
Quelle: Sikov - Adobe Stock
- Das Europäische Parlament hat die EU-Datenschutzverordnung verabschiedet.
- Die Rechte von Verbrauchern werden darin größtenteils gestärkt.
- Der vzbv fordert die Bundesregierung auf, für Verbraucher nachteilige Regelungen nachzubessern.
Der Verbraucherzentrale Bundesverband (vzbv) begrüßt, dass das Europäische Parlament am heutigen Donnerstag die EU-Datenschutzgrundverordnung verabschiedet hat. Damit gilt für alle Mitgliedsstaaten ein modernisiertes Datenschutzgesetz, über das mehr als vier Jahre lang verhandelt wurde. Die Rechte der Verbraucherinnen und Verbraucher werden gestärkt, so der vzbv, der eine Bewertung zentraler Regelungen vorgelegt hat.
„Das Ja zur EU-Datenschutzverordnung ist eine gute Nachricht für Verbraucher und Unternehmen. Endlich gelten europaweit einheitliche und zeitgemäße Spielregeln beim Datenschutz“, sagt Klaus Müller, Vorstand des vzbv. Die EU-Datenschutzverordnung ist unmittelbar anwendbares Recht. Sie löst ab ihrem Inkrafttreten die Datenschutzrichtlinie von 1995 und darauf basierende nationale Regelungen ab.
Positiv: Marktortprinzip kommt
Der vzbv bewertet viele der neuen Regelungen als sehr gut. Dazu zählt etwa das Marktortprinzip, wonach das Datenschutzrecht für alle Unternehmen gilt, die auf dem europäischen Markt tätig sind, egal, ob sie ihren Sitz in Europa haben oder nicht. Positiv sei auch die Stärkung der Grundprinzipien des Datenschutzes: Verbraucher müssen künftig eindeutig und aktiv in die Nutzung der Daten einwilligen. Außerdem dürfen Unternehmen die Daten, die sie von den Verbrauchern für einen bestimmten Zweck erhalten haben, nicht ungefragt anderweitig verwenden. Unternehmen, die sich nicht an die neuen Regeln halten, müssen mit höheren Strafen rechnen.
Negativ: Profilbildung kaum Grenzen gesetzt
Der vzbv verweist auch auf Schwachpunkte der Verordnung wie die Regelungen zur Profilbildung. Hier könne eine Absenkung des bisherigen Datenschutzniveaus drohen. So sei es künftig möglich, dass allein Adressdaten beim Kreditscoring herangezogen werden können und damit über die Kreditvergabe entscheiden. Der vzbv fordert die Bundesregierung auf, alle Möglichkeiten auszuschöpfen, damit das bisherige deutsche Datenschutzniveau nicht unterschritten wird. Möglich ist das etwa über Öffnungsklauseln, die die Mitgliedsstaaten für eigene Regelungen nutzen können. Klaus Müller: „Die Bundesregierung muss die Öffnungsklauseln sowie alle weiteren rechtlichen Spielräume nutzen, um beim Thema Profilbildung nachzubessern und ein Weniger an Datenschutz zu verhindern.“
So geht es weiter
Die Verordnung wird 20 Tage nach der Veröffentlichung im Amtsblatt der Europäischen Union in Kraft treten. Die Mitgliedsstaaten müssen sie zwei Jahre später, ab Frühsommer 2018, unmittelbar anwenden. Bis dahin werden die nationalen Rechtsvorschriften an die Regelungen der Datenschutzverordnung angepasst.
Kurzbewertung der EU-Datenschutzverordnung
Der vzbv hat die wichtigsten Regelungen aus Verbrauchersicht zusammengefasst:
Von der Verordnung erfasst ist jede Datenverarbeitung durch ein in der EU ansässiges Unternehmen – unabhängig davon, ob sie tatsächlich in der EU stattfindet. Auch wenn ein Unternehmen nicht in der EU niedergelassen ist, fällt jede Verarbeitung von personenbezogenen Daten von betroffen Personen aus der EU in den Anwendungsbereich der Verordnung, wenn diesen Verbraucherinnen und Verbrauchern Waren oder Dienstleistungen angeboten werden oder ihr Verhalten beobachtet wird. Auch kostenlose Angebote sind von dieser Regelung erfasst.
Dieser Punkt entspricht langjährigen Forderungen des vzbv.
Hinsichtlich der Einwilligung konnten sich die EU-Kommission und das Europäische Parlament nicht mit ihren Vorschlägen durchsetzen, nach denen eine Einwilligung künftig „ausdrücklich“ hätte eingeholt werden müssen.
Dennoch wurden die Rahmenbedingungen für die Einwilligungshandlung gestärkt: Es muss sich um eine klare bestätigende Handlung handeln, die unmissverständlich und ohne Zwang für den konkreten Fall und in Kenntnis der Sachlage erteilt wird. Ein schriftliches Statement, ein Klicken eines Feldes aber auch eine technische Einstellung (wie etwa die „Do Not Track“-Einstellung im Internetbrowser) können als eine solche Einwilligung gelten. Stillschweigen oder Einwilligungen über vorangeklickte Felder sind nicht ausreichend. Auch muss eine Einwilligung genauso einfach zurückgezogen werden können, wie sie erteilt wurde. Positiv ist zu bewerten, dass die Beweispflicht einer gültigen Einwilligungserteilung beim Unternehmen liegt.
Lediglich bei der Verarbeitung von sensiblen Daten oder automatisierten Einzelfallentscheidungen ist zukünftig eine ausdrückliche Einwilligung vorgeschrieben. Außerdem darf ein Vertrag oder Dienstangebot zukünftig nicht mehr an die Einwilligung in Verarbeitungen gekoppelt werden, die für die Erfüllung des Vertrags nicht notwendig sind. Dieses uneingeschränkte Koppelungsverbot könnte sich künftig als wichtiges Instrument erweisen, um die Freiwilligkeit von Einwilligungen zu stärken.
Nicht auszuschließen ist, dass Unternehmen auf Grund dieser strengen Regelung vermehrt auf andere Rechtsgrundlagen zurückgreifen werden.
Eine Datenverarbeitung darf nur in dem Umfang erfolgen, der notwendig ist, um den angestrebten Zweck zu erfüllen. Insbesondere soll der Zeitraum der Datenspeicherung strikt minimiert werden, beispielsweise durch Lösch- und Anonymisierungsfristen oder regelmäßige Überprüfungen, ob die Daten noch notwendig sind.
Hier konnte sich der Rat der Europäischen Union nicht mit seiner Forderung durchsetzen, nach der eine Datenverarbeitung lediglich „nicht exzessiv“ erfolgen sollte, was zu einer deutlichen Absenkung des Datenschutzes geführt hätte.
Die Änderung des Verarbeitungszwecks ist nur erlaubt, wenn der ursprüngliche Zweck mit dem neuen / veränderten Zweck vereinbar ist. Die Kriterien, die für diese Prüfung herangezogen werden müssen, sind die Verbindung zwischen den Verarbeitungszwecken, der Zusammenhang der Datenerhebung (insbesondere das Verhältnis zwischen dem Unternehmen und dem Verbraucher), die Art der Daten (sind es sensible Daten?), die Folgen für den Verbraucher sowie Sicherheitsmaßnahmen (werden die Daten pseudonymisiert oder verschlüsselt?).
Eine Zweckänderung soll aber auch zu unvereinbaren Zwecken möglich sein, wenn der Verbraucher einwilligt. Eine Weiterverarbeitung soll ferner „für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke“ erlaubt sein.
Problematisch aus Sicht des vzbv ist, dass die Kriterien für die Zweckänderung recht unbestimmt sind und erst noch in der Praxis ihre Wirksamkeit beweisen müssen. Außerdem könnte sich insbesondere der letzte Punkt zu einem Einfallstor für unlautere Praktiken entwickeln: Unter dem Deckmantel der Forschung könnten möglicherweise auch Facebook-Experimente, statistische Analyse zu Werbezwecken oder ähnliches durchgeführt werden.
Insgesamt muss man jedoch sagen, dass der Abschnitt zur Zweckänderung weitaus besser ausgefallen ist, als die Position der Mitgliedstaaten hatte erwarten lassen, weil der Grundsatz erhalten bleibt, dass eine Zweckänderung nur bei einer Vereinbarkeit der Zwecke möglich ist.
Das berechtigte Interesse eines Unternehmens oder eines Dritten kann Rechtsgrundlage für eine Verarbeitung von personenbezogenen Daten sein, sofern Inte-ressen des Verbrauchers nicht überwiegen und seine vernünftigen Erwartungen, die auf seinem Verhältnis zum Unternehmen beruhen, erfüllt werden. Dies kann zum Beispiel der Fall sein, wenn die betroffene Person ein Kunde des Unternehmens ist.
Als besonders kritisch wertet der vzbv hier, dass „Direktmarketing“ ein berechtigtes Interesse sein kann, für das somit keine Einwilligung notwendig ist. Stammen Daten (auch sensible persönliche Daten) aus öffentlich zugänglichen Quellen, so dürfen diese auch auf Grundlage des berechtigten Interesses verarbeitet werden.
Insgesamt ist diese Vorschrift also noch auslegungsbedürftig, besonders hinsichtlich des neuen Konstrukts der „vernünftigen Erwartungen des Verbrauchers“ – was zu Missbrauch führen könnte.
Positiv hervorzuheben ist an dieser Stelle, dass der Verbraucher bei der Verarbeitung seiner Daten auf Grundlage eines berechtigten Interesses ein Widerspruchs-recht hat – das gilt auch, falls auf Grundlage eines berechtigten Interesses eine Profilbildung erfolgt. Im Falle des Widerspruchs muss dann das Unternehmen darlegen, warum sein Interesse gegenüber dem des Verbrauchers überwiegt.
Unternehmen sind verpflichtet, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache und grundsätzlich kostenlos zu erklären, welche Daten aus welchen Quellen zu welchen Zwecken sie verarbeiten und an wen diese weitergegeben werden. Erfolgt die Verarbeitung auf Basis eines berechtigten Interesses, muss dieses Interesse benannt werden.
Außerdem muss der Verbraucher Informationen darüber erhalten, ob automatisierte Einzelfallentscheidungen (Profilbildung) auf ihn Anwendung finden, welcher Logik sie folgen und welche Folgen sie haben können. Ebenso müssen die Unternehmen Löschfristen und Kriterien benennen und auch über Berichtigungs-, Lösch- und Widerspruchsrechte informieren. Außerdem müssen sie darüber aufklären, ob die Angabe der Daten erforderlich oder freiwillig ist. Wie bisher hat der Verbraucher außerdem das Recht auf Zugang zu seinen Daten und auf eine Kopie dieser.Die Verordnung eröffnet außerdem die Möglichkeit, dass Unternehmen mit standardisierten und maschinenlesbaren Symbolen Datenschutzerklärungen vermitteln.
Der vzbv bedauert, dass der Einsatz der Datenschutz-Symbole lediglich auf freiwilliger Basis erfolgen soll. Sollten sie sich aber dennoch in der Praxis durchsetzen, könnten sie zu einer deutlichen Verbesserung der Transparenz von Datenschutzerklärungen führen.
Fraglich ist, ob die anderen Vorschriften zu einer substantiellen Verbesserung zum Status Quo führen werden. Viele der Vorgaben entsprechen den bestehenden Regelungen, nur an wenigen Stellen wurden diese konkreter gefasst. Insbesondere die Informationspflichten zu automatisierten Einzelfallentscheidungen sind schwach ausgefallen.
Im Fall der Datenverarbeitung auf Basis einer Einwilligung oder zur Erfüllung eines Vertrags haben Verbraucher in Zukunft das Recht, die Daten, die sie zur Verfügung gestellt haben, in einem üblichen Format zu erhalten, um sie an andere Unternehmen zu übertragen. Wo möglich, soll die Übertragung direkt an ein anderes Unternehmen ermöglicht werden.
Diese Vorschriften sollen nicht zur Anwendung kommen, wenn die Datenverarbeitung auf Grundlage eines berechtigten Interesses stattfindet. Auch ist dieses Recht auf diejenigen Daten beschränkt, die der Verbraucher zur Verfügung gestellt hat.
Durch diese Beschränkungen muss sich der tatsächliche Nutzen dieser Vorschriften erst noch erweisen, insgesamt fallen sie aber eher unbefriedigend aus.
Der Verbraucher hat das Recht, keiner automatisierten Einzelfallentscheidung (Profilbildung) zu unterliegen, die rechtliche Wirkung entfaltet oder ihn signifikant beeinträchtigt – es sei denn, es gibt eine gesetzliche Erlaubnis oder sie ist für die Erfüllung eines Vertrags notwendig oder der Verbraucher hat explizit eingewilligt.
Die Bildung von Profilen als solche (und nicht nur die reine Entscheidung, die rechtliche Wirkung entfaltet oder Verbraucher signifikant beeinträchtigt) unterliegt keinem gesonderten Schutz und wird nur als eine „normale“ Datenverarbeitung angesehen.
Der Verbraucher hat zwar ein Recht auf menschliche Intervention, Erklärung und Anfechtung der Entscheidung – in der Praxis dürfte das aber nur eine untergeordnete Rolle spielen.
Die Verordnung schreibt vor, dass Unternehmen geeignete mathematische oder statistische Methoden verwenden und Maßnahmen treffen sollen, um Fehler zu minimieren und Diskriminierung aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu verhindern. Diese Ergänzung findet sich allerdings nur in den Erwägungsgründen der Verordnung, was sie wiederum schwächt.
Insgesamt befürchtet der vzbv an dieser Stelle eine Absenkung des Verbraucherschutzes im Vergleich zum deutschen Status Quo. Bisher war etwa Kreditscoring alleine auf der Grundlage von Adressdaten nicht erlaubt – das könnte sich nun ändern. Hier müssen die Mitgliedsstaaten ihre Spielräume nutzen und dafür sorgen, dass es nicht zu Schutzlücken kommt und das bisherige Datenschutzniveau nicht abgesenkt wird.
Die Verordnung führt ein Verbandsbeschwerde- und klagerecht ein. Nichtregierungsorganisationen, die im öffentlichen Interesse handeln und deren satzungsgemäßes Ziel der Datenschutz ist, können in Zukunft von Verbrauchern beauftragt werden, eine Beschwerde bei einer Datenschutzbehörde einzureichen und gegen Unternehmen klagen. Dies schließt das Erstreiten von Schadensersatz mit ein, wenn es entsprechende nationale Regelungen dafür gibt.
Darüber hinaus können Mitgliedsstaaten Regelungen schaffen, nach denen oben genannte Organisationen aus eigenem Antrieb klagen dürfen. Das Erstreiten von Schadensersatz ist hierbei allerdings ausgeschlossen. Eine solche mitgliedstaatliche Regelung ist die neue Fassung des deutschen Unterlassungsklagengesetzes.
Damit geht die Verordnung nicht nur über den ursprünglichen Vorschlag der EU-Kommission hinaus, sondern erfüllt hier auch eine wichtige Forderung des vzbv.
Die Strafen, die bei Verstößen verhängt werden können, sind durch die Verordnung deutlich erhöht worden. Verstößt ein Unternehmen gegen seine Pflichten, können die Strafen bis zu zehn Millionen Euro oder zwei Prozent des Weltjahresumsatzes des Unternehmens betragen, je nachdem, was im konkreten Fall höher wäre.
Strafen bei Verstößen gegen Grundsätze der Verordnung oder die Rechte von Betroffenen können bis zu 20 Millionen Euro oder vier Prozent des Weltjahresumsatzes des Unternehmens betragen - wieder je nachdem, was im Einzelfall höher ist.