Wer sich vor Augen führen will, wie uneins sich Europa in Sachfragen meistens ist, sieht sich am besten das Abstimmungsverhalten im EU-Parlament zum Entwurf der neuen Datenschutz-Grundverordnung an.
Detailliert nachzulesen ist es auf http://lobbyplag.eu. Einige Staaten sind für mehr Datenschutz - allen voran Deutschland, Frankreich und Österreich. Die meisten Länder allerdings für weniger. Besonders ausgeprägt ist diese Abneigung bei Abgeordneten aus Finnland, Dänemark, Belgien und Großbritannien.
Dennoch wird gerade in diesen Ländern das Datenschutzniveau steigen, denn die neue EU-Datenschutz-Grundverordnung orientiert sich trotz aller Widerstände in vielen Punkten an den strengeren deutschen Regelungen.
Foto: CC CompuNet
Und anders als Richtlinien können EU-Verordnungen nicht in jedem Land individuell umgesetzt - und auf Wunsch also auch abgeschwächt - werden. Eine Verordnung schafft direkt verbindliche, überall gleiche Rechtsnormen. So weit ist es allerdings noch nicht.
Google & Co. leisteten Widerstand
Kernziel der Verordnung ist es, Regeln für die Verarbeitung personenbezogener Daten durch private Unternehmen EU-weit zu vereinheitlichen. Dadurch sollen einerseits Verbraucher geschützt, andererseits aber auch der freie Datenverkehr innerhalb des Binnenmarkts sichergestellt werden.
Recht auf Vergessen werden und Datenportabilität
Zentrale Bestimmungen drehen sich auf das Recht auf Vergessenwerden und auf Datenportabilität. Letzteres bedeutet, das Unternehmen personenbezogenen Daten in einer Form speichern und auf Wunsch zur Verfügung stellen müssen, die es dem Kunden erlaubt, diese Daten zu einem anderen Anbieter zu portieren vulgo mitzunehmen.
Foto: Tyler Olson - Fotolia.com
Diese Regelungen werden ausdrücklich auch für Unternehmen gelten, die nicht aus der Europäischen Union stammen, vorausgesetzt, sie wenden sich mit ihren Angeboten (auch) an EU-Bürger. Betroffen ist also zu Beispiel Google. Wenig verwunderlich deshalb, dass der Suchmaschinenriese und andere US-IT-Unternehmen massiven Druck auf das Verfahren und seine möglichen Ergebnisse ausgeübt hatten.
Und auch einige Vertreter der deutschen Industrie äußerten die Befürchtung, im globalen Wettbewerb durch die neuen Regeln Nachteile zu erleiden. Hat die Lobbyarbeit was genützt?
Firmen sollten Schutz restriktiv handhaben
Für Carsten Ulbricht, Rechtsanwalt und Datenschutzexperte von der Kanzlei Bartsch Rechtsanwälte in Stuttgart, sind die Details der geplanten Verordnung vor allem aus Unternehmersicht zwiespältig zu bewerten.
Aufmerksamkeit erfordern die für eine Datenverarbeitung notwendigen Einwilligungstatbestände und auch der in der Verordnung verankerte Grundsatz des "Privacy by Design". Gemeint ist damit eine sehr eng gefasste Zweckbindung bei der Sammlung und Speicherung persönlicher Daten.
Soziale Netzwerke und andere Datensammler sollen künftig - anders als bei Facebook heute - dazu verpflichtet werden, in den Grundeinstellungen einer Internetplattform alle persönlichen Informationen zu verbergen und sie nur öffentlich zu machen, wenn sich der User expliziert dafür entscheidet. "Alle Unternehmen, die persönliche Daten sammeln, sollten sich hier die Einwilligungstatbestände genau ansehen und ihre Verfahren sehr restriktiv handhaben", sagt Ulbricht.
"Datensparsamkeit und Datenvermeidung"
Außerdem sollten Unternehmen nur erheben, was sie wirklich brauchen, rät Ulbricht. Schließlich steht in der Verordnung, dass Daten "sparsam zu halten" sind. Was viele nicht wissen: Der Grundsatz der "Datensparsamkeit und Datenvermeidung" steht auch seit Jahrzehnten im Bundesdatenschutzgesetz. Würden sich alle daran halten, wäre es mit dem ganzen Big Data-Hype wohl schnell wieder vorbei.
Die Verordnung ist zwar noch nicht final verabschiedet, aber Datenschutzexperte Carsten Ulbricht geht davon aus, dass es nur noch kleinere Änderungen am aktuellen Entwurf geben wird. Mit einem grundsätzlichen Aufweichen der Regelungen rechnet er nicht. Unternehmen sollten deshalb seiner Meinung nach im Vorfeld die eigenen Standards keineswegs senken.
Entwurf stärkt Datenschutz und Kontrolle
An einer Stelle allerdings wird die Gesetzeslage zukünftig laxer: Bisher benötigen Unternehmen in Deutschland ab 10 Mitarbeitern einen Datenschutzbeauftragen, zukünftig gemäß der EU-Verordnung erst ab 250.
Insgesamt fällt die Bewertung der neuen Verordnung bei Carsten Ulbricht positiv aus: "Der Entwurf stärkt Datenschutz und Datenkontrolle." Bei der Datensicherheit dagegen seien die Regelungen im Hinblick auf die ständig wachsenden Risiken zu allgemein ausgefallen. Dieser Bereich, so Ulbricht, sei aber schwierig zu regeln, weil sich die technischen Voraussetzungen ständig änderten.
Konkrete Regelungen fehlen
Dennoch hätten sich an dieser Stelle vor allem Sicherheitsunternehmen konkretere Regelungen gewünscht. Zum Beispiel Sascha Pfeiffer, Principal Security Consultant bei Sophos, einem traditionsreichen britischen Hersteller von Sicherheitssoftware. Er bemängelt, dass Verbraucher zwar vor dem Klau oder der unerwünschten Löschung ihrer Daten geschützt sein sollen, dass aber in dem EU-Entwurf nicht definiert ist, welche Maßnahmen genau für diesen Schutz sorgen sollen. Suboptimal findet er auch, dass es keine Verpflichtung zur Verschlüsselung von E-Mails und anderen Daten gibt.
Für bedenklich hält es das deshalb, weil immer häufiger große Datenmengen von fremden Rechner abgesaugt werden, ohne dass die betreffenden Personen oder die Firma davon sofort etwas bemerken. Gefährlich und schädlich ist es dennoch.
Foto: Aleksandr Bedrin - Fotolia.com
Sascha Pfeiffer: "Schließlich fände es ja auch niemand unbedenklich, wenn man ihm nachts das Auto klauen, einen Banküberfall verüben, dabei jemanden überfahren und es ihm anschließend wieder vor die Tür stellen würde." Pfeiffer plädiert - nicht ganz uneigennützig - für eine Pflicht zur Verschlüsselung der Daten und hält dies auch für technisch machbar.
Meldepflicht bei Datenverlust
Aus Unternehmenssicht sachgerecht findet er dagegen die ebenfalls im Entwurf der EU-Verordnung verankerte Meldepflicht bei Datenverlust. Sie schreibt vor, dass der Verlust von personenbezogenen Daten, etwa durch einen Hackerangriff, den Aufsichtsbehörden angezeigt werden muss - und auch den betreffenden Usern. Kommen Unternehmen dieser Meldepflicht nicht nach, drohen Strafzahlungen in einer Höhe von bis zu drei Prozent des Jahres-Weltumsatzes!
Sascha Pfeiffer von Sophos: "Wenn die Daten zum Zeitpunkt des Verlusts so geschützt waren, dass sie für unbefugte Personen unbrauchbar sind und das Unternehmen dies gegenüber der Aufsichtsbehörde nachweisen kann, dann entfällt die Pflicht zu Benachrichtigung jener User, deren Daten von dem Klau betroffen sind."
Sind IP-Adressen persönliche Daten?
Rechtsanwalt Carsten Ulbricht findet die generelle und für den Datenschutz allein entscheidende Unterscheidung zwischen personenbezogenen und nicht personenbezogenen Daten nicht mehr zeitgemäß. Weil heute fast alle Daten, die erhoben werden oder entstehen, auf den Verursacher dieser Daten zurückverfolgbar sind. Ulbricht: "Man kann zum Beispiel die Frage stellen, ob nicht auch IP-Adressen von Computern personenbezogene Daten sind."
Für sinnvoller hält er die Festlegung einer nach potenziellen Folgen eines Verlusts abgestuften Schutzwürdigkeit, um z.B. den Klau von Bankdaten stärker ahnden zu können als das Abhandenkommen von Urlaubsfotos aus einem sozialen Netzwerk.
Inkrafttreten der Verordnung kann noch dauern
Wann die neue Grundsatzverordnung kommt, ist noch unklar. Im EU-Parlament wurde sie im März dieses Jahres verabschiedet. Das dann folgende "Trialog-Verfahren" also die Verhandlungen zwischen Parlament, EU-Kommission und Mitgliedsstaaten, sollten eigentlich schon im Sommer diesen Jahres beginnen, zögerten sich aber - auch wegen der Neuwahl des EU-Parlaments - immer wieder hinaus.
Vor Frühjahr 2015 werden diese Verhandlungen nach Lage der Dinge nicht beginnen. Mit der Wirksamkeit der neuen EU-Datenschutz-Grundsatzverordnung rechnet Experte Carsten Ulbricht frühestens 2018.