Geschafft! Neuer Datenschutz für die Europäische Union

Foto: Jan Philipp Albrecht via Twitter: These are the people who struck the agreement on the EU's #dataprotection package tonight in #Strasbourg. #EUdataP

Geschafft! Neuer Datenschutz für die Europäische Union

Vier Jahre lang wurde in der Europäischen Union über einen neuen rechtlichen Rahmen für Datenschutz verhandelt. Wir haben den Prozess von Anfang an kritisch begleitet. Am Dienstag, 15. Dezember 2015 wurde in der neunten Trilog-Verhandlung zwischen Vertretern des Parlaments, der Mitgliedstaaten und der Kommission eine Einigung erreicht. Damit wird ab 2018 zum ersten Mal der Datenschutz zu großen Teilen für alle 28 Mitgliedsstaaten einheitlich geregelt.

Die Verordnung bringt vor allem neu festgelegte Rechte und Pflichten für Verbraucher.innen und Unternehmen und zeigt, dass es sich lohnt politisch aktiv zu werden. Jetzt kommt es auf die Umsetzung an!

finales Dokument der Europäischen Datenschutzgrundverordnung vom 15. Dezember 2015 (offizielle deutsche Übersetzung wird ab Januar 2016 erwartet), Konsolidierte Texte der gesamten Reform

Die Datenschutz-Reform besteht aus der Datenschutzgrundverordnung und der weniger öffentlich diskutierten Richtlinie für den Datenschutz bei Polizei und Justiz, über die wir berichtet haben.

Neue Regeln für Datenschutz in ganz Europa

Einen Einblick hinter die Kulissen der Verhandlungen gibt der Dokumentarfilm „Democracy - Im Rausch der Daten“.

Wir haben für starken EU-Datenschutz gekämpft

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage

Recht auf einen datenschutzfreundlichen Service (privacy-friendly service) – Hierfür hilft zukünftig das Recht auf Datenportabilität und Data protection by design and by default.

Datensparsamkeit und Koppelungsverbot – Das Prinzip der Datensparsamkeit ist umgesetzt, das Kopplungsverbot indirekt in Artikel 7 enthalten.

Daten dürfen nur für die Zwecke verwendet werden, für die sie erhoben wurden. – Die Zweckbindung ist in einem Kompromiss enthalten.

Bürgerinnen und Bürger müssen der Verarbeitung ihrer Daten ausdrücklich zustimmen. – Statt einer expliziten Zustimmung ist eine klare Zustimmung enthalten.

Forschung (private Marktforschung) darf keine Hintertür für Firmen werden, persönliche Daten beliebig und ohne Zustimmung der Betroffenen zu nutzen. – Forschung ist in Artikel 83 beschränkt auf Forschung im öffentlichen Interesse, Geschichte, Wissenschaft und Statistik.

Unsere Informationen und Aktionen zur Europäischen Datenschutzgrundversorgung

Prinzip Datensparsamkeit

In Artikel 5 der Verordnung ist das Prinzip der Datensparsamkeit (data minimisation) unter (c) jetzt verankert. In unserem Positionspapier zur Verordnung (S. 120) haben wir gefordert, dass Daten nur im minimal notwendigsten Umfang erhoben werden können. Der Ministerrat wollte diesen Punkt empfindlich aufweichen und hat gefordert, das Daten lediglich nicht exzessiv gespeichert werden dürfen. Im nun endgültig verhandelten Kompromiss heißt es:

Die Verarbeitung persönlicher Daten muss adäquat und relevant sein, sowie limitiert auf das, was notwendig ist im Verhältnis zum Zweck der Datenverarbeitung (Prinzip der Datensparsamkeit). (siehe Artikel 5 (c) Seite 88)

Klare Zustimmung ist erforderlich

Wenn persönliche Daten gespeichert werden, müssen die betroffenen Personen dem zustimmen. Was eine Zustimmung zur Datenspeicherung ist, ist in Artikel 4 (8) der Verordnung geregelt:

Die Zustimmung der betroffenen Person (data subject's consent) bedeutet jede frei gegebene, spezifische, informierte, unwidersprüchliche Anzeige ihres oder seines Wunsches, mit dem die betroffene Person, entweder durch eine Aussage oder durch eine klare, bestätigende Aktion, der Vereinbarung zur Verarbeitung der eigenen personenbezogenen Daten zustimmt.

Wie eine solche Zustimmung aussehen kann erklären die Erwägungsgründe der Verordnung (25, Seite 17):

Das kann das Anklicken einer Box beim Besuch einer Internetseite sein, die Auswahl von technischen Einstellungen in Informationsdiensten (z.B. Apps, Browser, Twitter) oder jede andere Äußerung oder Verhalten welches klar in diesem Kontext anzeigt, dass die betroffene Person die angegebene Verarbeitung der persönlichen Daten akzeptiert. (…) Wenn die Zustimmung der betroffenen Person nach einer elektronischen Aufforderung gegeben wird, muss die Aufforderung klar, knapp und präzise sowie nicht unnötig störend für die Benutzung des Dienstes sein, für den die Aufforderung gilt.

In der Praxis wird diese Regelung bedeuten, dass personenbezogene Daten nicht erhoben werden dürfen, wenn eine Seite „schweigend“ besucht wird. Auch eine Box, in der das Häkchen bereits gesetzt ist, gilt nicht als Zustimmung. Als eine Bedingung der Zustimmung ist in Artikel 7 (3) Seite 92 festgelegt:

Die betroffene Person (data subject) hat jederzeit das Recht ihre Zustimmung zurückzuziehen. (…)

Betriebliche Datenschutzbeauftragte teilweise Pflicht

Bis zuletzt wurde verhandelt, ob und unter welchen Bedingungen Unternehmen betriebliche Datenschutzbeauftragte einstellen müssen. Geeinigt haben sich die Verhandelnden darauf, dass betriebliche Datenschutzbeauftragte verpflichtend bestellt werden müssen, aber nur in Firmen, die sensibel Daten verarbeiten oder Verbraucher.innen überwachen, in dem sie beispielsweise Profile anlegen.

Auskunftsrechte umfangreich aber zum Teil kostenpflichtig

Auskunftsrechte sind die Grundlage für das Recht auf informationelle Selbstbestimmung. In unseren roten Linien für die Verordnung hatten wir gefordert, dass Auskunft immer kostenfrei gegeben werden muss. In Artikel 15 (S. 105) der Verordnung ist geregelt, welche Daten und Auskünfte erteilt werden müssen, allerdings nur bedingt kostenfrei: in Abschnitt (1b) heißt es:

Der Datenverarbeiter (controller) muss eine Kopie der personenbezogenen Daten bereitstellen. Für jede weitere Kopie, die von einer Person angefordert wird, kann der Datenverarbeiter angemessene Gebühren erheben – in Orientierung an Verwaltungskosten.

Wie das in der Praxis gehandhabt wird, bleibt abzuwarten.

Recht auf Löschung von Daten

Verbraucher.innen in der EU haben nach Artikel 17 der Verordnung das Recht persönliche Daten von Datenverarbeitern ohne ungebührliche Verzögerung löschen zu lassen, wenn: (1) die Daten für den Zweck unter dem sie erhoben wurden, nicht mehr benötigt werden, (2) die Zustimmung zur Datenverarbeitung entzogen wird (siehe Artikel 6 und 9) und wo es keine Rechtsgrundlage für die Datenverarbeitung gibt, (3) der oder die Betroffene der Verarbeitung widerspricht, nach Artikel 19 (1) (Widerspruchsrecht) und es keine höheren Gründe für die Datenverarbeitung gibt, (4) die Daten rechtswidrig verarbeitet werden, (5) EU- oder nationales Recht eingehalten werden muss oder, wenn (6) nach Artikel 8 keine ausreichende Zustimmung durch Eltern oder Verantwortliche für die Verarbeitung von Daten über Kinder vorliegt.

Recht auf Datenportabilität

Artikel 18 (S. 110) der Verordnung garantiert das Recht auf die Mitnahme von persönlichen Daten (Right to data portability) in einem strukturierten und allgemein verwendeten maschinenlesbaren Format. Außerdem haben Verbraucher.innen das Recht diese Daten ohne Hinderung zu einem anderen Anbieter zu übermitteln. Dabei haben Nutzer.innen das Recht, dass dieser Datentransport direkt zwischen zwei Anbietern stattfindet.

Data protection by design and by default

Die Datenschutzverordnung enthält in Artikel 23 (Seite 117) die Grundsätze Data protection by design and by default, nach dem Datenverarbeiter sowohl technische als auch organisatorische Maßnahmen standardmäßig umsetzen sollen. Diese Maßnahmen sollen dafür sorgen, dass im gesamten Prozess der Datenverarbeitung die Anforderungen der Datenschutzverordnung und die erwähnten Datenschutzprinzipien effektiv und grundlegend eingehalten werden.

Milliardenstrafen bei Verstößen

Wenn Unternehmen sich nicht an die Datenschutz-Verordnung halten, werden empfindliche Strafen fällig. Das Parlament forderte in den Verhandlungen Strafzahlungen von bis zu vier Prozent des weltweiten Jahresumsatzes, der Ministerrat forderte dagegen Strafen bis maximal ein bis zwei Prozent.

In der endgültigen Fassung der Verordnung sind in Artikel 78 (S. 197) maximale Geldstrafen von bis zu 20 Millionen Euro oder 4 Prozent vom Jahresumsatz festgelegt.

Die Arbeit von Digitalcourage hat sich gelohnt!

Bundesregierung hat sich nicht mit Ruhm bekleckert

Obwohl sie stets betonten (z.B. auch bei der Übergabe unserer Unterschriften, zu sehen in unserem Video), dass es „keine Absenkung“ der deutschen Datenschutzstandards geben würde, ist die deutsche Bundesregierung durch Anträge gegen den Datenschutz aufgefallen.

Viel, aber nicht alles erreicht

Patrick Breyer (Piraten Partei) kritisiert die neue Europäische Datenschutzgrundverordnung und sagt: Der Kompromiss „bedeutet weniger Schutz vor Überwachung und Datensammlung“:

So wird das bisherige deutsche Verbot einer Protokollierung unseres Surfverhaltens im Netz durch Internet- und Medienkonzerne aufgegeben. Die offene Videoüberwachung von Büros soll weitreichend erlaubt werden – bisher war das in Deutschland nur in engen Grenzen als letztes Mittel zulässig. Außerdem soll gegen die Erstellung von Verbraucherprofilen nur ein Widerspruchsrecht bestehen. Die Piratenpartei fordert stattdessen, dass die Betroffenen in eine derartige Erstellung von Verbraucherprofilen einwilligen müssen. (Kommentar von Patrick Breyer (Piraten Partei))

Cornelia Ernst (MEP DIE LINKE) kritisiert, dass „die Zustimmung zu unnötigen Datenverarbeitungen nicht nur unzweideutig, sondern auch ausdrücklich erfolgen muss, (…) leider nicht durchgehalten werden [konnte].“

Die in Brüssel arbeitende NGO European Digital Rights (EDRi) kritisiert an der Europäischen Datenschutzgrundverordnung (englischer Text), dass die Regulierung zur Zustimmung zur Datenverarbeitung nicht verbraucherfreundlich genug ist, dass einige Regulierungen zu schwammig formuliert sind und, dass es sehr viele Ausnahmen für nationale Regelungen gibt. EDRi kommt zu dem Fazit: „Der Datenschutzreform mangelt es an Ehrgeiz, sie schützt aber das Grundsätzliche“.

Wie weiter? Neue Handlungsmöglichkeiten nutzen!

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage

Jede betroffene Person hat das Recht, Beschwerde bei einer Kontrollinstanz zu erheben, insbesondere in dem Mitgliedsland seines oder ihres Wohnortes oder des Arbeitsplatzes des mutmaßlichen Verstoßes, wenn die betroffene Person der Auffassung ist, dass die Verarbeitung der auf die eigene Person bezogenen Daten nicht dieser Verordnung entspricht.

Die entscheidende Frage ist, wie die Sanktionen gegen Datenschutz-Verstöße in der Praxis durchgesetzt werden können. Für Beschwerden zuständig sind in Deutschland zunächst die Datenschutzbeauftragten der Länder und des Bundes. Über diese kann eine Beschwerde in die Versammlung der EU-Datenschutzbeauftragten gegeben werden, deren beschlossene Sanktionen rechtsverbindlich sind. Gebunden durch Rechtshilfeabkommen sind Unternehmen im Falle eines Verstoßes gegen die Verordnung verpflichtet, die Strafe zu zahlen.

Um die Rechte und Pflichten von Unternehmen und Verbraucher.innen in der Praxis durchzusetzen, benötigen die betrieblichen und behördlichen Datenschutzbeauftragten und auch Nichtregierungsorganisationen, die sich für Verbraucherrechte einsetzen, ausreichend finanzielle und personelle Mittel.

Die Europäische Datenschutzgrundverordnung bietet viele für den Datenschutz sehr positive Handlungsmöglichkeiten. Bürger.innen, Datenschutzbeauftragte, Unternehmen und Organisationen sind jetzt gefragt diese zu nutzen. Datenhandelsabkommen wie TTIP, TiSA und Co. dürfen das erlangte Datenschutzniveau in Europa auf keinen Fall untergraben!

Weiterhin müssen einige Fragen in den Ländern der EU geklärt werden, denn ausgenommen von der europaweiten Regelung sind unter anderem der Arbeitnehmer.innen-Datenschutz (Artikel 82), der Umgang mit Medizindaten und der Datenschutz in Schulen. Auch beim Mindestalter für soziale Netzwerke bleibt Gestaltungsraum für die Mitgliedsstaaten.

Weiterführende Links

Text: Friedemann Ebelt / Leena Simon

Foto: Jan Philipp Albrecht via Twitter