Chemin de navigation

Left navigation

Additional tools

Viviane Reding Vizepräsidentin der Europäischen Kommission, EU-Justizkommissarin Wider die Datenfresser: Wie Europa dem Verbraucher wieder zur Kontrolle über seine Daten verhelfen kann Teilnahme an der Podiumsdiskussion zum Thema Gläserne Verbraucher in der Online-Welt "Wie viel Datenschutz ist nötig" Brüssel, 3. Mai 2011

Commission Européenne - SPEECH/11/305   03/05/2011

Autres langues disponibles: aucune

SPEECH/11/305

Viviane Reding

Vizepräsidentin der Europäischen Kommission, EU-Justizkommissarin

Wider die Datenfresser: Wie Europa dem Verbraucher wieder zur Kontrolle über seine Daten verhelfen kann

Teilnahme an der Podiumsdiskussion zum Thema Gläserne Verbraucher in der Online-Welt "Wie viel Datenschutz ist nötig"

Brüssel, 3. Mai 2011

Meine Damen und Herren, verehrte Mitglieder des Europäischen Parlaments, sehr geehrter Herr Schaar,

Ich freue mich sehr, heute Abend hier in der Bayerischen Landesvertretung zu Ihnen über die Bedeutung von Datenschutz und dem Schutz der Privatsphäre unter den Bedingungen der modernen Online-Welt zu sprechen.

Der Datenschutz betrifft eine große Bandbreite des alltäglichen Lebens. Warum? Weil unser Leben in der Informationsgesellschaft zunehmend auf dem Austausch von Informationen beruht. Wir leben in einem Spannungsfeld zwischen dem freien Datenverkehr und dem gleichzeitig notwendigen Schutz personenbezogener Daten. Wir sind auf den freien Datenverkehr angewiesen, weil unsere moderne Informationsgesellschaft anders gar nicht funktionieren könnte: Dank innovativer Technologien können E-Mails, Fotos, Profile in sozialen Netzwerken, Spiele, Bankauszüge oder Rechnungen jederzeit online oder per Handy abgerufen werden. Doch stellen uns diese neuen Informationstechnologien und Anwendungen auch vor völlig neue Herausforderungen, wie der Titel Ihrer heutigen Veranstaltung schon andeutet. Transparenz ist gut – vor Allem gut für den Verbraucher. Doch Transparenz kann und darf nicht zu einem "gläsernen Verbraucher oder Bürger" führen, der vollständig durch öffentliche Behörden oder private Unternehmen durchleuchtet werden kann. Wie können wir die Notwendigkeit für einen freien Datenverkehr, mehr Transparenz für die Verbraucher und den Schutz der Privatsphäre – miteinander in Einklang bringen?

Unser Ziel muss es sein, ein hohes Schutzniveau für die Bürger herzustellen. Das europäische Grundrecht auf Datenschutz muss für alle gelten, und zwar sowohl bei der Datenverwendung durch öffentliche wie durch private Stellen.

Der Schutz personenbezogener Daten ist ausdrücklich in Artikel 8 der EU-Grundrechtecharta verankert. Damit ist auf europäischer Ebene ein Grundrecht etabliert, das in Deutschland dem vom Bundesverfassungsgericht vor mehr als 20 Jahren formulierten „Recht auf informationelle Selbstbestimmung“ entspricht, also das Recht, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu entscheiden.

Wie schon gesagt, ist dieses Grundrecht auf Datenschutz für alle da. Wir sollten deshalb einmal die „Verbraucherschutzbrille“ abnehmen: Das Recht auf Schutz personenbezogener Daten gilt auch (aber eben nicht nur) für „Verbraucher“ – es gilt für jeden Einzelnen, unabhängig davon, ob er einkauft oder nicht, ob er das Internet nutzt oder nicht. Und unabhängig davon, ob er EU-Bürger ist oder nicht.

Dies ist ein wichtiger Unterschied zu den USA. Denn wenn es dort Bestimmungen zum Schutz der Privatsphäre gibt – und die gibt es nicht in allen Sektoren – dann gelten sie nur für US-Bürger und sich dort rechtmäßig aufhaltende Ausländer. In der EU gilt das Grundrecht auf Datenschutz für alle und überall: zu Hause, bei der Arbeit, beim Einkaufen, im Pflegeheim, in der Kinderkrippe, auf der Polizeiwache und auch „im Netz“. Das Datenschutzrecht unterscheidet dabei nicht zwischen „online“ und „offline“, sondern ist technologie-neutral!

Trotzdem müssen wir den neuen Technologien Rechnung tragen. Deshalb wird die anstehende Reform der EU-Datenschutzvorschriften an die technischen Entwicklungen anpassen, um einen umfassenden Schutz zu gewährleisten. Die neuen EU-Regeln zum Datenschutz werden für alle Politikbereiche der EU gelten. Das schließt den Bereich der Strafverfolgung und der polizeilichen und justiziellen Zusammenarbeit mit ein, auch wenn in diesem Bereich wichtigen Sicherheitsinteressen Rechnung getragen werden muss.

Ein neues Datenschutzrecht muss nicht nur einer rasanten technischen Entwicklung Rechnung tragen. Auch die Problematik des Flickenteppichs der verschiedenen nationalen Datenschutzregelungen muss angegangen werden.

Die heute geltende EU-Richtlinie zum Datenschutz stammt aus dem Jahr 1995. Zu jener Zeit wurden persönliche Daten in Rechenzentren verarbeitet, teilweise noch mit Hilfe von Lochkarten. Sofern Datenverarbeiter sich an die Datenschutzregeln hielten, war der Schutz personenbezogener Daten weitgehend gesichert. Diese „heile Datenwelt“ der sechziger und siebziger Jahre ist längst passé.

Heute ist jeder Einzelne ein mobiles Rechenzentrum. Tragbare und vernetzte Geräte wie Mobiltelefone und Autonavigationssysteme haben zu einer Verschmelzung der virtuellen Welt und der realen Welt geführt. Wir können über das Internet jederzeit und an beinahe jedem Ort Informationen einholen – andere können aber auch mühelos ein Profil unserer Bewegungen und Handlungen erstellen.

Informationen aus der virtuellen Welt werden in der wirklichen Welt verfügbar, Informationen aus der realen Welt in die virtuelle Welt integriert. Busse im Nahverkehr sind mit Funketiketten, sogenannten 'Radio Frequency Identification tags' ausgestattet, sodass wir Ankunftszeiten in Echtzeit verfolgen können. Mittels GPS und Handy können wir heute nicht nur die kürzeste Strecke von A nach B finden, sondern auch viele ortsabhängige Dienstleistungen in Anspruch nehmen.

Wir hinterlassen so täglich digitale Spuren. Diese einzelnen Puzzleteile können – von Behörden und Privatunternehmen – zu Datenprofilen zusammengefügt werden. Wenn wir reisen, erfassen Behörden unsere Fluggastdaten, Smart Cards speichern unsere Bewegungen im öffentlichen Nahverkehr, Bonuskarten registrieren unsere Vorlieben beim Einkaufen.

Die bestehenden Rechtslagen in den 27 EU-Mitgliedstaaten sind dieser neuen Datenwelt nicht gewachsen. Jeder Mitgliedstaat hat die EU-Vorgaben aus dem Jahr 1995 weiterentwickelt und teilweise bereichsspezifisch aufgerüstet. Das Resultat ist ein wahrer Flickenteppich an unterschiedlichen nationalen Datenschutzvorgaben, die zu einem ernsthaften Hindernis in unserem Binnenmarkt zu werden drohen und sich nicht einheitlich grenzüberschreitend durchsetzen lassen. Unternehmen wie Verbraucher drohen, zu Verlierern dieser unklaren, fragmentierten europäischen Rechtslage zu werden.

Deshalb brauchen wir ein neues, modernes und einheitliches EU-Datenschutzrecht.

Das neue EU-Datenschutzrecht: 5 Eckpfeiler für einen zukunftsfesten Datenschutz

Das neue EU-Datenschutzrecht muss, verständlich und lesbar sein. Es muss den gegenwärtigen und den künftig absehbaren Herausforderungen für die Währung des Grundrechts auf Datenschutz gerecht werden.

Ich sehe dabei 5 Eckpfeiler für einen zukunftsfesten Datenschutz: das Recht auf Vergessen, Transparenz, Datenschutz durch Gestaltung (privacy by design), mehr unternehmerische Verantwortung für den Umgang mit den personenbezogenen Daten, und eine völlig unabhängige Datenschutzkontrolle.

Der erste Eckpfeiler ist das Recht auf Vergessen.

Nutzer müssen das Recht haben – und nicht nur die Möglichkeit – die Zustimmung zur Verarbeitung ihrer Daten, die sie gegeben haben, jederzeit zurückzuziehen. Die Beweislast muss dabei beim Datenverarbeiter liegen – er muss nachweisen, dass die Daten weiter gespeichert werden müssen, nicht der Nutzer.

Der zweite Eckpfeiler ist Transparenz.

Der Einzelne muss klar und deutlich darüber informiert werden, welche Daten gesammelt werden, zu welchem Zweck und für wen diese Daten einsehbar sind. Nutzer müssen wissen, welche Rechte sie haben und an welche Behörde sie sich wenden können, wenn diese Rechte verletzt werden. Ich werde mich insbesondere dafür einsetzen, dass die auf den Datenschutz bezogenen Nutzungsbedingungen sozialer Netzwerke transparenter gestaltet werden. Die Kommission will hier erweiterte Transparenzanforderungen durchsetzen, zum Beispiel durch eine ständig einsehbare Datenschutzerklärung im Internet.

Die besondere Gefahr, die von Profilbildung ausgeht, ist natürlich nicht auf soziale Netzwerke beschränkt. Ich bin völlig einverstanden mit dem deutschen Bundesbeauftragten für den Datenschutz, Herrn Schaar, der in seinem Beitrag zur Konsultation der Kommission auf diese Gefahren hingewiesen hat. Er sagt deutlich, dass das Anlegen von Datenprofilen nur auf konkreter gesetzlicher Grundlage zulässig sein darf, oder auf Basis der informierten Einwilligung des Betroffenen. Die Einwilligung muss jederzeit widerrufbar sein, und der Widerruf die sofortige Löschung des Profils zur Folge haben.

Der dritte Eckpfeiler für ein zukunftsfestes Datenschutzrecht ist Datenschutz durch Gestaltung (privacy by design), und Datensparsamkeit. Eine transparente, datensparsame, kontrollierbare und Missbräuche vermeidende Technikgestaltung kann zur Risikobegrenzung beitragen. Das bedeutet, wenn neue Geräte, Programme und Anwendungen entwickelt werden, muss der Datenschutz Teil des Entwicklungsprozesses sein – "Privacy by design" also. Dies kann beispielsweise mit Hilfe von Risikoabschätzungen geschehen, also mit einer Art „Datenschutzfolgeabschätzung“.

Auf europäischer Ebene verfügen wir über eine derartige „Datenschutzfolgeabschätzung“ für neue Gesetzesvorhaben. Weil Artikel 8 der EU Grundrechtecharta den Schutz personenbezogener Daten auch und gerade im Bezug auf EU-Institutionen garantiert, hat die Kommission eine „Grundrechts-Checkliste“ entwickelt, um die Vereinbarkeit all unserer Gesetzesinitiativen mit den Grundrechten zu prüfen – das gilt natürlich auch und insbesondere für den Schutz der Privatsphäre.

Ein Testfall wird sich noch vor Ende des Jahres anbieten: die Überarbeitung der Richtlinie zur Vorratsdatenspeicherung. Am 18. April veröffentlichte die Kommission einen Bewertungsbericht der Richtlinie. Daraus geht hervor, dass sich das Speichern von Telekommunikationsdaten für die Justizsysteme und die Strafverfolgung als nützlich erwiesen hat. Doch der Bericht weist auch auf erhebliche Mängel hin. Der Rahmen, in dem sich nationale Strafverfolger Telekommunikationsdaten beschaffen können, ist vielfach zu breit gefächert. Außerdem bietet die Richtlinie nicht die Gewähr, dass die Daten im vollen Einklang mit dem Recht auf Schutz der Privatsphäre und Schutz personenbezogener Daten gespeichert, abgefragt und verwendet werden, was ungenügende nationale Datenschutzstandards zur Folge haben kann. In Deutschland, Rumänien und Tschechien wurden daher die nationalen Rechtsvorschriften zur Umsetzung der Richtlinie vom jeweiligen Verfassungsgericht für nichtig erklärt. Meine Kollegin Cecilia Malmström hat vor diesem Hintergrund angekündigt, bis Ende des Jahres einen neuen Gesetzesentwurf zur Verbesserung der Richtlinie zur Vorratsdatenspeicherung vorzulegen. Ich unterstütze dieses Anliegen nachdrücklich. Als EU-Justizkommissarin werde ich mich dafür einsetzen, dass wir bei der Überarbeitung der Richtlinie das richtige Verhältnis finden zwischen der notwendigen Effizienz bei der Terrorismusbekämpfung und anderen schweren Straftaten und der ebenfalls notwendigen Achtung der Privatsphäre. Konkret müssen wir untersuchen, inwiefern die Speicherung verschiedenster Datensätze notwendig ist, ob die Speicherzeit für Daten angemessen ist und ob nicht weniger einschneidende Maßnahmen dem gleichen Ziel dienen könnten.

Lassen Sie mich zum vierten Eckpfeiler für einen zukunftsfesten Datenschutz übergehen: der Verantwortung für den Umgang mit den personenbezogenen Daten. Behörden und Unternehmen sind ihren Mitarbeitern und Kunden den verantwortungsvollen Umgang mit persönlichen Daten schuldig. Die Geschäftsmodelle vieler Unternehmen – vor allem in der IT-Branche – basieren auf dem Vertrauen der Verbraucher. Den Bürgern scheint jedoch dieses Vertrauen abhanden zu kommen. Sie sorgen sich immer um die Sicherheit ihrer Daten. Allein im vergangenen Jahr habe ich hunderte von Briefen, Beschwerden und Anfragen zum Thema Datenschutz erhalten. Bei der deutschen Bundesdatenschutzbehörde sollen 2010 dreimal so viele Eingaben eingegangen sein wie in den fünf Jahren vorher. Und wenn ich mir die Ereignisse der letzten zwei Wochen anschaue, so erleben wir derzeit geradezu eine Welle von Datenpannen, Datendiebstählen, Datenverlusten durch Softwarefehler oder auch kommerziell bewusst getätigter Datenverkäufe. Ob ein Navigationsgerätehersteller Informationen an Dritte weiterverkauft; ob ein Hacker sich durch eine Attacke auf Sonys Onlineplattformen Zugriff auf rund 77 Millionen Nutzerkonten verschafft – und die Betroffenen erst mit großer Verspätung über diesen Vorfall informiert werden – oder ob Millionen Geräte des Herstellers Apple ungefragt Ortsdaten aus Funknetzen speichern: ich persönlich kann es verstehen, wenn angesichts solcher Vorfälle das Vertrauen unserer Bürger in die Informationsgesellschaft auf den Gefrierpunkt angekommen ist.

Es gilt dieses Vertrauen wieder herzustellen – durch gute Gesetzgebung, unabhängige Datenschutzbehörden und einer verantwortungsvollen Politik der Unternehmen. Die bestehende EU-Datenschutzrichtlinie enthält im Artikel 17 Vorgaben zur Sicherheit der Verarbeitung von Daten, so unter anderem die geeigneten technischen und organisatorischen Maßnahmen, um den Schutz gegen den zufälligen Verlust oder einen unberechtigten Zugang und Weitergabe von Daten zu gewährleisten.

Ich begrüße es daher, dass die bayerische Justiz- und Verbraucherschutzministerin angesichts der Datenpanne bei Sony die Unternehmen aufgefordert hat, dringend ihre Sicherheitssysteme für ihre Kundendaten zu überprüfen. Ich halte es für wichtig, dass Nutzer informiert werden, wenn sich jemand ungesetzmäßig Zugang zu ihren Daten verschafft hat. Diese Informationspflicht habe ich vor vier Jahren im Telekommunikationsbereich eingeführt. Ich plane sie nun bei der Überarbeitung der Datenschutzregelungen auf andere Bereiche auszuweiten. Es ist essentiell für das Vertrauen der Kunden, dass sie wissen, was mit ihren Daten geschieht.

Eine andere Maßnahme, die das Vertrauen der Bürger erhöhen könnte und die ich ausdrücklich befürworte, ist die Schaffung von behördlichen oder betrieblichen Datenschutzbeauftragten, die sich intern um die Einhaltung der Datenschutzvorschriften kümmern. Deutschland kann hier als Vorbild dienen.

Ganz allgemein sind deutsche Datenschutzbeauftragte sowohl auf Bundes- als auch auf Landesebene Vorreiter bei einer effektiven Umsetzung des EU-Datenschutzrechts. Ich erwähne hier zum Beispiel den Hamburger Datenschutzbeauftragten Johannes Caspar und seinem Einsatz gegenüber Google Streetview und Bayerns Datenschutzbeauftragten Thomas Kranig und seine Untersuchung gegen Apple bei der Speicherung von Ortsdaten.

Europäisches Recht hält fest, dass Daten grundsätzlich nur mit der vorherigen Einwilligung des Betroffenen oder aus gesetzlich genau festgelegten Gründen verarbeitet oder weitergereicht werden dürfen. Dieses Recht gilt für alle Unternehmen, unabhängig davon, wo die Daten verarbeitet werden oder wo der Datenverarbeiter seinen Firmensitz hat. Lassen Sie mich dies hier in aller Deutlichkeit sagen: Ein soziales Netzwerk mit über 200 Millionen Nutzern in der EU hat sich an EU-Recht zu halten, auch wenn sich der Firmensitz in den USA befindet und die Daten in der sogenannten "Wolke".

Herr Schaar hat in seinem Beitrag zu unserer Konsultation diesen Punkt ebenfalls sehr deutlich gemacht.

Lassen sie mich zum fünften und letzen Eckpfeiler für ein zukunftsfestes Datenschutzrecht kommen: eine unabhängige Datenschutz-Kontrolle.

Das beste Datenschutzkonzept kann nur dann funktionieren, wenn es durchgesetzt wird. Dazu braucht es eine Kontrollinstanz, an die Betroffene sich wenden können wenn ihr Grundrecht auf Datenschutz verletzt worden ist. Durchsetzungsfähige und völlig unabhängige Datenschutzaufsichtsbehörden in den Mitgliedstaaten, die europaweit eng zusammenarbeiten, sind die Lösung.

Dies gilt insbesondere für Deutschland, wo das Richtlinien-Erfordernis, dass die Datenschutzbehörden ihre Aufgaben „in völliger Unabhängigkeit“ wahrzunehmen haben, falsch umgesetzt wurde. Leider stelle ich fest, dass in 15 der 16 Bundesländer bisher noch nichts ernsthaft unternommen wurde, um dem Urteil des Europäischen Gerichtshofs vom 9. März 2010 (C-518/07) nachzukommen. Die Kommission hat Deutschland daher formell aufgefordert, die Umsetzung der Richtlinie zu vollenden.

Übrigens sollte es allen Mitgliedstaaten gelingen, dieses Unabhängigkeitsgebot mit den jeweiligen Verfassungstraditionen in Einklang zu bringen. Denn unabhängige Datenschutzbehörden dienen letzten Endes dem verfassungsrechtlich geschützten Grundrecht auf Datenschutz.

Lassen Sie mich auf die Ausgangsfrage zurückkommen, die gleichzeitig der Titel dieser Veranstaltung ist. Wie viel Datenschutz ist heute nötig? Meine Position dazu ist klar: hier geht es nicht um mehr oder weniger Datenschutz. Das Grundrecht auf Schutz personenbezogener Daten ist unteilbar. Wir sind verpflichtet das Recht auf Datenschutz umzusetzen.

Ich werde den konkreten Entwurf zur Neufassung des gesetzlichen EU-Datenschutzrahmens noch vor Ende des Jahres vorstellen. Ich möchte Ihnen – den deutschen wie den bayerischen Datenschutzexperten – für Ihre Beiträge und wertvollen Anregungen danken, und weiß, dass Sie diese wichtige Initiative der Kommission weiter aktiv begleiten werden. Ich zähle auf Sie!


Side Bar

Mon compte

Gérez vos recherches et notifications par email


Aidez-nous à améliorer ce site