Am 25. Mai ist es soweit: Dann bekommt das Wort Datenschutz für den europäischen Bürger eine neue Bedeutung. „Unsere digitale Zukunft kann nur auf Vertrauen fußen. Wir müssen die Privatsphäre aller Bürger schützen“, sagte Andrus Ansip, Vizepräsident der EU-Kommission, am Mittwoch in Brüssel. Doch er und seine für Justizfragen zuständige Kollegin Vera Jourová werden langsam unruhig: Außer Deutschland und Österreich hat noch kein anderes Mitgliedsland die Regelungen im eigenen Rechtssystem verankert. Dabei geht es um zentrale Veränderungen.
Ab dem 26. Mai gelten die europäischen Datenschutz-Standards ausnahmslos, egal wo ein Anbieter seine Server betreibt. Niemand darf sich mehr damit herausreden, dass seine Computer auf den Fidschi-Inseln stehen und deshalb das dortige Recht gilt. Verbraucher können von den Anbietern verlangen, persönliche Daten zu löschen („Recht auf Vergessen“). App-Anbietern ist es untersagt, ungefragt auf persönliche Bereiche des Smartphones wie den Kalender oder die Datenbank mit Adressen zuzugreifen.
Komplizierte Hinweise und verklausulierte Nutzungsbedingungen sollen dann anschaulich und in Piktogrammen für jeden verständlich angeboten werden. Facebook führt de facto eine Altersgrenze von 16 Jahren ein. Wer sich an die neuen Vorgaben nicht hält, muss mit Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des erzielten Jahresumsatzes rechnen. Jourová: „Wir rufen alle Regierungen, Behörden und Konzerne in der EU auf, die verbleibende Zeit bestmöglich zu nutzen und ihre Aufgaben bei den Vorbereitungen auf den 25. Mai zu erfüllen.“ Die Bundesrepublik ging tatsächlich mit gutem Beispiel voran und griff die Beschlüsse aus Brüssel von 2016 sofort auf. Dabei war die Reform hierzulande besonders schwierig, weil es ein oft schwierig zu durchschauendes Gewirr von Zuständigkeiten der Länder und des Bundes gibt. Schließlich mussten auch nationale Meldestellen eingerichtet werden, die in vier Monaten die Klagen und Beschwerden von Verbrauchen entgegennehmen und bearbeiten. Für die Betroffenen hat die EU-Verwaltung mehrere Hilfestellungen im Internet eingerichtet.
„Wir werden dafür sorgen, dass die Reform ein voller Erfolg wird“, bekräftigte Ansip gestern. Doch die Mitgliedstaaten tun sich schwer. So verpflichtet die Grundverordnung beispielsweise die Betreiber sozialer Netzwerke, die Daten von Jugendlichen unter 16 Jahren nicht ohne Zustimmung der Erziehungsberechtigten abzufragen und schon gar nicht zu nutzen. Dieses harmonisierte Kinderschutzalter erfordert in einigen Ländern weitergehende Gesetzeskorrekturen, weil die bisherigen Altersgrenzen zwischen 13 und 16 Jahren liegen. Aber auch die Firmen müssen sich wappnen. So wird die Verantwortlichkeit derer, die in den Betrieben für den Datenschutz verantwortlich sind, erhöht.
Im Fall von Cyberattacken können Unternehmen künftig zur Verantwortung gezogen werden, wenn sie Kundeninformationen oder andere persönliche Daten nicht ausreichend gesichert haben. Eine mangelhafte europäische Beteiligung gefährdet darüber hinaus die wohl wichtigste Errungenschaft der neuen Daten-Verordnung, hieß es am Mittwoch in Brüssel: Erstmals soll in allen Mitgliedstaaten Datenschutz auf einer einheitlichen Grundlage erfolgen.