1. Wirtschaft

Aachen/Brüssel: Am 25. Mai fährt Europa den Datenschutz hoch

Aachen/Brüssel : Am 25. Mai fährt Europa den Datenschutz hoch

Jan Albrecht gerät ins Schwärmen, wenn von der neuen Datenschutz-Grundverordnung (DSGVO) der EU die Rede ist: „Wir setzen einen Standard, an dem kein Land der Welt mehr vorbeikommt.“

Und dann zählt der Grünen-Experte im Europäischen Parlament, der als Berichterstatter die vielleicht ehrgeizigste Reform der Union vorangetrieben hat, auf: „In Japan, Korea, Australien, Neuseeland — überall schreiben Firmen und Staaten ihre Datenschutz-Regeln um. Sogar im US-Kongress werde darüber diskutiert, ob man nicht nachziehen müsse.

„Das Internet wird erwachsen“, sagen Beobachter, wenn sie die neuen Regeln bewerten, die ab dem 25. Mai endgültig gelten. Vor Nachlässigkeiten bei der Umsetzung wird gewarnt. Denn die Neuregelungen gelten eigentlich schon seit 2016; am 25. Mai endet lediglich die Frist zur Umsetzung. Die Datenschutzbeauftragten der Länder verweisen mit Recht darauf, dass die DSGVO mit ihren 99 Artikeln nicht vom Himmel gefallen ist. Wer also noch nicht mit der Umsetzung angefangen hat, sollte sich beeilen. Denn die Aufsichtsbehörden haben ihre Bußgeldvollzugsstellen aufgerüstet.

Warum kommen die neuen Regeln jetzt?

Datenschutz ist in der EU ein Grundrecht. „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten“, heißt es in der EU-Grundrechtecharta aus dem Jahr 2000. Die entsprechenden Regeln waren allerdings von 1995 — und ziemlich überholt. Die Umwälzungen durch Google, Facebook und andere Dienste waren nicht absehbar. Hinzu kommt, dass die Umsetzung der Regeln bislang jedem EU-Staat überlassen blieb. Das Ergebnis war ein Flickenteppich. Nun soll das Recht EU-weit auf einen einheitlichen Stand gebracht werden.

Für wen gelten die neuen Regeln?

Betroffen sind grundsätzlich alle Selbstständigen, Unternehmen, Blogger, Vereine oder Vereinigungen, die personenbezogene Daten automatisiert verarbeiten. Die Regeln gelten auch für Unternehmen, die außerhalb der EU sitzen, ihre Dienste aber hier anbieten. Ausgenommen sind Privatpersonen, wenn sie Daten für persönliche oder familiäre Zwecke verwenden.

Was sind überhaupt personenbezogene Daten?

Jenseits von komplizierten juristischen Formeln: Name, Adresse, Geburtsdatum, Ausweisnummer, IP-Adresse, E-Mail-Adresse, Steuernummer, Autokennzeichen oder Kontoverbindung.

Was ändert sich für Verbraucher?

Sie sollen die Hoheit über ihre Daten zurückbekommen. Das ist jedenfalls das Versprechen. Sie haben nun das sogenannte Recht auf Vergessenwerden: Firmen oder Behörden müssen Daten über einen Menschen — Informationen über das Privat- oder Berufsleben, Fotos im Web — löschen, wenn dieser das fordert und es keine rechtlichen Gründe gibt, sie weiter zu speichern. Informationsfreiheit kann ein Hindernis für die Löschung sein, etwa wenn ein Politiker frühere Fehltritte vertuschen möchte. Auch müssen Daten, die für den ursprünglichen Zweck der Speicherung nicht mehr benötigt werden, gelöscht werden. Unternehmen und Organisationen müssen außerdem gespeicherte Daten auf Anfrage zur Verfügung stellen. Die EU-Kommission nennt als Beispiel für dieses Recht auf Auskunft die Bonuskarte eines Supermarktes: Kunden könnten etwa erfahren, wie oft sie die Karte verwendet haben, bei welchen Supermärkten sie eingekauft haben, und ob der Supermarkt die Daten an eine Tochter weitergeben hat. Das Recht auf Datenübertragbarkeit, der sogenannte Datenrucksack, sichert Verbrauchern die Möglichkeit, E-Mails, Fotos oder Kontakte mitzunehmen, wenn sie von einem Online-Dienst zum nächsten wechseln. Die Firmen müssen die Daten entweder dem Verbraucher maschinenlesbar aushändigen oder direkt an die neue Firma schicken.

Wie werden Kinder geschützt?

Internet-Dienste dürfen personenbezogene Daten erst verarbeiten, wenn ein Nutzer 16 Jahre oder älter ist. Sind die Nutzer jünger, müssen die Eltern mitentscheiden. Die neuen Regeln schreiben aber nicht vor, wie ein Unternehmen das Alter der Betroffenen feststellen soll. Auch wie sich Eltern gegenüber dem Dienst überhaupt identifizieren sollen, lässt die DSGVO offen.

Was müssen Unternehmen und andere Organisationen beachten?

Grundsätzlich gilt: Es sollen so wenige Informationen wie möglich gesammelt werden. Nur jene Daten dürfen erhoben werden, die tatsächlich gebraucht werden. Sie müssen so sicher gespeichert werden, dass unbefugter und unrechtmäßiger Zugriff, aber auch versehentlicher Verlust der Daten nicht möglich ist — und nicht länger, als sie tatsächlich gebraucht werden. Sie dürfen für keinen Zweck genutzt werden, der nicht mit dem ursprünglichen Zweck vereinbar ist. Die Daten müssen so sicher gespeichert werden, dass unbefugter Zugriff, aber auch versehentlicher Verlust nicht möglich ist. Je sensibler die Daten sind, desto besser müssen sie geschützt werden. Besonders empfindliche Daten zu religiösen Überzeugungen, Gesundheit oder Sexualleben dürfen nur in Ausnahmefällen verarbeitet werden. Über Datenschutz-Verstöße — etwa durch Datenlecks oder Hackerangriffe — müssen die Verbraucher informiert werden. Wenn ein Risiko für sie entstanden ist, müssen die Verstöße zudem innerhalb von 72 Stunden bei den Aufsichtsbehörden gemeldet werden.

Was bedeutet das praktisch?

Die neuen Vorschriften sind der Grund dafür, warum zahlreiche Unternehmen uns gerade dazu auffordern, geänderten Nutzungsbedingungen zuzustimmen. Die Verordnung verlangt, dass sie die Änderungen auf eine leicht verständliche Weise kommunizieren. Viele Grundsätze, die bereits jetzt Gültigkeit haben und durch die Datenschutzgesetze geregelt sind, sind auch in der DSGVO vorgesehen und bleiben somit erhalten. Dazu zählen etwa Grundsätze des Verbots mit Erlaubnisvorbehalt oder auch die Datensparsamkeit. Dazu zählt auch ein Datenschutzbeauftragter, der immer dann bestellt werden muss, wenn mindestens zehn Personen im Verein oder im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dieser Beauftragte muss der jeweiligen zuständigen Aufsichtsbehörde nun gemeldet werden. Zentral stehen in der neuen Verordnung verschärfte Dokumentations- und Rechenschaftspflichten. So muss nachgewiesen werden können, dass Kunden oder Nutzer eine ausdrückliche Zustimmung dazu gegeben haben, dass ihre Daten gespeichert oder verarbeitet werden dürfen. Ganz wichtig ist auch das „Verzeichnis von Verarbeitungstätigkeiten“, in dem festgehalten werden soll, wie mit den Daten umgegangen wird, wer Zugriff darauf hat und wie sie geschützt werden.

Wer setzt die neuen Regeln durch?

Zuständig sind die Datenschutzbeauftragten der Länder. „Wir haben einen großen Werkzeugkasten“, sagt ein Sprecher der Behörde in NRW. Man werde tätig, wenn es einen Hinweis gebe, beispielsweise durch die Beschwerde eines Betroffenen. Es soll aber auch wie bisher Stichproben geben. Bei Verstößen werde aber nicht gleich das schwere Gerät herausgeholt. Gerade am Anfang wollen die Behörden vor allem beratend tätig werden. Bei gravierenden Verstößen oder bei Beratungsresistenz drohen allerdings sofort Bußgelder. Vorgesehen sind Strafen von bis zu 20 Millionen Euro oder von bis zu vier Prozent des weltweiten Jahresumsatzes. Bei Unternehmen wie Google oder Facebook kann man sich vorstellen, um welche Summen es sich da handelt. Die EU ist fest entschlossen, die Sanktionierung von Verstößen umzusetzen, weil genau dies bislang praktisch nicht stattfand.

Wer ist verantwortlich, wenn es sich um ein Unternehmen außerhalb der EU handelt?

In dieser Frage betritt die Union tatsächlich Neuland. Denn es wird künftig ohne Bedeutung sein, ob ein Anbieter seine europäischen Kunden von den Cayman-Inseln oder aus der Bundesrepublik heraus bedient. Für den Anbieter gelten die EU-Regeln. Kommen die Datenschutzbeauftragten der Länder in solchen Fällen nicht weiter oder haben sie den Eindruck, dass in einem anderen EU-Land zu nachlässig gearbeitet wird, können sie über den neuen Europäischen Datenschutzausschuss darauf einwirken. Er setzt sich aus den Präsidenten der europäischen Aufsichtsbehörden zusammen.

Droht jetzt eine Abmahnwelle?

Die Verordnung bietet jedenfalls auch die Möglichkeit, zivilrechtlich Schadenersatz bei einem Unternehmen geltend zu machen, wenn gegen die neue Regelen verstoßen wird. Wie hoch dieser Schadenersatz sein könnte, ist unklar. Es kann also durchaus sein, dass sogenannte Abmahnanwälte die neue Rechtslage austesten könnten. Experten gehen davon aus, dass davon vor allem kleine und mittelständische Unternehmen betroffen sein dürften, da diese sich juristisch eher nicht zur Wehr setzen dürften. Umso wichtiger sei deshalb eine stimmige Datenschutzerklärung auf der Unternehmenswebsite, der konforme Einsatz von Analyse-Tools und der Versand von Newslettern nur nach ausdrücklicher Zustimmung.

Sind die betroffenen Unternehmen und Organisationen gut auf die neue Verordnung vorbereitet?

Umfragen aus jüngster Zeit lassen daran zumindest zweifeln. Die Unsicherheit ist allenthalben groß, wie es bei Kammern und Verbänden heißt. Handwerkskammern und Industrie- und Handelskammern — auch die in Aachen — bieten Informationsveranstaltungen an, warnen aber vor Panikmache und Aktionismus. „Die Anfragen häufen sich“, sagt Karl Fährmann, Datenschutzbeauftragter der Handwerkskammer Aachen. Jeder Betrieb und jede Organisation muss nun genau überprüfen, welche Pflichten für ihn relevant sind und welche nicht. Die Umsetzung der DSGVO ist gerade für Kleinunternehmer oder kleine Vereine eher keine Hexerei. Das bestätigt Robert van Eisern, Präsident der Aachener Karlsschützengilde. „Datenschutz war schon immer ein wichtiges Thema für uns und ist in der Satzung verankert“, sagt er. Die Anpassungen seien jetzt kein großer Aufwand, und die Handreichungen des Rheinischen und des Deutschen Schützenbundes sehr hilfreich. Wie überhaupt fast alle Dachverbände ihren Vereinen mit Rat und Tat zur Seite stehen. Also: Wer bislang schon seine Hausaufgaben erledigt hat, sollte keine Schwierigkeiten bekommen. Für den könnte die neue Verordnung sogar zu einem Standortvorteil werden, wie Karl Fährmann sagt. Wer das nicht gemacht hat, für den wird die Zeit allerdings jetzt sehr knapp.

Und wie geht es weiter mit dem Datenschutz in der EU?

Da bleibt auch mit der neuen Grundverordnung noch einiges zu tun. Erst durch die für 2019 erwartete Verordnung zur elektronischen Privatsphäre (e-privacy) wird der Schutz vollständig. Dann sollen die bereits seit Jahren gültigen strengen Auflagen zum Schutz des gesprochenen Wortes via Telefon auch auf Messenger-Dienste wie WhatsApp oder Skype übertragen und Cookies zum Verfolgen der besuchten Webseiten ohne Zustimmung verboten werden. Dabei gibt es allerdings noch einen Stolperstein: Bisher ist nicht klar, wie den Sicherheitsbehörden Zugriff auf diese Angebote zugesichert werden kann. Die EU stellt nämlich den Schutz der eigenen Daten über alles andere.