Gleicher Datenschutz für alle
Höhere Strafen, einheitliche Regeln: Was die neue EU-Datenschutzverordnung bringt.
WIEN. Vier Jahre hat es gedauert. Nun liegt sie vor, die neue EU-Datenschutzverordnung. Ein Überblick über die wichtigsten Änderungen für Nutzer und Betriebe.
1.
Sie vereinheitlicht den Datenschutz in allen 28 EU-Mitgliedsstaaten und passt ihn an die Anforderungen des 21. Jahrhunderts an. Die bisherigen Datenschutzregeln stammen aus dem Jahr 1995 und beruhten auf einer Richtlinie, die in jedem EULand in nationales Recht gegossen und daher überall anders ausgelegt wurde. Das ist bei der neuen Verordnung anders. Sie wirkt wie ein Gesetz, sobald sie in Kraft tritt; voraussichtlich wird das 2018 sein. Davor müssen EU-Parlament und Rat die politische Einigung von Dienstagabend noch formal absegnen.
2.
Die Positionen lagen im Parlament und im Rat weit auseinander. Im Parlament wurde sowohl seitens der Wirtschaft als auch der Datenschützer massiv lobbyiert. Letztlich gab es über 4000 Änderungsanträge zum ursprünglichen Vorschlag der Kommission. Auch unter den EU-Ländern lagen die Positionen weit auseinander. Deutschland und Österreich fürchteten etwa eine Absenkung des eigenen Niveaus beim Datenschutz.
3.
Welche Rechte bekommen Nutzer mit der Verordnung? Sie sollen grundsätzlich mehr Kontrolle über die Verwendung ihrer Daten bekommen. Zentral ist dabei das „Recht auf Vergessen“. Nutzer können künftig personenbezogene Daten sowie Fotos im Netz löschen lassen. Außerdem erhalten sie das Recht, ihre Daten zu einem anderen Anbieter mitnehmen zu können. Ein Vorteil ist auch: Nutzer können sich bei Problemen an die Datenschutzbehörde im Heimatland wenden. Sie müssen nicht mehr dort klagen, wo das Unternehmen seine Niederlassung in der EU hat.
4.
Persönliche Daten wie Adresse und Bankverbindung, aber auch Freundeslisten, Kontakte und Fotos sind künftig besser geschützt. Nutzer müssen eindeutig zustimmen, dass sie mit der Verarbeitung ihrer (sensiblen) Daten einverstanden sind – oder angeben, dass sie sie ablehnen.
5.
Grundsätzlich müssen Jugendliche mindestens 16 Jahre alt sein, um selbstständig das Einverständnis zur Verarbeiten ihrer Daten geben zu können. Davon ist auch die Nutzung von sozialen Netzwerken wie Facebook betroffen. Die Länder können das Alter aber auch niedriger, ab 13 Jahren, ansetzen.
6.
Ihnen drohen Strafen von bis zu vier Prozent ihres Jahresumsatzes. Das ist sogar für Internetriesen keine Kleinigkeit. Für Facebook, dessen Umsatz im Vorjahr 12,47 Mrd. Dollar (9,15 Mrd. Euro) betrug , würde das Strafzahlungen bis zu 50 Mill. Dollar (46 Mill. Euro) bedeuten. Bisher betrugen die Strafen für Datenschutzverletzungen in Österreich bis zu 25.000 Euro. Die neuen
Was ändert die neue Datenschutzverordnung? Warum hat die Reform vier Jahre gebraucht? Was ändert sich für Nutzer von sozialen Netzwerken?
Regeln gelten für alle Unternehmen, auch außerhalb der EU, die Daten von EU-Bürgern verarbeiten.
7.
Rechtsanwalt Rainer Knyrim befürchtet das Schlimmste: dass kleinere, heimische Unternehmen, aber auch Banken ständig wegen Datenschutzverletzungen zur Kasse gebeten werden. „Die Datenschutzverordnung ist so kompliziert und hat so viele Ausnahmen, dass sie ohne fachkundige Beratung unverständlich ist“, sagt er. Diese Beratungen sollen laut der Verordnung die nationalen Datenschutzbehörden übernehmen.
8.
Die Datenschutzbehörden sind auch diejenigen, die die Strafen für Datenschutzverletzungen verhängen. „Janusköpfig“sagt Andrea Jelinek, die Vorsitzende der österreichischen Datenschutzbehörde, dazu. „Es muss auf jeden Fall in nationalen Ausführungsgesetzen organisatorisch geregelt werden, dass der, der berät, nicht auch straft“, meint sie.
Die EU-Verordnung schreibt vor, dass die 28 Chefs der nationalen Datenschutzbehörden das „Europäische Datenschutzboard“bilden, das die Verordnung einheitlich auslegt. Diese Auslegung kann beim Europäischen Gerichtshof angefochten werden.
9.
Das lässt sich schwer sagen. Gut findet Datenschutzexperte Christof Tschohl, dass, wer Daten verarbeitet, vorab die Folgen abschätzen muss, will er eine Haftung vermeiden. Er warnt: „Bisher mussten Datenverarbeiter beweisen, dass keine überwiegenden Interessen Betroffener der Datenverwendung entgegenstehen. Nun ist nur mehr von den legitimen Interessen des Datenverarbeiters die Rede.“
Wie sieht es mit dem Jugendschutz im Netz aus? Was, wenn sich Konzerne nicht an die Regeln halten? Was kommt auf heimische Unternehmen zu? Wie läuft ein Datenschutzverfahren ab? Bringen die Regeln mehr oder weniger Datenschutz?