Was auf Unternehmen zukommt
Die Folgen der EU-Datenschutzverordnung
Christoph Lixenfeld, seit 25 Jahren Journalist und Autor, vorher hat er Publizistik, Romanistik, Politikwissenschaft und Geschichte studiert.
1994 gründete er mit drei Kollegen das Journalistenbüro druckreif in Hamburg, schrieb seitdem für die Süddeutsche Zeitung, den Spiegel, Focus, den Tagesspiegel, das Handelsblatt, die Wirtschaftswoche und viele andere.
Außerdem macht er Hörfunk, vor allem für DeutschlandRadio, und produziert TV-Beiträge, zum Beispiel für die ARD-Magazine Panorama und PlusMinus.
Inhaltlich geht es in seiner Arbeit häufig um die Themen Wirtschaft und IT, aber nicht nur. So beschäftigt er sich seit mehr als 15 Jahren auch mit unseren Sozialsystemen. 2008 erschien im Econ-Verlag sein Buch "Niemand muss ins Heim".
Christoph Lixenfeld schreibt aber nicht nur, sondern er setzt auch journalistische Produkte ganzheitlich um. Im Rahmen einer Kooperation zwischen Süddeutscher Zeitung und Computerwoche produzierte er so komplette Zeitungsbeilagen zu den Themen Internet und Web Economy inklusive Konzept, Themenplan, Autorenbriefing und Redaktion.
Wer sich vor Augen führen will, wie uneins sich Europa in Sachfragen meistens ist, sieht sich am besten das Abstimmungsverhalten im EU-Parlament zum Entwurf der neuen Datenschutz-Grundverordnung an.
Detailliert nachzulesen ist es auf http://lobbyplag.eu. Einige Staaten sind für mehr DatenschutzDatenschutz - allen voran Deutschland, Frankreich und Österreich. Die meisten Länder allerdings für weniger. Besonders ausgeprägt ist diese Abneigung bei Abgeordneten aus Finnland, Dänemark, Belgien und Großbritannien. Alles zu Datenschutz auf CIO.de
Dennoch wird gerade in diesen Ländern das Datenschutzniveau steigen, denn die neue EU-Datenschutz-Grundverordnung orientiert sich trotz aller Widerstände in vielen Punkten an den strengeren deutschen Regelungen.
Und anders als Richtlinien können EU-Verordnungen nicht in jedem Land individuell umgesetzt - und auf Wunsch also auch abgeschwächt - werden. Eine Verordnung schafft direkt verbindliche, überall gleiche Rechtsnormen. So weit ist es allerdings noch nicht.
Google & Co. leisteten Widerstand
Kernziel der Verordnung ist es, Regeln für die Verarbeitung personenbezogener Daten durch private Unternehmen EU-weit zu vereinheitlichen. Dadurch sollen einerseits Verbraucher geschützt, andererseits aber auch der freie Datenverkehr innerhalb des Binnenmarkts sichergestellt werden.
Recht auf Vergessen werden und Datenportabilität
Zentrale Bestimmungen drehen sich auf das Recht auf Vergessenwerden und auf Datenportabilität. Letzteres bedeutet, das Unternehmen personenbezogenen Daten in einer Form speichern und auf Wunsch zur Verfügung stellen müssen, die es dem Kunden erlaubt, diese Daten zu einem anderen Anbieter zu portieren vulgo mitzunehmen.
Diese Regelungen werden ausdrücklich auch für Unternehmen gelten, die nicht aus der Europäischen Union stammen, vorausgesetzt, sie wenden sich mit ihren Angeboten (auch) an EU-Bürger. Betroffen ist also zu Beispiel GoogleGoogle. Wenig verwunderlich deshalb, dass der Suchmaschinenriese und andere US-IT-Unternehmen massiven Druck auf das Verfahren und seine möglichen Ergebnisse ausgeübt hatten. Alles zu Google auf CIO.de
Und auch einige Vertreter der deutschen IndustrieIndustrie äußerten die Befürchtung, im globalen Wettbewerb durch die neuen Regeln Nachteile zu erleiden. Hat die Lobbyarbeit was genützt? Top-Firmen der Branche Industrie
Firmen sollten Schutz restriktiv handhaben
Für Carsten Ulbricht, Rechtsanwalt und Datenschutzexperte von der Kanzlei Bartsch Rechtsanwälte in Stuttgart, sind die Details der geplanten Verordnung vor allem aus Unternehmersicht zwiespältig zu bewerten.
Aufmerksamkeit erfordern die für eine Datenverarbeitung notwendigen Einwilligungstatbestände und auch der in der Verordnung verankerte Grundsatz des "Privacy by Design". Gemeint ist damit eine sehr eng gefasste Zweckbindung bei der Sammlung und Speicherung persönlicher Daten.
Soziale NetzwerkeNetzwerke und andere Datensammler sollen künftig - anders als bei Facebook heute - dazu verpflichtet werden, in den Grundeinstellungen einer Internetplattform alle persönlichen Informationen zu verbergen und sie nur öffentlich zu machen, wenn sich der User expliziert dafür entscheidet. "Alle Unternehmen, die persönliche Daten sammeln, sollten sich hier die Einwilligungstatbestände genau ansehen und ihre Verfahren sehr restriktiv handhaben", sagt Ulbricht. Alles zu Netzwerke auf CIO.de
"Datensparsamkeit und Datenvermeidung"
Außerdem sollten Unternehmen nur erheben, was sie wirklich brauchen, rät Ulbricht. Schließlich steht in der Verordnung, dass Daten "sparsam zu halten" sind. Was viele nicht wissen: Der Grundsatz der "Datensparsamkeit und Datenvermeidung" steht auch seit Jahrzehnten im Bundesdatenschutzgesetz. Würden sich alle daran halten, wäre es mit dem ganzen Big Data-Hype wohl schnell wieder vorbei.
Die Verordnung ist zwar noch nicht final verabschiedet, aber Datenschutzexperte Carsten Ulbricht geht davon aus, dass es nur noch kleinere Änderungen am aktuellen Entwurf geben wird. Mit einem grundsätzlichen Aufweichen der Regelungen rechnet er nicht. Unternehmen sollten deshalb seiner Meinung nach im Vorfeld die eigenen Standards keineswegs senken.
Entwurf stärkt Datenschutz und Kontrolle
An einer Stelle allerdings wird die Gesetzeslage zukünftig laxer: Bisher benötigen Unternehmen in Deutschland ab 10 Mitarbeitern einen Datenschutzbeauftragen, zukünftig gemäß der EU-Verordnung erst ab 250.
Insgesamt fällt die Bewertung der neuen Verordnung bei Carsten Ulbricht positiv aus: "Der Entwurf stärkt Datenschutz und Datenkontrolle." Bei der Datensicherheit dagegen seien die Regelungen im Hinblick auf die ständig wachsenden Risiken zu allgemein ausgefallen. Dieser Bereich, so Ulbricht, sei aber schwierig zu regeln, weil sich die technischen Voraussetzungen ständig änderten.
Konkrete Regelungen fehlen
Dennoch hätten sich an dieser Stelle vor allem Sicherheitsunternehmen konkretere Regelungen gewünscht. Zum Beispiel Sascha Pfeiffer, Principal SecuritySecurity Consultant bei Sophos, einem traditionsreichen britischen Hersteller von Sicherheitssoftware. Er bemängelt, dass Verbraucher zwar vor dem Klau oder der unerwünschten Löschung ihrer Daten geschützt sein sollen, dass aber in dem EU-Entwurf nicht definiert ist, welche Maßnahmen genau für diesen Schutz sorgen sollen. Suboptimal findet er auch, dass es keine Verpflichtung zur Verschlüsselung von E-Mails und anderen Daten gibt. Alles zu Security auf CIO.de
Für bedenklich hält es das deshalb, weil immer häufiger große Datenmengen von fremden Rechner abgesaugt werden, ohne dass die betreffenden Personen oder die Firma davon sofort etwas bemerken. Gefährlich und schädlich ist es dennoch.
Sascha Pfeiffer: "Schließlich fände es ja auch niemand unbedenklich, wenn man ihm nachts das Auto klauen, einen Banküberfall verüben, dabei jemanden überfahren und es ihm anschließend wieder vor die Tür stellen würde." Pfeiffer plädiert - nicht ganz uneigennützig - für eine Pflicht zur Verschlüsselung der Daten und hält dies auch für technisch machbar.
Meldepflicht bei Datenverlust
Aus Unternehmenssicht sachgerecht findet er dagegen die ebenfalls im Entwurf der EU-Verordnung verankerte Meldepflicht bei Datenverlust. Sie schreibt vor, dass der Verlust von personenbezogenen Daten, etwa durch einen Hackerangriff, den Aufsichtsbehörden angezeigt werden muss - und auch den betreffenden Usern. Kommen Unternehmen dieser Meldepflicht nicht nach, drohen Strafzahlungen in einer Höhe von bis zu drei Prozent des Jahres-Weltumsatzes!
Sascha Pfeiffer von Sophos: "Wenn die Daten zum Zeitpunkt des Verlusts so geschützt waren, dass sie für unbefugte Personen unbrauchbar sind und das Unternehmen dies gegenüber der Aufsichtsbehörde nachweisen kann, dann entfällt die Pflicht zu Benachrichtigung jener User, deren Daten von dem Klau betroffen sind."
Sind IP-Adressen persönliche Daten?
Rechtsanwalt Carsten Ulbricht findet die generelle und für den Datenschutz allein entscheidende Unterscheidung zwischen personenbezogenen und nicht personenbezogenen Daten nicht mehr zeitgemäß. Weil heute fast alle Daten, die erhoben werden oder entstehen, auf den Verursacher dieser Daten zurückverfolgbar sind. Ulbricht: "Man kann zum Beispiel die Frage stellen, ob nicht auch IP-Adressen von Computern personenbezogene Daten sind."
Für sinnvoller hält er die Festlegung einer nach potenziellen Folgen eines Verlusts abgestuften Schutzwürdigkeit, um z.B. den Klau von Bankdaten stärker ahnden zu können als das Abhandenkommen von Urlaubsfotos aus einem sozialen Netzwerk.
Inkrafttreten der Verordnung kann noch dauern
Wann die neue Grundsatzverordnung kommt, ist noch unklar. Im EU-Parlament wurde sie im März dieses Jahres verabschiedet. Das dann folgende "Trialog-Verfahren" also die Verhandlungen zwischen Parlament, EU-Kommission und Mitgliedsstaaten, sollten eigentlich schon im Sommer diesen Jahres beginnen, zögerten sich aber - auch wegen der Neuwahl des EU-Parlaments - immer wieder hinaus.
Vor Frühjahr 2015 werden diese Verhandlungen nach Lage der Dinge nicht beginnen. Mit der Wirksamkeit der neuen EU-Datenschutz-Grundsatzverordnung rechnet Experte Carsten Ulbricht frühestens 2018.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)