VERORDNUNG : Europa macht ernst beim Datenschutz
Die EU stellt strengere Regeln für den Umgang mit Daten auf und stärkt die Rechte der Verbraucher. Viele deutsche Gesetze werden obsolet
Nach beinahe vier Jahren Verhandlungen haben sich Vertreter des Europäischen Parlaments und der EU-Mitgliedstaaten Mitte Dezember auf neue europäische Regeln für den Datenschutz geeinigt. Die Datenschutzgrundverordnung, die im ersten Halbjahr 2018 in Kraft treten wird, ersetzt europäische Vorschriften aus dem Jahr 1995, einer Zeit, als es weder soziale Medien noch Online-Shopping gab. Jan Philipp Albrecht (Grüne), der Verhandlungsführer des Europäischen Parlaments, bezeichnete die neuen Regeln "als Riesenschritt für starke Verbraucherrechte und mehr Wettbewerb im digitalen Zeitalter".
Die Verhandlungen hatten sich so lange hingezogen, weil es sich um eine extrem komplexe Materie handelt. Es galt, einen Ausgleich zwischen den Interessen von Verbrauchern und Unternehmen zu finden. Zudem hatten sich Lobbyisten massiv in den Gesetzgebungsprozess eingeschaltet, weil es beim Geschäft mit dem Daten für die Wirtschaft um Milliardenbeträge geht. Parlamentarier haben 3.999 Änderungsanträge eingebracht - ein Rekord. Herausgezögert haben sich die Beratungen aber vor allem, weil sich die Mitgliedsstaaten nicht auf eine Position einigen konnten. Im Rat argumentierte die Bundesregierung lange, dass europäische Regeln zum Datenschutz das bisher hohe Niveau in Deutschland senken würden.
Die Enthüllungen über massive Spionage des US-Geheimdiensts NSA im Jahr 2013 haben dem Thema Privatsphäre dann zu neuer Bedeutung verholfen. Der Kompromiss ist vor diesem Hintergrund sehr verbraucherfreundlich ausgefallen. Aus der Wirtschaft kam daher herbe Kritik an den neuen Regeln. "Dies stellt einen gewaltigen Rückschritt für Europas digitale Ökonomie dar", sagt etwa Sébastien Houzé, Generalsekretär der europäischen Vereinigung der Direktmarketingunternehmen. Der Schattenberichterstatter der Europäischen Christdemokraten (EVP), Axel Voss (CDU), kritisiert ebenfalls: "Das neue Gesetz wird den digitalen Herausforderungen nicht gerecht." Allerdings hatte er erst sehr spät in den Verhandlungen darauf hingewiesen, dass die massenhafte Analyse von Daten ("Big Data") durch das neue Gesetz erheblich erschwert wird. In Brüssel hat diese Kritik zu einem Zeitpunkt, an dem die großen Linien längst festgelegt waren, für Irritationen gesorgt.
Vorteile für Unternehmen Die neuen europäischen Regeln werden die bisherigen 28 nationalen Vorschriften ablösen. In Deutschland wird das Bundesdatenschutzgesetz genauso obsolet wie unzählige Paragrafen zum Datenschutz, die sich in der Landesgesetzgebung befinden, etwa den Schulgesetzen der Länder oder aber auch im Arzneimittelgesetz und dem Telekommunikationsgesetz.
Für Unternehmen haben einheitliche europäische Regeln den Vorteil, dass sie sich nicht mehr in die unterschiedlichen nationalen Besonderheiten einarbeiten müssen. Nach Schätzungen der EU-Kommission sparen sie deshalb künftig im Jahr 2,3 Milliarden Euro. Einheitliche Regeln bedeuten aber auch, dass sich die Firmen nicht mehr den Standort mit den schwächsten Datenschutzregeln heraussuchen können, wie es Facebook gemacht hatte. Das US-amerikanische Unternehmen siedelte seine Europa-Zentrale bewusst in Irland an.
Gleichzeitig können Verbraucher sich im Heimatland beschweren, sollten sie Verstöße gegen den Datenschutz feststellen. Bisher mussten sie sich an die zuständige Behörde im Ausland wenden, was abschreckend wirkte.
Die Harmonisierung ist allerdings nicht so weit vorangeschritten, wie ursprünglich geplant. Juristen weisen darauf hin, dass etwa bei der Verarbeitung von personenbezogenen Daten von Arbeitnehmern und für Behörden Ausnahmen gelten. Experten gehen davon aus, dass Deutschland von diesen Ausnahmen Gebrauch machen wird.
Mit den neuen Regeln erhalten die Nutzer die Entscheidungshoheit über ihre Daten. Klar sei nun, "dass die Daten dem Individuum gehören und nicht dem Unternehmen", betont Viviane Reding, Christdemokratin aus Luxemburg, im Europäischen Parlament. Sie hatte als Justizkommissarin die Datenschutzgrundverordnung auf den Weg gebracht. "Was mit den persönlichen Daten geschieht, bedarf der Einwilligung des Individuums", ergänzte Reding.
Internetunternehmen wie Google, Facebook und Amazon müssen künftig eine Zustimmung bei den Nutzern einholen, wenn sie deren Daten nutzen wollen. Sie können die Daten dann auch nur zu dem Zweck einsetzen, den sie angegeben haben. Bisher durften Unternehmen in Deutschland Daten auch für andere Zwecke nutzen, etwa um einen Kunden für seine Treue zu belohnen, wenn er viel eingekauft hatte. Kunden erhalten außerdem das Recht, dass ihre Daten im Internet gelöscht werden ("Recht auf Vergessen") und dass ihnen Daten übergeben werden, wenn sie etwa von Facebook in ein anderes soziales Netzwerk wechseln wollen. Die Idee dahinter ist: Kunden sollen nicht an einen Anbieter gebunden werden, weil der an ihren Daten festhält. So soll der Wettbewerb gestärkt werden.
Ökonomen gehen allerdings nicht davon aus, dass die Datenübertragbarkeit grundsätzlich den Wettbewerb stärken wird. "Wenn auch kleine Anbieter Datenübertragbarkeit sicherstellen müssen, verlassen sie möglicherweise den Markt oder wagen gar keinen Markteintritt, weil die Kosten zu hoch sind", warnt Barbara Engels vom Institut der Deutschen Wirtschaft (DIW). Sie kritisiert die neue Regulierung in dieser Hinsicht als "zu vage", weil sie die Eigenheiten des jeweiligen Markts nicht berücksichtigt.
In der Praxis muss sich ohnehin noch zeigen, was die Datenübertragbarkeit bedeutet. Muss etwa der Eigentümer eines Leasingwagens dem Kunden die Daten auf einem USB-Stick aushändigen? Für Juristen ist dies noch nicht abschließend geklärt.
Unternehmen jedenfalls drohen künftig hohe Strafen, wenn sie sich nicht an Regeln halten. Bußgelder können bis zu vier Prozent des weltweiten Jahresumsatzes erreichen oder maximal 20 Millionen Euro. Die Mitgliedstaaten wollten die Bußgelder bei zwei Prozent des weltweiten Jahresumsatzes deckeln, doch die Europaabgeordneten drangen auf höhere Strafen. Mit ihrer Forderung nach maximal fünf Prozents des Umsatzes konnten sie sich jedoch nicht durchsetzen. In Deutschland gab es bisher Bußgelder von maximal 300.000 Euro, die jedoch nur selten verhängt wurden.
Die Verordnung sieht auch vor, dass Bürger einen Verbraucherverband damit beauftragen können, bei einem Verstoß gegen das Datenschutzrecht in ihrem Namen zu klagen. Verbraucherverbände sehen dies als "großen Fortschritt". Sie konnten bisher in Deutschland nur Verbandsklage einreichen, wenn Unternehmen ihre Allgemeinen Geschäftsbedingungen nicht deutlich offenlegten. Nun können sie auch vor Gericht ziehen, etwa wenn Daten unzulässig zu Werbezwecken genutzt werden.
Die neuen europäischen Regeln haben sich durchaus vom deutschen Datenschutz inspirieren lassen. Künftig müssen europäische Unternehmen, die in großem Stil sensible Daten verarbeiten oder das Verhalten von Verbrauchern überwachen, einen Datenschutzbeauftragten benennen. Bisher gab es dieses Amt verpflichtend nur in Deutschland, Italien und Schweden.
Neues Gremium Ein Novum ist der Europäische Datenschutzausschuss, in dem die Aufsichtsbehörden aller Mitgliedstaaten vertreten sein werden. Kommt es zum Verstoß eines Unternehmens, den die Datenschutzbehörden der Mitgliedstaaten unterschiedlich interpretieren, hat der Ausschuss das letzte Wort und fasst rechtskräftige Beschlüsse. In Deutschland ist allerdings noch nicht geklärt, welche Landesbehörde im Ausschuss vertreten sein wird: die Landesbehörde, in dem das betroffene Unternehmen ansässig ist oder eine Behörde, die Erfahrung mit ähnlich gelagerten Fällen hat? Der Föderalismus könnte sich hier für Deutschland als Nachteil erweisen, denn Datenschutz ist hierzulande Ländersache. Theoretisch stimmen sich die Länder beim Datenschutz im sogenannten Düsseldorfer Kreis ab, doch in der Praxis haben sie bisher unterschiedlich agiert.
Experten gehen davon aus, dass es dauern wird, bis sich zwischen den Behörden der Bundesländer eine einheitliche Rechtspraxis entwickeln wird. Und möglicherweise wird Deutschland bei den Diskussionen in dem Brüsseler Gremium nicht so entschlossen auftreten können wie etwa ein Zentralstaat wie Frankreich, das im Vorgängergremium des Europäischen Datenschutzausschusses sehr aktiv war und viele Vorschläge eingebracht hat.
Und auch in anderer Hinsicht wird wohl erst in einigen Jahren Klarheit herrschen: Weil einiges in der neuen Verordnung nicht eindeutig festgelegt ist, gehen Juristen davon aus, dass die Gerichte in den kommenden Jahren oft angerufen werden. "In vielen Fragen werden wir erst durch Richterrecht Klarheit bekommen", prognostiziert die Anwältin Sibylle Gierschmann von der Kanzlei Taylor Wessing.
Das EU-Parlament und die Mitgliedstaaten müssen dem Kompromiss Anfang des Jahres noch offiziell zustimmen, doch das gilt als Formsache.
Die Autorin ist Korrespondentin der Wirtschaftswoche in Brüssel.
Nach beinahe vier Jahren Verhandlungen haben sich Vertreter des Europäischen Parlaments und der EU-Mitgliedstaaten Mitte Dezember auf neue europäische Regeln für den Datenschutz geeinigt. Die Datenschutzgrundverordnung, die im ersten Halbjahr 2018 in Kraft treten soll, ersetzt europäische Vorschriften aus dem Jahr 1995, einer Zeit, als es weder soziale Medien noch Online-Shopping gab. Jan Philipp Albrecht (Grüne), der Verhandlungsführer des Europäischen Parlaments, bezeichnete die neuen Regeln "als Riesenschritt für starke Verbraucherrechte und mehr Wettbewerb im digitalen Zeitalter".
Die Verhandlungen hatten sich so lange hingezogen, weil es sich um eine extrem komplexe Materie handelt. Es galt, einen Ausgleich zwischen den Interessen von Verbrauchern und Unternehmen zu finden. Zudem hatten sich Lobbyisten massiv in den Gesetzgebungsprozess eingeschaltet, weil es beim Geschäft mit dem Daten für die Wirtschaft um Milliardenbeträge geht. Parlamentarier haben 3.999 Änderungsanträge eingebracht - ein Rekord. Herausgezögert haben sich die Beratungen aber vor allem, weil sich die Mitgliedsstaaten nicht auf eine Position einigen konnten. Im Rat argumentierte die Bundesregierung lange, dass europäische Regeln zum Datenschutz das bisher hohe Niveau in Deutschland senken würden.
Die Enthüllungen über massive Spionage des US-Geheimdiensts NSA im Jahr 2013 haben dem Thema Privatsphäre dann zu neuer Bedeutung verholfen. Der Kompromiss ist vor diesem Hintergrund sehr verbraucherfreundlich ausgefallen. Aus der Wirtschaft kam daher herbe Kritik an den neuen Regeln. "Dies stellt einen gewaltigen Rückschritt für Europas digitale Ökonomie dar", sagt etwa Sébastien Houzé, Generalsekretär der europäischen Vereinigung der Direktmarketingunternehmen. Der Schattenberichterstatter der Europäischen Christdemokraten (EVP), Axel Voss (CDU), kritisiert ebenfalls: "Das neue Gesetz wird den digitalen Herausforderungen nicht gerecht." Allerdings hatte er erst sehr spät in den Verhandlungen darauf hingewiesen, dass die massenhafte Analyse von Daten ("Big Data") durch das neue Gesetz erheblich erschwert wird. In Brüssel hat diese Kritik zu einem Zeitpunkt, an dem die großen Linien längst festgelegt waren, für Irritationen gesorgt.
Vorteile für Unternehmen Die neuen europäischen Regeln werden die bisherigen 28 nationalen Vorschriften ablösen. In Deutschland wird das Bundesdatenschutzgesetz genauso obsolet wie unzählige Paragrafen zum Datenschutz, die sich in der Landesgesetzgebung befinden, etwa den Schulgesetzen der Länder oder aber auch im Arzneimittelgesetz und dem Telekommunikationsgesetz.
Für Unternehmen haben einheitliche europäische Regeln den Vorteil, dass sie sich nicht mehr in die unterschiedlichen nationalen Besonderheiten einarbeiten müssen. Nach Schätzungen der EU-Kommission sparen sie deshalb künftig im Jahr 2,3 Milliarden Euro. Einheitliche Regeln bedeuten aber auch, dass sich die Firmen nicht mehr den Standort mit den schwächsten Datenschutzregeln heraussuchen können, wie es Facebook gemacht hatte. Das US-amerikanische Unternehmen siedelte seine Europa-Zentrale bewusst in Irland an.
Gleichzeitig können Verbraucher sich im Heimatland beschweren, sollten sie Verstöße gegen den Datenschutz feststellen. Bisher mussten sie sich an die zuständige Behörde im Ausland wenden, was abschreckend wirkte.
Die Harmonisierung ist allerdings nicht so weit vorangeschritten, wie ursprünglich geplant. Juristen weisen darauf hin, dass etwa bei der Verarbeitung von personenbezogenen Daten von Arbeitnehmern und für Behörden Ausnahmen gelten. Experten gehen davon aus, dass Deutschland von diesen Ausnahmen Gebrauch machen wird.
Mit den neuen Regeln erhalten die Nutzer die Entscheidungshoheit über ihre Daten. Klar sei nun, "dass die Daten dem Individuum gehören und nicht dem Unternehmen", betont Viviane Reding, Christdemokratin aus Luxemburg, im Europäischen Parlament. Sie hatte als Justizkommissarin die Datenschutzgrundverordnung auf den Weg gebracht. "Was mit den persönlichen Daten geschieht, bedarf der Einwilligung des Individuums", ergänzte Reding.
Internetunternehmen wie Google, Facebook und Amazon müssen künftig eine Zustimmung bei den Nutzern einholen, wenn sie deren Daten nutzen wollen. Sie können die Daten dann auch nur zu dem Zweck einsetzen, den sie angegeben haben. Bisher durften Unternehmen in Deutschland Daten auch für andere Zwecke nutzen, etwa um einen Kunden für seine Treue zu belohnen, wenn er viel eingekauft hatte. Kunden erhalten außerdem das Recht, dass ihre Daten im Internet gelöscht werden ("Recht auf Vergessen") und dass ihnen Daten übergeben werden, wenn sie etwa von Facebook in ein anderes soziales Netzwerk wechseln wollen. Die Idee dahinter ist: Kunden sollen nicht an einen Anbieter gebunden werden, weil der an ihren Daten festhält. So soll der Wettbewerb gestärkt werden.
Ökonomen gehen allerdings nicht davon aus, dass die Datenübertragbarkeit grundsätzlich den Wettbewerb stärken wird. "Wenn auch kleine Anbieter Datenübertragbarkeit sicherstellen müssen, verlassen sie möglicherweise den Markt oder wagen gar keinen Markteintritt, weil die Kosten zu hoch sind", warnt Barbara Engels vom Institut der Deutschen Wirtschaft (DIW). Sie kritisiert die neue Regulierung in dieser Hinsicht als "zu vage", weil sie die Eigenheiten des jeweiligen Markts nicht berücksichtigt.
In der Praxis muss sich ohnehin noch zeigen, was die Datenübertragbarkeit bedeutet. Muss etwa der Eigentümer eines Leasingwagens dem Kunden die Daten auf einem USB-Stick aushändigen? Für Juristen ist dies noch nicht abschließend geklärt.
Unternehmen jedenfalls drohen künftig hohe Strafen, wenn sie sich nicht an Regeln halten. Bußgelder können bis zu vier Prozent des weltweiten Jahresumsatzes erreichen oder maximal 20 Millionen Euro. Die Mitgliedstaaten wollten die Bußgelder bei zwei Prozent des weltweiten Jahresumsatzes deckeln, doch die Europaabgeordneten drangen auf höhere Strafen. Mit ihrer Forderung nach maximal fünf Prozents des Umsatzes konnten sie sich jedoch nicht durchsetzen. In Deutschland gab es bisher Bußgelder von maximal 300.000 Euro, die jedoch nur selten verhängt wurden.
Die Verordnung sieht auch vor, dass Bürger einen Verbraucherverband damit beauftragen können, bei einem Verstoß gegen das Datenschutzrecht in ihrem Namen zu klagen. Verbraucherverbände sehen dies als "großen Fortschritt". Sie konnten bisher in Deutschland nur Verbandsklage einreichen, wenn Unternehmen ihre Allgemeinen Geschäftsbedingungen nicht deutlich offenlegten. Nun können sie auch vor Gericht ziehen, etwa wenn Daten unzulässig zu Werbezwecken genutzt werden.
Die neuen europäischen Regeln haben sich durchaus vom deutschen Datenschutz inspirieren lassen. Künftig müssen europäische Unternehmen, die in großem Stil sensible Daten verarbeiten oder das Verhalten von Verbrauchern überwachen, einen Datenschutzbeauftragten benennen. Bisher gab es dieses Amt verpflichtend nur in Deutschland, Italien und Schweden.
Neues Gremium Ein Novum ist der Europäische Datenschutzausschuss, in dem die Aufsichtsbehörden aller Mitgliedstaaten vertreten sein werden. Kommt es zum Verstoß eines Unternehmens, den die Datenschutzbehörden der Mitgliedstaaten unterschiedlich interpretieren, hat der Ausschuss das letzte Wort und fasst rechtskräftige Beschlüsse. In Deutschland ist allerdings noch nicht geklärt, welche Landesbehörde im Ausschuss vertreten sein wird: die Landesbehörde, in dem das betroffene Unternehmen ansässig ist oder eine Behörde, die Erfahrung mit ähnlich gelagerten Fällen hat? Der Föderalismus könnte sich hier für Deutschland als Nachteil erweisen, denn Datenschutz ist hierzulande Ländersache. Theoretisch stimmen sich die Länder beim Datenschutz im sogenannten Düsseldorfer Kreis ab, doch in der Praxis haben sie bisher unterschiedlich agiert.
Experten gehen davon aus, dass es dauern wird, bis sich zwischen den Behörden der Bundesländer eine einheitliche Rechtspraxis entwickeln wird. Und möglicherweise wird Deutschland bei den Diskussionen in dem Brüsseler Gremium nicht so entschlossen auftreten können wie etwa ein Zentralstaat wie Frankreich, das im Vorgängergremium des Europäischen Datenschutzausschusses sehr aktiv war und viele Vorschläge eingebracht hat.
Und auch in anderer Hinsicht wird wohl erst in einigen Jahren Klarheit herrschen: Weil einiges in der neuen Verordnung nicht eindeutig festgelegt ist, gehen Juristen davon aus, dass die Gerichte in den kommenden Jahren oft angerufen werden. "In vielen Fragen werden wir erst durch Richterrecht Klarheit bekommen", prognostiziert die Anwältin Sibylle Gierschmann von der Kanzlei Taylor Wessing.
Das EU-Parlament und die Mitgliedstaaten müssen dem Kompromiss Anfang des Jahres noch offiziell zustimmen, doch das gilt als Formsache.
Die Autorin ist Korrespondentin der Wirtschaftswoche in Brüssel.