Einigung auf EU-Datenschutzreform: Konzernen drohen Milliardenstrafen bei Verstößen

Die Europäische Union erhält erstmals einheitliche Regeln für den Datenschutz in allen 28 Mitgliedsländern. Die Verhandlungsführer von Kommission, Parlament und Ministerrat einigten sich am späten Dienstagabend in Straßburg auf die jahrelang heftig diskutierte Datenschutzgrundverordnung. "Geschafft", twitterte der Verhandlungsführer des EU-Parlaments, der Grünen-Politiker Jan Philipp Albrecht, am Dienstag kurz nach 21.00 Uhr. Die Zustimmung von Parlament und Ministerrat Anfang des kommenden Jahres gilt als Formsache. Die Verhandlungen dauerten vier Jahre. Vor allem Mitgliedsstaaten wie Deutschland erwiesen sich als Bremser der Reform.

Die vollständigen Details des ausgehandelten Kompromisses waren am Dienstagabend zunächst nicht bekannt. Nach Angaben des Parlaments einigte sich die EU unter anderem auf eine Maximalstrafe für Verstöße gegen den Datenschutz in Höhe von vier Prozent des Jahresumsatzes von Unternehmen. Im Falle von Google würde das bei einem Jahresumsatz von 66 Milliarden US-Dollar (2014) eine maximale Strafhöhe von 2,64 Milliarden US-Dollar bedeuten. Während das Parlament bis zu 100 Millionen Euro oder bis zu fünf Prozent des weltweiten Jahresumsatzes gefordert hatte, wollte der Ministerrat dies auf eine Million Euro oder bis zu zwei Prozent des Umsatzes beschränken (Artikel 79).

Betriebliche Datenschutzbeauftragte werden Pflicht

"Zudem müssen Unternehmen einen Datenschutzbeauftragten ernennen, wenn sie personenbezogene Daten in großem Umfang verarbeiten oder Daten zahlreicher Nutzer sammeln", sagte Albrecht. Der Ministerrat wollte dazu keine Vorschriften erlassen. Durchsetzen konnte sich das Parlament im umstrittenen Punkt der Zweckbindung. Demnach müssen Nutzer ihre Zustimmung geben, wenn ihre Daten weitergegeben werden sollen, nachdem sie für einen anderen Zweck erhoben worden waren. "Nutzer müssen die ausdrückliche Zustimmung zur Verwendung ihrer Daten geben", sagte Albrecht.

Die neue Verordnung tritt voraussichtlich im Jahr 2018 in Kraft und ersetzt die bestehende Richtlinie aus dem Jahr 1995. Künftig gilt der EU-Datenschutz gleichermaßen in allen Mitgliedsländern und für alle Firmen, die ihre Dienste innerhalb der EU anbieten. US-Firmen wie Facebook oder Google können sich daher nicht mehr in der EU das Land herauspicken, das besonders niedrige Standards ansetzt, um damit solche Firmen anzulocken. Zudem wird es dadurch leichter, gegen einzelne Firmen zu klagen. Betroffene wiederum sollen künftig nur einen Ansprechpartner benötigen (One-Stop-Shop), um sich über Probleme mit dem Datenschutz zu beschweren.

Recht auf Vergessenwerden und Datenportabilität

Die Verordnung enthält zudem ein Recht auf Löschung von Nutzerdaten (Artikel 17) sowie das Recht auf Datenportabilität (Artikel 18). Letzteres soll es den Verbrauchern ermöglichen, ihre Daten beispielsweise von einem sozialen Netzwerk in ein anderes mitzunehmen. Dazu müssen die Firmen die gespeicherten Daten "in einem interoperablen gängigen elektronischen Format" zur Verfügung stellen.

Albrecht bedauerte, dass sich die EU nicht in allen Punkten auf einheitliche Regelungen einigen konnte. So lehnten die Mitgliedsstaaten eine einheitliche Altersgrenze von 13 Jahren ab, bis zu der Eltern der Nutzung von sozialen Medien durch ihre Kinder zustimmen müssen. Nun können die Mitgliedstaaten eine eigene Grenze zwischen 13 und 16 Jahren setzen.

Neben der Verordnung einigte sich die EU auch auf eine Richtlinie für den Datenschutz der Polizei- und Justizbehörden. In diesem Fall gelten die Regelungen nicht europaweit, sondern müssen von den 28 EU-Ländern national umgesetzt werden.

Für den kommenden Donnerstag ist zunächst eine Abstimmung im Innenausschuss des Europaparlaments über den Kompromiss vorgesehen. Dessen Zustimmung gilt als Formalie, was auch auf die anstehenden Voten im Parlamentsplenum und im Ministerrat zutrifft. Die vierjährigen Verhandlungen waren zu langwierig, um am Ende mit leeren Händen dastehen zu wollen.