06|2018 Einheitliches Datenschutzrecht für Europa
„Daten sind das neue Öl“, so heißt es oft. Auch wenn das sicherlich nicht in jeder Hinsicht zutrifft, so spielt die Speicherung und Auswertung von Daten heute eine zunehmende Rolle, besonders für Unternehmen. Neben der Entstehung neuer Geschäftsmodelle werden dadurch Arbeitsabläufe vereinfacht und Werbung personalisiert. Ermöglicht wird diese Entwicklung maßgeblich durch die fortschreitende Digitalisierung von Wirtschaft und Gesellschaft. Die neuen Möglichkeiten der Technik und der Datenverarbeitung sind vielfältig. Es ist heute einfacher denn je, verschiedene Daten zu sammeln, zu einem Profil zu verknüpfen und einer Person zuzuordnen. Wir brauchen daher ein zeitgemäßes Datenschutzrecht, dass die Privatsphäre jedes Einzelnen auch vor dem Hintergrund dieser Entwicklungen gewährleistet.
Die neue Datenschutz-Grundverordnung
Die neue Datenschutz-Grundverordnung (DS-GVO) will zu dieser Herausforderung Lösungen bieten. Das EU-Gesetz tritt am 25. Mai dieses Jahres in allen Staaten der Europäischen Union in Kraft. Damit wurde die alte EU-Datenschutzrichtlinie von 1995 ersetzt und auch das deutsche Bundesdatenschutzgesetz abgelöst.
Bereits am 14. April 2016 hat das Europäische Parlament die neue DSGVO mit breiter Zustimmung angenommen. Nach einer Übergangsphase von zwei Jahren bildet sie nun den datenschutzrechtlichen Rahmen für alle Staaten innerhalb der Europäischen Union. Damit gilt erstmals ein einheitliches Datenschutzniveau in ganz Europa. Bislang glich das noch einem großen Flickenteppich, denn jedes Land hatte seine eigenen Bestimmungen. Dadurch blieb es nicht aus, dass manche Firmen sich ganz bewusst in Staaten ansiedelten, die ein eher niedriges Datenschutzniveau hatten. Vor dem europäischen Gerichtshof gab es deshalb einige Verfahren, zum Beispiel gegen Google oder Facebook. Erst kürzlich hatte der Datenskandal um Facebook und die Datenanalyse-Firma Cambridge Analytica große Kritik hervorgerufen. Es ist daher richtig und auch notwendig, dass einheitliche Regeln geschaffen wurden.
Mit der DS-GVO soll nun ein modernes Datenschutzrecht umgesetzt werden, das länderübergreifend mehr Rechtssicherheit und Transparenz bei dem Umgang mit Daten schafft. Im Vordergrund steht die Stärkung des Verbraucherschutzes und damit der Rechte der Bürgerinnen und Bürger. Sie können den Umgang mit ihren Daten nun besser kontrollieren.
Wann die DS-GVO gilt
Nach der DS-GVO ist es verboten, personenbezogene Daten zu verarbeiten, wenn es nicht ausdrücklich durch ein Gesetz erlaubt ist oder eine Einwilligung der entsprechenden Person vorliegt. Grundsätzlich gelten die Regelungen der DS-GVO nur für personenbezogene Daten. Dazu gehören nicht nur Informationen wie Namen, Adressen oder E-Mail-Adressen. Auch Daten zur Gesundheit, ethnischen Herkunft, zu politischen und weltanschaulichen Überzeugungen oder zur Religion gehören dazu. Und im Netz sind es Online-Daten wie IP-Adressen oder Cookies, die besonders geschützt werden. Die Bestimmungen betreffen die Datenverarbeitung von der Erhebung und Speicherung der Daten bis hin zur Auswertung. Dementsprechend gilt die DS-GVO zum Beispiel für Großkonzerne, kleine Handwerksbetriebe, die Betreiber von Websites oder sozialen Netzwerken sowie Vereine und Verbände, die Mitgliederdaten verarbeiten.
Neue Regelungen
Mit der neuen Verordnung wird das bisherige Datenschutzrecht aber nicht von Grund auf verändert. Es basiert im Wesentlichen auf den bewährten Grundprinzipien, wie der Transparenz und Zweckbindung bei der Datenverarbeitung. Ziel ist es, das Grundrecht auf informationelle Selbstbestimmung zu stärken – auf der einen Seite durch höhere Transparenz und auf der anderen Seite durch mehr Mitbestimmung der Bürgerinnen und Bürger bei der Verwendung ihrer Daten.
Jede Person muss jetzt aktiv dazu einwilligen, dass ihre Daten verarbeitet werden. Weitere Neuerungen sind zum Beispiel das ausdrückliche „Recht auf Vergessenwerden“ oder das Kopplungsverbot, wodurch zum Beispiel Onlineshops nur die Daten erheben dürfen, die tatsächlich notwendig sind, um einen Auftrag auszuführen. Websites müssen zukünftig darüber informieren, welche Daten der Nutzer sie erheben. Und Unternehmen müssen jeder Person auf Anfrage die Informationen zur Verfügung stellen, die es über die Person gesammelt hat. Auch der Grund für die Sammlung und Speicherung der Daten kann angefordert werden. Werden die Vorgaben nicht eingehalten, drohen Geldstrafen von bis zu 20 Mio. Euro oder vier Prozent des Jahresumsatzes.
In Baden-Württemberg sollen die Regelungen der DS-GVO mit dem „Gesetz zur Anpassung des allgemeinen Datenschutzrechts und sonstiger Vorschriften an die Verordnung (EU) 2016/679“ auf Landesebene umgesetzt werden. In ihrem Gesetzentwurf nutzt die Landesregierung bewusst vorhandene Spielräume, um die Vorgaben an Baden-Württemberg anzupassen und auszugestalten. So wurde zum Beispiel eine angemessene Privilegierung in den Bereichen Forschung und Medizin umgesetzt, damit Baden-Württemberg weiterhin innovativer Forschungs- und Wissenschaftsstandort bleiben kann.
Der Landesdatenschutzbeauftragte und seine Behörde, die die Verarbeitung personenbezogener Daten durch Organisationen wie Landesbehörden, Unternehmen und Vereine kontrollieren, werden neu organisiert. Um eine völlige Unabhängigkeit zu gewährleisten, wird der Landesdatenschutzbeauftragte vom Landtag losgelöst und seine Behörde in die Form einer obersten Landesbehörde überführt. Außerdem soll der Landesbeauftragte, zurzeit Dr. Stefan Brink, zukünftig auch kleinen und mittelständischen Unternehmen beim Thema Datenschutz beratend zur Seite stehen.
Die richtige Balance
Wichtig ist, dass es eine angemessene Balance zwischen den Interessen derjenigen gibt, die Daten verarbeiten und den Interessen der Verbraucher, insbesondere vor dem Hintergrund der Digitalisierung. Denn die meisten Unternehmen und Organisationen sind in ihrer Arbeit auf Kundendaten angewiesen. Beispiele dafür sind Arztpraxen, Versicherungsunternehmen oder Versandhändler. Auch der CDU-Kreisverband Böblingen ist von den neuen Vorgaben betroffen, weshalb alle Mitglieder für ihre Einwilligung zur Verarbeitung ihrer Daten angefragt werden. Die neue Verordnung umzusetzen bedeutet gerade für kleinere Unternehmen und Vereine viel bürokratischen Aufwand und große Herausforderungen. Die CDU-Landtagsfraktion hat großes Verständnis für die Probleme, die sich daraus ergeben.
Das Datenschutzrecht an die heutige Zeit anzupassen und für ganz Europa zu vereinheitlichen, war ein wichtiger Schritt. Auch wenn das Grundrecht auf informationelle Selbstbestimmung zu Recht gestärkt wird, müssen die Regelungen dennoch praktikabel und umsetzbar bleiben. Der CDU-Landtagsfraktion ist es daher wichtig, dass die Datenschutzgrundverordnung nochmals überprüft und evaluiert wird, um bei Fehlentwicklungen nachsteuern zu können. Deshalb unterstütze ich die Ankündigung von Bundeskanzlerin Angela Merkel von Anfang Mai, die Regeln zur Datenschutzgrundverordnung nochmals zu überprüfen.