Passwort vergessen?  | 
 |  Passwort vergessen?  | 
Suche
  • Login
  • Login

Donnerstag, 19. Oktober 2017, Ausgabe Nr. 42

Donnerstag, 19. Oktober 2017, Ausgabe Nr. 42

Datenschutz

Europas Datenschutzreform verlangt Anpassungen

Von Christiane Schulzki-Haddouti | 15. Januar 2016 | Ausgabe 01

Seit Ende Dezember ist die europäische Datenschutzreform beschlossene Sache: Sie stärkt die Rechte der Anwender und stellt für Datenverarbeiter strengere Regeln auf. Überdies müssen Hunderte von Regeln im deutschen Recht aktualisiert werden. Verstöße können mit schmerzhaften Sanktionen geahndet werden.

11_BU
Foto: PantherMedia/Len44ik

Ausnahmeregelungen bei Altersverifizierung: Aktuell dürfen Kinder und Jugendliche Facebook, Whatsapp & Co. bis zu einer bestimmten Altersgrenze nur mit Zustimmung ihrer Eltern nutzen. Noch variiert das Alter in den EU-Staaten.

Nach langem, vierjährigen Ringen ist die europäische Datenschutzreform endlich in trockenen Tüchern. Damit gelten erstmals in allen 28 Mitgliedstaaten weitgehend einheitliche Regelungen.

Die Reform tritt in wenigen Wochen in Kraft, wobei sie aber erst ab 2018 umgesetzt werden muss. Das bedeutet, dass die nationalen Gesetze und Verordnungen in den nächsten zwei Jahren angepasst werden müssen.

Das deutsche hohe Datenschutzniveau bleibt in weiten Teilen erhalten, doch es gibt einige Klarstellungen und neue Elemente, die von Wirtschaft und Behörden ein Umdenken verlangen. So hat Deutschland Hunderte von Spezialregelungen etwa für Werbung und Videoüberwachung, die jetzt angepasst werden müssen. Wo es bereits europäische Spezialregeln gibt, wie in der E-Privacy-Richtlinie, die den Umgang mit Cookies regelt, werden diese noch 2016 aktualisiert.

Nach wie vor gilt der Grundsatz der Zweckbindung, wonach nur die personenbezogenen Daten erhoben werden dürfen, die zur Erfüllung eines Vertrags unbedingt notwendig sind. Außerdem gilt weiterhin der Grundsatz, dass keine personenbezogenen Daten verarbeitet werden dürfen, es sei denn, es gibt eine spezielle rechtliche Grundlage oder die Einwilligung des Betroffenen.

Neu ist, dass die Anforderungen an die Einwilligung deutlich strenger geworden sind. Diese muss freiwillig erfolgen. Ein Unternehmen darf keine Zustimmung für Daten verlangen, die zur Erfüllung des Vertrags nicht notwendig sind. Jan Philipp Albrecht von den Grünen, der Verhandlungsführer des Europäischen Parlaments ist, betont: „Die Zustimmung muss spezifisch geschehen und darf nicht zweideutig sein. Außerdem muss sie durch eine aktive, klar erkennbare Aktivität erfolgen.“

Die Vorgaben gelten für alle Datenverarbeiter, ungeachtet ihrer Größe: Betroffen sind also nicht nur Facebook und Google, sondern auch Start-ups und kleine Blogbetreiber. Das bedeutet auch, dass bislang erfolglos gebliebene technische Standards wie die Browsereinstellung „Do Not Track“ für Webseiten nun rechtlich verbindlich gemacht werden.

Für die Softwareentwickler bedeutet dies aber auch, dass sie etliche Nachbesserungen in den nächsten zwei Jahren vornehmen müssen. Neben der strengen Einwilligungsregelung könnten auch das neue „Recht auf Vergessen“ und die Datenportabilität eine echte Herausforderung darstellen. Jeder Anwender kann die Löschung seiner persönlichen Daten bei einem Datenverarbeiter verlangen, wobei dieser diese Anfrage auch an diejenigen weiterleiten muss, an die er die Daten weitergegeben hat.

Das „Recht auf Vergessen“ muss dabei gegen das Recht auf Information und das öffentliche Interesse abgewogen werden, wofür die Verordnung Verfahren geschaffen hat.

Bei einem Anbieterwechsel hat jeder Nutzer das Recht, seine persönlichen Daten mitzunehmen. Diese müssen in einem allgemein nutzbaren Format kostenfrei, schnell und elektronisch ausgehändigt werden. „Wenn auch kleine Anbieter Datenübertragbarkeit sicherstellen müssen, verlassen sie möglicherweise den Markt oder wagen gar keinen Markteintritt, weil die Kosten zu hoch sind“, befürchtet Barbara Engels vom Institut der Deutschen Wirtschaft.

Nicht betroffen sind Anbieter von den Regelungen, wenn sie die Daten anonym verarbeiten. Die EU-Justiz-Kommissarin Vera Jourová erkennt darin einen „recht starken Anreiz für die Unternehmen, von vornherein präventive Maßnahmen zu ergreifen, nicht gegen die Regeln zu verstoßen“.

 Zumal Regelverstöße richtig teuer werden können: Bußgelder dürfen bis zu 4 % des Jahresumsatzes erreichen oder bis zu 20 Mio. € betragen. In Deutschland durften bislang maximal Bußgelder von 300 000 € verhängt werden. Außerdem können Verbraucherverbände nun auch Bürgerbeschwerden aufgreifen und Klagen einreichen.

Neu ist auch, dass Bürger bei ihrer örtlichen Aufsichtsbehörde Beschwerden einreichen können, auch wenn eine andere Behörde für das betroffene Unternehmen zuständig ist. Die Behörden müssen dann in einem relativ aufwendigen Abstimmungsverfahren zu einem gemeinsamen Beschluss kommen.

Problematisch ist aber, dass es immer noch über 30 nationale Ausnahmeregelungen gibt. Bekanntes Beispiel ist die Altersverifizierung für Onlinedienste: Kinder und Jugendliche dürfen Dienste wie Facebook oder Whatsapp bis zu einer bestimmten Altersgrenze nur mit Zustimmung ihrer Eltern nutzen.

So ist generell das Alter von 16 Jahren vorgesehen, doch die Mitgliedstaaten können entsprechend ihrem nationalen Recht die Schranke tiefer legen. In jedem Fall müssen die Kinder 13 Jahre alt sein. Für große Anbieter wie Facebook oder Google dürfte die Vorgabe kein Problem sein, für kleine Start-ups könnte jedoch der Aufbau eines gesetzeskonformen Altersverifizierungssystems eine beträchtliche Hürde darstellen.

Die Reform stellt viele neue Anforderungen an die datenschutzgerechte Gestaltung von IT-Systemen und Onlinediensten, die angesichts der hohen Sanktionen wohl nicht mehr wie bisher ignoriert werden können.

Ob die Aufsichtsbehörden ihren neuen Aufgaben gewachsen sind, ist angesichts deren dünner Personaldecke zu bezweifeln (siehe VDI nachrichten Nr. 51/52/53 vom 18. 12. 15). Auch die Gerichte, die traditionell nur wenig mit datenschutzrechtlichen Fragen befasst waren, werden sich dank der Generalklauseln mit Auslegungsfragen intensiver beschäftigen müssen. Die nächsten Jahre werden daher auf allen Seiten einen intensiven Lern- und Anpassungsprozess mit sich bringen.

stellenangebote

mehr