Wem gehören die Daten im Netz: der Person, von der sie stammen, oder dem Unternehmen, das sie gesammelt hat und verwerten will? Das ist eine der wesentlichen Streitfragen im digitalen Zeitalter, und es lohnt sich, diese Debatte wachsam zu verfolgen. Von diesem Freitag an wird es mit der europäischen Datenschutz-Grundverordnung einige Änderungen geben – ein wichtiger Etappensieg für Bürgerrechte. Die Verordnung bringt mehr Transparenz im oft schwer durchschaubaren Dschungel des digitalen Lebens, und sie bringt vor allem stärkere Rechte, zum Beispiel das Recht auf das Vergessenwerden im Netz. Das Sammeln und Verwerten von Daten durch Unternehmen wird dadurch eingeschränkt, und es ist davon auszugehen, dass die Auseinandersetzungen um den rechten Umgan
gang mit den Daten mit hoch bezahlten Juristen vor Gericht und in der Politik weitergehen werden.Mit dem Stichtag bekommen sowohl Deutschland als auch alle weiteren 27 Länder der Europäischen Union mit ihren 500 Millionen Bürgerinnen und Bürgern einen Datenschutz auf höherem Niveau. „Eine einheitliche Regelung für ganz Europa ist heutzutage in der globalisierten Welt der einzige Weg, um das Grundrecht auf informationelle Selbstbestimmung zu retten“, sagt die Datenschutzbeauftragte des Landes Berlin, Maja Smoltczyk.Fluchtpunkt IrlandIm Vergleich zu anderen Ländern lag Deutschland hier zuvor eher vorn, aber insgesamt glich Europa in Sachen Datenschutz einem Flickenteppich. Schlusslicht war bislang Irland. Die Internetgiganten Google, Apple, Microsoft und Facebook wählten es als ihren europäischen Firmensitz, zahlten dort kaum Steuern und agierten nach dessen laxen Datenschutzstandards in ganz Europa. Den Beschwerden oder Klagen von Nutzern konnten sie sich leicht entziehen, weil die Rechtslage verworren und die Politik und Verwaltung des Landes auf ihrer Seite war. Solche Lücken werden nun gestopft. Mit der Datenschutz-Grundverordnung gilt das Marktort-Prinzip. Das heißt: Bei Verstößen kann jeder Nutzer sich direkt an den Datenschutzbeauftragten seines jeweiligen Bundeslandes wenden. Dieser ist verpflichtet, die Beschwerde anzunehmen und zu verfolgen.Einen „Riesenvorteil“ nennt Maja Smoltczyk das Marktort-Prinzip. Denn damit seien „sämtliche Anbieter auf dem europäischen Markt der europäischen Ordnung unterworfen, egal wo sie ihren Firmensitz haben“. Aber damit bekommen die Datenschutzbehörden der Bundesländer auch mehr Aufgaben. Es werden etwa aufwendige Fälle mit international agierenden Firmen auf sie zukommen. Die Bundesländer werden dafür mehr finanzielle und personelle Ressourcen benötigen. Aber die deutsche Politik zeigt sich bei der Mittelvergabe noch sehr zögerlich. „Bislang sind wir dafür überhaupt nicht angemessen ausgestattet“, stellt Maja Smoltczyk für ihr Haus fest. In den anderen Bundesländern sieht es nicht besser aus. Eigentlich sollen die Datenschutz-Ämter unabhängig handeln können. Tatsächlich können sie die neuen Rechte, die mit der der Datenschutz-Grundverordnung kommen, nur dann effektiv im Sinne der Bürgerinnen und Bürger durchsetzen, wenn sie auch die nötigen Mittel dafür bekommen.Zu den neue Rechten gehört der Anspruch auf Transparenz. In klarer und verständlicher Sprache sollen die Nutzer darüber informiert werden, wer zu welchen Zwecken die Daten verarbeitet. Auch Informationen über deren Speicherdauer und die Datenschutzrechte der betroffenen Person gehören dazu. Die Einwilligung des Kunden soll nur dann gültig sein, wenn die Information „unmissverständlich“ ist. Bislang erschlichen Firmen scheinbare Zustimmungen häufig über lange, schwer verständliche Texte der Allgemeinen Geschäftsbedingungen (AGB) und über voreingestellte Häkchen. Nur technikaffine Menschen konnten diese mit detektivischem Gespür ausfindig machen und wieder entfernen.Wer liest schon die AGB?Das belegt eindrücklich eine Studie des Wissenschaftlers Robert Rothmann vom Institut für Staats- und Verwaltungsrecht der Universität Wien, die Anfang dieses Jahres veröffentlicht wurde. Zusammen mit Kollegen machte er eine repräsentative Umfrage bei etwas mehr als 1.000 Facebook-Nutzern. 78 Prozent von ihnen gaben an, die AGB von Facebook bei der Registrierung nicht gelesen oder nur überflogen zu haben. Entsprechend wussten auch nur 37 Prozent, dass sie Facebook ihr Einverständnis gegeben hatten, Daten zu sammeln und weiterzuverarbeiten. 43 Prozent wussten es nicht und jeder Fünfte glaubte sogar, dieses Einverständnis ausdrücklich nicht gegeben zu haben.In nächster Zukunft dürfte sich dies ändern. Aber man muss damit rechnen, dass die großen Internetfirmen mit hoch bezahlten Juristen vor Gerichten darüber streiten werden, wie die Formulierungen in der Datenschutz-Grundverordnung auszulegen sind. Dann wird es zum Beispiel darum gehen, wie eindeutig eine rechtsgültige „Einwilligung“ zu sein hat oder was das „Kopplungsverbot“ beinhaltet. Nach dieser Regelung ist nicht zulässig, für eine Leistung Daten zu verlangen, die für das Erbringen dieser Leistung nicht benötigt werden. So wird es nicht mehr erlaubt sein, für die Nutzung einer Taschenlampen-App zu verlangen, dass man seine jeweiligen Standortdaten preisgibt oder – wenn man das nicht will – diese App nicht installieren kann. „Aber das Geschäftsmodell wird erst mal vom Unternehmen definiert, darum wird also gestritten werden“, prognostiziert Thilo Weichert, Vorstandsmitglied der Deutschen Vereinigung für Datenschutz und ehemaliger Datenschutzbeauftragter von Schleswig-Holstein.Vielversprechend ist das neue Recht auf Sammelklagen. Max Schrems, Jurist und Datenschutzaktivist aus Wien, wurde mit seinen Klagen gegen Facebook bekannt. So störte ihn erheblich, dass er in einer Erklärung zustimmen musste, dass seine Daten an Google weitergeleitet werden, wenn er ein neues Smartphone in Betrieb nehmen wollte. Auch viele andere Smartphone-Nutzer lehnten das ab, mehrere tausend wollten sich seiner Klage gegen Facebook anschließen. Nach bisherigem Recht war eine Sammelklage jedoch nicht zulässig. Das ändert sich nun. Nicht nur erlaubt die Datenschutz-Grundverordnung ausdrücklich gesammelte Klagen von mehreren Nutzern, in Deutschland werden auch Verbandsklagen zulässig. So können nun bald Verbraucherschutzverbände gegen Datenschutzverstöße vor Gericht gehen, was unter anderem deshalb vielversprechend ist, weil Gerichte häufig im Sinne der Verbraucher urteilen, auch in letzter Instanz. „In den letzten Jahren hat der Europäische Gerichtshof eine Vielzahl erfreulicher Entscheidungen getroffen“, stellt Datenschutzexperte Weichert dazu fest.Zentral ist zudem das „Recht auf Vergessenwerden“. Wer möchte, dass seine Daten gelöscht werden, kann sich direkt an Internetkonzerne wie Google oder Facebook wenden. Die Unternehmen müssen diesem Wunsch Folge leisten. Nur in wenigen Fällen kann es Ausnahmen geben, etwa wenn ein öffentliches Interesse an den Informationen angenommen wird, wie dies bei Prominenten der Fall sein könnte. Auch dazugehörige Links müssen auf Verlangen übrigens gelöscht werden. Das ist eine wichtige Errungenschaft: Nur wenn auch die oft zahlreichen Querverweise verschwinden, wird man im Netz tatsächlich „vergessen“.Verbraucherfreundlich ist die Neuerung, dass Dienste von vornherein so konzipiert sein müssen, dass möglichst wenige Daten anfallen. Damit folgt die neue Verordnung dem Grundsatz der Datensparsamkeit. Während man auf Facebook und Whatsapp auch verzichten kann, kommt man ohne Browser nicht mehr aus, wenn man sich im Internet informieren will. Diese müssen nach der Datenschutz-Grundverordnung nun von vornherein so eingestellt sein, dass die Nutzer möglichst gut geschützt sind – zum Beispiel vor Google Analytics und anderen Firmen, die mit Tracking Cookies Milliarden Menschen im Internet flächendeckend überwachen. Das Schutzgebot gilt auch dann, wenn man als Nutzer nichts an den Einstellungen des Browsers ändert, die Anpassung der Dateneinstellungen also versäumt.Dass in Deutschland und den anderen europäischen Ländern nun Datensparsamkeit zu gelten hat, ist nicht selbstverständlich. Im Gegenteil: Bei den jahrelangen Verhandlungen favorisierte die deutsche Regierung Konzepte von Big Data, allen voran der damalige Innenminister Thomas de Maizière (CDU) in seinen Stellungnahmen an Brüssel und Straßburg. „Deutschland war ein Bremser“, man sei „der Philosophie des Silicon Valley gefolgt“, analysiert Weichert, der als Datenschutzbeauftragter von Schleswig-Holstein die politischen Auseinandersetzungen damals verfolgte.Aber schließlich gelang es doch, mehr Schutz für die Privatsphäre und die persönlichen Daten durchzusetzen. Mit besonderer Expertise und viel Geschick engagierten sich dabei der grüne Noch-Europaabgeordnete und baldige Nachfolger Robert Habecks als Minister in Schlewsig-Holstein, Jan Philipp Albrecht, und die einstige EU-Kommissarin für Justiz und Grundrechte, Viviane Reding (EVP). „Sie haben sehr viel durchgesetzt“, so Weichert. In der Praxis müssen die bürgerlichen Rechte, die die Europäische Datenschutz-Grundverordnung bringt, nun genutzt und angewendet werden. Bevorzugt von denen, die darauf bestehen, dass ihre personenbezogenen Daten zu ihrer Person und nicht einem Internetkonzern gehören.Placeholder authorbio-1
×
Artikel verschenken
Mit einem Digital-Abo des Freitag können Sie pro Monat fünf Artikel verschenken.
Die Texte sind für die Beschenkten kostenlos.
Mehr Infos erhalten Sie
hier.
Aktuell sind Sie nicht eingeloggt.
Wenn Sie diesen Artikel verschenken wollen, müssen Sie sich entweder einloggen oder ein Digital-Abo abschließen.