Schöne neue, datengeschützte Welt

Es war ein Kraftakt und viele haben nicht mehr daran geglaubt, dass er gelingt: Im Dezember 2015 haben sich die europäischen Institutionen im sogenannten Trilog auf ein Datenschutzrecht geeinigt, das in allen EU-Mitgliedstaaten gilt. Die formale Zustimmung von Europäischem Parlament und Rat steht zwar Anfang 2016 noch aus, gilt aber als sicher. Nach der Veröffentlichung im EU-Amtsblatt folgt eine zweijährige Übergangszeit, bis die neue Datenschutz-Grundverordnung (DS-GVO) 2018 Geltung erlangt. „Als Verordnung gilt die DS-GVO mit ihrem Inkrafttreten unmittelbar in Deutschland“, sagt Professor Fabian Schuster, Rechtsanwalt und Fachanwalt für IT-Recht in Düsseldorf. „Sie steht dann in der Normenhierarchie über dem nationalen Datenschutzrecht, findet also vorrangig Anwendung.“ Es sei davon auszugehen, dass der nationale Gesetzgeber das Bundesdatenschutzgesetz (BDSG) in weiten Teilen außer Kraft treten lasse und im verbleibenden Anwendungsbereich Änderungen vornehmen werde. Für deutsche Unternehmen, die schon bisher dem hohen Schutzniveau des BDSG Folge leisten mussten, wird die einheitliche europäische Regelung einige Erleichterungen bringen, aber auch einige neue Hürden. „Generell schaffen die neuen Regelungen endlich einen EU-weit einheitlichen Rahmen, der den bisherigen ‚Datenschutz-Flickenteppich‘ ablöst“, sagt Thomas Köhler vom Frankenthaler Logistiksoftwarespezialisten Axit. „Für einige Anbieter sicher viel Arbeit, für die Nutzer ein klarer Gewinn.“ Auch grenzüberschreitend tätige Unternehmen dürften aufatmen, denn ihr Verwaltungsaufwand wird sich dadurch verringern, dass sie es nicht mehr in jedem Land mit anderen Gesetzen zu tun haben. Zukünftig wird nur noch eine einzige Aufsichtsbehörde für sie zuständig sein. Und auch für Wettbewerber gelten dann innerhalb der Union überall die gleichen Bedingungen, unabhängig von ihrem Standort – ein Vorteil vor allem für deutsche Unternehmen, die bisher schon strengen Reglementarien unterlagen. Nicht mehr der Sitz eines Unternehmens ist zukünftig entscheidend, vielmehr gilt das Marktortprinzip. „Alle Unternehmen, die ihre Dienste auf dem europäischen Markt anbieten, müssen sich an die Datenschutz-Grundverordnung halten“, erklärt Rechtsexperte Schuster. „Insbesondere auch US-amerikanische Unternehmen unterliegen somit dem europäischen Datenschutzrecht.“ Nach der Safe-Harbor-Entscheidung des Europäischen Gerichtshofes schon das zweite Aufbegehren Europas gegen die Datensammelwut US-amerikanischer Konzerne.

Im Detail gibt es einige Neuerungen, die deutsche Unternehmen aber vor keine großen Probleme stellen sollten. Die derzeitige Pflicht zur Bestellung eines Datenschutzbeauftragten wird sogar gelockert – wenn der deutsche Gesetzgeber mitmacht. „Nach der DS-GVO müssen Unternehmen nur dann noch einen Datenschutzbeauftragten bestellen, wenn Kern der Tätigkeit die Datenverarbeitung ist oder der Mitgliedstaat im nationalen Recht eine generelle Bestellpflicht vorsieht“, weiß IT-Rechtler Schuster. Beschlossen wurde außerdem, den Bußgeldrahmen bei Verstößen gegen den Datenschutz deutlich zu erhöhen. Er darf zukünftig bis zu vier Prozent des jährlichen Umsatzes eines Unternehmens betragen. „Die Änderung macht deutlich, dass das Datenschutzrecht einen hohen Stellenwert und ein Verstoß keinen bloßen Bagatellcharakter hat“, so Schuster.

Big Data, also das Sammeln und Auswerten großer Datenmengen, hat mittlerweile eine enorme wirtschaftliche Bedeutung, führt aber auf Verbraucherseite zu großer Verunsicherung im Hinblick auf personenbezogene Daten. Die EU-Reform will den Verbraucheranliegen gerecht werden und schreibt erstmalig ein Recht auf Vergessenwerden, ein Recht auf Datenportabilität beim Transfer persönlicher Daten zwischen verschiedenen Providern und ein Recht auf Kenntnis der Verwendung der Daten und etwaiger Datenpannen fest. Für die Wirtschaft, deren Innovationskraft man nicht zu sehr beschränken wollte, hat man daraus das Prinzip „Data protection by design“ abgeleitet: Bereits im frühen Stadium der Entwicklung eines Produktes oder einer Technik muss der Datenschutz berücksichtigt werden. „Datenschutz wird zukünftig überall als Grundanforderung verstanden“, urteilt Softwareexperte Köhler. „Aus meiner Sicht ein positiv zu bewertender Schritt in Richtung Transparenz und Professionalität.“

Die Reform stößt jedoch auch auf Kritik. „Absurd anachronistisch und zudem latent innovationsfeindlich“, findet Rechtsanwalt Sebastian Schulz vom Bundesverband E-Commerce und Versandhandel (bevh) die neuen Regelungen. „Anstelle eines wirklich zukunftsfähigen Rechtsrahmens, der die zunehmend datengetriebene europäische Wirtschaft international auch auf lange Sicht konkurrenzfähig bleiben lässt, überzieht der Europäische Gesetzgeber den Binnenmarkt mit neuen Verboten, Rechtsunsicherheit und Bürokratie“, sagt Schulz, Leiter Recht und Datenschutz beim bevh. „Und: Die vermeintlich großen Errungenschaften der Verordnung sind teilweise seit Jahren geltendes Recht.“ Er vermisst auch Privilegierungen von B2B-Sachverhalten. „Für sämtliche im B2B-Umfeld besonders relevanten Datenverarbeitungen, also etwa Lieferantenmanagement, Marketing, Inkasso oder Auskunfteienwesen, kommen dieselben Normen zur Anwendung wie im Verhältnis B2C.“

Besonderen Argwohn bringen Bürger und Unternehmen den Cloud-Diensten entgegen. Dem unguten Gefühl, seine Daten einer „Wolke“ anzuvertrauen, will die EU abhelfen – auch zugunsten der Dienste-Anbieter. Das hohe europäische Datenschutzniveau erfüllten globale Plattformen schon bisher kaum. Es sollten daher nur Anbieter gewählt werden, die ihren Sitz in der Europäischen Union oder im europäischen Wirtschaftsraum haben und von dort auch ihre Leistungen erbringen. „Bei der Nutzung von Cloud-Diensten eines Anbieters mit Rechenzentren in der EU bedarf es nach der DS-GVO wie bisher eines Auftragsdatenverarbeitungsvertrages“, erläutert Professor Schuster. Denn dann darf der Cloud-Provider mit den personenbezogenen Daten nur im Auftrag des Anwenders und auf dessen Weisung umgehen; er behält damit die volle Kontrolle. Axit-Mann Köhler, dessen Unternehmen Cloud-Lösungen anbietet, ermutigt seine Kunden zu klaren Nachfragen: „Ich würde meine Daten niemals jemandem anvertrauen, der mir nicht sagen kann oder will, wo sie liegen werden.“

Die EU-Datenschutzgrundverordnung gibt allen europäischen Mitgliedstaaten ein einheitliches Datenschutzrecht. Es wird auch für außereuropäische Unternehmen gelten, die ihre Dienste auf europäischem Boden anbieten, zum Beispiel US-amerikanische. Deren Wirken wurde bereits im Oktober des vergangenen Jahres durch ein Urteil des Europäischen Gerichtshofs erschwert. Da das amerikanische Datenschutzniveau nicht so hoch sei wie in Europa, seien personenbezogene Daten dort auch nicht so sicher. Das Urteil beseitigte das sogenannte Safe-Harbor-Abkommen, das bis dahin einen unbeschwerten Datenaustausch ermöglichte.

Anja Falkenstein, Rechtsanwältin, Karlsruhe