Schöner neuer Datenschutz: Die EU-Datenschutz-Grundverordnung, kurz DSGVO, garantiert Nutzerinnen und Nutzern eine Reihe von neuen Rechten im Umgang mit ihren Daten, an anderen Stellen werden die bisherigen Regelungen verschärft. Unternehmen müssen zum Beispiel künftig genauer darüber informieren, welche Daten sie sammeln und was mit den Daten passiert.
Um welche Daten geht es?
Es geht um personenbezogene Daten. Das sind alle Daten, die eindeutig einer bestimmten Person zuzuordnen sind. Und zwar unabhängig vom Medium: Die Papier-Akte mit den Kundendaten eines kleinen Unternehmens zählt genauso dazu, wie die Datenbanken mit Lieblingsserien der Kundinnen und Kunden, die ein Streaming-Dienst sammelt. In der Empfängerliste eines Newsletters finden sich solche Daten und wer etwas bestellt, online wie offline, gibt mit der Lieferadresse ebenfalls personenbezogene Daten an.
Und auch die meisten Webseiten sammeln personenbezogene Daten wie die IP-Adresse des Geräts, mit dem die Seite besucht wird. Daten können auch an die Anbieter externer Inhalte fließen, die in eine Seite eingebettet werden.
Die Verordnung gilt für alle Unternehmen, deren Angebot sich an EU-Bürgerinnen und Bürger richtet, egal, wo sich der Hauptsitz der Firma befindet. Sie gilt also zum Beispiel auch für US-Unternehmen wie Twitter und Facebook.
Was kann die EU-Datenschutzverordnung leisten - und was nicht?
Brüssel-Korrespondent Thomas Otto im Dlf-Podcast "Der Tag"
Die Weitergabe von Daten durch Facebook war auch vor der Reform schon illegal, sagt Datenschutz-Experte Peter Welchering im Deutschlandfunk.
Brüssel-Korrespondent Thomas Otto im Dlf-Podcast "Der Tag"
Die Weitergabe von Daten durch Facebook war auch vor der Reform schon illegal, sagt Datenschutz-Experte Peter Welchering im Deutschlandfunk.
Was ändert sich für Nutzerinnen und Nutzer?
Wer seine Daten teilen möchte, soll aktiv zustimmen können. Bei Grundeinstellungen von Seiten und Geräten gilt "Privacy by Default", also etwa "standardmäßiger Datenschutz". Zustimmungskästchen sollen nicht automatisch aktiviert sein. Die Einwilligung kann jederzeit widerrufen oder nachträglich eingeschränkt werden. Das nennt sich "opt-in", beziehungsweise "opt-out".
Auf der Seite des Deutschlandfunk sieht das beispielsweise so aus:
Außerdem muss, wer Daten erhebt, gut lesbar und verständlich darüber aufklären, welche Informationen von wem, wofür und wie lange gespeichert werden. Es muss angegeben werden, ob die Daten automatisiert verarbeitet oder möglicherweise in Nicht-EU-Länder weitergegeben werden.
Der Deutschlandfunk nimmt den Datenschutz ernst, darum gibt es auch auf dieser Seite eine Datenschutzerklärung.
Um welche Rechte geht es noch?
Wer Daten sammelt, muss Nutzerinnen und Nutzer auch über ihre Rechte aufklären und einen Kontakt zum Unternehmen angeben, bei dem sie diese Rechte einfordern können. Dem Kunden eines Versandhandels muss klar sein, an wen er sich wendet, wenn er Auskunft über seine Daten haben will. Und er muss wissen, wo er extern Beschwerde einreichen kann, wenn er einen Datenschutz-Verstoß entdeckt, etwa, dass seine Daten ohne seine Zustimmung für personalisierte Werbung genutzt wurden.
Die Rechte im Bezug auf bereits gegebene Daten gehen aber noch weiter: Jeder und jede kann beantragen, eine übersichtliche Auskunft über die eigenen Daten zu erhalten und falsche Daten korrigieren zu lassen. Daten, die unrechtmäßig erworben wurden oder nicht mehr benötigt werden, müssen auf Antrag gelöscht werden.
Die EU-Kommission fasst in einem Info-Portal die neuen Datenschutzrechte für Bürgerinnen und Bürger zusammen.
Es gibt sogar künftig ein Recht, die Daten an ein anderes Unternehmen übertragen zu lassen. Infrage kommen kann das zum Beispiel bei einem Stromanbieterwechsel. Der neue Stromanbieter kann dann auf die Daten des alten Anbieters zurückgreifen.
Ein Sonderfall sind Daten, die automatisiert verarbeitet werden, um damit zum Beispiel die Kreditwürdigkeit in einem Score zu berechnen. So ein Score kann Einfluss darauf nehmen, ob etwa eine potenzielle Mieterin eine Wohnung bekommt oder nicht. Auf solche automatischen Verarbeitungen muss gesondert hingewiesen werden. Die potenzielle Mieterin kann die berechnete Entscheidung anfechten und verlangen, dass sie durch einen Menschen überprüft wird. Beruht die Einschätzung auf fehlerhaften Daten, kann sie gemäß der Verordnung auf einer Korrektur bestehen.
Was heißt das für Unternehmen und Seitenbetreiber?
Die Unternehmen hatten zwei Jahre Zeit, um sich auf die neuen Anforderungen einzustellen. Sie müssen die geforderten Informationen klar und verständlich zur Verfügung stellen und Zuständige benennen, die sich mit Nutzeranfragen beschäftigen. Für die Bearbeitung solcher Anfragen haben die Unternehmen einen Monat Zeit.
Die EU-Kommission informiert auf ihrer Seite über die Vorschriften für Unternehmen und Organisationen.
Gehen Daten verloren oder werden gestohlen, muss das Unternehmen das einer zuständigen Behörde melden. Die betroffenen Nutzerinnen und Nutzer müssen darüber informiert werden.
Verstöße gegen die Datenschutz-Grundverordnung können teuer werden: Bußgelder bis zu 20 Millionen Euro oder vier Prozent des weltweiten Unternehmensumsatzes sind möglich.