Neue EU-Verordnung für US-Anbieter: Abkehr vom Territorialprinzip

Der Entwurf für die Novelle wird voraussichtlich am Mittwoch nächster Woche von der EU-Kommission angenommen. Ergänzt wird die Verordnung von einer Richtlinie für den Bereich der Strafverfolgung, die noch in deutsches Recht umgesetzt werden muss.

Bislang konnten die EU-Bestimmungen zum Datenschutz nur dann angewendet werden, wenn ein Anbieter eine Niederlassung in Europa hatte, wie etwa Facebook mit seiner Vertretung in Irland. Dieses Territorialprinzip wird jetzt von einem als "Targeting" bezeichneten Grundsatz abgelöst: Richtet sich ein Unternehmen mit seinen Produkten und Diensten an ein Publikum in der EU, muss es die dort geltenden Standards im Datenschutz einhalten. Bei Verstößen sieht die Verordnung ähnlich wie im Kartellrecht ein Bußgeldverfahren vor - mit Strafen in Höhe von vier oder fünf Prozent des Jahresumsatzes eines Unternehmens.

"Europäischer Datenschutz ist wichtig, weil wir auf nationaler Ebene in manchen Bereichen einfach nicht mehr durchdringen", sagte Schaar und nannte als Beispiel Facebook sowie "international agierende Unternehmen, bei denen wir uns als Nationalstaat sehr viel schwer tun als auf europäischer Ebene". Trotz einiger Probleme im Detail sei die Neufassung ein Fortschritt. Die einzelnen Mitgliedsstaaten hätten die Möglichkeit, auch weitergehende Bestimmungen einzuführen, als die EU-Verordnung vorsehe.

Zu der vom Bundesinnenministerium gewünschten Vorratsdatenspeicherung macht die Novelle keine Aussagen. Die EU-Richtlinie zu solchen Maßnahmen wäre aber aus seiner Sicht nicht mit dem neuen EU-Datenschutzrecht vereinbar, sagte Schaar. Letztlich müsste dies dann der Europäische Gerichtshof klären.