Viele neue Rechte für Internet-Nutzer
Was das EU-Parlament in der neuen Datenschutzverordnung beschlossen hat
Brüssel. Sogar das Lob fiel am Ende ziemlich deutlich aus. Als eine „bahnbrechende Reform“lobte der Experte der Grünen Europa-Fraktion, Jan Philipp Albrecht, die neue Datenschutz-Grundverordnung, mit der sich die EU für das InternetZeitalter geliftet hat. Mit deutlicher Mehrheit stimmte das Europäische Parlament gestern in Straßburg zu den Regeln, die 2018 in Kraft treten werden. Sie sollen auch die Datensammler von Google, Facebook oder Apple an die Leine legen. Die bisherigen Vorschriften stammen aus dem Jahr 1995, als das World Wide Web noch in den Kinderschuhen steckte.
Nicht weniger euphorisch äußerte sich auch der Europa-Abgeordnete Axel Voss. „Der Daten-Wild-West geht zu Ende“, erklärte er. Seine sozialdemokratische Kollegin Birgit Sippel unterstrich, dass den „Bürgern die Kontrolle über ihre Daten zurückgegeben“werde. Tatsächlich hat die Union in zwei Jahren gemeinsame Standards, die für alle 28 Mitgliedstaaten gelten. Im Internet wurden rechtliche Grauzonen und Lücken ausgemerzt (siehe auch Fragen & Antworten rechte). Künftig kann sich niemand mehr damit hinausreden, dass seine Rechner in abgelegenen Ecken der Welt stehen, wo nationaler Datenschutz nicht gilt. Das sogenannte Marktortprinzip gilt als „Revolution im Ver- braucherschutz“, denn künftig ist der Anbieter dafür verantwortlich, dass das Recht der EU eingehalten wird, wenn seine Inhalte hier nutzbar sind – eine völlige Umkehrung der bisherigen rechtlichen Praxis. Nur so war es möglich, auch die großen US-Konzerne wie Google, Facebook & Co. auf die hierzulande üblichen Datenschutz-Vorschriften festzulegen.
„Die neuen Regeln geben Rechtssicherheit für alle Beteiligten“, meinte Albrecht. Doch über das neue „Recht auf Vergessen“oder Altersbeschränkungen für Facebook-Nutzer hinaus fürchten Kritiker vor allem Probleme, mit denen kleine und mittelständische Betriebe zu kämpfen haben werden. Der Branchenverband Bitkom hatte schon im Vorfeld vor mehr „Rechtsunsicherheit und bürokratischem Aufwand“gewarnt. Und auch beim Bundesverband Digitale Wirtschaft (BVDW) hätte man sich intelligentere und etabliertere Lösungen gewünscht – wie beispielsweise die in Deutschland angewandte „Pseudonomisierung von Daten“. Dabei wird der Personenbezug der Informationen durch einen Code
Grünen-Europa-Politiker Jan Philipp Albrecht findet die neue Datenschutz-Grundverordnung der EU „bahnbrechend“.
ersetzt, der die Identifizierung verhindert. „Die Datenschutz- Grundverordnung wird ein Hemmschuh für Big-Data-Anwendungen“, befürchtet auch der CDU-Experte Voss. Er sieht sogar die Gefahr, dass die Novelle bis zu ihrem Inkrafttreten in zwei Jahren schon wieder von neuen technischen Möglichkeiten und Standards überholt sein könnte. Noch ist darüber hinaus unklar, wie Polizei und Justiz die neuen Freiräume beim Umgang mit den Daten in der Strafverfolgung nutzen. „Strenge Regeln, die die persönlichen Angaben von Beschuldigten während strafrechtlicher Ermittlungen sowie im notwendigen Umfang auch nach einem möglichen Urteil schützen“, habe man erlassen, hieß es von der SPD-Innenexpertin Sippel. Und auch Voss betonte, man habe „viele Datenschutz-Maßnahmen“vorgesehen, so dass niemand wegen möglicher Speicherung von Angaben „beunruhigt“sein müsse. Ohnehin würden lediglich zehn Prozent der erfassten persönlichen Informationen von den Fahndungsbehörden genutzt. Diese Möglichkeiten müssten die Behörden allerdings haben, um „die richtige Antwort auf den Terror geben zu können.“
Es ist ein Datenschutz-Paket mit vielen neuen Rechten für Verbraucher. Wenn die gestrige Einigung des Europäischen Parlamentes spätestens 2018 in Kraft tritt, müssen sich alle Anbieter im Internet umstellen, denn ihre Kunden bekommen neue Möglichkeiten, um sich gegen Datenklau und dubiose Geschäftspraktiken zur Wehr zu setzen. Das sind die wichtigsten Punkte:
Die neue Datenschutz-Grundverordnung gilt für die ganze Europäische Union. Das ist gut so. Aber viele Anbieter sitzen in anderen Teilen der Welt. Was bringt das also? Bisher konnten sich solche Anbieter tatsächlich damit rausreden, dass ihre Rechner auf den Fidschi-Inseln oder auf irgendeinem abgelegenen Atoll stehen. Das ist künftig nicht mehr möglich. Wenn sie ihre Inhalte auch in der EU anbieten, gilt für sie das europäische Datenschutz-Recht mit allen Regeln für den Verbraucherschutz.
Was kann ich denn tun, wenn ich mich beschweren oder Ansprüche geltend machen möchte? Jeder EU-Mitgliedsstaat muss eine Meldestelle einrichten. Die dortigen Mitarbeiter sind für alle Probleme im Netz zuständig – egal ob es um einen deutschen oder amerikanischen InternetDienst geht. In Deutschland könnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) dazu aufgerüstet werden.
Wie kann ich beispielsweise erreichen, dass meine persönlichen Daten im Netz gelöscht werden? Das „Recht auf Vergessen“wird nun erstmals geregelt. Jeder Nutzer kann Unternehmen wie Facebook, Google oder Apple auffordern, seine persönlichen Angaben zu löschen. Dazu reicht ein formloser Brief. Die Firmen sind dann verpflichtet, persönliche Informationen wirklich zu tilgen. Es reicht nicht, sie nur zu verstecken.
Bisher ist es üblich, dass Anbieter von Software oder Apps einen Download nur ermöglichen, wenn dafür umfangreiche persönliche Informationen preisgegeben werden. Kann man da etwas machen? Die jetzt beschlossene Datenschutz-Grundverordnung der EU erlaubt diese Praxis nicht mehr. Wer eine App verkaufen will, braucht keinen Zugriff auf das persönliche Adressbuch. Sollte ein Unternehmen tatsächlich persönliche Daten weiterverarbeiten wollen, ist dazu eine ausdrückliche Zustimmung des Users nötig.
Stimmt es, dass es beispielsweise für Facebook eine Altersgrenze geben wird? Das ist richtig. Jeder Nutzer muss künftig der Verwendung seiner Daten zustimmen. Diese rechtsverbindliche Erklärung kann ein unter 16-Jähriger aber nicht selbst abgeben, er braucht dazu die Einwilligung seiner Eltern oder Erziehungsberechtigten. Das läuft de facto auf eine untere Altersgrenze von 16 Jahren hinaus.
Aber solche Hinweise und Nutzungsbedingungen liest doch ohnehin kein Mensch, weil sie oft völlig unverständlich sind. Kann man da nichts tun? Auch an diesem Punkt muss nachgebessert werden. Statt komplizierter juristischer Texte wird es künftig eingängige Symbole geben, die sofort erkennen lassen, um was es geht. Wer Informationen der Nutzer weiter verarbeiten will, muss genau angeben, was mit den Daten geschieht.
Und wenn sich ein Unternehmen nicht an diese Pflichten hält? Die angedrohten Strafen sind drastisch. Sie können bis zu vier Prozent des weltweiten Jahresumsatzes reichen. Um ein Beispiel zu nennen: Sollte Google die europäischen Bestimmungen nicht einhalten, könnte ein Bußgeld von bis zu 2,4 Milliarden Euro fällig werden. Bei dieser Berechnung wurde der Jahresumsatz 2014 in Höhe von weltweit 59 Milliarden Euro zugrunde gelegt. dr