taz.de

# taz.de -- Entwurf zum EU-Datenschutzgesetz: Ein bisschen geschützter

> Ein Recht auf Vergessenwerden und eine Altersgrenze für soziale Netzwerke
> – das neue Gesetz soll endlich moderne Standards berücksichtigen.

(IMG) Bild: Der Nutzung bestimmter Onlinedienste sollen Eltern von Kindern unter 16 Jahren in Zukunft immer zustimmen müssen.

Berlin taz | Als Mark Zuckerberg noch zur Schule ging, einigten sich im
Jahr 1995 in diversen EU-Gremien sehr viele Männer und etwas weniger Frauen
[1][auf eine neue Richtline]. Man gab ihr einen aus gut zwei Dutzend Wörten
bestehenden Titel und hoffte, sie würde künftig dafür sorgen, dass die
Privatsphäre von Verbraucherinnen und Verbrauchern in der EU gut geschützt
ist.

An einen Konzern, der ein globales Onlinenetzwerk aufbaut und nationale
Gesetzgebungen eher als unverbindliche Anregungen versteht, dachte damals
noch keiner. An Gesichtserkennung, Fingerabdruck-Scanner, die Verfolgung
von Internetnutzern über mehrere Geräte hinweg, an immer größere
Nutzerprofile von immer mehr global agierenden Unternehmen ebenso wenig.

Weil es kam, wie es kommen musste, gibt es nun ein neues Werk. Am späten
Dienstag haben sich die Verhandler von EU-Kommission, Rat und
Europaparlament geeinigt, vier Jahre nach Beginn des Prozesses. Auf 209
Seiten in 91 Artikeln in dem – noch nicht offiziell veröffentlichten –
Entwurf steht, wie der europäische Datenschutz künftig geregelt werden
soll. ([2][pdf des Entwurfs bei statewatch.org])

Darunter sind Passagen, die direkte Folgen vor allem für Unternehmen haben
– etwa das Bestellen eines Datenschutzbeauftragten. Andere werden sich
unmittelbar für die Verbraucher bemerkbar machen.

## Rechte, Alter und Beweglichkeit

Eine deutliche Verbesserung gibt es bei der Durchsetzung von
Verbraucherrechten. Bislang müssen sich Kunden an die Aufsichtsbehörde des
EU-Landes wenden, in dem das Unternehmen seinen Sitz hat. Daher wandte sich
der Österreicher Max Schrems an die irische Datenschutzaufsicht, als er
sich über Facebook beschwerte. Künftig sollen sich Verbraucher in ihrer
Sprache an eine heimische Behörde wenden können. Außerdem sollen auch
Verbände klagen können.

Darüber hinaus werden Unternehmen dazu verpflichtet, standardmäßig die
datenschutzfreundlichsten Einstellungen anzubieten, sodass Nutzer sich
nicht erst durch komplizierte Dialoge klicken müssen, wenn sie Wert auf
Privatsphäre legen. Bis zuletzt umstritten war der Jugendschutz: Wie alt
müssen Kinder oder Jugendliche sein, um in die Nutzung ihrer persönlichen
Daten einwilligen und damit etwa Profile auf Facebook oder YouTube
erstellen zu können? Man einigte sich schließlich auf 16 Jahre – die
Mitgliedsländer dürfen die Grenze aber selbst auf 13 Jahre heruntersetzen.
Ein einheitliches Schutznievau gibt es also hier nicht. Der Effekt dürfte
allerdings nicht groß sein: In der Praxis könnten höchstens Eltern
gegenüber dem Anbieter eine Löschung der persönlichen Daten ihrer Kinder
verlangen.

Zudem soll es einfacher werden, persönlichen Daten von einem Dienst zu
einem anderen zu transferieren, Stichwort Portabilität. Das betrifft
allerdings ausschließlich Bestandsdaten. Wer also etwa von WhatsApp zur
datenschutzfreundlichen Alternative Threema wechseln will, der kann zwar
etwa Name und Adresse einfach vom bisherigen Anbieter übermitteln lassen.
Für verschickte und empfangene Nachrichten gilt das jedoch nicht. „Da hätte
man weiter gehen können“, kritisiert daher Lina Ehrig vom
Verbraucherzentrale Bundesverband.

## Vergessen, sichere Staaten und Sanktionen

Einmal erhobene Daten sollen Verbraucher löschen lassen können, wenn sie
nicht mehr für den einst abgegebenen Zweck gebraucht werden. Das gilt schon
bisher, neu ist: Auch Links dazu in Suchmaschinen oder auf anderen
Webseiten sollen Nutzer entfernen lassen können – wenn nicht das
öffentliche Interesse überwiegt. In der Praxis entsteht so das Problem,
dass Privatunternehmen darüber entscheiden, was im öffentlichen Interesse
liegt. Derzeit ist das schon bei Suchmaschinen der Fall, die nach einem
Urteil des Europäischen Gerichtshofs gegebenenfalls Links aus den
Trefferlisten entfernen müssen.

Ein Punkt, der im Vorfeld von Verbraucherschützern kritisiert wurde, ist
dringeblieben: Die EU-Kommission darf dritte Staaten als sicher definieren
– Unternehmen dürfen persönliche Nutzerdaten dann ohne Weiteres dorthin
übertragen. Dass die Einschätzung der EU-Kommission da nicht unumstritten
ist, zeigt ein Urteil des Europäischen Gerichtshofs vom Oktober: Er hatte
ein Abkommen mit den USA verworfen, das die Datenübermittlung dorthin
erlaubte.

Verstoßen Unternehmen gegen Vorschriften, kann die Aufsichtsbehörde
Bußgelder verhängen. Maximal 4 Prozent des Jahresumsatzes sind dabei
vorgesehen. Das EU-Parlament hatte noch5 Prozent gefordert. „Ein fairer
Deal“, findet Jan Philipp Albrecht, Grüner Europaabgeordneter und
Berichterstatter für die Datenschutzgrundverordnung, dennoch. Schließlich
komme man so etwa bei Google auf eine ein- bis zweistellige
Milliardensumme.

Während Vertreter der EU-Kommission [3][die neuen Regelungen bejubeln],
sind Verbraucherschützer und Bürgerrechtler vorsichtiger. „Es ist ein
Fortschritt, dass es ein einheitliches Schutzniveau geben wird“, sagt
Verbraucherschützerin Ehrig. Und zwar ein Niveau, an das sich auch
Unternehmen halten müssen, die nicht aus der EU kommen, aber ihre Dienste
hierzulande anbieten.

## Durchwachsene Bilanz, verhaltene Freude

„Angesichts der wahrscheinlich größten Lobbyschlacht, die es weltweit je
gegeben hat, sind in der Vereinbarung zumindest die Grundlagen des
Datenschutzes geblieben“, sagt Joe McNamee, Direktor der
Bürgerrechtsorganisation European Digital Rights. Damit spielt er etwa auf
den Entwurf der Innen- und Justizminister an, der im Frühjahr bekannt
geworden war. Darin forderten die Minister die Abkehr von grundlegenden
Datenschutzprinzipien.

Rundrum zufrieden ist auch Parlamentarier Albrecht nicht. „Es werden heute
schon viele Daten ohne Einverständnis der Verbraucher verarbeitet, und da
wird auch in Zukunft noch einiges erlaubt sein“, kritisiert er. Zum
Beispiel in Sachen Werbung: So könnten etwa Unternehmen Adressen bei
Händlern kaufen und den Verbrauchern Werbung per Post oder E-Mail schicken
– legal.

„Die neuen Regelungen sind gut für Verbraucher und gut für die Wirtschaft“,
sagt EU-Kommissarin Věra Jourová. In der Mitteilung zu der Einigung nennt
die Kommission konkrete Beispiele vor allem dafür, dass sich Firmen keine
Sorgen machen müssen. Etwa, weil kleine und mittlere Unternehmen keinen
Datenschutzbeauftragten ernennen müssen, wenn der Umgang mit persönlichen
Daten nicht ihr Kerngeschäft ist. Oder weil sie Geld sparen dadurch, dass
sie sich nur noch mit einer Datenschutzaufsichtsbehörde auseinandersetzen
müssen. Denn die Behörden der Mitgliedsstaaten sollen sich künftig auf ihre
Positionen einigen. So könnten etwa per Mehrheitsmeinung die irischen
Datenschützer gezwungen werden, doch härter gegen Facebook vorzugehen. Aber
umgekehrt würde auch eine einzelne strenge Behörde ausgebremst. Für die
Unternehmen soll diese Vereinheitlichung Geld sparen: 2,3 Milliarden Euro
jährlich, so hofft die EU-Kommission.

Anfang 2016 sollen Parlament und Rat die Neuerungen beschließen, zwei Jahre
später tritt die Verordnung dann in Kraft.

16 Dec 2015

## LINKS

(DIR) [1] http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX%3A31995L0046&amp;from=en
(DIR) [2] http://statewatch.org/news/2015/dec/eu-council-dp-reg-draft-final-compromise-15039-15.pdf
(DIR) [3] http://europa.eu/rapid/press-release_IP-15-6321_en.htm

## AUTOREN

(DIR) Svenja Bergt

## TAGS

(DIR) Datenschutz
(DIR) EU-Kommission
(DIR) Soziale Netzwerke
(DIR) Google
(DIR) Datenschutz
(DIR) Datenschutz
(DIR) Tracking
(DIR) Datenschutzabkommen
(DIR) Internet
(DIR) Schwerpunkt Meta
(DIR) EuGH
(DIR) Schwerpunkt Meta
(DIR) Schwerpunkt TTIP

## ARTIKEL ZUM THEMA

(DIR) Entscheidung zur Privatsphäre im Netz: Echtes Vergessenwerden ist Illusion

Der Europäische Gerichtshof zwingt Google, bestimmte Daten von Franzosen in
der EU nicht zu zeigen. Doch globales Link-Entfernen ist keine Lösung.

(DIR) Grundverordnung zum Datenschutz: Kredit nur mit guter Adresse

Verbraucherschützer üben Kritik an der Verordnung: Unternehmen erhalten ein
Druckmittel gegen Kunden, die Auskunftspflicht ist nicht gesichert.

(DIR) Kommentar Europäischer Datenschutz: Ein wenig sicherer

Die Richtung muss stimmen: Datenschutz sollte als Innovationsanreiz und
nicht als Bremsvorrichtung gesehen werden.

(DIR) Datenschutz im Internet: Unbeobachtet unter Beobachtung

Der EuGH muss entscheiden, wie weit das Tracking von Internetnutzern gehen
darf. Es geht um die Frage, wie anonym wir uns im Netz bewegen.

(DIR) Neue Grundverordnung zum Datenschutz: Die Jagd nach dem Datenschatz

Nach langen Verhandlungen einigt sich die EU auf neue Datenschutzregeln.
Doch vorbei ist die Lobbyschlacht noch lange nicht.

(DIR) Reform der EU-Datenschutzregeln: Mehr Rechte für Internetnutzer

Einfachere Datenmitnahme zum nächsten Anbieter, ein Recht auf
Vergessenwerden. Das sind nur einige der Neuerungen im Zuge der
überarbeiteten Netz-Regeln.

(DIR) Gerichtsurteil in Belgien: Facebook wehrt sich

Ein Richter droht dem Online-Netzwerk mit Strafen, falls es in Belgien
weiter Daten von Nicht-Mitgliedern sammelt. Facebook kündigt Widerspruch
an.

(DIR) EuGH-Urteil zu „Safe Harbor“: Daten in den USA nicht sicher

Der EuGH hat den „Safe Harbor“-Beschluss der EU für ungültig erklärt. Der
unbeschränkte Zugriff der NSA verletze europäische Grundrechte.

(DIR) EuGH-Gutachten zu Facebook-Daten: US-Server sind kein „sicherer Hafen“

Etappensieg für Datenschutz-Aktivisten: Die Daten von EU-Bürgern sind laut
Europäischem Gerichtshof angesichts des NSA-Skandals nicht angemessen
geschützt.

(DIR) TTIP und Datenschutz: Der Kampf um die Datenhoheit

Die USA machen mit persönlichen Daten ein Riesengeschäft. Sie versuchen,
den Datenschutz in der EU über TTIP aufzuweichen.