Datenskandale wie zuletzt bei Facebook sollen jetzt Geschichte sein. Denn ab Freitag, 25. Mai, gilt die neue Datenschutz-Grundverordnung (DSGVO) in der EU. Sie soll die Rechte der Bürger stärken. Datenschützer jubeln, doch Vereine und Blogger nehmen ihre Internetauftritte aus dem Netz – aus Angst vor Rechtsverstößen und hohen Strafen. “Alles Panikmache”, sagen Experten – was sich wirklich ändert.
Spätestens seit der Datenaffäre um die britische Firma Camebridge Analytica ist das Thema Datenschutz in aller Munde. Details über 87 Millionen Facebook-Nutzer waren ohne deren Wissen für Marketing missbraucht worden. Wahrscheinlich wurde damit sogar der Wahlkampf in den USA beeinflusst. Jetzt musste Facebook-Chef Mark Zuckerberg deshalb sogar vor dem EU-Parlament Rede und Antwort stehen. Das Thema Datenschutz ist damit jedoch noch nicht vom Tisch.
Ab Freitag, 25. Mai, muss sich jeder an die neue Datenschutz-Grundverordnung der EU halten. Zwei Jahre hatten Unternehmen Zeit, ihre Datenschutzbestimmungen anzupassen. Die DSGVO ersetzt damit alle bisher geltenden Gesetze der einzelnen Mitgliedsländer. Wohin das rechtlich führen wird, ist noch unklar.
Was ändert sich durch die Datenschutz-Grundverordnung eigentlich genau?
„Es ändert sich tatsächlich gar nicht so viel,“ erklärt Rechtswissenschaftler Malte Engeler. „Mit der Datenschutz-Grundverordnung gibt es nur leichte Updates, nur wenig ist neu.“ Das sieht auch Kerstin Demuth vom Datenschutzverein Digitalcourage so: „Mit der Verordnung wird sich gerade in Deutschland nicht viel verändern. Es gibt keine großen Änderungen für Unternehmen und Behörden, die vorher auf Gesetze zum Datenschutz in Deutschland geachtet haben. Es ist ein Gesetz, dass noch nicht richtig umgesetzt ist. Was es genau bringt, wird sich in der Praxis zeigen.“
Die Umsetzung der neuen Rechte kann noch eine ganze Weile dauern. Engeler rechnet erst in ein bis zwei Jahren mit konkreten Fällen und Urteilen. „Die ausführenden Behörden in Europa müssen sich jetzt erst einmal absprechen und – im Falle von Uneinigkeiten – eine interne Streitschlichtung durchlaufen. Die Franzosen zum Beispiel konnten früher völlig eigenständig entscheiden. Jetzt müssen sich die Aufsichtsbehörden abstimmen.“ Erst dann sei die Verordnung durchführbar.
Am Ende entscheidet zwar noch immer die Aufsichtsbehörde der Region, in der ein Unternehmen seinen Sitz hat. Aber in jeder einzelnen Behörde müssen nun einheitliche Regeln gelten. Davon können gerade kleinere Unternehmen profitieren. Denn wenn in der gesamten EU die gleichen Regeln gelten, braucht man nicht mehr für jedes einzelne Land einen eigenen Rechtsberater.
Was bedeutet die neue Regelung für mich als Bürger?
Für den einzelnen Nutzer soll der Datenschutz durch die neue Regelung transparenter werden. Deine wichtigsten Rechte:
- Firmen müssen dich verständlich und umfassender darüber informieren, welche Daten sie verarbeiten, wozu sie das machen und mit wem sie diese teilen.
- Wenn deine Daten für den vertraglich vereinbarten Zweck nicht mehr gebraucht werden, kannst du die Löschung verlangen.
- Apps, Internetseiten und Dienste sollen von vornherein so eingestellt werden, dass möglichst wenige deiner Daten verarbeitet werden.
- Wenn eine Firma deine Daten für etwas nutzen will, das nicht im Vertrag steht – etwa die Gesichtserkennung bei Facebook – musst du freiwillig zustimmen dürfen. Du hast die Möglichkeit, Facebook auch ohne diese Funktion zu nutzen.
- Bei einem Datenleck wie im Fall von Camebridge Analytica muss das betroffene Unternehmen dich innerhalb von 72 Stunden direkt oder öffentlich informieren.
- Sollte ein Unternehmen deine Rechte verletzen, so kannst du dich an die Datenschutzbeauftragten in deinem Bundesland wenden (in NRW befindet sich die zuständige Behörde in Düsseldorf).
Welche Rechte du im Einzelnen hast, ist auf dem Informationsportal „Deine Daten, Deine Rechte“ zusammengefasst.
Fast alle dieser Regeln sind allerdings – zumindest in Deutschland – nicht neu. Sie galten hierzulande auch schon vor der DSGVO. „Es gibt ein Detail, wo sich auch inhaltlich etwas ändern kann: Das ist das sogenannte Kopplungsverbot“, erläutert Engeler. „Heißt: Eine Firma darf die Nutzung ihres Dienstes nicht davon abhängig machen, dass man in eine zusätzliche Datennutzung – beispielsweise für personalisierte Werbung – einwilligt. Das ist eine gute Regelung.“ Ein Problem gibt es allerdings: „Das gilt nur, wenn es um mehr Datennutzung geht, als zur Erfüllung des Vertrages notwendig ist. Die Unternehmen sind ja nicht doof. Es wird jetzt sehr viel mehr vertraglich geregelt.“ Die umfangreicheren Verträge müssen Verbraucher daher klug kontrollieren.
Wie werden Verstöße bestraft?
Neu ist auch die Höhe der Strafen, die bei groben Verletzungen der DSGVO fällig werden könnten. Bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes (je nachdem, was größer ist) müssen große Unternehmen im Extremfall bezahlen. „Die Angst vor höheren Bußgeldern zieht schon, das hat eine Abschreckungswirkung“, schätzt Engeler. „Ob französische oder irische Behörden aber auch davon Gebrauch machen, darauf kommt es an.“ Es könne aber auch eine Blamage für die EU werden, wenn die Behörden untätig blieben.
Was bedeutet die DSGVO für Vereine und Blogger?
Die hohen Strafen sind auch der Grund, warum sich viele Kleinunternehmen, Vereine und Blogger unsicher fühlen – nicht zuletzt, weil in den Medien viel Wind darum gemacht wurde. „Das ist bedauerlich“, findet Engeler, der selbst einen Blog betreibt. „Für mich sind Blogs eine große Errungenschaft des Jedermann-Internets. Sollten jetzt viele schließen, wäre das ein Wahnsinnsverlust.“
Dabei sei es gar nicht gerechtfertigt, dass eine solche Drohkulisse aufgebaut wird. „Der Bußgeldrahmen ist natürlich immens. Aber für den einzelnen Blogger ändert sich da nichts. Die Blogger verdienen ja nicht automatisch mehr.“ Besonders hohe Strafen könnten also gar nicht anfallen, da diese vom Einkommen abhängen. Außerdem würden viele Behörden ein “Kuschel-Image” pflegen. „Die Behörden haben sich mehr auf Beratung verpflichtet. Sie werden jetzt auch nicht mit dem eisernen Besen durchkehren.” Gleiches gelte für Vereine und kleine Unternehmen.
Die Angst der Webseitenbetreiber verwundert Engeler. „Auf vielen Blogs steht, dass man jetzt für alles eine Einwilligung brauche. Dabei war das auch vorher schon so. Betreiber von Internetseiten mussten Auskunft über gespeicherte Daten geben und durften auch keine personenbezogenen Daten ohne Einwilligung verarbeiten. Ich habe gedacht, dass es mehr oder weniger bekannt war. Es ist bemerkenswert, dass viele Blogger nie über den Tellerrand geschaut haben.“
Die DSGVO ist erst der Anfang
Was genau die DSGVO bewirkt, wird sich erst in den kommenden Monaten und Jahren zeigen. Die Erwartungen von Datenschützerin Demuth sind groß: „Insgesamt setzen wir große Hoffnungen in die Verordnung. Allerdings war und wird es ein großes Ringen mit der Wirtschaft.“
Facebook beispielsweise werde jetzt keineswegs sicherer. „Das Geschäftsmodell beruht darauf, Daten zu erheben und zu verarbeiten. Das ist nicht mit dem Grundrecht auf Datenschutz kompatibel. Facebook muss Gesetze einhalten und das werden sie auch tun. Bei Facebook ist man aber weiterhin nicht gut aufgehoben, wenn man Wert auf Datenschutz legt.“ (Was Facebook alles über dich weiß, erfährst du hier.)
In vielen Punkten wird sich die DSGVO noch verändern, sie ist nur ein Grundgerüst. „Die DSGVO verdrängt alles, was vorher galt“ erklärt Engeler. „Alles von vorher lässt sich jetzt gar nicht mehr anwenden. Man muss jetzt sehr spezielle Regelungen in sehr allgemeine Regelungen quetschen.“ Es werden daher weitere Gesetze folgen.
E-Privacy-Verordnung soll Nutzer künftig noch besser schützen
So wird in der EU-Kommission derzeit die sogenannte E-Privacy-Verordnung verhandelt. Diese soll sehr viel genauer den Bereich der Telekommunikation regeln. Auch hier geht es zwar nur um Details, für den Nutzer wird die E-Privacy-Verordnung aber deutlich wichtiger. Denn darin soll festgelegt werden, unter welchen Bedingungen Nutzerprofile erstellt werden dürfen.
Fazit: Die Datenschutz-Grundverordnung ist erstmal vor allem für die Aufsichtsbehörden brisant. Sie müssen es schaffen, sich europaweit auf eine gemeinsame Linie zu einigen und Daten konsequent zu schützen. Für den einzelnen Nutzer, sagt Demuth, heißt das: „Es ist wichtig, dass man sich nicht verrückt machen lässt von falschen Behauptungen über die Datenschutz-Grundverordnung. Es stimmt nicht, dass man am besten keine Fotos mehr schießen sollte oder seinen Blog schließen muss. Für den privaten Nutzer ändert sich so gut wie gar nichts.“
Mehr zum Thema Datenschutz: Worauf du bei Studentenrabatten im Netz achten solltest.
Teaser- und Beitragsbild: pixabay.com/geralt, lizenziert nach CC0.