Von Svea Balzer
In der Europäischen Union gibt es zwei Formen der Gesetzgebung: Richtlinien und Verordnungen. Während Richtlinien von den Mitgliedstaaten in nationale Gesetze umgesetzt werden müssen, gelten Verordnungen unmittelbar und mit Vorrang vor nationalem Recht. Eine Richtlinie kann also 28 verschiedene nationale Gesetze nach sich ziehen, die sich lediglich an bestimmte EU-Vorgaben halten müssen. Verordnungen hingegen sorgen für eine einheitliche Gesetzgebung in allen 28 Mitgliedstaaten.
Ausgangslage: Ein Flickenteppich an Datenschutzgesetzen
Für den Schutz der Daten der EU-Bürgerinnen und Bürger gab es seit 1995 eine Datenschutzrichtlinie, die viele wichtige und gute Prinzipien enthielt. Leider war ihre Durchsetzung zu schwach, da es für Unternehmen, die sich nicht an die Richtlinie hielten, keine Sanktionsmöglichkeiten gab. Darüber hinaus waren Unternehmen, die sich an die Vorgaben zum Datenschutz halten wollten, mit 28 unterschiedlichen Gesetzen konfrontiert, wenn sie EU-weit tätig sein wollten. Dieser Flickenteppich an Gesetzgebung stellte auch für die Kundinnen und Kunden ein Problem dar: Wollten sie ihre Rechte einfordern, konnten sie dies nur in dem Land tun, in dem das Unternehmen seinen Sitz hatte.
Die Reform des Datenschutzrechtes
Im Jahr 2012 legte die EU-Kommission einen Gesetzesvorschlag zur Reform des europäischen Datenschutzrechtes vor (Informationen zum EU-Gesetzgebungsprozess gibt es hier). Das Europäische Parlament ernannte den deutschen Grünen Jan Philipp Albrecht zum Berichterstatter für die Reform. Ein langer und intensiver Gesetzgebungsprozess folgte. Der Filmemacher David Bernet begleitete den Prozess für seinen Dokumentarfilm Democracy, der das Gesetzgebungsverfahren und auch die Lobbyschlacht rund um das neue Gesetz zur Datenschutzreform anschaulich und spannend aufbereitet.
Nachdem das Parlament sich unter der Verhandlungsführung von Jan Philipp Albrecht nach jahrelangem Ringen auf eine Position geeinigt hatte, begannen die so genannten Trilog-Verhandlungen zwischen dem Parlament, der Kommission und dem Rat. Im Dezember 2015 war es dann soweit: Die drei Institutionen einigten sich auf die neue Datenschutz-Grundverordnung, die ab dem 25. Mai 2018 in allen 28 EU-Mitgliedstaaten unmittelbar gelten wird.
Welche Neuerungen bringt das Gesetz?
Die EU-Datenschutz-Grundverordnung sieht starke Rechte für die EU-Bürgerinnen und Bürger und vor allem scharfe Sanktionen bei Verstößen gegen das Gesetz vor. Sie wird eine echte Verbesserung des Datenschutzes in Europa sein.
Die zehn wichtigsten Punkte der Datenschutzreform haben Jan Philipp Albrecht und sein Team in einem Flyer festgehalten. Außerdem haben sie ein Video produziert, das die Inhalte der Reform erklärt.
Zu den wichtigsten Neuerungen gehört, dass alle Daten, die einer Person zugeordnet werden können, geschützt werden müssen. Dafür müssen die Daten nicht unbedingt Hinweise auf die Identität einer Person enthalten – es reicht, wenn sie eine bestimmte Person wiedererkennen lassen. Somit sind also beispielsweise auch IP-Adresse oder Browsermerkmale geschützt.
Außerdem sollten die Nutzerinnen und Nutzer besser über die Verarbeitung ihrer Daten informiert werden, bevor sie dazu ihre Einwilligung erteilen. Die langen und unverständlichen Datenschutzerklärungen, die ohnehin niemand liest, sollen durch einfache Symbole ersetzt werden. Zentral ist in diesem Zusammenhang das so genannte Koppelungsverbot des neuen Gesetzes: Ein Anbieter darf sein Angebot nicht davon abhängig machen, dass die Nutzerinnen und Nutzer einwilligen, Daten preiszugeben, die für den Dienst gar nicht benötigt werden. So darf die Taschenlampen-App in Zukunft beispielsweise nicht mehr auf das Adressbuch im Smartphone zugreifen.
Die datenschutzfreundliche Technikgestaltung ist ein weiterer Eckpfeiler der Reform. Datenverarbeitende Unternehmen sind verpflichtet, ihre Dienste möglichst datensparsam zu konzipieren (Privacy by Design) und die Grundeinstellungen von Geräten oder Software müssen stets so vorgenommen sein, dass sie den maximalen Schutz der Privatsphäre erlauben (Privacy by Default). Sollte die Nutzerin oder der Nutzer trotzdem mehr Daten preisgeben wollen, können sie dies in den Einstellungen ändern, grundsätzlich ist aber ihre Privatsphäre erst einmal geschützt. Bislang ist das Gegenteil der Fall und viele Nutzerinnen und Nutzer sind schlicht überfordert mit den komplizierten Einstellungen.
Das Problem, dass viele Unternehmen gar keinen Sitz in der EU haben und sich deshalb nicht an das europäische Datenschutzgesetz halten müssten, wurde durch das Marktortprinzip gelöst: Die Datenschutz-Grundverordnung gilt für alle Unternehmen, die ihre Dienste in der EU anbieten – egal, wo sie ihren Sitz haben.
Schließlich wurden harte Sanktionsmechanismen eingeführt: Unternehmen, die sich nicht an die Gesetze halten, können mit Geldstrafen in Höhe von bis zu vier Prozent des Jahresumsatzes belegt werden. Das ist selbst für Unternehmen wie Facebook oder Google eine Menge Geld.
Weiterführende Links:
- Alle Informationen rund um die Datenschutz-Grundverordnung sind auf der Homepage von Jan Philipp Albrecht zusammengefasst. Sie bilden auch die Grundlage für diesen Text: https://www.janalbrecht.eu/themen/datenschutz-digitalisierung-netzpolitik/alles-wichtige-zur-datenschutzreform.html
- Einen guten Überblick liefert außerdem das ohnehin immer lesenswerte netzpolitik.org: https://netzpolitik.org/2016/eu-parlament-beschliesst-datenschutzgrundverordnung/. Hier gibt es auch Interview mit Filmemacher David Bernet: https://netzpolitik.org/2015/wir-schulden-es-snowden-datenschutz-sexy-zu-machen-filmemacher-bernet-im-interview/
- Rund um aktuelle Themen im Bereich Datenschutz und Netzpolitik aus Grüner Perspektive informiert der Blog http://gruen-digital.de/, auf dem die Grünen Konstantin von Notz, Jan Philipp Albrecht, Malte Spitz und Tabea Rößner bloggen.
Beitragsbild:
Abstimmung über die Datenschutz-Grundverordnung im Plenum des
Europäischen Parlaments am 12. März 2014. © European Union 2014