Datenschutz-Regelungen der EU!

Am 16.12.2015 wurde die neue EU-Datenschutzverordnung verabschiedet, die ab 2018 in Kraft treten und in allen 28 Staaten Europas gelten wird.

  • Internetkonzerne wie Google und Facebook müssen ab dann ausdrücklich die Zustimmung der Nutzer einholen, wenn Daten verarbeitet werden sollen.
  • Unübersichtliche Datenschutzinformationen soll es nicht mehr geben und Einstellungen von Anfang an datenschutzfreundlich voreingestellt sein
  • Nutzer sollen ihre Informationen leichter wieder löschen können. Wenn ihr euren Account löscht, dann sollen alle Daten wirklich komplett entfernt werden.
  • Wenn ihr einen Anbieter wechseln wollt, muss es möglich sein, eure Daten mitzunehmen
  • Firmen müssen außerdem in jedem Land einen Service bereitstellen, an den man sich als User wenden kann
  • Sollte den Unternehmen ein Verstoß nachgewiesen werden, werden bis zu 4 % ihrer Jahresumsätze als Strafe fällig

15. Juni 2015: Die EU-Justizminister haben das Konzept für die Reform der europäischen Datenschutzregeln verabschiedet. Der Plan ist, schnell auch im Europaparlament eine Zustimmung zu bekommen, damit die Reform zum Jahresende stehen und 2018 in Kraft treten kann.


Die Abgeordneten des vorherigen Europäische Parlaments hatten bereits am 12.3.2014 mit großer Mehrheit dem Entwurf für eine allgemeine Datenschutzverordnung zugestimmt. Da sich die 28 Mitgliedsstaaten jedoch noch nicht auf den endgültigen Verordnungstext einigen konnten, konnte vor den Europawahlen im Mai 2014 nichts mehr endgültig entschieden werden.

Der Innenausschuss des EU-Parlaments hat am 21.10.2013 eine neue Datenschutz-Grundverordnung angenommen. Über 100 Kompromissvorschläge wurden in nur 10 Minuten durchgewunken. Der parlamentarische Berichterstatter Jan Philipp Albrecht (Grüne) wurde beauftragt, Verhandlungen mit dem EU-Rat und der EU-Kommission aufzunehmen. Mit den Justizministern jedes einzelnen EU-Landes musste aber auch noch verhandelt werden.

Im europäischen Parlament soll über eine Reform des EU-Datenschutzrechts abgestimmt werden. Die Kommission hat bereits Anfang Januar 2013 einen Vorschlag eingereicht, der die bisher geltenden Datenschutzregelungen von 1995 dem heutigen digitalen Zeitalter anpassen soll.
Im Gegensatz zur alten Richtlinie 95/46/EG, die von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden musste, wird die Datenschutz-Grundverordnung unmittelbar in allen EU-Mitgliedsstaaten gelten. Den Mitgliedsstaaten wird es daher nicht möglich sein, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken.

Was sich durch das neue Gesetz ändern könnte und wie weit die Verhandlungen sind, erfahrt ihr hier.


Hier ein paar Beispiele dafür, was beschlossen wurde:

  • Die beschlossenen Datenschutzregeln sollen in allen Ländern der EU gelten und nationale Regeln ersetzen
  • Binnen 72 Stunden müssen User informiert werden, wenn ihre Daten gehackt wurden
  • Eine Nutzung persönlicher Daten und das Anlegen von Nutzerprofilen ist zukünftig nur dann erlaubt, wenn eine "frei abgegebene, spezifische und informierte Einwilligung" des Betroffenen vorliegt
  • Die Userdaten dürfen ohne Einwilligung nur noch für statistische und Forschungszwecke oder anonymisiert verwendet werden
  • Jeder User hat ein verbrieftes Recht auf Löschung, Korrektur und auf Einsichtnahme in seine Daten
  • Als Höchststrafe für Verstöße wurden 100 Millionen Euro oder fünf Prozent des Jahresumsatz eines Unternehmens festgelegt
  • Daten aus der europäischen Union dürfen nur nur auf Grundlage europäischen Rechts oder vergleichbarer Abkommen an Behörden in Drittstaaten wie z. B. die USA übermittelt werden
  • Firmen, die Daten verarbeiten, die sensibel sind oder sich auf 5.000 Betroffene pro Jahr beziehen, müssen einen Betriebsdatenschutzbeauftragten ernennen, eine Risikoanalyse durchführen und die Einhaltung alle zwei Jahre durch einen externen Experten überprüfen lassen

Wofür brauchen wir das Gesetz?

Viele hilfreiche, digitale Dienste wie facebook, die Google Suchmaschine oder Smartphone-Apps, die unseren eigenen Standort feststellen können, erleichtern unser Leben. Allerdings sind sie meist in der Hand von privaten Firmen. Diese Firmen legen, oft schwer durchschaubar für uns, riesige Datensätze zu unserem Verhalten und Vorlieben an.
Oft sind die Daten dabei nicht, wie von vielen vermutet, "Abfallprodukte", die sich einfach so ansammeln, sondern sie eröffnen den Firmen durch den Weiterverkauf neue Geschäftsmodelle und Erlösquellen. Man kann also sagen, dass für einen hohen Gewinn dieser Firmen auch eine hohe Anzahl an aktuellen Datensätzen nötig ist.

Unsere an anderer Stelle zu anderen Zwecken eingegebenen persönlichen Informationen werden schon heute zusammengetragen und zu statistischen Zwecken ausgewertet. Aufgrund dieser Datensätze wird dann automatisch "ausgerechnet", ob wir kreditwürdig sind, welchen Preis wir für eine Versicherung bezahlen müssen oder welche Infos uns in einer Suchmaschine angezeigt werden.

Und besonders internationale Firmen mit Sitz in den USA wie facebook, Google und Apple halten sich oft nicht an die in den einzelnen EU-Ländern geltenden Datenschutzgesetze. Es werden in den Programmen oft auch einfach neue Funktionen eingebaut und den Usern nur die Wahl gelassen, das Angebot gar nicht mehr zu nutzen, wenn man sie nicht für Datenschutzkonform hält. Kaum ein Unternehmen mußte sich bisher für den Umgang mit persönlichen Daten verantworten oder (finanzielle) Konsequenzen befürchten.
Wenn ihr euch gefragt habt, warum viele dieser Firmen wie facebook und Google ihren europäischen Firmensitz in Irland haben, solltet ihr euch einmal deren Datenschutzgesetz anschauen...


Was soll der neue EU-Datenschutz regeln?

Die bisherigen Datenschutzgesetze können von jedem Mitgliedsstaat der EU selbst bestimmt werden und müssen sich lediglich an eine europäische Datenschutz-Richtlinie von 1995 halten. Da es 1995 aber weder Internet noch Apps gab, ist die Richtlinie aber nicht wirklich anwendbar.

  • Die neue Datenschutzverordnung soll in allen Mitgliedsstaaten gleichermaßen gelten und darüber hinaus auch für Unternehmen bindend sein, die ihren Sitz nicht in der EU haben, aber Daten von EU-Bürgern verarbeiten wie z. B. facebook oder Google. Wenn ein Unternehmen mehr als 250 Mitarbeiter hat, muss es dann z. B. einen offiziellen Datenschutzbeauftragten benennen.
  • Außerdem ist die Sammlung und Speicherung von personenbezogenen Daten eine wichtiger Punkt. Unternehmen sollen verpflichtet werden, ihre Dienstleistungen möglichst datensparsam anzubieten und mit datenschutzfreundlichen Voreinstellungen auszuliefern.
  • Zudem sollen Nutzungsbedingungen leichter verständlich sein und der Nutzer soll einer Datenverarbeitung ausdrücklich zustimmen müssen.
  • In dem Gesetzesvorschlag sind auch eine Auskunftspflicht und mehr Datentransparenz vorgesehen. Demnach müssten Daten gelöscht werden, wenn der Zweck der Datenerhebung erfüllt wurde oder der Nutzer seine Zustimmung widerruft. Das datenverarbeitende Unternehmen muss zumutbare Schritte unternehmen, um Dritte die Daten löschen zu lassen, wenn diese weitergegeben oder veröffentlicht worden sind.
  • Der Nutzer kann eine Auskunft über seine gespeicherten Daten verlangen, die vom Anbieter möglichst schnell, in verständlicher Sprache und kostenfrei erteilt werden muss. Auf Anfrage soll der Dienstleister alle gespeicherten Daten maschinenlesbar, also digital, aushändigen müssen. Mit diesen Daten soll der Verbraucher einfach zu einem anderen (z. B. datenschutzfreundlicherem) Anbieter wechseln können.
  • Damit die Datenschutzstandards besser kontrolliert und durchgeführt werden können, ist auch geplant, die Zusammenarbeit der Datenschutzbehörden zu stärken. Der Tätigkeitsbereich der nationalen Behörde endet bislang an der Ländergrenze.
  • Bei Verstößen gegen das Datenschutzrecht haben Unternehmen mit einer Sanktion von mindestens 2% des Jahresumsatzes zu rechnen.

Welche Kritikpunkte gibt es?

Der Bundesverband der Verbraucherzentralen hat im Januar 2013 eigene Änderungsvorschläge verfasst, die die Verbraucher noch weiter schützen und unklare Formulierungen konkretisieren sollen.

Auch scheint der Einfluss von Lobbygruppen auf das Gesetz sehr groß zu sein: Der Netzaktivist Max Schrems, der dadurch bekannt wurde, dass er von facebook seine sämtlichen gespeicherten Daten erstritt, hat im Februar 2013 einige Lobbytexte von z. B. Ebay und Amazon dem Gesetzesentwurf gegenübergestellt. Hier könnt ihr sehr schön sehen, was genau aus den Lobbypapieren übernommen wurde.


Vom Entwurf bis zum Gesetz

Die EU-Kommissarin für Justiz, Grundrechte und Bürgerschaft, Viviane Reding, hat schon im Januar 2012 einen Vorschlag für das neue EU-Datenschutzrecht vorgelegt. Damit sollen die Daten von Privatpersonen und Unternehmen in der Onlinewelt besser geschützt sein.
Ein Jahr wurde anschließend über die Reform diskutiert. Der zuständige Berichterstatter des Europäischen Parlaments und Grünen-Abgeordnete Jan Philipp Albrecht aus Wolfenbüttel hat im Januar 2013 schließlich einen überarbeiteten Vorschlag vorgestellt.
Verschiedene Ausschüsse befassen sich jetzt noch einmal mit den Änderungen. Eine Abstimmung im Europäischen Parlament zu dem Gesetzesentwurf der Kommission ist für April geplant. Das Ergebnis wird dann mit dem Ministerrat verhandelt. Vor den nächsten EU-Wahlen 2014 soll das neue europaweit geltende Datenschutzgesetz feststehen.

Dem aktuellen Entwurf nach ist die Anwendung der EU-Datenschutzverordnung erst für zwei Jahre nach Inkrafttreten vorgesehen. Die Auswirkungen des Gesetzes werden also vorraussichtlich erst in vier Jahren sichtbar werden.


Eigene Datenschutzeinstellungen in Sozialen Netzwerken überprüfen

facebook und Co. ändern die Privatsphäre-Einstellungen wie es ihnen beliebt und informieren ihre Nutzer nicht immer darüber. Aber ihr könnt, wenn ihr die Browser Firefox oder Google Chrome benutzt, immer wieder überprüfen, ob eure Einstellungen noch okay sind.
Installiert euch das Add-On Privacy-Fix und kontrolliert so, welche Einstellungen problematisch sein könnten. Außerdem seht ihr, welche Daten genau gerade über euch gesammelt werden.


Hier seht ihr ein Interview des Bloggers Richard Gutjahr mit Jan Philipp Albrecht zum Gesetz und dem aktuellen "Lobbyisten-Sturm".