Inhaltsverzeichnis
DSGVO
a) Stärkung der Rechte der Nutzer*innen
b) Strenge Anforderung an die Einwilligung
c) Marktortprinzip
d) Einen Ansprechpartner für alle Datenschutzbelange (one-stop-shop)
e) Datenschutz durch Technikgestaltung (Privacy by design and by Default)
f) Strenge Regeln für Datentransfers in Drittstaaten
g) Sanktionen
Datenschutz als Grundrecht
In der EU ist Datenschutz Grundrecht. Das bedeutet, dass es nicht einfach wegen kommerziellen Interessen ausgehebelt werden kann. Und auch für staatliche Eingriffe in das Recht auf Datenschutz, wie etwa Zugriff auf persönliche Daten durch die Polizei gelten strenge Regeln.
In einer globalisierten und digitalisierten Welt wird Datenschutz ein immer essenzielleres Thema. Viele Bereiche unseres privaten Lebens sind inzwischen digitalisiert – Einkäufe, Behördengänge oder der Kontakt zu Freunden und Familie. Unternehmen digitalisieren Vertriebswege, Produktion und Forschung. Daten, vor Allem die personalisierten, werden damit zu einem wertvollen Gut, das es zu schützen gilt. Für diesen Schutz hat das EU-Parlament schon viel erreicht: Mit der DSGVO haben wir eines der modernsten Datenschutzrechte der Welt geschaffen. Aber es bleibt auch viel zu tun, etwa im Hinblick auf dem Schutz unserer Privatsphäre im Internet.
DSGVO
Seit dem 25. Mai 2018 gilt EU-weit die Datenschutzgrundverordnung (kurz DSGVO), ein Meilenstein auf dem Gebiet des Datenschutzes und setzt weltweit Standards für einen verbraucherfokussierten Datenschutz. Die DSGVO beinhaltet eine ganze Reihe von Errungenschaften:
a) Stärkung der Rechte der Nutzer*innen: Eine wesentliche Voraussetzung für die Wahrnehmung eigener Rechte ist Transparenz über die bestehenden Datenverarbeitungsprozesse. Die DSGVO verpflichtet Datenverarbeiter, Betroffene umfassend zu informieren. Zudem wird ein „Recht auf Vergessenwerden“ verankert: Verbraucher_innen können etwa von einem Unternehmen verlangen, dass über sie gespeicherte Daten in bestimmten Fällen gelöscht werden. Neu ist zudem das Recht auf Datenportabilität, das den „Umzug“ der eigenen Daten etwa von einem E-Mail-Dienst zum anderen erleichtern soll. Die DSGVO schützt den Einzelnen zudem besser vor den negativen Konsequenzen von Profiling.
b) Strenge Anforderung an die Einwilligung: Es gibt verschiedene rechtmäßige Möglichkeiten, um Daten zu erheben, verarbeiten und zu speichern. Eine Möglichkeit ist die Zustimmung, welche durch die DSGVO gestärkt wird. Sie legt strenge Regeln dafür fest, wann eine Einwilligung rechtens ist und wann nicht. Das soll die Nutzer*innen davor schützen, dass ihnen eine angebliche Zustimmung zu einer Datenverarbeitung quasi im Kleingedruckten der AGBs „abgeluchst“ wird.
c) Marktortprinzip: Die DSGVO gilt für alle Unternehmen, die Produkte oder Dienstleistungen auf dem EU-Markt anbieten, und zwar ganz unabhängig davon, ob diese Unternehmen ihren Sitz in der EU haben. Damit soll ein einheitliches Schutzniveau innerhalb des europäischen Wirtschaftsraumes sichergestellt werden.
d) Einen Ansprechpartner für alle Datenschutzbelange (one-stop-shop): Egal, wo in der EU ein Datenmissbrauch passiert, Betroffene können sich an ihre heimische Datenschutzbehörde Wenn ich also eine Beschwerde gegen eine Firma einlegen möchte, die in Irland sitzt, muss ich mich nicht mehr mit einer fremden Sprache und einen fremden System rumschlagen: Es reicht, sich an die deutschen Behörden zu wenden. Für Unternehmen ist die Datenschutzbehörde des EU-Mitgliedstaates, in dem sie ihren Sitz haben, der zuständige Ansprechpartner. Bei Streitigkeiten koordinieren die verschiedenen EU-Behörden sich untereinander und nicht mehr die Bürger oder Unternehmen.
e) Datenschutz durch Technikgestaltung (Privacy by design and by Default): Dienste sollen so datensparsam wie nur möglich konzipiert sind. Alle Voreinstellungen zum Beispiel in einer Software sollen die datenschutzfreundlichsten sein. Ein wesentliches Merkmal von Datenschutz durch Technik ist, dass wirklich nur die Daten verarbeitet werden, die für die Erbringung eines Dienstes benötigt werden.
f) Strenge Regeln für Datentransfers in Drittstaaten:
In einer globalisierten Welt machen personenbezogene Daten nicht vor den EU-Außengrenzen halt, sondern fließen auch in Länder mit anderen Datenschutzregeln als in der EU. Das EU-Recht schreibt vor, dass bei Datentransfers in Drittstaaten ein angemessenes Datenschutzniveau sichergestellt sein muss. Die Schutzstandards im Drittland müssen dabei keine genaue Kopie der EU-Regeln sein. Aber der Europäische Gerichtshof hat in seinem Urteil zur Aufhebung der so genannten Safe Harbor Vereinbarung zur Weitergabe von Daten in die USA klar gesagt, dass die Schutzstandards im Drittland „der Sache nach gleichwertig“ sein müssen. Das ist wichtig, weil wir so sicherstellen, dass unsere Daten nicht nur in Europa geschützt sind, sondern auch, wenn sie in die Welt verschickt werden. Damit trägt die DSGVO auch zur Weiterentwicklung von Datenschutzstandards weltweit bei, da Länder, die mit uns Handel treiben wollen und auf Datentransfers angewiesen sind, Datenschutzstandards haben müssen, die mit unseren vergleichbar sind.
g) Sanktionen: Bisher beliefen sich in Deutschland die Strafen für Datenschutzverstöße auf maximal 300.000 Euro. Über so einen Betrag können Facebook und Co. nur lachen. Wenn es günstiger ist, eine Strafe billigend in Kauf zu nehmen, als Grundrechte zu sichern, dann läuft etwas schief. Mit der DSGVO können die Geldbußen bis zu 4% des weltweit erzielten Jahresumsatzes oder aber eine Summe von bis zu 20 Mio. EUR (welche immer höher ist) betragen. Damit soll erreicht werden, dass sich auch die großen Internetgiganten an europäisches Recht halten.
Die ersten Erfahrungen mit der DSGVO haben gezeigt: Das Recht ist gut, an der Durchsetzung hapert es häufig noch. Das liegt unter anderem daran, dass viele EU-Mitgliedstaaten ihre Datenschutzbehörden nach wie vor nicht genug ausgestatten haben, damit diese einerseits umfassende Hilfestellung etwa für kleinere Betriebe anbieten und andererseits die große Internetgiganten für massive Datenschutzverstöße zur Rechenschaft ziehen können. Das muss sich endlich ändern!
ePrivacy-Verordnung
Hand in Hand mit der DSGVO geht die geplante ePrivacy-Verordnung: Wer hat Zugriff auf die gespeicherten Fotos und Videos auf meinem Handy, auf meine Messenger-Nachrichten? Müsste ich nicht ein Mitspracherecht haben, wenn ein Internetdienst ein Profil über meine Gewohnheiten, meine Vorlieben und sogar meine Freunde erstellt? Muss ich es hinnehmen, dass ich konkret auf mich abzielende Werbung angezeigt bekomme, weil Firmen genau wissen, was ich mir zuletzt im Internet angeschaut habe, gerade suche oder vermeintlich brauche?
Mit diesen und weiteren wichtigen Fragen beschäftigt sich der Vorschlag für eine EU-Verordnung zum Schutz der Privatsphäre in der elektronischen Kommunikation (ePrivacy), der eine völlig veraltete EU-Richtlinie ersetzen soll. Er ist damit eine wichtige Ergänzung zur DSGVO. Der Unterschied: Während es bei der Datenschutz-Verordnung „nur“ um den Schutz von Daten geht, die einen direkten Personenbezug haben (etwa Namen oder E-Mail-Adressen), soll die ePrivacy-Verordnung die Vertraulichkeit unserer elektronischen Kommunikation als Ganzes schützen, egal ob es sich um personenbezogene Daten handelt oder nicht. Mit anderen Worten: der Schutz des Online-Briefgeheimnisses für Whatsapp und Co. – sowohl für Nutzer als auch juristische Personen, also etwa Firmen.
Seit Oktober 2017 bin ich parlamentarische Berichterstatterin für die ePrivacy-Verordnung. Berichterstatterin heißt, dass ich für das Europäische Parlament die gemeinsamen Verhandlungen (sogenannte Triloge) mit der EU-Kommission und dem Rat als Vertretung der Mitgliedstaaten leiten werde. Eine Aufgabe, auf die ich mich sehr freue; es geht schließlich um ein wichtiges Thema: Die zahlreichen neuen Kommunikationsmöglichkeiten, die uns die technische Entwicklungen der letzten Jahre und Jahrzehnte eröffnet haben, dürfen nicht missbraucht werden für eine grenzenlose Überwachung durch Unternehmen oder Regierungen. Denn das wäre die Abschaffung von Privatsphäre, Meinungsfreiheit und damit letztendlich der Demokratie.
Aber wenn ich das Dossier bereits 2017 übernommen habe: Warum führen wir bisher keine Triloge? Das liegt daran, dass der Rat als Vertretung der EU-Mitgliedstaaten bisher zu keiner Verhandlungsposition gekommen ist. Wie auch schon vor ein paar Jahren bei der DSGVO; gibt es an ePrivacy ein großes Lobby-Interesse: Denn der Schutz der Privatsphäre widerspricht nur allzu häufig den wirtschaftlichen sehr ertragreichen Geschäftsmodellen einiger Digital-Konzerne.
Ein wichtiges Ziel der Reform ist die Stärkung der Rechte der Nutzer*innen. Das widerspricht aber dem Gewinninteresse vieler Unternehmen: Wenn Nutzer eine echte Wahl haben, was mit ihren Daten geschieht, können sie auch leichter Nein sagen. Nach wie vor blüht etwa die Überwachungs-Werbeindustrie: Unternehmen, die illegalerweiseihr Geld damit verdienen, die Nutzer*innen nach Besuch einer Website etwa über so genannte Cookies zu verfolgen, aus dem Surf-Verhalten ein Nutzer-Profil zu erstellen und dieses an das meistbietende Unternehmen zu Werbezwecken zu verkaufen. Momentan wird das vor allem über die berühmten „Cookie-Banner“ getan: Nutzer*innen sehen auf einer Website ein solches Banner, surfen weiter – und haben damit angeblich ihre „Zustimmung“ zum Tracking gegeben. Mit Beginn der Anwendung der DSGVO sind solche erschlichenen Einwilligungen schon heute illegal. Es hapert aber bei der Ahndung, weil die Überwachungs-Werbeindustrie sich einige rechtliche Grauzonen zu Nutzen macht. Das soll sich mit der ePrivacy-Verordnung ändern: Es gibt kein Grundrecht auf illegale Geschäftsmodelle oder Gewinnmaximierung. Aber es gibt ein Grundrecht auf Datenschutz und auf den Schutz der Privatsphäre und das gilt auch online.
Um Nutzer*innen besser vor Tracking im Internet zu schützen, spricht sich das Europäische Parlament dafür aus, dass etwa Browser und Apps so Privatsphäre-freundlich wie möglich voreingestellt werden („Privacy by design“ und „Privacy by default“). Zwar kann man Browser auch heute schon anweisen, im Netz nicht verfolgt zu werden, aber das ist technisch oft sehr kompliziert und so machen nur Wenige von dieser Option Gebrauch. Jeder Mensch soll sich frei und sicher im Internet bewegen können, unabhängig von Alter, Geldbeutel und technischem Sachverstand. Auch so genannte „Tracking walls“, die den Nutzer*innen erst durch Klicken auf „OK“ – und somit eine vermeintliche Zustimmung zur Online-Verfolgung – den Zugang auf eine Website ermöglichen, sollten aus meiner Sicht verboten werden. Für mehr Sicherheit meiner Kommunikation sollten sich die Anbieter zudem zur Verschlüsselung verpflichten.
Wichtig ist mir schließlich eine klare Absage an eine Neuauflage der umstrittenen Vorratsdatenspeicherung. Es gibt nämlich immer wieder Diskussionen zwischen den EU-Staaten, in der ePrivacy-Reform eine EU-weite verpflichtende Vorratsdatenspeicherung durch die Hintertür wiedereinzuführen. Das ist komplett verantwortungslos: Die Vorratsdatenspeicherung, wie wir sie heute kennen – als anlasslose Überwachung aller Menschen, ohne jegliche Differenzierung, etwa nach geographischem Gebiet oder Zeitraum-, ist nicht mit europäischen Grundrechten vereinbar.
Ohne eine Position der Mitgliedstaaten können die gemeinsamen Trilog-Verhandlungen zu diesem wichtigen Gesetzesvorhaben nicht anfangen. Das ist nicht nur fatal für den Grundrechtschutz sondern führt auch zu großer Rechtsunsicherheit für Unternehmen in der EU, da die aktuell noch gültigen ePrivacy-Regeln hoffnungslos veraltet sind und überall in der EU anders umgesetzt wurden.
Deswegen müssen die EU-Mitgliedstaaten bei ePrivacy endlich an den Verhandlungstisch kommen!