Serie: Bürger gewinnen Hoheit über ihre Daten
Das sogenannte Marktortprinzip regelt, dass die DSGVO alle, deren Angebot auf den europäischen Markt ausgerichtet ist, im Geltungsbereich bindet, also auch amerikanische Konzerne wie Google, Amazon, Facebook und Co. Die kritischen Stimmen sind in den vergangenen Wochen und Monaten stiller geworden, erst recht nach den Erfahrungen mit dem Facebook-Skandal. Sie sind nun vielmehr dabei, die Vorgaben zum Stichtag umzusetzen.
Warum wurden diese neuen Regelungen entwickelt?
Datenschutz ist in der EU ein Grundrecht. „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten“, heißt es in der EU-Grundrechtecharta aus dem Jahr 2000. Die entsprechenden Regeln waren aber von 1995 – und ziemlich überholt. Die Umwälzungen durch Google, Facebook und andere Dienste waren damals nicht absehbar. Hinzu kommt, dass die Umsetzung der Regeln bislang jedem EU-Staat selbst überlassen blieb. Vor zwei Jahren haben sich EU-Staaten und das Europaparlament deshalb auf die Datenschutz-Grundverordnung geeinigt. Vom 25. Mai an muss sich jedes EU-Land daran halten.
Was wird in der neuen Verordnung geregelt?
Im Kern soll darin die Verarbeitung personenbezogener Daten durch Unternehmen, Vereine oder Behörden geregelt werden. Dazu gehören etwa Name, Adresse, E-Mail-Adresse, Ausweisnummer oder IP-Adresse. Wie die Daten gespeichert werden – digital, auf Papier oder mittels Videoaufnahme –, ist egal. Auch der, der zum Beispiel noch Kundendaten im Karteikasten führt, muss sich nach der DSGVO richten. Besonders empfindliche Daten zu religiösen Überzeugungen, Gesundheit oder Sexualleben dürfen nur in Ausnahmefällen verarbeitet werden. Nicht erfasst werden von der DSGVO anonyme Datenverarbeitungen und auch der persönliche Datenaustausch zum Beispiel innerhalb der Familie.
Was ändert sich konkret für die Verbraucher im Land?
EU-Bürger sollen die Hoheit über ihre Daten zurückbekommen, so das Versprechen. Daten, die für den ursprünglichen Zweck der Speicherung nicht mehr benötigt werden, müssen gelöscht werden. Zudem haben Verbraucher das Recht auf Auskunft. Unternehmen und Organisationen müssen gespeicherte Daten auf Anfrage zur Verfügung stellen. Die EU-Kommission nennt als Beispiel die Bonuskarte einer Supermarktkette: Kunden könnten nun erfahren, wie oft sie diese verwendet haben, bei welchen Supermärkten sie eingekauft haben und ob der Markt die Daten an ein Tochterunternehmen weitergeben hat. Ausnahmen gibt es auch – aber nur, wenn der Verbraucher seine Einwilligung gegeben hat. Umgekehrt hat er einen Anspruch auf Widerruf und Löschung.
Serie
Die DSGVO
Die Datenschutzgrundverordnung tritt am 25. Mai in Kraft. Wir berichten, was das bedeutet – für Unternehmen, Vereine und Verbraucher.
Und wie soll das Ganze durchgesetzt werden?
Der EU-Datenschutz war bislang ziemlich wirkungslos. Das lag auch an fehlenden Sanktionsmöglichkeiten. Von Ende Mai an drohen Strafen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ist. Beim Strafmaß sollen Faktoren wie Schwere und Dauer des Verstoßes, die Zahl der Betroffenen und die Vorsätzlichkeit berücksichtigt werden. Die Aufsichtsbehörden haben durch die DSGVO weitreichende Befugnisse. In Rheinland-Pfalz ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dieter Kugelmann, für die Einhaltung der Verordnung zuständig. Neben der Behördenkontrolle haben aber auch die Betroffenen Beschwerderechte.
Was müssen Unternehmen und andere Organisationen beachten?
Vor dem DSGVO war der Umgang mit Daten ja auch schon geregelt. Beispielsweise im Bundesdatenschutzgesetz, das nun im Zuge des DSGVO in einigen Teilen angepasst wird. Wer sich also schon daran gehalten hat, muss bis zum 25. Mai gar nicht mehr so viel tun.
Grundsätzlich sollen so wenige Informationen wie möglich gesammelt werden und nur solche, die tatsächlich gebraucht werden. Und sie müssen sicher abgespeichert sein. Neben der technischen Datensicherheit im eigenen Haus müssen die Unternehmen auch ihre Dienstleister in die Pflicht nehmen. Verträge zur Auftragsverarbeitung regeln den sorgsamen Umgang mit Kundendaten und sollen Verschwiegenheit garantieren.
Betreiber von Internetseiten müssen eine weitreichende und gut verständliche Datenschutzerklärung veröffentlichen und Kunden über den Umgang mit deren Daten informieren. Zudem dürfen die Daten nicht länger gespeichert werden, als sie tatsächlich gebraucht werden, und für keinen Zweck genutzt werden, der nicht mit der ursprünglichen Absicht vereinbar ist. Fast alle Firmen und Behörden, die mit personenbezogenen Daten arbeiten, müssen einen Datenschutzbeauftragten ernennen. Auch Vereine bleiben nicht außen vor.
Regina Theunissen/dpa