Die einen nennen sie Meilenstein, die anderen „eine Katastrophe“: die neue Datenschutzrichtlinie der EU, die am 25. Mai 2018 Rechtskraft erlangt. Sie stärkt die Verbraucher, bürdet Unternehmen aber eine Fülle neuer Pflichten und Schadenersatzrisiken auf.
Stuttgart - Von einer „Zeitenwende“ ist wiederholt die Rede auf der Herbstkonferenz des Berufsverbands der Datenschützer, die am Donnerstag in Stuttgart begonnen hat. Stefan Brink, der Landesbeauftragte für den Datenschutz, spricht von einer „Zäsur“. Es stehe ein radikaler Einschnitt bevor. Brink meint damit ein Regelwerk, das sich hinter dem schlichten Kürzel 2016/679 verbirgt. Manche Experten halten es für „eines der schlechtesten Gesetze des 21. Jahrhunderts“. Zu diesem Schluss kommt der Rechtswissenschaftler Thomas Hoeren, Leiter des Instituts für Informations- und Medienrecht an der Universität Münster. Schlicht ist nur die Registriernummer dieser EU-Norm. Die Datenschutz-Grundverordnung umfasst 88 Seiten im Amtsblatt der Europäischen Union mit 173 Vorbemerkungen und 99 Artikeln. Das umfängliche Werk stiftet in der Wirtschaft erheblichen Verdruss, auch Datenschützer sind unzufrieden.
Was ist neu? Die Datenschutz-Grundverordnung gilt unmittelbar in der gesamten Europäischen Union. Es gibt jedoch in Details Öffnungsklauseln, die es den Mitgliedstaaten ermöglichen, die Vorschriften der nationalen Rechtslage anzupassen. Die Verarbeitung von Daten ist nach der neuen EU-Norm nur zulässig, wenn eine Einwilligung vorliegt. Laut Datenschützer Brink gibt es für Deutschland die größten Änderungen „nicht beim materiellen Datenrecht“, sondern durch die Vereinheitlichung innerhalb Europas und wegen der „Bußgelder in abschreckender Höhe“. In der EU-Norm seien die bisherigen Standards des Bundesdatenschutzgesetzes „weitgehend umgesetzt“, sagt Joachim Rieß, oberster Datenschützer im Daimler-Konzern.
Wer profitiert davon? Im Fokus stehen Verbraucher und Internetnutzer. Deren Daten dürfen nur gespeichert und verwendet werden, wenn sie zuvor ausdrücklich zugestimmt haben. Bevor auch nur ein Bit von ihnen gespeichert wird, müssen Betroffene „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ informiert werden, so heißt es in einem Ratgeber der Industrie- und Handelskammer Stuttgart. Unternehmen, die personenbezogene Daten speichern, müssen auf Anfrage Auskunft über diese Daten erteilen, über deren Herkunft, Verarbeitungszwecke und die Dauer der Speicherung. Betroffene dürfen einer Nutzung widersprechen und verlangen, dass ihre Daten gelöscht werden. Die Erfinder der EU-Norm nennen das „Recht auf Vergessen“. Kunden haben andererseits den Anspruch, eine Kopie ihrer Daten in computerlesbarer Form mitzunehmen, wenn sie etwa den Stromanbieter oder die Telefonfirma wechseln. Jugendliche dürfen sich erst ab 16 ohne Zustimmung der Eltern bei Facebook & Co anmelden.
Welche Risiken haben Firmen? Unternehmen sind verpflichtet, genau zu dokumentieren, welche Daten sie gespeichert haben und wie sie diese nutzen. Im Falle von Rechtsverstößen drohen hohe Bußgelder: bis zu vier Prozent des Jahresumsatzes, im Maximalfall 20 Millionen Euro. Datenpannen müssen unverzüglich an die zuständige Aufsichtsbehörde gemeldet werden. Sobald in einem Unternehmen mehr als zehn Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind, muss es einen geben, der sich um den Datenschutz kümmert. Markt- und Meinungsforschungsinstitute sowie Adresshändler brauchen in jedem Fall eine solche Kontrollstelle. Die Richtlinie gilt auch für Firmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder Marktforschung hier betreiben.
Was ändert sich speziell bei uns? Das Bundesdatenschutzgesetz wurde bereits an die Vorgaben aus Brüssel angepasst. Damit ist es aber nicht getan. Laut Bundesinnenministerium müssen insgesamt 154 Gesetze umgeschrieben werden. Der Korrekturbedarf reicht von der Abgabenordnung bis zum Waffengesetz. Mit der fälligen Anpassung der einschlägigen Paragrafen wollen sich Kanzlerin Angela Merkel und ihre künftige Ministerriege „in einer der ersten Kabinettssitzungen der neuen Bundesregierung“ befassen – also erst im neuen Jahr. Ein genauer Termin ist noch nicht festgelegt.
Was stößt auf Kritik? Der Rechtsexperte Thomas Hoeren nannte die als „Meilenstein“ des Datenschutzes gelobte EU-Verordnung einmal die „größte Katastrophe des 21. Jahrhunderts“. Die Regeln zur Datenmitnahme bezeichnete er als „das Sinnloseste des Sinnlosesten“. Dutzende neuer Informationspflichten würden künftig nicht nur für Unternehmen, sondern auch für Vereine und jeden Betreiber einer Website gelten. Der Grünen-Politiker Konstantin von Notz beklagte, „dass Vorgaben der Verordnung bei den Transparenz- und den Betroffenenrechten missachtet“ worden seien. Für eine effektive Umsetzung der Datenschutzvorgaben müssten die Aufsichtsbehörden „zwingend“ mehr Personal erhalten.
Joachim Rieß, Datenschützer bei Daimler, bewertet die europaweite Vereinheitlichung des Datenrechts als „positiven Effekt“: „Das Problem sind die Detailregelungen.“ Eine davon ist die am Donnerstag vom EU-Parlament beschlossene E-Privacy-Richtlinie. Sie regelt den Datenschutz in der Telekommunikation und im Internetverkehr. Hans Demmel vom Verband Privater Rundfunk und Telemedien sieht seine Branche durch solche Auflagen „gefährdet“. Das Branchenmagazin „Horizont“ wertet die Entscheidung als „schwarzen Tag für die Werbeindustrie“. Der Bundesverband Deutscher Zeitungsverleger sieht in der EU-Grundverordnung „die notwendige Balance zwischen freier Datenverarbeitung und sinnvollem Datenschutz“ nicht gewahrt. „Eine restriktive Auslegung des neuen Rechts könnte die adressierte Leserwerbung, die interessenbasierte Online-Werbung und wichtige Bereiche des E-Commerce weitgehend beschneiden“, kritisierte er, als die wegweisende Norm vor anderthalb Jahren in Brüssel beschlossen wurde. Die Verleger monieren „unübersichtliche und überbordende Informations- und Begründungspflichten“.