich über den künftigen Stellenwert von Privatsphäre und Bürgerrechten im globalen Waren- und Datenverkehr.
Die Verordnung wird von vielen Seiten im Detail kritisiert. Aus der Wirtschaft heißt es, die Dokumentationspflichten seien zu bürokratisch, das Schutzniveau für persönliche Daten insgesamt zu hoch. Datenschützer monieren dagegen, die Verordnung ermögliche die massenhafte Speicherung von personenbezogene Daten fast unbegrenzt. Dass es die Verordnung aber überhaupt gibt, begrüßen Unternehmen wie Verbraucherschützer. Einige von ihnen sehen in der DSGVO sogar einen "Meilenstein" für den Interner Link: Datenschutz in Europa und begrüßen die vielen neuen Schutzregeln. Unternehmerverbände unterstreichen, dass das Regelwerk Rechtssicherheit auch für Firmen und gleiche Bedingungen für alle Marktteilnehmer schaffe.
Hier die wichtigsten Regeln der DSGVO im Überblick
Zustimmung
Nutzerinnen und Nutzer müssen künftig eine Datenverarbeitung durch Unternehmen oder Institutionen bewusst und aktiv zulassen – und nicht aktiv ablehnen wie bisher. Die Verordnung stellt klar, dass die Einwilligung von Usern nicht vermutet werden darf. User müssen also künftig nicht mehr voreingestellte Haken aus Kästchen entfernen. Jede Zustimmung bedarf auch einer klaren zustimmenden Handlung. Diese muss freiwillig sein, ein Vertrag darf nicht an die Verarbeitung von Daten gebunden sein, die mit der erbrachten Leistung oder dem Produkt nichts zu tun hat. Eine Taschenrechner-App auf dem Smartphone darf beispielsweise nicht einfach auf Daten im Adressbuch zugreifen. Außerdem muss es möglich sein, Dienste anonym und unter Pseudonym zu nutzen. Zudem müssen dem User leicht verständliche Informationen darüber gegeben werden, wer seine Daten zu welchem Zweck wie und wo verarbeitet. Wirtschaftsverbände kritisieren, dass auch die anonymisierte Verwendung persönlicher Daten einer gesonderten Zustimmung bedarf.
Informationsrechte
Künftig sollen Nutzerinnen und Nutzer in der EU einen leichteren Zugang zu den von Firmen über sie gesammelten Daten haben. Jeder Europäer hat mit Inkrafttreten der DSGVO Anspruch darauf zu erfahren, welche Daten Unternehmen über ihn sammeln. Die Nutzungsbedingungen müssen leicht verständlich sein. Datenschutz-Symbole sollen die langen und oft nur für Juristen lesbaren Datenschutzerklärungen leicht und verständlich zusammenfassen.
Datenportabilität
Wer einen Anbieter wechseln möchte, hat das Recht, persönliche Daten mitzunehmen. Anbieter müssen die Nutzerdaten auf Anfrage auf elektronischem Weg und in einem allgemein nutzbaren Format kostenlos und schnell aushändigen.
Recht auf Vergessenwerden
Betreiber von Online-Seiten werden verpflichtet, Daten von Bürgerinnen und Bürgern auf deren Antrag zu berichtigen oder zu löschen. Datenverarbeiter wie Facebook oder Google müssen die Löschanfrage auch an Dritte weiterleiten, an die sie Daten weitergegeben hatten. Wenn die Informationen über eine Person veraltet sind und kein öffentliches Interesse an der Veröffentlichung dieser Information besteht, müssen Suchmaschinen bereits laut einem Urteil des Europäischen Gerichtshofs von 2016 Links zu persönlichen Daten auf Antrag löschen.
Privacy by design / Privacy by default (engl. Privatheit bei der Planung, Privatheit als Standardeinstellung)
Künftig müssen die Voreinstellungen bei elektronischen Geräten verbraucher- und datenschutzfreundlich sein. Datenschutz ist dann schon beim Planen („design“) von Technik oder Software und durch datenschutzfreundliche Standardeinstellungen („default“) zu berücksichtigen.
Datenschutzverstöße
Laut DSGVO müssen alle Datenschutz-Pannen – etwa infolge von Hacker-Angriffen – innerhalb von 72 Stunden bei einer Aufsichtsbehörde gemeldet werden. Die Betroffenen sind „ohne unangemessene Verzögerung“ zu benachrichtigen. Falls Bürgerinnen und Bürger Beschwerden haben, gilt für sie das „One-Stop-Shop“-Prinzip. Also können sie sich immer bei der Datenschutzbehörde ihres Mitgliedstaats beschweren, unabhängig davon, wo der Datenschutzmissbrauch passiert ist.
Drittstaaten
Personenbezogene Daten dürfen grundsätzlich nicht direkt an Behörden in Drittstaaten weitergereicht werden. Außer es gibt ein Rechtshilfeabkommen – etwa zu strafrechtlichen Zwecken. Als personenbezogene Daten gelten alle Informationen, die direkt oder indirekt einer Person zugeordnet werden können. Die Kommission muss regelmäßig über Datentransfers in Drittstaaten berichten. Der Datenaustausch zum Beispiel zwischen der EU und den USA ist umstritten. Im Oktober 2015 hatte der Europäische Gerichtshof die Weitergabe von Facebook-Daten in die USA unter dem Regime des sogenannten „Safe Harbor“-Abkommen für ungültig erklärt. Seit 2016 ist dessen Nachfolger, das sogenannte „Privacy Shield“-Abkommen, in Kraft.
Zustimmung erst ab 16
Die DSGVO legt das Mindestalter für die Abgabe einer rechtswirksamen Einwilligung in die Verarbeitung personenbezogener Daten auf 16 Jahre fest. Damit können Online-Dienste wie Facebook oder WhatsApp ohne Einwilligung der Eltern erst ab 16 Jahren genutzt werden. Derzeit gilt für Anbieter wie diese nach den US-Vorschriften ein Mindestalter von 13 Jahren. Kritiker dieser Regelung gehen davon aus, dass sich Jugendliche künftig vermehrt ohne Zustimmung der Eltern – und damit rechtswidrig – anmelden werden.
Sanktionen
Wenn Bestimmungen der DSGVO verletzt werden, drohen empfindliche Strafen in Höhe von bis zu 20 Millionen Euro oder aber bis zu vier Prozent des globalen Umsatzes. Bislang galten deutlich geringere Strafgelder, in Deutschland bis zu 300.000 Euro.
Datenschutz als Unternehmensziel
Die in der DSGVO aufgestellten Datenschutz-Grundsätze wie Datensparsamkeit, Transparenz, Zweckgebundenheit, Rechtmäßigkeit und IT-Sicherheit haben auch Einfluss auf die Unternehmensführungs- (Compliance)-Regeln in der EU. Die Einhaltung der Datenschutz-Grundsätze muss künftig durch Rechenschafts- und Dokumentationspflichten nachgewiesen werden. Zudem müssen künftig alle Unternehmen ein Datenschutzkonzept besitzen. Falls eine neue Technologie möglicherweise den Datenschutz gefährdet, müssen die Unternehmen eine Datenschutz-Folgenabschätzung vornehmen.
Scoring
Die neue Datenschutzverordnung der EU könnte Verbraucherschützern zufolge den Datenschutz bei der Ermittlung der Kreditwürdigkeit einzelner Bürgerinnen und Bürger schwächen. Die Verordnung macht laut Verbraucherzentrale Bundesverband (VZBV) beim sogenannten Scoring, der Bonitätsbewertung von Wirtschaftsauskunfteien wie der Schufa, deutlich weniger strenge Vorgaben als das deutsche Recht. Es drohe ein "massiver rechtlicher Rückschritt", kritisiert der VZBV. Denn im Gegensatz zum Bundesdatenschutzgesetz verhindere die EU-Verordnung beispielsweise nicht, dass mögliche finanzielle Forderungen an einen Verbraucher in die Bewertung einfließen, obwohl dieser deren Rechtmäßigkeit bestreitet. In Deutschland sei das hingegen laut VZBV seit 2010 ausdrücklich verboten. Künftig könnten ungeklärte Verbindlichkeiten aber in das Scoring aufgenommen werden.
Marktortprinzip
Verbraucherschützer wie der VZBV begrüßen jedoch, dass sich künftig jedes Unternehmen an die DSGVO halten muss, das im europäischen Markt agiert. Also gelten mit der Grundverordnung auch für US-Konzerne europäische Regeln. Bislang war bei umstrittenen Datenschutzpraktiken zum Beispiel von Facebook oft unklar, ob dafür deutsche, amerikanische oder irische Datenschutzgesetze gültig sind. Unternehmen müssen sich laut DSGVO nur noch mit einer Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.
