Skip to main content
Schreibtisch mit Grundgesetz, EU-Vertrag und Gesundheitskarte

Was taugt die EU-Datenschutzreform?

Nach vier Jahren Gesetzgebungsprozess einigten sich das Europaparlament, die EU-Kommission und der Ministerrat kurz vor Weihnachten auf ein Verhandlungsergebnis zur Datenschutzgrundverordnung. Endlich kann es also ein einheitliches Datenschutzgesetz für die 28 EU-Staaten gelten (naja, nach Verabschiedung dann in zwei Jahren). Die Datenschutzregeln werden nicht nur für in der EU ansässige Unternehmen gelten, sondern auch für diejenigen, die ihre Hauptniederlassung außerhalb der EU haben, hier aber geschäftlich tätig sind.

Auf den ersten Blick: Eine Weiterentwicklung des bestehenden Regelwerks stellen sicherlich die wirksamen Sanktionsmöglichkeiten mit Bußgelder für Konzerne in Höhe von bis zu vier Prozent des Jahresumsatzes dar.

Dennoch wissen wir: Die Grundverordnung wird nur in einigen Bereichen den Datenschutz stärken; in anderen Bereichen hingegen wird sie das derzeitige Datenschutzniveau absenken können.

 

Datenschutzreform mit Licht und Schatten

Neben hochwertigen Datenschutzregeln wie beispielsweise bei der Zweckbindung von personenbezogenen Daten gibt es zahlreiche Bereiche, über die das derzeitige Schutzniveau abgesenkt werden kann. So besteht für Datensammler keine generelle Verpflichtung zur Einholung einer “expliziten Einwilligung” zur Verarbeitung personenbezogener Daten – in den meisten Daten-Kategorien reicht eine “zweifelsfreie Einwilligung” aus.

Natürlich musste hier ein Ausgleich mit legitimen Geschäftsinteressen gefunden werden. Aber bisher ist noch kein Big Data-basiertes Geschäftsmodell allein dadurch kaputt gegangen, weil der böse Datenschutz es zerstört hat (auch wenn es gerne als Ausrede/Schreckensszenario herangezogen wird). Vielmehr profitieren Internet-Unternehmen und Start-Ups von einer allgemein hohen Akzeptanz für ihre Geschäftstreibene (aka Datensammeln und -verarbeiten). Und wir leben nun einmal in Zeiten des “Daten-Totalitarismus”, in der die Sensibilisierung für Datenschutz weiterzunehmen wird (auch wenn es dann vielleicht schon zu spät ist).

Interessanterweise bewertet die Bürgerrechtsorganisation Access Now die Regeln überwiegend positiv. Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar (der hatte seine Amtsbezeichnung auf jeden Fall noch verdient) malt ein weniger positives Bild. Mal sehen, wer Recht behält. Bei solchen „Game Changern“ wie der Datenschutzreform ist im Zweifelsfall etwas mehr Vorsorge, sprich ein höheres Schutzniveau, angebracht.

Schließlich sind auch die getroffenen Bestimmungen über die betrieblichen bzw. behördlichen Datenschutzbeauftragten durchwachsen, lassen aber immerhin weitergehende nationale Regeln bei der Bestellung interner Datenschutzbeauftragter zu.

 

Nach der Datenschutzreform kommt die Arbeit (für die Gerichte?)

Nach der erzielten Einigung, die neben der Datenschutzgrundverordnung auch die Datenschutzrichtlinie für Polizei und Justiz betrifft, geht die Arbeit für die nationalen Gesetzgeber, in Deutschland also die Bundes- wie auch die Landesebene, erst richtig los. Bund und Länder müssen unter anderem die eigenen gesetzlichen Bestimmungen in den Bereichen Polizei und Justiz den Vorgaben aus der entsprechenden EU-Richtlinie anpassen.

Wie es seit längerem Strategie im politischen Geschäft ist, lässt man überaus strittige Fragen gerne durch die “unabhängigen” Gerichte klären. So wird es auch bei der EU-Datenschutzreform laufen. Die wirklich harten Fragen müssen über den Einzelfall gerichtlich entschieden werden – dafür sorgt schon die entscheidende Prise “textliche Schwammigkeit”.

 

Don’t ask, don’t tell

Fragen, die sich mir heute stellen, werden dann auch von hochkompetenten Richtern in der gesamten EU beantwortet werden müssen. Klasse!

  • Können die Grundrechte der Menschen mit dem Einigungsergebnis zur Datenschutzgrundverordnung ausreichend und angemessen geschützt werden?
  • Wie viel Selbstbestimmung hat der Mensch noch, wenn zukünftig die Erstellung von Verbraucherprofilen (nur mit Widerspruchsrecht und ohne “explizite Einwilligung” der Betroffenen) grundsätzlich erlaubt ist?
  • Wurde das deutsche Verbot der Protokollierung des Surfverhaltens durch Internet- und Medienkonzerne wirklich aufgeben?  Wenn ja, wer macht denn sowas?
  • Was bedeutet die Einigung in Hinblick auf die Rolle der deutschen Landesdatenschutzbeauftragten, deren Unabhängigkeit und künftigen Sanktionsbefugnisse?

Leave a Reply

Your email address will not be published. Required fields are marked *