Endlich tut sich was bei der Frage nach EU-weiten Datenschutzrichtlinien. Nach langem Tauziehen hat das Europäische Parlament einen neuen Entwurf gebilligt, der die Rechte der Nutzer stärken soll. Den aktuellen Entwurf versteht man explizit auch als Reaktion auf das massenhafte Sammeln von Daten. Mehr Kontrolle, weniger Sammelwut ist das Ziel. Es soll keine rechtlichen Schlupflöcher mehr geben. Wenn die EU-Mitgliedsstaaten sowie die EU-Kommission nun noch zustimmen, kann das Regelwerk bereits nächstes Jahr umgesetzt werden.
Der Datenschutz ist in die Jahre gekommen
Der europäische Datenschutz hat das Internet irgendwie verschlafen. Die bisher geltende Richtlinie stammt noch aus dem Jahr 1995. Sie schreibt zwar Mindeststandards fest, überlässt der nationalen Gesetzgebung aber die Umsetzung. Die Standards sind dementsprechend innerhalb der EU-Staaten sehr unterschiedlich .
Die Richtlinie regelt insbesondere den Umgang und Austausch von Daten. Grundsätzlich dürfen private E-Mails und Telefongespräche nicht angetastet werden. Eine Übermittlung an Drittstaaten ist zudem nur zulässig, wenn der entsprechende Staat ein „angemessenes Schutzniveau“ gewährleistet.
Erfolg der PRISM-Enthüllungen
Die datenschutzrechtlichen Abgründe, die Edward Snowden aufgedeckt hat, wirkten sich offenbar positiv auf die Entwicklung der neuen Datenschutzrichtlinie aus. Der neue Entwurf ist nämlich gar nicht so neu, sondern stammt aus dem Jahr 2010.
Bei der Verabschiedung eines finalen Textes kam man aber zunächst nicht so richtig weiter. Widerstand zeigte sich bei Industrie, einzelnen Mitgliedstaaten und vor allem aus den USA. Nun aber geht es plötzlich doch voran: Gestern Abend kündigte das „Committee on Civil Liberties, Justice and Home Affairs“ (LIBE) die Neuerungen an.
Zahlreiche Maßnahmen geplant
Konkret umfasst die Richtlinie eine ganze Reihe neuer Aspekte:
Datenübermittlung an Drittstaaten
Die Vorschriften bei Datenanfragen von Drittstaaten an Unternehmen sollen deutlich verschärft werden. Bei Daten, die innerhalb der EU verarbeitet werden, müssen sich Unternehmen künftig zunächst an die nationale Datenschutzbehörde wenden. Darüber hinaus werden Unternehmen verpflichtet, den betroffenen Nutzer über die Anfrage zur Datenweitergabe zu informieren.
Recht auf Datenlöschung
Das Internet hat bekanntlich ein gutes Gedächtnis und die großen Firmen wie Google und Facebook tragen bisher nur mäßig dazu bei, dass sich das ändert. Bisher war das Löschen personenbezogener Daten ein eher langwieriges Unterfangen. Das soll sich nach dem Willen der EU ändern. Firmen werden dazu verpflichtet, auf Anfragen der Nutzer zu reagieren. Ein generelles „Recht auf Vergessenwerden“ gibt es hingegen nicht.
Schluss mit der Sammelwut
Solange es keine Beschränkungen gibt, haben Firmen im Zweifel ein Interesse daran, aus unseren Daten Nutzerprofile zu erstellen. Dies soll künftig nur mit Einverständnis möglich sein; und nur soweit es zur Vertragserfüllung erforderlich ist. Was das in der Praxis bedeutet muss sich erst noch zeigen. Bis in letzter Sekunde wurde offenbar noch über diesen Punkt verhandelt.
Es drohen hohe Sanktionen
Bis zu 100 Millionen Euro oder bis zu 5 Prozent des globalen Jahresumsatzes könnte Unternehmen drohen, die gegen die neuen Richtlinien verstoßen. Darüber hinaus sollen Unternehmen, die Daten von mehr als 5.000 Menschen verarbeiten, einen Datenschutzbeauftragten berufen.
Noch viele Fragezeichen
Die beschriebenen Maßnahmen in die Tat umzusetzen wird sicherlich nicht einfach. Denn selbst wenn die Richtlinie komplett umgesetzt würde, steht der Datenaustausch im Rahmen von Strafverfolgung und Geheimdiensten auf einem anderen Blatt.
Nach einer kompletten Übernahme der Richtlinie sieht es aber ohnehin nicht unbedingt aus. Schließlich muss sie nun noch den EU-Ministerrat der Mitgliedsstaaten sowie die EU-Kommission passieren. Dass die verantwortlichen Minister der einzelnen Regierungen der Richtlinie aber vorbehaltslos zustimmen ist unwahrscheinlich.
