DIE NEUE EU-DATENSCHUTZ-

GRUNDVERORDNUNG

AB 25. MAI 2018

Im Rausch der Daten:
Hier findest Du einen sehr empfehlenswerten Dok-Film über die Entstehung der neuen EU-Datenschutz-Grundverordnung.

 

Was ist die neue EU-Datenschutz-Grundverordnung?

Die Verordnung DSGVO soll den Datenschutz in der EU vereinheitlichen und ins Internetzeitalter befördern. Sie ersetzt die EU-Richtlinie, die noch aus der Frühzeit des World Wide Web stammt, nämlich aus dem Jahr 1995. Die neue Verordnung gilt nun für alle gleich, während die Richtlinien den 28 Mitgliedstaaten mehr Spielraum liess.

In 99 Artikeln regelt die neue Verordnung, wie Unternehmen und Behörden oder Vereine mit personenbezogen Daten umgehen sollen. Inhaltlich ist die Verordnung kein kompletter Neuanfang. Vielmehr baut sie auf der bisherigen Richtlinie und den nationalen Gesetzen auf, wie dem deutschen Bundesdatenschutzgesetz. Auch in der EU-Grundrechtecharta sind Datenschutzrechte verankert, die die Verordnung aufgreift.

Am 25. Mai 2018 kommt die DSGVO EU-weit zur Anwendung. Ihre Vorgaben müssen also fortan komplett umgesetzt werden, sonst drohen Strafen.

 

Was will die EU mit der Datenschutz-Grundverordnung erreichen?

Die DSGVO lässt sich ganz allgemein aus drei Perspektiven betrachten: Wirtschaft, Technik, Verbraucher.

Anders als eine Richtlinie, die erst in nationale Gesetze überführt und dabei durchaus unterschiedlich interpretiert wird, gilt eine Verordnung unmittelbar in allen 28 Mitgliedstaaten. Zwar ermöglichen Öffnungsklausen den Mitgliedstaaten auch eigene Regelungen, aber nur in begrenztem Umfang.

Die technische Perspektive: Ein grundsätzliches Ziel der DSGVO ist es, die veraltete bisherige EU-Richtlinie durch modernere, technikneutrale Regelungen zu ersetzen. 1995 gab es noch keine so grossen sozialen Netzwerke wie Facebook, kein Videostreaming, keine Big-Data-Anwendungen und Deep Learning. Die nächste grundlegende Reform werde sich die EU "wahrscheinlich erst in 15 oder 20 Jahren vornehmen müssen."

Die Verbraucher-Perspektive: Die DSGVO reflektiert, wie viele Daten über jeden einzelnen Verbraucher erhoben, verarbeitet, weiterverbreitet und kommerzialisiert werden. Sie bringt den Nutzern verschiedene neue Auskunfts-, Lösch- und Widerspruchsrechte, die die Positionen der Verbraucher stärken.

Das Recht auf Vergessenwerden etwa bedeutet, dass EU-Bürger unter gewissen Umständen die Löschung ihrer personenbezogenen Daten verlangen können, z.B. wenn die Speicherung nicht länger notwendig ist oder wenn sie unzureichend verarbeitet wurde.

Neu ist zudem das Recht auf Datenportabilität. Es besagt, dass Nutzer eines Onlinedienstes die Herausgabe ihrer personenbezogenen Daten in strukturierter, maschinenlesbarer Form verlangen können, um sie zu einem anderen Anbieter übertragen zu können. Im Auge hatte der Gesetzgeber vor allem soziale Netzwerke. Verschärft wird auch die Auskunftspflicht von Firmen nach einer Datenpanne oder einem Hack.

Kerngedanken der Verordnung sind die Prinzipien Privacy by Design und Privacy by Default - also Privatsphäre, die schon bei der Entwicklung eines Dienstes oder Produktes berücksichtigt wird und privatsphärefreundliche Voreinstellungen.

 

Wen betreffen die neuen Regeln?

Die DSGVO hat Folgen für jeden, der personenbezogene Daten verarbeitet, also auch für Blogger und Betreiber keiner Websites. Was "personenbezogene Daten" sind, und was mit deren "Verarbeitung" gemeint ist, wird definiert: Personenbezogen sind Daten, wenn sie sich direkt oder indirekt auf einen identifizierbaren Menschen beziehen lassen. Namen sind also immer personenbezogene Daten. Physische Merkmale wie Gesicht, Hautfarbe oder Kleidergrösse sind personenbezogen, wenn sie einem Menschen zugeordnet werden können. Das gilt auch für Autokennzeichen und IP-Adressen, soweit es rechtlich zulässige Wege gib, die zu ihnen gehörenden Personen zu ermitteln.

Verarbeitet werden Daten immer dann, wenn sie erhoben, geordnet, gespeichert, verändert, verwendet, ausgelesen, abgefragt, transferiert, verknüpft, abgeglichen oder gelöscht werden. Besonders strenge Vorgaben gelten für die Verarbeitung von Daten, aus denen "rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen" hervorgehen sowie für Gesundheitsdaten.

Folglich müssen sich viele Institutionen und Firmen - also auch wir - sowie Einzelpersonen auf die DSGVO einstellen. Dies ist eine grosse Herausforderung, weil die Regelungen der DSGVO sehr allgemein gehalten sind und auch die Experten oft nicht sicher sind, was zukünftig wie erlaubt ist. Zum Beispiel gehen manche, aber nicht alle Rechtsexperten davon aus, dass die DSGVO die Verhältnis zwischen Kunstfreiheit bzw. Kunsturhebergesetz und Datenschutz verändert - zum Nachteil von Fotografen. Ihr Szenario: Wer nicht fest angestellt für ein Medium arbeite, sondern z.B. als freier Sport-, Konzert- oder Hochzeitsfotograf, braucht ab 25. Mai 2018 die Einwilligung jeder Person, die er fotografiert.

Jedes digitale Foto einer Person ist nach Definition der DSGVO eine Datenverarbeitung. Im Prinzip sind Ausnahmen vorgesehen, doch wie weit diese gehen, werden zunächst die Behörden der Mitgliedstaaten, dann die nationalen und zu guter Letzt die europäischen Gerichte festlegen müssen.

Website-Betreiber müssen, sofern ihre Seite nicht ausschliesslich persönlichen oder familiären Zwecken dient, jeden Besucher darüber aufklären, welche personenbezogenen Daten sie zu welchem Zweck erheben und wie lange sie sie speichern. Vermieter haben durch die DSGVO ebenfalls neue Schutz-, Dokumentations-, Auskunft- und Löschpflichten, wie sowohl der Deutsche Mieterbund als auch der Eigentümerverband Haus & Grund Deutschland sagen.

Auch Blogger, Onlineshop-Betreiber, niedergelassene Ärzte und Krankenhäuser, Schulen und Sportvereine müssen bestimmte Anforderungen erfüllen und Massnahmen ergreifen - und natürlich auch US-Unternehmen wie Google und Facebook, die in der EU tätig sind und deren Geschäftsmodelle auf der Verwertung von Nutzerdaten beruhen. Besonders schwierig wird es künftig für Firmen, deren Dienste sich explizit oder in grossem Masse an Minderjährige richten - sie müssen von Nutzern unter 16 Jahren künftig die Einwilligungen der Eltern einholen - oder auf das Speichern von Daten verzichten, wie z.B. Snapchat es tun will.

Ausgenommen von den Regeln der DSGV sind übrigens die Daten von Strafverfolgungs- und Justizbehören, wenn es um die Aufdeckung, Verfolgung oder Verhinderung von Straftaten geht. Für diese Daten gilt die ebenfalls, neue, zeitgleich verabschiedete EU-Richtlinie für den Datenschutz bei Polizei und Justiz.

 

Was ändert sich durch die Verordnung für normale Internet-Nutzer?

Grundsätzlich anders wird das Web nach dem 25. Mai 2018 wohl nicht sein. Eine der offensichtlichsten Veränderungen, die Nutzern auf fast jeder Website begegnen könnten, dürfen überarbeitete Datenschutzerklärungen und Allgemeine Geschäftsbedingungen (AGB) sein. Viele Dienste habe ihre Kunden darauf längst aktiv hingewiesen: mit Emails oder mit Pop-up-Hinweisen in ihrer Apps. 

Grundsätzlich sollen Online-Datenschutzerklärungen künftig detaillierter und allgemeinverständlicher sein. Das hat jedoch auch einen unschönen Nebeneffekt: Die Texte werden in vielen Fällen um einiges länger - und damit für den Nutzer unterm Strich vielleicht noch unattraktiver, als sie schon waren.

Auf die neuen oder gestärkten Rechte, die die DSGVO für Internetnutzer mit sich bringen, werden wohl wenige Anbieter offensiv hinweisen, denn sie bedeuten für sie zusätzliche Arbeit. So können Bürger bei Unternehmen nur etwa mit einer Standart-Antwortfrist von einem Monat nicht nur anfragen, ob und wenn ja welche Informationen über sie dort gespeichert sind, sondern auch für welchen Zweck und wie lange solche Daten gespeichert werden.

Erhalten Bürger die entsprechende Auskunft nicht oder nicht rechtzeitig - eine Fristverlängerung auf maximal drei Monate ist möglich -, kann man sich bei der Datenschutzbehörde über das Unternehmen beschweren. Eine Vorlage zur "datenschutzrechtlichen Selbstauskunft" findet sich beim Tech-Magazin "c't" als Word- und Open-Document-Datei.

 

Worauf sollten Blogger und Betreiber kleiner Websites achten?

Vielen Website-Betreiber und Blogger müssen sie mit der DSGVO auseinandersetzen, ansonsten drohen womöglich Abmahnungen. Generell gilt: Wer mit seinem Online-Angebot in irgendeiner Form Nutzerdaten verarbeitet - und sei es, weil etwa Wordpress-Plug-ins Nutzerdaten erfassen oder Nutzer in Kommentaren ihren Namen hinterlassen -, der sollte davon ausgehen, von der DSGVO betroffen zu sein. Man sollte sich z.B. einen Überblick verschaffen, welche Plug-ins von Drittanbietern im Hintergrund laufen. Nicht dringend gebrauchte Plug-ins sollte man rausschmeissen, wenn offensichtlich ist, dass sie persönliche Daten erheben - und seien es nur IP-Adressen, denn auch das sind persönliche Daten.

 

Kritik an der neuen Verordnung

Die DSGVO ist zwar jahrelang vorbereitet worden, doch an vielen Stellen ist selbst Juristen nicht klar, was die neue Verordnung fordert, und wie manche Passagen im Alltag auszulegen sind. Beobachter rechnen damit, dass sich Gerichte bald mit etlichen Streitfällen beschäftigen müssen.

Auch ist denkbar, dass die Auskunftsansprüche der Bürger für massenhafte Abfragen missbraucht werden.

Unklar ist bislang, wie gut die Vereinheitlichung der unterschiedlichen Datenschutz-Standards der EU-Mitglieder letztlich funktionieren wird. Österreich hat bereits ein "Datenschutz-Deregulierungsgesetz" verabschiedet.

 

Was ist mit ePrivacy und Privacy Shield?

Flankiert werden soll die Neuordnung des EU-Datenschutzes durch die Einführung der ePrivacy-Verordnung. Diese Verordnung soll den Datenschutz für Endgeräte sichern, ohne dass es zwingend um personenbezogene Daten gehen muss, wie z.B. das Nutzer-Tracking auf Websites. Die ePrivacy-Verordnung wird derzeit noch verhandelt.

Zusätzlich ist der Privacy Shield ein wichtiges internationales Regelwerk beim Datenschutz. Den Privacy Shield gibt es seit 2016. Dieser "Datenschutzschild" weist geografisch über die EU hinaus und regelt den transatlantischen Datenaustausch zwischen der EU und den USA.

 

Welche Bedeutung hat die DSGVO ausserhalb der EU?

Die DSGVO gilt in allen 28 Ländern der EU. Aber die Verordnung dürfte z.B. auch viele amerikanische Tech-Unternehmen beschäftigen. Dafür sorgt das Marktortprinzip: "Unternehmen ausserhalb der EU unterliegen der Verordnung, wenn sie Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von Personen in der EU beobachten." Dass internationale Firmen die neuen EU-Regeln einfach weltweit übernehmen, zeichnet sich derzeit nicht ab. Im Gegenteil: Facebook z.B. wird seine Nutzerzuordnung aufwendig umschichten, um zu verhindern, dass rund 1,5 Milliarden Facebook-Nutzer aus nicht EU-Ländern die Rechte und Möglichkeiten der EU-Bürger gemäss DSGVO erhalten. Andere Tech-Konzerne planen ähnliche Massnahmen.

 

Quelle: spiegel.de/netzwelt - 04. Mai 2018