Anfang Dezember tauchte im Internet überraschend ein Entwurf der erst für Januar dieses Jahres erwarteten neuen EU-Datenschutzverordnung auf. Er stellt die Geltung des Datenschutzrechts für Internetsachverhalte klar, erklärt nur noch eine nationale Behörde für europaweit zuständig und auch erhöhte Bußgelder dürften Unternehmen weiter sensibilisieren, erklärt Stefan Alich.
Der unter Federführung der Luxemburger Kommissarin für Justiz, Grundrechte und Bürgerschaft Viviane Reding entwickelte Entwurf einer Allgemeinen Datenschutzverordnung (ADSVO) soll das europäische Datenschutzrecht fit für das Online-Zeitalter machen – und die immer noch großen Unterschiede zwischen den europäischen Mitgliedsstaaten einebnen.
Die Kommission reagiert damit vor allem auf die wachsende Unsicherheit der Nutzer im Online-Bereich. Zudem übt sie harsche Kritik am nationalen Wirrwarr bei der Umsetzung und Anwendung der gegenwärtigen Datenschutzrichtlinie (95/46/EG). Diese gibt zwar einen gemeinsamen Mindeststandard vor, lässt den Mitgliedsstaaten jedoch noch einen großen Ausgestaltungsspielraum, den sie in unterschiedlicher Weise nutzen.
Anders als die Datenschutzrichtlinie soll die ADSVO unmittelbar gelten und nationalen Verschärfungen einen Riegel vorschieben. Davon betroffen wären vor allem Staaten wie Deutschland, die traditionell eher strenge gesetzliche Maßstäbe anlegen.
Anwendungsbereich klargestellt
Der Entwurf sieht im Vergleich zur heutigen Rechtslage weitgehende Änderungen vor und greift einige heftig umstrittene Fragen betreffend den Anwendungsbereich des Datenschutzrechts auf. So soll die ADSVO klarstellen, dass eine IP-Adresse immer personenbezogen ist – entgegen der mittlerweile in Deutschland auch von Gerichten stark vertretenen Ansicht. Dies soll ebenso für Cookie-IDs gelten. Der EuGH hat diese Fragen bisher nicht geklärt.
Neu wäre auch eine auf die US-amerikanischen Internetgiganten abzielende Regelung: Die ADSVO soll bei außereuropäischen Unternehmen schon dann angewendet werden, wenn sich deren Datenverarbeitungsaktivitäten an europäische Nutzer richten oder dazu dienen, deren Verhalten zu verfolgen.
Die gegenwärtig geltende Richtlinie stellte hingegen noch darauf ab, ob automatisierte oder nicht automatisierte Mittel in der EU eingesetzt werden. Da jedoch viele außereuropäische Unternehmen ihre Server, die automatisierte Mittel sein könnten, außerhalb der EU betreiben, führt dies zu einer für Nichtjuristen weitgehend unverständlichen Diskussion: nämlich ob und unter welchen Umständen auch der Computer eines Nutzers als Mittel eines Unternehmens angesehen werden kann. Unter der ADSVO käme es dagegen maßgeblich darauf an, das Angebot anhand von Indizien zu analysieren, wie etwa Sprachen, verwendete Domains oder Währungen.
Nur noch eine zuständige Behörde
Auch aus Sicht von Unternehmen mit Niederlassungen in verschiedenen EU-Ländern ist die bisherige Vielfalt der verschiedenen Datenschutzstandards ein großes Handicap. Im Extremfall müssen sie mit Datenschutzbehörden aus jedem einzelnen Mitgliedsstaat zusammenarbeiten, wobei die datenschutzrechtlichen Anforderungen und erzielten Ergebnisse nicht selten deutlich voneinander abweichen.
Diesem Binnenmarkthemmnis begegnet der Entwurf mit der versteckten, in ihrer Sprengkraft aber nicht zu unterschätzenden Regelung, eine einzige zuständige Aufsichtsbehörde festzulegen. Maßgeblich soll insoweit sein, wo das betreffende Unternehmen seine Hauptniederlassung in Europa unterhält.
Der offensichtlichen Gefahr, dass sich Unternehmen an dem Standort mit der wirtschaftsfreundlichsten Aufsicht ansiedeln, will die Kommission durch ein enges Unterstützungs- und Abstimmungsverfahren zwischen den nationalen Behörden begegnen. Die bisher als Artikel-29-Datenschutzgruppe bekannte Vereinigung der europäischen Datenschutzbehörden soll zu diesem Zweck zu einem Europäischen Datenschutzgremium aufgewertet werden.
Unternehmen drohen umsatzabhängige Bußgelder
Besonders für Deutschland relevant ist der Plan der Kommission, die Pflicht von Privatunternehmen, einen Datenschutzbeauftragten zu bestellen, maßgeblich an die Zahl von 250 ständig Beschäftigten zu knüpfen. Bisher gilt hierzulande eine Schwelle von mindestens zehn Mitarbeitern, die ständig mit der automatisierten Datenverarbeitung beschäftigt sind.
Weiter sieht der Entwurf vor, Bußgelder drastisch zu verschärfen. Wie aus dem Kartellrecht bekannt, soll die Höhe von Strafen für Unternehmen anhand ihres Umsatzes festgelegt werden. Geplant sind dabei Stufen von bis zu einem, drei oder fünf Prozent des weltweiten Jahresumsatzes. Dies dürfte den Stellenwert des Datenschutzes noch einmal deutlich erhöhen.
Die Kommission hat mit ihrem Entwurf einer ADSVO ein umfangreiches Gesetzgebungsprojekt angestoßen. Dass der Entwurf in seiner jetzigen Form Wirklichkeit wird, ist allerdings unwahrscheinlich. Vermutlich wird bereits die in Kürze zu erwartende offizielle Version zahlreiche Änderungen enthalten.
Es ist damit zu rechnen, dass sich der Gesetzgebungsprozess mehrere Jahre hinziehen und Gegenstand harter Verhandlungen sein wird. Dennoch weist der Entwurf in die richtige Richtung: Hin zu einem stärker zentralisierten Datenschutzrecht in Europa.
Dr. Stefan Alich ist Rechtsanwalt bei TaylorWessing in Hamburg und berät im Bereich des IT- und Datenschutzrechts.
Mehr auf LTO.de:
EU-Datenschutz: Digitaler Radiergummi für soziale Netzwerke
Datenschutz in sozialen Netzwerken: Wenn das Leben der Anderen tabu ist
EuGH zu IP-Adressen: Harte Zeiten für Datensammler
Stefan Alich, Entwurf einer EU-Datenschutzverordnung: . In: Legal Tribune Online, 05.01.2012 , https://www.lto.de/persistent/a_id/5238 (abgerufen am: 20.11.2024 )
Infos zum Zitiervorschlag