Datenschutz als neuer Preistreiber

(c) APA/HERBERT PFARRHOFER (HERBERT PFARRHOFER)
  • Drucken

Mit einer Datenschutzreform will die EU die Privatsphäre ihrer Bürger besser schützen. Die Folge: Kleinbetriebe und Selbstständige müssen sich auf hohe Kosten und (noch) mehr Bürokratie einstellen.

Wien. Vor wenigen Tagen konnten Österreichs Datenschützer endlich wieder einmal jubeln. Der Verfassungsgerichtshof hat die umstrittene Vorratsdatenspeicherung de facto für rechtswidrig erklärt. Der Europäischen Union ist das noch lange nicht genug. Schon vor zwei Jahren hat EU-Justizkommissarin Viviane Reding eine ambitionierte Reform der fast zwanzig Jahre alten Datenschutzbestimmungen angekündigt. Mit der Datenschutzgrundverordnung, die das EU-Parlament im März besiegelt hat und die nach der Zustimmung des Rats und der Kommission im kommenden Jahr endlich stehen soll, sollen die Daten der EU-Bürger besser geschützt und die Schutzniveaus der Mitgliedsländer vereinheitlicht werden.

So weit, so gut – doch die geplante Grundverordnung bringt auch ein überbordendes Maß an Bürokratie mit sich, warnt Elisabeth Hödl, die Forschungschefin des auf Datenanalyse spezialisierten Wiener Unternehmens Watchdogs.

Datenschutzbeauftragte für fast alle

In einer Studie, die der „Presse“ exklusiv vorliegt, hat die Datenschutzjuristin den veröffentlichten Entwurf Punkt für Punkt analysiert. Conclusio: Da kommt eine Menge an Mehrkosten und zusätzlichem Aufwand auf Europas Unternehmen zu – und die wenigsten sind darauf vorbereitet.

So sieht das Papier etwa vor, dass jedes Unternehmen, das personenbezogene Daten von mehr als 5000 Menschen im Jahr oder aber prinzipiell sensible Daten von Menschen verarbeitet, einen Datenschutzbeauftragten bestellen muss. „Im Grunde ist jedes Unternehmen, das einen Newsletter an mehr als 5000 Menschen verschickt, davon betroffen“, sagt Hödl. Aber auch jeder Hausarzt, der die Gesundheitsdaten seiner Patienten speichert, müsste laut dem Gesetzesentwurf einen Datenschutzbeauftragten anstellen, eine Risikoanalyse und eine Folgenabschätzung durchführen.

Drakonische Strafen bei Verstößen

All das kostet Geld. Denn die Chance, dass der Arzt selbst oder die Ordinationshilfe nach einem Crash-Kurs den Datenschutzbeauftragten mimen kann, stehen schlecht. Das technische und juristische Wissen, das diese Personen laut dem Entwurf haben müssen, ist hoch. In der Praxis werden sich wohl mehrere kleine Unternehmen einen Datenschutzbeauftragten teilen müssen. Es wird also eine neue Branche aus dem Boden gestampft. Alle Datenschutzpannen sind zudem binnen 72 Stunden den Betroffenen zu melden. Die Strafen bei Datenschutzverstößen fallen mit bis zu fünf Prozent des Umsatzes oder bis zu 100 Millionen Euro deftig aus.

„Im Grunde ist die Datenschutzgrundverordnung der EU aber natürlich zu begrüßen“, sagt Hödl. So erhalten beispielsweise Kinder erstmals besondere Schutzrechte, auch biometrische und genetische Daten werden als schützenswert aufgenommen, das Recht der Bürger, ihre persönlichen Daten löschen zu lassen, wird gestärkt. Unternehmen müssen zudem in einer klaren und einfachen Sprache, auch in Piktogrammen, erklären, wie sie die Daten ihrer Kunden verwenden wollen – und diese müssen dem explizit zustimmen.

Die Frage ist allerdings, ob all das nicht auch mit weniger bürokratischem Aufwand gehen würde, sagt Hödl: „Es kommen deutliche Mehrkosten auf die Unternehmen zu. Und die meisten von ihnen ahnen noch nicht einmal etwas davon.“

Zudem ist nicht klar, ob die EU mit dem Papier, wenn es umgesetzt wird, ihre Ziele auch erreicht. Denn Brüssel hat im Grunde nicht die kleinen Hausärzte im Visier, sondern die Facebooks und Googles der Welt, die mit den Daten der Europäer viel Geld verdienen. Sie, und ihre Lobbying-Querschüsse über den Atlantik, sind auch der Grund, warum die Datenschutzgrundverordnung so lange auf sich warten lässt.

In den vergangenen Tagen gab es erstmals wieder Bewegung in Richtung Umsetzung der Reform und anderer Rahmenabkommen mit den USA. So ist die EU im Schatten der NSA-Affäre bestrebt sicherzustellen, dass die Konzerne personenbezogene Daten nur auf Basis europäischen Rechts – oder ähnlicher Schutzniveaus an Behörden etwa in den USA übermitteln dürfen. Hier gab es kleine Fortschritte.

Mangelnde Durchsetzung in USA

Für Elisabeth Hödl ist dennoch zweifelhaft, ob die Europäer ihre Wünsche im Ernstfall wirklich werden durchsetzen können. „Dreh- und Angelpunkt werden die internationalen Abkommen zur Rechtsdurchsetzung sein“, sagt die Juristin. Davon steht im vorliegenden Papier aber nichts.

Oder besser gesagt, nichts mehr. In einer ersten Fassung, über die Heise 2011 berichtete, gab sich die EU noch deutlich schärfer: Ohne konkretes Abkommen mit den USA, das Rechtsdurchsetzung garantiert hätte, wäre keine Datenweitergabe möglich gewesen. Wenig später war die Passage verschwunden. Mittlerweile soll der Hinweis übrigens wieder im aktuellen Text zu finden sein. Spannend zu sehen, wie lange noch.

AUF EINEN BLICK

Mit der Datenschutzgrundverordnung will die EU die seit 1995 gültigen Datenschutzbestimmungen der EU erneuern und das Datenschutzrecht in den 28 Mitgliedstaaten vereinheitlichen. Die Rechte der Bürger sollen gestärkt, Verstöße von Unternehmen härter geahndet werden.

Nach zweijähriger Verzögerung hat das EU-Parlament am 12. März 2014 dem aktuellen Entwurf mit großer Mehrheit zugestimmt. Im Juli sollen die Verhandlungen zwischen EU-Parlament, Ministerrat und EU-Kommission beginnen.

Link zur Studie: www.watchdogs.at/science/datenschutz-grundverordnung-der-europaeischen-union/

("Die Presse", Print-Ausgabe, 07.07.2014)

Lesen Sie mehr zu diesen Themen:

Mehr erfahren

Leitartikel

LEITARTIKEL: Datenschutzreform: Europa trifft die Falschen

Die Reform des EU-Datenschutzrechts ist überfällig. Der Entwurf ist teuer, weichgespült und nicht treffsicher. Beschlossen werden muss er dennoch.

Dieser Browser wird nicht mehr unterstützt
Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.