EU-Parlament beschließt Datenschutzgrundverordnung

Datensicherung (Bild: Shutterstock)

Nach vier jahren der Diskussion tritt die Verordnung nun demnächst in Kraft. In gut zwei Jahren wird sie dann unmittelbar geltendes Recht in den 28 EU-Mitgliedsstaaten. Ziel ist in erster Linie der Schutz der Verbraucher. Firmen müssen bis dahin einiges tun, um die Vorgaben einhalten und die angedrohten, empfindlichen Strafen vermeiden zu können.

Das Europäische Parlament hat heute der als “Datenschutzgrundverordnung” bezeichnete Reform der aktuell geltenden Richtlinie 95/46/EG aus dem Jahr 1995 zugestimmt. Die Neuregelung wird damit in gut zwei Jahren unmittelbar geltendes Recht in den 28 EU-Mitgliedsstaaten. Ziel der EU-Parlamentarier ist es, mit der Reform “Nutzern die Entscheidung über ihre persönlichen Daten zurückzugeben, ein hohes und einheitliches Datenschutzniveau einzuführen sowie die EU für das digitale Zeitalter zu rüsten”. Dazu legt die Datenschutzgrundverordnung auch Mindeststandards für die Verwendung von Daten für polizeiliche und gerichtliche Zwecke fest.

EU-Parlament in Straßburg (Bild: EU-Parlament)

Die 1995 abgefasste, derzeit noch geltende Datenschutzrichtlinie stammt aus einer Zeit, in der das Internet noch wenig Bedeutung hatte. Das neue Regelwerk berücksichtigt deutlich mehr Aspekte der digitalisierten Welt. “Mit der Datenschutzgrundverordnung wird die Vision eines hohen einheitlichen Datenschutzniveaus für die gesamte Europäische Union Wirklichkeit. Dies ist ein großer Erfolg für das Europäische Parlament und ein starkes europäisches Ja zu starken Verbraucherrechten und mehr Wettbewerb im digitalen Zeitalter”, wird Jan Philipp Albrecht, Berichterstatter der Grünen im Europäischen Parlament, aus dem Anlass in einer EU-Pressemitteilung zitiert.

“Die Bürger können selbst entscheiden, welche persönlichen Daten sie freigeben wollen. Den Unternehmen gibt das neue Gesetz klare Vorgaben, weil in der ganzen EU dieselben Regeln gelten. Bei Verstößen müssen Unternehmen bis zu vier Prozent des Jahresweltumsatzes zahlen. Das neue Gesetz schafft Vertrauen, Rechtssicherheit und einen faireren Wettbewerb”, so Albrecht weiter.

Wichtigste Änderungen der neuen Vorschriften aus Sicht der Verbraucher sind das Recht auf Vergessenwerden, das Recht auf Datenübertragbakeit (an einen anderen Dienstleister) und das Recht Betroffener, über eine Verletzung des Schutzes der eigenen Daten informiert zu werden. Datenschutzbestimmungen müssen zudem künftig “in klarer und verständlicher Sprache” erläutert werden.

Datenschutz (Bild: Shutterstock/alphaspirit)

Mehr Aufwand und mehr Kosten für Firmen befürchtet

Diese bereits länger absehbaren Neuerungen werden bei IT- und sonstigen Verantwortlichen in Firmen noch für manche Sorgenfalten sorgen. Im Vorfeld hatten daher Verbände, etwa der Bitkom gefordert, das “europäische Datenschutzrecht müsse an die Erfordernisse des digitalen Zeitalters angepasst werden, damit die Möglichkeiten der modernen Datenverarbeitung für den wirtschaftlichen und gesellschaftlichen Fortschritt in Europa genutzt werden können.” Die EU-Kommission hatte solche Bedenken stets mit dem Gegenargument zu entkräften versucht, dass funktionierender Datenschutz das Vertrauen der Bürger in Onlineshops und Dienstleistungen aus dem Web erhöhen und damit letztlich den Umsatz der Anbieter ankurbeln werde.

Der Ansicht folgen nicht alle Beteiligten. So hatte etwa der Berufsverband der Datenschutzbeauftragten (BvD) heftige Kritik am Entwurf der Verordnung geäußert: Er befürchtet steigende Kosten und zusätzlichen bürokratischen Aufwand. Der Verband befürchtet quasi Kollateralschäden: Denn obwohl mit der Neuregelung der Datenschutz insbesondere bei Firmen wie Facebook und Google, bei denen Nutzerdaten Grundlage des Geschäftsmodells sind, europaweit klar und einheitlich geregelt werden soll, treffe sie aber “in erheblichem Umfang” auch Unternehmen, die zwar über schützenswerte Daten verfügen, aber eigentlich ganz andere Geschäftsmodelle betreiben. “Der größte Teil der Datenschutzarbeit in Betrieben wird durch branchennahe, weisungsfreie Experten erledigt”, argumentiert BvD-Vorstandsvorsitzender Thomas Spaeing vor knapp einem Jahr.

Die Aufsichtsbehörden wollten sich aber künftig auf Kontrolle ohne Beratung beschränken. “Das wird die Zusammenarbeit zwischen Unternehmen und Behörden erheblich erschweren”, so Spaeing damals. “Das wäre das Aus für den verlässlichen deutschen Datenschutz. Die Unternehmen zwingt es zu Mehrausgaben.” Die Verordnung wird 20 Tage nach der Veröffentlichung im EU-Amtsblatt in Kraft treten. Die Mitgliedstaaten haben zwei Jahre Zeit, die Bestimmungen der Richtlinie in nationales Recht umzusetzen.

Erste Stellungnahmen von Bitkom und Eco Verband

Oliver Sueme eco-Vorstand Politik und Recht (Bild: eco)
Oliver Süme, eco-Vorstand Politik und Recht (Bild: eco)

Der Bitkom begrüßt, dass die langjährigen Verhandlungen der EU-Institutionen über die Datenschutzverordnung zu einem Abschluss gekommen sind. Er gibt allerdings auch zu bedenken, dass auf Unternehmen mit der Verordnung zahlreiche neue Dokumentations-, Melde- und Genehmigungspflichten zukommen. Firmen müssten in Zukunft unter anderem Datenschutzfolgenabschätzungen durchführen, den Datenschutz bereits bei der Entwicklung neuer Produkte und Dienste beachten (“Privacy by Design”), datenschutzfreundliche Voreinstellungen vornehmen (“Privacy by Default”) sowie das neue Verbraucherrecht auf Datenübertragbarkeit umsetzen.

“Viele Regelungen der neuen Datenschutzverordnung sind so allgemein formuliert, dass nicht auf den ersten Blick klar ist, wie sie in der Praxis umgesetzt werden sollen. Das wird in der Anfangszeit zu einer gewissen Rechtsunsicherheit führen”, so Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit. Auch der Verband der Internetwirtschaft eco sieht ein gemeinsames europäisches Datenschutzrecht als “Standortvorteil im Wettbewerb um die digitalen Märkte der Zukunft. “Diese Modernisierung des europäischen Datenschutzrechts bietet uns jetzt die Chance, die Umsetzungs- und Anwendungsunterschiede des bestehenden Rechtsrahmens zwischen den Mitgliedsstaaten zu beseitigen. Die jetzt vom Europäischen Parlament verabschiedete Datenschutz-Grundverordnung schafft einen sach- und interessengerechten Ausgleich zwischen Bürgerrechten und wirtschaftlicher Datenverarbeitung”, so Oliver Süme, eco-Vorstand Politik und Recht.

Tipp: Wie gut kennen Sie sich mit der europäischen Technologie-Geschichte aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.