Mehr als 90 Prozent der Europäerinnen und Europäer wünschen sich in der ganzen EU einheitliche Datenschutzrechte – unabhängig davon, wo die Daten verarbeitet werden. Das soll bald möglich werden: Mit den neuen EU-Datenschutzvorschriften soll nach Angaben des Europäischen Parlaments eine einheitliche Regelung geschaffen werden, um die Europäische Union für das digitale Zeitalter zu rüsten.
„Die Verordnung gibt den Nutzern die Entscheidung über ihre persönlichen Daten zurück“, sagte der Berichterstatter Jan Philipp Albrecht (Grüne/EFA). Gleichzeitig gebe das neue Gesetz den Unternehmen Rechtssicherheit und Wettbewerbschancen. Künftig gelte in der EU ein einziger einheitlicher Datenschutzstandard. Das bedeute weniger Bürokratie und gleiche Wettbewerbsbedingungen für alle Unternehmen auf dem europäischen Markt, betonte er.
Die neuen Vorschriften sollen die bisherigen veralteten aus dem Jahr 1995 ersetzen. Die wichtigsten Änderungen durch die neuen Vorschriften sind:
- Verarbeitung der Daten nur nach ausdrücklicher Einwilligung: Der Nutzer soll Herr seiner Daten werden. Er soll seine Einwilligung auch leicht wieder zurückziehen dürfen.
- Kinder und soziale Medien: Kinder unter einem bestimmten Alter benötigen die Zustimmung der Eltern, um ein Social-Media-Konto zu eröffnen, wie zum Beispiel bei Facebook oder Instagram. Das ist bereits in den meisten EU-Ländern üblich. Die neuen, flexiblen Vorschriften räumen den Mitgliedstaaten einen Spielraum für die Altersgrenzen ein (allerdings muss diese mindestens bei 13 und höchstens bei 16 Jahren liegen).
- Recht auf Vergessenwerden: Die Verbraucher sollten ihre Einwilligung geben müssen, aber genauso einfach sollen sie sie auch wieder zurückziehen können. Sie bekommen ein „Recht auf Vergessenwerden“, das heißt ein Recht darauf, dass auf ihren Wunsch ihre persönlichen Daten aus den Speichern von Unternehmen auch wieder gelöscht werden müssen.
- Datenlecks oder „gehackte“ Daten: Bei Verstößen gegen den Schutz personenbezogener Daten müssen die Anbieter die zuständigen Behörden so schnell wie möglich informieren, so dass die Nutzer geeignete Maßnahmen ergreifen können.
- Verständliche Sprache: Die neuen Vorschriften müssen die Praxis des „Kleingedruckten“ abschaffen. Die Verbraucher sollen in klarer, verständlicher Sprache und mit leicht verständlichen Symbolen informiert werden, bevor die Daten gespeichert werden.
- Strafen: Wenn Firmen gegen die Regeln verstoßen, drohen ihnen Strafen von bis zu vier Prozent des Jahresumsatzes.
- Unternehmen müssen Datenschutzbeauftragte anstellen: Unternehmen müssen einen Datenschutzbeauftragten benennen, wenn sie im großen Ausmaß sensible Daten verarbeiten oder das Verhalten vieler Verbraucher überwachen. Kleine und mittlere Unternehmen sind von dieser Verordnung ausgenommen, es sei denn, die Datenverarbeitung ist ihre Haupttätigkeit.
- Zentrale Anlaufstellen für Beschwerden und die Durchsetzung der neuen Regeln: Die nationalen Datenschutzbehörden werden ausgebaut und sollen zu zentralen Anlaufstellen für Bürger werden, wo sie ihre Beschwerden über die Verstöße gegen die Datenschutzvorschriften einreichen können. Die Zusammenarbeit zwischen diesen nationalen Behörden soll erheblich verstärkt werden, um einen einheitlichen Schutz der personenbezogenen Daten innerhalb der Union sicherzustellen.
In Deutschland stoßen die EU-Pläne auf teilweise heftige Kritik. So befürchtet der Berufsverband der Datenschutzbeauftragten (BvD), dass die Regelungen für Bürger und Unternehmer unverständlicher würden. „Gleichzeitig soll das Erfolgsmodell des Datenschutzbeauftragten als Garant für praxisnahen und wirtschaftlichen Schutz entfallen“, befürchtet BvD-Vorstandsvorsitzender Thomas Spaeing. Der ehemalige Bundesvorsitzende für den Datenschutz, Peter Schaar, begrüßte zwar grundsätzlich die EU-Pläne, er befürchtet aber, dass das bislang sehr hohe Datenschutzniveau in Deutschland in einigen Punkten abgesenkt werde. So würden beispielsweise die strengen Vorgaben zur Zweckbindung von Daten durch eine allgemeinere Formulierung aufgeweicht.
Für Krankenhäuser und Arztpraxen ist unter anderem die Verpflichtung zur Gewährleistung der Sicherheit der Datenverarbeitung wichtig, die aus dem Artikel „Sicherheit der Verarbeitung“ hervorgeht. Außerdem soll künftig eine Risikoabschätzung von Datenschutzverletztungen bei neuen Verfahren durchgeführt werden. Unternehmen sollen den Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen unterstützen (Privacy by Design). „Die genauen Regelungen zum Thema Gesundheit und Forschung sind noch nicht ausformuliert“, betonte Nikolaus Schrenk, Datenschutzbeauftragter beim kbo-Klinikverbund des Bezirks Oberbayern, auf einer Fachtagung „Datenschutz in der Medizin – Update 2016“ in Hamburg.
Von 2018 an sollen die neuen Vorschriften anwendbar sein. Die EU-Kommission will nach eigenen Angaben eng mit den Datenschutzbehörden zusammenarbeiten, um eine einheitliche Anwendung der neuen Vorschriften zu gewährleisten. Während der zweijährigen Übergangsphase will die Kommission die Bürgerinnen und Bürger über ihre Rechte und die Unternehmen über ihre Pflichten informieren.
Artikel teilen