München – „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten“, heißt es in Artikel 8 der Charta der Grundrechte der Europäischen Union. Das bedeutet: Datenschutz ist in der EU ein Grundrecht. Die Frage ist, was mit „Schutz“ genau gemeint ist. Welche Daten überhaupt schützenswert sind. Und warum dennoch ein Datenskandal den nächsten jagt – wie zuletzt der Datenfluss von Facebook an Cambridge Analytica. Das jüngste Datenleck hat einmal mehr deutlich gemacht: Datenschutz funktioniert (auch) in der EU nicht, beziehungsweise nicht gut genug. Neue Regeln sind überfällig, mahnen Verbraucherschützer. Insbesondere vor dem Hintergrund, dass die bis dato gültigen Regeln aus dem Jahr 1995 stammen.
Seitdem hat sich viel getan. Internetkonzerne wie Facebook, Google und Co. haben sich zu wahren Datensammlern entwickelt. Bei der Nutzung sind den Konzernen wenig Grenzen gesetzt. Das soll sich nun mit der sogenannten Datenschutz-Grundverordnung (DSGVO) ändern, die ab 25. Mai gilt.
Fast zehn Jahre hat es gedauert, bis die neuen EU-Datenschutzregeln in Kraft treten – flankiert von viel Lobbyarbeit seitens US-Internetfirmen. Bereits 2012 stellte die EU-Kommission einen Vorschlag für die Reform des Datenschutzes vor, vier Jahre später einigten sich das Europaparlament und die EU-Staaten auf eine endgültige Fassung. Wiederum zwei Jahre später tritt die Verordnung nun in Kraft – und ersetzt die nationalen Datenschutzgesetze der 28 EU-Länder durch EU-Recht.
Für Verbraucher- und Datenschützer stellen die neuen Regeln einen „Meilenstein für den Datenschutz“ dar. Aus der Wirtschaft kam dagegen bis zuletzt Kritik. Vor allem Klein- und Mittelständler – aber auch Vereine, für die die Vorgaben ebenso gelten – haben mit der Umsetzung zu kämpfen. Zudem gibt es Befürchtungen – etwa seitens des Bundesverbands mittelständische Wirtschaft –, dass Abmahnkanzleien pünktlich zum 25. Mai aus Verstößen ein Geschäftsmodell entwickeln könnten.
Dabei gelten die neuen Regeln auch für Firmen, die außerhalb der EU sitzen, ihre Dienste aber in der EU anbieten – so etwa Facebook und Google. Viele der DSGVO-Regeln gibt es im deutschen Datenschutzrecht bereits, andere sind neu. Ein Überblick:
-Recht auf Information: Verbraucher müssen von Beginn an darüber informiert werden, wer ihre persönlichen Daten wie Name, Adresse, E-Mail-Adresse und Ausweisnummer aus welchem Grund erhebt – und sie müssen zustimmen. Zudem muss klar sein, wie lange die Daten aufbewahrt werden sollen. Die Einwilligung muss jederzeit zurückgezogen werden können.
Mit der Verordnung wird erstmals auch geregelt, dass es für Kinder einer vorherigen Zustimmung der Eltern bedarf, damit personenbezogene Daten verarbeitet werden dürfen – zum Beispiel bei der Nutzung von Facebook. In Deutschland liegt die Altersgrenze bei 16 Jahren. Wie die Firmen überprüfen wollen, ob die Eltern einer Nutzung zustimmen, ist aber bislang offen.
Wie bisher können besondere Kategorien von Daten nur unter bestimmten Voraussetzungen verarbeitet werden: Daten, aus denen rassische oder ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, fallen ebenso in diese Kategorie wie genetische Daten, Gesundheitsdaten und Daten zum Sexualleben. Auch biometrische Daten wie Stimmerkennung oder Fingerprint gehören zu den besonders sensiblen Daten.
-Recht auf Vergessenwerden: Daten, die für den ursprünglichen Zweck der Speicherung nicht mehr benötigt werden, müssen gelöscht werden. Außerdem bekommen Nutzer das Recht, personenbezogene Daten wie Informationen über das Privat- oder Berufsleben sowie Fotos im Web löschen zu lassen. Wenn zum Beispiel noch Jugendsünden im Netz zu finden sind, die Betroffene gerne loswerden möchten, können sie das jetzt fordern. Informationsfreiheit kann allerdings ein Hindernis für die Löschung sein, etwa wenn ein Politiker frühere Fehltritte vertuschen möchte.
-Datenminimierung: Es sollen so wenig persönliche Daten wie möglich verarbeitet werden. Zudem dürfen die Daten nicht beliebig, sondern nur zweckgebunden erhoben werden.
-Recht auf Auskunft: Unternehmen und Organisationen müssen gespeicherte Daten auf Anfrage zur Verfügung stellen. Das bringt für die Firmen weitreichende Dokumentationspflichten mit sich (siehe Interview).
-Datenrucksack: Wechseln Verbraucher von einem Anbieter zum anderen (etwa bei sozialen Netzwerken), können sie ihre Daten wie Mails, Fotos oder Kontakte mitnehmen. Die Firmen müssen die Daten entweder dem Verbraucher maschinenlesbar aushändigen oder direkt an die neue Firma schicken.
-Mehr Sicherheit: Daten müssen so sicher gespeichert werden, dass unbefugter Zugriff, aber auch versehentlicher Verlust nicht möglich sind. Wenn die eigenen Daten von einer Panne oder einem Hackerangriff betroffen waren, müssen die Firmen das den Verbrauchern binnen 72 Stunden melden – außer der Vorfall führte „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten“ der Betroffenen. Wenn ein Risiko entstanden ist, müssen Unternehmen die Verstöße zudem bei nationalen Behörden melden.
-Strafen: Bei Verstößen gegen die EU-Regeln drohen Firmen Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes – je nachdem was höher ist. mit Material von afp und dpa