Nach fast vierjähriger Debatte gab es am 15.12.2015 eine Einigung zwischen dem Europäischen Rat, dem Europäischen Parlament sowie der Europäischen Kommission zum endgültigen Inhalt der neuen EU-Datenschutzgrundverordnung. Wenn diese vom europäischen Parlament beschlossen wird und Anfang 2018 in Kraft tritt, wird sie damit die seit 1995 geltende EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) ersetzen.
Mit der neuen Datenschutzgrundverordnung bekommt der Einzelnen mehr Kontrolle über seine Daten. So haben gemäß DSGVO die Nutzer Anspruch darauf zu erfahren, welche Unternehmen ihre Daten zu welchem Zweck wie und wo verarbeiten. Dabei folgt die Datenschutzgrundverordnung dem Grundsatz, dass personenbezogene Daten Eigentum des Nutzers und nicht der mit der Datenverarbeitung befassten Unternehmen ist. Daraus wird dann auch das Recht abgeleitet, dass Nutzer ihre Daten von einem Diensteanbieter zum anderen migrieren können sollen. Ebenso wird daraus das Recht auf Vergessen abgeleitet: Der Einzelne muss in die Lage versetzt werden, seine veröffentlichten Daten löschen zu lassen.
Während dieses Recht auf Vergessen aus Sicht des Betroffenen sicherlich eine wünschenswerte Sache ist, muss man sich aus technischer Sicht die Frage nach der Umsetzbarkeit stellen: So verfügt beispielsweise jedes Informationssystem über mehrere Ebenen von Backups, wenn es die Anforderungen an Datenintegrität sowie –verfügbarkeit erfüllen möchte. Sind diese Backups nur auf eine Systemrücksicherung und nicht auf eine Einzelrücksicherung der Daten ausgelegt, wird das Identifizieren der Daten des einzelnen Nutzers kaum gelingen. Noch schwieriger wird es bei revisionssicher abgelegten Daten: Hier wird (häufig bedingt durch gesetzliche Anforderungen) die nachträgliche Manipulation – eben wie auch das Löschen der Daten – von vornherein technisch verhindert. Diese Daten lassen sich also nicht „vergessen“, aber ggf. kann ein Auffinden verhindert werden.
Spannend wird es auch, wenn man sich die Regelungen zur Einwilligungserklärung ansieht. Die Datenschutzgrundverordnung setzt die Einwilligung an der Spitze der Erlaubnistatbestände, womit diese eine wesentliche Voraussetzung für Unternehmen zur Verarbeitung personenbezogener Daten wird. Gleichzeitig wird in der DSGVO diese Erlaubnis für so viele Fallkonstellationen als unwirksam erklärt, dass in der Praxis Unternehmen Schwierigkeiten haben werden, hierauf eine rechtskonforme Datenverarbeitung aufzubauen. Dieses gilt insbesondere für die Verarbeitung von Daten, welche für die Erfüllung der Leistungsvereinbarung zwischen Nutzer und Provider nicht notwendig sind. Außerdem gefährdet jedes Ungleichgewicht zwischen Nutzer und Provider die Wirksamkeit der vom Nutzer ausgesprochenen Einwilligungserklärung, da damit die Freiwilligkeit der Einwilligung hinterfragt werden kann.
Wie die in der Datenschutzgrundverordnung getroffenen Regelungen konkret in deutsches Recht übersetzt werden, ist offen: Zwar sollten mit der neuen Verordnung die gesetzlichen Regelungen in Europa vereinheitlicht und auf den aktuellen Stand der Technik angehoben werden, aber an vielen Stellen der DSGVO werden den Mitgliedsstaaten Freiräume bei der Umsetzung in nationales Recht eingeräumt. Beispielsweise liegt nach DSGVO das Mindestalter für die Abgabe einer rechtswirksamen Einwilligung in die Verarbeitung personenbezogener Daten bei 16 Jahren, bei jüngeren Kindern muss die Zustimmung der Eltern vorliegen. Gleichzeitig wird den Nationalstaat die Möglichkeit eingeräumt, diese Grenze auf 13 Jahre herabzusetzen. In wie weit diese Grenze aber mit der deutschen Rechtauffassung in Einklang gebracht werden kann, der zufolge auch das minderjährige Kind Grundrechtsträger ist und damit Anspruch auf Achtung seiner Menschenwürde und Entfaltung seiner Persönlichkeit hat, ist noch nicht abzusehen. Dazu müsste die starre Altersgrenze ersetzt werden durch eine flexible Regelung, bei der die Kinder entsprechend ihres Reifegrads behandelt werden. Damit könnten Minderjährige abhängig von ihrer Einsichtsfähigkeit durchaus rechtskräftige Einwilligungen erteilen.
Aktuell liegen die Ergebnisse des Trilogs in englischer Sprache vor und werden vom Europäischen Rat redaktionell überarbeitet und anschließend in die Sprachen der Mitgliedstaaten übersetzt. Voraussichtlich im März 2016 soll die Verordnung vom EU-Parlament und im gleichen Zeitraum vom Europäischen Rat verabschiedet werden.