Nach zweijähriger Übergangsfrist gelten in Europa ab sofort einheitliche Datenschutzregeln. Alle 28 EU-Staaten müssen vom heutigen Freitag an die sogenannte Datenschutz-Grundverordnung anwenden. Dadurch wird die Verarbeitung personenbezogener Daten durch Unternehmen, Vereine oder Behörden deutlich strenger geregelt als bisher.
Was sind die Eckpunkte der neuen Regelung?
So müssen Verbraucher fortan darüber informiert werden, wer Daten wie Name, Adresse, E-Mail-Adresse und Ausweisnummer aus welchem Grund sammelt - und sie müssen zustimmen. Zudem müssen Daten, die für den ursprünglichen Zweck der Speicherung nicht mehr benötigt werden, gelöscht werden. Unternehmen und Organisationen müssen gespeicherte Daten außerdem auf Anfrage zur Verfügung stellen. Bei Verstößen gegen die neuen Regeln drohen saftige Strafen. Unternehmen können mit Zahlungen bis zu 20 Millionen Euro oder 4 Prozent ihres weltweiten Jahresumsatzes belegt werden. Beschweren können sich die EU-Bürger künftig bei den nationalen Datenschutzbehörden.
Was ändert sich?
Hat man bisher einem Unternehmen seine persönlichen Daten gegeben, waren diese Besitz der Firma. Die DSGVO dreht das nun um. Persönliche Informationen sind Eigentum der Person. Unternehmen dürfen nur noch mit ausdrücklicher Zustimmung sogenannte „personenbezogene Daten“ sammeln und verarbeiten. Das ist der Grund, warum viele Unternehmen in den vergangenen Tagen ihren Kunden Mails gesendet haben, in denen sie um die Zustimmung bitten, weiterhin Newsletters, Werbung oder andere Informationen zuschicken zu dürfen.
Was sind personenbezogene Daten?
Alle Daten, die zur Identifikation einer Person herangezogen werden können: Namen, Geburtsdaten, Geburts- und Wohnort, Arbeitgeber und Religionsbekenntnis, Telefonnummer und E-Mail-Adresse, Kreditkarten- und Passnummer, IP-Adressen, Standortdaten (am Smartphone), Cookies etc. Von der DSGVO betroffen sind sämtliche Betriebe, die in irgendeiner Art personenbezogene Daten verarbeiten - egal ob Einpersonenunternehmen oder großer Industriekonzern.
Zu welchem Zweck dürfen Daten verwendet werden?
Daten dürfen nur für einen klar definierten Zweck gesammelt werden. Ein Beispiel: Sie fahren mit Ihrem Auto in eine neue Werkstatt, um das Pickerl zu machen. Für die Rechnung braucht die Werkstatt Name und Anschrift, für das Pickerl die Daten aus dem Zulassungsschein. Diese Daten darf das Unternehmen verarbeiten. Verboten ist allerdings die Verwendung der Adresse, um Sie zur Präsentation eines neuen Modells einzuladen. Dem müssten Sie ausdrücklich zustimmen. Die Erlaubnis der Datennutzung können Sie jederzeit widerrufen.
Kann ich wissen, welche Daten eine Firma von mir hat?
Ein zentraler Bestandteil ist das Recht auf Auskunft. Die Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren Sprache geliefert werden. Auch über den Zweck der Datenspeicherung muss Auskunft gegeben werden. Sind die Daten falsch, gibt es ein Recht auf Berichtigung.
Was ist mit den Daten, die von Firmen schon gesammelt wurden?
Jedes Unternehmen ist auf Verlangen verpflichtet, Daten zu löschen. Ausgenommen sind gesetzliche Aufbewahrungspflichten wie bei Rechungen.
Wer kontrolliert das?
Für die Kontrolle der DSGVO ist die Österreichische Datenschutzbehörde zuständig. Sie gehört zum Justizministerium. Wird Auskunft oder Löschung verweigert, können Sie sich direkt an diese Behörde wenden. Sie kann dann Strafen verhängen.
Können Beschwerden etwas bewirken?
Die Datenschützerin Andrea Jelinek rechnet gleich am ersten Tag mit gemeldeten Verstößen bei den nationalen Datenschutzbehörden. "Ich bin sicher, dass es gleich am Freitag Beschwerden geben wird. Wenn die Beschwerden kommen, werden wir bereit sein." Jelinek ist Chefin der österreichischen Datenschutzbehörde und leitete zuletzt eine EU-Datenschutzgruppe, die die EU-Kommission bei dem Thema beriet. An diesem Freitag wird diese Gruppe vom neuen Europäischen Datenschutzausschuss abgelöst, zu dessen Vorsitzende Jelinek aller Voraussicht nach am Freitagvormittag gewählt wird. Die neue EU-Institution soll die Umsetzung des neuen Datenschutzes überwachen und die EU-Kommission beraten. Zudem kann sie Empfehlungen zur Umsetzung der neuen Regeln bereitstellen. Sie besteht unter anderem aus Vertretern aller nationalen Datenschutzbehörden.
Wie sehen Verbraucherschützer die neuen Regeln?
Verbraucherschützer bezeichnen die neuen Regeln als Meilenstein für den Datenschutz. Vor allem kleine und mittelständische Unternehmen sowie Vereine fürchten jedoch den bürokratischen Aufwand und unverhältnismäßig hohe Strafen. "Wenn etwas immer näher rückt, werden manche immer aufgeregter", sagte Datenschützerin Jelinek. Sie betonte jedoch: Wer schon vorher im Einklang mit dem deutschen Recht gearbeitet habe, werde auch künftig kein Problem haben. "Der 25. Mai ist nicht das Ende (...), er ist der Beginn einer neuen Ära des Datenschutzes - für alle von uns."
Datenschutzaktivisten wie der Facebook-Schreck Max Schrems kritisieren aber, dass Österreich die Verordnung zu lasch umgesetzt und etwa keine Sammelklagen von Nutzern zulässt. Kritiker werfen IT-Riesen wie Facebook und Google vor, Nutzern nach dem "Friss-oder-stirb-Prinzip" die Zustimmung zu viel zu weitreichenden Datenschutzerklärungen abzupressen. Dabei ist das sogenannte "Kopplungsverbot" ein Grundpfeiler der Verordnung: Unternehmen dürfen die Nutzung ihrer Dienste nicht mit der Zustimmung zu umfassenden Datensammlungen verknüpfen.