flickr / scobles

EU-Richtlinien für Datenschutz

Europas Regeln fürs digitale Zeitalter

von Niklaus Nuspliger / 17.12.2015

Die EU-Staaten und das EU-Parlament haben sich auf eine umfassende Datenschutz-Reform geeinigt. Doch die weitere Stärkung der Rechte von Online-Nutzern stößt in der Wirtschaft und in den USA auf Kritik. Von NZZ-Korrespondent Niklaus Nuspliger in Brüssel.

Vier Jahre lang hatten der Rat der EU-Staaten und das EU-Parlament über eine umfassende Reform des EU-Datenschutzrechts aus dem Jahr 1995 und dessen Anpassung ans digitale Zeitalter gerungen. Mehrmals schien die Vorlage in den Mühlen des Brüsseler Gesetzgebungsprozesses einen langsamen Tod zu sterben. Am späten Dienstagabend aber konnten die Unterhändler der EU-Staaten, des Parlaments und der EU-Kommission einen Durchbruch verkünden. Nun muss der Kompromiss in den nächsten Tagen noch formalisiert werden, die abschließende Abstimmung im Europaparlament dürfte im Januar stattfinden. In Kraft treten sollen die neuen Regeln Anfang 2018.

Unternehmen in der Pflicht

Dass die von Lobbyisten der Internet-Industrie zeitweise heftig bekämpfte Vorlage nun doch auf der Zielgeraden steht, hat mehrere Gründe. Auftrieb erhielt die Reform zum einen dank der NSA-Affäre vor zwei Jahren, welche in Europa die Sensibilität für den Datenschutz erhöhte. Zum anderen gab das EU-Parlament nach den Terroranschlägen von Paris und Kopenhagen von Anfang des Jahres seinen Widerstand gegen die Speicherung von Flugpassagierdaten zur Terrorabwehr auf, weshalb dazu vor wenigen Tagen ein Kompromiss unter Dach gebracht werden konnte. Allerdings forderte das Parlament von den EU-Staaten im Sinne eines politischen Gegengeschäfts ein Einlenken bei der Datenschutz-Reform.

Die Reform stärkt die Rechte der Internet-Nutzer, die künftig mehr Kontrolle darüber haben, wozu Internet-Unternehmen wie Facebook und Google ihre persönlichen Daten verwenden. So sollen Nutzer häufiger gefragt werden, ob sie wollen, dass ihre Daten weitergegeben werden. Auch sollen die Bürger das Recht erhalten, die Löschung ihrer Daten zu erwirken – wobei dieses „Recht auf Vergessenwerden“ etwa durch die Pressefreiheit beschränkt wird.

Für die Firmen schafft die Reform im Gegenzug neue Pflichten: So müssen im EU-Binnenmarkt tätige Unternehmen künftig die Zustimmung zur Datennutzung ausdrücklich einholen und einen Datenschutzbeauftragten einstellen, wenn sie eine substanzielle Menge von Daten bearbeiten. Umstritten war bis zum Schluss der Umgang mit Daten Minderjähriger: Die EU-Staaten widersetzten sich der Forderung der Parlamentarier nach einem einheitlichen Alterslimit. Als Kompromiss wird nun zwar vorgesehen, dass Kinder unter 16 Jahren Dienste wie Facebook nur mit Zustimmung der Eltern nutzen dürfen. Allerdings steht es den EU-Staaten frei, das Alterslimit auf 13 Jahre zu senken.

Gerungen wurde bis zuletzt auch über die Höhe der Strafgelder, die Online-Firmen bei Verstößen gegen die neuen EU-Datenschutzregeln drohen. Nun wurde eine maximale Geldstrafe von vier Prozent des Jahresumsatzes eines Unternehmens vereinbart. Bei Unternehmen wie Google wären vier Prozent vom Umsatz ein Milliardenbetrag.

Ende des Flickenteppichs

Ein Hauptziel der Reform ist eine Vereinheitlichung der Standards in allen 28 EU-Ländern. Bisher glichen die Datenschutzregeln einem nationalen Flickenteppich, und einige Staaten wie Irland galten als „Datenschutz-Oasen“, in denen die Unternehmen weniger strenge Regeln zu beachten hatten.

Neu kann ein Nutzer, der gegen eine in einem anderen EU-Land ansässige Firma vorgehen will, direkt in seinem Heimatstaat an eine Beschwerdestelle gelangen. Bisher war das nicht möglich, weshalb der österreichische Datenschutz-Aktivist Max Schrems in Irland gegen Facebook Klage führen musste. Seine Klage gegen Facebook führte im Oktober zum Entscheid des Europäischen Gerichtshofs (EuGH) in Luxemburg, der die Übermittlung von Daten in die USA über das Safe-Harbor-Abkommen für ungültig erklärte.

Wie das Safe-Harbor-Urteil reiht sich auch die Reform in die Serie datenschutzrechtlicher Verschärfungen in Europa ein. 2014 erklärte der EuGH nicht nur eine Norm zur Vorratsdatenspeicherung für ungültig. Das Gericht etablierte auch ein „Recht auf Vergessenwerden“, womit es der Datenschutz-Reform einen Rahmen setzte. Da die EU amerikanische Firmen wie Amazon und Google auch kartellrechtlich ins Visier genommen hat, wittern die USA einen protektionistischen Feldzug Europas zur Eindämmung der Marktmacht der Unternehmen aus dem Silicon Valley.

Während der grüne EU-Parlamentarier Jan Philipp Albrecht, der die Verhandlungsdelegation des Parlaments leitete, von einem „Riesenschritt für starke Konsumentenrechte“ sprach, fiel das Urteil von Wirtschaftsvertretern skeptisch aus. Der Wirtschaftsdachverband Businesseurope kritisierte neue Hürden für Firmen und die „unverhältnismäßigen“ Strafen. Der deutsche Bundesverband Digitale Wirtschaft bemängelte die „Überregulierung des Internets als Wachstumsmotor“ und die fehlende Differenzierung zwischen unterschiedlichen Firmen und Geschäftsmodellen. Der luxemburgische Ministerpräsident Xavier Bettel, dessen Land die EU-Präsidentschaft innehat, lobte die Reform indes als „Quadratur des Kreises“, die zeige, dass das Recht auf Datenschutz und die Bedürfnisse der Digitalwirtschaft nicht unvereinbar seien.