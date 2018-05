Gemischte Gefühle zum Start der Europäischen Datenschutzgrundverordnung

von Renate Grimming,Waltraud Messmann

25. Mai 2018, 05:00 Uhr

Ab heute gilt die europäische Datenschutzgrundverordnung (DSGVO) europaweit. Es gebe durchaus Grund, sie als große Chance und als Wettbewerbsvorteil zu begreifen, betont aus diesem Anlass die Bundesbeauftragte Andrea Voßhoff. „Wir haben in Deutschland eine Kernkompetenz im Datenschutz“, sagte sie dem Rundfunk Berlin-Brandenburg (rbb). „Warum lassen sich daraus nicht auch Geschäftsmodelle entwickeln?“

„Europa setzt den globalen Standard beim Datenschutz“, jubelte auch Jan Philipp Albrecht, Grünen-Abgeordneter im Europa-Parlament, in einem Beitrag auf Twitter. Unternehmen aus allen Teilen der Welt würden den Start der DSGVO begrüßen. Am Donnerstag kündigte Microsoft an, das Regelwerk in seinem weltweiten Geschäft befolgen zu wollen. Die DSGVO sei ein entscheidender Fortschritt für die Datenschutzrechte in Europa und in der ganzen Welt, schrieb Microsoft-Managerin Julie Brill. „Datenschutz ist ein fundamentales Menschenrecht.“

Was die Anwender jetzt wissen sollten

Geltungsbereich Die Verordnung gilt nicht nur für Großkonzerne wie Facebook und Google. Betroffen sind eigentlich alle, die automatisiert personenbezogene Daten verarbeiten – zum Beispiel kleine Handwerksbetriebe, Selbstständige, Versicherungsmakler und auch Vereine und Verbände. Egal ob Betreiber eines Online-Shops, ein mittelständisches Unternehmen, das Newsletter verschickt, oder ein Freelancer – alle müssen sich mit der DSVGO auseinandersetzen. Das gilt jedenfalls dann, wenn sie in der EU niedergelassen sind oder Daten von EU-Bürgern verarbeiten. Vorsicht ist auch in Arztpraxen geboten – etwa beim Datenaustausch in Ärztenetzen oder Kooperationen. Ausgenommen sind nur Privatpersonen, wenn diese Daten für persönliche oder familiäre Zwecke verwendet werden. Auch für Journalisten, die für ihre Berichterstattung personenbezogene Daten erheben oder nutzen, wird es ähnlich wie bislang Ausnahmen geben.

Sanktionen Die möglichen Geldbußen für Verstöße wurden drastisch erhöht. Bisher lag der Rahmen des Bundesdatenschutzgesetzes für Bußgelder bei 50 000 Euro bzw. maximal 300 000 Euro für sehr schwere Verstöße. Den oberen Rahmen haben die Datenschutzbehörden bisher nur sehr, sehr selten und bei dauerhaften Verstößen ausgereizt. Die DSGVO sieht bei einem erheblichen Verstoß gegen das DSGVO Bußgelder nun bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes vor. Geringere Geldbußen in Höhe von bis zu zwei Prozent des weltweiten Jahresumsatzes können verhängt werden, wenn Unternehmen Vorgänge nicht ordnungsgemäß dokumentieren oder die Aufsichtsbehörde und betroffene Personen nicht über eine Datenschutzverletzung informieren. Der hohe Bußgeldrahmen ist ein Kernbestandteil der DSGVO, um auch gegen globale Unternehmen ein effektives Mittel bei Datenschutzverstößen zu haben. Allerdings haben die Landesdatenschutzbeauftragten angekündigt, am Anfang vor allem beratend tätig zu sein. Millionenbußgelder seien zunächst nicht zu befürchten.

Zuständigkeiten Noch nicht abschließend geklärt sind die Zuständigkeiten der jeweiligen Behörden. Also die Frage, ob nun ein Landesdatenschutzbeauftragter, der Bundesdatenschutzbeauftragte oder Datenschutzbeauftragte in anderen Ländern der EU zuständig ist bzw. diese Zuständigkeiten gegebenenfalls auch wechseln können. Deshalb wurde in der DSGVO der Ansatz des One-Stop-Shop eingeführt. Die Idee dahinter ist es, künftig zu vermeiden, dass sich Unternehmen, die eine grenzüberschreitende Datenverarbeitung in unterschiedlichen Mitgliedsstaaten durchführen, mit unterschiedlichen lokalen Aufsichtsbehörden zusammenarbeiten müssen. Konkret sieht die Verordnung vor, dass bei grenzüberschreitendem Datenverkehr allein die Aufsichtsbehörde am Sitz bzw. Hauptsitz eines Unternehmens bei Datenschutzverstößen zuständig ist. Allerdings existieren zahlreiche Ausnahmen.

Grundprinzipien Die neue Verordnung setzt beim Datenschutz und der Datensicherheit sehr früh an. Das Prinzip „Privacy by Design“ bedeutet, dass Datenschutzmaßnahmen nach dem Stand der Technik bereits in die konzeptionelle Entwicklung von Produkten und Verfahren einbezogen werden müssen. „Privacy by Default“ heißt, dass zum Beispiel die Voreinstellungen bei Geräten oder bei Onlineplattformen standardmäßig mit der höchsten Datenschutzstufe ausgestattet sein müssen.

Unterdessen wurde bekannt, dass der Messenger Whatsapp und sein Mutterkonzern Facebook das Inkrafttreten des neuen Regelwerks offenbar dazu nutzen wollen, den Datenschutz zu lockern. Spätestens ab Freitag werde der Zufluss von Daten auch deutscher Nutzer von Whatsapp zu Facebook erheblich vergrößert, berichtet das Technikportal Golem. Der Hamburger Datenschutzbeauftragte Johannes Caspar zeigte sich am Donnerstag „alarmiert“. Er sehe die neue EU-Verordnung verletzt, bevor sie wirksam geworden sei, sagte er.

Mit der DSGVO werden erstmals Datenschutz- und Verbraucherrechte in Europa einheitlich geregelt. Davon dürften nicht zuletzt auch zahlreiche international agierende Unternehmen profitieren. „Der europäische Flickenteppich im Datenschutzrecht hat endlich ein Ende“, sagte der digitalpolitische Sprecher der CDU/CSU-Bundestagsfraktion, Tankred Schipanski. „Gerade die Digitalwirtschaft kann jetzt im europäischen Markt auf einheitlichen Standards aufbauen.“ Das sei ein richtiger Schritt im globalen Standortwettbewerb.

Was die Nutzer jetzt wissen sollten

Um welche Daten geht es? Im Kern soll durch die Verordnung die Verarbeitung personenbezogener Daten durch Unternehmen, Vereine, Dienstleister oder Behörden geregelt werden. Ausgenommen sind nur verarbeitete Daten, die keine Rückschlüsse auf konkrete Personen zulassen. Zu den personenbezogenen Daten gehören: Name, Geburtsdaten, Adresse, E-Mail-Adresse, Telefonnummer, IP-Adressen, Cookies, Kontodaten, Kfz-Kennzeichen und Standortdaten. Die Verarbeitung von Daten, aus denen etwa die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, wird untersagt. Das gilt auch für Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. Auch genetische Daten und biometrische Daten gehören zu diesen Daten. Sie dürfen nur dann verarbeitet werden, wenn die betroffene Person eingewilligt hat oder die Verarbeitung zur Geltendmachung und Abwehr von Rechten und Ansprüchen erforderlich ist. Der Begriff der Verarbeitung erfasst dabei das Erheben von Daten, das Speichern, Offenlegen durch Übermittlung und auch Löschen.

Wo gilt die neue Verordnung? Die DSGVO gilt nicht nur für alle Unternehmen, die ihren Sitz in der EU haben, sondern auch für außereuropäische, die auf dem europäischen Markt tätig sind oder personenbezogene Daten von EU-Bürgern verarbeiten. Das betrifft insbesondere E-Commerce- und andere cloudbasiert arbeitende Unternehmen. Was die Verarbeitung von Daten europäischer Nutzer angeht, ist sie auch für die Internetriesen Google, Facebook & Co bindend.

Welche Rechte auf Information habe ich? Verbraucher können von Anbietern formlos – zum Beispiel per Brief oder E-Mail – verlangen, dass sie ihnen sämtliche Daten bekannt geben, die über sie gespeichert sind, zu welchem Zweck dies geschieht, woher die Daten stammen, ob sie für Profilbildung genutzt werden und was weiter mit ihnen passiert. Unternehmen sind verpflichtet, diese Auskünfte leicht zugänglich, vollständig, verständlich, kostenfrei und spätestens innerhalb eines Monats zu erteilen

Was ändert sich bei der Einwilligung? Die Bedingungen für die Einwilligung des Nutzers in die Weiterverarbeitung seiner Daten werden verschärft: Sie ist nur noch gültig, wenn ihr eine „freiwillige, spezifisch informierte und eindeutige Handlung“ des Nutzers zugrunde liegt. Er muss unter anderem darüber informiert werden, ob die Daten an Dritte weitergegeben werden. Die Einwilligung des Nutzers kann dann zum Beispiel das bewusste Anklicken eines Kästchens auf einer Webseite oder die Auswahl technischer Einstellungen bei Online-Diensten sein. Ein stillschweigendes Einverständnis oder standardmäßig angekreuzte Kästchen reichen nicht mehr aus. In verschiedene Datenverarbeitungsvorgänge muss jeweils gesondert eingewilligt werden.

Habe ich ein Recht auf Löschung? Der Nutzer kann verlangen, dass personenbezogene Daten unverzüglich gelöscht werden, sobald beispielsweise der Zweck wegfällt, die Einwilligung widerrufen wird. Dies gilt auch, wenn die Löschung gesetzlich vorgeschrieben ist oder die personenbezogenen Daten unrechtmäßig verarbeitet wurden. Eng verzahnt damit ist das „Recht auf Vergessenwerden“.

Wann kann ich widerrufen? Jeder Betroffene hat das Recht, seine Einwilligung in die Verarbeitung seiner Daten jederzeit und „ohne Begründung“ zu widerrufen. Eine Organisation ist daran nur dann nicht gebunden, wenn die Verarbeitung der Daten zu Forschungszwecken oder für statistische Zwecke geschieht.

„Die neuen Datenschutzstandards sind eine große Errungenschaft für die EU“, sagte Birgit Sippel, innenpolitische Sprecherin der Sozialdemokraten im EU-Parlament. Sippel erhofft sich vor allem ein Instrument, um den großen „Datenkapitalisten“ wirksam begegnen zu können - „Mit Strafen von bis zu vier Prozent des weltweiten Jahresumsatzes“.

Die Wirtschaft verweist dagegen darauf, dass es in vielen Detailfragen des Alltags an Rechtssicherheit fehlt – vor allem für kleinere Unternehmen und Selbstständige. „Die neuen Regeln werden uns noch lange über den 25. Mai hinaus beschäftigen“, sagte Thomas Spaeing, Vorstand des Berufsverbands der Datenschutzbeauftragten BvD. Der Chef der Mittelstandsvereinigung der CDU/CSU, Carsten Linnemann, verlangte, dass die Bundesregierung jetzt Schritte gegen das befürchtete Abmahnwesen unternimmt. Die Mittelständler müssten vor dem Missbrauch des Abmahnrechts geschützt werden.