Soziale Netzwerke wie MySpace, Facebook, Twitter, Google+ oder SchuelerVZ haben die Art und Weise verändert, wie wir miteinander kommunizieren. Sie haben aber auch die Art und Weise verändert, wie wir mit Daten umgehen, mit eigenen, persönlichen Daten oder mit den Daten von anderen.

Vor allem aber stellt sich die Frage, die wie die Firmen mit unseren Daten umgehen, und da scheint es nicht immer zum besten bestellt, um es mal vorsichtig auszudrücken. In jedem Land gibt es andere Datenschutzbestimmungen. Das soll sich nun ändern, es sollen europaweit dieselben Spielregeln, dieselben Datenschutzbestimmungen gelten.

EU arbeitet an Neuordnung des Datenschutzes

Bereits seit 2009 arbeitet die EU an einer Neuordnung des Datenschutzes, der die Rechte und Möglichkeiten der Verbraucher stärken soll. Die aktuellen Richtlinien sind von 1995 und deshalb hoffnungslos überholt, die technische Realität ist heute halt eine ganz andere als damals. Damals gab es noch keine Suchmaschinen, sozialen Netzwerke oder ausgefeilten Onlineshops.

Im Vordergrund steht, die Regeln in Europa zu vereinheitlichen, denn bislang leistet sich jedes EU-Land eigene Regeln und Vorschriften. Das soll sich ändern. Brüssel braucht dafür eine gewisse Zeit, die Bürokratie ist langsam. Aber es kommt allmählich Bewegung in das Verfahren. Ende Januar will die luxemburgische Justizkommissarin Viviane Reding einen Entwurf vorstellen, der bereits seit einiger Zeit im Internet kursiert.

Verordnung gilt verbindlich für alle Mitgliedsländer der EU

Der Entwurf sieht aus Verbrauchersicht durchaus vielversprechend aus. Offensichtlich ist keine Richtlinie, sondern eine Verordnung geplant. Ein wichtiger Unterschied, denn eine Verordnung gilt – einmal verabschiedet – unmittelbar und verbindlich für alle Mitgliedsländer, eine Richtlinie müsste in jedem Land einzeln umgesetzt werden, das könnte dauern. Eine Verordnung wird von der Kommission eingebracht und vom EU-Parlament und vom Rat der EU beschlossen. Die Kommission will deutlich machen: Datenschutz wird ab sofort ernst genommen. Die großen Onlinedienste müssen sich darauf einstellen, dass sie lockeren Zeiten, in denen sie mehr oder weniger machen konnten was sie wollten, vorbei sind. Die Spielregeln werden auf jeden Fall strenger.

Die Verordnung soll Ende Januar offiziell vorgestellt werden. Schon jetzt lässt sich aber sagen, welche Veränderungen die Verordnung konkret mit sich bringt. Es gibt diverse deutliche und wichtige Verbesserungen. Viele, vor allem amerikanische Onlinedienste wie Google, Facebook oder Microsoft berufen sich immer wieder darauf, dass für sie das amerikanische Datenschutzgesetz gelte – weil ihre Server in den USA stehen. Ein Graubereich. Mit dieser Ausrede macht die Verordnung Schluss, denn der europäische Datenschutz soll künftig auf jeden Fall gelten, unabhängig davon, wo ein Unternehmen seinen Firmensitz hat und wie die Server stehen. Das ist künftig egal.

Keine Schlupflöcher mehr: Auch US-Unternehmen müssen sich an Datenschutz halten

Wenn also ein Onlinedienst seine Dienste erkennbar an europäische Verbraucher ausrichtet, etwa indem Zahlung in Euro angeboten wird oder die Inhalte in EU-Sprachen angeboten werden, gilt die neue Richtlinie. Das ist sehr sinnvoll, so werden lästige Schlupflöcher gestopft. Da werden einige Anbieter, vor allem aber Facebook umdenken müssen.

Die EU will auch das “Profiling” erschweren, also die Möglichkeit für Onlinedienste und Onlineshops, mit Hilfe der gespeicherten und erhobenen Daten ein Profil des Benutzers anzufertigen. Hier sollen klare Grenzen gezogen werden, was möglich sein soll und was nicht. Die Daten von Minderjährigen unter 18 Jahren sollen sogar gar nicht mehr herangezogen werden dürfen.

Bei Verstoß drohen drakonische Strafen

Wichtig ist natürlich auch, welche Strafen und Sanktionen drohen, wenn gegen den Datenschutz verstoßen wird. Und da sieht der Entwurf teilweise drakonische Strafen vor. Bei schweren Verstößen gegen das neue Datenschutzrecht sollen Unternehmen bis zu fünf Prozent ihrer jährlichen Umsätze bezahlen – eine empfindliche Strafe, und damit ein klares Zeichen, wie ernst es der EU in diesem Punkt ist. Die EU hat schon Milliardenstrafen durchgesetzt, wo es um Verstöße gegen das Wettbewerbsrecht ging. Es ist also durchaus denkbar, dass solche Strafen auch wirklich vollzogen werden.

Wichtig finde ich außerdem, dass die Verbraucher selbst auch mehr Rechte bekommen sollen. So sollen sie beispielsweise jederzeit eine Kopie sämtlicher gespeicherten Daten in elektronischer Form erhalten können. Das erlaubt nicht nur zu sehen, welche Daten ein Anbieter über einen gespeichert hat, es erlaubt auch, den Anbieter leichter zu wechseln, weil man seine Daten mitnehmen kann. Eine gute Idee.

Mehr Privatsphäre garantiert – durch Datensparsamkeit

Viele haben ja vor allem mit den Einstellungsmöglichkeiten Schwierigkeiten, klicken die falschen Optionen an, schon sind eigentlich privat gedachte Informationen öffentlich und jeder kann sie sehen. Der Gesetzgeber kann keine einfache Bedienbarkeit vorschreiben, aber er kann vorschreiben, welche Daten gespeichert und öffentlich gemacht werden dürfen. Da liegt es dann im Interesse der Anbieter, alles so einfach wie möglich zu gestalten, damit nichts schief läuft. Die Anbieter werden dazu verpflichtet, generell datensparsam vorzugehen und diese Einstellung jeweils zur Voreinstellung zu machen (privacy by default). Bei der Entwicklung und Bereitstellung neuer Technologien sollen mögliche Gefahren für den Datenschutz bereits in der Entwicklungsphase berücksichtigt werden, das nennt sich “Privacy by design”.

Generell dürfen Onlinedienst Daten künftig nicht länger speichern als unbedingt nötig. Die Verbraucher sollen auch einen Rechtsanspruch darauf erhalten, Daten wieder zu entfernen, eine Art Vergessensfunktion, digitaler Radiergummi sagen manche auch dazu. Die Daten von Benutzern sollen gelöscht werden, wenn der eigentliche Grund oder Anlass für die Speicherung erlischt. Dieser Punkt ist allerdings heikel, denn zum einen muss klar sein, in welchen Fällen dieses Recht konkret gilt – und es ist auch nicht immer einfach umzusetzen.

Das Recht auf Vergessen wird eingeführt

Man denke nur an Twitter. Wenn da jemand auf die Idee kommt, seinen Twitter-Account löschen zu wollen, soll das auch bedeuten, dass alle seine Tweets wieder entfernt werden? Die Tweets selbst wären sogar nicht mal das Problem, aber Retweets schon, denn um diese zu löschen müsste man in die Inhalte Dritter eingreifen. Das sind Dinge, über die man noch wird diskutieren müssen. Auf der anderen Seite gibt es aber auch reichlich Fälle, in denen es einfacher und eindeutiger ist, und warum darauf verzichten? Das Machbare sollte gemacht werden.