Einigung im Trilog zur Datenschutz-Grundverordnung

Jan Philipp Albrecht Foto: Firz Schumann
Veröffentlicht am 22.12.2015

Das Europäische Parlament und der Ministerrat der Europäischen Union haben sich im von der EU-Kommission moderierten Trilog am 15. Dezember auf eine Europäische Datenschutz-Grundverordnung geeinigt, eine Woche später hat die EU-Kommission das dazugehörige Factsheet vorgelegt. Damit gehen vier Jahre mit zum Teil zähen Verhandlungen zu Ende. Die EU-Kommission hatte ihren Entwurf der EUDSGVO bereits am 25.01.2012 vorgelegt, der Europäische Rat hingegen hat sehr lange gebraucht, um sich auf eine gemeinsame Position zu verständigen. Mit dem Ergebnis zeigten sich nach der abschließenden Trilog-Sitzung in erster Linie Vertreter von Bündnis 90/Die Grünen, Verbraucher- und Datenschützer zufrieden. Internetwirtschaftsverbände begrüßten zwar die Einigung auf einen einheitlichen Rechtsrahmen für ganz Europa, sehen aber u.a. auch „enorme Kosten“ auf die Unternehmen zukommen, die mit personenbezogenen Daten zu tun haben, wie der Vorstand Recht & Politik des Eco, Oliver Süme, erklärt.

Europaabgeordneter Jan Philipp Albrecht, der Verhandlungsführer des EU-Parlaments zu DS-GVO, (c) by Firz Schumann
Jan Philipp Albrecht Foto: Firz Schumann

Datenportabilität und Datenverarbeitung

Tatsächlich konnte sich das EU-Parlament mit seinem Verhandlungsführer Jan Philipp Albrecht (Bündnis 90/Die Grünen) im Trilog um die Europäische Datenschutz-Grundverordnung stärker durchsetzen als kürzlich im Trilog um die Verordnung zur Netzneutralität. Neben konkreten Vorgaben zu dem durch das Google-Spain-Urteil manifestierten sogenannten „Recht auf Vergessen“ enthält die DSGVO das Recht auf Datenportabilität. Die Unternehmen müssen die Daten ihres Nutzers künftig in einem gängigen Format kostenfrei und schnell aushändigen.

Auch über die Art der Datenverarbeitung erhält der Verbraucher künftig mehr Auskünfte als bisher. Unternehmen müssen auf Anfrage verständlich und kostenlos erklären, welche Daten sie wie und zu welchem Zweck verarbeiten sowie ob und an wen sie die Daten weitergeben. Eine Klarstellung hat das Parlament außerdem bei der Zustimmung zur Datenverarbeitung erreicht. „Die Zustimmung zur Nutzung der Daten muss durch die Verbraucher durch ein eindeutiges Handeln gegeben werden“, erläutert Jan Philipp Albrecht. Datenfreigaben müssen freiwillig erfolgen und dürfen nicht durch bereits voreingestellte Zustimmungshäkchen erschlichen werden. Die Datenverarbeitung ohne Einwilligung des Nutzers wird auf das „berechtigte Interesse“ des Datenverarbeiters beschränkt, das sich aus der Vertragsbeziehung zwischen Unternehmen und Verbrauchern ergibt. Es sind Formulierungen wie diese, die den Berliner IT- und Internetrechtsanwalt Niko Härting zu der Einschätzung bringen, dass „Streit vorprogrammiert“ sei und Berater und Anwälte die einzigen seien, „die sich über #EUDataP freuen können“, wie er am 18.12. beim Kurznachrichtendienst Twitter kommentiert. Auch der Digitalverband Bitkom kritisiert, dass die Verordnung an vielen Stellen „zu vage“ sei und zu Rechtsunsicherheit führen werde, „wenn es um die Zulässigkeit neuer digitaler Geschäftsmodelle geht“, so Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder.

Datensparsamkeit und Datenschutz

Auch die Bestimmungen der Datenschutz-Grundverordnung in puncto Privacy by Design und Privacy by Default sind aus der Sicht von Unternehmen, die nach neuen, datenbasierten Geschäftsmodellen suchen, eher restriktiv. Diensteanbieter müssen ihre Dienste datensparsam konzipieren und mit den datenschutzfreundlichsten Voreinstellungen ausstatten. Nur solche Daten dürfen erhoben werden, die zur Erbringung des Dienstes benötigt werden. Unternehmen dürfen Dienste nicht von der Verarbeitung von Daten abhängig machen, die für diesen Dienst nicht notwendig sind. „Das bedeutet, dass etwa eine Taschenlampen-App auf dem Smartphone nicht auf die Daten im Adressbuch zugreifen darf“, heißt es in dem Positionspapier des EU-Parlaments-Verhandlungsführers Jan Philipp Albrecht.

An dieser Stelle hat sich die europäische Ebene bereits zu einem Thema positioniert, das auf nationaler Ebene in Deutschland noch diskutiert wird. Beispielsweise ist man in der SPD noch nicht abschließend zu einem Ergebnis gekommen, ob sich die Partei für oder gegen Datensparsamkeit einsetzen soll. Das kürzlich verabschiedete digitale Grundsatzprogramm enthält dazu gegensätzliche Aussagen. Dass sich auch aus einem hohen Datenschutz-Niveau in Europa ein Wettbewerbsvorteil erzielen lässt, wie Politiker der SPD und von Bündnis 90/Die Grünen häufig konstatieren, glaubt der IT-Anwalt Niko Härting indes nicht. Datenschutzrecht sei ein Verbotsrecht und kein Förderungsrecht, so der Jurist. Google könne sich Risiken beim Recht auf Vergessen und bei Google Street View leisten. Ein Berliner Start-Up hingegen verfüge „typischerweise nicht über die Ressourcen, die für den Kampf um Compliance notwendig sind“, so Härting. Er ist der Ansicht, dass es europäischen Unternehmen durch die Europäische Datenschutz-Grundverordnung noch schwerer fallen werde als bisher, im Wettbewerb mit US-Unternehmen zu bestehen. Dies einen „Standortvorteil“ zu nennen, sei blanker Hohn, schrieb der IT-Anwalt bereits am 27. November bei dem IT-Recht-Portal CRonline.

Folgen für die Wirtschaft

Die Verbände der Digital- und Internetwirtschaft kritisieren die zahlreichen neue Dokumentations-, Melde- und Genehmigungspflichten, die mit der Datenschutz-Grundverordnung eingeführt werden. Datenverarbeiter müssten in Zukunft rund 30 unterschiedliche Pflichten erfüllen, von der Pflicht zur Benachrichtigung bei Berichtigung, Löschung und Verarbeitungsbeschränkung bis zur Vornahme von Datenschutzfolgenabschätzungen, zählt der Bitkom auf. „Es besteht die Gefahr, dass mit der Datenschutzverordnung ein bürokratisches Monster erschaffen wird, das wir nicht mehr einfangen können“, befürchtet Rohleder. Dieser hohe Aufwand könne u.a. Start-ups bei der Entwicklung neuer Geschäftsmodelle behindern und ihre globale Wettbewerbsfähigkeit einschränken. Der Präsident des Bundesverband IT-Mittelstand Oliver Grün ist darüber hinaus der Ansicht, gerade der IT-Mittelstand werde durch diese Auflagen „überproportional belastet“.
Immerhin sieht die Verordnung bei den Strafzahlungen eine Ausnahmeregelung für kleine Unternehmen vor, die erstmalig oder versehentlich gegen die Regeln verstoßen. Allen anderen drohen harte Sanktionen. Das Parlament hat sich bei diesem Punkt in den Verhandlungen mit seiner Position durchgesetzt: Während die EU-Kommission und der Rat der EU wesentlich geringere Zahlungen vorsahen, werden jetzt Strafzahlungen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens fällig. Die harten Strafen sollen laut Jan Philipp Albrecht das Bewusstsein dafür schärfen, dass es sich bei Verstößen gegen die Datenschutz-Grundverordnung auch um Verstöße gegen die Grundrechtecharta der EU handelt. Der Ausschuss für Bürgerrechte, Justiz und Inneres des EU-Parlaments hat dem Verhandlungsergebnis am 17. Dezember bereits zugestimmt. Die Abstimmung im EU-Parlament ist für das Frühjahr vorgesehen. Nach dem Inkrafttreten der Verordnung haben die Mitgliedstaaten zwei Jahre Zeit, die neuen Vorschriften umzusetzen.

Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Nadine Brockmann ist als Analystin für das Themenfeld Netzpolitik verantwortlich.

Schlagworte

Empfehlung der Redaktion