Datenschutzgrundverordnung durch Europäisches Parlament verabschiedet
Sie löst dann in etwa zwei Jahren in den EU-Mitgliedsstaaten die aktuell geltende Richtlinie 95/46/EG aus dem Jahr 1995 ab. Verbrauchern werden dadurch bestimmte neue und an das Internetzeitalter angepasste Rechte zugestanden. Firmen müssen sich schon jetzt auf einen neuen Umgang mit persönlichen Daten vorbereiten.
Die jetzt nach vierjähriger Diskussion in den Eu-Gremien vom Europäischen Parlament beschlossene Datenschutzgrundverordnung wird in zwei Jahren zu unmittelbar geltendem Recht in allen 28 EU-Mitgliedsstaaten und damit dann die aktuell geltende Richtlinie 95/46/EG aus dem Jahr 1995 ablösen. Die Neuregelung soll vor allem “den Nutzern die Entscheidung über ihre persönlichen Daten zurückzugeben, ein hohes und einheitliches Datenschutzniveau einführen sowie die EU für das digitale Zeitalter rüsten”.
“Die Bürger können selbst entscheiden, welche persönlichen Daten sie freigeben wollen. Den Unternehmen gibt das neue Gesetz klare Vorgaben, weil in der ganzen EU dieselben Regeln gelten. Bei Verstößen müssen Unternehmen bis zu vier Prozent des Jahresweltumsatzes zahlen. Das neue Gesetz schafft Vertrauen, Rechtssicherheit und einen faireren Wettbewerb”, wird Jan Philipp Albrecht, Berichterstatter der Grünen im Europäischen Parlament, in einer EU-Pressemitteilung zitiert.
Aus Sicht der Verbraucher sind die wichtigsten Änderungen das neu eingeführte Recht auf Vergessenwerden, das die Verarbeitung der Daten nur nach ausdrücklicher Einwilligung der betroffenen Person einschließt, das Recht auf Datenübertragbakeit (an einen anderen Dienstleister) und das Recht, das von Datenschutzverletzungen Betroffene informiert werden müssen. Zudem wird festgelegt, das Datenschutzbestimmungen künftig “in klarer und verständlicher Sprache” erläutert werden müssen.
Die nun verabschiedete Verordnung wird 20 Tage nach der Veröffentlichung im EU-Amtsblatt in Kraft treten. Zwei Jahre später wird sie allgemein wirksam. Die Mitgliedstaaten haben zwei Jahre Zeit, die Bestimmungen der Richtlinie in nationales Recht umzusetzen. Da Dänemark und Großbritannien Ausnahmen im Bereich Justiz und Inneres ausgehandelt haben, werden die Bestimmungen dort nur eingeschränkt gelten.
Laut Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit, kommen auf Unternehmen mit der Verordnung zahlreiche neue Dokumentations-, Melde- und Genehmigungspflichten zu. So müssten Firmen in Zukunft unter anderem Datenschutzfolgenabschätzungen durchführen, den Datenschutz bereits bei der Entwicklung neuer Produkte und Dienste beachten (“Privacy by Design”), datenschutzfreundliche Voreinstellungen vornehmen (“Privacy by Default”) oder das neue Verbraucherrecht auf Datenübertragbarkeit umsetzen. Dehmel kritisiert zudem, dass “viele Regelungen der neuen Datenschutzverordnung so allgemein formuliert sind, dass nicht auf den ersten Blick klar ist, wie sie in der Praxis umgesetzt werden sollen. Das wird in der Anfangszeit zu einer gewissen Rechtsunsicherheit führen.”
Derartige Bedenken sind nicht neu. Die EU-Kommission hatte sie aber stets mit dem Argument zu entkräften versucht, dass funktionierender Datenschutz das Vertrauen der Bürger in Onlineshops und Dienstleistungen aus dem Web erhöhen und damit letztlich den Umsatz der Anbieter ankurbeln werde. Unberücksichtigt bleibt dabei, dass mit der Neuregelung zwar in erster Linie “Datenkraken” in die Schranken gewiesen werden sollen, sie aber auch viel Firmen treffen, die nicht in erster Linie mit den Daten ihrer Nutzer, sondern mit Waren oder Dienstleistungen ihr Geld verdienen, dafür aber Daten in gewissem Umfang erheben und auswerten müssen. Sie sollten die verbliebene Gnadenfrist nutzen, um sich umfassend zu informieren, was sie tun müssen und welche Vorkehrungen zu treffen sind, damit sie dann nicht zu den ersten Opfern der zu erwartenden Datenskandalen gehören.
Tipp: Wie gut kennen Sie sich mit der europäischen Technologie-Geschichte aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.