Datenschutzpaket für Europa: Kernelemente

Gepostet in Allgemein am 2. Mai 2013

Mal ehrlich? Die derzeitige Situation betreffend Datenschutz in Europa ist sehr unbefriedigend, der Handlungsbedarf groß: In allen 27 Mitgliedsstaaten gelten unterschiedliche Vorschriften (in Deutschland und Österreich Datenschutz zum Beispiel relativ stark ausgeprägt, in englischsprachigen Raum (Großbritannien, Irland, …) kaum. Innerhalb Europa zeigt sich eine große Zersplitterung auch in den Verantwortlichkeiten, viele Ausnahmeregelungen in den einzelnen Mitgliedsstaaten, etc..). Die derzeit uneinheitliche Rechtslage macht es möglich, dass sich Unternehmen wie Facebook in europäischen Ländern mit dem niedrigsten Datenschutz-Niveau niederlassen (z.b. Irland und Facebook). Das wäre nicht mehr möglich, da überall dieselben Datenschutz-Standards zu gelten haben.

Am 25. Januar 2012 hat die Europäische Kommission den Vorschlag für die Neuregelung des Datenschutzes in Europa – bestehend aus einer Verordnung für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und einer Richtlinie für Polizei- und Justizbereich präsentiert. Das Datenschutz-Paket ist eines der größten Gesetzes-Pakete, das derzeit auf europäischer Ebene verhandelt wird. Das Europaparlament setzt sich seit einem Jahr intensiv mit dem Paket auseinander. Es gilt als eines der am meisten seitens der „Industrie“ lobbiertesten und auch gleichzeitig als eines auch von NGOS und digitaler Zivilgesellschaft über soziale Netzwerke – v.a. Twitter (#EUdataP) meist kommentierten Pakete in der EU-Gesetzgebung überhaupt. Das so genannte „Datenschutz-Paket“ soll die bestehende Datenschutzrichtlinie aus dem Jahr 1995 (die damals bei Einführung schon als veraltert galt) ersetzen und der EU-Gesetzgebung, wonach der Schutz der persönlichen Daten ein Grundrecht darstellt (Artikel 16 über die Arbeitsweise des Vertrages, Artikel 8 der Grundrechte-Charta) Rechnung tragen.  Am 18. Juni 2013 wird der Innenausschuss des Europaparlaments über das Paket abstimmen. Im Plenum des EU-Parlament soll das Paket noch in diesem Jahr verabschiedet werden (2013). Dann dauert es zwei Jahre bis die neuen Regeln in die Praxis umgesetzt werden. Kurz um: Die neuen Datenschutz-Standards werden im Idealfall ab 2015 Realität sein.

Kernelemente des Datenschutz-Pakets

Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.  (Artikel 1)

Ein einheitlicher Datenschutz in ganz Europa und weltweit
Wenn die Verordnung erlassen wird, wird es ein EU-Datenschutzrecht sein, das die Unternehmen erfüllen müssen. Die neuen Regeln werden in der gesamten EU gelten – als auch für nicht EU-Unternehmen, die mit den Daten von europäischen BürgerInnen arbeiten (also z.b. ein US-Unternehmen mit Tochterfirma in Europa, etc..). Die Verordnung bringt höhere Datenschutzstandards – wie mit personenbezogenen Daten von EU-BürgerInnen in Europa und weltweit umgegangen werden darf. Für die Richtlinie sollen – sofern es beim Paketansatz bleibt – die gleichen Bestimmungen wie in der Verordnung gelten.

 „One Stop Shop“: Eine federführende Datenschutzbehörde
Die Verarbeitung von personenbezogen Daten durch ein Unternehmen, das in mehreren EU-Ländern ansässig ist, soll in Zukunft nur noch von einer „federführenden Datenschutzbehörde“ überwacht werden, derzeit sind – aufgrund der vielen unterschiedlichen einzelstaatlichen Regelungen viele unterschiedliche Behörden zuständig. Die federführende Behörde eines Unternehmens ist im Allgemeinen die Datenschutzbehörde des Landes, in dem die Hauptniederlassung des Unternehmens liegt. Die Hauptniederlassung wird nach Kriterien, wie zum Beispiel, wo sich die zentrale Verwaltung eines Unternehmens befindet, wo Management-Entscheidungen getroffen werden, etc… bestimmt. Die federführende Behörde eines Bürger/In ist die des jeweiligen Wohnsitzes. Für BürgerInnen bedeutet das, dass sie ihre Beschwerden an die Datenschutzbehörde in ihrem Mitgliedstaat richten können.

Sanktionen bei Datenschutzverletzungen  (Artikel 79)
Ein Verstoß gegen die neuen Datenschutzvorschriften soll mit einer Geldstrafe von bis zu € 1 Mio. oder 2% des weltweiten jährlichen Umsatz führen (Höchststrafe, geht es zum Bsp. Um die Weitergabe von sensiblen Daten im großen Stil). Die Strafen sind in der Verordnung nach drei Kategorien – je nach Schwere des „Verstoßes“ geregelt. Die „Schwere“ des Verstoßes soll von der jeweiligen Datenschutzbehörde festgelegt wird. Derzeit sind die Strafen sehr gering: Die maximale Geldstrafe in Großbritannien für eine Verletzung des Datenschutzrechts £ 500.000.  Der Lebensmittelkonzern Lidl musste im Jahr 2008 wegen der Bespitzelung von MitarbeiterInnen „nur“ 1,5 Millionen Euro Strafe zahlen. Lidl hat einen Jahresumsatz von 30,85 Milliarden Euro. Bei Anwendung des Verordnungsvorschlags müsste das Unternehmen nun 617 Millionen Euro zahlen. Hier macht der neue Vorschlag einen großen Unterschied, was wichtig ist. Es ist nicht einzusehen, warum Unternehmen mit Datenschutzverletzungen Profit machen und sich dann mit Minimalstrafen frei kaufen.

Recht auf Benachrichtigung (Artikel 15)
Datenmissbrauch muss sowohl der Datenschutzbehörde und den betroffenen Personen mitgeteilt werden. Benachrichtigung sollte unverzüglich und, sofern möglich, innerhalb von 24 Stunden geschehen. Unternehmen müssen über angemessene Verfahren verfügen, um diesen neuen Anforderungen gerecht zu werden.

Recht vergessen zu werden und Löschung (Artikel 17)
„Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung von sie betreffenden personenbezogenen Daten und die Unterlassung jeglicher weiteren Verbreitung dieser Daten zu verlangen“, Artikel 17. Personen haben das Recht, vergessen zu werden. Einzelpersonen haben das Recht auf die Löschung aller personenbezogenen Daten, die ein Unternehmen „besitzt“. Dazu gehören alle Fotos und Links zu Kopien von personenbezogenen Daten, die im Internet zum Beispiel in sozialen Netzwerken oder über Suchmaschinen gefunden werden können. Die Unternehmen müssen die Daten dauerhaft löschen – sofern nicht berechtigte Gründe bestehen, sie zu behalten.

Consent: Explizite Zustimmung
„Der für die Verarbeitung Verantwortliche trägt die Beweislast dafür, dass die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für eindeutig festgelegte Zwecke erteilt hat“ (Artikel 7). Die Einwilligung zur Verarbeitung von personenbezogenen Daten muss von einer betroffenen Person mittels klarer Aussage oder über eine affirmative Handlung (zb.  Durch eine Zustimmung durch das Anklicken einer Zustimmungsbox auf einer Webseite). Die betroffene Person muss das Recht haben, ihre Zustimmung jederzeit widerrufen zu können. Bei der Verarbeitung der Daten eines Kindes unter 13 Jahren ausdrückliche Zustimmung der Eltern.

Privacy by Design/Privacy by Default
Unternehmen müssen ihre Angebote möglichst datensparsam konzipieren und mit den datenschutzfreundlichsten Voreinstellungen anbieten. Ein starkes Prinzip der Zweckbindung bedeutet, dass nur die Daten erhoben werden, die zur Erbringung des Dienstes benötigt werden. Außerdem muss es die Möglichkeit geben, Dienste anonym und unter Pseudonym zu nutzen. Webseiten-Anbieter sollen keine Nutzungsprofile erstellen dürfen, wenn NutzerInnen durch die Privatsphäre-Einstellungen ihres Internetbrowsers signalisieren, dass sie das nicht wollen.

Unabhängige Datenschutzbeauftragte
In öffentlichen Behörden und Unternehmen mit 250 oder mehr Mitarbeitern, deren Kerngeschäft die Verarbeitungen von personenbezogen Daten betrifft und daher der regelmäßigen und systematischen Überwachung bedürfen es einen unabhängigeN DatenschutzbeauftragteN geben. Der Datenschutzbeauftragte muss in einem internen Register enthalten sein, das die Datenschutzbehörde kontrollieren darf.

Recht auf Datenübertragbarkeit
Werden personenbezogene Daten elektronisch in einem strukturierten gängigen elektronischen Format verarbeitet, hat die betroffene Person das Recht, von dem für die Verarbeitung Verantwortlichen eine Kopie der verarbeiteten Daten in einem von ihr weiter verwendbaren strukturierten gängigen elektronischen Format zu verlangen, Artikel 18.

Informationen: Gesammelte Änderungsanträge auf der Seite des EU-Parlaments