Nach den neuen Vorgaben aus Brüssel kann der Nutzer seine Daten leichter löschen lassen und von einem Anbieter zu einem anderen übertragen. Ist der Nutzer nach den neuen Regeln Herr über seine Daten?
In der Theorie stärken Positionen wie etwa das Recht auf Datenportabilität natürlich die Souveränität der Nutzerinnen und Nutzer über ihre eigenen Daten. Allerdings ist unklar, wie dieses Recht tatsächlich umgesetzt werden wird. Bislang fehlt es nämlich an einheitlichen Datenformaten und technischen Standards für einen solchen Umzug der Daten von einer Online-Plattform auf eine andere.
Immerhin wurde das Marktortprinzip in der Verordnung verankert, so dass sich alle datenverarbeitenden Unternehmen, die in der EU Geschäfte machen, an die Regeln der Datenschutzgrundverordnung und damit auch an das Recht auf Datenportabilität halten müssen. Regelverstöße können nach der Verordnung außerdem mit Bußgeldern von bis zu 4 % des weltweiten Jahresumsatzes geahndet werden. Auf diese Weise entsteht der nötige Druck auf die Unternehmen, eine Lösung für den Transfer der Daten von einem Anbieter auf einen anderen zu finden.
Bei der Einwilligung der Nutzerinnen und Nutzer in die Verarbeitung ihrer Daten hätte hingegen mehr erreicht werden können. Nur bei besonders sensiblen Daten verlangt die Verordnung eine ausdrückliche Einwilligung. In allen anderen Fällen lässt sie eine zweifelsfreie Einwilligung, etwa durch konkludentes Handeln, ausreichen. Dadurch entstehen neue Grauzonen, welche die Datensouveränität der Nutzerinnen und Nutzer eher schwächen. Schließlich ist die Einwilligung die wichtigste Voraussetzung für die Zulässigkeit der Verarbeitung personenbezogener Daten.
Die neuen Regeln setzen auch auf Daten-Sparsamkeit. Wie ist der Ausgleich zwischen den Rechten der Nutzer und den wirtschaftlichen Interessen der Anbieter aus Ihrer Sicht gelungen?
Im Großen und Ganzen halte ich den Ausgleich schon für gelungen. Dass Datensparsamkeit nach der Verordnung schon in der Gestaltungsphase neuer Systeme und Algorithmen zu berücksichtigen ist, mag von manchen Anbietern als Belastung empfunden werden. Andererseits könnte dadurch aber auch ein Innovationsschub bei den Geschäftsmodellen datenverarbeitender Unternehmen ausgelöst werden. Langfristig könnte dies für die Unternehmen sogar von Nutzen sein.
An vielen Stellen der Verordnung hat sich der Gesetzgeber jedoch auch vor einem echten Interessenausgleich gedrückt. Häufig werden schwammige und auslegungsbedürftige Begriffe verwendet, so dass unklar bleibt, wie der Ausgleich in der Praxis genau ausfallen wird. Unternehmen haben beispielsweise das Recht, personenbezogene Daten auch ohne Einwilligung der Betroffenen zu verarbeiten, wenn sie ein „berechtigtes Interesse“ an der Verarbeitung haben. Da die Verordnung diesen Begriff selbst nicht näher definiert, werden letztlich Datenschutzbehörden und Gerichte entscheiden müssen, wann ein solches Interesse vorliegt.
Großbritannien und Dänemark haben Ausnahmen ausgehandelt. Inwieweit lässt sich von einer Datenunion sprechen?
Der Begriff der Datenunion ist auch, aber nicht nur im Hinblick auf diese Ausnahmen äußerst fragwürdig. An mehr als 60 Stellen der Verordnung finden sich nationale Öffnungsklauseln, die teils elementare Regelungen betreffen. Dies schwächt die Harmonisierungswirkung der Verordnung ganz erheblich.
Die von Großbritannien und Dänemark ausgehandelten Ausnahmen wiederum beziehen sich auf die parallel zu der Verordnung verabschiedete Datenschutzrichtlinie für den Bereich von Polizei und Justiz. Anders als eine EU-Verordnung gilt eine Richtlinie nicht unmittelbar, sondern muss zunächst in nationales Recht umgesetzt werden. Dabei steht den Mitgliedstaaten in der Regel ein Ermessenspielraum zu, so dass die Harmonisierungswirkung einer Richtlinie a priori geringer ist als die einer Verordnung. In Anbetracht des Ziels, eine europäische Datenunion herzustellen, ist das Ausscheren einzelner Staaten aber auch hier nicht zu begrüßen.
Im Zuge der neuen Regelung wurde auch die Richtlinie zu den Fluggast-Daten verschärft. Was erhoffen Sie sich von dem neuen Rechtsrahmen?
Die Richtlinie zur Fluggastdatenspeicherung ist ein grundrechtliches Desaster. Bei allen Flügen in die EU und aus der EU sollen danach bis zu 60 Einzeldaten pro Passagier und Buchung anlasslos für fünf Jahre gespeichert werden. Für innereuropäische Flüge ist die Speicherung zwar optional, die EU-Innenminister haben diese aber bereits im Dezember 2015 verbindlich vereinbart. Die gespeicherten Daten sollen permanent gerastert und mit anderen Datenbanken abgeglichen werden, um auffällige Verhaltensmuster zu identifizieren und aktiv neue Verdächtige zu generieren.
Diese verdachtsunabhängige Massenüberwachung des Reiseverkehrs in Europa widerspricht klar dem Urteil des Europäischen Gerichtshofs über die Vorratsdatenspeicherung von Telekommunikationsdaten. Obendrein sind die Befürworter der Fluggastdatenspeicherung bis heute jeglichen Beleg für ihren Nutzen bei der Bekämpfung von Terrorismus und schwerer Kriminalität schuldig geblieben.
Schon bald wird der EuGH ein Gutachten zu einem geplanten Fluggastdatenabkommen mit Kanada vorlegen. Bei der mündlichen Verhandlung in diesem Fall zeichnete sich die äußerst kritische Haltung des Gerichts zur anlasslosen Speicherung von Fluggastdaten bereits deutlich ab. Verwirft der EuGH das geplante Abkommen, wird hoffentlich auch im Hinblick auf die Richtlinie ein Umdenken einsetzen und ihre Umsetzung gestoppt werden. Ansonsten wird sich der EuGH auch damit zu befassen haben und die Richtlinie schließlich für ungültig erklären.