DSGVO - Was muss ich wissen zur Datenschutzgrundverordnung?

Was ist die Datenschutzgrundverordnung?
Die neue Datenschutzgrundverordnung (DSGVO) soll den europäischen Datenschutz vereinheitlichen. Sie regelt, wie Konzerne, Unternehmen, Behörden und Vereine mit personenbezogenen Daten umgehen müssen. Der sperrige Begriff personenbezogene Daten meint alle Informationen, aus denen Rückschlüsse auf die Person gezogen werden können. Die DSGVO trat bereits im Mai 2016 in Kraft. Sie wirkt allerdings erst ab dem 25. Mai 2018, weil den Unternehmen Zeit für die Umstellung gegeben werden sollte.

Wer ist betroffen?
Betroffen sind Unternehmen mit Sitz in der EU und Unternehmen, die personenbezogene Daten über Menschen, die in der EU leben, erheben, verarbeiten und nutzen. Neu ist, dass ein Unternehmen als wirtschaftliche Einheit definiert wird. Die kann aus mehreren sogenannten juristischen oder natürlichen Personen bestehen. Somit kann auch ein Konzern als Unternehmen behandelt werden, weil die Definition am Marktverhalten ausgerichtet ist. Das heißt, von so großen außereuropäischen Konzernen wie Facebook bis zur kleinen Zahnarztpraxis in der EU sind alle eingeschlossen. Kompliziert wird es bei Nutzern, die unter 16 Jahre alt sind, denn hier müssen in Zukunft die Eltern die Einwilligung geben. Die Unternehmen können in diesem Fall allerdings auch auf das Speichern von Daten dieser Minderjährigen verzichten.

Was regelt die neue Verordnung?
Die Rechte der Verbraucher werden gestärkt. Die DSGVO legt fest, wie viele personenbezogene Daten von Einzelpersonen erhoben, verarbeitet, weiterverbreitet und kommerzialisiert werden dürfen. Der Verbraucher erhält neue Auskunfts-, Lösch- und Widerspruchsrechte. Ab sofort können Sie also verlangen, dass ihre Daten komplett gelöscht werden. Entweder weil Sie es so wünschen, oder weil die Daten unrechtmäßig verarbeitet wurden. Auf Anfrage müssen Unternehmen die personenbezogenen Daten in lesbarer Form an den betroffenen Verbraucher weitergeben. Auch die Auskunftspflicht von Unternehmen wurde verschärft. Bei Verstößen gegen die DSGVO kommt es zu Sanktionen.

Was sind personenbezogene Daten?
Genau das ist leider nicht definiert. Sammelt eine Firma Daten ihrer Nutzer, ist alles personenbezogen. Über die Art und Weise die Tastatur zu bedienen, bis zu oft verwendeten Begriffen lässt sich das Geschlecht der Person, das Alter, persönliche Vorlieben und vieles mehr herausfinden. Die Verordnung greift immer dort, wo es um Nutzerdaten im Internet geht. Sie gilt auch bei Vereinen, Bloggern, Kirchen und anderen gemeinnützigen und nicht profitorientierten Einrichtungen. Nur die persönliche und familiäre Datenverarbeitung ist davon ausgenommen.

Wird sonst noch etwas kritisiert?
Die Erhebung dieser personenbezogenen Daten ist erlaubt, wenn sie zur „Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist“. Was das im Einzelfall bedeutet, müssen die Gerichte klären. Besonders kleinere Unternehmen müssen viel Geld für Rechtsberatung ausgeben. Außerdem haben sie Angst vor teuren Klagen, falls ihre Vorkehrungen nicht ausreichen. Des Weiteren wird in Deutschland durch die DSGVO eine Herabsetzung des Datenschutzstandard auf ein europäisches Mittelmaß befürchtet. Für viele andere EU-Länder bedeutet die DSGVO eine Anpassung an deutschlandähnliche Zustände, was Unmut über Berlin hervorruft.

Was passiert bei Verstößen gegen die Verordnung?
Es kann zu Bußgeldern in Höhe von 20 Millionen Euro oder 4 Prozent des Jahresumsatzes kommen. Es gilt im Einzelfall der jeweils höher Betrag. Kleine Unternehmen, Vereine oder Blogger müssen jetzt allerdings nicht in Panik verfallen, denn die Strafen müssen laut den Initiatoren verhältnismäßig sein. Im Zweifel wird bei einem geringen Erstverstoß das Gesetz lediglich erklärt. Ansonsten hängt die Höhe des Bußgeldes von der Härte des Vergehens ab. Es gibt verschiedene Kriterien zur Bemessung der Strafe. Das Besondere ist, dass Konzerne als ganzes betraft werden – auch wenn sich nur eine Unterfirma strafbar gemacht hat.

Wer verhängt die Bußgelder?
Die Strafen werden von den Aufsichtsbehörden im jeweils betroffenen Mitgliedsland verhängt. Bei internationalen Datentransfers gibt es eine federführende Aufsichtsbehörde. Diese wird anhand der europäischen Hauptniederlassung des Unternehmens festgelegt. Hier gilt das Marktortprinzip.

Was bedeutet das alles für den einzelnen Nutzer?
Ab dem 25. Mai können alle Nutzer beispielsweise Ihre von Facebook gesammelten Daten einfordern. Der Konzern hat dann einen Monat lang Zeit, die Anfrage zu bearbeiten. Außerdem steht Facebook ein Aufschub von bis zu drei Monaten zu. Nach dieser Frist können sich die Nutzer an die Aufsichtsbehörde wenden. In Deutschland gibt es für jedes Bundesland eigene Datenschutzbeauftragte. Und genau das ist die Sorge der Unternehmen: von Klagewellen überrollt zu werden.

Wie kommen schwerwiegende Datenmissbrauchsfälle ans Licht?
Dafür gibt es verschiedene Möglichkeiten. Der Sachverhalt kann durch die Aufklärungsarbeit der Aufsichtsbehörden öffentlich werden oder ein unzufriedener Mitarbeiter beschwert sich bei der Aufsichtsbehörde. Außerdem kann sich das Unternehmen selbst anzeigen. Auch durch investigativen Journalismus kann ein solcher Fehler aufgedeckt werden.

 ...Der Mythos um die Fotografien
In den vergangenen Monaten hieß es oft, dass auch Fotos, welche digital veröffentlicht werden, von der DSGVO betroffen sind. Man müsse sich angeblich die schriftliche Einwilligung aller abgebildeten Personen geben lassen. Das stimmt jedoch nicht. Fotografien fallen auch weiterhin unter die Kunst-, Presse- oder Meinungsfreiheit. Daran wird sich also nichts ändern. Es obliegt den Mitgliedsstaaten diese Grundrechte mit dem Datenschutz in Einklang zu bringen. Somit sind auch Journalisten von der DSGVO ausgenommen. Hier gilt in Deutschland auch weiterhin der Rundfunksstaatsvertrag. Findet die Datenverarbeitung innerhalb journalistischer Absichten statt, müssen sich die Journalisten lediglich an die Datensicherheit halten.