EU-Datenschutz schützt Daten nicht
28. September 2016
Im Mai jubelten europäische Datenschützer. Die neue EU-Datenschutzverordnung trat in Kraft. Europäische Verbraucher bekamen damit mehr Rechte. Zum Beispiel sollen Internet-Nutzer bei vermuteten Datenschutzverstößen von Firmen gegen diese vorgehen können. Wer bisher einen Verstoß von Facebook sieht, muss sich mit der irischen Datenschutzbehörde herumschlagen, weil Facebook von Irland aus operiert. Mit der Neuregelung soll der Ansprechpartner in solchen Fällen die Behörde im Land des Nutzers sein. Beide Behörden arbeiten dann zusammen. Sind sie unterschiedlicher Meinung, entscheidet ein gemeinsamer europäischer Datenschutzausschuss.
Eine weitere Neuerung: Bei einem Wechsel von einem sozialen Netzwerk zum anderen sollen Nutzer ihre Daten wie Emails oder Bilder "mitnehmen" können. Und: Internet-Unternehmen dürfen Daten, die sie für einen ganz bestimmten Zweck erhalten haben, nicht für andere Zwecke verwenden oder weitergeben, ohne den Kunden zu fragen. Es soll außerdem ein "Recht auf Vergessenwerden" geben, das heißt, personenbezogene Daten müssen auf Wunsch der Person aus dem Netz gelöscht werden.
Nach Ansicht der Kommission sollen auch die Unternehmen von der Verordnung profitieren. Allein die Tatsache, dass es nur noch eine Aufsichtsbehörde geben wird, soll der Branche mehr als zwei Milliarden Euro im Jahr sparen, schätzt jedenfalls die EU.
Der Bundesverband E-Commerce und Versandhandel Deutschland sieht Erleichterungen für den grenzüberschreitenden europäischen Online-Handel, der bisher noch weit hinter den Erwartungen zurückbleibt, weil ihm Kunden wegen vermuteter Lücken bei Sicherheit und Garantien oft nicht trauen.
Viele Unternehmen warten ab
Doch das alles steht bisher nur auf dem Papier. Denn auch wenn die Datenschutzverordnung im Mai in Kraft trat, haben die Mitgliedsstaaten zwei volle Jahre Zeit, um ihre nationalen Gesetze anzupassen. Das betrifft in Deutschland rund 300 Verwaltungsgesetze.
Auch viele Unternehmen sind noch nicht auf die Novelle vorbereitet. Für fast jedes zweite Unternehmen in Deutschland ist die Datenschutzverordnung noch kein Thema, hat jetzt eine Umfrage im Auftrag des IT-Branchenverbandes Bitkom ergeben. Rund ein Drittel der Unternehmen mit mehr als 20 Mitarbeitern weiß zwar, was es tun muss, will sich aber erst später mit den nötigen Reformen beschäftigen. Zwölf Prozent der Betriebe haben noch nicht einmal davon gehört.
Susanne Dehmel, Geschäftsleiterin Datenschutz und Sicherheit beim Bitkom, hat die Firmen aufgefordert, nicht zu lange mit den Anpassungen zu warten, und gewarnt: "Nach dem Ende der Übergangsfrist im Mai 2018 drohen empfindliche Strafen, wenn sich die Unternehmen nicht an die Bestimmungen halten." Die sind tatsächlich nicht von Pappe. Maximal droht eine Geldbuße von vier Prozent des weltweiten Umsatzes.
Unter den Tisch gefallen: Cloud Computing & Co.
Doch Probleme drohen noch von einer ganz anderen Seite. Nach einer rechtswissenschaftlichen Untersuchung der Universität Kassel kommen in der Verordnung entscheidende Internet-Anwendungen gar nicht vor. Alexander Roßnagel, Professor für Wirtschaftsrecht und Leiter der Projektgruppe, sagt: "Alle modernen Herausforderungen für den Datenschutz wie Soziale Netzwerke, Big Data, Suchmaschinen, Cloud Computing, Ubiquitous Computing und andere Technikanwendungen werden vom Text der Verordnung ignoriert."
Das führe zu rechtlicher Unsicherheit: "Weil die Abgrenzung zu deutschem Recht unscharf ist, wird die Rechtslage in Deutschland unübersichtlicher und möglicherweise sogar schlechter."
Ein einheitlicher, modernisierter und effizienterer europäischer Datenschutz und gleiche Wettbewerbsbedingungen für die Anbieter von IT-Diensten - das will die EU-Datenschutzverordnung erreichen. Roßnagel kommt zu dem vernichtenden Urteil, diese Ziele würden verfehlt, weil die Verordnung zu abstrakt sei und zu viele Ausnahmen zulasse.
Nach dem langen Vorlauf auf europäischer Ebene sind von dieser Seite keine Änderungen zu erwarten. Da die EU-Verordnung deutsches Recht nicht aufhebe, kommt Roßnagel zu dem Schluss: "In vielen Fällen wird unklar oder gar strittig sein, welche Regelung im Einzelfall anwendbar ist. Hier muss der deutsche Gesetzgeber neue, angepasste Regelungen treffen."
Immerhin, die Bundesregierung hat noch bis Mai 2018 Zeit, sich auf die neue Situation vorzubereiten.