Am kommenden 25. Mai tritt die neue europäische Grundverordnung zum Datenschutz in Kraft. Wir haben uns mit Tine A. Larsen, Präsidentin der Nationalen Datenschutzkommission (CNPD), über die Änderungen unterhalten, die diese neue Regelung mit sich bringen wird.
Tageblatt: Am 25. Mai wird die EU-Datenschutzrichtlinie von 1995 durch die EU-Datenschutz-Grundverordnung von 2016 abgelöst. Warum wurde diese Verordnung notwendig?
Tine A. Larsen: Seit 1995 hat sich im Bereich der Digitalisierung vieles verändert. Das Internet der Dinge wie digital gesteuerte Kaffeemaschinen und Kühlschränke, vernetzte Autos oder die fast unerlässlich gewordenen Smartphones, in denen alle unsere Kontakte und Passwörter gespeichert sind, hat es vor 20 Jahren noch nicht gegeben. Diese Entwicklung muss aber geregelt werden, um den Bürger zu schützen, damit er sich nicht in dieser Welt verliert. Die sogenannten «connected cars» beispielsweise sammeln viele Daten über unsere Fahrweise und uns selbst, die irgendwo hin gesendet werden. In diesem Zusammenhang spricht man von Big Data. Normalerweise werden nicht einzelne Personen analysiert, sondern es wird ein großer Topf mit verschiedenen Daten erstellt. Doch diese Daten lassen immer auch Rückschlüsse auf die einzelnen Personen zu. Viele Bereiche in unserem Leben sind von der Digitalisierung betroffen.
Welche Ziele verfolgt die Grundverordnung?
Nach langen Verhandlungen mit den betroffenen Akteuren hat die EU ein Reglement angenommen, das technologisch neutral ist und zwei Ziele verfolgt. Erstens will es dem Bürger die Kontrolle über seine persönlichen Daten zurückgeben und damit seine Rechte stärken. Zweitens soll das Reglement den freien Datenfluss gewährleisten, damit die Wirtschaft innerhalb der EU weiter wachsen kann. Unternehmen, Institutionen und Vereinigungen, die unsere Daten verwalten, sollen stärker in die Pflicht genommen werden.
Was wird sich nach dem 25. Mai konkret für die Verbraucher und Internet-User
ändern?
Es ist nicht so, dass sich konkret in verschiedenen Bereichen etwas ändern wird. Die Datenschutz-Grundverordnung baut auf der Direktive von 1995 auf. Alle Prinzipien, die bereits in dieser Direktive enthalten waren, wurden beibehalten. Dazu gehört zum Beispiel, dass Daten legal, loyal und transparent behandelt werden. Auch das Prinzip der Zweckbestimmung gilt weiterhin. Man kann Daten nicht «zum Spaß» sammeln, sondern es müssen bestimmte Zweckmäßigkeiten angegeben werden, die in der Grundverordnung festgelegt sind. Auch die legale Basis zur Datensammlung wurde festgehalten. So muss man zum Beispiel die Zustimmung des Betroffenen haben oder es muss die Notwendigkeit zur Erfüllung eines Vertrags vorliegen. Ferner müssen die gesammelten Daten richtig sein und regelmäßig aktualisiert werden. Es muss festgelegt werden, wie lange die Daten zu welchem Zweck gespeichert werden und es müssen Sicherheitsbestimmungen zum Schutz der Daten getroffen werden. Der Bürger kann Firmen und Verwaltungen auch fragen, ihm die Daten auszuhändigen, die sie über ihn gesammelt haben. All diese Prinzipien wurden bereits in der Direktive von 1995 festgelegt.
Wozu braucht es dann die neue Grundverordnung?
Die Änderungen betreffen vor allem unseren Umgang mit diesen Prinzipien. Für drei Arten von Akteuren wird es einen Paradigmenwechsel geben: Bürger, Verwaltungen und Firmen sowie Datenschutzorganisationen.
Den Unternehmen werden nun noch zusätzliche Pflichten auferlegt, um die Rechte der Bürger zu gewährleisten. Wenn ein Bürger gegen die Datenverarbeitung Einspruch erhebt, müssen die Firmen dem Rechnung tragen. Gleiches gilt, wenn der Bürger eine Begrenzung seiner Datenverarbeitung verlangt. Außerdem kann er das Recht auf Vergessenwerden einfordern, wenn seine Daten nicht mehr gebraucht werden. Dann muss das Unternehmen die Daten löschen.
War das alles nicht auch schon vorher möglich?
Die Pflichten des Datenverarbeiters ändern nicht, doch die Art und Weise, wie er diese umsetzte, war ganz strikt geregelt. Es gab die «formalités préalables», bei denen der Datenverarbeiter bestimmte Schritte bei der Datenschutzkommission deklarieren musste. Nicht-genehmigungspflichtige Verarbeitungen mussten deklariert werden. Dazu musste ein Formular ausgefüllt und eingereicht werden. Das Formular wurde in ein Register eingetragen und damit war die Sache für die Institution geregelt. Für die Überwachung von Telefongesprächen, E-Mails oder Datenverkehr am Arbeitsplatz musste das Unternehmen oder die Behörde eine Genehmigung beantragen. Auch für Kameraüberwachung und Geolokalisierung, die Erhebung biometrischer Daten oder den Datentransfer ins Ausland brauchte es eine Erlaubnis. Diese Prozedur war ziemlich schwerfällig für den, der die Daten verarbeitet hat, und auch für uns, die prüfen mussten, ob die Verarbeitung den Grundprinzipien entspricht und es eine legale Basis für die Anwendung gibt. Mit der Datenschutz-Grundverordnung gewinnen Verwaltungen und Unternehmen mehr Flexibilität in der Art und Weise, wie sie ihre Konformität zur Verordnung demonstrieren. Der Datenverarbeiter braucht keine Formulare mehr auszufüllen und auf unsere Entscheidung zu warten, sondern er ist künftig selbst für die Kontrolle seiner eigenen Datenverarbeitung verantwortlich.
Wie sieht es mit den Verbraucherrechten aus?
Die Rechte des Bürgers werden gestärkt und damit erhält er mehr Eigenverantwortung, die er ausüben muss. Er kann nicht passiv sein und alles um sich herum geschehen lassen. Bevor jemand den sozialen Medien beitritt, sollte er vorher unbedingt die allgemeinen Geschäftsbedingungen lesen. Danach muss er entscheiden, ob er akzeptiert, dass ein Anbieter seine persönlichen Daten mit dieser oder jener Firma teilt, oder ob er sich vielleicht einem anderen sozialen Netzwerk anschließt. Natürlich fällt diese Entscheidung schwieriger, wenn der ganze Familien- und Freundeskreis in einem bestimmten Netzwerk unterwegs ist.
Viele User sind gleich auf mehreren Plattformen angemeldet. Es würde vermutlich Wochen dauern, alle Geschäftsbedingungen zu lesen, die meist nicht nur ellenlang, sondern häufig auch noch in einer für viele Menschen unverständlichen juristischen Terminologie verfasst sind. Wird sich das künftig ändern?
Die Grundverordnung sieht vor, dass Unternehmen und Verwaltungen, die Daten verarbeiten, den Bürgern diese Prozesse verständlich und zugänglich aufbereiten müssen. Anstatt dass sie zehn Seiten allgemeine Geschäftsbedingungen veröffentlichen, die die Nutzer am Ende abhaken, müssen sie künftig kurze Informationen zu bestimmten Themen bereitstellen. Zu jedem Thema muss der Nutzer dann seine Zustimmung geben.
Die Verordnung sieht auch vor, dass mit Ikonen gearbeitet werden darf, was ganz nützlich sein kann. Bestimmte Institutionen sind schon dabei, «Verkehrsschilder» für den Datenschutz auszuarbeiten, damit der Bürger auf einen Blick erkennen kann, was mit seinen Daten passiert. Das wird sich nun einbürgern.
Erhält der User auch das Recht, bestimmte Punkte abzulehnen, ohne damit sein Konto für die Nutzung eines sozialen Netzwerks wie beispielsweise Facebook zu verlieren?
Im Prinzip ja. Die Datenschutz-Grundverordnung ist so aufgebaut, dass sie den Vertragsschluss von der Zustimmung zur Datenverarbeitung trennt. Zur Ausführung des Vertrags braucht Facebook natürlich ein Minimum an Informationen wie Name und E-Mail-Adresse, was es auch legitim verantworten kann. Bei allem, was darüber hinaus geht, wie beispielsweise wem ich welche Posts zugänglich machen will, muss Facebook seinen Nutzern theoretisch die Möglichkeit bieten, selbst zu entscheiden, wie weit sie gehen wollen.
Das Geschäftsmodell von Facebook besteht darin, eine Plattform für personalisierte Werbung anzubieten. Kann der Nutzer trotzdem die Weiterleitung persönlicher Daten an Drittanbieter ausschalten?
Das ist nun einmal ihr Geschäftsmodell. Facebook muss transparent sein und seine Nutzer darüber informieren, dass sie die Teilnahme an der Plattform mit ihren persönlichen Informationen bezahlen. Auch muss Facebook seinen Usern mitteilen, dass es ihre Daten an Unternehmen weiterleitet, die ihnen dann personalisierte oder andere Werbung zuschicken. Daran kommen Facebook-Nutzer nicht vorbei. Sie sind aber frei, sich andere Plattformen zu suchen, die entweder Gebühren verlangen oder ein alternatives Geschäftsmodell gefunden haben.
Hat Facebook nicht Interesse daran, so viele Nutzer wie möglich zu behalten?
Facebook nimmt nun ganz viele Änderungen vor, unter der Androhung, dass die Qualität des Dienstes abnimmt, wenn der User bestimmte Bedingungen nicht akzeptiert. Damit nimmt es die Grundverordnung ein bisschen in die Zange und verwendet sie gegen den Bürger. Ich denke, dass sich die Konsumenten und auch die Datenschutzbehörden dagegen wehren werden, um zu verhindern, dass es zur Erpressung kommt. Auf der anderen Seite gehört das eben zu ihrem Business und sie drohen den Nutzern nicht mit Ausschluss. So gesehen gibt Facebook sich schon auch Mühe.
Viele Firmen stellen nun einen eigenen Datenschutzbeauftragten ein. Welche Rolle kommt ihm zu?
Viele größere Unternehmen wie Banken oder die Post hatten schon vorher einen Datenschutzbeauftragten. Durch die neue Grundverordnung wird diese Funktion aber nun eingeführt. Doch verantwortlich für die Datenverarbeitung bleibt letztendlich noch immer die Direktion eines Unternehmens oder einer Verwaltung. Der Datenschutzbeauftragte hilft nur dabei, die Konformität einzuschätzen, und wird der Ansprechpartner für Bürger, Konsumenten und Datenschutzorganisationen.
Wie müssen Unternehmen künftig konkret vorgehen?
Sie müssen ein Inventar ihrer Datenverarbeitung erstellen und sich überlegen, ob sie ihre Daten konform zu den Prinzipien, die in der Verordnung vorgesehen sind, behandeln. Das beinhaltet, dass sie ihre Mitarbeiter und Kunden darüber informieren, was mit ihren Daten passiert und verlangt auch eine Prozedur zur Zerstörung der Daten, wenn sie nicht mehr gebraucht werden.
Brauchen künftig alle Unternehmen und Verwaltungen einen Datenschutzbeauftragten, unabhängig von ihrer Größe?
Die Verordnung sieht vor, dass alle öffentlichen Einrichtungen einen Datenschutzbeauftragten haben müssen. Es kann ein interner Mitarbeiter designiert werden oder ein externer Berater beauftragt werden. Diese Pflicht besteht ebenfalls für Einrichtungen, die mit sensiblen Informationen wie zum Beispiel genetischen und medizinischen Daten, politischer Orientierung oder ethnischer Abstammung arbeiten. Gleiches gilt auch für Unternehmen, die große Mengen an Daten verwalten. Die Größe der Firma oder die Zahl der Mitarbeiter ist dabei unerheblich. Kleine Firmen oder Start-ups, die beispielsweise Apps entwickeln, die Profile erstellen, um sie an den Finanzsektor zu verkaufen, brauchen einen Datenschutzbeauftragten. Ein Fliesenleger oder ein Bäcker, der keine Mitarbeiter hat und nur sehr wenige Informationen über seine Kunden sammelt, braucht hingegen auch keinen Datenschutzbeauftragten. Die Grundverordnung passt den Invest desjenigen, der Daten verarbeitet, an das Risiko, das diese Verarbeitung mit sich bringt, an.
Welche Sicherheitsmaßnahmen sieht die neue Grundverordnung vor?
Wer viele oder sensible Daten sammelt und verarbeitet, muss nicht nur ein Inventar erstellen und die Prinzipien respektieren, sondern darüber hinaus ein «Data protection impact assessment» durchführen, um die Folgen und Risiken zu ermitteln, die eine Sicherheitslücke oder ein Datenleck für die Bürger haben könnte. Insbesondere bei Krankenhäusern können Cyberangriffe fatal für die Patienten sein, wie man im vergangenen Jahr am Schadprogramm WannaCry gesehen hat, als die Computer des «National Health Service» in England blockiert waren und niemand mehr Zugang zu den Patientenakten hatte. Das «Data protection impact assessment» beinhaltet natürlich auch, dass Sicherheitsmaßnahmen ergriffen werden, um sensible Daten abzusichern, und es muss festgelegt werden, wer Zugriff zu diesen Daten hat.
In Deutschland herrscht zurzeit die Angst, dass die neue Datenschutz-Grundverordnung insbesondere den Hobby-Fotografen das Leben erheblich erschweren könnte. Ist diese Angst berechtigt?
Die Grundverordnung bezieht sich nicht auf den Hausgebrauch von Daten. Wenn jemand auf einem Konzert Fotos von einem Künstler macht und diese Bilder nicht kommerzialisiert oder im großen Stil verbreitet, sondern lediglich Familie und Freunden zeigt, besteht nicht die Gefahr eines Verstoßes. Wenn der Fotograf aber eine semi-professionelle Homepage mit großer Reichweite betreibt und dort seine Bilder des Künstlers veröffentlicht, könnte es schon unter die Grundverordnung fallen. Daneben gibt es in Luxemburg aber schon seit 1982 ein Gesetz zum Schutz der Privatsphäre, das festlegt, dass jeder Bürger ein Recht auf sein eigenes Bild hat und sich gegen eine unerlaubte Verbreitung wehren kann.
Befürchtet wird auch, dass die Grundverordnung ein neues Geschäftsfeld für
Anwälte eröffnen könnte.
Wir müssen uns alle erst einpendeln. Der Konsument muss lernen, mit seinen Rechten umzugehen. Manche nehmen ihre Rechte sehr stark in Anspruch und fechten vieles an. Häufig zu Recht. Nur ein Beispiel. Verschiedene Banken haben jahrzehntelang Malwettbewerbe in den Schulen veranstaltet. Kinder und Eltern haben sich darüber nie Gedanken gemacht und sind stolz zur Überreichung eines Sparkontos bei dieser Bank gegangen. Mittlerweile hat sich aber ein anderes Bewusstsein für Daten entwickelt. Wir mussten eingreifen und den Schulen sagen, dass sie die Daten der Kinder nicht einfach so an die Banken weiterleiten dürfen, die dann Werbung an die Eltern versenden. Denn im Endeffekt ist das Sparkonto für das Kind kein Geschenk, sondern ein Kunde fürs Leben, den die Bank schon sehr früh an sich binden konnte. Das geht heute nicht mehr. Wir wollen natürlich nicht den Malwettbewerb verbieten, doch die Schulen und Banken mussten Prozeduren einleiten, damit der Wettbewerb pseudonymisiert durchgeführt wird. Schlussendlich müssen auch die Eltern entscheiden können, ob sie das Angebot der Bank in Anspruch nehmen wollen, falls ihr Kind beim Wettbewerb gewinnt.
Früher hat das niemanden gestört. Wieso jetzt?
Weil jetzt mehr über Datenschutz geredet wird und es gesetzlich richtig ist. Früher verteilte eine halbstaatliche Bank Sparbüchsen an alle Kinder. Das hat geändert. Es gibt mehr Konkurrenz und man muss fair gegenüber allen bleiben. Die Menschen müssen auch geschützt werden. Es kann nicht sein, dass eine spezifische Bank schon bei Kindern im ersten Schuljahr Werbung macht. Deshalb arbeiten wir auch mit «Bee Secure» und «Security made in Lëtzebuerg» (Smile) sowie mit dem Bildungsministerium und dem «Service national de la jeunesse» (SNJ) zusammen, um Programme zu entwickeln, die in den Lernstoff in den Schulen einfließen können, damit die Schüler schon in der Schule lernen, was mit ihren Daten passiert und wie sie sich besser schützen können. Unsere Kultur muss ändern.
Welche Folgen haben die neuen Regeln für Unternehmen und öffentliche Verwaltungen?
In öffentlichen Ämtern war es lange Zeit üblich, Mitarbeitern, die ein Klassentreffen organisieren wollten, Einblick in das nationale Personenregister zu gewähren. Das geht heute nicht mehr. Guichet.lu hat nun auch eine Seite eingerichtet, auf der Bürger verfolgen können, wer ihre Daten im Personenregister eingesehen hat. Wenn jemand zum Beispiel im Süden wohnt und er sieht, dass jemand in einer Gemeinde im Norden im Register nach ihm gesucht hat, kann er dort nachfragen, was der Grund dafür war. Die Ämter müssen ihre Mitarbeiter auch in Weiterbildungskurse schicken, damit sie lernen, dass die Datenverarbeitung restriktiv, proportionell und notwendig gehandhabt werden muss. Mit den Unternehmen ist es etwas schwieriger, doch wir versuchen, sie zu sensibilisieren, damit sie erkennen, dass Daten nur fließen können, wenn der Konsument Vertrauen in die Firma hat. Das geht nur, wenn die Unternehmen Prozeduren und Strategien zum Datenschutz erarbeiten, die sie einhalten und transparent an den Kunden weitervermitteln können.
Gibt es eine Instanz, die kontrolliert, ob sich Unternehmen und Verwaltungen an die Datenschutzverordnung und -Gesetze halten?
Das ist die Rolle der Nationalen Datenschutzkommission. Bislang wurden wir im Vorfeld informiert und mussten die Verarbeitung sensibler Daten genehmigen. Diese Kontrolle fällt jetzt weg. Künftig müssen wir rausgehen und proaktiv handeln. In Zukunft werden wir auch beraten, wenn aus einer Datenschutz-Folgenabschätzung, einem sogenannten «Data protection impact assessment», hervorgeht, dass eine erwogene Verarbeitung ein hohes Risiko für die betroffenen Personen zur Folge hätte.
Gleichzeitig bauen wir eine Abteilung für Audits und Untersuchungen auf, die einerseits bei gemeldeten Verstößen gegen das Datenschutzgesetz ermitteln kann. Andererseits können wir in einem bestimmten Wirtschaftssektor oder innerhalb einer spezifischen Thematik Audits anhand von Fragebögen durchführen. Wenn uns aufgrund dieser Fragebögen Unregelmäßigkeiten auffallen, werden wir auch in diesen Fällen ermitteln.
Unternehmen und Verwaltungen bekommen natürlich Zeit, sich auf die neue Grundverordnung einzustellen, doch a priori muss jeder am 25. Mai bereit sein. Wir wissen, dass noch nicht jeder so weit ist, aber durch die Audits wollen wir die Verantwortlichen dazu bewegen, ihre Arbeit zu machen. Datenschutz ist ein Grundrecht und unser Ziel ist es, dafür zu sorgen, dass dieses Recht eingehalten wird.
Hat die Nationale Datenschutzkommission das Recht, Sanktionen auszusprechen?
Bislang waren wir in dieser Hinsicht eingeschränkt, doch mit der Grundverordnung werden hohe Geldstrafen eingeführt. Der Höchstbetrag liegt bei 20 Millionen Euro oder vier Prozent des Gesamtumsatzes eines Unternehmens. Aber es geht uns nicht darum, am 25. Mai rauszurennen und horrende Strafen zu verteilen. Unser erstes Ziel ist die Sensibilisierung, um die Unternehmen dazu zu bringen, die Rechte der Bürger einzuhalten. Dies ist auch im Interesse der Firma, wie das Beispiel von Cambridge
Analytica noch kürzlich gezeigt hat.
Wie können Sie gegen multinationale Firmen vorgehen, die ihren Sitz nicht in der EU haben?
Unternehmen, die Dienste oder Produkte an EU-Bürger verkaufen oder ihr Verhalten analysieren, fallen künftig unter die Regeln der Verordnung, unabhängig davon, wo sie ihren Sitz haben. Die Nationale Datenschutzkommission muss sich um Klagen kümmern. Bindende Entscheidungen kann das neue «European Data Protection Board» treffen, in dem alle 28 EU-Staaten vertreten sind.
Es liegt auch ein Entwurf für ein neues nationales Datenschutzgesetz vor. Wo ist dieses Projekt dran?
Eine EU-Grundverordnung ist im Gegensatz zu einer Direktive direkt anwendbar. Leider hat die Datenschutzverordnung aber ganz viele Aspekte einer Direktive mit zahlreichen Öffnungsklauseln, bei denen die einzelnen Staaten selbst festlegen können, wie sie vorgehen wollen. Der Gesetzentwurf 7184 regelt nicht nur die neue Funktionsweise der Datenschutzkommission, sondern sieht auch Ausnahmeregelungen im Bereich der Meinungsfreiheit und des Quellenschutzes für Journalisten vor. Für wissenschaftliche und statistische Zwecke sowie für Gesundheitsdienste sind ebenfalls Sonderregelungen geplant. Und auch im Hinblick auf die Regeln zur Überwachung am Arbeitsplatz wird noch diskutiert.
Der Staatsrat, die Datenschutzkommission und die Berufskammern haben ihre Stellungnahmen abgegeben. Die Abänderungsanträge werden zurzeit im Parlament diskutiert. Danach müssen der Staatsrat und die Datenschutzkommission den Entwurf ein weiteres Mal beurteilen. Die Abstimmung im Parlament wird nicht bis zum 25. Mai erfolgen. Wir haben aber weiterhin eine legale Basis im Datenschutzgesetz von 2002. Doch es wäre schon gut, wenn das Gesetz möglichst schnell in Kraft treten könnte. Der Gesetzentwurf 7168 zur Datenverarbeitung im Bereich des Strafrechts wurde noch nicht vom Staatsrat avisiert.
Sie müssen angemeldet sein um kommentieren zu können