Handelsblatt

MenüZurück
Wird geladen.

22.10.2013

01:28 Uhr

Parlamentsentwurf

EU will Firmen zu mehr Datenschutz zwingen

Ein „Recht auf Vergessen“ und Datenschutzbeauftragte: Die EU will globale Internetfirmen beim Informationsschutz stärker in die Pflicht nehmen. Nicht allen gehen die Vorschläge weit genug.

Die alten Datenvorschriften der EU stammen aus dem Jahr 1995. dpa

Die alten Datenvorschriften der EU stammen aus dem Jahr 1995.

LuxemburgInternet-Giganten wie Facebook oder Google sollen mit den Daten ihrer Nutzer in Europa künftig sorgsamer umgehen. Das Europäische Parlament brachte eine Verordnung auf den Weg, die Firmen zu genaueren Angaben über die Verwendung von Kundeninformationen verpflichtet. Zudem soll nach der Prism-Affäre und den Enthüllungen von Ex-Geheimdienstmitarbeiter Edward Snowden die Datenweitergabe an Drittstaaten wie die USA künftig nur auf Grundlage des EU-Rechts möglich sein.

Die Abgeordneten hatten monatelang um die Details der neuen EU-Regelungen gerungen, denen im zuständigen Ausschuss die Vertreter der Fraktionen mit großer Mehrheit zustimmten. Die alten Datenvorschriften der EU stammen aus dem Jahr 1995 - also weit vor dem Siegeszug von Internet und Smartphones. Die Vorschläge des Parlaments müssen noch mit den 28 EU-Mitgliedsstaaten und der EU-Kommission abgestimmt werden.

Die neuen Regelungen sollen nicht nur für Internetfirmen gelten, sondern für alle Unternehmen, die in ihrem System innerhalb eines Jahres mehr als 5000 Kunden registriert haben. Kleine Betriebe sollen damit vor einem übermäßigen bürokratischen Aufwand bewahrt werden.

EU-Datenschutz - Was sich für Firmen und Nutzer ändert

Worum geht es?

Das Europäische Parlament hat am 21.10.2013 eine Verordnung zum Datenschutz auf den Weg gebracht, mit der alte Richtlinien von 1995 ersetzt werden sollen. Der Entwurf des zuständigen Parlamentsausschusses muss noch die Zustimmung der 28 EU-Staaten und der EU-Kommission finden - weitere Änderungen an der im Vorfeld schon hart umkämpften Verordnung sind also nicht ausgeschlossen. Bei einer EU-Verordnung haben die Mitgliedsländer im Gegensatz zu einer Richtlinie weit weniger eigenen Gestaltungsspielraum.

Die Anzahl der Nutzer entscheidet

Die neuen Regelungen sollen für alle Unternehmen gelten, die in ihrem System innerhalb eines Jahres mehr als 5000 Kunden registriert haben. Kleine Betriebe sollen damit von einem übermäßigen bürokratischen Aufwand verschont bleiben.

Die EU-Kommission hatte ein anderes Konzept im Sinn und vorgeschlagen, die Messlatte bei einer Firmengröße von 250 Mitarbeitern anzulegen. Der für den Entwurf des Parlaments federführende Grünen-Abgeordnete Jan Philipp Albrecht erklärte, dass Firmen bei Verstößen in bestimmten Fällen mit Geldstrafen in Milliardenhöhe rechnen müssten.

Firmen brauchen Datenschutzbeauftragten

In den größeren Firmen soll sich ein Datenschutzbeauftragter um die Einhaltung der neuen Vorschriften kümmern. Für deutsche Betriebe entfiele mit der EU-Verordnung zugleich die Regelung, dass ein Beauftragter schon dann vorhanden sein muss, wenn sensible Kundendaten bearbeitet werden und die Firma zehn oder mehr Mitarbeiter beschäftigt.

Das Netz soll vergessen dürfen

Das EU-Parlament will auch das sogenannte "Recht auf Vergessen" der Bürger gegenüber Internet-Riesen wie Facebook und Google stärken: Will der Nutzer seine Daten löschen lassen, muss sich der Anbieter darum kümmern, der die Informationen aufgenommen hat. Wenn er die Daten an andere Firmen weitergegeben hat, ist er auch dort für die Löschung verantwortlich. Die Unternehmen sollen verpflichtet werden, dem Nutzer auf Anfrage in verständlicher Sprache alle Informationen zu geben, die über ihn gespeichert sind.

Firmen müssen nachfragen

Die Unternehmen müssen sich die Einwilligung des Nutzers holen, wenn sie seine Daten verarbeiten wollen. Standardisierte Symbole (sogenannte Icons) sollen dabei die Orientierung erleichtern. Für die Nutzung von Daten von unter 13-jährigen muss die Einwilligung der Eltern eingeholt werden.

Personalisierte Werbung, wie dies beispielsweise bei Email-Konten von Google oder auf manchen Internet-Seiten geschieht, soll es weiter geben. Wenn der Nutzer dem nicht zustimmt, darf die auf ihn zugeschnittene Werbung nicht mit seinem Klarnamen verknüpft werden.

EU-Recht als Maßstab

Die neue Verordnung soll vor allem die unterschiedlichen Regelungen in den 28 Mitgliedsstaaten der EU vereinheitlichen. Internetfirmen hatten sich bisher oft solche EU-Länder als Standort herausgesucht, in denen die Datenschutzrichtlinien besonders lax sind. Künftig soll das EU-Recht zudem weltweit gelten, wenn die Daten von EU-Bürgern verarbeitet werden.

In den größeren Firmen soll sich ein Datenschutzbeauftragter um die Einhaltung der neuen Vorschriften kümmern. Für deutsche Betriebe entfiele mit der EU-Verordnung die Regelung, dass ein Beauftragter schon dann vorhanden sein muss, wenn sensible Kundendaten bearbeitet werden und die Firma zehn oder mehr Mitarbeiter beschäftigt.

Das Parlament will auch das sogenannte „Recht auf Vergessen“ der Bürger stärken: Will der Nutzer seine Daten löschen lassen, muss sich derjenige Anbieter darum kümmern, der die Informationen zuerst aufgenommen und eventuell weitergegeben hat.

Mit der Vereinheitlichung der Regeln sollen sich Bundesbürger auch dann gegen die Praktiken eines Anbieters wehren können, wenn der seinen Sitz außerhalb Deutschlands hat. Bisher mussten dafür die Gesetze des jeweiligen Landes zu Rate gezogen werden. Auch weltweit soll das europäische Recht gelten, wenn Daten von EU-Bürgern betroffen sind. Abgeordnete machten sich aber wenig Hoffnung, dass damit Späh-Aktionen wie die des US-Geheimdienstes NSA künftig verhindert werden können.

Die geplanten Regeln stoßen auf Kritik in Deutschland: Bundesinnenminister Hans-Peter Friedrich gehen die Vorschläge nicht weit genug. Er fordert Nachbesserungen, um europaweit auf das derzeitige Datenschutzniveau in Deutschland zu kommen. Es sei noch viel handwerkliche Arbeit nötig, um die Verordnung so auszugestalten, „dass sie die hohen deutschen Datenschutzstandards widerspiegelt, praxistauglich ist und zugleich auf die Herausforderungen des Internetzeitalters vernünftige Antworten gibt“, sagte der CSU-Politiker der Zeitung „Die Welt“.

Der Bundesdatenschutzbeauftragte Peter Schaar hofft auf einen Durchbruch beim europäischen Datenschutz: „Die NSA-Affäre hat verdeutlicht, wie wichtig klare Vorgaben für den Umgang mit persönlichen Daten auf europäischer und internationaler Ebene sind“, sagte er der „Welt“.

Die Grundverordnung biete die Chance, „den Reformstau im Datenschutzrecht endlich aufzulösen und zeitgemäße Regeln zum Schutz der Privatsphäre europaweit verbindlich zu verankern“. Schaar kritisierte die zögerliche Haltung im EU-Rat. Er habe den Eindruck, „dass einige Mitgliedsstaaten kein großes Interesse an einer zügigen Verabschiedung eines starken harmonisierten Datenschutzrechts haben“.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×