zurück Blog

Die neue EU-Datenschutz-Grundverordnung: Eine kleine Revolution

Mit dem Datenschutz ist das so eine Sache. Zwar kennt jeder das Gesicht von Edward Snowden und verfolgt, wie die Medien immer neue Details enthüllen, wer von wem belauscht wurde und was die großen amerikanischen Internetkonzerne so alles über uns wissen. Und trotzdem posten wir weiter sorglos auf Facebook und suchen über Google. Will sagen: Wir reden zwar inzwischen schon deutlich mehr über den Schutz unserer Daten als noch vor einigen Jahren, aber in unserem Verhalten spiegelt sich das nicht gerade wieder.

Was im privaten Leben irgendwie jedem seine Sache ist, hat im Geschäftsleben brisantere Auswirkungen. Zwar können wir stolz sagen, dass deutsche Datenschutzgesetz gehört zu den strengsten weltweit. Doch was nützt das, wenn es der US-Regierung unter Umständen gelingen könnte, die europäische Gesetzgebung für amerikanische Unternehmen auszuhebeln, auch wenn es dabei um Niederlassungen in Europa geht. Es wird wirklich Zeit, die europäischen Datenschutzgesetze zu reformieren und auf einen Stand zu heben, der dem Internetzeitalter entspricht.

Für Reformen braucht es Zeit. Leider. Und zum europäischen Datenschutz noch länger.

Kaum von der Öffentlichkeit beachtet, diskutieren auch die Abgeordneten des Europäischen Parlaments bereits seit fast drei Jahren über eine Reform der Datenschutzregelungen. Mit der sogenannten EU-Datenschutz-Grundverordnung sollen die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen europaweit vereinheitlicht werden. Das an sich wäre schon ein Fortschritt. Aber es wird noch spannender: Die Verordnung soll auch für Unternehmen gelten, die ihren Sitz nicht in der EU haben, ihre Dienstleistungen aber EU-Bürgern anbieten. Das hätte weitreichende Konsequenzen. Auch Facebook, Google und Co. würden der Verordnung unterliegen.

Besonders im Kontext von Cloud Computing wird es interessant: Künftig soll es demnach nicht entscheidend sein, welchem Recht der Dienstleister unterliegt, sondern ob der Kunde in der EU beheimatet ist oder nicht. Würde man zu Ende denken, bedeute dies, dass sich in Europa ansässige Cloud-Kunden keine Gedanken mehr über den Datenschutz machen müssten. In jedem Fall hätte sich ihr Dienstleister an die europäische Gesetzgebung zu halten.

Der bereits im Januar 2012 von der Europäischen Kommission vorgestellte Entwurf, der inzwischen mehrfach diskutiert und nachgebessert wurde, sieht vor, dass die Verordnung ohne Umsetzungsakt in allen EU-Mitgliedsstaaten gelten soll. Das heißt, es ist keine Übernahme in das nationale Recht notwendig, Abschwächungen oder Abänderungen durch nationale Gesetzgebungen sind nicht möglich. Die EU-Datenschutz-Grundverordnung greift sozusagen „direkt durch“. Zudem soll den Betroffenen ein weitreichendes Informationsrecht eingeräumt und das Recht auf Vergessen eingeführt werden.

Was lange währt, wird vielleicht auch gut

Doch in der EU braucht alles seine Zeit. Eigentlich wollten sich die Kommissare bis zum Sommer 2013 geeinigt haben. Dies gelang nicht, mehrere Ländervertretungen äußerten Bedenken und der Gesetzestext musste entsprechend nachgebessert werden. Anfang März 2014 nahm das EU-Parlament nun den überarbeiteten Entwurf an, seit Oktober verhandeln die zuständigen Minister der Mitgliedsstaaten im Rat der EU, damit Anfang nächsten Jahres dann hoffentlich die Abstimmung zwischen Rat, Europäischem Parlament und Europäischer Kommission stattfinden kann. Leider ein beschwerlicher, langwieriger Weg.

Ich bin jedoch überzeugt davon, dass dies der richtige Weg ist, da es hier um eines der bedeutendsten Gesetze der digitalen Welt und der Zukunft des Cloud Computing geht. Zu sehr verunsichert der derzeitige rechtlich komplizierte Rahmen vor allem kleine und mittelständische Unternehmen. Erst seit wenigen Wochen gibt es zum Beispiel einen neuen, zusätzlichen internationalen Standard für den Datenschutz in der Cloud, die ISO/IEC 27018 (wir berichten darüber in einem weiteren Beitrag noch in diesem Monat). Es kann nicht sein, dass sich beispielsweise deutsche Unternehmen mit dem amerikanischen Datenschutzrecht auseinandersetzen müssen, weil sie die Cloud-Services eines US-Unternehmens nutzen wollen. Bleibt zu hoffen, dass die Realität die EU-Datenschutz-Grundverordnung nicht schon überholt hat, bevor sie überhaupt in Kraft tritt. Denn die EU-Parlaments-Mühlen mögen zwar langsam mahlen, die Entwicklungen in der IT hält dies aber nicht auf.

Bildrechte: © European Union 2012 PE-EP Louise WEISS building: © Architecture Studio

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

Wann hatten Sie Ihre letzte Datenpanne? mehr
Penetrationstest vs. Schwachstellenscan: Wann Sie die richtige Wahl treffen mehr
So gestalten Sie die Rollout-Logistik erfolgreich mehr
Safe Harbor wird zum EU US Privacy Shield mehr

AKTUELLE ARTIKEL

IT-Sicherheitsgesetz: Vage Verordnung oder konkrete Anweisung? mehr
Penetration Tester m/w mehr
IT-ServiceDesk Agent m/w mehr
On Premise war gestern – das neue Arbeiten in der Cloud mehr