Die Europäische Union plant strenge Regeln, die Facebook & Co. kaum freuen werden. Der verschärfte Schutz soll weltweit gelten. Die USA wollen die neuen Regeln torpedieren.
[WIEN] EU-Justizkommissarin Viviane Reding hat sich die Vereinheitlichung des EU-Datenschutzrechts, die Ausweitung der Geltung des Datenschutzes in der EU und die massive Sanktionierung von Verstößen auf die Fahnen geheftet. Zwar sorgt in der EU bereits seit 1995 eine Datenschutzrichtlinie(RL 95/46/EG) für eine weitgehende, aber nicht gänzliche Vereinheitlichung der nationalen Datenschutzgesetze. Seit 1995 heißt aber auch, sie stammt aus einem anderen „digitalen Erdzeitalter“.
Nun ist ein Kommissionsentwurf zu einer Allgemeinen Datenschutzverordnung „geleakt“ worden und kursiert im Internet. Seither bezeugen Schmerzreaktionen, aber auch Begeisterung in und außerhalb der EU, wie tiefgreifend das Streben der Kommission nach einem modernen und effektiven Datenschutzrecht in die digitale Realität eingreift. Die EU-Datenschutzrichtlinie wird derzeit durch nationales Recht umgesetzt. Jetzt steht Vollharmonisierung auf dem Programm. Kommt eine EU-Datenschutzverordnung, ist das österreichische Datenschutzgesetz (DSG 2000) Geschichte. Der Datenschutz steht unter dem Kommando von Brüssel.
Das Web ist „worldwide“. Datenschutzrecht und damit der Datenschutz enden an den Grenzen. Die Kommission beansprucht in Zukunft jedoch die weltweite Anwendung ihrer Datenschutzregeln, wenn immer Unternehmen oder Behörden in Drittstaaten personenbezogene Daten von EU-Bürgern verwenden. Dann sollen ausländische Datenverarbeiter sogar einen Repräsentanten in der EU bestellen. Wer keinen bestellt, wird bestraft, so einfach ist das. Ob das Facebook & Co. freuen wird?
Die Verwender haben die Betroffenen umfassend aufzuklären, z.B. warum die Erhebung und Verwendung ihrer Daten notwendig ist, welche Konsequenzen eine Verweigerung der Datenbekanntgabe hat, wie lange die Datenspeicherung erfolgt und ob die Daten weitergegeben werden. Stellt ein Betroffener ein Informationsbegehren, so muss der Datenverwender innerhalb eines Monats antworten.
Schon bisher galt, dass verboten ist, was nicht erlaubt ist. Personenbezogene Daten dürfen nur auf gesetzlicher oder vertraglicher Grundlage verwendet werden. Dazu reicht auch, wenn der Betroffene der Verwendung zugestimmt hat. Die „schlüssige“ oder „stillschweigende“ Zustimmung wurde in der Vergangenheit manchmal recht großzügig angenommen. Damit soll jetzt Schluss sein, nur mehr eine ausdrückliche Zustimmung gilt.
Neu geschaffen wird ein „Recht, vergessen zu werden“. Datenverwender sind verpflichtet, auf Verlangen des Betroffenen, dessen Daten zu löschen. Der Einzelne soll somit „Jugendsünden“ aus der virtuellen Welt tilgen können. Ganz neuartig ist auch das Recht auf „selbstbestimmtes Profiling“: Weitgehend beschränkt wird die Verarbeitung von Daten mit dem Zweck, Persönlichkeitsmerkmale Einzelner oder ihre zukünftige Leistungsfähigkeit, Bonität, Gesundheit, persönliche Vorlieben, Zuverlässigkeit oder Verhalten zu analysieren oder prognostizieren. Selbst eine allgemeine ausdrückliche Zustimmung berechtigt in Zukunft nicht mehr, Betroffene mit kommerziellem Direktmarketing zu bombardieren. Dazu bedarf es vielmehr einer spezifischen ausdrücklichen Zustimmung. Das schon bisher verbotene Cold Calling und andere unerbetene kommerzielle Kommunikation wird nun angesichts der heftigen Sanktionen auch sehr, sehr teuer.
Alle unter 18 sind „Kinder“
Während die Altersgrenze für das aktive Wahlrecht zuletzt immer mehr gesunken ist, erklärt der EU-Entwurf Teenager bis zu 18 Jahren zu „Kindern“. Dies in der Absicht, ihnen einen besonderen Schutz zu bieten: Zur Einwilligung in die Verwendung eigener personenbezogener Daten brauchen solche „Kinder“ immer die Zustimmung des gesetzlichen Vertreters. Profiling ist bei ihnen unzulässig.
Wohl angesichts der volumensmäßig nicht mehr überprüfbaren Meldungen der Auftraggeber dreht der Kommissionsentwurf jetzt den Spieß um: Die Einschätzung, was sie dürfen, haben Datenverwender in Zukunft zunächst immer selbst vorzunehmen. Sie tragen das Risiko. Der neu eingeführte Grundsatz der Rechenschaftspflicht nötigt sie zu Dokumentation und Freibeweis, dass sie ein vorgeschriebenes Datenschutzniveau einhalten und eingehalten haben. Einrichtungen und Institutionen sowie Unternehmen mit mehr als 250 Mitarbeitern müssen in Zukunft verpflichtend einen Datenschutzbeauftragten haben. Ähnliches im österreichischen DSG hat die Wirtschaft bislang mit Erfolg abgewehrt.
Stellt ein Datenverwender fest, dass bei ihm der Datenschutz gebrochen wurde oder wird (etwa durch einen Hackerangriff, Ausspähen, Zerstörung von Daten durch Schadsoftware), hat er die Datenschutzbehörde innerhalb von 24 Stunden zu informieren, ebenso innerhalb derselben Frist Personen, deren Geheimhaltungsinteressen betroffen sind.
USA wollen sich wehren
Bisher fand die Übermittlung persönlicher Daten in Drittstaaten außerhalb der EU häufig in einem Graubereich statt. Die nun geplanten verschärften Transferbeschränkungen haben, nicht überraschend, bereits die US-Regierung mit einer „informellen Note“ kurz vor Weihnachten auf den Plan gerufen. Besonders schmerzlich für die USA wäre, dass einem EU-Datenverarbeiter untersagt sein soll, der Entscheidung eines Drittstaatengerichts oder dem Beschluss einer Drittstaatenbehörde auf Datenherausgabe nachzukommen. Das blockiert vor allem die Durchführung der gefürchteten „Document Discovery“ des amerikanischen Zivilprozesses im Territorium der EU gegen ein europäisches Unternehmen. Dieses darf aufgrund des EU-Rechts eine US Discovery Order nicht befolgen.
Ein Kernpunkt der Reform sollen die Sanktionen sein, diese sollen „effektiv, verhältnismäßig und abschreckend“ sein. Wahrlich „Zähne“ zeigt die Reform mit Strafandrohungen in Höhe von bis zu fünf Prozent des weltweiten Unternehmensumsatzes bei Verletzungen der Verordnung. Und teuer werden dabei nicht erst krass rechtswidrige vorsätzliche Verstöße. Schon „Bagatelldelikte“ wie eine fahrlässige verspätete Informationserteilung sind mit Strafe von bis zu einem Prozent des Unternehmensumsatzes bedroht, Verstöße gegen das Rechenschaftsprinzip mit bis zu drei Prozent.
Gleich nach Bekanntwerden des Entwurfs haben Politiker und Datenschützer das verschärfte Datenschutzniveau in Europa gelobt. Weniger begeistert war die Wirtschaft. Diese kritisiert vor allem das Schutzalter von 18 Jahren und das Erfordernis der „ausdrücklichen Zustimmung“ des Betroffenen als überzogen. Befürchtet werden auch massive Einschränkungen beim „cloud-computing“.
Die Linie ist somit vorgegeben. Infolge des (unbeabsichtigten?) vorzeitigen Bekanntwerdens der Absichten hat bereits heftiges Lobbying eingesetzt. Für Unternehmen ist dadurch immerhin Zeit gewonnen, sich auf das Kommende einzurichten.
Die Autoren sind Rechtsanwälte bei Neudorfer Rechtsanwälte GmbH in Wien.
Auf einen Blick
Ein Entwurf der EU-Kommission sieht strengere Datenschutzregeln vor, von denen die Konsumenten profitieren würden. So soll man künftig von Internet-Anbietern verlangen können, dass die eigenen Daten gelöscht werden. Auch dürften die Betreiber künftig von den Usern nicht mehr eine allgemeine Zustimmung verlangen, um sie sodann mit Direktmarketing zu bombardieren. Die EU-Vorschriften sollen auch für Unternehmen aus Drittstaaten gelten, wenn diese personenbezogene Daten von EU-Bürgern verwenden. Diese Firmen sollen zudem einen Repräsentanten in der EU benennen müssen. Die USA haben bereits informell gegen das EU-Vorhaben protestiert.
("Die Presse", Print-Ausgabe, 23.01.2012)
