Grenzen für Facebook und Co. | EU verschärft Maßnahmen für besseren Datenschutz

Mit einer Verordnung, die im Mai in Kraft tritt, stellt die EU neue Regeln für den Umgang mit persönlichen Daten auf. Bei Verstößen drohen Unternehmen hohe Geldbußen. Nutzer sollen so besser geschützt werden. Facebook setzt die Kommission eine enge Frist, um Fragen zum Datenskandal zu beantworten.

Die EU-Kommission hat dem Facebook-Konzern eine zweiwöchige Frist gesetzt, um ihre Fragen zum jüngsten Datenskandal zu beantworten. Justizkommissarin Vera Jourova richtete am Montagabend ein Schreiben an den Internetriesen mit der Aufforderung, die Rolle des Unternehmens Cambridge Analytica aufzuklären und die Frage zu beantworten, ob die persönlichen Daten europäischer Facebook-Nutzer betroffen waren.

Cambridge Analytica soll die Daten von mehr als 50 Millionen Facebook-Nutzern für den Wahlkampf des heutigen US-Präsidenten Donald Trump ausgewertet und gezielt eingesetzt haben.

Mark Zuckerberg verspricht, künftig die Daten der Facebook-User besser zu schützen. Er entschuldigt sich, deutet an, dass sein Unternehmen möglicherweise doch stärker reguliert werden könnte. Der Facebook-Chef reagiert damit auf den Skandal um den Missbrauch persönlicher Daten von Millionen Nutzern – aber zugleich drängt die Europäische Union ihn ohnehin zu mehr Datenschutz: mit ihrer Verordnung 2016/679.

Neue Regeln treten am 25. Mai in Kraft

Die "General Data Protection Regulation", die Datenschutz-Grundverordnung vom April 2016, tritt zum 25. Mai dieses Jahres in Kraft. Wenn Facebook sich danach gravierender Datenschutzverstöße schuldig machen würde, wäre das teuer. Auf Dutzenden Seiten regelt die Verordnung den "Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten" – und dabei spielt es keine Rolle, wo das jeweilige Unternehmen ansässig ist.

Vielmehr gelten die Regeln für alle, die Daten von EU-Bürgern verwenden und verarbeiten. Facebook etwa sitzt zwar in Menlo Park in Kalifornien, rund 277 Millionen seiner weltweit 1,7 Milliarden täglichen Nutzer leben aber in Europa. Frühere Vorgaben waren in Bezug auf die Bedeutung des Firmensitzes weniger eindeutig und streng, sodass internationale Spieler sich nach EU-Angaben immer wieder drücken konnten. "Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen", wird in der neuen Verordnung betont.

Strafen von bis zu 20 Millionen Euro

Sie will es den Nutzern weiter erleichtern, Zustimmung zur Datenverarbeitung nicht nur zu geben, sondern auch zu widerrufen. Die Nutzungsbedingungen müssen außerdem in klarer Sprache verfasst sein, sodass jeder sie verstehen kann. Seitenlange "Terms and conditions", die von Laien kaum bewältigt werden können, sollen der Vergangenheit angehören. Auch ein eindeutigeres Recht auf Löschung, das "Recht auf Vergessenwerden", ist in der Datenschutz-Grundverordnung verankert. Wenn eine Person ihre Daten nicht länger verarbeiten lassen will und kein berechtigter Grund besteht, sie zu bewahren, werden die Daten gelöscht, heißt es in der Zusammenfassung.

Unternehmen, die sich nicht daran halten, müssen womöglich tief in die Taschen greifen: Für die schwersten Verstöße drohen Strafzahlungen bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes – je nachdem, was davon höher ausfällt. Im Falle von Facebook könnten das aktuell bis zu 1,32 Milliarden Euro sein.

Würde und Autonomie für Nutzer

Die Verordnung ist die jüngste in einer Reihe von Ansätzen, auch amerikanische Technologiegiganten an die Zügel zu nehmen – nicht nur im Datenbereich, sondern auch, weil solche Unternehmen auch immer wieder wegen Wettbewerbsverzerrungen oder Steuervermeidung am Pranger stehen. Europäische Analysten würdigen die Verordnung als wichtigste Änderung auf dem Gebiet innerhalb einer Generation, auf der anderen Seite des Atlantiks wird die Entwicklung mit Interesse beobachtet.

"Alle jene, die sich keine Hoffnungen machen, dass unsere Regierungen sich für unsere Rechte einsetzen, sind Europa dankbar", sagt Siva Vaidhyanathan von der University of Virginia, Experte für geistiges Eigentum. "Ich hege große Hoffnungen, dass GDPR als Modell dienen wird, um sicherzustellen, dass Bürger in der digitalen Wirtschaft Würde und Autonomie haben." Schon 1998 hätte es die weise Voraussicht geben sollen, erklärt der Wissenschaftler. Damals ging Google an den Start. "Aber jetzt setze ich auf 2018."

Datenschutz hat in der EU große Bedeutung

Während die USA bei der Regulierung von Internetunternehmen seit jeher Zurückhaltung üben, stehen sie in Europa zunehmend im Fadenkreuz. Nicht zuletzt die Erfahrungen der NS-Zeit und des Kommunismus im Ostblock haben hier die Bedeutung des Schutzes persönlicher Daten klar vor Augen geführt.

Für Nutzer außerhalb der EU sieht die europäische Verordnung naturgemäß keinen rechtlich abgesicherten Schutz vor, doch Analysten gehen davon aus, dass viele Unternehmen die Vorgaben weltweit umsetzen. Vor allem für kleinere Firmen dürfte es zu kostspielig sein, zweigleisig zu fahren, meint Forscher Vaidhyanathan. Große Spieler wie Facebook oder Google könnten hingegen mit ihren europäischen Geschäften einen Sonderweg gehen, erklärt er.

"Die EU gibt die Regeln vor"

Die EU gebe die Regeln vor, statt den Internetunternehmen das Diktat zu erlauben, sagt Sarah T. Roberts, Professorin für Internetstudien an der Universität von Kalifornien in Los Angeles. "Allen Behauptungen zum Trotz, dass der Cyberspace nicht an die Erde gebunden ist, stimmt das nicht."

Auch in den USA werden die Rufe nach strengerer Regulierung lauter. Und Facebook zumindest hat schon auf das europäische Reglement reagiert: Auf seiner Website erklärt das Unternehmen, was es zu tun gedenkt, um der neuen Verordnung gerecht zu werden.