Datenschutz-Grundverordnung Endlich verständlich - was die neuen EU-Regeln für die Bürger bedeuten
Datenschutz-Grundverordnung - endlich verständlich
Die Verordnung soll den Datenschutz in der EU vereinheitlichen und ins Internetzeitalter befördern. Sie ersetzt eine EU-Richtlinie, die noch aus der Frühzeit des World Wide Web stammt, nämlich aus dem Jahr 1995. Der offizielle Name der Datenschutz-Grundverordnung lautet deshalb auch "Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG". Die neue Verordnung gilt nun für alle gleich, während die Richtlinie den Mitgliedstaaten mehr Spielraum ließ.
In 99 Artikeln regelt die neue Verordnung, wie Unternehmen und Behörden, aber zum Beispiel auch Vereine mit personenbezogenen Daten umgehen sollten. Im deutschsprachigen Netz wird über die Verordnung vor allem unter der Abkürzung DSGVO diskutiert, auf Englisch ist der Name General Data Protection Regulation, kurz GDPR, geläufig.
Inhaltlich ist die Verordnung kein kompletter Neuanfang. Vielmehr baut sie auf der bisherigen Richtlinie und den nationalen Gesetzen auf, etwa dem deutschen Bundesdatenschutzgesetz. Auch in der EU-Grundrechtecharta sind Datenschutzrechte verankert, die die Verordnung aufgreift.
Die DSGVO kommt am 25. Mai 2018 EU-weit zur Anwendung, ihre Vorgaben müssen also fortan komplett umgesetzt werden, sonst drohen Strafen. Bis hierhin war es ein weiter Weg, mit vielen Abstimmungen zwischen den Ländern und regelrechten Lobbyschlachten: Der erste Entwurf der EU-Kommission ist datiert auf den Januar 2012, vorausgegangen waren zwei Konsultationsphasen. Beschlossen wurde die Verordnung vom EU-Ministerrat und dem Europäischen Parlament aber erst im April 2016. In Kraft getreten ist sie bereits im Mai 2016.
Die DSGVO lässt sich ganz allgemein aus drei Perspektiven betrachten: Wirtschaft, Technik, Verbraucher.
Anders als eine Richtlinie, die erst in nationale Gesetze überführt und dabei durchaus unterschiedlich interpretiert wird, gilt eine Verordnung unmittelbar in allen Mitgliedstaaten. Zwar ermöglichen sogenannte Öffnungsklauseln den Mitgliedstaaten auch eigene Regelungen, aber nur in begrenztem Umfang.
Die technische Perspektive: Ein grundsätzliches Ziel der DSGVO ist es, die veraltete bisherige EU-Richtlinie durch moderne, technikneutrale Regelungen zu ersetzen. 1995 gab es noch keine so großen sozialen Netzwerke wie Facebook, kein Videostreaming und keine Big-Data-Anwendungen.
Grünen-Politiker Jan Philipp Albrecht
Foto: Bodo Marks/ picture alliance / dpaDer Grünen-Politiker Jan Philipp Albrecht, der eine wichtige Rolle beim Zustandekommen der Verordnung gespielt hat , ist "sehr zuversichtlich", dass die Verordnung Datenschutzfragen rund um aktuelle Themen wie Deep Learning oder zukünftige Techniken beantworten kann. Die nächste grundlegende Reform werde sich die EU "wahrscheinlich erst in 15 oder 20 Jahren vornehmen müssen", sagt er dem SPIEGEL.
Die Verbraucher-Perspektive: Die DSGVO reflektiert, wie viele Daten über jeden einzelnen Verbraucher erhoben, verarbeitet, weiterverbreitet und kommerzialisiert werden. Sie bringt den Nutzern verschiedene neue Auskunfts-, Lösch- und Widerspruchsrechte, die die Position der Verbraucher stärken.
Das Recht auf Vergessenwerden etwa bedeutet, dass EU-Bürger unter gewissen Umständen die Löschung ihrer personenbezogenen Daten verlangen können, zum Beispiel, wenn die Speicherung nicht länger notwendig ist oder wenn sie unrechtmäßig verarbeitet wurden.
Neu ist zudem das Recht auf Datenportabilität . Es besagt, dass Nutzer eines Onlinedienstes die Herausgabe ihrer personenbezogenen Daten in strukturierter, maschinenlesbarer Form verlangen können, um sie zu einem anderen Anbieter übertragen zu können. Im Auge hatte der Gesetzgeber vor allem soziale Netzwerke. Verschärft wird auch die Auskunftspflicht von Firmen nach einer Datenpanne oder einem Hack.
Kerngedanken der Verordnung sind die Prinzipien "Privacy by Design" und "Privacy by Default" - also Privatsphäre, die schon bei der Entwicklung eines Dienstes oder Produkts berücksichtigt wird und privatsphärefreundliche Voreinstellungen
Die DSGVO hat Folgen für jeden, der personenbezogene Daten verarbeitet, also auch für viele Blogger und Betreiber kleiner Websites (siehe Frage 6). Was "personenbezogene Daten" sind und was mit deren "Verarbeitung" gemeint ist, wird definiert: Personenbezogen sind Daten, wenn sie sich direkt oder indirekt auf einen identifizierbaren Menschen beziehen lassen. Namen sind also immer personenbezogene Daten. Physische Merkmale wie Geschlecht, Hautfarbe oder Kleidergröße sind personenbezogen, wenn sie einem Menschen zugeordnet werden können. Das gilt auch für Autokennzeichen und IP-Adressen, soweit es rechtlich zulässige Wege gibt, die zu ihnen gehörenden Personen zu ermitteln.
Verarbeitet werden Daten immer dann, wenn sie erhoben, geordnet, gespeichert, verändert, verwendet, ausgelesen, abgefragt, transferiert, verknüpft, abgeglichen oder gelöscht werden. Besonders strenge Vorgaben gelten für die Verarbeitung von Daten, aus denen "rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen" hervorgehen sowie für Gesundheitsdaten.
Grundsätzlich anders wird das Web nach dem 25. Mai wohl nicht sein, zumindest nicht auf deutschen Internetseiten: Einerseits, weil viele Vorgaben des DSGVO in ähnlicher Form schon im bisherigen deutschen Bundesdatenschutzgesetz auftauchen. Andererseits, weil vor allem große Firmen ihre Angebote bereits in den vergangenen Wochen oder Monaten an die Vorgaben angepasst haben - teils abgestimmt innerhalb der Branche. Vom Berliner Versandhändler Zalando, der viel mit personenbezogenen Daten arbeitet, heißt es beispielsweise: "Wir stehen in regem Austausch mit anderen Digital-Unternehmen, um sicherzustellen, dass die Datenschutz-Grundverordnung einheitlich interpretiert wird."
Eine der offensichtlichsten Veränderungen, die Nutzern auf fast jeder Website begegnen könnten, dürften überarbeitete Datenschutzerklärungen und Allgemeine Geschäftsbedingungen (AGB) sein. Viele Dienste haben ihre Kunden darauf auch längst aktiv hingewiesen: mit E-Mails oder Pop-up-Hinweisen in ihren Apps. Von Daimler, die über ihren Carsharing-Anbieter Car2go Leihautos vermitteln, etwa heißt es, die "datenschutzrechtlichen Änderungen in den AGB" seien Car2go-Kunden bereits Anfang April angekündigt worden. Und weiter: "Vor Inkrafttreten der Änderungen werden wir alle unsere Kunden zu den Anpassungen unserer Datenschutz- und Einwilligungserklärungen nochmals per E-Mail und über unsere App informieren."
Viele Website-Betreiber und Blogger müssen sich mit der DSGVO auseinandersetzen - ansonsten drohen womöglich Abmahnungen. "Wenn ich auf meinem Blog zum Beispiel privat meine Katzen zeige, dann ist das okay, dann gilt die DSGVO für mich nicht", erklärt der Fachanwalt für IT-Recht Joerg Heidrich auf SPIEGEL-Anfrage. "Wenn ich das Gleiche aber als Züchter mache, wenn ich so auch nur indirekt mein Geschäft fördere, verlasse ich schon den rein privaten Bereich und muss auf die DSGVO-Vorgaben achten. Das gilt auch, wenn ich auf meiner Seite irgendwo Werbung oder Affiliate-Links schalte."
Generell gilt: Wer mit seinem Online-Angebot in irgendeiner Form Nutzerdaten verarbeitet (siehe Frage 4) - und sei es, weil etwa Wordpress-Plug-ins Nutzerdaten erfassen oder Nutzer in Kommentaren ihren Namen hinterlassen -, der sollte davon ausgehen, von der DSGVO betroffen zu sein. Im Zweifel kann man seine Datenschutzbehörde fragen, ob und welche Vorkehrungen man bis zum 25. Mai treffen muss.
Personen mit Handlungsbedarf rät Anwalt Heidrich, als Erstes die Website selbst DSGVO-fit zu machen - vor allem als Absicherung gegen etwaige Abmahnungen von Mitbewerbern oder Abmahnvereinen. So sollte man sich zum Beispiel einen Überblick verschaffen, welche Plug-ins von Drittanbietern im Hintergrund laufen.
"Nicht dringend gebrauchte Plug-ins oder Social-Media-Buttons (in ihrer Standardform ) würde ich jetzt rausschmeißen", sagt Heidrich, "insbesondere dann, wenn offensichtlich ist, dass sie persönliche Daten erheben - und seien es nur IP-Adressen, denn auch die sind persönliche Daten."
Ebenso wichtig sei es, zusätzlich zum Impressum eine DSGVO-konforme Datenschutzerklärung auf der Website zu haben, die sich von jeder Unterseite aus erreichen lässt. Bei ihrem Aufsetzen könnten Online-Generatoren helfen, sagt Heidrich. Ein Beispiel für einen solchen Generator, der die DSGVO bereits berücksichtigt, finden Sie hier .
Bei nicht selbstgehosteten Angeboten muss zudem eine gesonderte Auftragsverarbeitungs-Vereinbarung mit dem Host-Provider abgeschlossen werden, also jenem Anbieter, bei dem das eigene Blog oder die eigene Website liegt. Ein solches Papier - eine Vorlage findet sich zum Beispiel hier - müsse einem der Anbieter auf Aufforderung übersenden, sagt Joerg Heidrich. Liegt die eigene Seite bei einem US-Hoster, ist es wichtig, dass die Firma am Datenschutzabkommen Privacy Shield (siehe Frage 10) teilnimmt, wie es zum Beispiel Google und Automattic - letzteres Unternehmen steht hinter Wordpress.com - tun.
Nicht vergessen sollte man auch, dass möglicherweise noch ein Verzeichnis der Verarbeitungstätigkeiten rund um die eigene Website erstellt werden muss, etwa nach diesem Muster .
Sollte trotz aller Anpassungen des eigenen Internetangebots dennoch eine Abmahnung mit Bezug auf die DSGVO ankommen, rät Heidrich Betroffenen, sich an einen Anwalt zu wenden: "Sonst kann das unter Umständen richtig teuer werden."
In jedem EU-Land sollen unabhängige Aufsichtsbehörden über die Umsetzung der Verordnung wachen. In Deutschland sind das die Datenschutzbehörden der 16 Bundesländer und die Bundesdatenschutzbeauftragte, Andrea Voßhoff (CDU), deren Amtszeit im Februar 2019 endet.
Bundesdatenschutzbeauftragte Andrea Voßhoff (CDU)
Foto: Hannibal Hanschke/ picture alliance / dpaDie Aufsichtsbehörden haben durch die DSGVO das Recht , zum Beispiel von Firmen Informationen einzufordern, die die Kontrolleure für ihre Arbeit benötigen. Dazu dürfen sie auch Ortsbesuche in den Geschäftsräumen machen. Außerdem führen die Behörden Datenschutzüberprüfungen durch und erteilen Zertifizierungen.
Weil viele internationale Konzerne länderübergreifend mit Daten arbeiten, war bislang nicht immer eindeutig, welche Aufsichtsbehörde zuständig ist. Das versucht die DSGVO durch das Prinzip des "One Stop Shop zu ändern: Jede Firma soll eine federführende Aufsichtsbehörde haben, die für sie zuständig ist. Festgelegt wird das anhand der Hauptniederlassung des Unternehmens.
Die DSGVO-Kontrolleure können bei wenig gravierenden Verstößen eine Verwarnung aussprechen und fordern, dass der Missstand innerhalb einer Frist behoben wird. Außerdem kann die Datenschutzbehörde dafür sorgen, dass personenbezogene Daten eines Nutzers berichtigt, gelöscht oder in ihrer Verarbeitung eingeschränkt werden - oder dafür, dass eine zuvor erteilte Zertifizierung wieder entzogen wird.
Darüber hinaus kann die DSGVO-Aufsicht Bußgelder verhängen, die deutlich höher sind als bei Verstößen gegen das bisherige Bundesdatenschutzgesetz, bei denen maximal 300.000 Euro Bußgeld drohte. Jetzt können - je nach Schwere des Verstoßes - bis zu 20 Millionen Euro fällig werden (Art. 83).
Weil großen Tech-Konzernen auch solche Summen eventuell klein erscheinen, gilt eine Extra-Regel: Sie sieht vor, dass das Bußgeld bis zu vier Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres betragen kann. Es soll immer diejenige Berechnung angewandt werden, die den höheren Bußgeld-Betrag für eine Firma nach sich zieht. Unter Umständen haften Verantwortliche sogar mit ihrem Privatvermögen.
An diese neuen Kompetenzen müssen auch die deutschen Aufseher ihre Arbeit erst noch anpassen. "Die DSGVO verlangt eine veränderte Arbeitsweise der Aufsichtsbehörden, da Entscheidungen der Aufsichtsbehörden in zusätzlichen Bereichen künftig auch justiziabel sein werden", sagt ein Sprecher der Bundesdatenschutzbeauftragten.
Während viele Verbraucherschützer die DSGVO insgesamt positiv sehen, gibt es auch Widerspruch: Firmen, deren Geschäftsmodell auf personenbezogenen Daten fußt, fürchten um ihre Zukunft. Sie haben - genauso wie Betreiber kleiner Internetseiten - Angst vor der Umstellungszeit und der damit verbundenen Rechtsunsicherheit.
Die DSGVO ist zwar jahrelang vorbereitet worden, doch an vielen Stellen ist selbst Juristen nicht klar, was die neue Verordnung fordert und wie manche Passagen im Alltag auszulegen sind. Beobachter rechnen damit, dass sich Gerichte bald mit etlichen Streitfällen befassen müssen. Da die Verordnung EU-weit gilt, könnten Streitfälle letztlich beim Europäischen Gerichtshof (EuGH) landen, der die finale Entscheidung trifft. Bis zum ersten EuGH-Urteil rund um die DSGVO dürften Jahre vergehen.
Ein Beispiel: In Artikel 6 der DSGVO wird Firmen die Verarbeitung von personenbezogenen Daten erlaubt, wenn dies "zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist". Doch welche Interessen von Firmen aber sind berechtigt und welche nicht mehr?
Noch zeigen wird sich, ob nach dem 25. Mai, wie Experten befürchten, neue Abmahnwellen drohen. Niko Härting vom Deutschen Anwaltverein hält es für denkbar, dass die Auskunftsansprüche der Bürger für massenhafte Abfragen missbraucht werden.
Unklar ist bislang auch, wie gut die Vereinheitlichung der unterschiedlichen Datenschutz-Standards der EU-Mitglieder letztlich funktionieren wird. Österreich etwa hat bereits ein "Datenschutz-Deregulierungsgesetz" verabschiedet.
Mit Blick auf Deutschland sorgen sich einige Datenschützer, dass die DSGVO gar keine Verbesserung ist, sondern das Land im Vergleich zum Bundesdatenschutzgesetz vielmehr auf ein EU-weites niedrigeres Datenschutzniveau herunterzieht.
Die DSGVO löst auf EU-Ebene die Datenschutzrichtlinie von 1995 ab. Im Unterschied zu ihr gilt die DSGVO unmittelbar in der gesamten EU. Flankiert werden soll die Neuordnung des EU-Datenschutzes durch die Einführung der sogenannten ePrivacy-Verordnung.
Diese Verordnung soll gewissermaßen den Datenschutz für Endgeräte sichern, ohne dass es zwingend um personenbezogene Daten gehen muss. Konkret geht es zum Beispiel um das Nutzer-Tracking auf Websites. Die ePrivacy-Verordnung wird derzeit noch verhandelt. Wann und in welcher Form sie in Kraft tritt, ist daher schwer abzusehen.
Neben der DSGVO und der ePrivacy-Verordnung ist der sogenannte Privacy Shield ein weiteres wichtiges internationales Regelwerk in Sachen Datenschutz. Den Privacy Shield gibt es bereits seit 2016. Er ist ein umstrittenes Konstrukt, das auf das gekippte Safe-Harbor-Abkommen folgte. Der "Datenschutzschild" weist geografisch über die EU hinaus und regelt den transatlantischen Datenaustausch zwischen der EU und den USA. Er wird neben der DSGVO weiterexistieren.
Auch in Deutschland muss nationales Recht angepasst werden . Kernstück ist ein auf die Verordnung abgestimmtes neues Bundesdatenschutzgesetz.
Die DSGVO gilt in allen 28 Staaten der EU. Aber die Verordnung dürfte zum Beispiel auch viele amerikanische Tech-Unternehmen beschäftigen: Dafür sorgt das sogenannte Marktortprinzip. "Unternehmen außerhalb der EU unterliegen der Verordnung, wenn sie Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von Personen in der EU beobachten", sagt eine Sprecherin des Wirtschaftsministeriums dazu.
Dass internationale Firmen die neuen EU-Regeln einfach für ihr weltweites Geschäft übernehmen, zeichnet sich derzeit nicht ab. Im Gegenteil: Facebook etwa wird seine interne Nutzer-Zuordnung aufwendig umschichten, um zu verhindern, dass rund 1,5 Milliarden Facebook-Nutzer aus Afrika, Asien, Australien oder Lateinamerika die Rechte und Klagemöglichkeiten der EU-Bürger gemäß DSGVO bekommen. Andere Tech-Konzerne planen offenbar ähnliche Maßnahmen.
