EU-Pläne Künftige Datenschutzverordnung zielt auf soziale Netzwerke

Ein Entwurf für die künftige europaweite Datenschutzverordnung kursiert im Netz. Experten sind überwiegend zufrieden mit dem Inhalt, befürchten aber eine Verwässerung.

Das Jahr 2012 verspricht spannend zu werden – für Datenschützer, Unternehmen und Verbraucher gleichermaßen. Bereits seit 2009 arbeitet die EU an einer Neuordnung des Datenschutzes. Die Regeln in Europa sollen vereinheitlicht und verbessert, die veraltete Richtlinie von 1995 an die digitale Lebenswelt mit ihren sozialen Netzwerken, Suchmaschinen und Online-Shops angepasst werden. Zwar mahlen die Mühlen in Brüssel langsam, doch nun könnte Bewegung in das Verfahren kommen. Ende Januar will die luxemburgische Justizkommissarin Viviane Reding einen Entwurf vorstellen. Der kursiert bereits seit einiger Zeit im Internet – und sieht durchaus vielversprechend aus, besonders aus Verbrauchersicht.

Geplant ist offenbar keine neue Richtlinie, sondern eine Verordnung. Das hat zur Folge, dass die neuen Regeln unmittelbar für alle Mitgliedstaaten gelten würden, und nicht, wie bei Richtlinien, erst in nationales Recht umgesetzt werden müssten. Eine Verordnung wird von der Kommission eingebracht und vom EU-Parlament und vom Rat der EU beschlossen. Das Verfahren würde, wenn beide Instanzen zustimmen, beschleunigt und den Mitgliedstaaten die Möglichkeit genommen, Regeln so umzusetzen, dass sie verwässert werden. Der Datenschutzexperte Thomas Hoeren sieht darin "eine harte Attacke gegen nationale Alleingänge". "Man will deutlich machen, dass Datenschutz in Zukunft die Sache von Brüssel ist", sagte Hoeren, der in Münster den Lehrstuhl für Informations- und Medienrecht innehat.

Einige Punkte würden für deutsche Verbraucher erhebliche Veränderungen mit sich bringen: So berufen sich in den USA ansässige Internetunternehmen wie Google bislang darauf, nicht dem europäischen Datenschutzrecht zu unterliegen. Laut dem nun bekannt gewordenen Entwurf sollen die Rechte von Kunden und Internetnutzern gegenüber Firmen, die keinen Sitz in Europa haben, gestärkt werden. Vorgesehen ist, dass das europäische Recht auch dann gelten soll, wenn ein Unternehmen seinen Sitz außerhalb der EU hat, seine Angebote und Aktivitäten sich aber an europäische Verbraucher richten, etwa indem sie die Zahlung in Euro anbieten oder Seiten in europäischen Landessprachen.

Klare Kante zeigt die Generaldirektion unter Viviane Reding auch bei den Sanktionen. Bei schweren Verstößen gegen das Datenschutzrecht sollen Unternehmen mit Strafen von bis zu fünf Prozent ihrer jährlichen Umsätze belegt werden können. Dieser Punkt steht auf Seite 89 in dem Entwurf. Die geplante Verordnung soll offenbar auch den Wettbewerb unter den sozialen Netzwerken und unter anderen Internetangeboten stärken. Die Verbraucher sollen das Recht auf eine Kopie ihrer sämtlichen Daten in elektronischer Form erhalten. So wäre es möglich, den Anbieter zu wechseln und das eigene "Profil" ohne Verluste mitzunehmen.

Das "Profiling" hingegen, also das Erstellen detaillierter Nutzerprofile durch soziale Netzwerke oder Online-Shopping-Anbieter wird erschwert. Gar nicht mehr erlaubt soll es in Zukunft sein, die Daten von Jugendlichen unter 18 Jahren zum "Profiling" zu verwenden.

Privacy by default soll zur Pflicht werden

Die Verbraucher erhalten außerdem das Recht, "vergessen zu werden", also das Recht darauf, dass ihre Daten gelöscht werden, wenn der Grund für die Speicherung erlischt. Die technische Umsetzung ist allerdings nicht einfach. Ein Beispiel für die Schwierigkeiten mit dem "digitalen Radiergummi": Um einen seiner Tweets zu löschen, wenn ein Twitter-Nutzer das verlangt, müsste Twitter auch alle Retweets finden und entfernen, also in die Profile von Dritten eingreifen. Ob der dazu notwendige technische Aufwand angemessen ist und ob dieses Vorgehen gegen das Grundrecht auf Meinungs- und Informationsfreiheit verstoßen könnte, ist unklar. Der Bundesdatenschutzbeauftragte Peter Schaar aber dürfte trotzdem zufrieden sein, dass das "Recht auf Vergessen" verordnet werden soll. Er schrieb schon im Oktober 2010: "Selbst wenn die Löschung nicht garantiert werden kann, bedeutet dies nicht, dass man auf das Machbare verzichten muss."

Generell dürfen Daten nicht länger gespeichert werden als unbedingt nötig. Anbieter werden verpflichtet, die datensparsamste Einstellung zur Voreinstellung zu machen (privacy by default) und bei neuen Technologien Gefahren für den Datenschutz bereits in der Entwicklungsphase zu berücksichtigen (privacy by design). Für die Verwendung von Kundendaten zum Direktmarketing soll in Zukunft immer eine explizite Einwilligung des Nutzers nötig sein. Einen Datenschutzbeauftragten sollen Unternehmen schon ab einer Mitarbeiterzahl von 250 beschäftigen müssen – in Deutschland ist er bislang Pflicht, wenn in einem Unternehmen mindestens 20 Mitarbeiter personenbezogen Daten bearbeiten, andere europäische Länder kennen den betrieblichen Datenschutz bislang gar nicht.