Die geplante Datenschutzreform der EU lässt seit Dienstagabend die Wogen hochgehen. Die Rede war von einer Anhebung des Mindestalters zur Nutzung von Diensten wie Facebook auf 16 Jahre – ein Missverständnis, wie sich herausstellte. Die Politik bejubelt die Reform als Durchbruch, immerhin bringt sie eine Vereinheitlichung der Regelungen. Sowohl Datenschützer als auch Unternehmen melden jedoch Kritik an.

Warum war eine Reform notwendig?

Die alte Datenschutzrichtlinie stammt aus dem Jahr 1995. Zu diesem Zeitpunkt steckte Mobilfunk noch in den Kinderschuhen, die großen Onlineunternehmen wie Google und Facebook gab es noch nicht. Die Richtlinie war für die neuen Onlinedienste ungeeignet. 2012 hat die Europäische Kommission ein Datenschutzpaket vorgelegt, das die geltenden Vorschriften aktualisieren und ersetzen sollte. Eine Einigung konnte nun am Dienstag erzielt werden. Daran waren das EU-Parlament, der Europäische Rat und die Kommission beteiligt.

Woraus setzt sich das geplante Datenschutzpaket zusammen?

Das vorgeschlagene Datenschutzpaket besteht aus zwei Teilen: der Datenschutzgrundverordnung und der Richtlinie für Polizei und Strafjustiz. Ersteres soll Nutzern eine bessere Kontrolle ihrer personenbezogenen Daten ermöglichen und einheitliche Regeln für Unternehmen schaffen. Die Richtlinie für Polizei und Justiz hingegen soll die Rechtsvorschriften harmonisieren und betrifft den Datenschutz von "Opfern, Zeugen und Verdächtigen bei strafrechtlichen Ermittlungen oder im Strafverfahren", wie es von der Kommission heißt. Dadurch will man auch die grenzübergreifende Zusammenarbeit bei Ermittlungen erleichtern.

Was haben EU-Bürger davon?

Die neue Verordnung soll Bürgern mehr Rechte und die Kontrolle über ihre personenbezogenen Daten geben.

• Nutzer von Onlinediensten müssen besser von Unternehmen informiert werden, wie ihre Daten verarbeitet werden.
• Zur Verarbeitung ihrer Daten müssen Nutzer ihr ausdrückliches Einverständnis geben.
• Personenbezogene Daten können von einem Anbieter zum nächsten mitgenommen werden.
• Nutzer haben ein Recht darauf, dass persönliche Daten gelöscht werden, sofern es keine legitimen Gründe für deren Speicherung gibt. Es ist eine Fortsetzung des "Rechts auf Vergessen", wie es bereits bei Googles Suchmaschinenergebnissen gilt.
• Nutzer müssen sich bei Beschwerden in Zukunft nicht mehr an den EU-Sitz des Unternehmens wenden, sondern sollen eine nationale Anlaufstelle aufsuchen können.

Wird das Mindestalter zur Nutzung von Facebook und Co auf 16 Jahre angehoben?

Nein. Das war ein Missverständnis, dem sowohl Experten als auch Medien (auch DER STANDARD) aufgesessen sind. Die EU-Kommission wollte ein EU-weites Mindestalter von 13 Jahren festlegen, ab dem Jugendliche Onlinedienste wie Facebook und Google ohne Erlaubnis ihrer Erziehungsberechtigten nutzen dürfen. Dagegen wehrten sich jedoch einige Mitgliedsstaaten, die teilweise ein höheres Mindestalter forderten. In Spanien beträgt es 14 Jahre, in den Niederlanden liegt es bei 16 Jahren. Allerdings konnte man sich nicht darauf einigen. So ist es den Mitgliedsstaaten weiterhin erlaubt, das Mindestalter selbst zwischen 13 und 16 Jahren zu wählen. Darüber oder darunter darf es nicht liegen.

Was müssen Unternehmen tun?

Für Unternehmen bringt die neue Verordnung mehr Selbstregulierung und neue Verpflichtungen.

• Unternehmen und Organisationen müssen die nationalen Aufsichtsbehörden "so bald wie möglich über schwere Verstöße gegen den Datenschutz" informieren. Das ist beispielsweise der Fall, wenn im Zuge eines Hackerangriffs persönliche Daten gestohlen wurden. Die grundsätzliche Meldepflicht fällt allerdings.
• In Zukunft gibt es nur mehr eine einzige Aufsichtsbehörde als Anlaufstelle für Firmen.
• An die Regeln müssen sich auch jene Unternehmen halten, die ihren Hauptsitz außerhalb der EU haben, sofern sie ihre Dienste in der EU anbieten.
• Die Richtlinien müssen "von der frühesten Entwicklungsphase" an in Produkten und Dienstleistungen befolgt werden. Bei der Verarbeitung massenhafter Daten zum Zweck von Entwicklung und Forschung ist auf Pseudonymisierung zu setzen.
• Aufgrund der Verordnung werden Unternehmen Konzepte zum Löschen im Sinn des "Rechts auf Vergessen" entwickeln müssen.

Was passiert, wenn sich Unternehmen nicht daran halten?

Im Fall einer Missachtung der neuen Vorgaben drohen harte Strafen. Bislang lagen sie in Österreich bei 25.000 Euro. Die EU-Verordnung hebt die Strafen auf vier Prozent des Jahresumsatzes eines Unternehmens an. Bei großen Konzernen wie Google und Facebook kann das in die Milliardenhöhe gehen.

Was müssen Unternehmen nicht tun?

• Unternehmen werden nicht verpflichtet, einen eigenen Datenschutzbeauftragten zu ernennen, mit Ausnahme von Firmen, die sich auf Datenverarbeitung spezialisiert haben.
• Bei heiklen Datenanwendungen und der Massendatenverarbeitung müssen Unternehmen selbst eine Folgeabschätzung des Risikos treffen, es sei denn, "es besteht ein hohes Risiko". In diesem Fall müssen sie die Datenschutzbehörde hinzuziehen.
• Nutzer haben zwar das Recht auf die Herausgabe ihrer Daten, allerdings erlaubt die Datenschutzrichtlinie Klein- und Mittelunternehmen (KMU), dafür Gebühren zu verlangen. Nämlich dann, "wenn Anträge auf Zugang zu den Daten offensichtlich unbegründet oder unverhältnismäßig sind".
  

Warum gibt es Kritik an der Reform?

Obwohl die Einigung von vielen Seiten gelobt wird, gibt es an der Neuregelung auch viel Kritik. Juristen monieren, dass sie viele schwammige Formulierungen enthält, die bei Unternehmen zu Rechtsunsicherheit führen werden. Es wird erwartet, dass einige Punkte erst durch den Europäischen Gerichtshof geklärt werden. Da die Verordnung durch nationales Recht umgesetzt werden muss, droht zudem eine Zersplitterung, wenn Länder die Richtlinien unterschiedlich umsetzen. Aus der Branche kommt auch die Kritik, dass die neuen Regeln das Gleichgewicht zwischen dem Schutz der Privatsphäre und den Interessen der Firmen verfehlen. Es wird davor gewarnt, dass sich Investoren von Europa abwenden könnten.

Wann tritt die Verordnung in Kraft?

Beschlossene Sache ist die Reform noch nicht, aber auf dem besten Weg dorthin. Am Donnerstag wurde das neue Datenschutzpaket bereits im Ausschuss für Bürgerrechte des Europaparlaments angenommen. Anfang 2016 müssen das Europäische Parlament und der Rat die finale Version noch förmlich annehmen. In Kraft tritt die Reform dann zwei Jahre später, also voraussichtlich Anfang 2018. (Birgit Riegler, 17.12.2015)