Es hat einige Jahre gedauert, bis sich EU-Kommission, Europaparlament und die Mitgliedsstaaten auf eine neue Datenschutz-Grundverordnung einigen konnten. Und es wird voraussichtlich noch bis 2018 dauern, bis sie in Kraft tritt. Es ist jedoch begrüßenswert, dass dieser Schritt überhaupt gegangen wird. Immerhin stammt die aktuelle Datenschutz-Grundverordnung, welche unter anderem Auswirkungen auf den Datenschutz im Internet hat, von 1995 und somit aus einer Zeit, als das Internet noch in den Kinderschuhen steckte. Seit dem hat sich sowohl die Relevanz, als auch die Nutzung des Internet als Kommunikationsraum und Drehkreuz privater Daten massiv verändert.

Von den persönlichen Nachrichten, Fotos und Standorten über Kreditkartendaten, Online-Banking und Gesundheitsinformationen, bis hin zu geschäftlichen Daten wird inzwischen ein Großteil des gesellschaftlichen Alltags online abgewickelt und gespeichert. Welche Implikationen das Internet und seine Entwicklung für eine Datenschutz-Verordnung 20 Jahre später haben würde, dürfte damals kaum vorstellbar, geschweige denn absehbar gewesen sein. Viele Gesetze und Regelungen müssen deshalb unter dem Gesichtspunkt des Internets neu formuliert und ergänzt werden. So wurde z.B. kürzlich erst entschieden, wie rechtlich mit Facebook-Konten von verstorbenen Kindern und Jugendlichen verfahren werden soll. Auch hier spielt die Privatsphäre mit eine Rolle.

Im Mittelpunkt der aktuellen Reform steht das Ziel, Europas Internetnutzern mehr Kontrolle über ihre persönlichen Daten zu geben. Hierzu zählt unter anderem das sogenannte „Recht auf Vergessenwerden“. Dies ermöglicht es dem Nutzer, online gespeicherte Informationen über ihn auf einfache Weise löschen zu lassen. Möchte man seine Daten jedoch nicht komplett löschen, sondern nur von einem Anbieter zum nächsten übertragen, spielt die Portabilität eine große Rolle. Auch dies soll mit der neuen Verordnung vereinfacht werden. Darüber hinaus soll das Mindestalter für die Einwilligung zur Datenverarbeitung auf 16 festgelegt werden und Onlinedienste müssen sich ausdrücklich die Zustimmung zur Datennutzung einholen.

Besonders schwerwiegend für ausländische Konzerne wie Google, Facebook und Co. ist die Neuregelung, dass unabhängig vom Sitz des verarbeitenden Unternehmens das neue EU-Recht angewendet wird, sobald sich der Nutzer in Europa befindet. Darüber hinaus ist vorgesehen, dass sich jeder Nutzer bei Beschwerden an die entsprechende Behörde in seinem europäischen Land wenden kann - auch wenn der betroffene Konzern in einem anderen Land innerhalb der EU registriert ist. Dies erscheint umso sinnvoller nach dem prominenten Beispiel eines Österreichers, der in Irland gegen Facebook klagen musste, weil sich dort die europäische Zentrale befindet. Gerade bei Großkonzernen sollen Geldstrafen von bis zu vier Prozent des Jahresumsatzes dafür sorgen, dass sie die europäischen Datenschutzregeln künftig einhalten.

Die Reform bedeutet jedoch auch, dass Unternehmen ausreichend Vorbereitungen treffen müssen, um Datenverlust ihrer Kunden und anderer Stakeholder zu verhindern. So entsteht auch hier wieder eine kontroverse Entwicklung: Auf der einen Seite pochen viele Behörden unter dem Argument der besseren Strafverfolgung auf mehr Datenspeicherung und Zugang zu Daten, während auf der anderen Seite Datenschützer und Rechtsprechung zu besseren Sicherheitsmaßnahmen wie Verschlüsselung von E-Mails und personenbezogenen Daten raten.

Ebenso kontrovers ist auch das Ergebnis der neuen Datenschutzverordnung diskutiert. Während sich nahezu alle einig sind, dass die Reform längst überfällig ist, sehen die einen eine begrüßenswerte Entwicklung hin zu mehr Kontrolle für die Nutzer, Andere hingegen kritisieren, dass stellenweise zu stark die Handschrift von Internetkonzernen und deren Lobbyverbänden wiederzuerkennen ist.

Während die bisherige Datenschutzverordnung Unternehmen bereits vor viele Herausforderungen gestellt hat, ist noch nicht ganz klar, was die neue bringen wird - insbesondere im Hinblick auf die Nutzung von cloudbasierten Infrastrukturen zur Speicherung und Verarbeitung von sensiblen Daten. Der "Schwarze Peter" verschiebt sich von der Seite der Kunden-Unternehmen auf die Seite der Anbieter, die nun Maßnahmen treffen müssen, um die Vorgaben zu erfüllen. In welchem Zeitraum und mit welcher Gründlichkeit das erfolgen wird und kann ist unklar. Bis dahin sind Unternehmen weiterhin am besten beraten, geheime und personenbezogene Daten nicht in der Cloud zu speichern oder unverschlüsselt zu kommunizieren. Nach Möglichkeit sollte auf Lösungen gesetzt werden, die in ihrer eigenen oder professionell gehosteten Umgebung stehen und ihnen die volle Kontrolle über Kommunikation und Datenspeicherung verschaffen.