Die wichtigsten Punkte der neuen EU-Datenschutzverordnung, auf die sich die EU-Institutionen geeinigt haben.
Brüssel/Wien. Rund vier Jahre lang haben die EU-Kommission, die EU-Regierungen und das EU-Parlament über eine neue Datenschutzverordnung verhandelt. Bei keiner sonstigen Verordnung gab es so viel Einflussversuche durch Lobbyisten, so viele Änderungsanträge. In der Nacht auf Mittwoch haben die EU-Institutionen in den sogenannten Trilogverhandlungen eine Einigung erzielt. Die zuständige Justizkommissarin Věra Jourová zeigte sich erleichtert. Nun würden EU-Bürger wieder „Herr ihrer Daten“. Auch der im Europaparlament zuständige deutsche Abgeordnete, Jan Philipp Albrecht, sprach von einem Durchbruch. Es sei ein „Riesenschritt für starke Verbraucherrechte“. Die Verordnung soll bis 2018 gänzlich umgesetzt werden.
Hier die wichtigsten Punkte im Detail.
1. Recht auf Löschung von persönlichen Daten auch bei Google und Facebook
Die Verordnung gibt den Konsumenten mehr Rechte, aber auch mehr Eigenverantwortung. Sie enthält das Recht auf Löschung, Auskunft und Korrektur. Jeder Internet-User hat künftig das Recht, dass seine Daten etwa in sozialen Netzwerken oder bei der Suchmaschine Google gelöscht werden. Das betrifft auch Daten, die an Dritte weitergegeben wurden. Sogar auf eine gewünschte Korrektur von Daten müssen die Betreiber künftig reagieren. Insgesamt dürfen von Personen nur so viele Daten erhoben werden, wie für das Funktionieren eines Dienstes notwendig sind.
2. Daten dürfen nur noch nach expliziter Zustimmung weiterverarbeitet werden
Internetdienste müssen ihre Kunden auch bei kostenlosen Diensten über die Nutzung der persönlichen Daten informieren. Es bleibt also die Entscheidung jedes Einzelnen, ob er seine Daten weitergibt und ob diese von Dritten genutzt werden dürfen. Internetunternehmen dürfen also nicht weiterhin ganze Datensätze ungefragt weiterverkaufen. Bis zum 13. Lebensjahr braucht es eine Zustimmung der Eltern. Einschränkungen wird es auch bei der Erstellung von Profilen von Nutzern geben. Sie dürfen keine sensiblen Daten wie etwa Gesundheitsdaten enthalten. Das EU-Parlament bestand zudem darauf, dass Daten nicht an Behörden von Drittstaaten weitergegeben werden. Der Kompromiss sieht nun keine Änderung im internationalen Datentransfer vor. Die EU-Kommission will nach der erfolgreichen Klage gegen das Save-Harbour-Abkommen mit den USA aber neue Sicherheitsregeln für die internationale Verarbeitung und Speicherung von personenbezogenen Daten festlegen.
3. Mehr Bürokratie, aber auch mehr Rechtssicherheit für Unternehmen
Unternehmen, die eine größere Menge von persönlichen Daten verwalten, müssen einen eigenen Datenschutzbeauftragten benennen. Das muss kein eigener Dienstposten sein, aber ein Ansprechpartner. Außerdem werden die Firmen verpflichtet, Hackerangriffe auf personenbezogene Daten innerhalb von 72 Stunden den jeweiligen nationalen Behörden zu melden. Vorteile bringt die neue Datenschutzverordnung für grenzüberschreitend agierende Unternehmen. Denn bisher gab es in der EU 28 unterschiedliche Datenschutzstandards. Nun gelten einheitliche Regeln und damit auch gleiche Wettbewerbsbedingungen.
4. Sanktionen von bis zu vier Prozent des Jahresumsatzes
Damit die neue Datenschutzverordnung auch eingehalten wird, wurden strenge Sanktionen festgeschrieben. Unternehmen, die sich nicht an die neuen Regeln halten, können mit bis zu vier Prozent ihres Jahresumsatzes bestraft werden. Wobei die nationalen Datenschutzbehörden einen Spielraum haben, die Strafe festzulegen. Je nach Art und Umfang des Vergehens können die Zahlungen auch geringer sein.
5. Handy- und Internetkunden können leichter Anbieter wechseln
Vorgesehen ist auch eine Erleichterung für Internetkunden, die ihren Anbieter wechseln wollen. Für sie soll es künftig eine Datenportabilität geben. Das heißt, ihre personenbezogenen Daten müssen auf Antrag von einem Anbieter zu einem anderen weitergegeben werden. Das betrifft zum Beispiel Kontakt- oder E-Maildaten.
("Die Presse", Print-Ausgabe, 17.12.2015)
