EU-Datenschutzregeln: Social Networking unter 16 nur mit Zustimmung der Eltern

Die EU-Kommission hat gestern die seit 2011 diskutierte und 2012 angekündigte Datenschutz-Neuregelung vorgelegt. Sie definiert Grundrechte von Anwendern und Pflichten von Anbietern. Auf den ersten Blick sticht etwa die Anforderung hervor, dass Jugendliche unter 16 Jahren künftig eine Zustimmung der Eltern benötigen, um Soziale Netze wie Facebook und Instagram, Google+ und Twitter zu nutzen. Nationale Gesetze können das Mindestalter allerdings auf bis zu 13 Jahre senken.

Die New York Times rückt daneben in den Mittelpunkt, dass das vom EuGH zugestandene „Recht auf Vergessenwerden“ durch die Regeln zementiert wird, die Anfang 2018 in Kraft treten könnten. Online-Anbieter müssen zudem Datendiebstähle innerhalb von drei Tagen melden. Bei Verstößen können Datenschutzbehörden künftig Strafen verhängen. Diese von der US-Zeitung genannten Schwerpunkte dürften zugleich die Vorgaben der EU sein, an denen sich global aufgestellte US-Firmen wie Facebook und Google am meisten reiben werden.

Grundlegend besteht das Reformpaket aus zwei Teilen: erstens der allgemeinen Datenschutz-Regelung, die die Rechte des Einzelnen einheitlich definiert, und zweitens einer Datenschutz-Direktive für Strafverfolger, die die Rechte von Opfern, Zeugen und Verdächtigen in Ermittlungsverfahren festschreibt. Den jetzigen Kompromiss hat die EU-Kommission mit Parlament und Rat der Union erarbeitet. Daher nennt sie Kommissionsvizepräsident Andrus Ansip eine „Einigung, die ein großer Schritt hin zu einem digitalen Binnenmarkt ist.“

Aus Sicht der Kommission sind insbesondere vier Anwenderrechte zentral: leichter Zugang zu den eigenen Daten, Recht auf Datenmitnahme, um Anbieterwechsel zu ermöglichen, ein klar formuliertes „Recht auf Vergessenwerden“ und ein Recht, informiert zu werden, wenn einem Dienstleister die eigenen Daten entwendet wurden. Für Firmen bringe die Regelung ebenfalls Vorteile, heißt es. So werde es durch das einheitliche Gesetz einfacher und billiger, in der EU aktiv zu sein. Vor allem kleine und mittlere Firmen müssen keine regelmäßigen Datenschutzberichte mehr einreichen. Für exzessive Dateneinsichtbegehren könnten sie nun Gebühren erheben, und wenn Datenverarbeitung nicht das Kerngeschäft sei, brauche man auch keinen Data Protection Officer mehr.

Der finale Text der Datenschutzregeln muss nun noch vom Europaparlament und dem Ministerrat formal abgesegnet werden. Zwei Jahre darauf werden sie in Kraft treten.

Der ITK-Branchenverband Bitkom lobte in einem Kommentar den Ansatz zu einem einheitlichen Datenschutz in der Europäischen Union. „In Zukunft gilt in der EU beim Datenschutz gleiches Recht für alle“, sagte Bitkom-Hauptgeschäftsführer Bernhard Rohleder. Allerdings steige der bürokratische Aufwand erheblich. Auch schafften die Neuregelungen „mehr Rechtsunsicherheit und sind teils praxisfern“, etwa die eingangs erwähnte Jugendschutzbestimmung für Soziale Netze.

Deutlicher fällt die Kritik des Bundesverbands Digitale Wirtschaft (BVDW) aus. Vizepräsident Thomas Duhr formulierte: „Grundsätze wie eine europaweite Harmonisierung und ein Wechsel zum Marktortprinzip sind zwar grundsätzlich zu befürworten, der Kompromiss zur Datenschutz-Grundverordnung zeigt aber leider mit aller Deutlichkeit, dass der europäische Gesetzgeber die Zeichen der Zeit nicht erkannt hat. Die für die Wettbewerbsfähigkeit der europäischen Digitalbranche so wichtige Risikodifferenzierung fehlt völlig. Stattdessen haben wir nun einen realitätsfernen, einwilligungsbasierten ‚One size fits all‘-Ansatz, der erhebliche Hürden für entgeltfreie Dienste, also den Kern des Internets, schafft. Das widerspricht sowohl den Interessen der Unternehmen als auch denen der Nutzer.“

Tipp: Wie gut kennen Sie sich mit der europäischen Technologie-Geschichte aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.