Zum Inhalt springen

EU-Parlament Was die neuen Datenschutzregeln bringen sollen

Klare Regeln für Facebook, Google und Co., eine einheitliche Aufsicht - nach langer Debatte hat sich das EU-Parlament auf neue Datenschutzregeln geeinigt. Über den Kompromiss wird am Montagabend abgestimmt. Aber bringt er wirklich besseren Schutz für Bürger? Und wer hat das letzte Wort?
Mitglieder des Europaparlaments: Die EU braucht neue Datenschutzregeln

Mitglieder des Europaparlaments: Die EU braucht neue Datenschutzregeln

Foto: Patrick Segget/ dpa

"Das ist der Durchbruch", sagt Jan-Philipp Albrecht. Anderthalb Jahre lang hat der junge Grünen-Politiker als Berichterstatter des Europaparlaments das Datenschutz-Regelwerk von EU-Justizkommissarin Viviane Reding bearbeitet. 3999 Änderungsanträge haben seine Abgeordnetenkollegen bei ihm eingereicht. Nun sind sich die Fraktionen im Parlament einig, sehr wahrscheinlich werden Sie am Montagabend im sogenannten Libe-Ausschuss den Änderungen zustimmen.

Was bringt die Datenschutzverordnung? Kann sie noch scheitern? Was ändert sich für Konzerne wie Facebook und Google? Die Antworten auf die wichtigsten Fragen im Überblick:

Worum geht es?

Die EU braucht neue, europaweite Datenschutzregeln für das Internet-Zeitalter. Die bisher gültige Richtlinie ist 18 Jahre alt. Und sie lässt den 28 Mitgliedstaaten viel Spielraum, wie sie die Vorgaben aus Brüssel umsetzen. Ergebnis ist ein europäischer Flickenteppich aus 28 unterschiedlichen Regelwerken. Die neue Verordnung soll einheitliche, moderne Standards in der EU schaffen - auch um zu verhindern, dass Unternehmen für ihren Sitz den Mitgliedstaat mit den laxesten Datenschutzbestimmungen wählen.

Was ist bislang geschehen?

Justizkommissarin Reding hat Anfang 2012 dem Europaparlament und dem Ministerrat der Mitgliedstaaten einen Gesetzesentwurf vorgelegt. Ursprünglich sah ihr Text strenge Anforderungen für die Weitergabe von Daten an Drittstaaten und hohe Geldstrafen bei Verletzung der Regeln vor. Doch auf Druck der US-Regierung und der Lobby von Online-Riesen weichte die EU-Kommission Redings Entwurf kurz vor Bekanntgabe auf. Eine Schlüsselstelle zur Datenweitergabe an Drittstaaten wurde sogar ganz gestrichen. Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (Libe) des Europaparlaments hat nun parteiübergreifend diese sogenannte Anti-FISA-Klausel wieder aufgenommen und die Sanktionen verschärft - mit dem Ziel, mehr Datenschutz für EU-Bürger zu erreichen.

Wie will die EU amerikanische Online-Riesen kontrollieren?

Die Anti-FISA-Klausel besagt, dass Internet- oder Telekommunikationsunternehmen private Daten von EU-Bürgern nur dann an Drittstaaten weitergeben dürfen, wenn es hierfür eine eindeutige gesetzliche Grundlage in Europa gibt. Dies könnten etwa EU-Verordnungen sowie Verträge oder Rechtshilfeabkommen zwischen der EU oder ihren Mitgliedstaaten mit der US-Regierung sein. Zusätzlich soll die für das Unternehmen zuständige Datenschutzbehörde jeden Einzelfall genehmigen.

Bislang saugen US-Geheimdienste von amerikanischen Internetkonzernen einfach so die Daten von EU-Bürgern ab. Die US-Dienste berufen sich dabei auf das Spionage-Gesetz FISA (Foreign Intelligence Surveillance Act). Die EU kann diese Praxis auch künftig nicht verhindern, wohl aber könnte sie die Konzerne mit Strafen belegen und die USA wegen Rechtsbruchs anprangern. "Es wird keine legalen Schlupflöcher mehr geben", verspricht Kommissarin Reding.

Könnte das Safe-Harbor-Abkommen ein Schlupfloch sein?

Das ist derzeit ungewiss. Grundsätzlich erlaubt das sogenannte Safe-Harbor-Abkommen US-Unternehmen die Übermittlung personenbezogener Daten von der EU in die USA, sofern sie sich bestimmten Regeln und Informationspflichten unterwerfen. Allerdings basiert Safe Harbor auf der Grundannahme, dass auf beiden Seiten des Atlantiks ähnliche Datenschutzstandards gelten - und das glaubt spätestens seit den Snowden-Enthüllungen niemand mehr. Reding lässt den Vertrag deswegen nun überprüfen. Bis Jahresende will sie bekanntgeben, ob das Safe-Harbor-Abkommen weiter läuft. Falls ja, muss das Abkommen nach dem Willen des Parlaments in spätestens fünf Jahren abermals auf den Prüfstand.

Was ändert sich für Facebook, Google und Co.?

  • Schärfere Sanktionen: Die Abgeordneten haben die Strafzahlungen bei Verstößen gegen den Datenschutz drastisch erhöht. Brechen datenverarbeitende Unternehmen die Regeln der Verordnung, so drohen ihnen Geldbußen von bis zu fünf Prozent ihres jährlichen weltweiten Umsatzes. Redings Entwurf hatte diese Höchststrafe auf zwei Prozent begrenzt. Die verschärften Sanktionen dienen vor allem zur Abschreckung von Internet-Riesen wie Google  , Facebook   oder Amazon  . Ihnen würden bei Rechtsverletzungen Sanktionen in Milliardenhöhe drohen.
  • Privacy by Design: Unternehmen müssen ihre Angebote so datensparsam wie möglich konzipieren und mit den datenschutzfreundlichsten Voreinstellungen anbieten. Zudem müssen sie den Nutzern die Möglichkeit einräumen, Dienste auch anonym und unter Pseudonym zu nutzen.
  • Explizite Einwilligung zur Datenverarbeitung: Unternehmen dürfen persönliche Daten ohne Einwilligung des Nutzers nur noch beschränkt verarbeiten und weitergeben. Ansonsten müssen sie den Nutzer explizit fragen, ob er mit dieser Art von Datenverarbeitung einverstanden ist. Dies darf nicht im Kleingedruckten geschehen, sondern nur über standardisierte, einfach zu erkennende Symbole. Zudem sollen die Unternehmen keine User-Profile erstellen dürfen, wenn die Nutzer dies verbieten.
  • Mehr Kontrolleure: In Zukunft muss jedes EU-Unternehmen einen Datenschutzbeauftragten berufen, sobald es die Daten von mehr als 5000 Menschen verarbeitet. Redings Entwurf hatte diese Pflicht noch an die Zahl der Beschäftigten des jeweiligen Betriebs geknüpft.
  • Europäische Datenschutzaufsicht: Ein neues EU-Aufsichtsgremium soll künftig die Einhaltung des Datenschutzrechts auf europäischer Ebene überwachen. Zudem müssen sich Bürger und Unternehmen nur noch an ihre nationale Datenschutzbehörde wenden. Bürger können also sämtliche Beschwerden an den Datenschutzbeauftragten ihres Staates richten. Unternehmen müssen nur noch mit der Datenschutzbehörde im Land ihres Hauptsitzes zusammenarbeiten.

Was wird aus dem Recht auf Vergessen?

Das Recht auf Vergessen, wonach Unternehmen garantieren sollten, dass umstrittene Daten gar nicht mehr im Internet gefunden werden können, bekam im Parlament keine Mehrheit. Stattdessen ist ein schwächeres "Recht auf Löschen" vorgesehen. So können EU-Bürger die Unternehmen zwingen, ihnen Auskunft über die sie betreffenden Daten zu geben und diese Inhalte gegebenenfalls zu löschen. Die Firmen müssen aber nicht dafür sorgen, dass diese Angaben nirgends im Web mehr auffindbar sind. Gegenüber den jetzigen deutschen Datenschutzbestimmungen ist dies kein Fortschritt.

Ist die Verordnung beschlossene Sache?

Nein. Selbst wenn die Europaabgeordneten am Montagabend im Libe-Ausschuss zustimmen, schließen sich weitere Verhandlungen an. Das Parlament muss sich mit dem Ministerrat der EU-Mitgliedstaaten und mit der EU-Kommission auf die neuen Regularien einigen. Jan-Philipp Albrecht, Berichterstatter des Parlaments, will die Gespräche in den kommenden Wochen beginnen. Allerdings sind die Justiz- und Innenminister der Mitgliedstaaten längst nicht so datenschutzfreundlich wie die Parlamentarier und haben wenig Interesse an einer Konfrontation mit der US-Regierung.

Daher ist es denkbar, dass die Verordnung wieder aufgeweicht wird - allen voran der Drittstaaten-Paragraf. Zudem wird die Zeit knapp: Im Mai 2014 wird ein neues Europaparlament gewählt. Ist die Reform bis dahin nicht durch, könnte sie monatelang liegen bleiben.

Die Wiedergabe wurde unterbrochen.