DSGVO - Was muss ich wissen zur Datenschutzgrundverordnung?

Egal ob Whatsapp, Google oder Facebook – auf einmal schicken Unternehmen überarbeitete Datenschutzrichtlinien an ihre Nutzer. Das liegt an der Datenschutzgrundverordnung (DSGVO). Viele Unternehmen stöhnen darüber. Doch was steht drin?

Dicht an dicht stehen am 29.09.2012 Oktoberfestbesucher auf der Theresienwiese unterhalb der Bavaria, um das Standkonzert auf dem Oktoberfest in München (Bayern) zu verfolgen.
Die neue Datenschutzgrundverordnung stärkt alle EU-Bürger in ihren Datenschutzrechten / picture alliance

Autoreninfo

Chiara Thies studiert Journalistik und arbeitet für Cicero Online.
Foto: Emine Akbaba

So erreichen Sie Chiara Thies:

Was ist die Datenschutzgrundverordnung?
Die neue Datenschutzgrundverordnung (DSGVO) soll den europäischen Datenschutz vereinheitlichen. Sie regelt, wie Konzerne, Unternehmen, Behörden und Vereine mit personenbezogenen Daten umgehen müssen. Der sperrige Begriff personenbezogene Daten meint alle Informationen, aus denen Rückschlüsse auf die Person gezogen werden können. Die DSGVO trat bereits im Mai 2016 in Kraft. Sie wirkt allerdings erst ab dem 25. Mai 2018, weil den Unternehmen Zeit für die Umstellung gegeben werden sollte.

Wer ist betroffen?
Betroffen sind Unternehmen mit Sitz in der EU und Unternehmen, die personenbezogene Daten über Menschen, die in der EU leben, erheben, verarbeiten und nutzen. Neu ist, dass ein Unternehmen als wirtschaftliche Einheit definiert wird. Die kann aus mehreren sogenannten juristischen oder natürlichen Personen bestehen. Somit kann auch ein Konzern als Unternehmen behandelt werden, weil die Definition am Marktverhalten ausgerichtet ist. Das heißt, von so großen außereuropäischen Konzernen wie Facebook bis zur kleinen Zahnarztpraxis in der EU sind alle eingeschlossen. Kompliziert wird es bei Nutzern, die unter 16 Jahre alt sind, denn hier müssen in Zukunft die Eltern die Einwilligung geben. Die Unternehmen können in diesem Fall allerdings auch auf das Speichern von Daten dieser Minderjährigen verzichten.

Was regelt die neue Verordnung?
Die Rechte der Verbraucher werden gestärkt. Die DSGVO legt fest, wie viele personenbezogene Daten von Einzelpersonen erhoben, verarbeitet, weiterverbreitet und kommerzialisiert werden dürfen. Der Verbraucher erhält neue Auskunfts-, Lösch- und Widerspruchsrechte. Ab sofort können Sie also verlangen, dass ihre Daten komplett gelöscht werden. Entweder weil Sie es so wünschen, oder weil die Daten unrechtmäßig verarbeitet wurden. Auf Anfrage müssen Unternehmen die personenbezogenen Daten in lesbarer Form an den betroffenen Verbraucher weitergeben. Auch die Auskunftspflicht von Unternehmen wurde verschärft. Bei Verstößen gegen die DSGVO kommt es zu Sanktionen.

Was sind personenbezogene Daten?
Genau das ist leider nicht definiert. Sammelt eine Firma Daten ihrer Nutzer, ist alles personenbezogen. Über die Art und Weise die Tastatur zu bedienen, bis zu oft verwendeten Begriffen lässt sich das Geschlecht der Person, das Alter, persönliche Vorlieben und vieles mehr herausfinden. Die Verordnung greift immer dort, wo es um Nutzerdaten im Internet geht. Sie gilt auch bei Vereinen, Bloggern, Kirchen und anderen gemeinnützigen und nicht profitorientierten Einrichtungen. Nur die persönliche und familiäre Datenverarbeitung ist davon ausgenommen.

Wird sonst noch etwas kritisiert?
Die Erhebung dieser personenbezogenen Daten ist erlaubt, wenn sie zur „Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist“. Was das im Einzelfall bedeutet, müssen die Gerichte klären. Besonders kleinere Unternehmen müssen viel Geld für Rechtsberatung ausgeben. Außerdem haben sie Angst vor teuren Klagen, falls ihre Vorkehrungen nicht ausreichen. Des Weiteren wird in Deutschland durch die DSGVO eine Herabsetzung des Datenschutzstandard auf ein europäisches Mittelmaß befürchtet. Für viele andere EU-Länder bedeutet die DSGVO eine Anpassung an deutschlandähnliche Zustände, was Unmut über Berlin hervorruft.

Was passiert bei Verstößen gegen die Verordnung?
Es kann zu Bußgeldern in Höhe von 20 Millionen Euro oder 4 Prozent des Jahresumsatzes kommen. Es gilt im Einzelfall der jeweils höher Betrag. Kleine Unternehmen, Vereine oder Blogger müssen jetzt allerdings nicht in Panik verfallen, denn die Strafen müssen laut den Initiatoren verhältnismäßig sein. Im Zweifel wird bei einem geringen Erstverstoß das Gesetz lediglich erklärt. Ansonsten hängt die Höhe des Bußgeldes von der Härte des Vergehens ab. Es gibt verschiedene Kriterien zur Bemessung der Strafe. Das Besondere ist, dass Konzerne als ganzes betraft werden – auch wenn sich nur eine Unterfirma strafbar gemacht hat.

Wer verhängt die Bußgelder?
Die Strafen werden von den Aufsichtsbehörden im jeweils betroffenen Mitgliedsland verhängt. Bei internationalen Datentransfers gibt es eine federführende Aufsichtsbehörde. Diese wird anhand der europäischen Hauptniederlassung des Unternehmens festgelegt. Hier gilt das Marktortprinzip.

Was bedeutet das alles für den einzelnen Nutzer?
Ab dem 25. Mai können alle Nutzer beispielsweise Ihre von Facebook gesammelten Daten einfordern. Der Konzern hat dann einen Monat lang Zeit, die Anfrage zu bearbeiten. Außerdem steht Facebook ein Aufschub von bis zu drei Monaten zu. Nach dieser Frist können sich die Nutzer an die Aufsichtsbehörde wenden. In Deutschland gibt es für jedes Bundesland eigene Datenschutzbeauftragte. Und genau das ist die Sorge der Unternehmen: von Klagewellen überrollt zu werden.

Wie kommen schwerwiegende Datenmissbrauchsfälle ans Licht?
Dafür gibt es verschiedene Möglichkeiten. Der Sachverhalt kann durch die Aufklärungsarbeit der Aufsichtsbehörden öffentlich werden oder ein unzufriedener Mitarbeiter beschwert sich bei der Aufsichtsbehörde. Außerdem kann sich das Unternehmen selbst anzeigen. Auch durch investigativen Journalismus kann ein solcher Fehler aufgedeckt werden.

 ...Der Mythos um die Fotografien
In den vergangenen Monaten hieß es oft, dass auch Fotos, welche digital veröffentlicht werden, von der DSGVO betroffen sind. Man müsse sich angeblich die schriftliche Einwilligung aller abgebildeten Personen geben lassen. Das stimmt jedoch nicht. Fotografien fallen auch weiterhin unter die Kunst-, Presse- oder Meinungsfreiheit. Daran wird sich also nichts ändern. Es obliegt den Mitgliedsstaaten diese Grundrechte mit dem Datenschutz in Einklang zu bringen. Somit sind auch Journalisten von der DSGVO ausgenommen. Hier gilt in Deutschland auch weiterhin der Rundfunksstaatsvertrag. Findet die Datenverarbeitung innerhalb journalistischer Absichten statt, müssen sich die Journalisten lediglich an die Datensicherheit halten.

ingrid Dietz | Fr, 18. Mai 2018 - 13:38

sorgt als allererstes dafür, dass sich ab dem Stichttag unzählige Abmahnvereine in die Arbeit stürzen und die "Säckel" vollmachen !

Kurt Lechner | Fr, 18. Mai 2018 - 15:16

Allen, die an der DSVGO mitgewirkt haben, empfehle ich dringend eine psychiatrische Behandlung. Das sind Leute, die in ihrem Leben noch wie etwas sinnvolles geleistet haben, und deren einziger Lebenssinn es ist, andere Menschen zu gängeln. Wer glaubt, die DSGVO würde persönliche Daten sicherer machen, soll doch bitte mal seinen persönlichen Datensatz bei der NSA nachfragen. Lächerlich !

Alfred Kastner | Fr, 18. Mai 2018 - 16:39

In reply to by Kurt Lechner

Sehr zutreffend bemerkt, Frau Dietz und Herr Lechner!

Die EU scheint immer dann zur Höchstform aufzulaufen, wenn es um die gesetzgeberische Entwicklung von bürokratischen Monstern wie beispielsweise die DSGVO geht.
Es ist geradezu grotesk, welche Kosten Unternehmen im Rahmen der Umsetzung entstehen und was hierbei an personellen Kapazitäten gebunden wird.
Statt Unternehmen und Bürger zu unterstützen, macht man ihnen mit solchen Verordnungen, deren Sinnhaftigkeit sich einem nur schwer erschließen, das Leben schwer. Die EU-Richtlinien werden im Rahmen der Umsetzung in deutsches Recht regelmäßig sogar noch verschärft.
Es wäre wünschenswert, wenn die EU diese hohe gesetzgeberische Energie in wirklich sinnvolle Projekte "umleiten" könnte.

Christoph Rist | Fr, 18. Mai 2018 - 16:59

Die DSGVO führt zweifellos zu mehr Transparenz und zu stärkerer datenverarbeitungstechnischer Selbstbestimmung. Die festgeschriebenen Abfrage- und Löschrechte sind an dieser Stelle eine absolut sinnvolle Sache. Aber... gerade im nicht kommerziellen Bereich, bei dem sich die Datenverarbeitung ohnehin nur auf das notwendigste Beschränkt, ist das - trotz gewisser Ausnahmen - schon völlig überzogen. Es ist eine (gute) Sache, Multimiliarden-€-Konzerne wie Facebook mit so einem strengen Reglement zu überziehen. Dass aber beispielsweise der örtliche Musikverein oder Schul-Förderverein ebenso gnadenlos dem grundlegenden Regelungsrahmen der DSGVO unterworfen wird ist schon ziemlich absurd und in der Sache auch nicht sinnvoll. Schauen wir mal, was wird...

Dr. Waltraud Berle | Fr, 18. Mai 2018 - 19:04

Wir haben in Deutschland ein ziemlich strenges Datenschutzrecht. Das reicht. Nur Bürokraten müssen immer weiter an den Schrauben drehen, weil sie nicht produktiv wirtschaften müssen. Den Adlaten der ohnehin komplett unfähigen Merkel-Regierung ist es nicht geglückt, unseren Standpunkt bei den EU-Verhandlungen durchzudrücken. Nun werden alle Unternehmen, Freiberufler, Gewerbetreibende, Konzerne mit noch mehr Ballast aus Bürokratenhirnen belastet.

Ich hoffe, das ist ein weiterer Tropfen, der das Fass Merkel-Regiment endlich zum Platzen bringt. Es reicht einfach. Das Maß an Idiotie ist voll. wir brauchen endlich wieder eine funktionierende Regierung, die ihre Aufgaben erfüllt: Leben und Wirtschaften zu erleichtern!

Fritz Gessler | Sa, 19. Mai 2018 - 12:43

pardon, nach meinen informationen stimmt dies SO nicht: in der BRD hat der gesetzgeber es ausdrücklich künftigen (höchst)richterlichen entscheiden überlassen, wie bei privat geposteten fotos von menschenmengen, passanten, etc. verfahren wird: eine direkte einladung an alle einschlägigen abmahnanwälte zu breitetesten unvderschämten abmahnterroraktionen...

Online-Redaktion | Di, 22. Mai 2018 - 11:38

In reply to by Fritz Gessler

das Thema DSGVO ist derzeit ja heiß debattiert. Seien Sie sicher, dass ich gründlich recherchiert habe und mit zwei Professoren des Medienrechts gesprochen habe. Die setzen sich beide natürlich intensiv mit der DSGVO auseinander. Die Informationen zu den Fotografien haben sie mir beide unabhängig voneinander mitgeteilt. Beide haben mir gegenüber die Meinung vertreten, dass man auch weiterhin einen offensichtlichen Blick in die Kamera (zum Beispiel bei Gruppenbildern) als Einwilligung verstehen kann. Selbst Jan Philipp Albrecht, der federführende Verhandler der DSGVO, sagt, dass solche Fotos weiterhin veröffentlicht werden können.

Die Thematik wird natürlich auch weiterhin spannend bleiben. Und natürlich haben Sie auch recht: Eine endgültige Antwort werden wir erst in ein paar Jahren haben, wenn die ersten Klagen durch sind.

Mit freundlichen Grüßen
Chiara Thies