Was steht in der Europäischen Datenschutz-Grundverordnung?
Datenschutz-Grundverordnung – ein sperriger Name, aber jede Menge Auswirkungen für alle, die in Europa das Internet nutzen. Der Journalist Kai Schöneberg erklärt die wichtigsten Details.Jetzt werden die Büroräume über dem Supermarkt im irischen Portarlington doch zu klein. Irlands Datenschutzbeauftragte Helen Dixon will ihr Personal in dem 8000-Seelen-Ort 80 Kilometer westlich von Dublin noch in diesem Jahr von 60 auf 100 Mitarbeiterinnen und Mitarbeiter aufstocken – und sucht dafür neue Räumlichkeiten. Mehr Datenschützer in Irland – das hat auch Auswirkungen für Bürgerinnen und Bürger in Deutschland: Immerhin werden von Irland aus wichtige Teile der Datenschutzbelange aller europäischen Kunden von Apple, Facebook, Google, Twitter oder WhatsApp kontrolliert.
Das irische Datenschutzniveau ist im Vergleich zu anderen EU-Ländern vergleichsweise gering. Die Software-Konzerne aus den USA nahmen dies als Einladung, dort ihre Europa-Zentrale zu eröffnen. Neben der vorteilhaften irischen Gesetzeslage waren auch die Sprache und günstige Steuersätze triftige Gründe für Google und Co., ihre EU-Hauptquartiere in Irland aufzuschlagen. Zum Ärger vieler deutscher Datenschützerinnen und Datenschützer, denn für alle 500 Millionen europäischen User gelten bei der Nutzung dieser Anbieter seither irische Schutzregeln.
Doch damit ist im Mai 2018 Schluss. Neun Jahre nach den ersten Anstrengungen der EU-Kommission in diese Richtung muss dann in allen Staaten der Union die Europäische Datenschutz-Grundverordnung (DSGVO) in nationales Recht umgesetzt sein. In Deutschland hat der Bundestag Ende April 2017 dafür das Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG-EU) beschlossen. DSGVO und DSAnpUG-EU ersetzen und ergänzen teils Jahrzehnte alte nationale Regelungen - in Deutschland wird das 40 Jahre alte Bundesdatenschutzgesetz abgelöst. Der Datenschutz soll so europaweit vereinheitlicht werden. Es sind allerdings noch zahlreiche nationale Öffnungsklauseln möglich, unter anderem bei den Datenschutzbeauftragten oder beim Beschäftigungsdatenschutz. Für die großen US-Internetkonzerne soll mit der DSGVO das "Forum-Shopping" (engl. "Gerichts-Einkaufsbummel") vorbei sein: Das heißt, dass die Unternehmen sich dann nicht mehr den vermeintlich schwächsten Kontrolleur in der EU aussuchen können, datenschutzrechtliche "Rückzugsräume" innerhalb Europas soll es nicht mehr geben.
Sperriger Name, jede Menge Auswirkungen
Datenschutz-Grundverordnung - ein sperriger Name, aber jede Menge Auswirkungen für alle, die in Europa im Netz unterwegs sind. Bei der Regelung geht es vorrangig um den Umgang mit den von Firmen im EU-Binnenmarkt immer umfassender gesammelten digitalen Daten - also etwa um die Regeln zur Weitergabe, Speicherung und Löschung von Daten oder um Dokumentationspflichten von Firmen. Die Aufzeichnung von Daten ist mittlerweile ein Riesengeschäft für Konzerne. Big Data geht jedoch häufig zu Lasten der Privatsphäre.Die DSGVO versucht den Spagat zwischen diesem neuen globalen Geschäftsfeld und dem Recht auf informationelle Selbstbestimmung. Dafür zurrt die Verordnung die Datenschutzstandards für die nächsten Jahrzehnte in Europa fest und entscheidet damit maßgeblich über den künftigen Stellenwert von Privatsphäre und Bürgerrechten im globalen Waren- und Datenverkehr.
Die Verordnung wird von vielen Seiten im Detail kritisiert. Aus der Wirtschaft heißt es, die Dokumentationspflichten seien zu bürokratisch, das Schutzniveau für persönliche Daten insgesamt zu hoch. Datenschützer monieren dagegen, die Verordnung ermögliche die massenhafte Speicherung von personenbezogene Daten fast unbegrenzt. Dass es die Verordnung aber überhaupt gibt, begrüßen Unternehmen wie Verbraucherschützer. Einige von ihnen sehen in der DSGVO sogar einen "Meilenstein" für den Datenschutz in Europa und begrüßen die vielen neuen Schutzregeln. Unternehmerverbände unterstreichen, dass das Regelwerk Rechtssicherheit auch für Firmen und gleiche Bedingungen für alle Marktteilnehmer schaffe.