Nur noch wenige Tage und die Datenschutz-Grundverordnung (DSGVO) löst die Datenschutz-Richtlinie aus dem Jahr 1995 als Grundlage des europäischen Datenschutzrechts ab. Wie schon die Richtlinie verfolgt die DSGVO gleichrangig die Ziele des Datenschutzes und des freien Datenverkehrs. Als Verordnung bedarf die DSGVO jedoch keiner mitgliedstaatlichen Umsetzungsakte mehr, sondern gilt unmittelbar und vorrangig gegenüber den nationalen Regelungen.
Bereits im Januar 2012 hatte die Europäische Kommission ihren DSGVO-Entwurf vorgelegt. Doch ganze vier Jahre dauerte der Gesetzgebungsprozess an. Während Bürgerrechtsorganisationen, Sozialdemokraten und Grüne – insbesondere der Berichterstatter des Parlaments, Jan Philipp Albrecht (Grüne), – auf mehr Konkretisierungen im Verordnungstext drängten, warnten Industrieverbände, Konservative und Teile der Liberalen vor den Folgen zu rigoroser Vorschriften für die Digitalwirtschaft. Mit Abschluss der Trilog-Verhandlungen verabschiedeten Parlament und Rat schließlich die DSGVO im Jahr 2016.
Allgemeiner Regelungsgehalt der DSGVO
Inhaltlich hat die DSGVO viele Grundsätze der Datenschutz-Richtlinie übernommen. Im Datenschutzrecht gilt beispielsweise weiterhin das grundsätzliche Verbot der Verarbeitung aller personenbezogenen Daten, also jener Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nur wenn ein in der DSGVO aufgeführter Erlaubnistatbestand erfüllt ist, beispielsweise wenn eine Einwilligung des von der Datenverarbeitung Betroffenen oder eine rechtliche Verpflichtung zur Datenverarbeitung vorliegt, ist eine Datenverarbeitung zulässig. Die DSGVO regelt sowohl die Datenverarbeitung durch öffentliche Stellen wie etwa der KfZ-Zulassungsstelle als auch durch private Akteure, beispielsweise Versicherungen.
Meilensteine des Datenschutzes: Marktortprinzip und Sanktionen
Mit der DSGVO hat der Unionsgesetzgeber jedoch auch einige grundlegende Neuerungen in das Datenschutzrecht implementiert. Besonders wichtig die Einführung des sogenannten Marktortprinzips, welches der Europäische Gerichtshof (EuGH) in seiner Rechtsprechung im Fall Google Spain und Google bereits vorgezeichnet hatte. Es regelt die räumliche Anwendbarkeit der DSGVO auf Unternehmen, welche Daten von sich in der EU befindenden Personen verarbeiten, selbst aber außerhalb der EU ihre Niederlassung haben: Richten diese ihre Angebote und Dienstleistungen an EU-Bürger, beispielsweise durch deutschsprachige Onlineauftritte, müssen sie dennoch europäische Datenschutzstandards einhalten. Kommen sie diesen Vorgaben nicht nach, kann für sie die zweite große Neuerung relevant werden: Die Einführung von Sanktionen von bis 20 Millionen Euro oder 4% des weltweiten Umsatzes pro Verstoß. Nach dem geltenden Bundesdatenschutzgesetz waren im Einzelfall bislang lediglich Bußgelder bis zu 300.000 Euro möglich.
Kostenlose Online-Dienstleistungen vor dem Aus?
Unklar ist noch, wie sich das sogenannte Kopplungsverbot auf „kostenlose“ Online-Angebote ausüben wird. Denn bislang ist es regelmäßig das Geschäftsmodell von Unternehmen, ihren Nutzern zwar unentgeltliche Dienstleistungen zur Verfügung zu stellen, aber dafür deren Daten zu monetarisieren. Man bezahlt diese Dienste also letztendlich mit den eigenen Daten. Regelmäßig basiert diese Datenverarbeitung auf einer Einwilligung des Nutzers. Diese muss aber freiwillig erfolgt sein. Die DSGVO schreibt nun vor, dass eine freiwillige Einwilligung zumindest fraglich ist, wenn die Zurverfügungstellung der Dienstleistung (also beispielsweise die Nutzung eines sozialen Netzwerks) an die Einwilligung des Nutzers in eine Datenverarbeitung gekoppelt ist, die nicht für das zwischen Betroffenem und Verarbeitendem bestehende Vertragsverhältnis erforderlich ist (etwa auf eine Datenweitergabe an Dritte könnte dies zutreffen). Darüber, was noch als erforderlich anzusehen ist und wie strikt dieses Kopplungsverbot zu verstehen ist, besteht jedoch Streit und es wird wohl erst der EuGH für Klarheit sorgen können. Eine strikte Anwendung könnte jedoch das Ende für klassische kostenlose Angebote bedeuten. Unternehmen müssten künftig datenschonendere Bezahlangebote als Alternative anbieten, damit der Nutzer selbstbestimmt darüber entscheiden kann, ob er Dienstleistungen zum Preis seiner Daten nutzen will.
Recht auf Vergessenwerden
Mit besonderem Interesse verfolgten viele Experten und Interessengruppen die Debatte über die Einführung eines Rechts auf Vergessenwerden, welches die informationelle Selbstbestimmung des Einzelnen auch in Zeiten von Big Data sicherstellen sollte („Das Internet vergisst nie“). Denn klassische Löschungspflichten binden zwar den Verarbeitenden selbst, er muss jedoch nicht dafür Sorge tragen, die Verbreitung einer einmal öffentlich gewordenen Information zu unterbinden. Doch letztendlich blieben die konkreten Anforderungen an den Verarbeitenden bei der Durchsetzung dieses Rechts reichlich unkonkret. Er ist lediglich dazu verpflichtet, „angemessene Maßnahmen“ zu ergreifen, um andere darüber zu informieren, dass der Betroffene seine Daten gelöscht haben will. Ein wirkliches Recht auf Vergessenwerden beinhaltet die DSGVO nicht. Hierfür hätte der Unionsgesetzgeber beispielsweise ein Ablauf- und Verfallsdatum für öffentlich gewordene Daten einführen müssen.
Einheitliches Datenschutzniveau?
Schon die Datenschutz-Richtlinie hat eine Harmonisierung des europäischen Datenschutzniveaus angestrebt, ist damit aber letztendlich gescheitert. Die DSGVO soll dies nun nachholen. Insofern ist die Neufassung des Datenschutzrechts in Form einer Verordnung nur konsequent. Doch wer denkt, dass die DSGVO nun alles Datenschutzrecht abschließend geregelt habe, liegt falsch. Die EU-Mitgliedstaaten haben insbesondere im Bereich der Datenverarbeitung durch öffentliche Stellen zahlreiche nationale Handlungsspielräume – sogenannte Öffnungsklauseln – durchgesetzt. Ein hundertprozentig einheitliches Datenschutzniveau wird es also auch in Zukunft nicht geben.
Fazit und Ausblick
Diese Öffnungsklauseln bieten nun zahlreichen Mitgliedstaaten die Möglichkeit, das Datenschutzniveau der DSGVO im eigenen Interesse aufzuweichen. Beispielsweise hat die österreichische Bundesregierung aus ÖVP und FPÖ beschlossen, dass in der Alpenrepublik Datenschutzorganisationen wie noyb von Max Schrems, der das Safe-Harbor-Abkommen zu Fall brachte, ihr durch die DSGVO eingeführtes Verbandsklagerecht gegen ausländische Unternehmen nicht wahrnehmen können. Auch die deutsche Bundeskanzlerin Angela Merkel denkt laut über Lockerungen zu Gunsten der Wirtschaft nach. Zeitgleich verschieben zahlreiche Firmen ihre Nutzerdaten auf außereuropäische Server. Kritisieren lässt sich die DSGVO aber auch dafür, dass sie den datenschutzrechtlichen Herausforderungen der Digitalisierung aller Lebensbereiche nicht immer ausreichend begegnet. Die umfassenden Auswertungsmöglichkeiten moderner Big-Data-Analysen und die Erstellung von Persönlichkeitsprofilen reguliert sie beispielsweise nur zögerlich. Doch bei allem Verbesserungspotential bietet die DSGVO eine reelle Chance dafür, den Datenschutz in der EU und darüber hinaus nachhaltig zu stärken.
Kommentare verfolgen:
|
