Bereits seit Anfang 2012 liegt die "EU-Datenschutz-Grundverordnung" (kurz EU-DS-GVO) in der "endgültigen" Entwurfsfassung vor, wurde vor einem halben Jahr vom Europäischen Parlament angenommen und wartet seitdem auf ihre Verabschiedung durch die Europäische Union in Brüssel.
Wegen unterschiedlicher Auffassungen innerhalb des EU-Rates ist derzeit aber davon auszugehen, dass die Reform frühestens Mitte 2015 vom EU-Rat verabschiedet und dann erst 2017 (nach der zweijährigen Umsetzungsfrist) in allen Mitgliedsstaaten in Kraft tritt. Das sagte zumindest der Bayerische Landesbeauftragte für den Datenschutz, Thomas Petri, kürzlich im Gespräch mit der COMPUTERWOCHE.
In unseren FAQ beantworten wir schon heute die wichtigsten Fragen zum Inhalt der Richtlinie und den angestrebten Veränderungen gegenüber den bislang geltenden Datenschutzgesetzen.
Wird die neue EU-Richtlinie überhaupt noch kommen?
Forrester-Analyst Andrew Rose veröffentlichte vor wenigen Wochen gemeinsam mit seinem Kollegen Chris Sherman das Whitepaper "EU Privacy Regulations", das wir in diesen FAQ in Auszügen aufgreifen werden. Im Gespräch mit der COMPUTERWOCHE bezeichnet Rose die lange Verzögerung der Ratifizierung der Richtlinie zwar als "enttäuschend", bezweifelt jedoch, dass sie gar nicht kommt: "Sollte jemals in Erwägung gezogen worden sein, den Entwurf nicht umzusetzen, ist dieser Plan spätestens seit den Enthüllungen rund um die NSA passé."
Warum wäre eine Datenschutzreform wichtig?
Facebook-Gründer Mark Zuckerberg erklärte bereits 2010: "Privacy is dead." Er brachte auf den Punkt, was viele (US-)Unternehmen und teils auch "Digital Natives" im Zeitalter der Digitalisierung bereits lange denken mögen, die ein ganz anderes Verständnis von "Teilen" und "Privatsphäre" haben als frühere Generationen.
Dennoch ist das Thema Datenschutz auch weiterhin wichtig. Rose vertritt eine klare Meinung: "Die Privatsphäre an sich ist nicht teilbar. Es gibt zwar persönliche Daten, die gerne mit anderen geteilt werden und es gibt welche, für die das nicht gilt. Aber leider zieht jeder Mensch diese Grenze woanders. Dazu kommt: In Zeiten von Big Data Analytics ist die Privatsphäre an sich in Gefahr, weil selbst eine Anonymisierung von Daten kaum noch vollständig möglich ist. Wir müssen uns auf die Anbieter von Datenkorrelations-Diensten verlassen können, dass ihre Lösungen einen angemessenen Datenschutz ermöglichen. Das wird aber nur geschehen, wenn es für sie entweder ausreichende Anreize dafür oder spürbare "Nichtanreize" dagegen gibt - in Form von Regulierungen und Bußgeldern. Letzteres sieht die neue EU-Richtlinie vor."
Was sind die wichtigsten Eckpunkte der Reform?
Im Vergleich zur bisher geltenden Datenschutzrichtlinie aus dem Jahr 1995 sind vor allem zehn Punkte entscheidend, an denen es zu wichtigen Veränderungen kommen soll. Wir haben sie in der folgenden Bilderstrecke zusammengefasst:
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Was bedeutet die Reform für die Unternehmen konkret?
Rose meint: "Angesichts der geplanten Geldbußen bei Verstößen gegen die Richtlinie werden Unternehmen die Position eines Chief Privacy Officer etablieren und mit entsprechenden Rechten ausstatten. Dieser bekommt im Management dann auch Gehör und die finanziellen Mittel, um ein ausreichendes Datenschutzniveau aufzubauen und zu kontrollieren. Das Daten-Management wird zu einer zwingenden Aufgabe - dazu gehören unter anderem auch die Bereiche Datenklassifizierung, Lebenszyklen von Daten und Zugangssicherheit. Unternehmen werden ihre gesammelten Daten gezielter auf ihre Business-Tauglichkeit hin untersuchen."
Was sagen die Unternehmen selbst?
Der IT-Branchenverband BITKOM teilte bereits 2012 in einer offiziellen Stellungnahme mit, dass man die Reformpläne grundsätzlich unterstütze, weil es die internationale Abstimmung mit den Datenschutzbehörden erheblich vereinfache. Der Verband weist aber auch darauf hin, dass die neuen Vorgaben darüber, wie mit Daten in Unternehmen umgegangen werden solle, teils gar nicht oder nur mit hohem Aufwand umsetzbar seien. Auch sei der Ansatz des "Verbotsprinzips mit Erlaubnisvorbehalt" (es ist alles das verboten, was nicht ausdrücklich erlaubt wird) noch einmal zu überdenken. Legitime Datenverarbeitungsprozesse würden unnötig behindert.
Der BITKOM schlägt den umgekehrten Weg einer "Datenverkehrsordnung" vor, die Datenverarbeitung grundsätzlich erlaubt und durch Leitplanken eingrenzt. "Der Bitkom würde sich wünschen, dass sich der Verordnungsentwurf mehr auf die Ziele eines modernen und effektiven Datenschutzes in der Informationsgesellschaft fokussiert und weniger Vorgaben im Detail macht", heißt es dazu.
Welche Daten sind überhaupt betroffen?
Es geht ausschließlich um personenbezogene Daten - solche Daten, die die Privatsphäre ihres "Besitzers" (im deutschen Datenschutzrecht auch "Betroffener" genannt) unmittelbar betreffen und ihn (zumindest in der Kombination) eindeutig identifizierbar machen. Klassische personenbezogene Daten sind Angaben wie Name, Adresse oder Geburtstag, die erst in der Kombination miteinander wirklich einen Wert erhalten und einzeln beispielsweise zu statistischen Zwecken anonymisiert durchaus verarbeitet werden dürfen.
Weitere Beispiele sind die besonders schutzbedürftigen Informationen über ethnische Herkunft einer Person, politische, religiöse, gewerkschaftliche, sexuelle Gesinnung oder auch gesundheitsbezogene Daten, deren Erhebung und Verarbeitung zumindest hierzulande laut Bundesdatenschutzgesetz §3 Abs. 9 noch einmal stärker reglementiert wird als die der "einfachen" personenbezogenen Daten. Diese Daten dürfen nur mit dem expliziten Einverständnis ihrer Besitzer und nur aus guten und nachvollziehbaren Gründen heraus überhaupt erhoben und verarbeitet werden.