EU-Datenschutz: Das bringen die neuen Regeln

Nach 17 Jahren soll die europäische Datenschutzrichtlinie durch eine Verordnung abgelöst werden. Das bedeutet, dass die Regeln nicht von den Nationalstaaten individuell umgesetzt werden sollen, sondern es eine einheitliche, für alle 27 EU-Mitglieder Vorschrift geben wird. Weiters wird es noch eine zusätzliche Richtlinie geben, wie Verstöße gegen den Datenschutz zu handhaben sind. Bisher handelt es sich nur um Vorschläge von Justizkommissarin Viviane Reding. Bisher sind sie 119 beziehungsweise 55 Seiten stark. Doch was genau würden diese Regeln bringen, sollten sie umgesetzt werden?

Das "Recht auf Vergessen"

Der neue EU-Datenschutz soll garantieren, dass Nutzer ihre Daten permanent bei einem Anbieter löschen können. Wie der Fall des Wiener Studenten Max Schrems, der von Facebook eine genaue Aufstellung seiner Daten angefordert hat, halten manche Betreiber Informationen noch weiter vor, selbst wen die Nutzer ihr Konto schon längst aufgelöst haben. Das will die EU verhindern. Allerdings gibt es eine Einschränkung. Daten können aufbewahrt werden, wenn es "legitimierte Gründe" dafür gibt. Nahezu unmöglich wird es, diese Regel umzusetzen, sollten die Informationen einmal von einem Unternehmen heraus (etwa durch ein Datenleck) ins Internet gelangen.

"Nein, ich will das nicht!" als Prinzip

Facebook, Google & Co müssen in Zukunft erst die ausdrückliche Zustimmung ihrer Nutzer einholen, wenn sie etwas mit deren Daten anfangen wollen. Nur durch Einwilligung der Nutzer soll sich etwas an den Datenschutzeinstellungen ändern dürfen. Bisher war es oft so, dass Nutzer bei Änderungen am Dienst, insbesondere auf Facebook, neue Einstellungen erst vorgesetzt und danach erst auf mehr Schutz ändern mussten. Dadurch sollen euroäische Bürger vor unangenehmen Überraschungen abgeschirmt werden.

Informationspflicht

In Zukunft sollen Nutzer in der EU es leichter haben, ihre gesamten Daten einsehen zu dürfen. Auch soll es leichter werden, Daten von einem Anbieter zu einem anderen übertragen zu können. Das betrifft vor allem Zahlungsdienstleister oder Online-shops. Mit dem zweiten Teil der Regel soll auch das Recht auf Verbessen wieder garantiert werden. Denn sobald man mit einem Anbieter nichts mehr zu tun haben will, soll dieser auch keine Informationen des jeweiligen Nutzers mehr besitzen. Das soll den Wettbewerb fördern.

Kein Gang nach Irland nötig

Meine Daten, mein Land, meine Datenschutzbehörde. Max Schrems hätte unter den neuen Regeln nicht mehr mit der irischen Datenschutzbehörde Kontakt aufnehmen müssen, um sich gegen Facebook zu stemmen. Redings Vorschlag sieht vor, dass die nationalen Datenschutzbehörden sich um die Anliegen ihrer Bürger kümmern müssen. Das soll auch zutreffen, wenn die Daten in einem anderen Staat verarbeitet werden. Es zählt einzig und allein, dass es sich um Daten von EU-Bürgern handelt. Wenn also ein Österreicher ein Problem mit Google oder Facebook hat, muss dieses Probleme von der österreichischen Datenschutzbehörde aufgegriffen werden. Die Umsetzung dieser Regel dürfte besonders schwierig werden.

Zähne und Klauen für Behörden

Die nationalen Datenschutzbehörden erhalten auch mehr Befugnisse. Sie dürfen bei Verstößen direkt Strafen gegen Unternehmen aussprechen. Diese sollen bis zu einer Millione Euro oder bis zu zwei Prozent des weltweiten Umsatzes eines Unternehmens betragen. Anfangen sollen die Strafen schon bei 250.000 Euro, beziehungsweise 0,5 Prozent des Umsatzes. Als Beispiel für einen "weniger schweren Verstoß" wird genannt, dass ein Unternehmen eine Gebühr dafür verlangt, dass ein Kunde seine Daten einsehen möchte. Bei kriminellen Vergehen soll die neue Richtlinie mehr Zusammenarbeit zwischen Polizei und Gerichtsbarkeit ermöglichen. Auch soll der Datenaustausch zwischen Mitgliedstaaten aufgrund der harmonisierten Regelungen einfacher und auch sicherer werden.

Wenn etwas passiert...

Datenschutz bedeutet nicht nur, dass Firmen sich nicht einfach so bei den Daten ihrer Kunden bedienen dürfen, sondern auch die sichere Verwahrung der legal gesammelten Informationen. Dennoch kann selbst dem bestgeschützten System etwas passieren. In diesem Fall müssen Unternehmen innerhalb von 24 Stunden die jeweilige nationale Datenschutzbehörde über ein allfälliges Datenleck informieren. Generell sollen Unternehmen, die stark mit Kundendaten hantieren, stärker in die Pflicht genommen werden.

Noch zwei Jahre warten

Bisher liegen nur die beiden Vorschläge für eine einheitliche EU-Datenschutzverordnung und die sie begleitende Richtlinie vor. Diese werden jetzt dem Europäischen Parlament und dem Rat der Europäischen Union zur Diskussion weitergeleitet. Sollten diese die Vorschläge annehmen, wird die Verordnung zwei Jahre nach der Zustimmung gülitg. EU-Mitgliedstaaten haben dann auch zwei Jahre Zeit, die Richtlinie in nationales Recht umzusetzen.