INTERNET WORLD Business





Datenschutz-Dilemma

Die neue Datenschutzrichtlinie der EU soll die Gesetze der Mitgliedsländer harmonisieren. Experten befürchten allerdings zusätzliche Belastungen für die digitale Wirtschaft

Die Lösung wirkt leicht grotesk: Seit Jahren diskutiert die digitale Wirtschaft mit Datenschützern über das Für und Wider von Cookies und darüber, wie der Kunde über die geheimnisvollen Brotkrumen in seinem Browser zu informieren sei. Und dann das: Im Sommer 2015 hat Google eine Kennzeichnung von Websites eingeführt, die mit dem hauseigenen Google Analytics verknüpft sind. Nutzern, die eine solche Seite aufrufen, wird der Hinweis eingeblendet, dass sie Cookies verwendet. Den Hinweis können sie dann per Mausklick bestätigen und sie können auch die Datenschutzerklärung lesen. (Zwischenfrage: Kennen Sie jemanden, der schon einmal eine Datenschutzerklärung von vorn bis hinten gelesen hat?) Einen „Ablehnen“-Button bietet der eingeblendete Hinweis jedoch nicht. Was der Nutzer mit der ihm gegebenen Information anfängt, bleibt ihm überlassen.

Dieser Fall ist symptomatisch für die derzeitige Situation beim Datenschutz in Deutschland. Das bisweilen zähe Ringen zwischen Industrie und Datenschützern scheint an den Interessen der Bürger vorbeizugehen. Eine Umfrage des Instituts für Demoskopie Allensbach im Auftrag der deutschen Telekom ergab, dass die Deutschen andere Sorgen haben als den Schutz ihrer Privatsphäre im Internet: Mit 48 Prozent aller Nennungen führt die Angst vor Demenz und Pflegebedürftigkeit im Alter die Liste der Dinge an, um die sich die Bundesbürger 2015 ernsthaft Sorgen machen. Dicht darauf folgen die Furcht vor Altersarmut (43 Prozent) oder einer lebensbedrohenden Erkrankung (41 Prozent). Die Angst vor Datenbetrug im Internet, speziell davor, dass das eigene Konto von Hackern geleert wird, landete in der Befragung vom Juni 2015 bei 28 Prozent, gleichauf mit der vor terroristischen Anschlägen. Heute, nach den schrecklichen Ereignissen der letzten Wochen, könnte das allerdings ganz anders aussehen. Angst vor behördlicher Schnüffelei – vor der Datenschutz eigentlich schützen soll – ist bei den Deutschen weniger stark ausgeprägt: 19 Prozent aller Bürger hegen die Befürchtung, dass der deutsche Staat ihnen nachspionieren könnte, die Ausforschung durch die NSA oder andere ausländische Dienste stellt sogar nur für 15 Prozent ein ernsthaftes Problem dar.

Alles halb so schlimm also? Nicht ganz: Jeder vierte Bundesbürger machte sich 2015 große Sorgen, dass seine Daten durch Unternehmen unerlaubt weitergegeben werden – zu viele, als dass die digitale Wirtschaft das ignorienen könnte. In Europa, so ergab eine Studie des Security-Anbieters Symantec, sind die Befindlichkeiten der Bürger bezüglich ihrer digitalen Privatsphäre von Land zu Land unterschiedlich stark ausgeprägt. So sind in Spanien 78 Prozent und in Deutschland 62 Prozent aller Bürger wegen der Sicherheit ihrer persönlichen Daten besorgt, in Großbritannien sind es nur 49 Prozent. Und gerade einmal acht Prozent aller Deutschen sind bereit zu akzeptieren, dass ein Unternehmen ihre persönlichen Daten an Dritte weitergibt. Die Italiener sind da anders gestrickt: Für 47 Prozent ist das kein Problem.

Der Vorgänger stammt aus der Internet-Gründerzeit

Den unterschiedlichen Bedürfnissen von 28 Staaten, ihren Bürgern und der digitalen Wirtschaft soll eine neue EU-Datenschutzrichtlinie Rechnung tragen, die Datenschutz-Grundverordnung (DS-GVO). Sie ersetzt ein Regelwerk, das bereits zwei Jahrzehnte auf dem Buckel hat und zu einer Zeit verabschiedet wurde, als es weder Google noch Facebook gab und die meisten Nutzer sich noch mit piepsenden Analogmodems ins Internet einwählten und Smartphones, Location Based Services und Tracking über Device-Grenzen hinweg kaum denkbar erschienen. Die DS-GVO, die nach derzeitigem Kenntnisstand wahrscheinlich 2018 in Kraft treten wird, soll das Datenschutzrecht in ganz Europa harmonisieren. Für deutsche Internet-Unternehmen hätte das ähnliche Folgen wie die EU-Verbraucherrechterichtlinie (EU-VRRL). Sie wurde 2011 vom EU-Parlament beschlossen, den Mitgliedsstaaten wurde eine gewisse Zeitspanne eingeräumt, um die Richtlinie in nationales Recht umzusetzen. In Deutschland wurde die Umsetzung 2013 verabschiedet und trat im Juni 2014 in Kraft. Seitdem haben Verbraucher in der EU einheitlich die gleichen Rechte beim Einkauf – und die Unternehmen müssen sich nicht an 28 unterschiedliche Gesetzgebungen halten, wenn sie in ganz Europa aktiv sein wollen.

Trotz breiter Zustimmung viel Kritik bei den Details

Vor diesem Hintergrund stehen die meisten Branchenvertreter der DS-GVO grundsätzlich positiv gegenüber. Thomas Duhr, Vizepräsident des Bundesverbands Digitale Wirtschaft (BVDW) hebt vor allem den Wechsel zum Marktortprinzip lobend hervor. „Damit wird der gesamte europäische Datenschutzraum transparenter und sowohl für Unternehmen als auch für Nutzer besser nachvollziehbar.“

Das Marktortprinzip bedeutet, dass für die datenschutzrechtliche Bewertung von Angeboten der Ort maßgeblich ist, an dem das Angebot auf seinen Nutzer trifft. Also nicht der Firmensitz des Anbieters oder der Standort seines Data Centers, sondern der Aufenthaltsort des Nutzers zum Zeitpunkt der Nutzung. Berief sich etwa Facebook in der Vergangenheit bei rechtlichen Streitigkeiten häufig auf das geltende Recht am Firmensitz der Europazentrale im irischen Dublin, würde dieses Argument in Zukunft nicht mehr gelten.

Zufrieden ist der BVDW-Verbandsvize mit dem vorliegenden DS-GVO-Entwurf jedoch nicht: „Leider zeigt der verabschiedete Kompromiss zur Datenschutz-Grundverordnung mit aller Deutlichkeit, dass der europäische Gesetzgeber die Zeichen der Zeit nicht in allen Facetten erkannt hat.“ Duhr bemängelt, dass die EU-Richtlinie einen „realitätsfernen, einwilligungsbasierten ‚One size fits all‘-Ansatz darstellt, der erhebliche Hürden für entgeltfreie Dienste, also den Kern des Internets, schafft“.

Lange Liste mit hehren Zielen

Aus Sicht eines EU-Bürgers und eines Politikers, der von eben diesen Bürgern gewählt werden will, liest sich die Liste der Punkte, die die DS-GVO europaweit regeln soll, durchaus beeindruckend.

Zustimmung: Internet-Konzerne wie Google oder Facebook müssen die Zustimmung zur Datennutzung künftig ausdrücklich einholen.

Mindestalter: Kinder und Jugendliche unter 16 Jahren benötigen bei der Einwilligung zur Datenverarbeitung die Zustimmung der Eltern. Nationales Recht kann das Mindestalter auch herabsetzen.

Privacy by Design: Unternehmen müssen ihre Produkte datenschutzfreundlich gestalten und entsprechend voreinstellen.

Datenlecks: Anbieter sind künftig verpflichtet, ihre Nutzer umgehend über Datenlecks zu informieren.

Recht auf Vergessenwerden: Verbraucher erhalten das Recht, Informationen leichter löschen zu lassen.

Portabilität: Nutzer sollen Daten leichter von einem Anbieter zum nächsten mitnehmen können.

Beschwerden: Bei Problemen kann sich der Verbraucher in seiner Sprache an eine heimische Beschwerdestelle wenden.

Strafen: Unternehmen, die gegen die Datenschutzregeln verstoßen, drohen Strafen von bis zu vier Prozent des Jahresumsatzes. Bei Google wäre das dann im Extremfall ein Milliardenbetrag.

Einer der wichtigsten Vorteile der DS-GVO – ihre europaweite Verbindlichkeit – ist allerdings gleichzeitig ihr Hauptnachteil, vor allem aus deutscher Sicht. BVDW-Experte Duhr moniert, dass etablierte Lösungen, die sich im deutschen Datenschutzrecht bereits bewährt haben, nicht Eingang in die EU-Richtlinie fanden. Damit konstatiert er im Grunde gleichzeitig das Scheitern des eigenen Verbandes, denn „Digitale Wirtschaft und Datenschutzbehörden haben während des gesamten Entstehungsprozesses immer weder auf die Notwendigkeit einer umfassenden Implementierung hingewiesen“ – offenbar vergeblich.

Bauchschmerzen bereitet der Branche die fehlende Risikodifferenzierung. Der Entwurf, so der Vorwurf, behandelt alle Unternehmen gleich, egal ob es sich um Facebook mit mehreren hundert Millionen Kunden in Europa handelt oder um eine kleines Start-up mit ein paar hundert Kunden. Oliver Süme vom Branchenverband Eco sieht seine Klientel der Internet-Infrastrukturanbieter vor großen Herausforderungen: „Grundsätzlich begrüßen wir die längst überfällige Einigung der EU-Mitgliedstaaten auf eine gemeinsame Datenschutz-Grundverordnung, auch wenn klar ist, dass dadurch auf die Unternehmen zunächst enorme Kosten zukommen.“ So müssen sie beispielsweise zahlreiche IT-Systeme, Dokumentationen und Schnittstellen anpassen, Mitarbeiter schulen und Vertragswerke neu aufsetzen, um die neuen Verpflichtungen im Zusammenhang mit der Nutzereinwilligung, dem Recht auf Vergessenwerden, der Datenportabilität und dem Marktortprinzip zu erfüllen, sagt das Eco-Vorstandsmitglied: „Das betrifft alle Unternehmen, die mit personenbezogenen Daten zu tun haben“– die großen wie auch die kleinen.

Auch Bernhard Rohleder, Hauptgeschäftsführer des ITK-Branchenverbands Bitkom, begrüßt grundsätzlich die Verabschiedung einer EU-weiten Daten schutzrichtlinie: „Davon profitieren auch die Unternehmen, weil sie beim Datenschutz künftig einheitliche Marktbedingungen vorfinden.“ Allerdings treibt den Bitkom die Sorge um, dass die angestrebte Vollharmonisierung der Datenschutzgesetzgebung am Ende nicht erreicht wird – in zu vielen Details seien noch nationale Alleingänge möglich. Als „unsinnig und praxisfern“ bezeichnet Rohleder die Regelung, dass Jugendliche unter 16 Jahren die Zustimmung der Erziehungsberechtigten benötigen, bevor sie sich bei einem Internet-Dienst anmelden, zumal diese Grenze von Mitgliedsland zu Mitgliedsland unterschiedlich geregelt werden kann.

Kunden erhalten Recht auf Auskunft über Daten

Während die Verbraucherrechterichtlinie, die in Deutschland 2014 für Änderungen im Fernabsatzrecht sorgte, vor allem die von vielen Unternehmen bereits gelebte Praxis festschrieb, sind die Änderungen beim Datenschutz gravierender. So sieht die DS-GVO etwa ein grundsätzliches Recht aller Kunden auf Auskunft zu ihren personenbezogenen Daten vor – der gute alte Datenschutzbeauftragte könnte also in Zukunft unerwartet Publikumsverkehr bekommen.

Carsten Diepenbrock, Deutschlandchef des Datenanalyse-und Cloud-Anbieters Acxiom, rät deshalb allen Unternehmen, rechtzeitig für genügend personelle Ressourcen zu sorgen. Das Problem trifft kleine Unternehmen härter als große, denn sie müssen grundsätzlich die gleichen Informations-und Dokumentationspflichen erfüllen wie die Internet-Giganten. Und wenn man die bisherige Praxis der Verquickung von Datenschutz-und Wettbewerbsrecht betrachtet, dann besteht durchaus die Gefahr neuer Abmahnwellen (siehe auch Seite 38). Immerhin: Deutsche Unternehmen kennen die Funktion des Datenschutzbeauftragten bereits, während andere EU-Mitgliedstaaten mit diesem Konzept noch nicht so vertraut sind.

Im Gegensatz zur alten Datenschutzrichtlinie macht die DS-GVO einen Unterschied zwischen dem „für die Datenverarbeitung Verantwortlichen“ und dem „Auftragsverarbeiter“. Ersterer ist das Unternehmen, das Daten erhebt und nutzt, der Zweite ist der Dienstleister, der von diesem Unternehmen beauftragt wird und zum Beispiel ein Rechenzentrum betreibt. War es bislang so, dass bei Verstößen gegen den Datenschutz vor allem das Unternehmen im Fokus stand, das die Daten erhoben hatte, sollen künftig Ansprüche auch gegen den Dienstleister möglich sein. Das dürfte zu deutlichen Verschiebungen im Verhältnis zwischen Internet-Unternehmen und ihren Dienstleistern führen – und zu erweiterten Dokumentationspflichten.

Eine Zeitbombe enthält der Artikel 23 des Entwurfs. Er regelt die sogenannte „Privacy by Design“: Dienste müssen so ausgelegt werden, dass sie mit möglichst wenig personenbezogenen Daten auskommen. Diese Forderung ist nicht neu, allerdings enthält der Richtlinienentwurf die ausdrückliche Ermächtigung für die EU-Kommission, diese Regelungen zu einem späteren Zeitpunkt gemäß der dann herrschenden Gegebenheiten zu präzisieren – einer der Hebel, die dazu führen könnten, dass auch in Zukunft an der Datenschutzfront kontinuierlich Bewegung herrscht. BVDW-Vize Duhr schwant dadurch schon jetzt Schlimmes: „Das Internet als wirtschaftlicher Wachstumsmotor wird im Ergebnis überreguliert, die Wettbewerbsfähigkeit Europas im globalen Wettbewerb deutlich begrenzt.“

Als Beispiel dafür kann der Begriff der personenbezogenen Daten gelten, der im DS-GVO-Entwurf anders definiert wird, als es bislang üblich war. Diese Daten, die grundsätzlich als besonders schutzbedürftig gelten, können in Zukunft auch sogenannte „nicht eindeutige Merkmale“ umfassen: Das sind typischerweise Zeitinformationen oder Geodaten, die eine indirekte Identifizierung einer Person erlauben. Wie mit anonymisierten Daten umzugehen ist, regelt die DS-GVO nach bisherigem Stand nicht. Kein Wunder, dass Duhr moniert, dass die in Deutschland bewährte Methode der Pseudonymisierung von Nutzerdaten im Richtlinienentwurf kaum Niederschlag gefunden hat. Sein Urteil über den Entwurf aus Brüssel ist aus Sicht der europäischen Internet-Wirtschaft mit vielen kleinen und wenigen großen Playern niederschmetternd: „Die neue Datenschutz-Grundverordnung geht in letzter Konsequenz zulasten der Vielfalt des Internets.“

Umsetzung in nationales Recht ist entscheidend

Doch bis zur Umsetzung der DS-GVO in geltendes, nationales Recht ist es noch ein weiter Weg – auf dem alle Beteiligten auf Gestaltungsspielräume hoffen. Denn bevor die Unternehmen die Umstellung auf den neuen Rechtsrahmen angehen können, müssen zunächst die Mitgliedstaaten ihre Datenschutzgesetze überarbeiten. Dabei prüfen sie, welche der bestehenden Regelungen durch die Verordnung ersetzt und welche bestehen bleiben oder angepasst werden können. Bitkom-Chef Rohleder hofft dabei auf Einigkeit: „Für die Digital-Wirtschaft ist es wichtig, dass der gemeinsame Rechtsrahmen nun auch einheitlich durchgesetzt wird.“ Das sei eine zentrale Aufgabe für die nationalen und in Deutschland sogar föderal organisierten Datenschutzbehörden, auf die sie bislang nur unzureichend vorbereitet sind sagt Rohleder. Um am Ende zu einem Ergebnis zu kommen, das die europäische Internet-Wirtschaft nicht völlig ausbremst, ruft er dazu auf, auf „eine Auslegung und Umsetzung der Verordnung mit Augenmaß“ hinzuwirken.

Da dürfte bis 2018 noch jede Menge Arbeit zu erledigen sein. ❚


Glossar

DS-GVO

DS-GVODie Datenschutz-Grundverordnung ist eine Richtlinie der EU, die die Datenschutzgesetzgebung der 28 EU-Staaten harmonisieren soll. Sie könnte 2018 in Kraft treten.

Personenbezogene Daten

Zu den besonders schützenswerten Daten gehören Kennzeichen wie Telefonnummern, Adressen und Kontonummern sowie Online-Kennungen wie E-Mail-Adressen und biometrische Daten.

Nicht eindeutige Merkmale

Dazu gehören zum Beispiel Zeitstempel- und Geodaten, mit denen sich Personen auf indirektem Weg identifizieren lassen. Auch sie könnten schutzwürdig sein.

Für die Verarbeitung Verantwortlicher

Die Stelle, die „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Es handelt sich dabei also um das Unternehmen oder die Organisation, die zu Beginn beschließt, Daten der betroffenen Person zu erfassen.

Auftragsverarbeiter

Jeder, der die Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. Die DS-GVO definiert das Speichern auf Servern und in Clouds explizit als Verarbeitungsverfahren.

Weitere Bilder
comments powered by Disqus