Datenschutz-Grundverordnung

Datenschutz-Grundverordnung Endlich verständlich – was die neuen EU-Regeln für die Bürger bedeuten

Ab dem 25. Mai 2018 kommen die neuen Datenschutzregeln der EU zur Anwendung. Hier erfahren Sie, was das für Ihre Rechte als Bürger bedeutet – und warum Experten mit Abmahnwellen rechnen.

1 Was ist die Datenschutz-Grundverordnung?

1. Was ist die Datenschutz-Grundverordnung?

Die Verordnung soll den Datenschutz in der EU vereinheitlichen und ins Internetzeitalter befördern. Der offizielle Name der Datenschutz-Grundverordnung lautet “Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG”. Die neue Verordnung gilt nun für alle gleich, während die Richtlinie den Mitgliedstaaten mehr Spielraum ließ.

In 99 Artikeln regelt die neue Verordnung, wie Unternehmen und Behörden, aber zum Beispiel auch Vereine mit personenbezogenen Daten umgehen sollten. Im deutschsprachigen Netz wird über die Verordnung vor allem unter der Abkürzung DSGVO diskutiert, auf Englisch ist der Name General Data Protection Regulation, kurz GDPR, geläufig.

2. Was passiert am 25. Mai 2018?

Die DSGVO kommt am 25. Mai 2018 EU-weit zur Anwendung, ihre Vorgaben müssen also fortan komplett umgesetzt werden, sonst drohen Strafen.

3. Was will die EU mit der Datenschutz-Grundverordnung erreichen?

Die DSGVO lässt sich ganz allgemein aus drei Perspektiven betrachten: Wirtschaft, Technik, Verbraucher.

Die technische Perspektive: Ein grundsätzliches Ziel der DSGVO ist es, die veraltete bisherige EU-Richtlinie durch moderne, technikneutrale Regelungen zu ersetzen. 1995 gab es noch keine so großen sozialen Netzwerke wie Facebook, kein Videostreaming und keine Big-Data-Anwendungen.

Die Verbraucher-Perspektive: Die DSGVO reflektiert, wie viele Daten über jeden einzelnen Verbraucher erhoben, verarbeitet, weiterverbreitet und kommerzialisiert werden. Sie bringt den Nutzern verschiedene neue Auskunfts-, Lösch- und Widerspruchsrechte, die die Position der Verbraucher stärken.

Das Recht auf Vergessenwerden etwa bedeutet, dass EU-Bürger unter gewissen Umständen die Löschung ihrer personenbezogenen Daten verlangen können, zum Beispiel, wenn die Speicherung nicht länger notwendig ist oder wenn sie unrechtmäßig verarbeitet wurden.

Neu ist zudem das Recht auf Datenportabilität. Es besagt, dass Nutzer eines Onlinedienstes die Herausgabe ihrer personenbezogenen Daten in strukturierter, maschinenlesbarer Form verlangen können, um sie zu einem anderen Anbieter übertragen zu können. Im Auge hatte der Gesetzgeber vor allem soziale Netzwerke. Verschärft wird auch die Auskunftspflicht von Firmen nach einer Datenpanne oder einem Hack.

Kerngedanken der Verordnung sind die Prinzipien “Privacy by Design” und “Privacy by Default” – also Privatsphäre, die schon bei der Entwicklung eines Dienstes oder Produkts berücksichtigt wird und privatsphärefreundliche Voreinstellungen.

4. Wen betreffen die neuen Regeln?

Die DSGVO hat Folgen für jeden, der personenbezogene Daten verarbeitet, also auch für viele Blogger und Betreiber kleiner Websites (siehe Frage 6). Was “personenbezogene Daten” sind und was mit deren “Verarbeitung” gemeint ist, wird definiert: Personenbezogen sind Daten, wenn sie sich direkt oder indirekt auf einen identifizierbaren Menschen beziehen lassen.

Namen sind also immer personenbezogene Daten. Physische Merkmale wie Geschlecht, Hautfarbe oder Kleidergröße sind personenbezogen, wenn sie einem Menschen zugeordnet werden können. Das gilt auch für Autokennzeichen und IP-Adressen, soweit es rechtlich zulässige Wege gibt, die zu ihnen gehörenden Personen zu ermitteln.

Verarbeitet werden Daten immer dann, wenn sie erhoben, geordnet, gespeichert, verändert, verwendet, ausgelesen, abgefragt, transferiert, verknüpft, abgeglichen oder gelöscht werden. Besonders strenge Vorgaben gelten für die Verarbeitung von Daten, aus denen “rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen” hervorgehen sowie für Gesundheitsdaten.

Das ist eine große Herausforderung, weil die Regelungen der DSGVO sehr allgemein gehalten sind und auch die Experten oft nicht sicher sind, was zukünftig wie erlaubt ist.

Ein Beispiel: Manche, aber nicht alle Rechtsexperten gehen davon aus, dass die DSGVO das Verhältnis zwischen Kunstfreiheit beziehungsweise Kunsturhebergesetz und Datenschutz verändert – zum Nachteil von Fotografen. Ihr Szenario: Wer nicht fest angestellt für ein Medium arbeite, sondern zum Beispiel als freier Sport-, Konzert- oder Hochzeitsfotograf, braucht ab dem 25. Mai 2018 die Einwilligung jeder Person, die er fotografiert.

Das Bundesinnenministerium versuchte jedoch bereits, solche Bedenken zu zerstreuen. Fotografen könnten weiterarbeiten wie bisher, hieß es.

Website-Betreiber müssen, sofern ihre Seite nicht ausschließlich persönlichen oder familiären Zwecken dient, jeden Besucher darüber aufklären, welche personenbezogenen Daten sie zu welchem Zweck erheben und wie lange speichern. Vermieter haben durch die DSGVO ebenfalls neue Schutz-, Dokumentations-, Auskunfts- und Löschpflichten, wie sowohl der Deutsche Mieterbund als auch der Eigentümerverband Haus & Grund Deutschland sagen.

Auch Blogger, Onlineshop-Betreiber, niedergelassene Ärzte und Krankenhäuser, Schulen und Sportvereine müssen bestimmte Anforderungen erfüllen und Maßnahmen ergreifen – und natürlich auch US-Unternehmen wie Google und Facebook, die in der EU tätig sind und deren Geschäftsmodelle auf der Verwertung von Nutzerdaten beruhen. Besonders schwierig wird es künftig für Firmen, deren Dienste sich explizit oder in großem Maße an Minderjährige richten – sie müssen bei Nutzern unter 16 Jahren künftig Einwilligungen der Eltern einholen – oder aufs Speichern von Daten verzichten, so wie es zum Beispiel Snapchat tun will.

Ausgenommen von den Regeln der DSGVO sind übrigens die Daten von Strafverfolgungs- und Justizbehörden, wenn es um die Aufdeckung, Verfolgung oder Verhinderung von Straftaten geht. Für diese Daten gilt die ebenfalls neue, zeitgleich verabschiedete EU-Richtlinie für den Datenschutz bei Polizei und Justiz.

5. Worauf sollten Blogger und Betreiber kleiner Websites jetzt achten?

Viele Website-Betreiber und Blogger müssen sich mit der DSGVO auseinandersetzen – ansonsten drohen womöglich Abmahnungen. “Wenn ich auf meinem Blog zum Beispiel privat meine Katzen zeige, dann ist das okay, dann gilt die DSGVO für mich nicht”, “Wenn ich das Gleiche aber als Züchter mache, wenn ich so auch nur indirekt mein Geschäft fördere, verlasse ich schon den rein privaten Bereich und muss auf die DSGVO-Vorgaben achten. Das gilt auch, wenn ich auf meiner Seite irgendwo Werbung oder Affiliate-Links schalte.”

Ebenso wichtig sei es, zusätzlich zum Impressum eine DSGVO-konforme Datenschutzerklärung auf der Website zu haben, die sich von jeder Unterseite aus erreichen lässt.

Sollte trotz aller Anpassungen des eigenen Internetangebots dennoch eine Abmahnung mit Bezug auf die DSGVO ankommen, rät Heidrich Betroffenen, sich an einen Anwalt zu wenden: “Sonst kann das unter Umständen richtig teuer werden.”

6. Wer kontrolliert, ob die Regeln eingehalten werden?

In jedem EU-Land sollen unabhängige Aufsichtsbehörden über die Umsetzung der Verordnung wachen. In Deutschland sind das die Datenschutzbehörden der 16 Bundesländer.

Die Aufsichtsbehörden haben durch die DSGVO das Recht, zum Beispiel von Firmen Informationen einzufordern, die die Kontrolleure für ihre Arbeit benötigen. Dazu dürfen sie auch Ortsbesuche in den Geschäftsräumen machen. Außerdem führen die Behörden Datenschutzüberprüfungen durch und erteilen Zertifizierungen.

7. Welche Sanktionen drohen bei Verstößen?

Die DSGVO-Kontrolleure können bei wenig gravierenden Verstößen eine Verwarnung aussprechen und fordern, dass der Missstand innerhalb einer Frist behoben wird. Außerdem kann die Datenschutzbehörde dafür sorgen, dass personenbezogene Daten eines Nutzers berichtigt, gelöscht oder in ihrer Verarbeitung eingeschränkt werden – oder dafür, dass eine zuvor erteilte Zertifizierung wieder entzogen wird.

Darüber hinaus kann die DSGVO-Aufsicht Bußgelder verhängen, die deutlich höher sind als bei Verstößen gegen das bisherige Bundesdatenschutzgesetz, bei denen maximal 300.000 Euro Bußgeld drohte. Jetzt können – je nach Schwere des Verstoßes – bis zu 20 Millionen Euro fällig werden (Art. 83).

Weil großen Tech-Konzernen auch solche Summen eventuell klein erscheinen, gilt eine Extra-Regel: Sie sieht vor, dass das Bußgeld bis zu vier Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres betragen kann. Es soll immer diejenige Berechnung angewandt werden, die den höheren Bußgeld-Betrag für eine Firma nach sich zieht. Unter Umständen haften Verantwortliche sogar mit ihrem Privatvermögen.

An diese neuen Kompetenzen müssen auch die deutschen Aufseher ihre Arbeit erst noch anpassen. “Die DSGVO verlangt eine veränderte Arbeitsweise der Aufsichtsbehörden, da Entscheidungen der Aufsichtsbehörden in zusätzlichen Bereichen künftig auch justiziabel sein werden”, sagt ein Sprecher der Bundesdatenschutzbeauftragten.