OLYMPUS DIGITAL CAMERA

Die EU-Datenschutz-Grundverordnung – Stärkung oder Schwächung des persönlichen Datenschutzes?

Mit der sogenannten Datenschutzverordnung will EU-Justizkommissarin Viviane Reding Regelungen zum Datenschutz in allen Mitgliedsstaaten der Europäischen Union vereinheitlichen. Dabei sollen die Rechte der Nutzer gestärkt werden und Strafen für die Missachtung von Regelungen deutlich erhöht werden. Wir haben Ihnen die wichtigsten Punkte der neuen Verordnung zusammengestellt.

Symbolbild: Raul Hernandez Gonzalez

Die EU-Datenschutzverordnung wurde im Januar 2012 von EU-Justizkommissarin Viviane Reding erstmals vorgestellt. Die Verordnung soll einen einheitlichen Umgang mit Daten in der ganzen EU ermöglichen, außerdem soll datenverarbeitenden Unternehmen eine sogenannte „One-Stop-Lösung“ ermöglicht werden: Anstatt Regelungen zum Datenschutz in jedem Mitgliedsland der EU einzeln beachten zu müssen, sollen so Unternehmen in Zukunft nur mit den Behörden des Landes, in dem sie registriert sind, in Sachen Datenschutz zusammenarbeiten müssen.

Nachdem die Datenschutzverordnung an mehreren Stellen korrigiert und nachgebessert wurde, gaben die Abgeordneten des Innenausschusses des EU-Parlaments im Oktober 2013 grünes Licht. Jetzt geht der Gesetzentwurf in Verhandlungen in der EU-Kommission und dem EU-Rat. So wollen die Parlamentarier die neue Verordnung bis zur Europawahl im Sommer 2014 „unter Dach und Fach  bringen“, wie Heise-Online berichtet.

Doch was würde sich bei einer Ablösung des, bisher in Deutschland geltenden Bundesdatenschutzgesetzes (BDSG) durch eine europäische Verordnung ändern? Wir haben Ihnen die wichtigsten Punkte zusammengestellt:

  • Unternehmen müssen EU-Verordnung achten, egal wo sie registriert sind: Die neue Verordnung soll für alle Unternehmen gelten, die in Mitgliedsländern der EU registriert sind. Jedoch nicht nur für diese: Jedes Unternehmen, dass Daten von EU-Bürgern verarbeitet oder seine Dienste EU-Bürgern anbietet, soll in Zukunft die neue EU-Datenschutzverordnung beachten müssen – ganz egal wo dieses registriert ist. So müssten auch Unternehmen wie Facebook bei deutschen Nutzern europäisches Recht anwenden. Der Anwendungsbereich des BDSG ist nicht so einfach definiert. Hier kommt es, vor allem bei Anwendern die im außereuropäischen Ausland sitzen, darauf an, wo die Daten erhoben oder verarbeitet werden. Das festzustellen kann problematisch sein. So kommt es beispielsweise darauf an, wie sich der Benutzer ins Internet einwählt oder wo die Unternehmensserver stehen.
  • Nutzer müssen explizit der Datennutzung einwilligen: Was bisher häufig im Kleingedruckten verschwand, soll in Zukunft standardisiert und verständlich abgefragt werden: Ist der Nutzer mit der Speicherung und Nutzung seiner Daten einverstanden? Dazu sollen Geschäftsbedingungen verständlich auf Websites präsentiert werden, mittels standardisierten Buttons soll der Nutzer diesen zustimmen oder sie ablehnen können. Außerdem dürfen Unternehmen Nutzerprofile nur dann erstellen, wenn Benutzer mittels ihrer Browsereinstellungen dies nicht untersagen. Die technischen Standards dazu sollen auf EU-Ebene zertifiziert werden.
  • 5000 Datensätze erfordern Datenschutzbeauftragte: Jedes Unternehmen, dass Daten von mindestens 5000 Betroffenen verarbeitet, benötigt einen Datenschutzbeauftragten. So kann also auch schon ein abonnentenreicher Newsletter dazu führen, dass Unternehmen einen Datenschutzbeauftragten benennen müssen. Bisher regelt das BDSG die Verpflichtung zu Datenschutzbeauftragten in Unternehmen, wenn dort mindestens zehn Personen ständig mit persönlichen Daten arbeiten.
  • Nutzer haben ein „Recht auf Löschung“:  Eigentlich war dieser Punkt als „Recht auf Vergessenwerden“ geplant. Das hätte Nutzern ermöglicht, Unternehmen zu verpflichten, alle persönlichen Daten nach einer gewissen Frist zu löschen, sozusagen die Daten vollständig „auszuradieren“. Jedoch wurde dieser Plan gekippt, nun haben Benutzer lediglich ein Recht auf die Löschung von Daten, sollten diese nicht richtig oder unzulässig gespeichert worden sein. Das könnte der Fall sein, wenn Nutzer beispielsweise nicht klar nach ihrer Einwilligung gefragt wurden. Dann müssten die betreffenden Unternehmen dafür sorgen, dass die Daten auch an anderen Stellen im Internet entfernt werden. Der Ansatz ähnelt dabei Paragraph 35 des BDSG, der die Löschung von Benutzerdaten regelt, jedoch hätten dank EU-Recht Nutzer ein Anrecht auf Löschung in der gesamten Staatengemeinschaft.
  • Unternehmen müssen mit empfindlichen Strafen rechnen: Verstoßen Firmen gegen die neue Datenschutzverordnung könnte das teuer werden. Verstöße gegen die Verordnung  sollen mit bis zu 100 Millionen Euro oder fünf Prozent des Jahresumsatzes bestraft werden können. Außerdem sollen Betroffene die Möglichkeit erhalten, Unternehmen auf immateriellen Schaden zu verklagen. So könnten auf Firmen, die gegen die Datenschutzverordnung verstoßen haben, neben EU-Strafen auch Schadensersatzforderungen von Privatpersonen zukommen. Die hohen Bußen sollen verhindern, dass große Unternehmen die Gefahr einer Strafzahlung einfach ins Geschäftsrisiko einkalkulieren. Damit liegen die Strafen bedeutend höher als beim BDSG, wo schwere Verstöße mit maximal 300.000 Euro geahndet werden können.

 

 

Die Debatte Keine Kommentare