Die EU verschärft den Datenschutz
13. April 2016
Geheimdienste in den USA und Europa greifen massenhaft auf die Daten ahnungsloser Menschen zu, um Terroristen und Verbrecher zu finden. Sie überwachen die Kommunikation von Millionen Menschen. Vor allem große amerikanische Internetkonzerne erheben unendlich viele Daten und reichen diese an Geheimdienste und Strafverfolgungsbehörden weiter. Das wurde 2013 durch die Enthüllungen von Edward Snowden, einem Computerspezialisten bei US-Geheimdiensten, bekannt.
"Grundverordnung" schafft einheitliches Recht in der EU
Aufgeschreckt von diesen Zuständen haben EU-Kommission, EU-Ministerrat und das Europäische Parlament drei Jahre lang verhandelt, um den Datenschutz in der EU auf eine neue rechtliche Grundlage zu stellen. Dabei ging es darum, die Interessen der Bürger, der Unternehmen und auch der Geheimdienste gegeneinander abzuwägen und eine praktikable Neuordnung des sensiblen Themas zu schaffen. Jetzt wird das Europäische Parlament der neuen "Datenschutz-Grundverordnung" zustimmen, die dann in zwei Jahren unmittelbar geltendes Recht in allen 28 Mitgliedsstaaten wird.
Eine zusätzliche Gesetzgebung der nationalen Parlamente ist dann - anders als bei normalen EU-Richtlinien - nicht mehr nötig. Das unterschiedliche Niveau von Datenschutz in den 28 EU-Staaten wird angeglichen. Im europäischen Binnenmarkt soll nur noch ein einheitliches Recht gelten. Gleichzeitig wird ein Gesetz für den "Datenschutz im Polizei- und Justizbereich" verabschiedet, das es erlaubt, Daten von Verdächtigen und Zeugen zu sammeln und auszuwerten.
Hier die wichtigsten Änderungen:
Wem gehören meine Daten?
Kein Unternehmen und keine Behörde darf Daten über mich sammeln, es sei denn ich willige ein oder es gibt gesetzliche Regelungen, die mich zur Herausgabe bestimmter Daten zwingen. Die Datensammlung durch Unternehmen, Webseiten und andere Dienste ist nur erlaubt, wenn ich aktiv ausdrücklich zustimme. Die teilweise übliche "vermutete Zustimmung" durch voreingestellte Häkchen auf Webseiten zur Nutzung von Daten ist nicht mehr zulässig. Unternehmen dürfen nur noch Daten abfragen, die für ihre Dienstleistung tatsächlich notwendig sind.
Kann ich meine Daten löschen lassen?
Das "Recht auf Vergessen" wird erstmals ausdrücklich festgeschrieben. Google, Facebook, Twitter und andere Datensammler müssen meine Konten und persönlichen Daten auf Anforderung löschen und dürfen sie auch nicht mehr an Dritte weitergeben. Außerdem sollen die Daten mobil werden. Wenn ich einen Anbieter wechsele, kann ich meine Daten mitnehmen und auf einen neuen Anbieter übertragen lassen. Datenverarbeiter müssen auf Verlangen offenlegen, welche meiner Daten sie gespeichert haben und was sie damit anstellen und an wen sie die Daten weitergeben. Diese Auskunft muss "verständlich und kostenfrei" erfolgen.
Was kommt auf die Unternehmen und Behörden zu?
Firmen und Behörden müssen von einer bestimmten Größe an Datenschutz-Beauftragte ernennen, die dafür sorgen, dass die Datenschutz-Grundverordnung beachtet wird. Bei kleinen Unternehmen reicht ein nebenamtlich beauftragter Mitarbeiter. Es gibt keine Ländergrenzen mehr. Unternehmen und Konzerne mit Niederlassungen in mehreren europäischen Staaten können die Daten intern austauschen, wenn sie die Regeln des Datenschutzes beachten. Betreiber von Webseiten müssen eine Reihe von neuen Regeln beachten. Kinder dürfen zum Beispiel nicht bereits wie heute mit 13 Jahren, sondern künftig erst mit 16 Jahren, der Nutzung ihrer Daten zustimmen. Die Anmeldung bei Facebook zum Beispiel wird schwieriger. Die Webseiten-Betreiber müssen theoretisch das Alter prüfen.
Können meine Daten außerhalb der EU verwendet werden?
Unternehmen dürfen meine persönlichen Daten nur an Drittstaaten, wie die USA, weiterleiten, wenn dort das gleiche Datenschutzniveau herrscht wie in der EU. Der Europäische Gerichtshof hatte im Oktober 2015 ein Abkommen zwischen der EU und den US verworfen, das die Weitergabe von Daten und deren Speicherung in den USA grundsätzlich erlaubt. Zurzeit handeln die EU und die USA ein neues Abkommen aus. Die neuen Datenschutzgesetze sehen vor, dass Staaten, in denen Behörden unverhältnismäßigen Zugriff auf Daten haben und Massenüberwachung durchführen, nicht mehr als "sichere Häfen" für Daten gelten dürfen. Firmen in Europa dürfen meine Daten nicht direkt an Behörden in den USA oder sonstwo weitergeben. Dazu ist von Fall zu Fall ein Rechtshilfeabkommen zwischen der EU und dem Drittstaat nötig. Außerdem muss ich in diesem Drittstaat die Möglichkeit haben, gegen die Verwendung meiner Daten zu klagen.
Wo kann ich mich bei möglichem Missbrauch meiner Daten beschweren?
Es soll einen "One-Stop-Shop" geben: Ich kann mich mit Beschwerden an meine nationale Datenschutz-Behörde wenden, egal in welchem EU-Land, von welcher Firma oder Behörde meine Daten erhoben wurden. Dazu sollen die 28 nationalen Datenschutz-Behörden enger zusammenarbeiten und ein einheitliches Dach erhalten, den "Europäischen Datenschutz-Ausschuss". Dieser soll in Zweifelsfällen das letzte Wort haben. Betroffene Unternehmen müssen sich ebenfalls nicht mehr mit 28 unterschiedlichen Datenschutz-Behörden auseinandersetzen, sondern nur noch mit der nationalen Behörde des Landes, in dem sein Hauptsitz angesiedelt ist.
Wie wird der Missbrauch von Daten bestraft?
Unternehmen, die gegen die Grundverordnung verstoßen, können mit einer Strafe belegt werden, die bis zu vier Prozent ihres weltweiten Jahresumsatzes beträgt.
Welche Daten dürfen Polizei und Staatsanwaltschaft abrufen?
Wie bisher können Strafverfolgungbehörden auf richterliche Anordnung Kommunikationsdaten, Telefonate, E-Mails usw. von Verdächtigen auswerten. Die Datenspeicherung auf Vorrat ohne Anlass ist in allen EU-Staaten unterschiedlich geregelt und nicht Gegenstand der "Richtlinie zum Datenschutz im Polizei- und Justizbereich". Daten von Zeugen und Opfern von Verbrechen sollen besser geschützt werden.