Fragen und Antworten

Was hinter der neuen Datenschutzgrundverordnung steckt

Thomas Steiner

Von Thomas Steiner

Fr, 18. Mai 2018 um 15:30 Uhr

Deutschland

Am 25. Mai tritt die Europäische Datenschutzgrundverordnung in Kraft. Mit ihr sollen Nutzerrechte verbessert und Europas Unternehmen auf dem Datenmarkt gestärkt werden. Allerdings hat sie erst einmal für Verunsicherung gesorgt.

Die Datenschutzgrundverordnung wurde vor zwei Jahren von EU-Parlament und EU-Ministerrat verabschiedet. Sie trat im Mai 2016 in Kraft, ihre Anwendung wurde aber aufgeschoben, um den EU-Staaten und allen Datenverarbeitern Zeit zur Vorbereitung zu geben. Diese Frist ist nun um. Was soll und was bringt die DSGVO? Fragen und Antworten.

Warum braucht es eine Europäische Datenschutzgrundverordnung?
Weil es zuvor in der EU 28 verschiedene nationale Datenschutzgesetze gab. Dies bedeutete Rechtsunsicherheit für Unternehmen, die in mehr als einem Land Daten erheben, speichern und weiterverarbeiten, sowie ungleiche Ausgangsbedingungen für Konkurrenten aus verschiedenen Ländern. Wie auf anderen Märkten auch, sollen bei der Datenverarbeitung einheitliche Regeln für den ganzen europäischen Binnenmarkt gelten, ein freier Datenverkehr soll möglich sein. Das war vor allem der EU-Kommission wichtig.

Zugleich, und darauf hat das EU-Parlament Wert gelegt, werden die Rechte der Nutzer und Verbraucher auf den Schutz ihrer personenbezogenen Daten gestärkt. Dazu gehören Name, Adresse, Mail-Adresse oder Ausweisnummer. Insbesondere Daten, aus denen die ethnische Herkunft, politische Meinungen oder religiöse und weltanschauliche Überzeugungen hervorgehen, sowie Daten über Gesundheit und Sexualleben dürfen nur in Ausnahmefällen und mit ausdrücklicher Einwilligung gespeichert werden.

Was sind für Unternehmen die wichtigsten Anforderungen ?
Grundsätzlich dürfen alle Daten gespeichert werden, die für die Abwicklung eines Geschäfts oder eines Vertrags notwendig sind. Sie müssen weiter so gespeichert werden, dass Dritte keinen Zugriff darauf erlangen können. Es gibt aber, so der baden-württembergische Datenschutzbeauftragte, Stefan Brink, "zwei wichtige Veränderungen". Die erste: "Es gibt Dokumentationspflichten. Jeder Datenverarbeiter muss künftig belegen können, dass er rechtskonform vorgeht." Wer was wann wo abspeichert, muss nachvollziehbar sein. Unternehmen ab zehn Beschäftigten müssen Datenschutzbeauftragte bestellen.

Die "zweite Verschärfung", so Brink, ist, "dass es jetzt massive Bußgelder bei Verstößen gegen den Datenschutz gibt". Während die EU-Kommission seinerzeit zwei Prozent des Jahresumsatzes einer Firma als maximales Bußgeld einführen wollte, wollte das Parlament fünf Prozent. Herausgekommen sind vier Prozent. Diese Bußgelder, die von den Datenschutzbehörden verhängt werden können, sind es, die in einigen kleineren Unternehmen Angst hervorrufen. Der Datenschutzbeauftragte sagt aber, seine Behörde werde nach dem 25. Mai "nicht brandschatzend durchs Land ziehen", sondern bei Verstößen den Unternehmen "beratend zur Seite stehen". Er hat denn auch letztes Jahr 20 neue Stellen für die Beratung bekommen, aber nur zwei für die Bußgeldstelle.

Gilt die Grundverordnung auch für US-Unternehmen wie Facebook?
Ja. Künftig gilt in der EU das Marktortprinzip. Nicht nur hiesige Unternehmen sind der Verordnung unterworfen, sondern alle Firmen, deren Datenverarbeitung dazu dient, das Verhalten von Menschen in der EU zu beobachten. Dazu gehören auch Google und Amazon. Zwei Prinzipien erschweren die Geschäfte von Facebook und Google zudem. Erstens die Datensparsamkeit, nach der nur die für eine Dienstleistung erforderlichen Daten gespeichert werden dürfen. Zweitens das Kopplungsverbot, das etwa untersagt, dass eine Spiele-App auch Zugriff auf alle Kontakte des Käufers bekommt. Des Weiteren ist es durch die einheitliche Grundverordnung nicht mehr möglich, dass US-Unternehmen ihre Europageschäfte in einem Land ansiedeln, in dem – neben geringeren Steuersätzen – laxere Datenschutzgesetze gelten. So hatte sich Facebook auch deshalb in Irland angesiedelt.

Welche Verbraucherrechte stärkt die Verordnung?
Internetkäufer und -nutzer müssen künftig ausdrücklich gefragt werden, ob sie einer Speicherung und Verarbeitung ihrer Daten zustimmen. Voreingestellte Häkchen in gewissen Kästchen sind nicht mehr zulässig. Wer möchte, dass Daten gelöscht werden, kann erstens bei Unternehmen anfragen, was über ihn gespeichert wurde, und dann verlangen, dass Teile davon oder auch alles "vergessen" wird. Das Löschbegehren muss vom jeweiligen Unternehmen auch an Dritte weitergegeben werden, an die es Daten weitergereicht hatte. Weiter sind Unternehmen verpflichtet, dem Nutzer bei ihnen gespeicherte Daten in einer elektronischen Form herauszugeben, die es ihm ermöglicht, sie einem anderen Anbieter auszuhändigen.

Diese Datenportabilität soll es erleichtern, zum Beispiel von einem sozialen Netzwerk zu einem anderen zu wechseln. Schließlich schreibt die Grundverordnung vor, dass bei Verletzungen des Schutzes personenbezogener Daten, etwa bei einem Hack, die Betroffenen benachrichtigt werden müssen, ebenso die Datenschutzbehörden.

Ist mit der Grundverordnung jetzt alles geregelt?
Nein. Zwar denken bereits Länder wie Japan oder Südkorea darüber nach, die Standards der europäischen Verordnung zu übernehmen, aber diese gelten auch mit dem 25. Mai noch nicht in der ganzen EU. Wie die zuständige EU-Justizkommissarin Vera Jourová kürzlich auf einer Konferenz in Berlin beklagte, haben acht Länder es trotz der Zweijahresfrist nicht geschafft, entsprechende nationale Gesetze zur Anwendung der Grundverordnung zu verabschieden. Auch in Deutschland müssen zum Unwillen der Kommissarin noch Anschlussgesetze erlassen werden, etwa zur Speicherung von Gesundheitsdaten. Teils herrscht hier noch Rechtsunsicherheit. Und es gilt wie für jedes neue Gesetzeswerk: Die Umsetzung wird erst in Gerichtsverfahren präzisiert werden.



Mehr zum Thema