Die neue Datenschutz-Grundverordnung der EU soll noch vor Weihnachten kommen. Sie wird ein lange überfälliger Baustein für den digitalen Binnenmarkt werden. Zum ersten Mal werden einheitliche europaweite Datenschutzregeln verbindlich eingeführt. Das geschieht in einer Zeit, in der Datenschutz mehr denn je im Spannungsfeld zwischen dem individuellen Recht auf Privatsphäre beziehungsweise Datenfreiheit und Geschäftsmodellen steht, die in immer größerem Maße auf Daten aufbauen. Paul-Jasper Dittrich erklärt in diesem Blog Post die Relevanz eines europaweit vereinheitlichten Datenschutzes und analysiert die Auswirkungen der neuen Verordnung für EU-Bürger. Bereits erschienen ist Laura Maria Wolfstädters juristische Analyse zu den Datenschutz-Beschlüssen des EuGHs. Christopher Cosler analysiert im nächsten Blog Post mögliche Auswirkungen der neuen Verordnung auf Unternehmen und Geschäftsmodelle, die auf große Datenmengen angewiesen sind (Big Data).
Was bisher geschah: Schwieriger Verhandlungsprozess
Dieser Blogpost beschäftigt sich mit den politischen Auswirkungen der kommenden Datenschutz-Grundverordnung (DS-GVO), die im ordentlichen Gesetzgebungsverfahren die europäische Integration über den Datenschutz vorantreibt. Die EU ist damit auf dem Weg zu einer einheitlichen „Datenschutz-Union“. Die DS-GVO ersetzt die alte Datenschutzrichtlinie 95/46/EG. Sie wird nach einer Übergangszeit von zwei Jahren ab 2018 in Kraft treten und für mindestens ein Jahrzehnt Gültigkeit haben. Der Kommissionsentwurf wurde schon 2012 eingebracht, Anfang 2015 hat das Europäische Parlament den Entwurf in zweiter Lesung gebilligt. Im Moment befindet sich der Gesetzesentwurf im Trilog zwischen Parlament, Kommission und Rat. Der Trilog ist ein Vermittlungsausschuss, der immer dann einberufen wird, wenn der Rat Änderungsvorschlägen des Europäischen Parlaments aus zweiter Lesung nicht zustimmt. Die Kommission nimmt in diesem Verfahren eine moderierende und beobachtende Rolle ein. Es wird mit einem Verhandlungskompromiss noch vor Weihnachten 2015 gerechnet.
Dass dieser Prozess ungewöhnlich langwierig war, liegt auch an der Brisanz der Thematik. Datenschutzverbände, Technologieunternehmen haben massiv versucht, auf den Gesetzgebungsprozess Einfluss zu nehmen. Die europäischen Regierungen arbeiten ihrerseits mit vielen Änderungsanträgen daran Details der Verordnung im Trilog noch kurz vor Abschluss der Verhandlungen zu ändern. Einen Einblick darüber geben 11.000 Seiten EU-Dokumente und 300 Seiten vertraulicher Berichte deutscher EU-Diplomaten. Eine NGO hatte die eigentlich geheimen Dokumente veröffentlicht.
Worum geht es?
Was sind dabei die wichtigsten und am stärksten umkämpften Aspekte der neuen Verordnung? Die Verordnung zielt vor allem in zwei Richtungen: Strengere Auflagen für Unternehmen und die Stärkung der Mitbestimmungsrechte von Bürgern über ihre privaten Daten. Auf Unternehmen kommen vor allem verstärkte Dokumentations- und Kontrollpflichten zu:
- Einführung unabhängiger Datenschutzbeauftragter für EU-Unternehmen mit mehr als 250 Mitarbeitern (Parlamentsentwurf). Ursprünglich hatte die Schwelle beim Datenaufkommen statt bei der Mitarbeiterzahl angesetzt. Viele Internet-Unternehmen wie Uber oder Instagram haben nur sehr wenige Mitarbeiter, verarbeiten aber riesige Datenmengen. Inzwischen ist fraglich, ob der EU-weite betriebliche Datenschutzbeauftragte im Trilog eine Mehrheit findet – die Chancen stehen schlecht.
- Einführung von verpflichtenden Sanktionen. Unternehmen, die die neue Verordnung nicht einhalten, weil sie beispielsweise ihre Mitarbeiter überwachen lassen, wie das in Deutschland jahrelang der Discounter Lidl praktiziert hat, drohen in Zukunft hohe Bußgelder von bis zu zwei Prozent des Jahresumsatzes eines Unternehmens.
- Datenschutzfreundliche Grundeinstellungen. Bei Internetplattformen oder E-Commerce-Seiten müssen in Zukunft für User immer die höchsten Datenschutzregelungen voreingestellt sein.
Das Recht auf Privatsphäre ist ein Grundrecht, das sowohl in der Charta der Grundrechte als auch in der Europäischen Menschenrechtskonvention festgehalten ist. Der Parlamentsentwurf trägt diesem Grundrecht Rechnung. EU-Bürger sollen die Möglichkeit haben, den Umgang mit ihren Daten selbst zu bestimmen:
- Privacy by design. User bekommen in Zukunft standardmäßig die Möglichkeit, Dienste anonymisiert oder mithilfe eines Pseudonyms zu benutzen.
- Einwilligung für Datenweitergabe. Persönliche Daten dürfen darüber hinaus nur mit expliziter Einwilligung für beispielsweise Werbezwecke weiter verarbeitet werden. Um die Details dieser Maßnahme wird im Trilog hart gerungen.
- „Recht auf Löschen“. EU-Bürger können künftig von Unternehmen verlangen, über sie gesammelte Daten einzusehen und diese löschen zu lassen. Sind die Daten allerdings auf anderen Plattformen, zum Beispiel mittels Screenshots, weiter im Umlauf, haben die Unternehmen keinerlei Verpflichtung zur Löschung. Das ist eine abgeschwächte Version des „Rechts auf Vergessenwerden“.
Integration über den digitalen Binnenmarkt
Warum diese Änderungen von so großer Relevanz für so viele politische Akteure sind? Die Verordnung setzt den Rechtsrahmen für den zukünftigen Umgang mit privaten Daten in der gesamten Union. In Zukunft werden aber fast alle Bereiche von Wirtschaft und Gesellschaft weitgehend digitalisiert werden – zum Beispiel in der Medizin, der industriellen Fertigung oder der Bildung. Dabei entstehen große Mengen privater Daten. Damit hat die Verordnung kaum zu unterschätzende Auswirkungen auf Unternehmen, Regierungen sowie alle Europäer in ihrer Rolle als Bürger und Verbraucher. Eine Neuregelung war überfällig, um die alte Richtlinie von 1995 durch für alle Mitgliedstaaten vereinheitlichte Regeln zu ersetzen. Diese Vereinheitlichung entspricht auch dem Leitgedanken des Digitalen Binnenmarktes, der für digitale Dienstleistungen, zum Beispiel im E-Commerce, einen einheitlichen Markt schaffen soll. Wollen Unternehmen ihre Produkte über das Internet in der Union verkaufen, stoßen sie bisher auf 28 verschiedene nationale Datenschutzgesetze.
Ein weiteres Ziel der Vereinheitlichung ist zu verhindern, dass sich große Unternehmen in EU-Ländern ansiedeln, in denen der Datenschutz für sie am günstigsten ist (Forum-Shopping). Laxe Datenschutzgesetze oder eine schlechte Ausstattung der nationalen Datenschutzbehörde sollen kein Standortvorteil mehr sein. In den letzten Jahren ist vor allem Irland diesbezüglich in die Kritik geraten. Verschiedene Sichtweisen auf private Daten in Europa reflektieren dabei auch unterschiedliche Rechtstraditionen. Während Datenschutz in angelsächsischen Ländern eher als Verbraucherschutz aufgefasst wird, gilt er in Deutschland als essentielles Bürgerrecht, mit entsprechenden Konsequenzen für die Gesetzgebung. In Deutschland sind zum Beispiel betriebliche Datenschutzbeauftragte in Unternehmen, Vereinen und Behörden gesetzlich vorgeschrieben, wenn mehr als neun Personen Zugriff auf persönliche Daten haben. Eine ähnliche Institution existiert in anderen EU-Ländern kaum. Im Trilog hat Deutschland daher wenig Verbündete, Datenschutzbeauftragte EU-weit verbindlich durchzusetzen. Solche kleinen Beispiele illustrieren die Schwierigkeit der Vereinheitlichung.
Der „Goldstandard des globalen Datenschutzes“?
Darüber hinaus besteht die Hoffnung, mit der Verordnung eine Art „Goldstandard des globalen Datenschutzes“ festzulegen. Beim Schutz persönlicher Daten nimmt die EU weltweit eine Vorreiterrolle ein und verschafft sich eventuell sogar einen globalen Wettbewerbsvorteil. Die Hypothese ist, dass sich langfristig die ganze Welt an den hohen Datenschutzanforderungen der EU orientieren könnte, weil niemand am riesigen europäischen Markt vorbei kann. Ob es so weit kommt, bleibt abzuwarten, aber die Verordnung wird ohne Zweifel eines der schärfsten Schutzgesetze für private Daten weltweit für den größten Markt der Welt schaffen. Sie gilt zudem über die Grenzen der EU hinaus für alle Unternehmen, die auf dem europäischen Markt in irgendeiner Form Daten verarbeiten. Diese Tendenz war auch schon in den letzten Urteilen des BVerfG zu bemerken (vgl. etwa Google, Schrems, Weltimmo etc.). Die EU handelt damit als globaler Player, der den Anspruch hat, zukünftige globale Standards zu setzen.
Datensouveränität für EU-Bürger
Die Datenschutzgrundverordnung soll einen selbstbestimmten Umgang mit privaten Daten ermöglichen. Dies entspricht dem Prinzip des „mündigen Verbrauchers“, das die Rechtsprechung des EuGH und damit das Europarecht bisher geprägt hat. In diesem Zusammenhang ist viel von „Datensouveränität“ die Rede. Die Möglichkeit zum souveränen Umgang mit Daten muss dann allerdings auch aktiv genutzt werden. Jan Philipp Albrecht (Europäische Grüne), Berichterstatter für die neue Verordnung im Parlament, vergleicht das Gesetz mit der Straßenverkehrsordnung. Für den Straßenverkehr gelten auch strenge Regeln und Verbote, aber die einzelnen Bürger müssen dennoch lernen, wie man sich im Straßenverkehr eigenverantwortlich bewegt. Ebenso erfordert der Umgang mit privaten Daten Eigenverantwortlichkeit, die individuell gelernt werden muss.
Fazit
EU-Bürger profitieren datenschutzrechtlich unter dem Strich von der neuen Verordnung. Auch wenn es sicher nicht alle Details des Parlamentsentwurfs durch den Trilog schaffen werden, garantiert die Verordnung Unionsbürgern zum ersten Mal EU-weite detaillierte Standards und ermöglicht einen souveränen Umgang mit persönlichen Daten. Unternehmen in der EU haben zudem durch verschärfte Sanktionen und stärkere Kontrolle einen höheren Anreiz zur Compliance. Für Deutsche ändert sich dabei weniger als in manch anderen Ländern, da der Datenschutz in Deutschland bereits stärker ausgebaut ist und viele Elemente deutscher Gesetze in die Verordnung übernommen wurden.
Mit dieser „Datenschutz-Union“ schafft die EU eine neue Ebene europäischer Integration und füllt das europäische Grundrecht auf Privatsphäre mit Leben. Indem die EU privaten Daten einen besonderen Schutz zuweist, gewinnt sie auch ein Stück Legitimation bei denjenigen, die in der EU sonst nur ein Werkzeug zum Schleifen rechtlicher Standards zugunsten der Wirtschaft sehen. Darüber hinaus könnte die EU mit der Verordnung als Vorreiter Einfluss auf weltweite Gesetzgebungsprozesse beim Datenschutz, insbesondere in den USA, nehmen.
Paul-Jasper Dittrich ist Referent beim Bundesministerium für Verkehr und digitale Infrastruktur, zuvor arbeitete er für das Jacques Delors Centre.