Europa

Serie: Bürger gewinnen Hoheit über ihre Daten

Von Regina Theunissen, dpa

Eine neue Zeitrechnung beginnt am 25. Mai – zumindest, was den Datenschutz in Europa angeht. Nach einer zweijährigen Übergangsfrist tritt dann die europäische Datenschutzgrundverordnung – DSGVO – in Kraft. Von Verbraucherschützern wird sie als Revolution gefeiert, denn sie ermöglicht dem Nutzer zum Beispiel weitgehende Auskunfts- und Widerspruchsrechte – und das über Ländergrenzen hinweg in der gesamten Europäischen Union.

Lesezeit: 3 Minuten
Anzeige

Das sogenannte Marktortprinzip regelt, dass die DSGVO alle, deren Angebot auf den europäischen Markt ausgerichtet ist, im Geltungsbereich bindet, also auch amerikanische Konzerne wie Google, Amazon, Facebook und Co. Die kritischen Stimmen sind in den vergangenen Wochen und Monaten stiller geworden, erst recht nach den Erfahrungen mit dem Facebook-Skandal. Sie sind nun vielmehr dabei, die Vorgaben zum Stichtag umzusetzen.

Warum wurden diese neuen Regelungen entwickelt?

Datenschutz ist in der EU ein Grundrecht. „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten“, heißt es in der EU-Grundrechtecharta aus dem Jahr 2000. Die entsprechenden Regeln waren aber von 1995 – und ziemlich überholt. Die Umwälzungen durch Google, Facebook und andere Dienste waren damals nicht absehbar. Hinzu kommt, dass die Umsetzung der Regeln bislang jedem EU-Staat selbst überlassen blieb. Vor zwei Jahren haben sich EU-Staaten und das Europaparlament deshalb auf die Datenschutz-Grundverordnung geeinigt. Vom 25. Mai an muss sich jedes EU-Land daran halten.

Was wird in der neuen Verordnung geregelt?

Im Kern soll darin die Verarbeitung personenbezogener Daten durch Unternehmen, Vereine oder Behörden geregelt werden. Dazu gehören etwa Name, Adresse, E-Mail-Adresse, Ausweisnummer oder IP-Adresse. Wie die Daten gespeichert werden – digital, auf Papier oder mittels Videoaufnahme –, ist egal. Auch der, der zum Beispiel noch Kundendaten im Karteikasten führt, muss sich nach der DSGVO richten. Besonders empfindliche Daten zu religiösen Überzeugungen, Gesundheit oder Sexualleben dürfen nur in Ausnahmefällen verarbeitet werden. Nicht erfasst werden von der DSGVO anonyme Datenverarbeitungen und auch der persönliche Datenaustausch zum Beispiel innerhalb der Familie.

Was ändert sich konkret für die Verbraucher im Land?

EU-Bürger sollen die Hoheit über ihre Daten zurückbekommen, so das Versprechen. Daten, die für den ursprünglichen Zweck der Speicherung nicht mehr benötigt werden, müssen gelöscht werden. Zudem haben Verbraucher das Recht auf Auskunft. Unternehmen und Organisationen müssen gespeicherte Daten auf Anfrage zur Verfügung stellen. Die EU-Kommission nennt als Beispiel die Bonuskarte einer Supermarktkette: Kunden könnten nun erfahren, wie oft sie diese verwendet haben, bei welchen Supermärkten sie eingekauft haben und ob der Markt die Daten an ein Tochterunternehmen weitergeben hat. Ausnahmen gibt es auch – aber nur, wenn der Verbraucher seine Einwilligung gegeben hat. Umgekehrt hat er einen Anspruch auf Widerruf und Löschung.

Serie

Die DSGVO

Die Datenschutzgrundverordnung tritt am 25. Mai in Kraft. Wir berichten, was das bedeutet – für Unternehmen, Vereine und Verbraucher.

Und wie soll das Ganze durchgesetzt werden?

Der EU-Datenschutz war bislang ziemlich wirkungslos. Das lag auch an fehlenden Sanktionsmöglichkeiten. Von Ende Mai an drohen Strafen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ist. Beim Strafmaß sollen Faktoren wie Schwere und Dauer des Verstoßes, die Zahl der Betroffenen und die Vorsätzlichkeit berücksichtigt werden. Die Aufsichtsbehörden haben durch die DSGVO weitreichende Befugnisse. In Rheinland-Pfalz ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dieter Kugelmann, für die Einhaltung der Verordnung zuständig. Neben der Behördenkontrolle haben aber auch die Betroffenen Beschwerderechte.

Was müssen Unternehmen und andere Organisationen beachten?

Vor dem DSGVO war der Umgang mit Daten ja auch schon geregelt. Beispielsweise im Bundesdatenschutzgesetz, das nun im Zuge des DSGVO in einigen Teilen angepasst wird. Wer sich also schon daran gehalten hat, muss bis zum 25. Mai gar nicht mehr so viel tun.

Grundsätzlich sollen so wenige Informationen wie möglich gesammelt werden und nur solche, die tatsächlich gebraucht werden. Und sie müssen sicher abgespeichert sein. Neben der technischen Datensicherheit im eigenen Haus müssen die Unternehmen auch ihre Dienstleister in die Pflicht nehmen. Verträge zur Auftragsverarbeitung regeln den sorgsamen Umgang mit Kundendaten und sollen Verschwiegenheit garantieren.

Betreiber von Internetseiten müssen eine weitreichende und gut verständliche Datenschutzerklärung veröffentlichen und Kunden über den Umgang mit deren Daten informieren. Zudem dürfen die Daten nicht länger gespeichert werden, als sie tatsächlich gebraucht werden, und für keinen Zweck genutzt werden, der nicht mit der ursprünglichen Absicht vereinbar ist. Fast alle Firmen und Behörden, die mit personenbezogenen Daten arbeiten, müssen einen Datenschutzbeauftragten ernennen. Auch Vereine bleiben nicht außen vor.

Regina Theunissen/dpa

Grundsätze zur Arbeit mit personenbezogenen Daten

In der DSGVO ist relativ klar festgelegt, wie in deren Geltungsbereich grundsätzlich mit personenbezogenen Daten umgegangen werden soll. Hier die wichtigsten Stichworte:

Transparenz/Rechtmäßigkeit: Die Daten müssen auf rechtmäßige Weise nach den Grundsätzen von Treu und Glauben verarbeitet werden – und in einer für die betroffene Person nachvollziehbaren Art und Weise. Das Transparenzgebot setzt voraus, dass eine Person das Recht hat zu wissen, wie sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang diese Daten künftig noch verarbeitet werden. Alle Informationen und Mitteilungen zur Verarbeitung müssen leicht zugänglich, verständlich und in klarer und einfacher Sprache abgefasst sein.

Zweckbindung: Sie dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht für Zwecke verarbeitet werden, die mit der ursprünglichen Absicht nichts zu tun haben.

Datenminimierung: Die Menge der Daten muss angemessen und auf das für die Zweckerfüllung notwendige Maß beschränkt bleiben.

Richtigkeit: Die Daten müssen sachlich richtig und auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, damit unrichtige personenbezogene Daten unverzüglich gelöscht oder berichtigt werden.

Speicherbegrenzung: Die Daten dürfen nur so lange gespeichert werden, wie dies für die vereinbarte Leistung unbedingt erforderlich ist. Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen.

Integration und Vertraulichkeit: Die Daten müssen so gelagert werden, dass eine angemessene Sicherheit gewährleistet ist und sie vor Verwüstung oder Zerstörung, aber auch vor unabsichtlichem Verlust oder unberechtigtem Zugang geschützt sind.

Rechenschaftspflicht: Der Verantwortliche muss nachweisen können, dass er die oben genannten Grundsätze einhält.

Interview mit Datenschutzbeauftragten Kugelmann: „Wir werden viel europäischer agieren müssen“

Seine Behörde heißt exakt so wie seine Funktion: „Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz“. Prof. Dieter Kugelmann, der 2015 dieses Amt übernommen hat, arbeitet dennoch nicht allein. Er hat einen Stab von derzeit 24 Mitarbeitern, deren Aufgaben sich zum 25. Mai 2018 mit dem Inkrafttreten der europäischen Datenschutzgrundverordnung noch einmal gründlich erweitern.

Herr Kugelmann, Sie haben kürzlich einmal gesagt, dass es in ihrem Leben eine Zäsur gibt: Die Zeit vor dem 25. Mai 2018 und die Zeit danach. Was meinen Sie damit?

Diese etwas scherzhaft gemeinte Bemerkung sollte aufzeigen, dass mit der europäischen Datenschutzgrundverordnung schon ein deutliches Zeichen für den Datenschutz gesetzt worden ist. Erstens: Die Betroffenen haben weit mehr Rechte als bisher. Und zweitens hat unsere Behörde nun mehr Verantwortung bekommen – und mehr Befugnisse. Wir versuchen, uns gut darauf vorzubereiten, denn wir werden viel europäischer agieren müssen, aber auch stärker als bisher als Behörde fungieren – mit Fristsetzungen, Bußgeldern und so weiter. Es wird sich einiges ändern. Für mich als Europarechtler, der 2015 in die jetzige Funktion gewählt wurde, ist das hochspannend (Anmerkung der Red.: Dieter Kugelmann war unter anderem Professor für Europarecht in Halberstadt und an der Polizeihochschule Münster).

Was ist für Sie persönlich das wichtigste, herausragende Kennzeichen der neuen EU-Datenschutzgrundverordnung?

Ich persönlich finde es wichtig, dass der normale Mensch, der sich im Internet bewegt, der etwas bestellen möchte oder andere Dinge tut, jetzt wesentlich besser informiert ist und sich viel besser wehren kann, wenn ihm etwas nicht passt.

Im Vorfeld einer solch einschneidenden Änderung gibt es sicher von allen Seiten viele Fragen. Sie nehmen an zahlreichen Veranstaltungen teil. Wie empfinden Sie die Stimmung im Land im Hinblick auf den 25. Mai 2018?

Die Stimmung in Rheinland-Pfalz ist aufgekratzt und etwas von Verunsicherung geprägt. Viele Menschen haben gemerkt, da kommt etwas, und sind wach geworden. Das Bewusstsein für den Datenschutz ist gestiegen. Manche Unternehmen mussten aber auch fast bei null anfangen. Aber es muss sich vieles zurechtruckeln. Es ist aber auch nicht so, dass am 25. Mai der Hammer fällt und man sich danach um nichts mehr kümmern muss. Das ist ein Prozess. Das wird weitergehen.

Ihr Amt ist in Sachen Datenschutz die oberste Aufsichtsbehörde in Rheinland-Pfalz. Wie haben Sie sich denn personell und organisatorisch auf die Einführung des neuen Datenschutzrechts und die erweiterten Zuständigkeiten eingestellt?

Wir haben seit einem Jahr unsere Organisation auf die Veränderung hin angepasst und zum Beispiel eine eigene Stelle zur Rechtsdurchsetzung eingerichtet. Außerdem haben wir auch einige neue Mitarbeiter bekommen, im nächsten Jahr werden es hoffentlich noch einige mehr. Denn wir werden verstärkt europäisch arbeiten, und deshalb werden auch alle Mitarbeiter Englisch können müssen. Wir planen, auch andere Aufsichtsbehörden in Europa zu besuchen, um zu schauen, wie diese arbeiten, und um uns mit ihnen zu vernetzen.

Was machen Sie am 25. Mai? Haben Ihre Mitarbeiter jetzt erst einmal Urlaubssperre?

Ich mache dann eine Flasche Sekt auf – eine Flasche Winzersekt aus der Region – und stoße an auf eine wirklich gute Entwicklung. Nach dem 25. Mai ist es wichtig, dass sich der Pulverdampf erst einmal legt und man in die Anwendung kommt. Es muss sicherlich niemand in Panik verfallen, aber natürlich werden ab dem Stichtag auch die ersten Beschwerden erwartet.

Das Gespräch führte Regina Theunissen

Meistgelesene Artikel