EU-Parlament beschließt Datenschutzgrundverordnung

Das EU-Parlament kann in zweiter Lesung die Regeln zur Netzneutralität absegnen – oder sie in letzter Minute verbessern. CC BY-NC-ND 2.0, via flickr/European External Action Service

Das Europäische Parlament hat heute Mittag die Datenschutzgrundverordnung beschlossen. Wir fassen zusammen, was sich nach jahrelanger Debatte und großer Lobbyschlacht ändern wird, und sammeln die ersten Reaktionen.

Vier Jahre sind vergangen, seit die Europäische Kommission 2012 ihren ersten Entwurf für eine Neuordnung und Vereinheitlichung des europäischen Datenschutzes vorgelegt hat. Die nun beschlossene Verordnung ersetzt die seit 1995 bestehende Datenschutzrichtlinie, welche manche als technisch überholt ansehen, die aber grundlegende Prinzipien wie Zweckbindung und Datensparsamkeit zum europaweiten Standard machte. Sie regelt, welche persönlichen Informationen Unternehmen sammeln und (Stichwort „Zweckbindung“) kombinieren dürfen.

Die Verordnung tritt 20 Tage nach Veröffentlichung im Amtsblatt in Kraft und wird in zwei Jahren wirksam sein.
(In einer früheren Version des Artikels stand fälschlicherweise, dass sie erst in nationales Recht umgesetzt werden muss. Das ist nun korrigiert.)

Was ändert sich?

Laut dem Verhandlungsführer des Europäischen Parlaments, Jan Philipp Albrecht von den Grünen, handelt es sich bei der Reform um einen „großen Schritt für die Grundrechte, für den Verbraucherschutz und einen fairen Wettbewerb“. Nicht jeder teilt diese Meinung uneingeschränkt, von Datenschützer-Seite werden einige der eingegangenen Kompromisse kritisiert, von Wirtschaftsseite wird über die viele Öffnungsklauseln geklagt. Die erlauben nämlich den einzelnen europäischen Staaten, in nationalen Gesetzen Abweichung von der ansonsten bindenden Verordnung zu gestalten.

Doch was ändert sich genau durch die neuen Regelungen? Ein kurzer Überblick über die wichtigsten Änderungen:

Marktortprinzip: Das Datenschutzrecht gilt nun für alle Unternehmen, die auf dem europäischen Markt tätig sind, egal ob sie hier ihren Sitz haben oder nicht. Es ist ebenso egal, wo die Datenverarbeitung stattfindet, da jede Verarbeitung von personenbezogenen Daten von Nutzer*innen aus der EU unter den Anwendungsbereich der Grundverordnung fällt.

Einwilligung & Auskunftsrecht: Verarbeiten Unternehmen persönliche Daten, müssen sie dazu eine ausdrückliche Zustimmung von ihren Kunden einholen. Diese können jederzeit Auskunft über die gespeicherten Daten einfordern oder ihre Einwilligung zurückrufen.

Datenübertragbarkeit: Neu ist, dass Nutzer*innen ihre persönlichen Daten (Fotos, Posts, Freundeslisten) von einem kommerziellen Dienstleister wie etwa Facebook zu einem anderen mitnehmen können. Wie dies in der Praxis genau funktionieren soll, ist allerdings noch unklar.

Recht auf Vergessenwerden: Seit einem Urteil des Europäischen Gerichtshofs muss Google auf Verlangen von Nutzer*innen Suchergebnisse, welche auf sie bezogene Daten beinhalten, löschen. Dieses Recht wird nun für alle Unternehmen festgeschrieben. Sie müssen zukünftig persönliche Daten auf Wunsch der Betroffenen löschen.

Härtere Strafen: Verstoßen Unternehmen gegen die Datenschutzregeln, müssen sie bis zu vier Prozent ihres Jahresumsatzes als Strafe zahlen. In einem früheren Entwurf war sogar bis zu fünf Prozent des Jahresumsatzes als Strafe vorgesehen, das wurde aber abgeschwächt.

Mindestalter: Hier lässt die Grundverordnung Spielraum für die Mitgliedstaaten. Sie dürfen entscheiden, ab wann sich Kinder und Jugendliche ohne Zustimmung der Eltern bei Webseiten rechtswirksam anmelden dürfen. Das könnte dazu führen, dass sich in einigen EU-Staaten Kinder bereits ab 13 Jahren beispielsweise bei Facebook anmelden dürfen, während sie in anderen Ländern noch bis zum 16. Geburtstag die Zustimmung ihrer Eltern dafür benötigen.

Vereinfachte Beschwerden: Max Schrems musste sich noch bei der Datenschutzbehörde in Irland über die Geschäftspraktiken von Facebook beschweren, weil das Unternehmen dort seine europäische Niederlassung hat. In Zukunft wird es möglich sein, bei der Datenschutzbehörde des eigenen Landes Beschwerde einzureichen. Auch dürfen künftig Verbände im Auftrag von Verbrauchern klagen.

Reaktionen

Gestartet als ambitionierter Versuch, die Rechte von Verbraucher*innen gegenüber Firmen und Behörden zu stärken, ist laut einigen Kritiker*innen ein verwässerter Kompromiss herausgekommen, der die Gerichte wohl noch für Jahre beschäftigen wird. Wir dokumentieren erste Reaktionen auf die Verabschiedung der Grundverordnung:

Digitale Gesellschaft – „Verabschiedung von Mindeststandards nach jahrelangem Reformprozess“:

Die ambitionierten Ziele, die zu Beginn des Prozesses ausgerufen wurden, werden damit leider nicht erreicht und teils sogar in ihr Gegenteil verkehrt. In Anbetracht der jahrelangen Versuche der Bundesregierung, die Reform zu verzögern und Schutzmechanismen für Verbraucherinnen und Verbraucher zu torpedieren, muss allerdings das bloße Zustandekommen der Novelle bereits als Erfolg gewertet werden.

Verbraucherzentrale Bundesverband – „Besserer Datenschutz für Verbraucher“:

Das Ja zur EU-Datenschutzverordnung ist eine gute Nachricht für Verbraucher und Unternehmen. Endlich gelten europaweit einheitliche und zeitgemäße Spielregeln beim Datenschutz.

Bitkom – „Datenschutzverordnung sollte einheitlich angewendet werden“:

Viele Regelungen der neuen Datenschutzverordnung sind so allgemein formuliert, dass nicht auf den ersten Blick klar ist, wie sie in der Praxis umgesetzt werden sollen. Das wird in der Anfangszeit zu einer gewissen Rechtsunsicherheit führen.

European Digital Rights – Pressemitteilung:

We regret that much of the ambition of the original data protection package was lost, due to one of the biggest lobbying campaigns in European history. However, we congratulate the European Parliament and, in particular, the successful Luxembourg Presidency of the EU last year, for saving the essence of European data protection legislation.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

17 Ergänzungen

  1. „Sie regelt, welche persönlichen Informationen Unternehmen und Behörden sammeln und (Stichwort „Zweckbindung“) kombinieren dürfen.“ Wo steht denn der Teil Behörden betreffend?

    1. Sorry für die späte Antwort. Das war mein Fehler, die Verordnung betrifft nur Unternehmen. Ich habe das korrigiert. Danke für den Hinweis.

  2. Sie schreiben
    „Verarbeiten Unternehmen persönliche Daten, müssen sie dazu eine ausdrückliche Zustimmung von ihren Kunden einholen.“
    Das ist falsch, wird aber leider immer wieder so dargestellt. Die Einwilligung ist EIN Kriterium aus dem Katalog des Art. 6 (Rechmäßigkeit der Verarbeitung). Daneben gibt es aber auch noch andere Konstellationen, bei denen die Einwilligung gerade nicht erforderlich ist – zB wenn die Verarbeitung zur Vertragserfüllung erforderlich ist, was gerade beim Online-Shopping oftmals der Fall sein wird.

  3. Hm, wie ist das, wenn die Recruiterin eines HR-Unternehmens Kontaktdaten teilweise auf ihrem Privathandy speichert, weil kein Gerät zur Verfügung gestellt wird, oder das Gerät sowohl dienstlich. als auch privat genutzt werden darf.
    Ich simuliere den Fall, dass automatisch die Kontaktdaten der Bewerber ausgelesen werden und ein mailversand automatisiert erfolgt.
    Wer haftet?
    Ich unterstelle, der aktuelle Arbeitgeber erhält nun Information über den Wechselwunsch seines Mitarbeiters und nimmt diesen aus einem wichtigen Projekt heraus. Der Marktwert des Mitarbeiters sinkt. Die Motivation des Mitarbeiters sinkt, der Mitarbeiter wechselt definitv, dabei wollte er nur seinen Marktwert testen. Im Abschlusszeugnis wird auf die Herausnahme aus dem wichtigen Projekt hingewiesen. Wie wird dies arbeitsrechtlich behandelt?
    Zu futuristisch, oder möglich???
    Lieben Gruß SUSI

  4. Hm, wie ist das, wenn eine Recruitingfirma gegründet wird und die vorhandenen Kontakdaten aus Projekten und anderen Businessmeetings verwendet werden?
    Dies ist das Kapital der Recruitingfirma.
    Ist dies rechtlich abgesichert?
    Lieben Gruß SUSI

  5. Hm, wie ist das, wenn ein sehr großer Arbeitgeber innerhalb seines Unternehmens mehrere Tochterunternehmen hat und die Recruitingabteilung für alle Unternehmen tätig wird.
    Angenommen, meine Daten würden innerhalb des Unternehmens an ein Tochterunternehmen weitergeleitet, weil dies technisch aus Versehen passiert, und ich erhalte ein Angebot, welches ich nicht wollte. Ist das eine Frage für den Datenschutz, oder ist das okay?
    Lieben Gruß SUSI

  6. Hm, wie ist das, wenn ich eine Datei erhalten würde, aus Versehen per mail, weil ein Recruiter sich vertan hat. Darin enthalten sind alle Bewerberdatensätze, da sie in ein anderes System überspielt werden sollen. Leider hat der Recruiter sich vertippt und aus Versehen mir die mail geschickt.
    Kann ich nun damit ein eigenständiges Recruitingunternehmen gründen?
    Daten habe ich, Qualifikation habe ich auch, der Kollege hat einen Fehler gemacht – nicht schlimm, oder?
    Lieben Gruß SUSI
    P.S. Ich könnte auch simulieren, eine Organisationsänderung und eine große Excelliste, die per mail an die Betriebsräte geht und Funktionsmailboxen. In dem Fall hätte ich auch Tarifinformationen – sehr hilfreich.

  7. > „Die Mitgliedsstaaten haben nun zwei Jahre Zeit, die Grundverordnung in nationales Recht umzusetzen.“
    Stimmt das? Meines Wissens gilt die Grundverordnung unmittelbar und muss, anders als eine Richtlinie, eben nicht in nationales Recht umgesetzt werden.

    1. Die Grundverordnung gilt unmittelbar, aber erst in zwei Jahren (nach Veröffentlichung). Bis dahin gilt in Deutschland noch das Bundesdatenschutzgesetz.
      Trotzdem müssen in den einzelnen Ländern der EU Änderungen vorgenommen werden:
      1. müssen die nationalen Öffnungsklauseln gefüllt werden (wenn es denn so sein soll)
      2. müssen andere Datenschutzbestimmungen, z. B. im Telemediengesetz, Sozialgesetzbuch usw. evtl. an die Bestimmungen der EU-Grundverordnung angepasst werden.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.