Schwäbische Zeitung (Bad Saulgau)
Serie zu den neuen Datenschutzregeln
Am 25. Mai tritt die EU-Datenschutzverordnung in Kraft – Serie beleuchtet vorab die wichtigsten Aspekte
RAVENSBURG (sz) - In knapp drei Wochen tritt die neue Datenschutzgrundverordnung der EU (EUDSGVO) in Kraft. Sie soll Verbraucher schützen, stellt aber Behörden und Firmen vor Probleme. Ab 25. Mai 2018 droht Unternehmen, die die Vorgaben nicht einhalten, ein Bußgeld in Höhe von bis zu vier Prozent des jährlichen weltweiten Umsatzes. Heute startet in der „Schwäbischen Zeitung“die Serie zur EU-DSGVO.
RAVENSBURG - Seit Langem hat ein neues Gesetz nicht mehr für derart lange Zeit für so viel Gesprächsstoff gesorgt wie sie: die europäische Norm mit dem sperrigen Namen EU-Datenschutzgrundverordnung (EU-DSGVO). In einer Serie beleuchtet die „Schwäbische Zeitung“, was die Verordnung beinhaltet – und welche Auswirkungen sie auf Verbraucher, Unternehmen und Vereine in der Region hat. Im ersten Teil der Serie wird erklärt, was im Text der Verordnung steht, welche Ziele sie hat und was sich ändert.
Was ist die EU-DSGVO eigentlich?
Die EU-DSGVO ist eine Verordnung der Europäischen Union – also ein EU-weites Gesetz, das in allen 28 Mitgliedsstaaten unmittelbar gültig ist. Das 99 Artikel starke Gesetz enthält allerdings einige sogenannte Öffnungsklauseln, die es den einzelnen Staaten ermöglichen, bestimmte Aspekte zu erweitern oder genauer festzulegen. Erklärtes Ziel der EUDSGVO ist es, die „personenbezogenen Daten“aller Bürger der EU besser und einheitlicher zu schützen. „Personenbezogene Daten“sind Daten mit persönlichem Bezug zu einem Menschen (etwa Geburtstag und -ort und Adresse) oder solche mit einem sachlichen Bezug (etwa eine Mitarbeiternummer) zu ihm. In der Verordnung gesondert behandelt sind „besondere Kategorien personenbezogener Daten“: Informationen etwa zu Religion, politischer Präferenz, Gesundheitszustand oder ethnischer Zugehörigkeit. Sie werden durch die Verordnung besonders stark geschützt. Der EU-DSGVO zugestimmt haben das EU-Parlament und – einstimmig – der Ministerrat, also die Regierungen aller Mitgliedsstaaten. In Kraft getreten ist die EUDSGVO schon am 24. Mai 2016. Anzuwenden und somit in der ganzen EU bindend ist sie ab Freitag, den 25. Mai 2018.
Was soll die EU-DSGVO den Bürgern konkret bringen?
Durch die EU-DSGVO sollen die Rechte von Verbrauchern gegenüber Unternehmen und privaten wie staatlichen Organisationen gestärkt werden. Jede Person soll selbst beGrundsätzlich
stimmen können, welche Unternehmen, Behörden, Verbände und Vereine auf welche Art und wie lange über ihre personenbezogenen Daten verfügen. Das schließt das „Recht auf Vergessenwerden“ein – also das Recht, seine Daten bei einem Unternehmen komplett löschen zu lassen. Wenn in den folgenden Zeilen von „Unternehmen“die Rede ist, sind immer auch andere private und staatliche Organisationen gemeint. Die EU-DSGVO legt fest, wer überhaupt welche Daten sammeln darf, wozu die Daten verwendet werden dürfen und welche Rechte die Person hat, um deren Daten es geht. Das Prinzip hinter der EU-DSGVO:
ist das Sammeln personenbezogener Daten verboten. Erlaubt ist es in der Regel nur, wenn die betroffene Person der Datenerhebung und -verarbeitung eindeutig, freiwillig und wissentlich zustimmt – oder wenn es ein Gesetz erlaubt (das betrifft etwa die Verarbeitung von Daten durch das Finanzamt), wenn die Daten zur Erfüllung von Verträgen nötig sind, wenn sie erforderlich sind, um lebenswichtige Interessen zu schützen oder eine Aufgabe im öffentlichen Interesse zu erfüllen.
Die Speicherung und Verarbeitung von Daten ist auch dann erlaubt, wenn dadurch
das „berechtigte Interesse“eines Unternehmens durchgesetzt wird. Dieses Interesse muss aber schwer wiegen – schwerer als die Grundrechte und Grundfreiheiten der Person, um deren Daten es geht. Und das ist eine ziemlich hohe juristische Hürde. Eine einmal erteilte Zustimmung zur Datenverarbeitung kann eine Person jederzeit widerrufen – und kann von Unternehmen Auskunft über die gespeicherten Daten, deren Korrektur und deren Löschung verlangen.
Was genau ändert sich durch die EUDSGVO?
Erstens wird durch die DSGVO das Datenschutzrecht europaweit weiter vereinheitlicht. Der freie Verkehr personenbezogener Daten innerhalb der EU wird so erleichtert – und kann nicht mehr mit dem Argument behindert werden, dass unterschiedliche nationale Regelungen gelten. Zweitens gilt nun bei internationalen Datenschutz-Streitigkeiten das Marktortprinzip. Das heißt, EU-Bürger können sich immer auf die EUDSGVO berufen, wenn sie auf dem Gebiet der EU mit Unternehmen in Kontakt treten. Bisher galt – etwa bei Streitigkeiten mit US-Technologieriesen wie Google und Facebook – das Recht des Landes, in dem das Unternehmen seinen Hauptsitz hatte. Drittens – und das ist auch für europäische Unternehmen eine große Herausforderung – wird beim Datenschutz jetzt die Beweislast umgekehrt. Bisher mussten Verbraucher im Streitfall dem Unternehmen nachweisen, dass es Daten mangelhaft gespeichert oder verarbeitet hatte. Jetzt müssen umgekehrt die Unternehmen belegen, dass sie alles korrekt gemacht haben. Viertens hat jeder Verbraucher nun das Recht darauf, zu erfahren, welche Daten ein Unternehmen über ihn gespeichert hat – und kann die Löschung der Daten verlangen (es sei denn, ein Gesetz steht dem entgegen – wie etwa beim Finanzamt). Aus Änderung drei und vier ergibt sich Nummer fünf: Unternehmen müssen ein geeignetes Datenschutz-Management aufbauen und – mit Ausnahme von Kleinunternehmern – einen Datenschutzbeauftragten benennen. Sechstens – und das macht die EUDSGVO für Unternehmen besonders brisant – sind die Strafen bei Verstößen deutlich höher als bisher: Sie können maximal 20 Millionen Euro betragen – oder, bei internationalen Großkonzernen, bis zu vier Prozent des weltweiten Jahresumsatzes. Bei Facebook etwa wären aktuell bis zu 1,6 Milliarden Euro Strafe möglich.