VON CLEMENS POKORNY | 12.04.2016 14:09

Die EU und unsere Daten – wo bleibt der Schutz?

Aus Brüssel kommt demnächst ein neues Gesetzespaket: die Datenschutzgrundverordnung. Was kompliziert klingt, ist nach Ansicht einiger kritischer Stimmen eher zu allgemein und unbestimmt gehalten. Mit den in zwei Jahren in Kraft tretenden Regelungen schließt die EU zwar einige bisher bestehende Lücken in der Gesetzgebung zum Datenschutz, doch in vielen Punkten ist der Einfluss der Wirtschaftslobby spürbar, die an den Daten ihrer Kunden interessiert ist.

Die Wellen, die der Streit zwischen Apple und FBI um die Entsperrung des iPhones eines Terroristen in den USA geschlagen hat, sind kaum verebbt und schon stehen in Europa Änderungen im Datenschutz bevor, die kaum jemand mitbekommt. In den kommenden Wochen wird im EU-Parlament die sogenannte „Datenschutzgrundverordnung“ beschlossen, auf die man sich nach über fünfjährigen Beratungen geeinigt hatte. Sie soll ab 2018, wenn sie in Kraft tritt, wesentliche Aspekte des Datenschutzes – online und offline – in allen Mitgliedsländern der EU regeln.

Das ist überfällig, regelte doch bisher eine Richtlinie von 1995 den Datenschutz in der EU, also eine Regelung aus der Zeit, als noch fast kein Haushalt in der EU Computer und Internet nutzte. Anders als diese Richtlinie wird die neue Verordnung als solche für alle Mitgliedsstaaten der EU verbindliche Vorschriften machen, die mit Inkrafttreten EU-weit Gesetz werden. Stärkere oder schwächere nationale Gesetze zum Datenschutz werden dann hinfällig und können auch (weitgehend) nicht mehr neu beschlossen werden. Lediglich Aspekte, die die Datenschutzgrundverordnung nicht regelt, fallen weiter unter die Gesetzgebung der einzelnen Staaten.

An echten Neuerungen bringt die Verordnung etwa das Marktortprinzip. Das bedeutet: Dienste, die in der Europäischen Union angeboten werden, unterliegen auch EU-Recht – selbst wenn die beteiligte Firma nicht dort ihren Sitz hat. Gemäß dem One-Stop-Shop-Prinzip müssen sich Bürgerinnen und Bürger bei Anliegen zum Thema Datenschutz nur noch an die Datenschutzbehörde ihres eigenen Landes wenden, nicht etwa auch an diejenige(n) anderer beteiligter Parteien. Für die Bearbeitung von Anliegen supranationaler Bedeutung wird das „European Data Protection Board“ geschaffen, in dem alle EU-Mitglieder vertreten sind.

Neben diesen Klärungen der Kompetenzen werden Unternehmen mit der Datenschutzgrundverordnung darauf verpflichtet, ihren Umgang mit Kundendaten insbesondere für Kinder transparent zu kommunizieren. Erstmals werden damit die Rechte dieser sensiblen Bevölkerungsgruppe berücksichtigt. Wie in die Verwendung von Daten eingewilligt werden muss, wird durch die Verordnung strenger geregelt. Auch darf es keine „Globalzustimmung“ für eine etwaige weitergehende Verwendung der Daten geben. Diese Neuerungen bedeuten vor allem für andere EU-Länder als Deutschland eine Verbesserung der Verbraucherrechte, während mit der Datenschutzgrundverordnung das hierzulande bislang vergleichsweise wenig streng reglementierte Meldewesen im Sinne der Bürgerinnen und Bürger an Vorbilder mit stärkerem Datenschutz angepasst wird. Wenn schon Daten gesammelt werden, müssen die Erhebenden klar mitteilen, zu welchem Zweck dies geschieht („Informations- und Transparenzpflicht“). Zudem werden Unternehmen angeregt, sich selbst „Codes of Conduct“, also Verhaltenskodizes, zu ihrem Umgang mit Kundendaten aufzuerlegen.

Lobbyismus im Bundestag

Viele Verbesserungen bietet die Datenschutzgrundverordnung also – doch es gibt auch Kritik an ihr. Betriebliche Datenschutzbeauftragte muss eine Firma erst dann beschäftigen, wenn sie mehr als 200 Mitarbeiter hat. Für eine im Vergleich zum Status quo weitere Verbreitung der Pseudonymisierung von Daten seitens der Unternehmen, die Daten erheben, fehlen in der EU-Verordnung entsprechende Anreize. Selbst die Mechanismen, die Konsumenten eigentlich schützen sollen, stehen in der Kritik. Wenn Unternehmen beispielsweise zu viel Datensammelei erlaubt wird, solange ihre Kunden nur zustimmen, kann die Folge sein, dass diese bei Vertragsabschluss seitenweise AGB lesen und unterschreiben (bzw. im Internet: ihr Okay-Häkchen setzen) müssen, bevor der Kauf zustande kommt. Kaum jemand aber investiert die Zeit, sich solche Vertragsbedingungen durchzulesen. Außerdem werden wohl alle Wettbewerber diese sogenannte „Opt-in“-Funktionen nutzen, um möglichst viele Kundendaten zu möglichst vielen Zwecken nutzen zu dürfen – am Ende fehlen uns Verbraucherinnen und Verbrauchern die Alternativen, weil mit allen relevanten Unternehmen ein Vertrag nur gegen Datenpreisgabe zustande kommt.

Mit anderen Worten: Die Datenschutzgrundverordnung geht vielen, denen Datenschutz ein Anliegen ist, nicht weit genug. Die EU-Mitgliedsländer haben zwar die Möglichkeit, einzelne Elemente der Verordnung aus Brüssel im Sinne der Verbraucherinnen und Verbraucher zu verschärfen, aber ob sie das tun, bleibt ihnen überlassen – und sie können sie auch verwässern. Der Juraprofessor Alexander Roßnagel vermisste in einer Anhörung im Deutschen Bundestag Regelungen zu neueren und künftig noch wichtigeren Entwicklungen wie Massendaten (also Daten, die für klassische Datenverarbeitungssysteme zu umfangreich sind), Ubiquitous Computing (die weitgehende Ersetzung der klassischen Personal Computer durch viele kleine, selbstständig arbeitende Rechner) oder auch Cloud-Computing. Deshalb sei die Datenschutzgrundverordnung bereits heute veraltet und insgesamt, verglichen etwa mit dem deutschen Datenschutz-Recht, zu unterkomplex.

Die bevorstehende Verabschiedung der Datenschutzgrundverordnung im EU-Parlament dürfte durch solche z.T. fundamentale Kritik nicht verhindert werden. Änderungen an deren Text sind jetzt ohnehin nicht mehr möglich. Daher bleibt zu hoffen, dass die Bundesregierung den von der EU verordneten Datenschutz im Rahmen ihrer Möglichkeiten verbessern wird.