EU-Justizkommissarin will europaweit hohe Sicherheitsstandards

Die EU möchte die alte Richtlinie zum Datenschutz durch eine neue Datenschutzverordnung ersetzen. Mit welchem Ziel?

Die bestehende Rechtslage in den 27 EU-Mitgliedstaaten ist der neuen Datenwelt nicht mehr gewachsen. Jeder Mitgliedstaat hat die aus dem Jahr 1995 datierenden EU-Vorgaben unterschiedlich umgesetzt und weiterentwickelt. Das Ergebnis ist ein Flickenteppich aus unterschiedlichen nationalen Datenschutzgesetzen. Diese unklare, fragmentierte Rechtslage schadet allen. Den Unternehmen fehlt es an Rechtssicherheit, wenn sie Kundendaten verarbeiten. Zudem sind die persönlichen Daten von Nutzern unterschiedlich geschützt, je nachdem, wo ein Nutzer wohnt oder auf welcher Internetseite er surft. Dies möchte ich durch eine möglichst weitgehende Harmonisierung der EU-Datenschutzregeln ändern.

Wie soll das konkret geschehen?

Eine europäische Datenschutzverordnung wäre ein einheitliches Gesetz für alle Mitgliedstaaten der EU und für unseren Binnenmarkt, für Unternehmen, die ihn nutzen wollen, und für Europas 500 Millionen Verbraucher. Wir brauchen aus meiner Sicht ein einheitliches, durchsetzbares Datenschutzrecht für Europa, damit die persönlichen Daten der Menschen geschützt sind. Darüber wird die Europäische Kommission aber erst im Frühjahr 2012 – voraussichtlich im Februar oder März – abschließend beraten. Derzeit gibt es dazu nur erste textliche Überlegungen von Experten, die noch in keiner Weise abschließend sind.

Werden die nationalen Akteure dann ihrer Zuständigkeit beraubt?

Der EU-Gesetzgeber – das Europäische Parlament und der EU-Rat der Justizminister – macht zwar auf Vorschlag der Kommission das neue EU-Gesetz zum Datenschutz. Für die Anwendung und Umsetzung der neuen Regeln zum Datenschutz vor Ort ist aber weiterhin jedes Mitgliedsland selbst verantwortlich. In Deutschland werden dabei Bundes- und Landesbehörden eine wichtige Rolle spielen, vor allem im Bereich der polizeilichen und justiziellen Zusammenarbeit, wo die Kommission den Mitgliedstaaten natürlich einige Spielräume lassen will. Gerade in diesem Bereich muss besonderen nationalen Sicherheitsinteressen Rechnung getragen werden.

Wie tragen Sie in Ihrem Entwurf der speziellen Problematik von Kindern als Nutzern Rechnung?

Ich möchte in den neuen EU-Datenschutzregeln darauf achten, dass Kinder besser als heute informiert werden, welche persönlichen Daten sie preisgeben. Kinder sollten aus meiner Sicht ausdrücklich zustimmen, bevor sie persönliche Informationen ins Netz stellen, und es muss ihnen deutlich erläutert werden, wozu sie ihre Zustimmung geben. Transparenz ist ein wichtiges Element meiner Reformbemühungen. Die Datenschutzhinweise müssen klar, in einer für Kinder verständlichen Sprache formuliert und einfach zu finden sein.

Welche Rolle spielt in Ihrem Entwurf das sogenannte „Recht, vergessen zu werden“ ?

Das Recht auf Vergessen – also das Recht darauf, dass der Verbraucher Daten, die er online gestellt hat, jederzeit selbstbestimmt löschen kann und dass ganz allgemein sparsam mit Daten umgegangen wird – ist ein zentrales Element der Reform. Denn besonders Kinder und Jugendliche sind sich nicht immer der Konsequenzen bewusst wenn sie ein Foto hochladen und für ihre Freunde zugänglich machen. Aber auch andere Nutzer sollten das Recht haben – und nicht nur die Möglichkeit –, die Zustimmung zur Verarbeitung ihrer Daten durch Unternehmen jederzeit zurückzuziehen, wenn die Datenverarbeitung auf ihrer Einwilligung beruht. Die Beweislast muss dabei beim Unternehmen liegen, das die Daten verarbeitet – es soll also das Unternehmen sein, das nachweisen soll, dass die Daten weiter gespeichert werden müssen und nicht gelöscht werden können, und nicht der Nutzer. Die Zeiten, in denen persönliche Daten in einem schwarzen Loch verschwanden, sobald man sie ins Netz gestellt hatte, sollten mit der EU-Datenschutzreform endgültig vorbei sein.

Bisher hat man sehr stark auf Selbstregulierung bei den Unternehmen gesetzt...

Selbstregulierung ist an sich ein gutes Konzept, das ich unterstütze. Es funktioniert in einem so grundrechtsrelevanten Bereich wie dem Datenschutz aber in der Praxis leider nicht immer. Das habe ich 2009 bei der Selbstverpflichtung 20 führender Internetunternehmen miterlebt, als diese sich freiwillig verpflichteten, Maßnahmen zum Jugendschutz bei der Nutzung der Websites sozialer Netzwerke zu treffen. Knapp drei Jahre später sind die Profile von Minderjährigen immer noch nicht auf all den Seiten der Unternehmen standardmäßig als „privat“ eingestuft. Manchmal muss man offenbar der Selbstregulierung gesetzgeberisch auf die Sprünge helfen.

Ein besonderes Problem ist es ja auch, wenn Daten außerhalb der EU verarbeitet werden...

Ziel der Europäischen Kommission ist es, für alle Verbraucher in der EU ein vergleichbares Schutzniveau sicherzustellen, und zwar auch dann, wenn ihre personenbezogenen Daten außerhalb der EU verarbeitet werden. Das Erbringen einer kommerziellen Dienstleistung, die sich gezielt an Verbraucher in der EU richtet, soll aus meiner Sicht ausreichen, damit EU-Recht anwendbar ist. Die strengen europäischen Datenschutzregeln sollten damit in Zukunft auch für Unternehmen gelten, deren Sitz sich außerhalb der EU befindet, sofern diese die Daten von EU-Bürgern verarbeiten. Ob ein Server in einem EU-Mitgliedstaat steht oder von einem Unternehmen in einem Drittstaat unterhalten wird, kann dabei für den Datenschutz nicht ausschlaggebend sein.

Wie soll das in der Praxis funktionieren?

Innerhalb des oben beschriebenen Rahmens sollen sich Unternehmen eigene und bindende Firmenkodizes geben. Und mit bindend meine ich rechtlich verbindlich. Diese Kodizes müssen von den nationalen Datenschutzbehörden genehmigt werden. Unternehmen können so Daten zwischen verschiedenen Niederlassungen austauschen, auch über Grenzen hinweg. Dies geschieht aber auf der Basis verlässlicher, einheitlicher und rechtlich bindender Regeln.

Welche Rolle sollen künftig die Datenschutzbehörden und -beauftragten spielen?

Die Stärkung der nationalen Datenschutzbehörden soll ein Kernstück des neuen EU-Datenschutzrechts werden. Ich möchte starke, unabhängige nationale Datenschutzbehörden, die in allen Mitgliedstaaten vergleichbare Befugnisse haben. Sie sollten aus meiner Sicht in Zukunft weitreichende Kompetenzen haben: So sollen sie Verletzungen der Datenschutzbestimmungen untersuchen und verbindliche Entscheidungen treffen können. Ich möchte auch Sanktionsmöglichkeiten schaffen, den Datenschutzbehörden also „Zähne“ geben. Das heißt, die Behörden sollen direkt den Beschwerden von Verbrauchern nachgehen können, Datenlecks untersuchen und erforderlichenfalls Geldbußen verhängen können. Dafür müssen sie selbstverständlich völlig unabhängig sein von Weisungen der Politik wie von Einflüssen der Wirtschaft. Sie müssen ferner personell und finanziell für ihre Aufgaben gut ausgestattet sein. Diese unabhängigen Aufsichtsbehörden sollen außerdem über die Ländergrenzen hinweg eng, effizient und schnell zusammenarbeiten.

Auch die Frage des Providerwechsels spielt in dem Entwurf eine Rolle...

Der Nutzer sollte seine Daten aus meiner Sicht vollständig und in gängigem Format zurückbekommen, sodass die Daten problemlos gespeichert und weiterverarbeitet werden können. Dabei geht es auch um einen Rechtsanspruch darauf, Daten von einem Dienstleister zu einem anderen mitzunehmen. Das ist für mich auch eine Frage des effektiven Wettbewerbs.

Im Hinblick auf den Datenaustausch europäischer Sicherheitsbehörden wollen Sie den freien Fluss der Daten zwischen den EU-Ländern im Kampf gegen das Verbrechen durch eine Art Datenautobahn zwischen den Polizeibehörden der Mitgliedstaaten verbessern. Können Sie uns das näher erläutern?

Die neuen EU-Regeln zum Datenschutz werden auch den Bereich der Strafverfolgung und der polizeilichen und justiziellen Zusammenarbeit mit einschließen. Das bedeutet auf der einen Seite, dass sich die Bürgerinnen und Bürger überall in der EU verlässlich geschützt fühlen sollten, was ihre persönlichen Daten betrifft, auch dann, wenn sie einer Straftat beschuldigt werden. Andererseits sollten EU-weite Regeln zum Datenschutz die Arbeit der Polizei und Gerichte erleichtern, grenzüberschreitend Informationen auszutauschen, um gegen Kriminalität vorzugehen. Ich möchte gewährleisten, dass Daten nach klaren und einfachen Regeln ausgetauscht werden. Dafür brauchen wir in erster Linie mehr gegenseitiges Vertrauen zwischen den Strafverfolgungsbehörden. Dieses Vertrauen können wir nur durch gemeinsame und hohe Datenschutzstandards in diesem Gebiet schaffen.

Ist in der Neuordnung ein besserer Schutz der Daten von EU-Bürgern gegen den Zugriff durch Behörden von Drittstaaten vorgesehen?

Ich möchte auf EU-Ebene klare Regeln für den „Export“ von Daten in Drittländer einführen. Es sollte klare gesetzliche Kriterien für Datenströme ins nichteuropäische Ausland geben. Über die Erfüllung dieser Kriterien sollte die Kommission gemeinsam mit den nationalen Datenschutzbehörden wachen. So könnten wir sicherstellen, dass ein Drittstaat sicher genug ist, was den Umgang mit persönlichen Daten betrifft. Zu den Kriterien gehören zum Beispiel strikte Datenschutzgesetze und die Einhaltung der internationalen Vereinbarungen zum Datenschutz. Nur Länder, die diese Bedingungen erfüllen, sollten an einem freien Datenaustausch mit der EU und mit Daten von EU-Bürgern teilnehmen dürfen.

Was müssen wir uns unter der geplanten Benachrichtigungspflicht für datenverarbeitende Stellen vorstellen?

In den vergangenen Monaten hat es mehrfach Vorfälle gegeben, die das Vertrauen der Bürger in die digitale Welt dauerhaft erschüttern können. Da verkaufen Navigationsgerätehersteller Informationen aus dem Straßenverkehr an Dritte weiter, da verschafft sich ein Hacker durch eine Attacke auf die Onlineplattform einer Spielekonsole Zugriff auf rund 77 Millionen Nutzerkonten, wovon die Betroffenen erst Wochen später informiert werden, da speichern Millionen portable Computer ungefragt Ortsdaten aus Funknetzen. Es ist aber essenziell für das Vertrauen der Kunden, dass sie wissen und kontrollieren können, was mit ihren Daten geschieht. Nutzer müssen umgehend informiert werden, wenn sich jemand unrechtmäßig Zugang zu ihren Daten verschafft hat. Für Firmen, bei denen Kundendaten gestohlen oder gehackt werden, oder schlicht verloren gehen, gelten künftig die gleichen Regeln.

Kunde soll vorher zustimmen
Osnabrück. Ob im Lagermanagement oder als elektronische Wegfahrsperre: RFID-Funkchips gelten als die Zukunftstechnologie. Doch Datenschützer warnen. Über... mehr