Neues EU-Datenschutzrecht Ein Update mit Folgen
Nach langen Verhandlungen und zweijähriger Übergangszeit gilt ab dem 25. Mai das neue EU-Datenschutzrecht. Doch wer kontrolliert die neuen Regeln? Und was passiert bei Verstößen?
Warum war eine Reform notwendig?
Das alte Datenschutzrecht der Europäischen Union war in die Jahre gekommen. Die neue Datenschutzgrundverordnung - kurz: DSGVO - löst eine EU-Richtlinie von 1995 ab. Im Unterschied zur alten Richtlinie gilt die neue Verordnung in allen Mitgliedstaaten direkt. Das heißt, die EU-Länder müssen die neuen Regeln nicht erst in ihr eigenes nationales Recht umsetzen. Der Datenschutz soll damit vereinheitlicht und Bürger im digitalen Zeitalter besser geschützt werden.
Welche Daten sind geschützt?
Geschützt werden "personenbezogene Daten". Das sind zum Beispiel: Name, Anschrift, E-Mail-Adresse, Ausweisnummer und IP-Adresse. Besonders geschützt sind empfindliche Daten etwa über Gesundheit, Sexualleben und religiöse Überzeugungen sowie Daten von Kindern. Solche Daten dürfen nur ausnahmsweise verarbeitet werden. Bei Unter-16-Jährigen müssen die Eltern in die Datenverarbeitung einwilligen. WhatsApp kündigte mit Blick darauf bereits an, das Mindestalter für die Nutzung des Messengerdienstes innerhalb der EU auf 16 Jahre heraufzusetzen.
Datenschutzbutton auf einer Internetseite
Welche Rechte haben Bürger?
Der Datenschutz ist in der EU ein Grundrecht. Daten dürfen nach der EU-Grundrechte-Charta nur für vorher bestimmte Zwecke und mit Einwilligung der Betroffenen verarbeitet werden. Außerdem braucht es eine gesetzliche Grundlage. Die neue EU-Verordnung konkretisiert das nun. Danach gelten folgende Rechte:
Auskunft: Bürger haben gewisse Auskunftsrechte. Beispiel Bonuskarte im Supermarkt: Kunden können erfahren, wie oft sie die Karte eingesetzt haben, wo sie eingekauft haben und ob der Supermarkt die Daten an ein Tochterunternehmen weitergegeben hat.
Korrektur: Unrichtige Daten müssen berichtigt und gegebenenfalls vervollständigt werden, wenn Betroffene das wollen.
Löschung: Möchte ein Bürger nicht, dass seine Daten gespeichert werden, müssen diese gelöscht werden, wenn es keinen berechtigten Grund für die Speicherung gibt. Teilweise wird hierunter das sogenannte Recht auf Vergessenwerden verstanden. Wichtig ist, dass dabei die Meinungs- und Pressefreiheit sowie die der Forschung garantiert bleiben. Der EU-Gerichtshof hatte das Recht auf Vergessenwerden bereits 2014 anerkannt. In dem Fall ging es um die Löschung von Links einer Suchmaschine auf einen alten Presseartikel.
Übertragung: Wer zum Beispiel zu einem anderen Mail-Anbieter wechselt, soll seine Daten mitnehmen können - etwa E-Mails, Fotos oder Kontakte.
Unterrichtung: Verbraucher müssen über Datenlecks oder Hackerangriffe informiert werden.
Wer muss sich an die neuen Regeln halten?
Jeder, der Daten verarbeitet. Das heißt: Unternehmen, Vereine, Behörden. Ausgenommen ist alles, was privat geschieht. Ganz ausdrücklich nicht ausgenommen sind internationale Unternehmen, die ihren Sitz zwar außerhalb der EU haben, ihre Dienste aber auch in Europa anbieten. US-Internetriesen wie Facebook und Google betreffen die neuen Regeln also auch.
Auch Facebook und Google betreffen die neuen Datenschutzregeln.
Neben großen Unternehmen müssen sich aber etwa auch Vermieter, Makler und Hausverwaltungen daran halten, wenn sie die Daten von Wohnungsinteressenten und Mietern abfragen. Ebenso Ärzte und Krankenhäuser, wenn sie die Daten ihrer Patienten speichern sowie Vereine, die Daten ihrer Mitglieder erfassen.
Was muss bei der Datenverarbeitung beachtet werden?
So wenige Daten sammeln wie möglich. Diese sicher speichern und zwar nur solange wie nötig. In einfacher Sprache erklären, wozu die Daten gespeichert werden.
Wer hilft bei Unklarheiten?
Die EU-Verordnung ist lang. In den 99 Artikeln sind einige Begriffe enthalten, deren Auslegung sicherlich die Gerichte beschäftigen wird. Gerade für kleinere Unternehmen, Vereine oder Kommunen kann es am Anfang schwierig sein, zu durchschauen, was sie nun ändern müssen. Hilfreich können hier Leitfäden und Orientierungshilfen der Datenschutzbehörden der Länder sein.
Wer kontrolliert die neuen Regeln?
Aufsichtsbehörden in Deutschland sind die Datenschutzbeauftragen des Bundes und der Länder. Für internationale Unternehmen gibt es in Zukunft europaweit eine zuständige Aufsichtsbehörde. Wer das ist, richtet sich nach der Hauptniederlassung. Im Fall von Facebook wäre es also die irische Datenschutzbehörde in Dublin. Betroffene können sich mit einer Beschwerde aber an die Aufsichtsbehörde bei sich vor Ort wenden - diese muss die Beschwerde dann weiterleiten.
Die EU-Verordnung führt außerdem europaweit eine sogenannte Verbandsklage für Datenschutzverstöße ein. Das heißt, Verbände können die Rechte von Betroffenen einklagen. Eine solche Verbandsklage bei Datenschutzverstößen gab es in Deutschland bereits. Verbrauchern soll damit die Durchsetzung ihrer Rechte erleichtert werden.
Was passiert bei Verstößen?
Es drohen Geldbußen in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes - je nachdem was höher ist. Das deutsche Bundesdatenschutzgesetz sah bisher weit geringere Sanktionen vor. Wie hoch die Sanktion ausfällt, soll von Schwere und Dauer eines Verstoßes abhängen. Außerdem können Betroffene einen Anspruch auf Schadenersatz haben.
Verbessern die neuen Regeln den Datenschutz in Deutschland?
In Deutschland waren Daten auch bisher schon ganz gut geschützt. Neu ist aber auch hierzulande etwa, dass Betroffene über Datenschutzverstöße informiert werden müssen. Festgeschrieben werden außerdem bestimmte Grundprinzipien. Etwa: Voreinstellungen von Dienste-Anbietern müssen datenschutzfreundlich sein. Neue Software soll außerdem bereits möglichst im Sinne des Datenschutzes entwickelt werden.