Europäisches Parlament verabschiedet EU-Datenschutzreform

Das Europäische Parlament hat der neuen Datenschutzgrundverordnung zugestimmt. Sie kann damit die aktuell geltende Richtlinie 95/46/EG aus dem Jahr 1995 ablösen und in zwei Jahren zu unmittelbar geltendem Recht in allen 28 EU-Mitgliedsstaaten werden. Ziel der Neuregelung ist, „den Nutzern die Entscheidung über ihre persönlichen Daten zurückzugeben, ein hohes und einheitliches Datenschutzniveau einzuführen sowie die EU für das digitale Zeitalter zu rüsten“. Sie legt auch Mindeststandards für die Verwendung von Daten für polizeiliche und gerichtliche Zwecke fest.

Die heutige Abstimmung im Parlament markiert nach mehr als vier Jahren das Ende der Arbeit an der kompletten Überarbeitung der EU-Datenschutzvorschriften. Am 25. Januar 2012 hatte die Europäische Kommission erstmals ihren Vorschlag für eine europäische Datenschutzreform vorgelegt. Am 12. März 2014 segnete das Parlament den Entwurf der Datenschutzgrundverordnung ab, die neben einem besseren Schutz der Privatsphäre auch strengere Strafen bei Verstößen vorsieht.

Die bestehende Datenschutzrichtlinie von 1995 stammt aus einer Zeit, in der das Internet noch in den Kinderschuhen steckte. Das neue Regelwerk berücksichtigt nun deutlich mehr Aspekte der heutigen digitalisierten Welt mit Smartphones, sozialen Medien, Internetbanking und weltweiten Datenübertragungen.

„Mit der Datenschutzgrundverordnung wird die Vision eines hohen einheitlichen Datenschutzniveaus für die gesamte Europäische Union Wirklichkeit. Dies ist ein großer Erfolg für das Europäische Parlament und ein starkes europäisches Ja zu starken Verbraucherrechten und mehr Wettbewerb im digitalen Zeitalter“, kommentiert Jan Philipp Albrecht, Berichterstatter der Grünen im Europäischen Parlament. „Die Bürger können selbst entscheiden, welche persönlichen Daten sie freigeben wollen. Den Unternehmen gibt das neue Gesetz klare Vorgaben, weil in der ganzen EU dieselben Regeln gelten. Bei Verstößen müssen Unternehmen bis zu vier Prozent des Jahresweltumsatzes zahlen. Das neue Gesetz schafft Vertrauen, Rechtssicherheit und einen faireren Wettbewerb.“

Zu den wichtigsten Änderungen der neuen Vorschriften zählen das Recht auf Vergessenwerden, das eine Verarbeitung der Daten nur nach ausdrücklicher Einwilligung der betroffenen Person einschließt, das Recht auf Datenübertragbakeit (an einen anderen Dienstleister) und das Recht der Betroffenen, über eine Verletzung des Schutzes der eigenen Daten informiert zu werden. Zudem müssen Datenschutzbestimmungen künftig „in klarer und verständlicher Sprache“ erläutert werden.

Das Datenschutzpaket enthält auch eine Richtlinie über die Datenübertragungen zu polizeilichen und gerichtlichen Zwecken. Sie bezieht sich auf Datenübertragungen über die Grenzen innerhalb der EU hinweg und legt Mindeststandards für die Datenverarbeitung für polizeiliche Zwecke in jedem Mitgliedstaat fest.

Die neuen Regeln zielen der EU zufolge auf den Schutz des Einzelnen ab, egal ob Opfer, Krimineller oder Zeuge. Dazu werden klare Rechte und Einschränkungen in Bezug auf Datenübertragungen zum Zweck der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung festgelegt, auch hinsichtlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Gleichzeitig soll eine nahtlose und effektive Zusammenarbeit zwischen den Strafverfolgungsbehörden erleichtert werden.

„Das Hauptproblem bei Terroranschlägen und anderen transnationalen Verbrechen ist, dass die Strafverfolgungsbehörden in den Mitgliedstaaten zögern, wertvolle Informationen auszutauschen“, sagte die Berichterstatterin Marju Lauristin (S&D, EE). „Durch europäische Standards für den Informationsaustausch zwischen Strafverfolgungsbehörden wird diese Richtlinie zu einem leistungsfähigen und nützlichen Instrument, das die Behörden dabei unterstützen wird, persönliche Daten einfach und effizient auszutauschen. Gleichzeitig wird sie gewährleisten, dass das Grundrecht auf Schutz der Privatsphäre gewahrt bleibt.“

Die Verordnung wird 20 Tage nach der Veröffentlichung im EU-Amtsblatt in Kraft treten. Zwei Jahre später wird sie allgemein wirksam. Die Mitgliedstaaten haben zwei Jahre Zeit, die Bestimmungen der Richtlinie in nationales Recht umzusetzen.

In Dänemark und Großbritannien werden die Bestimmungen jedoch nur eingeschränkt gelten, da die Länder Ausnahmen im Bereich Justiz und Inneres ausgehandelt haben. Dänemark kann innerhalb von sechs Monaten nach der endgültigen Verabschiedung der Richtlinie entscheiden, ob es diese in nationales Recht umsetzen wird.

Der Digitalverband Bitkom begrüßt, dass die langjährigen Verhandlungen der EU-Institutionen über die Datenschutzverordnung zu einem Abschluss gekommen sind. „Die neuen Datenschutzstandards sollten in den Mitgliedsstaaten möglichst einheitlich angewendet und durchgesetzt werden“, sagte Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit. Nur so könne gewährleistet werden, dass innerhalb der EU „gleiches Recht für alle“ gelte.

Auf Unternehmen kommen mit der Verordnung Dehmel zufolge zahlreiche neue Dokumentations-, Melde- und Genehmigungspflichten zu. So müssten Firmen in Zukunft unter anderem Datenschutzfolgenabschätzungen durchführen, den Datenschutz bereits bei der Entwicklung neuer Produkte und Dienste beachten („Privacy by Design“), datenschutzfreundliche Voreinstellungen vornehmen („Privacy by Default“) oder das neue Verbraucherrecht auf Datenübertragbarkeit umsetzen. „Viele Regelungen der neuen Datenschutzverordnung sind so allgemein formuliert, dass nicht auf den ersten Blick klar ist, wie sie in der Praxis umgesetzt werden sollen. Das wird in der Anfangszeit zu einer gewissen Rechtsunsicherheit führen“, so Dehmel weiter. Daher sei es wichtig, dass sich Wirtschaft und Datenschutzaufsicht möglichst bald austauschen, um ein gemeinsames und europaweit einheitliches Verständnis der neuen Regeln zu entwickeln.

Auch der Verband der Internetwirtschaft eco sieht die neue Datenschutzgrundverordnung positiv. „Ein gemeinsames europäisches Datenschutzrecht ist ein absoluter Standortvorteil im Wettbewerb um die digitalen Märkte der Zukunft und ein wichtiger Schritt für Europa“, sagte Oliver Süme, eco-Vorstand Politik und Recht. „Diese Modernisierung des europäischen Datenschutzrechts bietet uns jetzt die Chance, die Umsetzungs- und Anwendungsunterschiede des bestehenden Rechtsrahmens zwischen den Mitgliedsstaaten zu beseitigen. Die jetzt vom Europäischen Parlament verabschiedete Datenschutz-Grundverordnung schafft einen sach- und interessengerechten Ausgleich zwischen Bürgerrechten und wirtschaftlicher Datenverarbeitung.“

Tipp: Wie gut kennen Sie sich mit der europäischen Technologie-Geschichte aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.