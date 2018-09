Von einem Meilenstein war damals die Rede. Die Europäische Union macht sich 1995 zum Vorreiter, als sie den Datenschutz zu regeln versucht. Zum ersten Mal seit der Geburt des Internets gibt es eine Regelung, was im Umgang mit den persönlichen Informationen erlaubt ist und was nicht. Die Ziele sind klar – und gelten bis heute: Einerseits will die EU den Schutz der Grundrechte und der Grundfreiheiten des Einzelnen, vor allem das Recht Datenschutz. Andererseits will die EU den Binnenmarkt nicht bremsen, Vorgaben für den Umgang mit sensiblen Angaben werden gebraucht. Doch das Internet boomt, der Handel mit Nutzerdaten wird zum Geschäftsmodell. Die ursprüngliche Regelung reicht nicht mehr aus. Schließlich gibt die EU-Kommission 2010 den Anstoß und schlägt eine umfassende Reform der bisherigen Gesetze zum Umgang mit Daten vor: „Die Welt um uns herum hat sich infolge der raschen technologischen Entwicklung und der Globalisierung tiefgreifend verändert, was den Datenschutz vor neue Herausforderungen stellt“, heißt es damals. Es ist der Beginn eines langen Prozesses, der am 25. Mai 2018 mit dem Inkrafttreten der neuen Datenschutzgrundverordnung (DSGVO) endet.

Jan Philipp Albrecht war daran beteiligt. 2014 gehörte er zu der überwältigenden Mehrheit im Europäischen Parlament, die der Neuordnung der Gesetze in der digitalen Welt zustimmt. Als sogenannter Berichterstatter hat der ehemalige Grünenabgeordnete, der inzwischen als Minister fürs Digitale der schleswig-holsteinischen Landesregierung angehört, die Entwicklung der Datenschutzgrundverordnung von Anfang an begleitet. Heute, mehrere Monate nach Inkrafttreten der Neuordnung und nach viel Kritik daran, fühlt er sich unverstanden. Zu viele Gerüchte seien unterwegs. Etwa, dass alle Unternehmen „plötzlich einen Datenschutzbeauftragten einstellen müssen“. Oder, dass „man neue Einwilligungen für Newsletter einholen müsse“, die bereits vorher erteilt wurden. „Das stimmt einfach nicht“, schimpft der 35-Jährige. Er klingt dann etwas frustriert. Auch, weil Verbraucher- und Datenschützer immer wieder besseren digitalen Schutz forderten.

Heute ist die Unsicherheit über die Neuregelung groß – welche Regeln für Vereine, kleine und mittelständische Unternehmen, Handwerksbetriebe und Blogger gelten, ist vielen nicht ganz klar. Seit Mai herrscht in Deutschland Aufruhr – die Datenschutzgrundverordnung scheint ein lästiges Übel, das den Alltag erschwert. Albrecht versteht das nicht: Denn die Datenschutzgrundverordnung „schafft kein neues Recht“, meint er. Vielmehr sorge sie dafür, „dass geltendes Recht in der EU angewandt wird“. Tatsächlich sind viele der Vorgaben zumindest in Deutschland nicht neu, sondern waren schon im Bundessdatenschutzgesetz festgeschrieben. Vermeintliche neue Pflichten schüren aber Angst. Denn die Neuordnung hat als maßgebliche Änderung empfindliche Strafen eingeführt. Das Problem: Die EU legte lediglich eine Maximalstrafe, aber keine Mindeststrafe fest – bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes könnten die Folge sein. Es ist ein Schreckensgespenst, das Vereine und Blogger verunsichert und kleine Unternehmen in die Verzweiflung treibt.

Die EU-Kommission warnt dennoch vor Hysterie. „Es geht um gesunden Menschenverstand und Verhältnismäßigkeit. Wenn Ihnen jemand eine E-Mail schreibt und Ihnen zugesteht, dass Sie seine Daten verwenden dürfen, dann ist doch klar, dass er Ihnen eine Einwilligung erteilt“, meint die EU-Justizkommissarin Vera Jourova. Die 54-jährige Tschechin hat das Projekt mit vorangetrieben. Sie gibt zu, dass sie kein großes technisches Verständnis habe, behauptet allerdings, dass selbst sie die Datenschutzgrundverordnung umsetzen könnte.

Die europäischen Institutionen sind stolz auf ihre Arbeit. Die Euphorie war groß, als die neue Verordnung endlich beschlossene Sache war. Auch, weil damit erstmals eine europaweit einheitliche Gesetzgebung geschaffen wurde. „Das Gesetz schafft erstmalig einen EU-Datenschutz auf höchstem Niveau und ersetzt den ausgedienten Flickenteppich“, schwärmen EU-Abgeordnete. Denn anders als oft vermittelt hat Brüssel mit großer Mehrheit für die Neuordnung gestimmt – sie war ein echtes Gemeinschaftsprojekt, nicht die fixe Idee eines Einzelnen. „Wir werden dafür sorgen, dass die Reform ein voller Erfolg wird“, sagte der zuständige Vizepräsident der EU-Kommission, Andrus Ansip, nach der Verabschiedung des Gesetzes im April 2016 zuversichtlich. Doch heute machen sich erste Probleme mit der Verordnung bemerkbar.

Dabei sind die Vorteile für Nutzer nicht von der Hand zu weisen. „Die Bürger bekommen endlich mehr Kontrolle über ihr digitales Leben“, sagte die SPD-Europaabgeordnete Birgit Sippel damals. Daten europäischer Bürger müssen nach europäischem Recht verarbeitet werden – ganz egal, ob der Server, auf dem die Informationen gespeichert werden, auf den Fidschi-Inseln steht, oder ob sich der Computer, an dem sie verarbeitet werden, in den USA befindet. Kurzum: Der Datenschutz gilt auch für Internetriesen wie Google, Facebook und Co., wenn sie mit europäischen Daten umgehen.

Auf deren Portalen ein Nutzerkonto zu eröffnen, wird mit der Datenschutzgrundverordnung übrigens schwieriger. So müssen Jugendliche 16 Jahre alt sein, wenn sie soziale Plattformen wie Facebook oder Chatdienste wie WhatsApp nutzen wollen. Allerdings gibt es in diesem Punkt nationale Spielräume – das Mindestalter darf auch auf 13 Jahre herabgesetzt oder die Einrichtung eines Nutzerkontos mit Zustimmung der Eltern erfolgen. Der Flickenteppich ist also nicht ganz verschwunden.

Wer schon einmal seinen Facebook-Account gelöscht hat und sich später dazu entschied, doch wieder beizutreten, musste feststellen, dass alle Daten noch da waren. Gelöscht wurde also gar nichts. In der neuen Datenschutzgrundverordnung aber ist das „Recht auf Vergessen“ festgeschrieben. Unternehmen dürfen die Daten eines Nutzers eben nicht mehr speichern, wenn der sein Konto auflöst.

Auch können sie die Informationen des Kunden nicht einfach weitergeben, es braucht die ausdrückliche Zustimmung des Nutzers. Der in den vergangenen Jahren zunehmende Handel mit Nutzerdaten, etwa über deren Onlinekaufverhalten, ist nicht mehr automatisch erlaubt. Werden Daten verarbeitet, muss der Nutzer darüber aufgeklärt werden – in verständlicher Sprache. Dagegen darf der Nutzer seine Daten zu einem anderen Anbieter mitnehmen, beispielsweise von einem Cloud-Unternehmen zu einem anderen. Eigentlich eine gute Sache für die Verbraucher – zumindest als EU-Bürger. Facebook verlegte die Verträge von 1,5 Milliarden Nicht-EU-Bürgern von Irland in die USA, wo deutlich laxere Regeln gelten.

Auch in der EU sorgt die Datenschutzverordnung nicht immer für mehr Schutz. Zwar hatte der Europäische Gerichtshof 2016 ein Verbot einer „allgemeinen und unterschiedslosen Vorratsdatenspeicherung“ ausgesprochen, mit wenigen Ausnahmen – etwa bei der Bekämpfung „besonders schwerer Straftaten“ oder im Fall „einer Bedrohung der öffentlichen Sicherheit“. Andererseits gilt seit Mai die nicht unumstrittene Fluggastdatenspeicherung – bis zu 60 Einzeldaten der von, innerhalb oder nach Europa reisenden Passagiere werden fünf Jahre lang gespeichert und bei Bedarf zwischen den EU-Ländern ausgetauscht: vom Namen und der Adresse über Kreditkartenangaben bis hin zu Mitreisenden. Die Daten müssen nach sechs Monaten zwar „depersonalisiert“ werden, ein Richter kann dies aber rückgängig machen. Kritiker sagen, die DSGVO sei schon bei ihrem Inkrafttreten veraltet gewesen. Es brauche eine „Datenschutzgrundverordnung 2.0“.

Die DSGVO Die Datenschutz-Grundverordnung (DSGVO) ist ein EU-Gesetz. 99 Artikel regeln den Umgang mit personenbezogenen Daten im Internet, wie Namen oder biometrische Daten, aber auch politische Meinung oder ethnische Herkunft. Die Veordnung umfasst die Erhebung, Speicherung, Veränderung und die Auswertung von Daten. Daran halten müssen sich alle, die im Internet aktiv sind und Daten verarbeiten: Privatpersonen, Blogger, Betreiber von Webseiten, soziale Netzwerke, Unternehmen und Betriebe.

