Am 2. und 3. März 2016 lud das Handelsblatt zu einer Fachtagung zum Thema Datenschutz nach Düsseldorf ein. Neben den neusten Entwicklungen in Fragen des Online-Marketings und der Videoüberwachung wurden vor allem die Inhalte der neuen EU-Datenschutz-Grundverordnung diskutiert. Diese wurde im vergangenen Jahr nach vierjähriger Beratungszeit fast einstimmig von den beteiligten EU-Institutionen beschlossen und wird aller Voraussicht nach dieses Jahr im Juli in Kraft treten.

Diese Verordnung, die direkt für alle EU-Länder Gültigkeit haben wird, jedoch erst nach einer Übergangsfrist von zwei Jahren ab Sommer 2018 tatsächlich in allen EU-Ländern verpflichtend angewendet werden muss, wird viele nationale Datenschutzregelungen durcheinanderwirbeln. Da insbesondere das deutsche Datenschutzrecht eine Vielzahl schärferer Regeln enthält, ist es sehr wahrscheinlich, dass diese früher oder später juristisch angefochten und in der heutigen Form nicht zu halten sein werden.

Dennoch ist die neue EU-Verordnung ein großer Wurf. Erstmals haben sich alle EU-Länder auf gemeinsame Standards für den Datenschutz geeinigt. Dabei wurde die Verordnung so verfasst, dass sie möglichst technologieunabhängig für mehrere Jahre Bestand haben kann und nicht so schnell veraltet, wie beim heutigen Entwicklungstempo für neue Technologien denkbar wäre.

Für Eltern ist interessant zu wissen, dass lange über Mindestalter bei der Nutzung von sozialen Netzwerken gerungen wurde. Vor allem in Anbetracht des in Zukunft stark zunehmenden Profilings, das heißt dem professionellen Erstellen von Persönlichkeitsprofilen anhand von öffentlich verfügbaren Daten mit dem Zweck der Kundenfindung und -bindung, hat man sich schließlich auf ein relativ hohes Einstiegsalter von 16 Jahren geeinigt. In Anbetracht der bis dahin eher naiven Nutzung von Technologien durch Jugendliche war den EU-Politikern wichtig, die familieninterne Kommunikation über die Art der Nutzung derartiger Technologien durch diese Regelung möglichst lange zu unterstützen. Die EU-Länder können diese Altersangaben jedoch in nationalstaatlichen Regelungen individuell bis auf 13 Jahre heruntersetzen.

Darüber hinaus erstreckt sich die Verordnung neuerdings nicht nur auf direkt identifizierbare Personen, sondern ebenfalls auf die Möglichkeit des „singling out“, d. h. der indirekten Identifizierbarkeit von Individuen. Es müssen also nicht nur konkrete Daten wie Namen oder fest zugeteilte IP-Adressen geschützt werden, sondern auch Daten, durch die Menschen so individuell beschrieben werden („die Menschen, die in der Musterstraße im roten Haus wohnen“), dass sie eindeutig identifiziert werden könnten.

Insgesamt bleibt nach Besuch der Konferenz festzustellen, dass alleine durch die Entwicklung bei den neuen Technologien große Herausforderungen auf Datenschützer zukommen werden. Insbesondere das Cloud-Computing, bei dem man Software nur noch als Dienst (Saas = Software as a Service) nutzt, aber keine eigene Version mehr kauft und besitzt, verhindert individuelle Lösungen, die nationalstaatliche Gesetze berücksichtigen. Wo bis jetzt Betriebsräte und Geschäftsleitungen um den Arbeitnehmerdatenschutz in Unternehmen rangen, sind unternehmensintern abgestimmte und individuell programmierte Softwarelösungen künftig nicht mehr umsetzbar, wenn jedes zentral ausgespielte Software-Update individuelle Regelungen und Interessen wieder in Luft auflösen kann.

Auch die heute scharfen Zugangsregelungen zu Arbeitnehmerdaten sind nicht mehr im selben Maße möglich, wenn die eingesetzten Softwarelösungen zur Verbesserung der internen Kommunikation und der schnelleren und gezielteren Datenanalyse immer mehr unternehmensinterne Plattformen und Gesellschaften einbeziehen und in einen gemeinsamen Datentopf werfen. Insbesondere die Einführung von Microsoft Office 365 stellt Datenschützer mit seinen weitreichenden Aufnahme- und Analysetools vor Herausforderungen.

Dagegen darf man sich im Privatbereich über eine unkomplizierte Verbesserung durch die neue EU-Datenschutz-Grundverordnung freuen. Das beschlossene Kopplungsverbot soll künftig verhindern, dass Dienste Leistungen einfordern, die für den Geschäftszweck nicht notwendig sind. Eine Taschenlampen-App, die nicht nur die Taschenlampenfunktion des Handys steuern kann, sondern darüber hinaus Zugriff haben will auf Fotos, Kontakte oder die Handy-Kamera, dürfte damit Geschichte sein.